【国家标准】 金融服务 个人识别码管理与安全 第4部分：核准的PIN加密算法

ICS35.240.40
CCSA11
中华人民共和国国家标准　
GB/T21078.4—2023
金融服务
个人识别码管理与安全
第4部分：核准的PIN加密算法
Financialservices-PersonalldentificationNumber(PIN)managementandsecurityPart4:ApprovedalgorithmsforPiNencipherment[ISO9564-2:2014,Financialservices—PersonalldentificationNumber(PIN)managementandsecurity-Part2:ApprovedalgorithmsforPiNencipherment,MOD]
2023-03-17发布
国家市场监督管理总局
国家标准化管理委员会
2023-03-17实施
GB/T21078.4—2023
1范围
2规范性引用文件
3术语和定义
4三重数据加密算法
4.1定义
4.2使用
5RSA加密算法
5.1定义
5.2使用
6AES加密算法
6.1定义
6.2使用
7SM4分组密码算法
7.1定义
GB/T21078.4—2023
本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。
本文件是GB/T21078的第4部分。GB/T21078已经发布了以下部分：一金融服务个人识别码管理与安全第1部分：基于卡系统的PIN基本原则和要求(GB/T21078.1);
一银行业务个人识别码的管理与安全第3部分：开放网络中PIN处理指南GB/T21078.3)；一金融服务个人识别码管理与安全第4部分：核准的PIN加密算法(GB/T21078.4)。本文件修改采用ISO9564-2:2014《金融服务个人识别码管理与安全第2部分核准的PIN加密算法》。
本文件与ISO9564-2:2014相比做了下述结构调整：一增加了“术语和定义“一章(见第3章)。本文件与ISO9564-2:2014的技术差异及原因如下：更改了规范性引用文件，用GB/T21078.1一2023代替ISO9564-1（见第2章），以适应我国的技术条件：
一增加了SM4分组密码算法（见第7章），以适应国内实际应用情况。本文件做了下列编辑性改动：
一增加了关于算法定义和使用的注释内容，以方便阅读。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国金融标准化技术委员会（SAC/TC180)归口。本文件起草单位：中国银联股份有限公司、北京银联金卡科技有限公司、中国农业银行股份有限公司。
本文件主要起草人赵海、汤洋、袁思思、张彦超、谭亦夫、刘刚、马骏、王鹏。1
GB/T21078.4—2023
个人识别码（PersonalldentificationNumber，PIN）是金融服务中用于持卡人验证的一种方法。GB/T21078旨在规定金融服务中PIN管理与安全的基本原则与要求，拟由三个部分构成。一《金融服务个人识别码管理与安全第1部分：基于卡系统的PIN基本原则和要求》（GB/T21078.1），旨在为有效的PIN管理提供所需要的最低安全措施的基本原则和技术。一《银行业务个人识别码的管理与安全第3部分：开放网络中PIN处理指南》（GB/T21078.3），旨在开放网络环境中定义最小PIN安全准则。一《金融服务个人识别码管理与安全第4部分：核准的PIN加密算法》（GB/T21078.4），旨在定义核准的PIN加密算法及其使用要求。GB/T21078自2007年发布第1部分至今已有十余年，这期间PIN在金融服务中的应用不断深化，对于PIN的管理与安全要求以及相关国际标准也发生了变化：一GB/T21078.1一2007修改采用的ISO9564-1:2002于2011年、2017年两次发布修订版，GB/T21078.1—2007被GB/T21078.1-2023代替；一GB/T21078.2一2011修改采用的ISO9564-3:2003于2011年被合并入ISO9564-1ISO9564-3:2003已被废止，GB/T21078.2—2011被GB/T21078.1—2023代替；一GB/T21078.3一2011等同采用ISO/TR9564-4:2004,以对开放网络环境中的PIN提供安全保护；
一本文件修改采用ISO9564-2:2014，以补充核准的PIN加密算法的空白，适应不断产生的密码算法应用新需求。
