【正文】 存儲(chǔ)。接收來自發(fā)卡行的個(gè)人化文件時(shí)，文件信息必須：? 始終得到安全的存儲(chǔ)，訪問這些信息的權(quán)利必須嚴(yán)格地局限于業(yè)務(wù)需求者。? 在成功完成個(gè)人化之后，將生產(chǎn)系統(tǒng)內(nèi)的數(shù)據(jù)清除干凈。26 / 33另外，機(jī)密信息必須：? 在硬件安全模塊（HSM）上從KEK解譯成TK，以便將機(jī)密信息向前傳輸給個(gè)人化設(shè)備。此外，數(shù)據(jù)準(zhǔn)備系統(tǒng)至少必須：? 位于一個(gè)能夠控制數(shù)據(jù)存取的中間安全區(qū)，并將數(shù)據(jù)訪問權(quán)局限于業(yè)務(wù)需求者。加密過程的安全要求應(yīng)適合于給定的數(shù)據(jù)組及IC卡用途，而且無論是在數(shù)據(jù)準(zhǔn)備過程中，還是在個(gè)人化設(shè)備相關(guān)的本機(jī)處理過程中，都必須與相應(yīng)的加密過程協(xié)調(diào)一致。 個(gè)人化過程中的安全要求在個(gè)人化階段，個(gè)人化設(shè)備必須：? 在硬件安全模塊HSM上執(zhí)行中國(guó)金融集成電路（IC）卡K DEK推算過程。? 將個(gè)人化文件中的機(jī)密信息從傳輸密鑰TK 解譯成K DEK，以便將其傳送給卡片。這一解譯過程必須在HSM上執(zhí)行。另外，個(gè)人化設(shè)備必須：? 安裝在工廠的高安全區(qū)并符合中國(guó)金融集成電路（IC）卡生產(chǎn)安全標(biāo)準(zhǔn)規(guī)定的一切安全要求和程序要求。 操作不同類型的加密算法支持 EMV 規(guī)范中的不同功能。然而，當(dāng)加密算法沒有得到正確實(shí)施時(shí)，加密算法的預(yù)定作用將受到負(fù)面的影響。一種安全的實(shí)施將取決于規(guī)范所需的不同密鑰被簽發(fā)者管理的好壞程度。以下材料的目的是提供不同算法類型所扮演的加密角色的一個(gè)概述，以及提出安全地管理密鑰所必需的基本要求。1. 非對(duì)稱（RSA）密鑰管理IC卡的安全性取決于私有（簽名）密鑰的保護(hù)。不能保證用來對(duì)靜態(tài)或動(dòng)態(tài)數(shù)據(jù)元素簽名的私有密鑰的安全性將使IC卡面臨被偽造的風(fēng)險(xiǎn)。私有密鑰面臨的主要風(fēng)險(xiǎn)包括（1）成功地分解RSA 模數(shù)（ 2）私有密鑰自身的泄漏。為了限制這些風(fēng)險(xiǎn)所代表的潛在的泄露問題，我們推薦使用以下簽發(fā)商要求。私有（簽名）密鑰的安全性取決于許多因素，包括：? RSA密鑰模數(shù)位的長(zhǎng)度；例如：76891024和1152，? 組成公共/私有密鑰模數(shù)的主要數(shù)字的質(zhì)量，以及? 用來從物理上保障（保護(hù)）私有（簽名）密鑰不受未經(jīng)授權(quán)的訪問和暴露/危害的影響的方法。特別是當(dāng)IC卡或其它安全加密設(shè)備（SCD）使用它們時(shí)為密鑰提供的保護(hù)。27 / 33RSA密鑰生成當(dāng)生成RSA 公/私鑰對(duì)時(shí)，推薦在一臺(tái)物理安全的設(shè)備的受保護(hù)內(nèi)存中完成這個(gè)過程。這種設(shè)備必須包含一個(gè)隨機(jī)或偽隨機(jī)數(shù)字生成器，執(zhí)行原始校驗(yàn)例程，并支持篡改響應(yīng)機(jī)制。? RSA私有（簽名）密鑰可能對(duì)物理安全設(shè)備而言是暫時(shí)性的。? 