【正文】 這些記錄可保證對(duì)個(gè)人化過程的可審計(jì)性和可跟蹤性。在整個(gè)個(gè)人化過程的最后，必須創(chuàng)建包含所有的IC卡應(yīng)用的個(gè)人化過程紀(jì)錄的審計(jì)文檔。 功能需求一個(gè)HSM 的最小的需求應(yīng)圍繞著對(duì)以下內(nèi)容的支持：? 密鑰值生成? 密鑰值交換? 密鑰配置文件分離（邏輯分割密鑰屬性）32 / 33? 密鑰值輸出和輸入? 密鑰值的安全存儲(chǔ) 安全模塊等級(jí)HSM須符合國家所訂之法規(guī)。? 敏感狀態(tài)操作需要雙重控制。? 設(shè)備功能集的設(shè)計(jì)確保沒有單個(gè)或設(shè)備功能的組合將導(dǎo)致敏感信息的泄露。? 防止對(duì)設(shè)備運(yùn)轉(zhuǎn)帶來的電磁輻射的監(jiān)控的保護(hù)。 物理安全屬性物理安全包括以下屬性：? 對(duì)侵入的保護(hù)，包括擦除敏感數(shù)據(jù)。? 在密鑰數(shù)據(jù)的第一個(gè)數(shù)據(jù)源，密鑰管理人應(yīng)負(fù)責(zé)保護(hù)該數(shù)據(jù)，并將其轉(zhuǎn)發(fā)給接收單位的指定密鑰管理人，這個(gè)責(zé)任還包括對(duì)數(shù)據(jù)收訖進(jìn)行驗(yàn)證。每個(gè)發(fā)卡行應(yīng)對(duì)內(nèi)部密鑰管理程序和下列業(yè)務(wù)的有關(guān)人員的作用進(jìn)行核查：? 密鑰管理人員的職責(zé)包括密碼資料的控制、驗(yàn)證和安全存儲(chǔ)。選擇“備用”管理人的標(biāo)準(zhǔn)應(yīng)該和選擇主要密鑰管理人的標(biāo)準(zhǔn)相同。密鑰保管人必須是正式受托的職員，決不可以是臨時(shí)傭工或顧問。30 / 33 管理規(guī)范負(fù)責(zé)管理秘密關(guān)鍵碼和密鑰元及其它密鑰數(shù)據(jù)設(shè)備的人員必須由不同的參與方（即發(fā)卡行、第三方處理商和/或IC卡個(gè)人化廠商）進(jìn)行指派。接收CA認(rèn)證機(jī)構(gòu)發(fā)來的公鑰驗(yàn)證證書時(shí)，發(fā)卡行可以采用CA公鑰對(duì)證書進(jìn)行驗(yàn)證。為此，須將每個(gè)發(fā)卡行公鑰傳輸給CA認(rèn)證機(jī)構(gòu)（PBOC CA） ，繼而發(fā)卡行會(huì)收到發(fā)卡行的公鑰證書。CA公鑰將用來驗(yàn)證發(fā)卡行公鑰驗(yàn)證證書。? 接收“CA 公鑰（PBOC Public Key） ”發(fā)卡行必須接收并安全地保存一個(gè)或幾個(gè)CA公鑰。在支付模式允許的情況下，建議發(fā)卡行為每個(gè)銀行標(biāo)識(shí)碼（BIN）或首標(biāo)分配不同的密鑰對(duì)，這樣，一旦發(fā)卡行的私鑰被泄密，就可以把相應(yīng)的BIN鎖閉起來。? 生成發(fā)卡行密鑰對(duì)發(fā)卡行必須安全地生成并保存一對(duì)或幾對(duì)公鑰和私鑰。HSM一般設(shè)計(jì)位于一個(gè)安全的環(huán)境之中。由于這個(gè)原因，當(dāng)檢測到了危害時(shí)，HSM清除（或歸零）它的內(nèi)存是很重要的。2. 訪問控制所有在卡外和HSM外保存的密鑰都應(yīng)當(dāng)保持在至少雙重的控制之下。注意：使用加密安全設(shè)備的主要原因是保護(hù)密鑰。