标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
GB/T 21079.1-2022 金融服务 安全加密设备(零售)第1部分:概念、要求和评估方法.pdf6.2SCD的物理安全要求
SCD的设计和构造应符合如下要求:
GB/T 21079.1—2022
设备内组件的任何故障或者在设备规定范围之外使用,不应造成敏感数据的泄露或者无法检 测到敏感数据的修改; 应防止对设备中输人、存储或处理的敏感数据(包括设备软件)进行非授权访问或修改(除物理 渗透的情况); 对于用于伪装目的,进行截取或替换SCD输人输出数据的外部附加设备,应具备较高的检出 概率或识别出非法设备; 常规维护应不允许进人可能危及安全的内部区域; 当SCD的设计允许对内部区域进行访问时(如:用于维护),如果这样的访问会引起安全威胁 并且不能以其他方式预防,则应建立相应机制,使得这些访问会立即引发密钥和其他敏感数据 擦除; 通过设计、构造及配置,防止SCD和其数据输人功能受到监测,使没有任何可行的攻击能够导 致秘密和敏感数据的泄露; 应对抗攻击机制进行保护,以防被修改或被绕过。 注:保护抗攻击机制可能需要通过使用另外的抗攻击机制来实现,如分层防御。
防攻击特征表明攻击已经发生。如果设备依赖防攻击的明显特征来防御替换、渗透或修改攻击和兴房地产和兴嘉苑1#、6#高层住宅施工组织设计, 防御攻击的方式如6.3.2至6.3.4所述。
为防止使用伪造的或者被纂改的设备进行替换,设计设备时应使攻击者无法利用通过商业途径获 得的组件构造出一个可能被误认为真实设备的复制品
为能够检测到对SCD的渗透,设备的设计和构造应确保任何成功的渗透必然会对设备造成物理损 坏或者致使其长时间搬离合法位置,这样的设备在重新进入原来的服务时应能发现其受到渗透,
为能够检测到对SCD的修改,设备的设计和构造应确保任何成功的修改必然会对设备造成物理损 坏或者致使其长时间搬离合法位置,这样的设备在重新进人原来的服务时应能发现其受到修改。
SCD应按如下要求设计并构造:在监测发生之前,对监测设备敏感信息的非经授权附加物应具有 很高的检出概率
抗攻击性提供被动的物理保护以抵御攻击。如果设备依赖于抗攻击性机制抵御渗透、修改、监测或 者替换/移除等攻击,这些设备抵御攻击的方式可参照6.4.2至6.4.5中描述的方式进行。
应通过抗攻击保护SCD不被成功渗透,其被动防护使得SCD在预期环境中无法被渗透
GB/T 21079.12022
抗攻击设备特性应能抵御修改攻击,其设计和构造应符合如下要求: 应通过抗攻击保护SCD不被成功修改,被动防护使在指定环境中对SCD的修改不可行,且不 会导致SCD不可用; 对存储在SCD中的任何密钥或其他敏感数据的未经授权的修改应造成SCD损坏,使SCD无 法操作。
抗攻击设备特性应能抵御监测攻击,其设计和构造应符合如下要求: a)SCD不应泄露敏感信息(如:PIN或密钥),除非: 1)使用适当的合法密钥加密时; 2)以授权的方式(如:PIN邮件程序); b)SCD应屏蔽可能因监测而导致设备中敏感信息泄露的电磁辐射; c) )SCD不应将输人的密码以明文显示; d )如果无法通过适当保护防止设备的部分组件被监测,则该部分设备不应显示、存储、传输或处 理敏感信息
反攻击性提供主动的攻击保护。 如果SCD采用反攻击机制,则通过抗攻击特性,以及可选的反攻击特性和/或防攻击特性确保机制 的完整性。 如果SCD依赖反攻击性机制抵御渗透或修改攻击,则设备抵御攻击的方式可参照6.5.2和6.5.3中 描述的方式进行。
在设计及构造具备反攻击性的设备时,应使设备受到渗透攻击后,立刻自动擦除设备中所有 其他敏感数据和有用的剩余敏感数据。
在设计及构造具备反攻击性的设备时,应使设备可以检测到未经授权的修改,并且立刻自动擦除设 备中所有密钥、其他敏感数据和有用的剩余敏感数据。
6.6SCD的逻辑安全要求
6.6.2每台设备采用唯一密钥
除了支持负载平衡和灾难恢复过程外,为了限制私钥泄露所带来的影响,SCD的私钥对该设备应
GB/T 21079.1—2022