密鑰生成將利用一個(gè)隨機(jī)或偽隨機(jī)過程，以使得不可能預(yù)測(cè)出任何密鑰或者確定密鑰空間中的某些密鑰比其它任意密鑰可能性更大。? 個(gè)人計(jì)算機(jī)或其它類似的不安全設(shè)備，即不被信任的設(shè)備，將永遠(yuǎn)不能用來生成RAS公/私鑰對(duì)。密鑰傳輸和存儲(chǔ)為了保護(hù)公/私鑰對(duì)的完整性，對(duì)簽發(fā)商而言，確保這種密鑰數(shù)據(jù)使用以下步驟非常重要。? 公鑰應(yīng)該用一種能夠保證它們完整性的方式來保障安全和傳輸。推薦公鑰始終在諸如一個(gè)證書之類的數(shù)據(jù)結(jié)構(gòu)中傳輸，或者利用一個(gè)由 ISO 9807 和僅用于這個(gè)用途的一個(gè)密鑰定義的算法將消息驗(yàn)證代碼 （MAC） 用于公鑰和相關(guān)的數(shù)據(jù)。也推薦使用雙重控制技巧來確保公鑰的接收方有辦法驗(yàn)證它的發(fā)送方和完整性，即通過公鑰上的一個(gè)校驗(yàn)值的單獨(dú)和獨(dú)立的傳輸來實(shí)現(xiàn)這一點(diǎn)。? 私鑰必須用一種能夠保證它們的完整性和私密的方式來保障安全和傳輸。傳輸機(jī)制可能包括：? 一臺(tái)安全加密設(shè)備? 利用至少與加密相等力量的對(duì)稱算法來對(duì)被保護(hù)密鑰的私鑰進(jìn)行解密，或者? 作為幾個(gè)部分（在IC卡上保障安全） ，并使用一個(gè)對(duì)稱算法來進(jìn)行解密。2. 對(duì)稱（DES）密鑰管理EMV規(guī)范中的DES密鑰用于特殊的事務(wù)功能。DES密鑰是在個(gè)人化期間從一個(gè)主導(dǎo)出密鑰（Master Derivation Key）中導(dǎo)出的。最終的卡片級(jí)密鑰是唯一的。? 簽發(fā)商主導(dǎo)出密鑰（ID KAC）——用來導(dǎo)出用于生成稱為應(yīng)用密文 （AC）的MAC的卡片密鑰。? 簽發(fā)商安全消息主密鑰（IMK SMC IMKSMI）——用來導(dǎo)出卡片密鑰，這些卡片密鑰用在卡片和驗(yàn)證系統(tǒng)之間的安全消息中，即卡片鎖定、應(yīng)用鎖定/解鎖、更新卡片特定數(shù)據(jù)和修改PIN。密鑰生成發(fā)卡行將使用以下原則來使密鑰數(shù)據(jù)在創(chuàng)建期間泄漏的機(jī)會(huì)最小化。? 在生成DES密鑰時(shí)，它們必須要么在一臺(tái)由篡改響應(yīng)機(jī)制保護(hù)的物理安全的設(shè)備中生成，要么必須由授權(quán)的工作人員以一部分一部分的形式生成（參見下文） 。設(shè)備必須包含一個(gè)隨機(jī)或偽隨機(jī)的數(shù)字生成器。? 任何時(shí)候一個(gè)未被保護(hù)的密鑰都不能存在于一臺(tái)物理安全的設(shè)備的被保護(hù)內(nèi)存之外。任何時(shí)候物理安全的設(shè)備都不能輸出純文本的密鑰，除非作為密碼或者以兩個(gè)或更多部分的形式輸出。28 / 33? 當(dāng)密鑰由授權(quán)工作人員通過一個(gè)將各部分組合的過程來生成時(shí)，必須要求每一方生成一個(gè)和要生成的密鑰一樣長(zhǎng)的部分。密鑰組合過程在一個(gè)物理安全的設(shè)備內(nèi)部進(jìn)行。此外，組合各部分的方法應(yīng)當(dāng)是，知道了各部分的任何一個(gè)子集也無法知道密鑰值。分開的密鑰由一個(gè)管理機(jī)構(gòu)掌握，至少應(yīng)有一個(gè)部分持有人是發(fā)卡行的一名員工。? 