1、GB/T 16790.1-1997 前去一口本标准等同采用ISO10202-1,1991,并已都被等同采用为国家标准,相应国家标准编号为GB/T 15694.1一1995和GB/T15694.2-1996。因此,在引用该标准时按新标准加以标注。本标准由中国人民银行提出。本标准由全国金融标准化技术委员会归口管理。本标准起草单位中国人民银行、中国工商银行、中国标准化与信息分类编码研究所。本标准主要起草人z刘钟、聂舒、房庆、陆书春、卢小冰、王云生、孟桂清、王咖。GB/T 16790.1-1997 ISO前言ISO(国际标准化组织是一个世界范围的国家团体(lSO成员团体标准化联盟。通过ISO技术委员会
2、的活动来推动国际标准化工作。对已成立技术委员会的工作感兴趣的每个成员团体都有权参与该委员会的工作。与ISO有联系的官方和非官方的各国际组织可参与该委员会的工作。ISO和IEC(国际电工技术委员会)在电工技术标准的所有领域密切合作。技术委员会制定的国际标准草案将被分发给各成员团体进行表决。作为一项国际标准发布至少需要75%以上的参加投票的成员团体投票赞成。国际标准ISO10202-1由银行及相关金融业务技术委员会ISO/TC68制定。ISO 10202在总标题金融交易卡使用集成电路卡的金融交易系统的安全结构之下,由以下部分组成z第1部分g卡的生命周期第2部分2交易处理第3部分z密钥关系第4部分z
3、安全应用模式第5部分z算法的使用组成第6部分=持卡人身份验证本标准附录A构成ISO10202本部分的标准内容,附录B和附录C仅提供参考信息。1 范围中华人民共和国国家标准金融交易卡使用集成电路卡的金融交易系统的安全结构第1部分:卡的生命周期Financial transaction cards-Security architecture of financial transaction systems using integrated circuit cards-Part 1 ,Card Iife cycle GB/T 16790. 1一1997idt ISO 10202-1 ,1991 GB
4、/T 16790的本部分详细规定了金融交易卡中的集成电路(IC)从制造、发行、使用到终止的整个过程中的保护原则。GB/T 16790的本部分适用于为保护生命周期中的1C和集成电路卡(ICC)而负责实施安全程序的任何组织。GB/T 16790的本部分包括了1CC生命周期中的一些特性,这些特性是对磁条银行卡的有关国家标准的补充。其中还包括与1C和1CC的制造、发行、1C的使用以及终止处理有关的组织所采用的安全技术。注1 附录日中列出了这些过程中出现的风险和减少这些风险的方法。附录A中描述了记录于IC中与安全性有关的数据域及安全检查的内容。2 发卡者或应用提供者无论何时涉及到本标准,其各条款均适用于
5、由二者指定的代理.2 引用标准下列标准所包含的条文,通过在本标准中引用而构成为本标准的条文。本标准出版时,所示版本均为有效。所有的标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性nGB/T 2659-1994 世界各国和地区代码。dt1SO 3166 , 1988) GB/T 15694.1-1995识别卡发卡者标识第1部分g编号体系。dt1SO 7812-1 ,1993) GB/T 15694.2-1996识别卡发卡者标识第2部分:申请和注册程序(idt1SO 7812-2 , 1993) 1SO 7813,1990识别卡金融交易卡1SO 9992-2 金融交易卡-一集成电
6、路卡和卡接受设备之间的报文一一第2部分z功能、报文(命令和响应、数据元和结构IS0 10202-3 金融交易卡一使用集成电路卡的金融交易系统的安全结构一一第3部分g密钥关系1SO 10202-6 , 1994 金融交易卡一一使用集成电路卡的金融交易系统的安全结构第6部分:持卡人身份验证国家技术监督局1997-05-26批准1998-03-01实施GB!T 16790.1-1997 3 定义本标准采用下列定义。3. 1 应用数据文件(ADF)Application Data File (ADF) IC中支持一项或多项服务的文件。3- 2 应用提供者application supplier ADF