是唯一的(除特殊情况外)。 除了支持负载平衡和灾难恢复过程外(如:HSM和KLD),为了限制密钥泄露所带来的影响,两个 进行信息交互的SCD之间的通讯密钥(除特殊情况外)应是唯一的(例如:HSM到PED或HSM到 HSM)。 根据上述规定,此类设备中的每个PED的密钥应是唯一的(除特殊情况外)。
设备管理应提供一个真实的、未被泄露的设备,在交付时,设备应携带可以让用户确定设备是真实 未泄露的秘密信息(如:密钥或口令)。
6.6.6设备敏感状态
如果SCD可进人敏感状态,即允许使用常规状态下不充许的功能,则这样的转换需要通过一个安 全的操作接口进行双重控制。 如果向敏感状态的转换用到口令或者其他明文数据,则应对这些口令的输人进行保护。 为了使非授权使用敏感功能的风险最小化,对敏感状态的进人应进行一项或多项限制(如:功能调 用次数限制和时间限制)。当这些限制中的某一个首先满足之后,设备就应立即自动地返回它的正常 状态。 反攻击机制的激活不应使SCD进人敏感状态。
6.6.7多重密码关系
当设备中需要维护多重密码关系时(如:一个多收单行的PIN键盘),为避免有意或意外地 正确的密钥集,应对加密敏感数据(如:PIN)的密钥集的选择进行管理。在这种情况下,用于选 集的数据源和路径应受到物理或者逻辑的保护。
6.6.8SCD软件鉴别
GB/T 21079.12022
SCD应包含一种特定的软件鉴别机制,该机制应使得只有经过批准和认证的软件才可以被加载并 安装在SCD中。该机制的实施方法包括为软件生成密码校验值或者对软件进行加密等。管理者或其 代理应根据ISO11568(所有部分)对用于该操作的密钥进行安全管理。
生命周期的每一阶段是设备环境和/或状态改变的结果。不同的SCD可能具有完全不同的生命周 期,设备生命周期状态见图1。
图1设备生命周期状态
本条描述了设备在各生命周期阶段的保护要求。设备在各生命周期阶段的保护方法见7.4。在所 有设备的整个生命周期中,检测和防止设备损坏是必要的。 注:由于一旦保护激活,所有SCD都需要做反攻击性响应,因此可以认为已采取了防止设备损坏的措施。 设备的安全性不应仅依赖于设计细节的保密性。当设计细节的保密性有助于设备的安全性时,设 备整个生命周期的各个阶段都需要防止泄露;当设计细节不需要保密时,各个阶段的一般性保护要求见 7.3.2至7.3.5。
在制造阶段,安全性依赖于制造商的程序和环境。设备的安全性不应仅取决于设计细节的保密性。 设计细节的保密性有助于设备的安全,制造商的程序应防止泄露详细设计文件。 作为制造过程的一部分,一系列密钥可以被安装或生成。在加载或生成该设备的第一个密钥之前, 由该设备本身的特性提供保护,通过物理防护措施使得难以打开该设备或用伪造版本代替设备。 第一个密钥可能包括但不限于固件保护密钥和用于保护初始金融密钥分发的公私钥对,如:ATM 的终端主密钥或POSPED的初始密钥。在加载密钥后,设备将过渡到非活动操作阶段,设备的反攻击 响应机制为密钥提供保护。 制造的设备通过设备特性(即防攻击性、抗攻击性、反攻击性)提供保护。因此,如果设备受损,应清 除制造过程中加载的密钥,使设备无法获取初始金融密钥。 在加载或生成初始密钥之前,某些SCD(如:HSM)设备中不存在密钥,因此只需要检测泄露,不需 防止泄露。如果检测到泄露,只需在密钥载人设备并投人使用前消除泄露的所有影响。
在初始金融密钥加载之前,应保护SCD不被修改。此类保护应结合设备的特性(即防攻击性、抗攻 击性、反攻击性)和设备管理程序。如果设备加载有任何制造商密钥,应能防止泄露和检测到泄露。
GB/T 21079.12022
在后期制造阶段,安全性依赖于7.3.2中所述的设备特性以及在使用金融密钥初始化设备之 备存储和传输的程序。在后制造阶段负责设备的实体为当前所有者,可能是制造商、收单机构或商
7.3.4调试(初始金融密钥加载)阶段
保护由设备的特性(即防攻击性、抗攻击性、反攻击性)和设备管理程序提供,包括主动部署设备之 前对设备的存储和传输。本阶段负责设备的实体为当前设备所有者,可以是收单机构或商家。 在预使用阶段,设备至少包含一个金融密钥。设备的管理方式应能够检测到损坏并防止误用。 在此阶段执行的对SCD的升级可能影响其安全功能,应在双重控制下进行加密验证或执行
