2024年3月18日发(作者：office2010安装包)

美国金融网络安全标准及其开发框架介绍

谢宗晓

（中国金融认证中心）

李宽

（中国农业银行）

美国国家标准协会（American National Standards

Institute，ANSI）建立于1918年，是目前负责管理

和协调美国推荐性标准（voluntary standards）和合格

性评定体系（conformity assessment system）的机构。

ANSI是一个私人的非营利组织，但其实际承担

了国家标准化的功能。但是，与ISO等机构不同，

ANSI是一个后建立的松散组织，或者说，本来已经

有了很多团体或者协会在从事标准化工作，但是为了

统一协调，后建立了ANSI，因此其标准开发组织也

呈现出分散、多元和自组织等特点，这些协会或团体，

经ANSI认可后就可以参与其中，即认可的标准委员

会（Accredited Standards Committee），例如，ASC X9

是为金融服务行业开发和发布标准的非营利组织。

由于上述原因，也带来了另外一个问题，就是

ANSI的标准分类维度并不统一，或者说，分类的设计

并不完备。例如，ANSI的标准包

1）

，有的是按照发

布机构，例如，X9标准集；有的是按照具体事项，例如，

职业健康（Occupational Health & Safety，OHSAS）。

图1　ASC X9的基本职能

1　ASC X9机构设置

ASC X9总部设在美国马里兰州的安那波利斯市

（Annapolis），其工作职责类似于全国金融标准化

技术委员会（SAC/TC 180）（以下简称金标委），

不但负责金融行业的标准化工作，也负责与国际标

准化组织ISO的对接，同时也是标准和行业之间的

纽带，如图1所示。

ASC X9下设5个分委员会（subcommittee），

其名称与主要职能，如表1所示。

表1　ASC X9分委员会及其职能

分委员会

X9A Electronic and Emerging Payments

电子与新兴支付

X9B Checks and Back-Office Operations

支票与后台操作

X9C Corporate Banking

企业银行

X9D Securities

证券

主要职能

X9A分委员会开发和支持侧重于支付的标准，包括批发、零售、电子给付

（Electronic Benefits）和移动支付等

X9B分委员会为支票的制造、电子处理和交付，以及其他基于纸张的后台操

作，如法律指令（传票、征税等）等所有元素的设计、开发和支持标准

X9C分委员会为公司内部的债券、财务和现金管理功能以及为公司提供的银

行服务开发和支持标准。X9C也关注快速支付相关的行业工作

X9D分委员会开发和维护证券行业的标准，这些标准包括在美国市场的清

关、结算、转移和相关流程

1） Standards Packages, /。

- 9 -

标准咨询

续表

分委员会

X9F Data & Information Security

数据与信息安全

主要职能

X9F分委员会开发降低潜在金融数据安全风险和脆弱性的标准

ASC X9F是本文中重点关注的分委员会。

同时，ASC X9负责对接ISO/TC 68 金融服务

（financial services）、ISO/TC 321电子商务交易保障

（transaction assurance in E-commerce）和ISO/TC 322

可持续金融（sustainable finance）。这和我国国家标

准委对各个标委会的分工有一定的区别，金标委负

责国际标准化组织下设的ISO/TC 68、ISO/TC 222（个

人理财标准化技术委员会）及ISO/TC 322的归口管

理工作。

家标准（American National Standards），在本文中，

主要介绍金融网络安全相关标准，即ASC X9F正在

开发和已经发布的标准。按照我们的理解，将其分

为4类，分别为支付安全；金融科技；通用安全；

密码技术。

按照上述分类及其包含的具体标准，如表2~表6

所示。

其中，表2为支付安全标准，主要子类包括：

支付敏感数据和标记化。

表3为金融科技标准，主要子类包括：零信任、

云计算、量子计算和生物识别。

2　ASC X9发布的网络安全标准及简析

截至2020年底，ASC X9发布了125项美国国

表2　关于支付安全的标准

关键词

支付敏感数据

编号标准名称状态

Retail Financial Services—Requirements for Protection of Sensitive

X9.119-1-202XPayment Data—Part 1: Using Encryption Methods开发中

零售金融服务　敏感支付数据保护要求　第1部分：使用加密方法

Requirements for Protection of Secure Payment Card Data—Part 2: Using

X9.119-2-2017Tokenization Methods现行

零售金融服务　敏感支付数据保护要求　第2部分：使用标记方法

X9.137-202X

Tokenization and Security Management

标记化与安全管理

表3　关于金融科技（新技术类）的标准

开发中

支付敏感数据

标记化

关键词

零信任

云计算

量子计算

量子计算

编号

TR 55-201X

X9.125-201X

X9.146-202X

TR 50-2019

标准名称

Framework for the Adoption of a Zero Trust in Information Systems

在信息系统中采用零信任框架

Cloud Information Management and Security—Blockchain Compliance Data

云信息管理与安全　区块链符合性数据

Quantum—Safe TLS Handshake Extension

量子安全TLS握手扩展

Quantum Techniques in Cryptographic Messaging Syntax (CMS)