5. 密鑰資料永遠(yuǎn)不能在超過任務(wù)所需的訪問必需的時(shí)間之后保留在保密信封和它們的物理安全的環(huán)境之外。每次對(duì)密鑰數(shù)據(jù)的訪問都必須記入日志，包括時(shí)間、日期、信封序列號(hào)、目的和簽名。3. 如果硬拷貝數(shù)據(jù)要保留任意一段時(shí)間，那么各個(gè)硬拷貝組成部分、安全令牌或智能卡必須保存在一個(gè)序列化的保密信封中。發(fā)送方與接收方商議決定密鑰數(shù)據(jù)將來的狀況。1. 一旦接收到密鑰資料，負(fù)責(zé)的密鑰管理人員必須立即檢查郵包是否篡改，并且必須驗(yàn)證內(nèi)容。? DES密鑰可以被安全地轉(zhuǎn)移到一塊安全令牌或智能卡的保護(hù)之下，以進(jìn)行傳輸和存儲(chǔ)。例如包括將DES密鑰從發(fā)卡行的站點(diǎn)傳輸給一個(gè)第三方的處理商或卡片個(gè)性化供應(yīng)商。? 如果發(fā)現(xiàn)任何密鑰存在于一個(gè)物理安全的設(shè)備之外，或者密鑰的各個(gè)部分被人所知，或者有被單個(gè)人掌握的嫌疑，那么該密鑰將被認(rèn)為已被泄漏，并且必須用一個(gè)新的密鑰來替換它。? 應(yīng)當(dāng)為實(shí)際密鑰的全部計(jì)算校驗(yàn)位。此外，組合各部分的方法應(yīng)當(dāng)是，知道了各部分的任何一個(gè)子集也無法知道密鑰值。28 / 33? 當(dāng)密鑰由授權(quán)工作人員通過一個(gè)將各部分組合的過程來生成時(shí)，必須要求每一方生成一個(gè)和要生成的密鑰一樣長的部分。? 任何時(shí)候一個(gè)未被保護(hù)的密鑰都不能存在于一臺(tái)物理安全的設(shè)備的被保護(hù)內(nèi)存之外。? 在生成DES密鑰時(shí)，它們必須要么在一臺(tái)由篡改響應(yīng)機(jī)制保護(hù)的物理安全的設(shè)備中生成，要么必須由授權(quán)的工作人員以一部分一部分的形式生成（參見下文） 。? 簽發(fā)商安全消息主密鑰（IMK SMC IMKSMI）——用來導(dǎo)出卡片密鑰，這些卡片密鑰用在卡片和驗(yàn)證系統(tǒng)之間的安全消息中，即卡片鎖定、應(yīng)用鎖定/解鎖、更新卡片特定數(shù)據(jù)和修改PIN。最終的卡片級(jí)密鑰是唯一的。2. 對(duì)稱（DES）密鑰管理EMV規(guī)范中的DES密鑰用于特殊的事務(wù)功能。? 私鑰必須用一種能夠保證它們的完整性和私密的方式來保障安全和傳輸。推薦公鑰始終在諸如一個(gè)證書之類的數(shù)據(jù)結(jié)構(gòu)中傳輸，或者利用一個(gè)由 ISO 9807 和僅用于這個(gè)用途的一個(gè)密鑰定義的算法將消息驗(yàn)證代碼 （MAC） 用于公鑰和相關(guān)的數(shù)據(jù)。密鑰傳輸和存儲(chǔ)為了保護(hù)公/私鑰對(duì)的完整性，對(duì)簽發(fā)商而言，確保這種密鑰數(shù)據(jù)使用以下步驟非常重要。? 密鑰生成將利用一個(gè)隨機(jī)或偽隨機(jī)過程，以使得不可能預(yù)測出任何密鑰或者確定密鑰空間中的某些密鑰比其它任意密鑰可能性更大。這種設(shè)備必須包含一個(gè)隨機(jī)或偽隨機(jī)數(shù)字生成器，執(zhí)行原始校驗(yàn)例程，并支持篡改響應(yīng)機(jī)制。