應(yīng)當(dāng)為實(shí)際密鑰的全部計(jì)算校驗(yàn)位。? 個(gè)人電腦或類似的不安全設(shè)備永遠(yuǎn)不能用來生成密鑰資料。? 如果發(fā)現(xiàn)任何密鑰存在于一個(gè)物理安全的設(shè)備之外，或者密鑰的各個(gè)部分被人所知，或者有被單個(gè)人掌握的嫌疑，那么該密鑰將被認(rèn)為已被泄漏，并且必須用一個(gè)新的密鑰來替換它。密鑰傳輸和存儲(chǔ)DES 密鑰可能需要被傳輸和存儲(chǔ)。例如包括將DES密鑰從發(fā)卡行的站點(diǎn)傳輸給一個(gè)第三方的處理商或卡片個(gè)性化供應(yīng)商。當(dāng)DES密鑰正被傳輸或存儲(chǔ)時(shí)，以下措施將限制數(shù)據(jù)泄漏的潛在危險(xiǎn)。? DES密鑰可以被安全地轉(zhuǎn)移到一塊安全令牌或智能卡的保護(hù)之下，以進(jìn)行傳輸和存儲(chǔ)。? DES 密鑰只能以以下方式之一在安全令牌或智能卡的受保護(hù)內(nèi)存之內(nèi)進(jìn)行傳輸或存儲(chǔ)：利用雙重控制和分持機(jī)密的原則，以兩個(gè)或更多部分的形式或者作為密碼，密碼是用一個(gè)由各方安全地建立的傳輸或存儲(chǔ)密鑰來創(chuàng)建的。1. 一旦接收到密鑰資料，負(fù)責(zé)的密鑰管理人員必須立即檢查郵包是否篡改，并且必須驗(yàn)證內(nèi)容。2. 如果接收的管理人員對(duì)密鑰數(shù)據(jù)的完整性有任何不確定的地方，必須立即通知發(fā)送方。發(fā)送方與接收方商議決定密鑰數(shù)據(jù)將來的狀況。關(guān)于繼續(xù)使用密鑰資料的任何決定的基礎(chǔ)必須記錄在案并由雙方保留。3. 如果硬拷貝數(shù)據(jù)要保留任意一段時(shí)間，那么各個(gè)硬拷貝組成部分、安全令牌或智能卡必須保存在一個(gè)序列化的保密信封中。4. 這個(gè)序列化的保密信封必須持續(xù)保存在一個(gè)物理安全的容器中，這個(gè)容器僅能由指定的密鑰管理人員或預(yù)備人員訪問。每次對(duì)密鑰數(shù)據(jù)的訪問都必須記入日志，包括時(shí)間、日期、信封序列號(hào)、目的和簽名。這些日志將可以向任何相應(yīng)的請(qǐng)求機(jī)構(gòu)提供。5. 密鑰資料永遠(yuǎn)不能在超過任務(wù)所需的訪問必需的時(shí)間之后保留在保密信封和它們的物理安全的環(huán)境之外。下面給出了關(guān)于密鑰存儲(chǔ)問題的一些一般的指導(dǎo)，它適用于非對(duì)稱和對(duì)稱密鑰存儲(chǔ)：1. PC板的使用29 / 33一塊向主機(jī)提供加密服務(wù)的 PC 板可以看作是 HSM 的一種形式和類似的期望保護(hù)級(jí)別。注意：使用加密安全設(shè)備的主要原因是保護(hù)密鑰。如果使用 HSM 主機(jī)的系統(tǒng)自身是不安全的，那么攻擊者將更容易危害系統(tǒng)的軟件功能，而忽略 HSM。2. 訪問控制所有在卡外和HSM外保存的密鑰都應(yīng)當(dāng)保持在至少雙重的控制之下。3. HSM和IC安全內(nèi)存一般而言，HSM將包含單獨(dú)的存儲(chǔ)和處理設(shè)備，而密鑰資料將跨內(nèi)部硬件總線傳送。由于這個(gè)原因，當(dāng)檢測(cè)到了危害時(shí)，HSM清除（或歸零）它的內(nèi)存是很重要的。此外，HSM的硬件設(shè)計(jì)解決電磁輻射的問題也很重要。HSM一般設(shè)計(jì)位于一個(gè)安全的環(huán)境之中。