设备进入后使用阶段的目的如下: 将设备的所有权转移到其他组织; 修复设备; 销毁设备。 在后使用阶段,存储在SCD中的任何金融密钥都应被删除。 当设备从服务中移除,且不再将设备恢复到组织内的服务时,应对设备进行与使用期间所需的相同 类型的保护,直至其密钥被擦除或销毁。此时,设备可以转移到另一个组织,进人生命周期的后制造 阶段。 如果要销毁某个设备,则应在实际销毁该设备之前清除或销毁该设备的所有密钥,以防止密钥或其 他敏感数据受到损害。
此阶段需要设备管理。 在修复过程中,安全取决于修复者的程序,需要预防和检测设备损坏。 在修复过程开始时,应检查设备是否被修改或替换。 收到SCD后,修复机构应检查SCD,如果有密钥,应清除所有密钥。如无法确认所有密钥已被擦 除,则应物理销毁可能保留密钥或其他敏感数据的设备部件。 如果设备的任何部件被回收用作备件,则应对所有此类部件进行清点,并销毁所有其他部件
作为修复过程的一部分,可能会安装一系列新的密钥。这些密钥包括但不限于制造商的密钥或 SCDPKI密钥 修复后的设备通过设备特性(即防攻击性、抗攻击性、反攻击性)提供保护。因此,如果设备受损,应 清除修复过程中加载的密钥,使设备无法操作。 修复后的设备只有在能够确保该设备没有受到未经授权的物理或功能修改的情况下,才能加载新 密钥。 注:IS011568(所有部分)要求在安全设施中替换明文密钥
此阶段需要设备管理。每台设备在销毁过程中应按序号分别核算。 为了防止设备意外或故意地重新加载密钥并恢复使用或用作假冒替代品,设备的任何物理部件 持物理完整,不应通过零售业渠道转售。 在进人销毁阶段之前,设备内不应保留任何敏感信息。所有金融密钥都应在后使用阶段被删除。
7.4生命周期阶段的保护方法
在设计和生产过程中唐山市海港经济开发区港兴大街、海港大路景观绿化工程施工组织设计,制造者应实施审计和控制流程,使所制造的设备具有且只具有预定的物理特 性和功能特性。任何对设备物理保护机制的未经授权更改,或任何对设备功能的未经授权增减,应具有 很高的防止或检出概率。对使用伪造的设备替换正常设备也应有很高的防止和检出概率。
7.4.3调试(初始金融密钥加载)阶段
这一阶段应进行审计和控制,以防止或检测对设备任何非授权的修改,或用假冒的替代品替现 投备。
GB/T 21079.1—2022
设备管理应提供对设备非授权移除的检测。 如果某个设备进人预使用阶段,并且试图在同一组织中重用该设备,则该设备可连同密钥一并保存 直到重新投人使用,但需要提供与使用阶段相同的保护措施。 如果设备从预使用阶段进人到后使用阶段,则应删除所有金融密钥。
当设备进人后使用阶段时,应清除所有金融密钥。 如果设备由于修复进人后使用阶段,应清除所有密钥。 如果设备被移除之后,不打算重新在同一机构投入使用,则在删除或销毁设备中的金融密钥前,也 应具备与使用阶段相同的保护措施。这样,设备可以转移到另一个组织,进入生命周期的后制造阶段。 如果设备既不转让给另一个所有者也不进行修复,则设备应被物理破坏,使设备无法恢复使用。如 果无法确保设备不会偶然或故意被重装密钥并重新投人使用,或用作伪造的设备来使用,则设备应被物 理破坏。 如果无法清除或毁坏设备中的密钥,则该设备应进人销毁阶段。该设备应被物理破坏,使设备中的 密钥与敏感数据不可能被泄露。
应特别注意维修过程不会导致对设备进行非授权的物理或功能修改, 只有在设备未受非授权的物理或功能修改的情况下,才能将密钥加载到设备中。
应实施审计和控制,以检测和防止设备或设备部件的任何盗窃行为,使其不会意外或故意地重 裁密钥并恢复使用或用作伪造的设备来使用。
在设备生命周期的每个阶段,都应有责任人(个人或群体)对设备负责。责任人应了解并实现 分对SCD不同的生命周期阶段的安全要求。 注:物理设备的管理和设备逻辑安全的管理可由不同组织内的不同的人负责。 参与设备管理各方的职责应由负责整体安全的机构以书面形式进行明确规定GB/T 21561.3-2016标准下载,并准备一份审