特別是當(dāng)IC卡或其它安全加密設(shè)備（SCD）使用它們時(shí)為密鑰提供的保護(hù)。為了限制這些風(fēng)險(xiǎn)所代表的潛在的泄露問題，我們推薦使用以下簽發(fā)商要求。不能保證用來對(duì)靜態(tài)或動(dòng)態(tài)數(shù)據(jù)元素簽名的私有密鑰的安全性將使IC卡面臨被偽造的風(fēng)險(xiǎn)。以下材料的目的是提供不同算法類型所扮演的加密角色的一個(gè)概述，以及提出安全地管理密鑰所必需的基本要求。然而，當(dāng)加密算法沒有得到正確實(shí)施時(shí)，加密算法的預(yù)定作用將受到負(fù)面的影響。另外，個(gè)人化設(shè)備必須：? 安裝在工廠的高安全區(qū)并符合中國金融集成電路（IC）卡生產(chǎn)安全標(biāo)準(zhǔn)規(guī)定的一切安全要求和程序要求。? 將個(gè)人化文件中的機(jī)密信息從傳輸密鑰TK 解譯成K DEK，以便將其傳送給卡片。加密過程的安全要求應(yīng)適合于給定的數(shù)據(jù)組及IC卡用途，而且無論是在數(shù)據(jù)準(zhǔn)備過程中，還是在個(gè)人化設(shè)備相關(guān)的本機(jī)處理過程中，都必須與相應(yīng)的加密過程協(xié)調(diào)一致。26 / 33另外，機(jī)密信息必須：? 在硬件安全模塊（HSM）上從KEK解譯成TK，以便將機(jī)密信息向前傳輸給個(gè)人化設(shè)備。接收來自發(fā)卡行的個(gè)人化文件時(shí)，文件信息必須：? 始終得到安全的存儲(chǔ)，訪問這些信息的權(quán)利必須嚴(yán)格地局限于業(yè)務(wù)需求者。該密鑰必須獨(dú)特于其它所有密鑰，并且只承擔(dān)加密機(jī)密數(shù)據(jù)的任務(wù)。? KEK至少必須逐年進(jìn)行更改。該密鑰可以由發(fā)卡行生成，也可以由個(gè)人化設(shè)備生成，但必須遵循本手冊的要求。這些密鑰區(qū)見圖1所示。在IC卡之外執(zhí)行的一切加密和解密操作必須在硬件安全模塊（HSM）上進(jìn)行。MDK ENC和MDK MAC 至少對(duì)于每個(gè)BIN是獨(dú)一無二的，而UDK ENC 和 UDK MAC必須對(duì)每張卡都是唯一的。? MDK ENC——用來導(dǎo)出： UDK ENC——用來加密發(fā)卡行的腳本機(jī)密信息。其中，公鑰須經(jīng)過發(fā)卡行私鑰的簽名，才能獲得發(fā)卡行公鑰證書。作為選擇，也可以用發(fā)卡行公鑰/私鑰對(duì)生成這些密鑰。? 密鑰交換密鑰（KEK）— —用來對(duì)發(fā)卡行個(gè)人化輸入文件中的機(jī)密數(shù)據(jù)進(jìn)行加密，每個(gè)發(fā)卡行的KEK必須是唯一的。? 發(fā)卡行公鑰/私鑰對(duì)—— 通常由發(fā)卡行生成，公鑰應(yīng)傳輸給中國金融集成電路（IC）卡認(rèn)證機(jī)構(gòu)，供其創(chuàng)建發(fā)卡行公鑰證書。? 主密鑰（MDK）——用來導(dǎo)出以下幾個(gè)密鑰： UDK——用于聯(lián)機(jī)的卡認(rèn)證和發(fā)卡行認(rèn)證。24 / 33 KDEK——用來加密在個(gè)人化過程中寫入卡片的保密數(shù)據(jù)。 KMAC——用來鎖閉中國金融集成電路（IC）卡的應(yīng)用區(qū)，并對(duì)個(gè)人化過程中裝載到卡片的個(gè)人化數(shù)據(jù)進(jìn)行檢驗(yàn)，證實(shí)它們完整無損，且沒有被修改。