Q/CUP
中国银联股份有限公司企业标准
Q/CUP 060—2013
银联卡数据传输控制安全规范
Specification on Data Transfer Control Security
2013 - 11 - 07发布 国版权银所联 有 中2013 - 11 - 07实施
中国银联股份有限公司 发布
Q/CUP 060—2013 目 次
1 范围 .............................................................................. 1
2 规范性引用文件 .................................................................... 1
3 术语 .............................................................................. 1
4 通信安全一般原则 .................................................................. 2
5 通信控制安全要求 .................................................................. 3
5.1 有线网络 ...................................................................... 3
5.1.1 专线 ...................................................................... 3
5.1.2 虚拟专用网 ................................................................ 4
5.1.2.1 MPLS Over Internet ...................................................... 4
5.1.2.2 IPSEC VPN ............................................................... 4
5.1.2.3 SSL VPN ................................................................. 4
5.1.3 本地局域网 ................................................................ 5
5.1.3.1 结构安全 ................................................................ 5
5.1.3.2 边界完整性检查 .......................................................... 5
5.1.3.3 入侵防范 ................................................................ 5
5.1.3.4 恶意代码防范 ............................................................ 5
5.2 无线网络 ...................................................................... 5
5.2.1 无线广域网 ................................................................ 5
5.2.2 Wifi ...................................................................... 6
5.2.3 蓝牙 ...................................................................... 6
5.2.4 NFC ....................................................................... 7
参考文献 ............................................................................. 8
