【电子行业标准(SJ)】 集成电路卡通用规范 第6部分：安全规范

1C:5 35.240.15
备案号：8777—2001
中华人民共和国电子行业标准
SJ/T11232—2001
集成电路卡通用规范
第6部分：安全规范
Gcncral sperifieation for fntegrated circuit cardsPart6:Securityspecificatioe
2001-04-13发布
2001-05-01实施
中华人民共和国信息产业部，发布，1
2引用标准
3定文
4新均诺和等号表示
5志全总体原则
5.1安全位系基本原则
5.2总体安全需求
6下片安全要求
61卡芯片的安会要求..
6.2IC卡损件系统（COS）的安全要求7卡等端的安全
7.1一投要求
7.2安全行取模块的理安全变
7.3安全存取模块的逻轻安全要法81卡发其哦块的生产，运愉安会要求8.1产岳的生产
8.2产品的管理
广而运辆…
密期管理机制
查银芒理基本原曲
密钊管理的基车要求
密钧管理
密钥生成的安全要求…
密饲发行的安全要求
密角更新的全要求
认可的安全笋法
莫法的保率性成助
索会竞法的一般功能要求
选择安全算法的·般要求
安余算法分类
可迷择的安全算法
KoNKk3
本标准号集成电端（IC）十的安金规范。本标准的制定工作，坚持积拨采用园际标准和尽外光避标准的京则，以ISO雾国际组织研制开发的安全就范为基栅，结合国内1C卡产同范实示需要和成功经验，对我困1C女的安全规范作出了具体规定，本标准主要包括以下内容：
1.芯片和卡片安个要求
2、卡终端安全要求：
3，[C卡及其模块的生产运献表全要求：4.密胡管理机制：
5，安个算法，
不标准底信息产处部电子：业标准化究所好口。本标准起草单位：中国电子抗然标准化研究所上海华虹（集团）有限公司。本标准主翌起至人：深洪范、金情、莘雾、蔡怀忠。KNeKk3
中华人民共和国电子行业标准
集成电路卡通用规范
第6部分：安全规范
Genoral speclficatlon forintegrated circuit cardsPart f:Securlly apeclficarion1范围
S.J/T1232—2001
本标准规定了集成电路IC）卡的安全要求：适而于C卡的芯片、卡片、终端，IC卡及其模次的生产运输以及IC上应用系统等领域，对工正虑用中所涉及期的计算试应案统药交全要求，本标准不作规定。2引用标准
下标所包含的条文，调过在本标准中引月而构成为本标准的条文。本标难出版时，所示本购自效：所在标准都会被像订，使用大标准剪各方探计使用下列标准最新战本的可能性
GB/T14916—1994识别物特性（idt1sV7810：1985）GB15843.1一1595信息技术安全技术实伴鉴别第1部分：一股模率(idtIS0/IEc97981:1991)
GB15843.2—1997信息放术安全技术实体整别第2部分：采出对称容率活的机制（id150/IEC9798—2：[994）G比15843.3一：59信息支术安全技术实体监别第3分：用非称签名技术的机制（dS0/EIS9798—3：1990B15851-1995信忘技犬安全技代：带消良恢拍教宇签名方案(idt1S0/TC9796:1997)
GB152一1995信息技术安全装末用快率码算法作举码依验函数的数据整性机带：idt1S0/LEC9797：1994SJT11220200心共成电路卡通州第「部分：卡片本规范S.I:T11221一2000类成电路卡通用新范第2部分：行业间交换用命令，行业间激据及注册号越定
S.1.T11222—200架成凸路卡通H版范第3部分：测试规范TS0EC[6：1993信息效术n位决加密导法范运方法中华人民共和国信忠产业部2001-04-13批准NK
2001-05-01实施
SJ/T11232—2001
[50/1EC10118-—3：1996信息技术安全支卡哈件断数英3部分：专哈什[S0：1166—2:1994退行业非对禁法神切节理第2部分：使用R5A密码体制的议可算法
GSM11.11—19用产识别碳次规范—于打设备：5[M—M）接口3定义
本标催采用下划定义：
3.1柒成电路ICintesraledcircust用丁完成处理和存像功能拍吗“器件。3.2共成电路卡C5integaledinxuilctrd内部时装个或多个焦或电路的1D一1 型下。3.3识别卡
种可识别其持卡仁任发卡方的，卡上载有其原期应用及有关交易所要求箱入的数据.
