GM_T 0072-2019远程移动支付密码应用技术要求.pdf

ICS_35.040L 80GM中华人民共和国密码行业标准GM/T 0072—2019远程移动支付密码应用技术要求Technical requirements for the applyingof cryptography in remote mobile payment2019-07-12发布2019-07-12实施国家密码管理局发布 GM/T 0072—2019目次前言II引言范围规范性引用文件3术语和定义缩略语远程移动支付密码应用模式密码应用安全需求6.1概述6.2数据的机密性6.3数据的完整性6,4身份鉴别6.5抗抵赖性密码安全技术要求7.1概述7.2密码算法使用要求7.3终端侧安全要求7.3.1密码模块安全要求7.3.2密钥管理安全要求7.3.3密码应用安全要求7.4平台侧安全要求7.4.1密码设备安全要求7.4.2密销管理安全要求7.4.3密码应用安全要求7.4.4管理安全要求7.5通信安全要求1 GM/T 0072—20密钥分发密钥分发可以造过人工加载、移动存销介质直接加载、专用密钥传输设备加载、网络分发等多种方式。具体的分发要求如下：a)明文密钥当明文密钥在两个安全密码设备之间传递时，应采用口令等方式进行保护，b)密文密钥已加密密钥的分发需防止密钥第改和密钥替换，7.4,2,4密钥使用密钥需要指定属性，防止密钥被非授权使用或乱用。密钥使用要求：a)密钥只能用于指定应用；b)密钥只能用于指定用途或功能；(当已知密钥被泄露时，应停止使用；d)当怀疑密钥被泄露时，可以主动停止使用。密钥更新密钥管理系统需针对被管系统和被管设备设置密钥更新策略。应能根据密钥更新策略进行密钥的更新，如果更新的密钥是密钥加密密钥或根密钥，所有被该密钥加密的密钥或子密钥都应更换。因密钥更换带来的应用数据转加密，不由密钥管中心负责。密钥更新要求，a）严格按照密钥更新策略进行更新；b）新密钥不可逆向推导出旧密钥；c）不能增加其他密钥的泄露风险。密钥归档当密明超过使用期限，或不再使用，根据密管理策略可以截归档，密钥可以采用下列形式归档：a)已归档的密钥只能用于证明在归档前进行的交易的合法性：b)已归档的密钥不应返同到操作使用中；e)归档密钥不能影响在用的密钥的安全。7,4.2.7密钥备份密钥备份是存储密钥副本，用于恢复原密钥。备份密钥应具有访间控制权限，禁止通过非授权的方式恢复原密钥，密钥备份过程应保证密钥不被漏、替换和等改，密钥恢复恢复的密钥不能以明文方式出现在密码设备外。密钥销毁根据密钥管理策略，可以对密钥进行销毁，要求从各种已用的介质中销毁待销毁密钥。销毁结果要7 GM/T 0072—2019求不可逆，不可从销疑结果申恢复原密钥。7.4.3密码应用安全要求平台侧数据机密性保障要求平台侧数据机密性保障要求适用于终确数据变受理、总体业务数据存储环节，对于在平台侧存在泄密风险的敏感信息数据都应加强其机密性，安全要求：a）平台侧应支持对终端用户的密码（静态密码、短信动态密码）加密信息解密和验证；b）平台侧应使用SSL或其他安全传输协议保证关键操作信息数据的传输安全；c）平台侧应对存储的敏感信息数据进行加密处理，保障敏感信息数据的机密性。平台侧信息完整性保障要求平台侧信息完整性保障要求适用于受理客户登录及所有业务数据过程，平台侧应支持针对终端客户业务操作所产生的关键信息报文（如登录请求、密码修改、转账交易等）采取有效的完整性保障手段，避免关键信息报文被非法筹改，安全要求：平台侧信息完整性保障的方法包指但不限于：支持消息认证码（MAC）、数学签名等验证方法。平台侧身份垂别保障要求平台侧身份鉴别保障要求适用于远程移动支付登录、支付等业务中平台侧受理和验证客户身份，保障客户线上身份的可信度以及登录和支付安全，安全要求：a)平台侧应支持多种身份鉴别方法，常规的方法包括但不限于；静态密码、短信动态密码、数字签1岁岁b)使用SSL或其他安全通讯协议创建终端与平台侧的连接并在退出前一直保持安全连接状态。平台侧抗抵赖保障要求平台侧信息抗抵赖保障要求适用于高风险业务环节，例如转账交易。采取安全措施确保能够对终端客户在这些业务环节中所做的操作、数据具有合法的抗抵赖效力。安全要求：如果采用证书认证方式，平台侧在验证数字签名有效性后应继续验证签名者证书有效性，确保报文原始信息以及其数字签名受理时，签名者证书是合法、有效的。平台侧密码算法要求应选取国产密码算法保障信息数据的安全，密钥算法的要求见7.2。7.4.4管理安全要求管理安全要求，a)应建立安全管理架构，设置专门的信总安全、研发测试、运行维护、风险控制、应急处置等部门或团队，并明确和详细定义相关部门积责b)应建立安全管理制度，包括安全制度、安全规范、安全操作规程和操作手册，以便规范工作流程、明确工作职责、降低安全风