国版权银所联 有 4.1 传输数据的机密性 .............................................................. 2 4.2 传输数据的完整性 .............................................................. 3 4.3 传输数据的抗抵赖 .............................................................. 3 中
I
Q/CUP 060—2013 前 言
Q/CUP 060 《银联卡数据传输安全规范》由中国银联股份有限公司提出。
本部分由中国银联股份有限公司技术管理部组织制定。
本部分主要起草单位:中国银联股份有限公司,中钞格尔智能卡科技(上海)有限公司,中钞信用卡产业发展有限公司北京智能卡技术研究院,中国金融认证中心,银行卡检测中心,福建联迪商用设备有限公司,卫士通信息产业股份有限公司,上海交通大学,安永咨询上海有限公司。
本部分主要起草人:王晓芸,徐燕军,徐志忠,赵海,陈芳,周皓,汤洋,章明,周明,李澜涛,林宗芳,张一锋,丁吉,吴素梅,熊帅,孙逊,王建新,倪国荣,刘百涛,王亚军,方鸣睿,朱汉乐,高轶峰。
本部分为首次发布。
国
版权银所联 有 中
I
Q/CUP 060—2013 引 言
Q/CUP 060 《银联卡数据传输控制安全规范》描述了银联卡支付业务相关的数据传输控制安全要求,提出了数据传输安全一般原则,并对各类数据传输技术提出了具体控制安全要求。
本规范描述了中国银联支付业务使用数据传输技术应采用的最低安全控制要求,主要内容包括: 第1部分:通信安全一般原则,规定了保证通讯双方数据的机密性要求、发送报文中的关键要素完第2部分:有线网络具体传输技术控制要求,规定了专线(主要有ADSL、SDH、帧中继、DDN、ATM 、电话拨号)、基于标记交换的专网、虚拟专用网(MPLS虚拟专用网、IPSEC虚拟专用网、SSL虚拟专用网),以及本地局域网的传输安全控制要求。
蓝牙以及NFC技术传输安全控制要求。
第3部分:无线网络具体传输技术控制要求,规定了无线广域网(2G/3G/4G移动通信网络)、Wi-Fi、
国
版权银所联 有 整性保护要求以及对关键业务流程提供抗抵赖服务的要求。 中
II
Q/CUP 060—2013 银联卡数据传输控制安全规范
1 范围
提出了数据传输安全一般原则,并对各类数本规范主要描述支持银联卡交易的数据传输安全要求,
据传输技术提出了具体控制安全要求。
本规范适用于支持银联卡支付业务的数据传输方式。本规范的使用对象是中国银联以及直接接入中国银联网络的合作机构。
2 规范性引用文件
3 术语
3.1
WPA/WPA2
Wi-Fi保护接入版本1和版本2。
3.2
机密性 Confidentiality
机密性是信息对未授权个人、实体或进程不予提供或不予泄露的特性。
3.3
抗抵赖 Nonrepudiation
证明某一动作或事件已经发生的能力,以使事后不能否认这一动作或事件。
3.4
完整性 Integrity
1 中下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 27929-2011 银行业务 采用对称加密技术进行报文鉴别的要求 GB/T 17903.1-2008 信息技术 安全技术 抗抵赖 第1部分:概述 GB/T 17903.2-2008 信息技术 安全技术 抗抵赖 第2部分第2部分:采用对称技术的机制 GB/T 17903.3-2008 信息技术 安全技术 抗抵赖 第3部分:采用非对称技术的机制 GB/T 18794.4-2003 信息技术 开放系统互连 开放系统安全框架 第4部分:抗抵赖框架 GB/T 18794.5-2003 信息技术 开放系统互连 开放系统安全框架 第5部分:机密性框架 GB/T 18794.6-2003 信息技术 开放系统互连 开放系统安全框架 第6部分:完整性框架 Q/CUP 058-2013 银联卡密码算法使用与密钥管理规范 Q/CUP 062-2013 第三方机构入网技术安全规范及管理办法 国版权银所联 有
Q/CUP 060—2013
数据没有遭受以未授权方式所作的更改或破坏的特性。
3.5
帧中继 Frame Relay
连接计算及系统的面向分组的通信方法
4 符号和缩略语
下列符号和缩略语适用于本文件。
ADSL 非对称数字用户线路(Asymmetrical Digital Subscriber Loop)
APN 接入点名称(Access Point Name)
ATM 异步传输模式(Automatic Teller Machine)
BT 蓝牙无线技术(Bluetooth)
CDMA 码分多址无线通信技术(Code Division Multiple Access)
DDN 数字数据网(Data Digital Network)