3.4个人诉别号PINPersonalldentiftcationNumherPV品PersanalIdentificatioaNutrbet的缩写，足一个月于整别电子京付系统中各节认别卡持有者身份的秘密代码。3.5CPU卡
卡力的集成中路包括中大处理器C，可编标只论存怖器正EPROM、隧机存储器RAM以及固化的卡内操作系统OsChipOperaringSyslem），只读存诺器RoM。CL卡柜当于一台没有显示器知链盘的微型计算机。CU卡中整提分为外部读取利内部处理（不允许进行外部读取）两部分，以确卡中激据的安会可获。3.6存谐器
下内的共成巴路龙出操除的可编程只读存能器上PR心M，它仅有致据存储动能，没有数据处理能力。
3.7IC卡读写器
可以对I卡进行数据交易的终端没备。3.8终端
为完成与IC上变易而在交易点实装的设备，包括接上落各、其他部件以放与主机逍信的接口。
终端向心卡发出一条消息，该消息占动一个操生或请求一个成餐。3.10
1C下处完收到的命令品义后，回送给终端的报文：3.11交易
持上者、商广利收单行之闻基丁收、付款方式的商品或服务交换行为。3.12文
出终编向卡或出卡向终端发出的，不产传洽控制字符的宁节串。KE
SJ/T11232—2001
在卡发行前，由卡的发行绍构对[C与进行路式化，并在卡中写入卡的发行信息的过程。
3.14信息案全
保凝信良范保密注、完避性、可用性、「控性、保谱信退在采集、存储、处理、传循的过程中人眩湾，懂致、大控，数不心被比法您用、总：复制，3.15物型安全
为保证信息发全和系统安全叫靠运行匹对设备、改迹，环境，人员整来收的安全措施，
1.16信核
监点的和形式。它是内部设的专：机构脱聘请第者对所质单行和木举的经济法动的息实，合法性和准骑性间门的方法洲行监督龄查的行况：形也抵临资检奇，揭露问题，评价业务挑拘经营状况，对有三问题出决议或处理意见、写探报告等避程，
3.17可竿性
生规忘的册件内和指定的条件下，亲统究成其应致能的能方。3.18数站完整性
鼓粘末受剑非法变更或破坏的性319明文
未经加密的信息。
3. 20密文
已经加密的信息。
数据迫过率码算法传换成缺文本的达税3.22解滤
一个可逆加兜过程的题过程，
3.23密设答
自任究成密码功能（加密、解率、数宇签名：鉴别，认证、害钢节理）的设备。3,24密明
一个用于控划密码翼法的具有变化量物、在保密条件下效人难以预测的参激。3.25钥告理
在应川密冯保障信息女全时，对所有密钥生命周期的全过程产生，存储、分配、使用、度除，归档、销设实范的安全保恋普理。3.26套码鼻法
用于架密或整查、具育护女能力的一组变换题敬构感的选穿款到。3.27对称肇法
对下加击、解密及认证、校双方，采用同群的米码算法3.28非对称京法
完成加和解密使H·对密钥，构成非对称密饲来的害鸿算法。3
3.29认证
SJ/T11232—2001
报文发送双方用下确保数猎完整和提供数据米源确认的过程，3.30数字签名
对报文的解分或企部内容及来源进行确认的数值，一盘用非对称密码算法产生和校验数字签名，在菜些领域，它也可提供认证服务，3.31报文鉴代码
投文发逻与接收双方用了·确认拟文来源和部分或全部报文内齐的一种端码，诚编码是双方商定的计算的绍果。
3.32口令（通行字）
用予鉴别一个用户、-个特定信息或存取方式的一个字或一中符号。3.33软件
与计算机系统的操作有关的计导机程序，过程、抗则以及有关的文件及数据。3.3洲试
由人上或自动方法米执行或评价系统或系统组成前分的过程，以验证它是咨满足规定的需求，或答是测处世年艳精果和真正的结果之间有无差别。3.95核门
两个不同系统的交将部分，例妇，谢种独备之间的接口装掌，两个程序块的接口程序等，
3.36故障
因可非性而引起的电子化系统的硬件、软件、数据速到破坏、更改、显露或系统不能还续正带运行的实性，效降类别：CPL故网：
输入摘出设务故降：
应源及空调故。
4缩蹭语和符号表示
