收藏
下载资源

银联卡受理自助终端安全评估送检指南v1.0

上传人:油条 文档编号:117103374 上传时间:2019-11-18 格式:DOC 页数:14 大小:46KB
返回 下载 相关 举报
银联卡受理自助终端安全评估送检指南v1.0_第1页
第1页 / 共14页
银联卡受理自助终端安全评估送检指南v1.0_第2页
第2页 / 共14页
银联卡受理自助终端安全评估送检指南v1.0_第3页
第3页 / 共14页
银联卡受理自助终端安全评估送检指南v1.0_第4页
第4页 / 共14页
银联卡受理自助终端安全评估送检指南v1.0_第5页
第5页 / 共14页
点击查看更多>>
资源描述

《银联卡受理自助终端安全评估送检指南v1.0》由会员分享,可在线阅读,更多相关《银联卡受理自助终端安全评估送检指南v1.0(14页珍藏版)》请在金锄头文库上搜索。

1、银联卡受理自助终端安全评估测试 送检指南 v1.0 银行卡检测中心 2011 年 6 月 第 2 页 共 14 页 目 次 前 言3 一.依据标准 .4 二.送检要求 .5 三.技术要求 .5 修改记录及说明15 第 3 页 共 14 页 前 言 本检测指南以银联卡受理终端安全规范 第三部分:银联卡受理自助终端 安全测试规范为基础,根据相关规范的要求,对银联卡受理自助终端的安全 要求做出了规定,包括核心物理安全评估、核心逻辑安全评估、附加联机安全 评估和附加脱机安全评估。其中核心物理安全评估和核心逻辑安全评估是必须 评估的部分,而附加联机安全评估和附加脱机安全评估根据实际情况选择。 本指南的起

2、草单位:银行卡检测中心。 第 4 页 共 14 页 银联卡受理自助终端安全评估送检指南 1.1. 依据标准依据标准 1.银联卡受理终端安全规范 第三部分:银联卡受理自助终端安全测试规范Q/CUP 007.32010)中国银联 2.银联卡受理终端安全规范 第六部分:PIN 输入设备安全测试规范中国银联 2.2. 送检要求送检要求 1. 请按附件1 需要提交的材料清单中的要求,准备相应的材料、测试程序 等。 2. 请填写附件2 客户调查问卷,就产品的一些安全设计等方面认真回答问 卷中的每一个问题,并且尽量详细,以方便评估测试。 3. 请填写附件3 自助终端安全要求手册,说明产品所支持的功能以及一些

3、 附件信息等。 附件1 需要提交的材料清单 附件2 客户调查问卷 附件3 自助终端安全要求手册 3.3. 技术要求技术要求 1.1. 入侵检测机制入侵检测机制 测试要点:测试要点: UPT设备应具备防攻击性和响应机制,保证设备在被攻击后立即处于不可操作状 态,并自动立即擦除设备中存放的敏感信息,并要求敏感信息无法恢复。这些 第 5 页 共 14 页 机制可以使设备抵抗如下物理攻击手段(包括但不限于):钻孔、激光、化学 溶剂、通过外壳和通风口的探查。并且要求绕过这些机制插入PIN窃取装置或者 获取敏感信息的可行方法至少需要25分(不包括对ICC读卡器的攻击)的攻击分 值。 2.2. 独立安全机制

4、独立安全机制 测试要点:测试要点: 设备的安全系统由至少两个以上的独立安全机制组成,设备的单个安全机制失 效不会危及设备的安全。 3.3. 内部访问响应内部访问响应 测试要点:测试要点: 若允许访问UPT设备或其组件内部区域(如服务或维护等),则通过该区域插入 PIN窃取装置是不可能的。设备内部设计可以保证(例如将敏感数据所在的组件 由防攻击性和反攻击性机制保护)禁止直接访问PIN或者密钥等敏感数据,或设 备安全机制可以在非法访问其内部区域时立即擦除敏感数据。 4.4. 环境和操作条件改变的适应性环境和操作条件改变的适应性 测试要点:测试要点: 改变UPT设备的环境条件或操作条件不会影响其安全

5、性(例如操作电压或环境 温度超出UPT设备安全操作范围) 5.5. 敏感功能或信息保护敏感功能或信息保护 测试要点:测试要点: 敏感功能或敏感信息只能在UPT设备受保护的区域内使用。对敏感信息和敏感 功能进行攻击和修改至少需要25分的攻击分值(不包括对ICC读卡器的攻击) 。 第 6 页 共 14 页 6.6. PIN输入过程中可听到的音调输入过程中可听到的音调 测试要点:测试要点: 如果PIN输入时有声音提示,那么输入每一位PIN所发出的声音和输入其他位 PIN所发出的声音应该没有任何区别。 7.7. PIN输入过程中监控输入过程中监控 测试要点:测试要点: 通过监听UPT设备的声音、电磁辐

