标准规范下载简介
GB/T 21079.1-2022 金融服务 安全加密设备(零售)第1部分:概念、要求和评估方法.pdfICS35.240.40
GB/T21079.1—2022 代替GB/T21079.1—2011
金融服务安全加密设备(零售) 第1部分:概念、要求和评估方法
DL/T 384-2020标准下载融服务安全加密设备(零售)
国家市场监督管理总局 发布 国家标准化管理委员会
GB/T 21079.1—2022
范围 规范性引用文件 术语和定义…… 缩略语 ? 安全加密设备概念 设备安全特性要求 设备管理要求 , 附录A(资料性)评估方法· 参考文献
GB/T 21079.1—2022
本文件规定了安全加密设备的概念,以及设备安全特性和设备管理的要求, 本文件适用于零售金融业务中应用的SCD设备的安全管理。 本文件不适用于由SCD拒绝服务所引起的问题。
GB/T 21079.12022
金融服务安全加密设备(零售) 第1部分:概念、要求和评估方法
下列术语和定义适用于本文件。 3.1 认可机构accreditationauthority 负责认可评估机构并监督其工作以确保评估结果可再现的机构。 3.2 经认可的评估机构 accreditedevaluationagency 经认可机构(3.1)根据相应规则认可后:从事评估工作的机构。
设备安全device securit
与特定操作环境(3.27)无关,仅依赖于自身特性的SCD(3.29)的安全性
GB/T 21079.12022
GB/T 21079.1—2022
注:包括通过分析电磁辐射或电源功耗等物理特性执行的侧信道攻击方式。 3B.29 安全加密设备securecryptographicdevice;SCD 能提供一系列安全加密服务和存储并具备物理和逻辑保护功能的硬件设备[如F HSM(3.24)]。 注:这些设备可以集成到一个更大的系统,如ATM或POS终端中。 3.30 安全方案securityscheme 支持设备处于安全状态的配置。 3.31 敏感数据sensitivedata 敏感信息sensitiveinformation 需要防止非授权泄露、更改或被破坏的数据、状态信息和密钥等。 3.32 敏感功能sensitivefunction 设备处于敏感状态(3.33)时可以被访问的功能。 3.33 敏感状态sensitivestate 提供对安全操作员界面进行访问的设备状态。 注:在此状态下,只有在设备处于双重控制(3.17)时才能接受访问。 3.34 发起人sponsor 申请对SCD(3.29)进行评估的实体。 3.35 防攻击性tamperevidentcharacteristic 能提供被攻击(3.10)证据的特性。 3.36 抗攻击性tamperresistantcharacteristic 提供被动的物理保护以抵御攻击(3.10)的特性。 3.37 反攻击性tamperresponsivecharacteristic 针对已检测到的攻击(3.10),主动反应以阻止攻击的特性。
下列缩略语适用于本文件。 ATM:自动柜员机(AutomatedTellerMachine) DUKPT:每次交易唯一密钥(DerivedUniqueKeyPerTransaction) MAC:消息验证码(MessageAuthenticationCode) PED:PIN输人设备(PINEntryDevice) PIN:个人识别码(PersonalIdentificationNumber) PKI:公钥基础设施(PublicKeyInfrastructure) POS.销售点(PointOfSale)