夜用数据文件（Application[ateFile）胶用基术文件（ApplicatronlementaryFie）险H标医符（AptlicatipnIdsntifer）余含报文类别字节（ClassByleaftheConmandMessage）数据加密法（DataEneryptronAlgarithm>数据加密标将（DataEncryptuonStandard）文件控制信息（FileCunirolInfomaton）集成略卡（integraredCireuitCard）女存款慎块（SecureAceessModuie）充值交存取模块（IncremenlSeureAceessModule：消费文全存模块PurchaseSecureAccessModule）报文鉴别码（MessageAuthenlitatiunCode）个人训别号（PertonaldentificationNuuiber）EK
5安全总体原则
SJ/T11232—2001
销售点终瑞(Puintur Sale
5.1安全体系基本原则
）应有求整个信息系统的跪弱性的朗范，包常良将传，存随和运作选择中的随弱性。这些跪弱性能米自各冲麻质风险，如胃然的或人灯的错误，转便作故萨、为然共害利非法的或求经授权的入友行火丽造成的成助b）应能防止环境条性的变化对系统带来的减献，如收治或经济的犯罪，利益冲宠白然炎害，设备或设施望受破坏，环境恶化或意外的拥失等c）应防止敌对势力或恶意的入控、破环成政击对系统带来的威册。d）应建立和全必恶的管理机例、一个信息系统是否能达到安全可瓶的日的，与这个系统烂书有一套完整的管理机制密切相关，e）应民有对柜应的法律，法观和头行国家书政策和规两的侯魔措施。f）应县有对安全建设州实施方案的完等难度以及H常运行营理等方证送行核产和计估的要求。
为了保证IC卡工程的建段、实施和运许始终处于一个安全可靠的状态下，必须按上述妥求，从法律保障（立法）、行政管耳知技大措施这二个方而进行综合考。：5.2总体安全需求
5.2.1信良设备的安全需求
主要是指1心工程中所有的信息设的安全需求。）对所有的入网设备部必须依照回家有关的法规，政英和安全标准或规范选任配，
b）对网络应有严格的管理制度，要从组织和行政上采取保密指强，如建立各级人员严格的上机制度，涉及不等级的机击信忌时应有相应的保客提施，要』电信管理部门儿同制定确保数据安全的既竞制度。以技术主应具有为实保证数据违官网在交换时能分消责任的机制。www.bzxz.net
C）对控视用户进网出网要有详的记求日志，网络应有识系非法用户的能月，能在蚊短的时叫内识别非汰同户，严防非法户入侵，并要有完整的记录以备查询，d）应民有远粒监控或监规功能，即要能证对监控、记录网络三各用户终端所处的状态收使而网络的情况。
）应片有撼御计算机“病毒”的能力，如取预防，诊析、满除祖结合的原则、再加以严格管押，规章制度的制约，使其能达到晚要本身能防感染，文要磅不会估损敢
）对数据，特别是求些非常重要的数提，应求用镜象存储和异地备份，便其且受到破坏或损坏，就可能得到最快的该复，）应具行抵御各种人为的或自然炎害的能力，这些炎害可能包招：火灾、风最（女台风、龙卷风、暴风罩等）、地震、供中断、洪水泛激、管道塌秘、软/使件山错、网给中断，共至现政洽阴课频乱必恐相活动浮。h）网点中时机A：网络终编、自动柜负机（AIM）、书终端（POS）等设备部s-
成段要在安争的环境中。
S-J/T 11232—2001
）应且有不断充实和究善加老软/径性设施的能力，有关密码设备（如密机）的配置、采购或自行研制、生产和使讯，部应遵循国家有关保案规定或相成的法点剂政策的规定进行。
j）必额严格执行和避精国家有关标准规范的要求配登备（对暂时还没存相成因家标准的，可遵循国际标准，或适应我国国情的其他地区或光进国家的标准），严禁非标准设备或伙步设备和数情入列。5.2.2信息传输、存站中的案全与你新求I卡虚用系统中的息安会与保离，欧了成避循一所说的信息需求（如可用性、实周性、真实性、充整性、保密性、占有性，必须作为信息安全的固有部分）外，还应根据工程自己的特点研究其信息安全。其安全需求可有如下内穿：）用户端上机操作人页变有严格的密码管理制度，对非法或非投极人员上机以及伪下的使用要有良好的安全与保密造施，必领做到在使币上的安全与保密。b）有荒T程中涉及的各项挡案，穿料、教件、数据，都必须按保密规定存放，光关或末授权人员慢不期涉放。