發(fā)卡行在發(fā)卡之前必須執(zhí)行以下幾個(gè)步驟，這些步驟有時(shí)還需要在使用支付系統(tǒng)的過程中得以執(zhí)行。? 生成發(fā)卡行密鑰對(duì)發(fā)卡行必須安全地生成并保存一對(duì)或幾對(duì)公鑰和私鑰。私鑰將被用來簽署IC卡靜態(tài)數(shù)據(jù)或IC卡公鑰證書（這取決于IC卡各自執(zhí)行的數(shù)據(jù)認(rèn)證是靜態(tài)的還是動(dòng)態(tài)的） 。在支付模式允許的情況下，建議發(fā)卡行為每個(gè)銀行標(biāo)識(shí)碼（BIN）或首標(biāo)分配不同的密鑰對(duì)，這樣，一旦發(fā)卡行的私鑰被泄密，就可以把相應(yīng)的BIN鎖閉起來。? 生成發(fā)卡行密鑰發(fā)卡行必須根據(jù)IC卡密鑰的推算需要而安全地生成并保存一個(gè)或幾個(gè)密鑰。? 接收“CA 公鑰（PBOC Public Key） ”發(fā)卡行必須接收并安全地保存一個(gè)或幾個(gè)CA公鑰。這些公鑰必須以一定的方式進(jìn)行傳輸，使發(fā)卡行能夠?qū)λ鼈兊耐暾院蛿?shù)據(jù)源進(jìn)行核實(shí)。CA公鑰將用來驗(yàn)證發(fā)卡行公鑰驗(yàn)證證書。? 請(qǐng)求并接收發(fā)卡行公鑰證書就發(fā)卡行公鑰而言，發(fā)卡行必須獲得相應(yīng)的發(fā)卡行公鑰證書。為此，須將每個(gè)發(fā)卡行公鑰傳輸給CA認(rèn)證機(jī)構(gòu)（PBOC CA） ，繼而發(fā)卡行會(huì)收到發(fā)卡行的公鑰證書。發(fā)卡行公鑰必須以一定的方式傳輸給CA認(rèn)證機(jī)構(gòu)，使之能夠?qū)€的完整性和數(shù)據(jù)源進(jìn)行核實(shí)。接收CA認(rèn)證機(jī)構(gòu)發(fā)來的公鑰驗(yàn)證證書時(shí)，發(fā)卡行可以采用CA公鑰對(duì)證書進(jìn)行驗(yàn)證。? 傳輸“發(fā)卡行秘密關(guān)鍵碼”如果發(fā)卡行希望授權(quán)給第三方生成和驗(yàn)證IC卡密碼，發(fā)卡行必須安全地將推算IC卡密鑰所使用的秘密關(guān)鍵碼安全地傳輸給第三方。30 / 33 管理規(guī)范負(fù)責(zé)管理秘密關(guān)鍵碼和密鑰元及其它密鑰數(shù)據(jù)設(shè)備的人員必須由不同的參與方（即發(fā)卡行、第三方處理商和/或IC卡個(gè)人化廠商）進(jìn)行指派。指派專人負(fù)責(zé)監(jiān)控密鑰數(shù)據(jù)時(shí)，必須落實(shí)足夠的保密控制措施，以保證任何個(gè)人或未經(jīng)認(rèn)可的個(gè)人沒有任何機(jī)會(huì)讀取密鑰的數(shù)據(jù)成分。密鑰保管人必須是正式受托的職員，決不可以是臨時(shí)傭工或顧問。另外，為了確保服務(wù)的連續(xù)性，可以把候補(bǔ)人員當(dāng)作主要密鑰管理人的“備份” 。選擇“備用”管理人的標(biāo)準(zhǔn)應(yīng)該和選擇主要密鑰管理人的標(biāo)準(zhǔn)相同。密鑰管理人的責(zé)任重大，而且是發(fā)卡行安全協(xié)議的一個(gè)基本組成部分，他們所要管理的密鑰數(shù)據(jù)是發(fā)卡行發(fā)卡程序中最重要的加密操作碼。每個(gè)發(fā)卡行應(yīng)對(duì)內(nèi)部密鑰管理程序和下列業(yè)務(wù)的有關(guān)人員的作用進(jìn)行核查：? 