GPRS 通用分组无线服务技术(General Packet Radio Service)
IPSEC IP安全架构(IP Security)
LLCP 逻辑链路控制协议(Logical Link Control Protocol) MPLS 多协议标签交换(Multiple Protocol Label Switch)
NFC
PAN
VPN
SSL
Wi-Fi
5 通信安全一般原则
5.1 传输数据的机密性
在银联卡支付业务的数据传输中,应保证通讯双方数据的机密性。数据机密性保护的要求包含: ——应采用数据加密方式对数据进行机密性保护;
——应采用具有足够强度的算法和足够长度的密钥进行密码运算;
——对敏感数据的加密方式应采用会话密钥机制,交易报文的加密算法、密钥管理、密钥生命周期
管理应符合Q/CUP 058-2013《银联卡密码算法使用与密钥管理规范》的相关要求;
——应定时重新协商会话密钥;
5.2 传输数据的完整性
在银联卡支付业务的数据传输中,应对发送报文中的关键要素作完整性保护,数据完整性保护的要求包含:
——应采用MAC或数字签名方式对数据进行完整性保护;
——应采用具有足够强度的算法和足够长度的密钥进行密码运算;
2 中PIN POS 国版权银所联 有 近场通信技术(Near Field Communication) 个人局域网(Personal Area Network) 个人识别码(Personal Identification Code) 销售点终端(Point of Sale) 虚拟专用网络(Virtual Private Network) 安全套接层(Secure Socket Level) 无线保真通信技术
Q/CUP 060—2013
——通过MAC方式保护数据完整性应采用会话密钥机制,做到一次一密,进行MAC运算的算法、密
钥管理、密钥生命周期管理应符合Q/CUP 058-2013《银联卡密码算法使用与密钥管理规范》的相关要求;
——应定时重新协商会话密钥;
5.3 传输数据的抗抵赖
在银联卡支付业务的数据传输中,应对关键业务流程提供抗抵赖服务,数据抗抵赖服务的要求包含: ——应采用安全信封或数字签名方式提供抗抵赖服务;
——抗抵赖交换的实体应信任可信第三方(TTP)。
——应采用具有足够强度的算法和足够长度的密钥进行密码运算;
——抗抵赖服务所使用的算法、密钥管理、密钥生命周期管理应符合Q/CUP 058-2013《银联卡密
码算法使用与密钥管理规范》的相关要求;
——应该根据具体的抗抵赖机制和特定应用要求制定安全策略,可以由一组可信第三方完成不同的
职责、如公证人、时间标记、监控、证书、签名生成、安全信封生成、安全信封验证、权标生成或交互等职责。一个可信第三方可完成一个或多个上述职责。
6 通信控制安全要求
6.1 有线网络
6.1.1 专线
推荐使用接入方式:专线(主要有ADSL、SDH、帧中继、DDN、ATM 、电话拨号等)、基于专网的MPLS。 应配置网络安全设备,如网络防火墙,配置防病毒设备。
应建立对路由配置和防火墙策略的批准、测试和变更的正式流程,路由配置和防火墙策略在每次变更后须及时归档。
链路带宽应满足高峰期业务流量需要,应采取技术手段对网络负载进行监控。应设置QoS,保证关键业务流量。
关键链路应具备冗余备份,备份线路和主线应选自不同的运营商。
对网络设备的管理权限、途径应进行严格限定。
应具备机房管理规定。防止非授权人员进入机房,接触网络设备。定期对网络设备和安全设备的策略进行检查,对事件日志、告警事件进行分析和处理。
机房建设应符合国家规定,应注意保证供电安全、防盗、防水、防火、防尘、防静电、防雷击、防电磁辐射、空气调节等。
6.1.2 虚拟专用网
6.1.2.1 MPLS Over Internet
应选择有资质且技术能力强的通信运营商,并与通信运营商签署服务等级协议,数据可用性作为服务要求之一。
应在企业内网入口布放防火墙,对从VPN来的报文进行访问控制。
应采用IPSEC、SSL Over MPLS方案,自行建立IPSEC、SSL隧道来保证传输数据的机密性和完整性。 为降低因特网接入带来的网络安全风险,应在双方设立逻辑独立的因特网接入功能区,设立DMZ区域实现应用落地。
3 国版权银所联 有 中
Q/CUP 060—2013
6.1.2.2 IPSEC VPN
推荐选择硬件实现VPN网关。
应选择VPN客户端硬件方式接入,避免选择VPN客户端软件接入。
应选择提供VPN客户端访问控制的产品。
应选择支持128位以上密钥加密的产品。
应选择提供使用双因素验证方式进行用户身份认证的产品,如增加动态口令验证方式。
应选择提供客户端安装防火墙和防病毒软件检查的产品。应选择提供客户端访问统计和审计功能的产品。
