首页
购物车
询价
www.GB-GBT.com
[PDF] JR/T 0055.4-2009 - 自动发货. 英文版
标准搜索结果: 'JR/T 0055.4-2009'
标准号码
内文
价格美元
第2步(购买)
交付天数
标准名称
状态
JR/T 0055.4-2009
英文版
150
JR/T 0055.4-2009
3分钟内自动发货[PDF]
银行卡联网联合技术规范 第4部分:数据安全传输控制
有效
基本信息
标准编号
JR/T 0055.4-2009 (JR/T0055.4-2009)
中文名称
银行卡联网联合技术规范 第4部分:数据安全传输控制
英文名称
Technical specifications on bankcard interoperability. Part 4: Data secure transmission control
行业
金融行业标准 (推荐)
中标分类
A11
国际标准分类
35.240.40
字数估计
10,148
发布日期
2009-06-01
实施日期
2009-07-01
引用标准
ANSI X9.8; JR/T 0025; JR/T 0025.1; JR/T 0025.2; JR/T 0025.3; JR/T 0025.4; JR/T 0025.5; JR/T 0025.6; JR/T 0025.7; JR/T 0025.8; JR/T 0025.9; JR/T 0025.10; JR/T 0025.11; JR/T 0025.12; JR/T 0025.13; JR/T 0025.14; JR/T 0025.15; JR/T 0025.16; JR/T 0025.17
起草单位
中国人民银行科技司
归口单位
全国金融标准化技术委员会
标准依据
金标委网站090722;行业标准备案公告2010年第3号(总第123号)
范围
本标准的本部分规定了银行卡跨行交易传输过程中密钥管理机制和交易数据安全传输的基本要求, 以保证交易信息的安全性和完性。本标准的本部分适用于所有进行银行卡跨行交易的交换中心、受理方、发卡方等机构。
JR/T 0055.4-2009: 银行卡联网联合技术规范 第4部分:数据安全传输控制 JR/T 0055.4-2009 英文名称: Technical specifications on bankcard interoperability. Part 4: Data secure transmission control 备囊号: 银行卡联网联合技术规范 第 4 部分: 数据安全传输控制 中国人民银行 发布 1 范围 银行卡联网联合技术规范 第 4 部分数据安全传输控制 本标准的本部分规定了银行卡跨行交易传输过程中密钥管理机制和交易数据安全传输的基本要求, 以保证交易信息的安全性和完整性。 本标准的本部分适用于所有进行银行卡跨行交易的交换中心、受理方、发卡方等机构。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的 修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。 3 术语和定义 下列术语和定义适用于本部分。 4 密钥的管理和控制 机构和交换中心必须满足银行卡网络对数据安全传输控制方面的要求。 机构和交换中心必须提供严格的系统安全保密机制,包括信息存取控制的安全、应用系统操作的安 全、物理实体(机房、设备、通信网络、记录媒体等)的安全和安全管理制度等方面。 4.1 管理制度的基本要求 整个银行卡网络的数据安全保密,需要制定和贯彻各机构间严格的密钥管理制度。基本要求是z a)应采用安全、可草、成熟的加密算法: b)密钥的生成、存贮、销毁和交易信息的如齿’/解密应在硬件加密设备中进行: c)应遵循金融业有关数据安全保密的国家标准和国际标准: d)应加强对操作人员的管理要求: e)应定期更换密钥。 4.1.1 数据传输安全控制的基本要求 数据传输安全控制要求包括并不限于以下四个方面: a)密钥管理机制:在技术上实施严格和可靠的密钥分配过程: b)个人标识码(PIN)的加解密及转换机制:不允许 PIN 的明码在通信线路上和人工可操作的存 储媒体上出现: c) 所有机构应采用硬件加密装置: d)点对点的数据加解密网络机制。 4.1.2 砸件加密机的基本要求 硬件加密机的主要功能是对PIN加密和解密,验证报文来源的正确性以及存储密钥.所有这些操作 都应在硬件如密机中完成万以保证密钥和PIN的明码只出现在加密机中 F 防止密钥和PIN的地露西硬件如 密机应通过国家商用密码主管部门的安全认证,此外还应满足以下要求: a)支持单倍长 (864,在单倍长窑钥算法中使用)和双倍长(Bl28,在双倍长密钥算法中使用〉密 钥: b)支持本部分对 PIN 的规定,验证、转换 PIN 的密文: c)支持本部分中对 M_AC 的规定,验证和产生 M_AC: d)能对密钥作验证: 的受到非法攻击时,加密机内部保护的密钥自动销毁。 4.2 密钥的层次 银行卡交易安合体系中包括三级密钥。表l中说明了这三级密钥之间的关系。 4.3.1 鼓据密钥的产生 PIK与MAK统称为数据密钥,由硬件加密机中的随机发生器产生@密钥产生后,硬件如密机将栓查密 钥的有效性。弱密钥和半弱密钥将被剔除。 交换中心的加密机产生数据密钥,入网机构接收和储存交换中心发来的数据密钥. 当入网机构需要新密钥的时侯,必须向交换中心发出密钥重置申请报文。 4.3.2 成员主密钥(酬K)的产生 刷K由交换中心和入网机构各自产生一部分,分别输入到双方的加密机中合成则K. 