密鑰管理人員的職責(zé)包括密碼資料的控制、驗(yàn)證和安全存儲(chǔ)。? 密鑰管理人或其“候補(bǔ)”的責(zé)任是：? 接收和安全存儲(chǔ)密鑰元；? 對(duì)讀取和使用密鑰數(shù)據(jù)的記錄或日志進(jìn)行管理，包括讀取次數(shù)、日期、目的和重新安全存儲(chǔ)情況；? 對(duì)傳輸給發(fā)卡行控制權(quán)限以外的其它所有指定人員的密鑰數(shù)據(jù)進(jìn)行驗(yàn)證；? 對(duì)過期密鑰元的銷毀進(jìn)行簽名作證；? 時(shí)常根據(jù)需要將密鑰數(shù)據(jù)輸入安全加密模塊；? 依據(jù)數(shù)據(jù)所有人的通知，指導(dǎo)和監(jiān)視過期密碼資料的銷毀。? 在密鑰數(shù)據(jù)的第一個(gè)數(shù)據(jù)源，密鑰管理人應(yīng)負(fù)責(zé)保護(hù)該數(shù)據(jù)，并將其轉(zhuǎn)發(fā)給接收單位的指定密鑰管理人，這個(gè)責(zé)任還包括對(duì)數(shù)據(jù)收訖進(jìn)行驗(yàn)證。請(qǐng)參見“銀聯(lián)”標(biāo)識(shí)卡個(gè)人化企業(yè)安全和質(zhì)量管理指南 1. 數(shù)據(jù)傳輸安全管理請(qǐng)參見“銀聯(lián)”標(biāo)識(shí)卡個(gè)人化企業(yè)安全和質(zhì)量管理指南 31 / 332. 數(shù)據(jù)存儲(chǔ)介質(zhì)的管理請(qǐng)參見“銀聯(lián)”標(biāo)識(shí)卡個(gè)人化企業(yè)安全和質(zhì)量管理指南 3. 數(shù)據(jù)信息使用的控制請(qǐng)參見“銀聯(lián)”標(biāo)識(shí)卡個(gè)人化企業(yè)安全和質(zhì)量管理指南 安全模塊防止篡改的要求篡改的防止可以分為兩個(gè)安全領(lǐng)域，（1）物理，和（2）邏輯。 物理安全屬性物理安全包括以下屬性：? 對(duì)侵入的保護(hù)，包括擦除敏感數(shù)據(jù)。? 對(duì)將導(dǎo)致敏感信息暴露的未授權(quán)修改的保護(hù)。? 防止對(duì)設(shè)備運(yùn)轉(zhuǎn)帶來的電磁輻射的監(jiān)控的保護(hù)。 邏輯安全屬性邏輯安全特性包括以下屬性：? 真實(shí)性的驗(yàn)證。? 設(shè)備功能集的設(shè)計(jì)確保沒有單個(gè)或設(shè)備功能的組合將導(dǎo)致敏感信息的泄露。? 存在的、用來確保密鑰分割的機(jī)制。? 敏感狀態(tài)操作需要雙重控制。? 包含的用來驗(yàn)證軟件下載的技巧。 功能需求一個(gè)HSM 的最小的需求應(yīng)圍繞著對(duì)以下內(nèi)容的支持：? 密鑰值生成? 密鑰值交換? 密鑰配置文件分離（邏輯分割密鑰屬性）32 / 33? 密鑰值輸出和輸入? 密鑰值的安全存儲(chǔ) 安全模塊等級(jí)HSM須符合國(guó)家所訂之法規(guī)。 風(fēng)險(xiǎn)審計(jì)在每個(gè)IC卡應(yīng)用的個(gè)人化過程的最后，必須創(chuàng)建這個(gè)應(yīng)用的個(gè)人化過程的記錄。在整個(gè)個(gè)人化過程的最后，必須創(chuàng)建包含所有的IC卡應(yīng)用的個(gè)人化過程紀(jì)錄的審計(jì)文檔。對(duì)每一張IC卡的審計(jì)文檔的格式，請(qǐng)參考EMV Card Personalization Specification 之表21。這些記錄可保證對(duì)個(gè)人化過程的可審計(jì)性和可跟蹤性。