如果由個(gè)人化廠商創(chuàng)建，必須按本手冊的規(guī)定進(jìn)行。個(gè)人化完成以后，發(fā)卡行通常不持有該密鑰。ENC MDK ENC UDK SUDK ENC ICC 私鑰 發(fā)卡行和卡 由發(fā)卡行生成并安全地存儲(chǔ)在卡上。 MDK UDK SUDK（用于通用密碼） 中國金融集成電路（IC）卡訊息認(rèn)證密鑰 發(fā)卡行和卡 主密鑰用來生成唯一的卡片密鑰，這個(gè)卡片密鑰用于生成進(jìn)行發(fā)卡后的數(shù)據(jù)更新所需要的消息認(rèn)證對(duì)話密鑰。用于保證在個(gè)人化數(shù)據(jù)文件中，提供給個(gè)人化設(shè)備的應(yīng)用數(shù)據(jù)的完整性。KEK/TK – 密鑰交換密鑰，用于保護(hù)DES密鑰。 KEKISS 22 / 33數(shù)據(jù)加密密鑰 / 傳輸密鑰 數(shù)據(jù)準(zhǔn)備設(shè)備和個(gè)人化設(shè)備 對(duì)數(shù)據(jù)準(zhǔn)備設(shè)備與個(gè)人化設(shè)備之間的脫機(jī)PIN及其它機(jī)密數(shù)據(jù)進(jìn)行保護(hù)。KMAC SKUMAC 發(fā)卡行主密鑰發(fā)卡行、IC卡廠商和個(gè)人化設(shè)備用來創(chuàng)建一個(gè)對(duì)話密鑰，利用該對(duì)話密鑰可在ECB模式下加密DES 密鑰或靈活的加密其它機(jī)密數(shù)據(jù)。KMC 用來創(chuàng)建一個(gè)對(duì)話密鑰，利用該對(duì)話密鑰可創(chuàng)建密文和以CBC模式加密機(jī)密數(shù)據(jù)。 必須把IC卡響應(yīng)INITIALIZE UPDATE命令時(shí)返回來的序列計(jì)數(shù)器初始化為 ‘0001’。KDEK是一個(gè) 16字節(jié)（112比特加奇偶校驗(yàn)位）的DES密鑰。（KDEK）并將它寫入相應(yīng)的IC卡。KMAC是一個(gè) 16字節(jié)（112比特加奇偶校驗(yàn)位）的DES密鑰。這個(gè)密鑰用來校驗(yàn)EXTERNAL AUTHENTICATE命令使用的CMAC。KENC密鑰用以下方法推算：KENC ：= DES3（KMC）[ KEYDATA的6個(gè)最低有效字節(jié)|| ’F0’ || ‘01’ ]|| DES3（KMC）[ KEYDATA的6 個(gè)最低有效字節(jié) || ‘0F’ || ‘01’]。如果密文的安全等級(jí)要求STORE DATA 命令的數(shù)據(jù)字段是加密的，這個(gè)分散密鑰還用來在CBC模式下對(duì)該命令的數(shù)據(jù)字段進(jìn)行解密。（KENC ），并把它寫入相應(yīng)的應(yīng)用中。表26： KEYDATA的初始存儲(chǔ)內(nèi)容字段 長度 格式KMC（例如IIN/BIN ，左對(duì)齊，用1111b/ 半字節(jié)填充）標(biāo)識(shí)6 BCD芯片序列號(hào)（CSN） 4 二進(jìn)制數(shù)KEYDATA（密鑰數(shù)據(jù)）是每個(gè)IC卡應(yīng)用分區(qū)都可以訪問的一個(gè)數(shù)據(jù)單元，KMC標(biāo)識(shí)符是INITIALIZE UPDATE命令響應(yīng)數(shù)據(jù)的一部分，并給定位IC卡發(fā)行商的KMC提供了方便。