金融零售业务使用密码技术的目的包括: a)敏感数据的真实性和完整性,如:通过MAC交易细节; b)秘密信息的机密性,如:加密用户PIN; c)密钥的机密性、完整性和真实性; d)其他敏感操作的安全性,如:PIN验证。 为实现上述目标,须考虑以下对加密过程安全性的威胁: 一 密钥以及其他敏感数据的非授权使用、泄露或篡改; 一加密服务的非授权使用或修改。 SCD是可提供密码服务、访问控制、密钥存储并具备物理和逻辑保护功能的硬件设备,可用于防止 上述所提到的威胁。本部分的要求只针对SCD本身,不涉及集成SCD的系统。尽管如此,分析SCD 和系统其他部分之间的接口对于防止SCD被攻击具有重要作用。 由于无法实现绝对安全,所以将SCD的安全性简单描述为“防篡改”或者“物理安全”是不准确的。 随着技术的不断发展,安全方案可能受到新技术的攻击。通过付出足够的成本、精力和技能,几乎任何 安全方案都可以被攻破。所以,为安全设备确定一个抵御攻击能力的安全级别是必要的。可接受的安 全级别是在分析了攻击方实施一次成功的攻击所使用的设备、技术和其他成本以及可能从攻击中获得 的利益之后,在设备运行周期内阻止可预见的攻击。 零售支付系统的安全性要考虑到设备的物理安全和逻辑安全、运行环境安全和设备的管理。这些 因素结合起来组成了设备及其应用的安全性。安全性的需求源于对系统应用可能产生的风险评估。 安全特性的要求取决于预期的应用程序、运行环境以及攻击类型。评估设备安全性的最恰当方法 是进行风险评估,根据评估结果决定能否在特定的应用和环境中使用该设备。附录A给出了评估 方法。
SCD主要易受到的攻击包括但不限于: 渗透; 监测; 操控; 修改; 替换。 上述攻击也可能被组合使用。 注:互联网使共享信息的新型攻击者能够广泛而迅速地传播漏洞,并使针对特定SCD设备的攻击得以发展(特别是 POS设备)。这些攻击者花费大量的时间、精力和专业知识开发攻击手段,然后将其打包后出售给其他攻击者。
渗透是一种使用物理穿孔技术或者非授权打开设备以获取其中敏感数据的攻击手 攻击。
GB/T 21079.1—2022
监测是通过分析电磁辐射、差分能量、时间特性和其他侧信道攻击等方式用于发现设备中敏感数 或者通过视觉、听觉或电子方式以监测输人到设备敏感数据的攻击
操控是指未经授权,向设备发送一系列输人信息,改变设备的外部输人(如:电源或时钟信号)或便 受到其他的外界影响,从而泄露设备中的敏感数据或者以非授权的方式获得服务。例如,让设备进 测试模式”,可能泄露敏感数据或者破坏设备的完整性。
修改是指对设备物理特性或者逻辑特性的非授权改变,如:在PIN键盘中的PIN输人点和PIN加 密点之间插人一个泄露PIN的装置。修改的目的是篡改设备而非立即泄露设备中的信息。攻击者为 保证成功攻击,使修改后的设备进人(或保持)运行状态。对设备中密钥的非授权替换是修改攻击的 种形式。
替换是指未经授权的设备替换。用于替换的设备可能是一个外观像原来设备的品,或者是一个 包含原设备的全部或者部分逻辑特性再加上一些未经授权的功能(如:泄露PIN的漏洞)的仿真设备。 用于替换的设备可能是一个合法设备,在经过非授权的修改后,替换另一个合法设备。 移除也是替换的一种,目的是在一个更加适合的环境中进行渗透或修改攻击。替换是修改的一种 特殊情况,攻击者不修改目标设备,而是用修改过的替换设备替换目标设备,
为抵御5.2中描述的攻击场景,结合使用以下三个要素可以为SCD设备提供所需的安全性: 设备特性; 设备管理; 环境。 虽然在一些情况下某个单一要素,如设备特性可能占据主导地位,但一般情况下为达到预期结果, 上面所有的要素都是必需的。
SCD在设计和实施中应考虑到逻辑和物理上的安全性,以抵御5.2中描述的攻击场景。 物理安全特性可以分为以下三类: 防攻击性; 一 抗攻击性; 一反攻击性。 实现设备的物理安全,须结合以上三种特性类型。其他的物理安全特性可用来抵御被动攻击,如: 监测。物理安全特性也可协助抵御修改和替换攻击。 防攻击的目的是提供证明攻击已经发生、可能或已经造成敏感信息的非授权泄露、使用或修改的证 据。可通过物理证据(如:包装的破坏)显示试图进行的攻击。证据也包括设备不在应在的位置。防攻