7、分配后,对其负责的实体。3.3 ADF个人化机构ADF personalizer 为IC中ADF分配的空间初始装载安全性参数和有关操作参数的实体。3- 4 ADF分配ADFalloca tion 对应用提供者后续使用IC空间的安全规定。3- 5 卡接收设备(CAD)Card Accepting Device (CAD) 会话期间,用于与ICC接口的设备。3-6 发卡者card issuer 向持卡人发行金融交易ICC的机构(或其代理)。3.7 持卡人cardholder 被发给金融交易ICC的人。3- 8 公共数据文件(CDF)Common Data File (CDF) 包含了存储在ICC中
8、的公共数据元的强制性文件,用以标识卡、发卡者和持卡人。3.9 嵌入机构embeder 进行IC嵌入工作的实体。3- 10 集成电路(IC)Integrated Circuit 嵌入在ICC中的电子元件,以微电路形式执行处理和存储功能。3- 11 集成电路卡(ICC)Integated Circuit Card 嵌入一个或多个IC的卡。3.12 IC组装机构IC a88embler 进行IC组装的实体。3.13 IC的组装IC assemhling 将一个或多个IC与外部通信元件组装成一个适合于IC嵌入模块的处理过程。3.14 IC组件IC assembly 适合于IC嵌入的、包含一个或多个IC
9、和外部通信元件的模块。3.15 IC的嵌入IC embedding 将IC组件嵌入卡中,使之成为ICC的处理过程。3.16 主帐号(PANlPrimary Account Number(PAN) 一个被指定用以标识发卡者和持卡人的号码。根据ISO7812中的定义,主帐号由发卡者标识号、个人帐户标识和一个附带的校验数字组成。3.17 安全审计踪迹security audit trail 遵循约定的安全规程用来验证正确性和完整性,并可发现在安全性上破坏行为的历史数据和信息。4 安全性的-般原则GB!T 16790的本部分提供标准提到的安全处理程序遵循以下原则:a) ICC的制造、准备、使用和终止应
10、以这样一种方式进行,即损坏ICC的一个实施阶段不应影响ICC的其他实施阶段。GB/T 16790.1-1997 b)发卡者应负责卡的生命周期、CDF以及CDF中数据的分配,并负责ADF的分配,ADF一经分配,应受应用提供者可能是发卡者控制。发卡者或应用提供者可以在安全性原则允许的范围内将职能委托给其代理,c)在一个ADF中存储的数据和(或)对一个ADF进行的操作不应损害其他应用提供者的ADF.d)在ICC的生命周期中,应保存安全审计踪迹记录。5 卡生命周期中的保护本章规定了关于卡生命周期中下列各阶段的最低安全要求gIC和ICC的制造(见5.1)卡的准备(见5.2)卡的个人化CDF的启用应用数据
11、文件(ADF)的准备(见5.3)ADF的分配ADF的个人化ADF的启用卡的使用过程(见5.4)卡的使用ADF的失效CDF的失效CDF的再启用ADF的再启用终止使用(见5.5)ADF的终止CDF的终止密钥的终止这些要求可用于卡的生命周期的管理,并成为ICC的制造厂家、供应商、发卡者和使用者之间形成更详细的商业协议的基础。5.1 IC和ICC的制造制造过程包括:IC半导体设计和软件设计IC制造IC组装IC嵌入在制造过程中,专用数据输入ICC之前,制造程序的安全性应符合发卡者所要求的安全级别。从专用数据(例如专用加密算法或密钥)和(或)其他保密因素与IC结合的阶段开始,就应符合下列安全性要求:a)所
12、有处理过程应在安全的环境下进行,即对数据的存取进行控制并对专用数据进行保密性维护。b)只有通过使用制造密钥才能访问IC的控制区域,制造密钥在ISO10202-3中规定。每个制造阶段之间可以有不同的生产密钥。c)在存储和运输期间,应对IC和ICC进行物理或加密保护。为了安全审计的目的,下列数据应记录在IC中(详细说明见附录AGB/T 16790.1-1997 IC制造商标识符制造商的IC类型标识符嵌入机构/IC组装机构标识符作为制造过程的一部分,应该验证IC的完整性(例如,通过统计抽样检查),以确认它符合协商一致的参考技术规范。5.2 卡的准备卡的准备包括两个步骤g卡的个人化CDF的启用5.2.