本文件在满足国际密码算法应用要求的基础上，结合我国密码算法应用的实际，包括了如下用于加密PIN的核准算法：
一三重数据加密算法；
一RSA加密算法：
一AES加密算法；
一SM4分组密码算法。
1范围
金融服务个人识别码管理与安全第4部分：核准的PIN加密算法
GB/T21078.4—2023
本文件规定了核准的个人识别码（PersonaldentificationNumber,PIN)加密算法及其使用要求。本文件适用于对PIN进行加密保护的场景。2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T21078.1一2023金融服务个人识别码管理与安全第1部分：基于卡系统的PIN基本原则和要求(ISO9564-1:2017.MOD）GB/T32907信息安全技术SM4分组密码算法ISO/IEC10116信息技术安全技术n位分组密码的工作模式（InformationtechnologySecuritytechniquesModesofoperationforn-bitblockcipher)ISO/IEC18033-2信息技术安全技术加密算法第2部分：非对称密码（InformationtechnologySecuritytechniques—Encryptionalgorithms—Part2:Asymmetricciphers)ISO/IEC18033-3信息技术安全技术加密算法第3部分：分组密码（InformationtechnologySecuritytechniquesEncryptionalgorithmsPart3:Blockciphers)3术语和定义
本文件没有需要界定的术语和定义。4三重数据加密算法
4.1定义
三重数据加密算法（TripleDataEncryptionAlgorithm，TDEA）的定义应按照ISO/IEC18033-3所描述的定义。
注：TDEA是对称算法的一种。
4.2使用
当使用ISO/IEC18033-3所定义的、TDEA密钥选项为1或2的TDEA对GB/T21078.1一2023中所述的PIN数据块进行加密时，TDEA应运行在ISO/IEC10116规定的电子密码本（ElectronicCodeBook,ECB)模式下(其中分组大小n为64)。该加密算法仅被批准用于PIN数据块的格式0、1和3。注：PIN数据块格式0的相关内容见GB/T21078.1—2023的10.3.2.格式1的相关内容见GB/T21078.1—2023的1
GB/T21078.4—2023
10.3.3.格式3的相关内容见GB/T21078.1—2023的10.3.5。RSA加密算法
5.1定义
RSA加密算法的定义应按照ISO/IEC18033-2所描迷的定义。注：RSA加密算法是非对称算法的一种。5.2使用下载标准就来标准下载网
使用RSA加密算法对格式2的PIN数据块进行加密时，应按照GB/T21078.1一2023的要求。该加密算法仅被批准用于加密GB/T21078.1一2023规定的提交给集成电路卡（IntegratedCircuitCard,ICC)的脱机PIN。该算法仅被批准用于PIN数据块的格式2。注：PIN数据块格式2的相关内容见GB/T21078.1—2023的10.3.4。SAES加密算法
6.1定义
AES加密算法的定义应按照ISO/IEC18033-3所描述的定义。注：AES加密算法是对称算法的一种。6.2使用
当使用ISO/IEC18033-3所定义的AES加密算法对GB/T21078.1一2023中所述的PIN数据块进行加密时，AES加密算法应运行在ISO/IEC10116规定的ECB模式下（其中分组大小n为128）。该加密算法仅被批准用于PIN数据块的格式4。注：PIN数据块格式4的相关内容见GB/T21078.1—2023的10.4.2。o
SM4分组密码算法
7.1定义
SM4分组密码算法的定义应按照GB/T32907所描述的定义。注：SM4分组密码算法是对称算法的一种。7.2使用
当使用GB/T32907所定义的SM4分组密码算法对GB/T21078.1一2023中所述的PIN数据块进行加密时，SM4分组密码算法应运行在ISO/IEC10116规定的ECB模式下（其中分组大小n为128）。该分组密码算法被批准用于PIN数据块的格式4。注：PIN数据块格式4的相关内容见GB/T21078.1—2023的10.4.22
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。