陸雨雷：條碼支付技術體系介紹

來源：中金網安

陸雨雷，8年網絡信息安全工作經驗，目前專注于銀行業信息科技風險管理相關工作，同時具備政府、運營商行業信息安全經驗，目前主導及參與了近50家國有銀行、全國股份制銀行、城商行的信息安全咨詢和評估工作，對銀行業務安全、合規管理、信息科技風險管理領域有著豐富的實踐經驗。
—1條碼支付規范由來—
2017年12月央行發布了《中國人民銀行辦公廳關于加強條碼支付安全管理的通知》，在該文件中正式發布了《條碼支付安全技術規范（試行）》及《條碼支付受理終端技術規范（試行）》。同月央行還發布了《條碼支付業務規范（試行）》。通過上述3個規范的發布，針對條碼支付形成了較為全面的管理要求，既對技術提出了要求，同時又對業務提出了要求。
本文對《條碼支付安全技術規范（試行）》和《條碼支付受理終端技術規范（試行）》的內容及體系進行了介紹。
—2條碼支付規范主要內容簡述—
《條碼支付安全技術規范（試行）》中規定了系統安全、移動終端安全、受理終端安全及交易安全的安全技術要求。
《條碼支付受理終端技術規范（試行）》中規定了顯碼設備技術要求、掃描設備技術要求、安全性技術要求、適應性技術要求及可靠性技術要求。
兩規范主要的針對對象為銀行、非銀行支付機構、清算機構開展條碼支付業務時所需的：
軟硬件的設計、研發、集成和維護。
受理終端的設計、研發、維護和采購。
—3條碼支付安全體系概述—
《條碼支付安全技術規范（試行）》文中的系統安全中的物理安全、網絡安全、主機安全、應用安全、數據安全及部份恢復均參考GB/T 22239-20081中的三級系統安全要求。其中應用安全除了基本要求之外還增加了針對會話安全、常見攻擊防范的兩處安全要求。
《條碼支付安全技術規范（試行）》文中的移動終端安全包含了人機交互安全、客戶端軟件安全及通信安全三大板塊，其中人機交互安全又劃分為:身份驗證信息管理、交易異常處理。客戶端軟件安全又劃分為:數據有效性校驗、頁面回退清除敏感信息機制、反編譯、客戶端軟件完整性、運行時安全。通信安全又劃分為:網絡通訊協議、抗抵賴。
《條碼支付安全技術規范（試行）》文中的受理終端安全需符合銀發〔2017〕21號2的規定及《條碼支付受理終端技術規范（試行）》的相關要求。
《條碼支付安全技術規范（試行）》文中交易安全的基本安全要符合銀發〔2016〕170號3的規定及JR/T 01494中的相關要求。交易安全除了基本安全要求以外還包含了:碼制、數據錄入、數據訪問、數據存儲、數據傳輸、條碼生成、條碼識讀與解析、交易驗證與確認、交易風險控制及交易過程安全共計11大板塊。其中的條碼生成又劃分為:基本要求、收款掃碼、付款掃碼。交易過程安全又可以劃分為:交易報文安全（銀辦發〔2016〕222號）5、風險識別與干預、交易監控、客戶與商戶教育。
條碼支付安全技術規范（試行）架構
圖1條碼支付安全技術規范（試行）架構
—3條碼支付受理終端技術體系概述—
《條碼支付受理終端技術規范（試行）》中的顯碼設備技術要求主要包括了:數據要求、條碼表現要求。其中數據要求又可以劃分為:正確性、規范性、碼制。條碼表現要求又可以劃分為:外形、顏色、介質、精度。
《條碼支付受理終端技術規范（試行）》中的掃描設備技術要求主要包括了:數據要求、性能要求。其中數據要求又可以劃分為:準確性、規范性（GB 18030—2005）6。性能要求又可以劃分為:精度、識別速度、出錯率。
《條碼支付受理終端技術規范（試行）》中的安全性技術要求應符合《條碼支付安全技術規范（試行）》中的相關要求，在PIN輸入設備中應符合JR/T 0120.57，受理終端應符合JR/T 0120.1、JR/T 0120.2等的相關要求。涉及支付敏感信息的還應符合銀發〔2016〕170號的要求8。
《條碼支付受理終端技術規范（試行）》中的適應性技術要求主要包括了:電源適應能力、接口、環境適應性及可靠性技術。其中的環境適應性要求又可以劃分為:氣候環境適應性、光照環境適應性。
《條碼支付受理終端技術規范（試行）》中的可靠性技術要求主要是對無故障工作時間來衡量產品的可靠性，并要求無故障工作時間不少于15000小時。
圖2條碼支付受理終端技術規范（試行）架構
圖2條碼支付受理終端技術規范（試行）架構
—4參考文獻—
1 GB/T 22239—2008信息安全技術信息系統安全等級保護基本要求
2銀發〔2017〕21號中國人民銀行關于強化銀行卡受理終端安全管理的通知
3銀發〔2016〕170號中國人民銀行關于進一步加強銀行卡風險管理的通知
4 JR/T 0149—2016中國金融移動支付支付標記化技術規范
5銀辦發〔2016〕222號中國人民銀行辦公廳關于印發《網絡支付報文結構及要素技術規范（V1.0）》的通知
6 GB18030—2005信息技術中文編碼字符集
7 JR/T 0120—2016銀行卡受理終端安全規范
8銀發〔2016〕170號中國人民銀行關于進一步加強銀行卡風險管理的通知.

昆明方象專業為您提供校園一卡通，一卡通系統，餐飲軟件，餐飲系統，電子標簽，收銀軟件，收銀系統，條碼設備，收款機，RFID讀寫器，公司管理軟件廣泛應用于零售超市、餐飲酒店、生產制造、教育醫療、機關學校、企事業單位辦公、倉儲、金融和物流等領域，聯系電話:400-0871-488。