6、射、能量消耗或其他任何可以从外部监听到 的特征来探查PIN都至少需要25分的攻击分值。 8.8. 密钥识别分析密钥识别分析 测试要点:测试要点: 通过渗透UPT设备或ICC读卡器或监测UPT设备或ICC读卡器的辐射(包括能量 波动)的方法获取在UPT设备或ICC读卡器中存储的任何与PIN安全相关的密钥, 要求至少需要35分攻击分值。 9.9. 提示信息由加密单元控制提示信息由加密单元控制 测试要点:测试要点: 输入非PIN数据时设备显示的提示内容应在安全模块的控制下,对非PIN数据的 攻击至少需要16分攻击分值。如果该提示内容是存储在安全模块内部,那么改 变该提示内容会导致安全模块内密钥的擦除

7、。如果该提示内容是存储在安全模 块外部,那么设备安全机制要保证提示内容的完整性、正确使用和不被非法修 改或使用。 10.10.改变用户界面提示攻击可能性分析改变用户界面提示攻击可能性分析 测试要点:测试要点: 第 7 页 共 14 页 在未授权情况下,改变非PIN数据输入时显示的提示内容危及PIN安全(例如: 当输出信息不加密时提示输入PIN)的攻击至少需要16分攻击分值。 11.11.用户界面的一致性用户界面的一致性 测试要点:测试要点: UPT设备(应用)必须强制向持卡人显示信息的与EPP的操作状态(例如,安 全模式或非安全模式)保持一致。如果影响持卡人显示信息与EPP操作状态一 致的命令

8、来自外部设备(例如,store controller) ,那么使能数据输入的命令必须 被认证。对于持卡人显示信息与EPP操作状态一致的修改,每个UPT开发和实 施以上攻击的成本最少为16。 12.12.迁移保护迁移保护 测试要点:测试要点: UPT设备的EPP应不允许未经认证的迁移。攻破或绕过迁移保护至少需要16分 攻击分值。 13.13.IC卡读卡器防移除卡读卡器防移除 测试要点:测试要点: 自助终端的IC卡读卡器要防止恶意拆除。 14.14.防偷窥保护防偷窥保护 测试要点:测试要点: UPT设备的设计应防止其他人对PIN输入的窥视。 15.15.磁条读卡器磁条读卡器 测试要点:测试要点:

9、在攻击分值低于14的条件下,通过入侵UPT设备安装附加物、替代或修改磁条 第 8 页 共 14 页 阅读器的磁头和相关软硬件的方式,从而获取或修改磁道数据都是不可行的。 16.16.防恶意窃卡机制防恶意窃卡机制 测试要点:测试要点: 自助终端应具备防恶意窃卡机制。 17.17.防渗透替换机制防渗透替换机制 测试要点:测试要点: 自助终端的不允许通过条件改变、替换或修改磁条读卡器、自助终端的软硬件。 18.18.自检测试自检测试 测试要点:测试要点: UPT设备应具备自检功能,能够检查设备的固件、安全机制以及安全状态,自 检在设备启动时进行或至少每天进行一次。自检包括在LJAQ004-00(固件

10、更新) 中描述的完整性和真实性,即使自检失败,也不影响UPT设备及其功能的安全 性。 19.19.逻辑异常逻辑异常 测试要点:测试要点: UPT设备不应受异常数据的影响而泄露PIN的明文或其他敏感数据,这些异常数 据包括(但不限于):错误顺序的命令、未知命令、错误模式下的命令和错误 的参数。 20.20.固件认证固件认证 测试要点:测试要点: 设备固件及对固件的任何改动都必须经过严格的流程控制,以保证固件中不含 第 9 页 共 14 页 隐藏的非法功能。 21.21.固件更新固件更新 测试要点:测试要点: 如果UPT设备固件能够进行更新,那么设备必须通过加密机制验证更新固件的 完整性和真实性。

11、如果未确认其完整性和真实性,那么设备应拒绝进行固件更 新或清除设备中所有的密钥。在比固件或软件预设组件安全级别低的组件中进 行认证是不允许的,此外认证必须由固件/软件的目标组件来完成。 22.22.输入输入PIN区别区别 测试要点:测试要点: UPT设备的PIN处理组件(例如EPP)绝不允许将信息输出到其他组件(例如显 示或者设备控制单元) ,这些组件可以对PIN数字输入进行区别。 23.23.内存清除内存清除 测试要点:测试要点: UPT设备应严格控制敏感信息的存在时间和使用次数。设备在下面任一情况必 须自动清空其内部保存得敏感信息:(a)交易已经完成;(b)UPT设备等待 持卡人或商户的响