击的证明表明该设备可能已被渗透或被修改。 抗攻击的目的是通过被动防御措施或逻辑特性来抵御攻击。防御措施的目的通常是单一的,旨在 阻止特定的攻击,如:渗透攻击。逻辑特性的设计通常是为了防止敏感信息的泄露或防止应用系统/应 用软件的非法修改。抗攻击性是一种保护屏障,对其规避可能引发反攻击和防攻击。这里的“攻击”还 包括纯粹的被动攻击,如:电磁辐射监测。 反攻击的目的是对攻击采用主动机制阻止攻击。当激活保护机制时,受保护的信息将被删除或呈 不可用状态。 实现各种安全特性依赖于设计者对已知攻击的认知和经验,因此,攻击通常是针对设计者未能解决 的已知威胁。 攻击者还将尝试发现设计者未知的新攻击。对于SCD安全性的评估困难且存在不确定性,因为评 估通常只能证明此设计针对当前已知的攻击进行了成功防御,而不能评估对未知攻击的抵抗力,
设备管理是指在设备的生命周期和环境(见第7章)中对设备进行的外部控制。这些控制包括: 密钥管理方法; 安全实践; 操作程序。 设备管理的主要目标是在生命周期中设备特性不会受到未经授权的更改,
环境安全的目标是通过控制对SCD及其服务的访问以防止或检测对SCD的攻击。可以根据受控 程度的高低对不同的环境进行分类,其中,高受控的环境需要可信个体持续监测,最低受控环境不包括 任何特殊环境安全措施。如果一个SCD的安全依赖于受控环境的某些功能,则应证明受控环境提供相 应功能。
SCD的设备特性可分为以下两种: 一—物理特性描述了构成SCD的组件特性及组件构造设备的方式; 一逻辑特性描述了设备处理输人并产生输出或变换逻辑状态的方式。 SCD的特性应防止设备或设备接口中任何输人或输出的敏感数据和设备中存储或处理的数据被 泄露(涉及基础密码服务的接口相关要求可参考GB/T36322)。 当SCD在一个受控环境中运行时,对设备特性的要求依赖于由受控环境和设备管理提供的保护。 物理安全设备是一种不能通过有效的渗透等操作来泄露设备中所有或部分的密钥、PIN或其他密 值的硬件设备。 对设备的渗透将导致立即自动删除设备内包含的所有PIN、密钥和其他密值以及所有有用的参数, 即设备具有反攻击性。 只有在能够确保设备内部操作没有被修改的情况下(如:在设备内插人具有主动或被动“窃听”的装 置),设备才能作为物理安全设备运行。
6.2SCD的物理安全要求
SCD的设计和构造应符合如下要求:
GB/T 21079.1—2022
设备内组件的任何故障或者在设备规定范围之外使用,不应造成敏感数据的泄露或者无法检 测到敏感数据的修改; 应防止对设备中输人、存储或处理的敏感数据(包括设备软件)进行非授权访问或修改(除物理 渗透的情况); 对于用于伪装目的,进行截取或替换SCD输人输出数据的外部附加设备,应具备较高的检出 概率或识别出非法设备; 常规维护应不允许进人可能危及安全的内部区域; 当SCD的设计允许对内部区域进行访问时(如:用于维护),如果这样的访问会引起安全威胁 并且不能以其他方式预防,则应建立相应机制,使得这些访问会立即引发密钥和其他敏感数据 擦除; 通过设计、构造及配置,防止SCD和其数据输人功能受到监测,使没有任何可行的攻击能够导 致秘密和敏感数据的泄露; 应对抗攻击机制进行保护,以防被修改或被绕过。 注:保护抗攻击机制可能需要通过使用另外的抗攻击机制来实现,如分层防御。
防攻击特征表明攻击已经发生。如果设备依赖防攻击的明显特征来防御替换、渗透或修改攻击上方港桥施工方案, 防御攻击的方式如6.3.2至6.3.4所述。
为防止使用伪造的或者被纂改的设备进行替换,设计设备时应使攻击者无法利用通过商业途径获 得的组件构造出一个可能被误认为真实设备的复制品
为能够检测到对SCD的渗透,设备的设计和构造应确保任何成功的渗透必然会对设备造成物理损 坏或者致使其长时间搬离合法位置,这样的设备在重新进入原来的服务时应能发现其受到渗透,
为能够检测到对SCD的修改DLT 2123-2020 电站阀门分类导则.pdf,设备的设计和构造应确保任何成功的修改必然会对设备造成物理损 坏或者致使其长时间搬离合法位置,这样的设备在重新进人原来的服务时应能发现其受到修改。
SCD应按如下要求设计并构造:在监测发生之前,对监测设备敏感信息的非经授权附加物应具有 很高的检出概率
抗攻击性提供被动的物理保护以抵御攻击。如果设备依赖于抗攻击性机制抵御渗透、修改、监测或 者替换/移除等攻击,这些设备抵御攻击的方式可参照6.4.2至6.4.5中描述的方式进行。