四、PED产品的安全性要求
    用户鉴别作为智能卡的一项重要逻辑安全机制的实现，离不开PED产品的安全性保证。市场上最常见的典型PED产品就是个人身份识别码输入键盘（Pin Pads）、ATM或POS终端产品，根据目前国际金融领域普遍遵守的PCI（Payment Card Industry）PED产品安全性要求V2.0，可将PED产品的安全性分为设备和设备管理两部分安全技术要求，以下将分别对这两部分内容进行介绍：
    1.设备安全特征
    此安全技术要求中规定的设备安全特征部分可进一步划分为核心内容，联机和脱机三部分。核心内容是要求所有PED设备必须要满足的物理安全特征和逻辑安全特征，其余要求则是分别针对联机或是脱机PED设备的。
    设备的物理安全特征是阻止对设备的物理攻击的那些功能，所谓的物理攻击例如对设备的渗透性攻击来获得密钥或是向内部植入暴露PIN码的bug等。逻辑安全特征是确保PED产品排除一些不安全的功能或能力，如允许设备输出PIN码加密密钥明文的功能等。其中，核心安全技术要求中规定的所有PED产品必须满足的物理安全要求共11项，逻辑安全要求15项。
    本文第3节中已经介绍了联机PED和脱机PED产品的区别，PCI PEDV2.0中专门针对这两类PED产品也规定了相应的安全技术要求。
    2.设备管理安全特征
    设备管理涉及PED的生产，管理，运输，存储和生命周期过程中的使用。如果设备没有被合理的管控，非授权的修改可能会对其物理或逻辑安全特性产生影响。PCI PEDV2.0中此部分安全要求只涉及生产过程中的设备管理以及在生产和内部密钥装载过程之间的设备管理安全要求。 
    五、结 语
    个人身份识别码输入设备（PED）作为金融消费领域中重要的组件设备之一，其安全性越来越重要。国外比较大型的金融机构特别是金融卡组织分别制定了适应各自金融卡的个人身份识别码输入设备（PED）的安全要求，如CIRRUS(顺利卡)、MAESTRO（万事顺卡）等，但到目前为止国际上普遍认可和遵循的个人身份识别码输入设备（PED）的安全要求及其认证还是遵从PCI PED标准，虽然目前PED测评体系和测评实验室授权还是由Visa组织所维护，但应该在不久的将来也将会统一过渡到PCI安全标准委员会来负责。目前，我国还没有制定出个人身份识别码输入设备（PED）的统一的安全要求标准，同时相关的测评机构也比较少，一些此类设备的生产商为了验证产品的安全性只能到国外去进行PCI PED相关认证。目前中国信息安全产品测评认证中心正致力于此方面标准的研究工作。我们将在参考国外相关安全技术要求的同时，结合我国金融行业和PED产业的自身特点，制定出适应我国国情和产品特点的个人身份识别码输入设备（PED）的安全技术要求标准。

(责任编辑：adminadmin2008)