13、1 卡的个人化发卡者应负责卡的个人化处理。个人化处理应在适当的密钥(在ISO10202-3中规定)控制下进行,包括公共数据文件(CDF)数据和有关IC密钥的加载。CDF数据至少应包括主帐号(PAN)和终止日期(ED)(在ISO7813中定义ISO 9992-2将规定在此处理过程中要装入的最少数据。为了安全审计的目的,应将卡的个人化机构标识符记录在IC中(见附录A)。如果CDF中的主帐号已在磁条上编码并且(或者)在ICC上压印成凸字,)ltl它们应完全相同。5.2.2 CDF的启用CDF的启用是为持卡人在金融交易中使用ICC进行的一项准备工作。CDF的启用处理由发卡者负责,并在一个安全控制的过程
14、中进行。CDF的启用可以在其个人化处理过程结束时实施,也可以作为后面的一个单独过程进行。CDF的启用应在ICC中标明。为了安全审计的目的,应将CDF的启用机构标识符、启用日期和启用机构的序列号记录在ICC中(详细说明见附录A)o将CDF启用机构标识符与CDF启用机构序列号相结合,可以获得IC的唯一标识。5.3 ADF的准备ADF的准备包括三个步骤gADF的分配ADF的个人化ADF的启用5.3.1 ADF的分配此处理过程应在发卡者的控制下进行,其中包括IC中存储区的分配。为了防止未经授权的ADF的分配,应使用在ISO10202-3中规定的适当的密钥更换密码。5. 3. 2 ADF的个人化应用提供
15、者负责ADF个人化处理过程。为了防止未经授权的个人化处理,应使用在ISO10202-3 中所规定的适当的密钥更换密码。此处理过程包括与ADF相关的密钥和数据的装入。5.3.3 ADF的启用ADF的启用处理是为持卡人在金融交易中使用准备一个ADFo应用提供者负责ADF的启用。ADF的启用应在一个安全控制过程中进行。ADF的启用可以在ADF个人化处理结束时进行,也可以作为后面的一个单独过程进行。在ICC中应标明ADF的启用。仅当CDF在启用或重新启用状态下时,ADF才能被启用。5. 4 卡的使用过程5.4.1 卡的使用ICC只有在个人化后才能发行。只有当CDF在启用或重新启用状态时,IC才能够用于
16、金融交易回GB/T 16790.1-1997 当个人识别号(PIN)与ICC联合使用时,应按照15010202-6中规定的程序对个人识别号(PIN)进行管理。未经应用提供者同意,不得更新ADF的安全参数。为了防止未经授权的修改,应使用在15010202-3中规定的适当的密钥更换密码。5.4.2 ADF的失效ADF的失效应在ICC中标明。只有应用提供者能使ADF失效或定义ADF失效的条件。ADF一旦失效,则其不能再进行任何金融交易。然而,在应用提供者的直接控制下,仍然可以进行ADF的读出或重新启用。为了防止未经授权而使ADF失效,应使用在15010202-3中规定的适当的密钥更换密码。5.4.3
17、 CDF的失效CDF的失效应在ICC中标明囚只有发卡者能够使CDF失效或定义CDF失效的条件。在CDF失效期间.ICC不能再进行任何金融交易。然而,在发卡者直接控制下,仍然可以进行CDF的读出或重新启用。为了防止未经授权而使CDF失效,应使用在I5010202-3中规定的适当的密钥更换密码。5.4.4 CDF的再启用CDF的再启用应在ICC中用激括状态来标明。为了使ICC可以再次用于金融交易,应在发卡者的控制下对CDF进行再启用处理。为了防止未经授权而再启用CDF.应使用在15010202-3中规定的适当的密钥更换密码。5.4.5 ADF的再启用ADF的再启用应在ICC中用激活状态来标明。为了
18、使ADF可以再次用于金融交易,要在应用提供者的控制下进行ADF的再启用处理。为了防止未经授权而再启用ADF.应使用在I5010202-3中规定的适当的密钥更换密码。5.5 终止使用5.5. ADF的终止ADF的终止应在ICC中标明。应用提供者负责ADF的终止。在这种状态下.ADF将永远不能再用于金融交易不能再启用)。应用提供者有责任防止ADF终止。为了防止未经授权而终止ADF.应使用在I5010202-3中规定的适当的密钥更换密码。5.5.2 CDF的终止CDF的终止应在ICC中标明。发卡者负责CDF的终止。在这种状态下.CDF将永远不能再用于金融交易(不能再启用)。发卡者有责任防止CDF的终