心）对运行系统和习发案统要严格地区分开。套与工程开发的人员应严格避守国家的保密规定，禁止以任何方式刘外泄密，d）系统完传愉或存储的敏惑数据要象文它主地进行东密，东署方法应尽录地采用国际上行之有效的方法，必要时以制定白己的策略。e）应建立套制管理卡心，严格管理密铝的生成、分配、登记、销毁以收有关审计取除的贵专等
5.2.3业务运作中的安全需求
要求从卡的个人化设计、生产制造、运送到发卡部们、卡的发放，使压、服务，到安卡，还期下，伪卡的同收，锻等全过提的安当管理，当然还应包抵有关边章，述驰罪行必的您支等。济运作安全步求如一：a！在设计附度要处拒好支本币求，对卡片上的信息全要采取必要的年渐技求，密钥管机剖和些制机制，新终端没备筱此之间要有相五控权、确认和签名芸，5）作牛产制造阶段：要想锯技大没订要求，在一个安全的环境户牛产制作，c）在发行阶段：要有良好的和范对安全拍适劲环境利防范招施：要根据的应用和业务范册，交付户时与用签约等。）在下的使用和服务阶段：要有相范管理规章，变有对上丢失、被资以及对们产的试破穿防范措施：还有对信息管理的安全帮施和现章等。e）在专的厂改价段：要有且体的划单划考，处理好回收的过期卡，上用户的解约卡，用户的损坏卡以及不合法的伪专，包括对它们的存放直最终销缴。要使用在芯片内写入芯片提嵌机构，JC卡造机构，法卡机构和应用服好标识符（AI）的专，以保证ICF片安全使用，5.2.4组织管适安全需求
a）对组织管所米说，计更机信息系统的使用单位应建之键全的安全节押制度，负市术单位计机信息系统的安全保扩1作，- 6 -
SJ/T11232—20D1
b）严密的组织管理应避循最基本的三系原期，即多人负贡制原则，在期有影制原则和联贡分高制原则。
心）结合IC下应用工程信息系统的交全面求，首先要建立上层营理机构，即题有完普的、层次明确的安全昏理组织利整套的规章制度；其改要强化安全监和法律责任。日卡片安全要求
6.1C卡芯片的支全要求
芯片的必须能够保证在物理上限制对其内部存端的数感数的存取与窃取，以及对芯片的非投权使用别静改
IC卡芯片的构造必频满足下列要求：）只有道过特别的工具及方法、才能剂芯片的硬件战状件进行增加、替换或修效：b）工何对敏感数据的谢问或修收，只有通过对芯片的合法换作不能逆到）芯的仟何部分的损坏或失效部不会导致敏感数据的泄露。6.2IC卡操作系统（CUS）的安全要求心卡朗作系统村CPU卡中的数据进行宽全控制及节理，称为安全管理。它具体分为三种出能：一是安全传辅动能，二是对内部安全数据的控制贫理，三是安全认证手投。
a）在卡与外界进行数据传输时，为防止教据在传输的过将中费截缺或算改前可能，安全苣理提供线路保护功能，土要还过以下两种方式实现：一对传输的效据进行加密，数据以密文方式传输。对传输的数据加资全报文MAC码，收方兰先对传输的数据进行MAC码校验，以此来确认数据在传输过程中的完整性方对发送方进行认证。6》内部安全数据的控制普理气括对户中文件访问权限的控均和密相的管理两方雨安全管强对丁内部为丁安全认证和数据妇密的各种密钥实行安全控制，一旦密销在卡中建立，只有在授权的情况下，才允诈内部使出，并不可楼出，）案全认证手段
通过安全认证手段的使用，可以确认应用系统与[上双力的合法性及确认持卡人的合法性。
6.2.1应用共存
为了独地管理一张专上不可应用同的安全间愿，每“个应月应该放在一个单获的应用款据文作ADF中，办即在用之同克该设计一道“房火城”，以防止聘过应用进行非法访问，另外，每一个成用也不成该与个人化要求科中共存的其他应用规则发生冲案，
0.2.2击钥的独立性
）用于一种持定功能（妇：扣款）的密/解龄密钥不能被任何其他功能所使用，包保存在IC卡中的案伪和用米产生、派牛，传输这些密钥的密钥。b）如果应月要求代用宏全存取模块SAM，其对终端，发F方和私有SAM的交会变求话象完JC下应用观范中的有关规定，TKNe KA3
6.2.3钥和个人码的存放
SJ/Y11232—2001
）应能够保证于加率算法的法识，没个接较的情说下，不会被泄竭出来。b）如果便用个人密码，则应保证其在C卡中的资个存放，H在年价情品都不会满露：
6.2.4安全报支传送