12、应超时。 24.24.敏感服务保护敏感服务保护 测试要点:测试要点: 设备的敏感服务用于访问敏感功能,敏感功能处理设备中如密钥、PIN和口令 等敏感数据,使用设备的敏感服务必须通过身份验证。进入或退出敏感服务不 应泄露或改变设备中的敏感信息。 25.25.敏感服务限制敏感服务限制 第 10 页 共 14 页 测试要点:测试要点: 为保证设备的敏感服务不被非法使用,必须对设备敏感服务的范围和使用时间 进行限制,若超出服务范围和使用时间则UPT设备应退出敏感服务并返回到正 常模式。 26.26.随机数随机数 测试要点:测试要点: 设备产生的随机数与敏感数据有关系,则设备中的随机数产生器必须经过评估

13、, 以保证其产生的随机数无法被预测。 27.27.PIN防穷举防穷举 测试要点:测试要点: UPT设备应具有防止利用穷举探测PIN值的特性。 28.28.密钥管理密钥管理 测试要点:测试要点: UPT设备中执行密钥管理技术需要符合ISO11568和/或ANSI X9.24。有关TDEA 密钥组的密钥管理技术必须符合银联密钥管理规则或ANSI TR-31。 29.29.加密算法测试加密算法测试 测试要点:测试要点: UPT设备采用的PIN加密技术必须遵循ISO 9564。 30.30.使用设备对任意数据加解密使用设备对任意数据加解密 测试要点:测试要点: 不能利用UPT设备内的PIN加密密钥(P

14、EK)或密钥加密密钥(KEK)去加密或 解密其他任意的数据。UPT设备必须强制使数据密钥,密钥加密密钥和PIN加密 第 11 页 共 14 页 密钥有不同的值。 31.31.明文密钥安全明文密钥安全 测试要点:测试要点: UPT设备的机制应保证:不允许输出私钥或密钥以及PIN的明文;不允许用可能 已经泄密的密钥去加密其他密钥或PIN;不允许把密钥明文从高安全的组件传 送至低安全的组件中去。 32.32.交易控制交易控制 测试要点:测试要点: 输入其他交易数据的过程必须和输入PIN的过程分开,以避免PIN的明文意外显 示。如果其他交易数据和PIN是通过同一个键盘输入,那么输入交易金额和PIN 时

15、设备应有明显提示进行区别。 33.33.非非PIN数据输入数据输入 测试要点:测试要点: 输入其他交易数据的过程必须和输入PIN的过程分开,以避免PIN的明文意外显 示。如果其他交易数据和PIN是通过同一个键盘输入,那么输入交易金额和PIN 时设备应有明显提示进行区别。 34.34.多应用多应用 测试要点:测试要点: 自助终端如果支持多应用程序,其必须保证各个程序的独立性。 35.35.单一单一PIN数据接口数据接口 测试要点:测试要点: 自助终端只能通过一个单独的接口接收PIN数据。 第 12 页 共 14 页 36.36.卡号屏蔽要求卡号屏蔽要求 测试要点:测试要点: 自助终端的凭证应醒目

16、,但应隐去卡号校验位前四位数字。 37.37.最小配置最小配置 测试要点:测试要点: UPT的操作系统只能包含完成预期操作的所必需的组件和服务。并且依据应用 需要,配置成最小授权。 38.38.密钥替换密钥替换 测试要点:测试要点: 验证如果设备能保存多个PIN加密密钥并且用于加密PIN的密钥能从外部选择, 那么设备禁止未经授权的密钥替换和密钥滥用。 39.39.防穿透保护防穿透保护 测试要点:测试要点: 在要求攻击分值小于16的情况下,任何渗透ICC读卡器从而附加、替换和修改 ICC读卡器的软件或硬件,以获取或修改任何敏感数据的攻击都是不可行的。 40.40.IC卡读卡器卡槽结构卡读卡器卡槽结构 测试要点:测试要点: 在插入IC卡时,IC卡读写器插槽应没有空间被装入PIN窃取装置,要增大设备 空间来容纳这种窃取装置也是不可行的。IC卡和其他任何外物不可能同时驻留 在IC卡读卡器插槽内。 41.41.IC卡读卡器卡槽可见性卡读卡器卡槽可见性 测试要点:测试要点: 第 13 页 共 14 页 在卡插入过程中,IC卡插槽的入口处可完全处于持卡人的

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 其它中学文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号