应严格限制具有VPN管理权限的用户,记录增加、修改和删除VPN合法用户的操作,定期查阅相关记录。
应建立口令策略,对口令进行控制,设定口令最短长度,最小复杂度,要求口令定期更换。 应采用双因素方式验证用户身份;对令牌、证书等验证方式设定令牌、证书的更新周期。
应对VPN客户端按照“最小权限”的原则进行严格访问控制,对VPN客户端的权限进行定期审查。 VPN产品如果不能实现访问控制能力,建议在VPN网关后串联防火墙进行访问控制。
应定期查阅统计和审计事件记录,查阅是否有违规和不安全事件发生。
VPN客户端要求安装个人防火墙和防病毒软件。
VPN客户端一段时间不用后,须断开VPN连接,最好同时断开Internet连接。与VPN厂商保持紧密联系或购买维护服务,及时升级安全补丁。
6.1.2.3 SSL VPN
应选择硬件实现VPN网关。
应选择支持128位以上密钥加密的产品。
应选择提供使用双因素验证方式进行用户身份认证的产品,如增加动态口令验证方式。 应选择提供客户端是否安装防火墙和防病毒软件检查的产品。
应选择选择提供客户端访问统计和审计功能的产品。
应选择提供客户端数据保护功能的产品。
应严格限制具有VPN管理权限的用户,记录增加、修改和删除VPN合法用户的操作,定期查阅相关记录。
应建立口令策略,对口令进行控制,设定口令最短长度,最小复杂度,要求口令定期更换。采用双因素方式验证用户身份;对令牌,证书等验证方式设定令牌,证书的更新周期。
应对VPN客户端按照“最小权限”的原则进行严格访问控制,对VPN客户端的权限进行定期审查。 应定期查阅统计和审计事件记录,查阅是否有违规和不安全事件发生。
VPN客户端要求安装个人防火墙和防病毒软件。
VPN客户端一段时间不用后,必须断开VPN连接,最好同时断开Internet连接。
与VPN厂商保持紧密联系或购买维护服务,及时升级安全补丁。
6.1.3 本地局域网
6.1.3.1 结构安全
应进行内外网隔离,处理银联卡交易信息的网络应与其他业务网络隔离。
应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段。
应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。
4 国版权银所联 有 中
Q/CUP 060—2013
应保证网络各个部分的带宽满足业务高峰期需要。
应绘制与当前运行情况相符的网络拓扑结构图。
应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
6.1.3.2 边界完整性检查
应能够对非授权设备私自联到内部网络以及内部网络私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
6.1.3.3 入侵防范
应在网络边界处设置入侵检测(防御)设备,监视可能的攻击行为,记录入侵事件的发生,并报警正在发生的入侵事件。
定期或在网络发生重大变更后,对安全控制措施、网络连接和限制措施进行渗透性测试或漏洞扫描,对网络及网络安全设备系统设置、补丁配置和已知的漏洞进行检查。
应对互联网接入本单位网络进行严格审批,如业务需要必须接入,需在互联网入口处设置防火墙和入侵检测(防御)等安全设备。
6.1.3.4 恶意代码防范
6.2 无线网络
6.2.1 无线广域网
移动广域网,指通过2G/3G/4G移动通信技术基础上建立起的网络,这种网络容易被攻击者利用无线协议的漏洞,布网的缺陷或者错误配置窃取敏感信息,因此使用2G/3G/4G网络通讯时,网络布局及终端使用应该遵循如下原则:
1)终端在联网过程中所必须的参数,APN、用户名、密码等信息必须进行安全存储,设置修改权限,防止非法修改,尽可能避免使用终端预设值;
2)无线通信应尽量建立在虚拟专用网环境下,避免直接接入广域网,如果必须直接接入广域网,那么必须采用安全的通信协议,如SSL/TLS,IPSEC等;
3)虚拟专用网络环境建立后,需要定期的对系统环境进行内部和外部漏洞扫描,防止敏感数据信息的泄漏,防止存在不受信任的网络连接;
4)除了通信链路尽量建立在安全隧道(SSL VPN、IPSEC VPN)下,同时要求在应用过程中对敏感信息进行有效的数据加密及安全存储操作,加密、存储方案应满足银联已认可的方案;
5)需要提供有效的安全使用指南,要求用户具备相应的安全知识,避免敏感重要信息的泄漏。
6.2.2 Wi-Fi
Wi-Fi是一种短距离传输技术,能够方便的将个人电脑、手持设备(如Pad、手机)等终端以无线
5 中应在网络边界处对恶意代码进行检测和清除。 应维护恶意代码库的升级和检测系统的更新。 应及时进行网络及网络安全设备的补丁安装和版本升级,及时更新入侵检测(防御)系统的防护知识库。 国版权银所联 有