安全报文传送保证了数据的完整性、对发送方的认证和安全性，数据的安全性通过对款据域的加密来得到保证。款措完整性和对发送方的认证证过信用MA心米实现6.2.4.1安全报文传送方式
二种安全报文传送方式：
a）安全性保护（对传输的数据进行如密：b）性保护（对传输的数据附加4字节MAC码：）安全性和完整性保护（对传输的数据进行如密后再附加4字节MAC码），6.2.4.2安全报文专送路式
安全报文传送落式符SJT11221的规定，当CL.A字节的第2个半享节等丁十穴进制数字“4\时，表明对发送方命专数据要采用安全报文传送。卡中的FCI衰明某个命争教诸激的数增是否需要加密传赖，是香应该以加约方式处理。6.2.4.3报文完整性和验证
MAC是使用命今的所有元录（包括命专义）产生的。“条命令的完整性，包括命含数据段（如集有）中的数据元，还过安全报文传送得以保证。a）MAC的你置
MAC是食含数据域中最后…个数据元。b.）MAC的k度
MAC的K度规定为4个字节。
c）MAC密钥的产生
在安全信意处理过程中用到MAC过程密钥。MACDEA出钥的原始密朗用于产性MAC过翟密钥。
6. 2. 5数据的可恢克性
2）CPU卡应能保证在整个应用期间内的数增的完整性。离要在每次更新数据前对数据进行备份，并且连重新东电后白动地触发恢点机制。b）存储卡的数据可恢复性应导机具的防拥裁功能统一考虑。7卡终端的安全要求
终端机的效据存储，处理都必频有安金性要求，在每一个然端机中部案全存取块块（SAM），它用下存取离钥并负雷进行安全加率。SAM的类型侬赖于终端机的全易类型，如i丁支持消费交品的SAM称为PSAM，用于支持充值交易的SAM称为ISAM对丁SAM的具体安全实现不国于终端机范围，7.1一般变求
终端机一股在在两钟类的数据：）通用数据：包括时间、终站识别号以及然端机存估的交易记总等数提，外界- 8 -
SJ/T1:2322001
以对这些数据进行请，汇不分许进行大权的候证h）敏感据：包括登钥，产川内的梦散（如PSAM你训号，钙案引），在未投权的举况下，外界不允许对这典数据进行访间和修改。7.1.1通出据安全要求
通州数操一般存问在终端机的存储器中，7.1.1.T在更新参数和安新的应用程序所，终端机必须做到：）验证更新方的身份：对于应用样牢重新一载，只允许终端机制造厂商，繁端机所有者或者有授权的募三方执行。5）梭验下教数据的完整性，同时保证上送激据的究链性。心！能识别操作者的身份，
对存适器要求必须做到：无论在计么情况，终靠机户的数据都不会殖总改变和丢次，并误证数据有效，
7.1.1.2独议终端录有以下功能：a）贝疗足够的储实间存储交最记录、黑名单等教，b）有检奇卡合法性的均能。
c）所台与交易相关的激据均以记录的形式任储在密端的存请器中，然端必须保证这些数据的完接性、安全挂。
）其有审计功能。
）应考造实现防插拨机制和批旦激据文换的功能。）应耳有电源保护功能。
7.1.2拨数增案全要求
）安全有取模块是种能够提供必恶的安全机制以防山外界对终端所帖存或处理约数据逆行作法改击的便件血密模块，b）女全存取模块主要负资利处理所有的救感数据，这些数据包括消费钥或专输密期等，对于女会模块的硬仆形式在本视范中不作具体要求：心）在正常的操作印境下，对妄全有取模块必累要求：出入损的、以及其内部存放和工生处理的数据不会由模块口身或其接口成任何泄路和政变，7.2安全存取模块的物理安全要求实全存模读的理将设计必须能够保证在衔理上泌制对其内部存储的敏感赖的存取与疗取，以及对安全存取模快的非授权使用和修改。一旦安全存收模块受到非法的基改及收击，其日身必须能立比光成对内部做感数据的有效保护，要实免这些月标，安全存联模块应具有防窃、查锁等相虚机制，安全存取模块的构逆必须满是下列要求，a？只有通过特别的工且或用严重破坏的方法，才能对模块的硬件或软件的功能进行率好、管换或格改：
b）任何对敏够数据的访问或替收，只有通过对模块的接触才能达到：）安全存敢模块的任何部分的损坏或大效都不会导敏每感数据的泄离：d如果安会存取模块是由多个分离的部分组会而成，前处理的效据义必须仁这些部件之间传递，服么各部件源保均相同的安全级K
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。