19、止。为了防止未经授权而终止CDF.应使用在I5010202-3中规定的适当的密钥更换密码。5.5.3 密钥的终止ADF终止后,所有保留在ADF中的密钥都不应受应用提供者控制。该处理过程不应妨碍对已有的可读信息(在I5010202-3中将对其进行说明)的顺序读出。在CDF终止和IC中的任何残值转移后,所有保留在CDF中的密钥都会脱离发卡者的控制。此处理过程不应妨再以后的对已有的可读CDF信息(在I5010202-3中将对其进行说明)的顺序读出。所有密钥终止后,加密功能不能再次使用。GB/T 16790.1-1997 附录A(标准的附录)安全审计以及与安全性相关数据字段的说明(引用的以下字段将在I
20、SO9992-2中加以规定)IC制造商标识符状态g强制的位置z通用可读区域存取条件:不可更改格式:1个字节内容:制造商标识符与在lSO的注册保持一致目的用唯一的方法标识IC制造商制造商的IC类型标识符状态:强制的位置=通用可读区域存取条件不可更改格式:2个字节内容g制造商的IC类型标识符目的z标识某个特定制造商的每种IC设计和(或)IC生产批量嵌入机构/IC组装机构标识符状态=强制的位置通用可读区域存取条件g不可更改格式:以CCEEA形式存在的5个字节内容:CC-嵌入机构的国家代码,二字母表示,符合GB/T2659-1994的定义。EE-嵌入机构名称,二字母数字表示(应该进行国家级的登记。A为
21、了其他目的而设置的一位字母数字字符。例如,标识IC的组装机构。目的:标i只把IC的组件和塑料卡组合在一起的机构。卡的个人化机构标识符状态z强制的位置:CDF区域存取条件=不可更改格式:1个字节内容:由发卡者确定的卡个人化机构的标识符目的.定义卡的个人化机构CDF启用机构的标识符状态z可选择的位置CDF区域存取条件.不可更改格式g以LLLLLLNNNN形式存在的10位数字内容:LLLLLL如GB/T15694. 1-1995和GB/T15694.2-1996定义的发卡者标识NNNN由发卡者定义的辅助标识GB/T 16790.1-1997 目的z用唯一的方法标识CDF的启用机构CDF启用机构的序列
22、号状态:可选择的位置,CDF区域存取条件a不可更改格式,6位数字内容z由卡的启用机构定义目的z对一个特定的卡启用机构,用唯一的方法标识己启用的CDFoCDF的启用日期状态z可选择的位置,CDF区域存取条件不可更改格式I6位数字内容,YYMMDD目的z定义启用日期附录B(提示的附录)卡的生命周期一一安全/风险短阵串串小风险的方法安全风险IC测试安全环境,存储.运输审计跟踪功能完整性偶然的 故意的 内存完整性偶然的 故意的X X X 其他硬件故障X 窃取X x 欺诈分配 启用 个人化 失效再启用密钥管理 GB!T 16790.1-1997 附录C(提示的附录).嗜文献目录(1) ISO 7816-
23、1 ,1987 识别卡一一带触点的集成电路卡一一第1部分g物理特性(2) ISO 9564-1.1991银行业务-一个人识别号的管理与安全第1部分z个人识别号的保护原理和技术(3) ISO 9992-1 ,1990 金融交易卡一一集成电路卡和卡接受设备之间的报文一一第1部分s概念与结构(4) ISO 9992-21) 金融交易卡一一集成电路卡和卡接受设备之间的报文第2部分.功能、报文(命令和响应)、数据元和结构(5) ISO 10202-2 .1 995 金融交易卡一使用集成电路卡的金融交易系统的安全结构-第2部分s交易处理(6) ISO 10202-3日金融交易卡一一使用集成电路卡的金融交易系统的安全结构一一第3部分g密钥关系(7) ISO 10202-6.1994金融交易卡一一使用集成电路卡的金融交易系统的安全结构第6部分2持卡人身份验证1)将要出版.