也可由双方商定刷K的产生办法。 4.3.3 主密钥的产生 主密钥用人工方式输入。主密钥由三部分构成,分别由三个人掌管。为了保证输入的正确性,每一 部分的密钥必须输入两次,且两次输入必须一致,否则输入失败。在三个人分别输入三部分密钥后,加 密机作奇偶校验检查。奇偶校验正确时,加密机产生主密钥。主密钥必须储存在硬件加密机中,受硬件 设备的保护。一旦硬件加密机受到非授权的操作,主密钥会自动销毁。 4.4 密铺的分发 4.4.1 数据密钥的分发 数据密钥由交换中心产生,通过联机报文的方式分发。具体分发方式请见本标准第1部分和第2部分 的详细描述. 4.4.2 成员主密钥(MMK.)的分发 刷K的分发杳三个途径: a)如果交换中心和入网机构均使用 IC 卡保存 MMK,则可通过相互邮寄 IC 卡得到。 b)如果一方没有 IC 卡或 IC 卡不能通用,则需双方相关人员到场共同输入 MMK. c)也可由双方相关人员协商确定分发途径。 4.5 密钥的存储 4.5.1 数据密钥和成员主宰钥的存储 数据密钥和成员主密钥应保存在硬件加密机内。如果出现在主机的数据库中,则必须以密文方式出 现。 4.5.2 主密钥的存储 主密钥必须保存在硬件加密机中,受加密机的保护. 4.5.3 密钥档案的保存 密钥注入、密钥管理功能调试和密钥档案的保管应由专人负责。密钥资料须保存在保险柜内。保险 拒钥匙由专人负责。使用密钥和销毁密钥要在监督下进行并应有使用也、销毁记录。 4.6 密钥的销毁 当新密钥产生后,生命期结束的老帘钥必须从数据库和内存中清除,防止被替换使用:同时所有可 能重新构造此密钥的信息也必须消除。新密钥成功启用和l老密钥白动销毁的记录将被吏新。 5 联机报文 PIN 的加密和解密 5.1 PIN 的数据类型 PIN是4-12位数字。 5.2 Pll'~ 的字符集 PIN用数字字符表示,表4给出了它的二边制对照表t 5.3 PIN 数据块 5.3.1 不异或主账号信息 表5说明了不异或主账号信息的PIN数据块的构成z 5.4 PIN 的加解密 将5.3中生成的PIN 数据块输入到硬件加密机中,并与存储在硬件加密机中的PIK用双倍长密钥算法 计算,即可得到PIN的密文。 当报文经受理方进入跨行交易网络时, PIN已被受理方的PIK加密,交换中心将PIN的密文用受理方 的PIK解密,再用发卡方的PIK加密后发往发卡方。 6 联机报文 MAC 的计算 6.1 MAC 的使用条件 6.2 MAC 构成规则 6.2.1 担立璋的选择 参与构成MAC数据块的信息一般包括以下报文域: 一一具有唯一性的数据域(如系统躁踪号、交易传输日期时间等); 一一表征报文特征的数据域(报文类型、交易处理码、服务点条件码等); 一一交易相关数据域(主账号、交易金额、应答码、受理方标识码、接收方标识码等)。 各类交易中参与M~AC计算的报文域由参与交易的各方根据 t述原则进行约定。 6.2.2 MAC 字符的选择 对所选择的用于构成MAC数据块的报文域,应做如下处理: 一一带长度值的域在计算 MAC 时应包含其长度值信息: 一一在域和域之间插入一个空格: -一所有的小写字母转换成大写字母; 一一除了字母(A-Z),数字(0-9),空格,逗号(,)和点号(.)以外的字符都删去; 一一册去所有域的起始空格和结尾空格: 一一多于一个的连续担格,由一个空格代替。 6.2.3 MAC 块的构成 按如下方法对上述数据(即6.2.2产生的结果数据〕进行处理,得到MAC数据块.即MAB(Message Authentication Block)。 将MAC字符选择处理厉的数据划分成大小为64bit的块,一直划分到数据的最后一块。最后一块位数 不足64bit时,右补二」进制0。 6.3 MAC 的计算 6.3.1 非童置密钥联机交易 将根据上述步骤生成的MAC数据块输入到硬件加密机中,并与存储在硬件加密机中的MAK用单倍长或 双倍长密钥算法计算,即可得到MAC的密文。以单倍长密钥算法计算为例,具体计算步骤如下z a)将MAB中的每8个字节分为一组(最后一组如不足8个字节,则右补OxOO) ; b)对第一组MAB数据进行1:p_倍长密钥运算: c)将运算结果与历-细MAB数据异或,结果取代后--细MAB数据,依次进行操作。对最后一组异或结 果进行单倍长密钥运算,得出8个字节的拥密值, ljJ 为MAC值。 机构或交换中心在发山一个报文前,应产生一个MAC值随报文一起发送。 机构或交换中心在收到一个报文后, Ji坦按照各方约定产生一个MAC值,并将该MAC值与报文中的MAC 值进行对比,如果一致则认为报文正确’可以接受,否则认为拙文不可信任,应予以拒绝。 6.3.2 重置密钥交易 对于重置密钥交易请求和应答报文,交换中心和机构应用新F发的密钥计算MAC:重置PIN密钥时计 算MAC也应用新下发的PIN密钥。 请求报文中的MAC域 (128域)为按照单倍长密钥算法计算MAC得到的8字节二进制数据的前半部分(4 字节二进制数〉和按照单倍长密钥算法计算校验值得到的8字节二进制数据的前半部分(4字节二进制数〉 的组合(8字节二进制数〉......
相关标准:
JR/T 0055.1-2009
JR/T 0055.2-2009
JR/T 0055.3-2009
英文版PDF:
JR/T 0055.4-2009
JR/T 0055.4-2009
JR/T0055.4
JRT0055.4
MIIT24
MIIT24
MIIT24
GB/T 19584-2010
GB/T19584
GBT19584