ICS35.030 GM CCS L 80 中华人民共和国密码行业标准 GM/T 0106—2021 银行卡终端产品密码应用技术要求 Cryptograph application requirements for bank card terminal 行业标准信息服务平台 2021-10-18发布 2022-05-01实施 国家密码管理局 发布 GM/T 0106—2021 目 次 前言 II 引言 1范围 2 规范性引用文件 3 术语和定义 缩略语 4 5 终端基本安全要求 5.1 概述 5.2 终端基本要求 5.3 密码模块要求 6终端密钥管理要求 6.1 密钥分类 6.2 通用管理要求 6.3 业务类密钥管理 6.4 终端安全类密钥管理 7 终端数据安全要求 7.1 概述 7.2 密钥 7.3 随机数 7.4 软件和固件 7.5 账户数据 7.6 自检 7.7 敏感功能使用授权 7.8 联机交易报文 7.9 脱机数据认证 7.10 出钞密码认证 8密码算法正确性和性能要求 附录A（规范性） 支持SM4算法的PINBlock填充和加密方法 附录B（资料性）ATM远程密钥装载（RKL）流程 参考文献 GM/T 0106—2021 前 言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由密码行业标准化技术委员会提出并归口。 本文件起草单位：东方通信股份有限公司、福建联迪商用设备有限公司、恒银金融科技股份有限公 司、广电运通金融电子股份有限公司、长城信息产业股份有限公司、深圳市证通电子股份有限公司、国家 密码管理局商用密码检测中心。 本文件主要起草人：刘俐训、徐盛舟、戴永峰、罗伟、李大为、邓开勇、罗鹏、李国友、吕景丽、耿佳、 高志权、于海涛、雷正生、高晓飞、马兴旺。 行业标准信息服务平台 GM/T 0106—2021 引言 本文件描述了银行卡终端产品上的密码技术应用要求。 银行卡终端产品是受理银行卡业务的设备，包括自动柜员机（ATM）、销售点终端（POS）、移动销售 点终端（mPOS)等产品形态。这些设备中的账号、磁道信息、个人识别码和密钥等敏感数据的关系持卡 人资金安全，设备中这些数据的安全一般依赖于密码技术进行保护。 为了提高银行卡终端产品风险防控能力，进一步加强和保障持卡人隐私信息安全，助力金融支付业 务的安全发展，密钥技术在银行卡终端上的规范化应用应作为关键工作进行开展 按照全面性原则，密码技术的规范化应用方法要适用于新设备并考虑存量旧设备，使之通过有条件 的升级改造也可以达到设备安全提升的目的 目前具有指导银行卡终端产品进行密码技术规范化改造和升级的标准尚不完善，呕需提出标准化 文件。 行业标准信息服务平台 IV