KMCID 的長度為6個(gè)字節(jié)。 初始化安全（KEYDATA ）必須按下表格式設(shè)置，該數(shù)據(jù)由KMCID 和芯片序號(hào)（CSN）組成?，F(xiàn)就各方面的要求，制定出以下的規(guī)范。表16： 數(shù)據(jù)分組標(biāo)識(shí) ‘0302’的數(shù)據(jù)內(nèi)容要求 標(biāo)簽 數(shù)據(jù)元素 長度 加密C 9F4A SDA標(biāo)簽列表 可變 N/A不適用M 8C 卡片風(fēng)險(xiǎn)管理數(shù)據(jù)對(duì)象列表1（CDOL1 ） 可變 N/A不適用M 8D CDOL2 可變 N/A不適用C 97 TDOL 可變 N/A不適用O 9F05 應(yīng)用自定義數(shù)據(jù) 可變 N/A不適用0 9F0B 持卡人姓名擴(kuò)展（2745 ） 可變 N/A不適用C 9F44 應(yīng)用貨幣指數(shù) 1 N/A不適用C 9F42 應(yīng)用貨幣碼 2 N/A不適用O 5F30 服務(wù)碼 2 N/A不適用M 9F08 應(yīng)用版本號(hào) 2 N/A不適用表17： 數(shù)據(jù)分組標(biāo)識(shí) ‘0303’要求 標(biāo)簽 數(shù)據(jù)元素 長度 加密C 8E 持卡人驗(yàn)證方法（CVM）列表 可變 N/A不適用表18： 數(shù)據(jù)分組標(biāo)識(shí) ‘03nn’的數(shù)據(jù)內(nèi)容要求 標(biāo)簽 數(shù)據(jù)元素 長度 加密C 5A 應(yīng)用主帳號(hào)（PAN） 可變 N/A不適用17 / 33C 5F34 應(yīng)用PAN序列號(hào) 1 N/A不適用R 8E 持卡人驗(yàn)證方法（CVM）列表 可變 N/A不適用C 9F0D 發(fā)卡行行為碼（IAC）默認(rèn) 5 N/A不適用C 9F0E IAC拒絕 5 N/A不適用C 9F0F IAC聯(lián)機(jī) 5 N/A不適用C 5F24 應(yīng)用失效日期 3 N/A不適用C 5F28 發(fā)卡行國家代碼 2 N/A不適用C 9F07 應(yīng)用使用控制 2 N/A不適用C 5F25 應(yīng)用生效日期 3 N/A不適用注意：如果要求多于一個(gè)SAD，則本分組中的數(shù)據(jù)元素必須包含在簽名應(yīng)用數(shù)據(jù)（SAD）中。表4： 數(shù)據(jù)分組標(biāo)識(shí)‘0103’的數(shù)據(jù)內(nèi)容要求 標(biāo)簽 數(shù)據(jù)元素 長度 加密M 9F61 持卡人證件號(hào) 直到40 N/A不適用M 9F62 持卡人證件類型 1 N/A不適用表5： 數(shù)據(jù)分組標(biāo)識(shí)‘0201’的數(shù)據(jù)內(nèi)容要求 標(biāo)簽 數(shù)據(jù)元素 長度 加密C 90 發(fā)卡行公鑰（IPK ）證書 可變 N/A不適用表6： 數(shù)據(jù)分組標(biāo)識(shí)‘0202’的數(shù)據(jù)內(nèi)容要求 標(biāo)簽 數(shù)據(jù)元素 長度 加密C 9F32 IPK指數(shù) 1或3 N/A不適用C 92 IPK余項(xiàng) 可變 N/A不適用C 8F 認(rèn)證中心公鑰索引 1 N/A