Q/CUP 060—2013
方式互相连接,Wi-Fi网络如果不使用安全的配置和通信方法,容易遭受AP欺骗、数据窃听、中间人等攻击,所以为保护Wi-Fi通信的安全,必须采取下列措施:
1)宜使用WPA2认证,这种方式使用了更强壮的加密技术,可有效防止窃听及网络注入;
2)尽可能使用802.1X扩展认证协议,通过交互认证的方式,防止伪装及中间人攻击,并且提供了基于用户的认证及完整性检测;
3)如果不支持WPA2,那么选择WPA,并考虑在此之上搭建VPN网络;
4)尽量不要广播网络SSID;
5)培训用户了解Wi-Fi安全问题的危害,所有的用户应该意识到以不安全的方式使用WIFI技术可能引起的危害;
6)尽量不要使用私人场所的无线AP,尽可能使用企业级的AP;
7)保证敏感金融信息的安全性,Wi-Fi连接的网络中,使用经过银联认可的加密算法及密码长度来保证敏感金融信息的交互安全;
8)保护Wi-Fi网络的安全,确保无线AP、无线路由器的位置安全和访问安全,防范非法的、冒充的无线接入点。
6.2.3 蓝牙
蓝牙,是一种低功耗、支持设备短距离通信(一般10m内)的无线电技术。能在包括移动电话、PDA、无线耳机、笔记本电脑、相关外设等众多设备之间进行无线信息交换。蓝牙通信依据特点,存在被窃听、频率干扰(DOS攻击)、中间人攻击等风险,所以为减少攻击,保护蓝牙通信需要遵循以下规范:
1)在蓝牙连接的设备间通信,使用经过银联认可的加密算法及密码长度来保证敏感金融信息的交互安全;
2)要求使用蓝牙的安全简易配对协议(Secure Simple pairing)动态生成PIN码,PIN码至少8位长度,包含数字及字母的PIN码,禁止使用静态PIN码。
3)实现面向链路的安全保证模式,在通信链路建立之前完成安全初始化工作。
4)培训用户了解BT安全问题的危害,所有的用户应该意识到以不安全的方式使用BT技术可能引起的危害;
5)不使用蓝牙时或完成配置过程以后,应切换蓝牙设备到不可见模式;
6)如果蓝牙使能了网络功能(PAN),那么接入开放网络的蓝牙设备,应满足开放网络各层的安全要求。
6.2.4 NFC
NFC是一种短距离、非接触式的无线通信技术,采用高频13.56Mhz 频带,传输距离在10CM 以内。NFC包括读卡器模式、标签模式及点对点模式。
NFC短通信方式有其天然的物理安全性,可有效避免信息遭受监控和篡改,还可以采取进一步的安全机制确保通信安全:
1)读卡器模式及标签模式应遵循EMV和QPBOC规范;
2)点对点模式的数据链路层,应根据LLCP MAC地址限制设备的接入;应用层应采取银联认证的数据机密算法,对通信数据加密传输。
国版权银所联 有 中
6
Q/CUP 060—2013 参 考 文 献
[1] Q/CUP 062-2013 第三方机构入网技术安全规范及管理办法
[2]Mobile telecommunications standards
http://en.wikipedia.org/wiki/Category:Mobile_telecommunications_standards
[3]Wi-Fi Protected Access http://en.wikipedia.org/wiki/Wi-Fi_Protected_Access
[4]IEEE 802.11 http://en.wikipedia.org/wiki/IEEE_802.11
[5]Wi-Fi 技术联盟 http://www.wi-fi.org
[6]NFC Forum Technical Specifications http://www.nfc-forum.org
[7]GB/T 27929-2011 银行业务 采用对称加密技术进行报文鉴别的要求
[8]GB/T 17903.1-2008 信息技术 安全技术 抗抵赖 第1部分:概述
[9]GB/T 17903.2-2008 信息技术 安全技术 抗抵赖 第2部分第2部分:采用对称技术的机制
[10]GB/T 17903.3-2008 信息技术 联安全技术 抗抵赖 第3部分:采用非对称技术的机制
[11]GB/T 18794.4-2003 银信息技术 开放系统互连 开放系统安全框架 第4部分:抗抵赖框架
[12]GB/T 18794.5-2003 信息技术 开放系统互连有 开放系统安全框架 第5部分:机密性框架
[13]GB/T 18794.6-2003 信息技术 开放系统互连 开放系统安全框架 第6部分:完整性框架
国_________________________________
中所权
版
7
本文来源:https://www.2haoxitong.net/k/doc/ad8bead5302b3169a45177232f60ddccda38e6b9.html
文档为doc格式