|
EPP产品标准及用途
一、用途
EPP是用于银行设备和类似设备上的一种pinpad。它不是设计成某个独立的设备,而是用于ATM设备中的一个人机界面的一部分。在银行设备上,该EPP担当一个用户界面的部分,并且它还支持银行设备的密码方面的服务。
EPP有如下主要功能有:16键的键盘、8个外部功能键的控制器、密码的安全处理,保证软件的安全执行。主要用途在于密码和其它信息的录入。软件的安全执行也是一个重要用途。
EPP是一种先进的加密键盘,满足新的公共安全需求,采用世界上最先进的专用安全处理芯片,适用于ATM等自助服务设备,以及类似的个人密码输入设备。支持多种加密算法:DES、3DES、RSA,以及MAC计算、多种国际上的流行的PIN Block标准。
EPP安全加密键盘具有极高的安全性能,针对各种侵入的可能,通过特殊的设计,它可感知到恶意拆卸键盘、拆卸加密模块、在PCB和加密模块上钻孔切割、探针刺探等攻击手段,并立即实现自毁,EPP还采取了多种有效的措施可以防止穷举法获取PIN等多种攻击手段。并具有高低温安全检测、电池电量不足警告等特殊处理,以防止敏感信息泄露。
完全支持WOSA/XFS协议规范,并提供完全支持WOSA/XFS协议规范的服务提供商接口(SP)。
二、标准
2.1 键盘标准:
Retail Financial Services Symmetric Key Management ANSI X9.24
Triple Data Encryption Algorithm: Modes of Operation ANSI X9.52
Personal Identification Number (PIN) Management and Security ISO 9564
Banking Key Management (Retail) ISO 11568
Banking-Secure Cryptographic Devices (Retail) ISO 13491
Payment Card Industry approval (PCI approval)
EMV Level 1 and EMV Level 2
XFS 2.0 and 3.0 (Extensions for Financial Services )
2.2 行业标准情况:
采用XFS标准的自助设备成为业界主流(XFS为欧洲标准化委员会对金融行业的跨平台运营标准)
XFS为客户应用实现了一个标准API,并为ATM设备应用实现了一个服务提供商接口(SPI)。目前XFS标准已为更多的业界厂商所接受,不只是ATM生产商,其他的金融终端也按照这个规范运行。越来越多的银行对统一开放标准的具有强烈的需求,并且越来越多的厂商先后开发出类似的基于XFS标准的软件平台,采用XFS标准的自助设备成为业界主流,因此EPP键盘也需符合跨平台的要求。
2.2.1 VISA组织全面增强其安全要求
VISA 增强的安全要求为所有的PIN必须通过实验室评估、PIN 输入设备测试(PED–PIN entrydevices)和TDES 三方面保证联机交易的安全性。VISA 强烈建议其成员按照如下时间完成到TDES 的转移,认定VISA 地区考虑到商业的和调整的要求包括协调TDES 和其他战略的关系采用独立的时间表。
2007 年7 月1 日,所有ATM 需要支持TDES。
2007 年7 月1 日,所有由支持TDES的设备发起的交易从交易接受端到VISA 必须经TDES加密。强烈建议发卡成员使用TDES,但发卡成员可以决定VISA 和发卡行主机之间的加密标准。
2010 年7 月1 日,所有POS的PIN 接受设备必须支持TDES。
2.2.2 EMV迁移计划(磁卡转换为IC卡)
国际EMV迁移的现状目前全球已经实施或计划迁移的国家和地区超过了30个,仅发行国际卡品牌的EMV卡片就近2亿张,布放EMV终端超过200万台。欧洲和亚太区走在全球EMV迁移的前列,其中,欧洲全面启动了迁移计划,2003年底已有50%的卡片符合了EMV标准,2005年VISA和MasterCard在欧洲启动风险转移政策,从2006年开始,所有Visa和MasterCard品牌的IC卡都必须符合EMV标准,银行卡伪卡风险损失将由发卡行、收单行中未实施EMV迁移的一方承担。
亚太区也有10多个国家和地区启动了EMV迁移计划,其中日本、韩国、马来西亚、台湾正在进行全国、全地区性的迁移。2005年,韩国所有银行卡将更换成芯片卡,日本所有银行将实施EMV迁移计划,香港、新加坡、澳大利亚、新西兰已经进行了试点或部分启动了迁移,亚太区的其它国家/地区(包括中国)都在进行EMV迁移评估或准备。目前亚太区EMV卡片发行量和终端布放量都约占总的卡片和终端的5~6%,且每年都以近100%的速度增长。
由于EMV迁移计划亚太地区生效的时间定在2006年,全球范围内统一使用智能IC卡的时限为2008年,对于EPP加密密码键盘也将面临大规模的更新换代,支持EMV标准的进程中。(目前90%为磁卡。)
九思泰达加密键盘安全性能概述
1. 敏感设备保护
九思泰达加密键盘内部安装了加密设备保护装置(核心盒)。此装置将所有与安全相关的元器件(包括存储芯片、运算芯片)等封装起来,使得在不破坏设备的情况下,他人无法使用探测、监听等方式获取用户的安全信息。
2. 自毁机制
九思泰达加密键盘可感知钻孔、拆卸按键、高温、低温、开盖、分离核心盒等恶意攻击。通过在加密键盘内部安装了相应的探测元器件,可以实现感知不同的攻击方式,受到恶意攻击后,加密键盘会立即自毁(包括擦除所有密钥信息),保证了银行及用户信息的安全。
· 主密钥必须从加密键盘输入,输入的主密钥受加密键盘保护,以保证在ATM上除加密键盘之外其它的任何设备及应用都无法获取到主密钥的明文信息。
· 主密钥必须分成两部分,且由两个人分别输入后在加密键盘内异或成主密钥。达到双重控制的目的。
· 主密钥只能生成工作密钥。
通过上述的安全管理方式,解决了目前银行遇到的绝大部分的安全问题,如下:
1、 避免了主密钥以明文方式在ATM机和加密键盘之间传输,保证了主密钥的安全。
2、 主密钥由不同的两个人掌握不同部分,保证主密钥不会由一个人泄露。
3、 因为九思泰达加密键盘已保证了主密钥的安全,而其它工作密钥必须通过主密钥生成,所以也保证了工作密钥的安全。
· PIN Block在加密键盘内部完成加密并一次生成返回。
· PIN Block在应用取得后立即清除
· PIN Block在指定的时间内没有被访问将自动清除。
5. 工作性能
通过采用目前最安全先进的专用安全处理器,并针对相关安全算法做了特殊优化,使得九思泰达加密键盘对512字节做3DES MAC计算的速度小于1秒,其速度远快于目前市场上其它同类产品,同时提供不同密钥的组织方式以及多种PIN BLOCK格式,可以满足银行不同的需求。
|
