中国银联TMK专用终端安全规范与操作流程

中国银联密钥分发专用终端规范(Q/CUP×××—2009)是中国银联股份有限公司制定的一项企业标准，针对分发终端主密钥的专业化安全和应用需求进行规定。该规范主要应用于所有接受银联卡的入网机构和专业化服务机构，确保在处理涉及金融交易的安全过程中，密钥的生成、加载、存储、分发以及操作人员管理等环节符合严格的安全要求。 1. **范围**： - 规定了终端专用POS终端在密钥传输过程中的安全要求，包括终端主密钥(TMK)的生成、加载、存储，以及终端加密密钥(TEK)的管理。 - 适用于处理各类银联卡交易的机构，确保数据传输的机密性和完整性。 2. **术语与定义**： - **密钥分发专用终端(TMK deliver special terminal)**：指专用于银联密钥分发的POS设备。 - **密钥加载**：将预生成的密钥导入到终端的过程。 - **密钥分发**：从中央服务器向终端分发所需密钥的操作。 - **终端主密钥(Terminal Master Key, TMK)**：终端核心的安全密钥，负责保护其他敏感信息。 - **POS中心**：处理和管理终端密钥的中央机构。 3. **基本功能要求**： - **密钥生成**：终端应具备生成所需密钥的能力。 - **密钥加载**：确保正确且安全地将密钥导入终端。 - **密钥存贮**：终端需妥善保存密钥，防止非法访问。 - **密钥分发**：支持从中心接收并使用新的密钥。 - **操作人员管理**：包括权限控制和密码管理，以保证操作安全。 4. **操作流程要求**： - **系统登录**：终端用户需要通过安全验证才能进入系统。 - **密钥设置**：配置终端的密钥参数以确保正确通信。 - **密钥分发**：遵循特定的流程进行密钥的获取和更新。 - **密钥维护**：定期检查和维护密钥的有效性和安全性。 - **密码修改**：操作人员可以安全地更改密码以增强账户安全。 5. **规范性附件**： - **TEK分量校验值计算方法**：提供了TEK生成算法的详细说明。 - **文件导入密钥报文格式**：定义了终端与PC工具间密钥传输的数据结构和接口。 该规范的制定旨在提升银联卡交易过程中的信息安全，保障消费者和商户的利益，是银联支付网络中密钥管理的重要组成部分。遵循这一标准，有助于降低交易风险，提高整个支付系统的信任度和可靠性。