密码消息语法中的量子技术

状态

开发中

开发中

开发中

现行

- 10 -

续表

关键词

生物识别

编号

X9.84-2018

标准名称状态

Biometric Information Management & Security for the Financial Services Industry

现行

金融服务行业生物信息管理与安全

表4为通用安全标准，主要子类包括：通用框架、

鉴别与授权、网络攻防、无线安全、时间戳和数据安全。

表5为密码技术标准，主要子类包括：对称密码、

公钥密码、密码协议、密钥管理、随机数、质数证

书和加密设备。

表4　关于通用安全的标准

关键词

通用框架

通用框架

鉴别与授权

鉴别与授权

网络攻防

无线安全

无线安全

无线安全

时间戳

数据安全

数据安全

编号

X9.135-202X

TR 53-201X

X9.117-2020

X9.122-2020

X9.111-2018

X9.112-1-2016

X9.112-2-2020

X9.112-3-2018

X9.95-2016

X9.141-202X

X9.8-1-2019

Secret Sharing Schemes

秘密分享框架

Cybersecurity Diversity Index

网络安全多样性指数

Secure Remote Access Mutual Authentication

安全远程访问互鉴别

Secure Consumer Authentication for Internet Debit transactions

互联网借记交易安全用户鉴别

Penetration Testing with the Financial Services Industry

金融服务行业渗透测试

Wireless Management and Security—Part 1: General Requirements

无线管理与安全　第1部分：通用要求

Wireless Management and Security—Part 2: POS and ATM

无线管理与安全　第2部分：POS与ATM

Wireless Management and Security—Part 3: Mobile Banking

无线管理与安全　第3部分：移动银行

Trusted Time Stamp Management and Security

可信时间戳管理与安全

标准名称状态

开发中

开发中

现行

现行

现行

现行

现行

现行

现行

Financial and Personal Data Protection and Breach Notification Standard

开发中

财务及个人数据保护及违反通知标准

Personal Identification Number (PIN) Management and Security

个人识别码管理与安全

表5　关于密码技术的标准

现行

关键词

对称密码

编号

X9.102-2020

标准名称状态

Symmetric Key Cryptography for the Financial Services Industry—Wrapping of

Keys and Associated Data现行

金融服务业的对称密钥加密　密钥和相关数据的打包

- 11 -

标准咨询

续表

关键词

对称密码

编号标准名称状态

Symmetric Key Cryptography for the Financial Services Industry—Format

X9.124-1-2020Preserving Encryption—Part 1: General Overview 现行

金融服务业对称密钥加密　保格式加密　第1部分：一般概述

X9.124-2 Symmetric Key Cryptography For the Financial Services Industry—

X9.124-2-2018Format Preserving Encryption—Part 2: Key Stream with Counter Mode现行

金融服务业对称密钥加密　保格式加密　第2部分：计数器模式的密钥流

Symmetric Key Cryptography for the Financial Services Industry—Format

Preserving Encryption—Part 3: will cover FF1 Feistel-Based Mode 1

X9.124-3-201X开发中

金融服务业对称密钥加密　保格式加密　第3部分：将介绍基于Feistel 结

构

2）

的模式1

X9.124 Symmetric Key Cryptography for the Financial Services Industry—Format

Preserving Encryption—Part 4: will cover FF2 Feistel—Based Mode 2

X9.124-4-201X开发中

金融服务业对称密钥加密　保格式加密　第4部分：将介绍基于Feistel 结

构的模式2

Symmetric Key Cryptography for the Financial Services Industry—Format

Preserving Encryption—Part 5: will cover FF2 Feistel—Based Mode 3

X9.124-5-201X开发中

金融服务业对称密钥加密　保格式加密　第5部分：将介绍基于Feistel 结

构的模式3

TR 37-2010

Migration from DES

从DES迁移

现行

对称加密

对称密码

对称密码

对称密码

对称密码

DES

对称密码TR 31-2018

Interoperable Secure Key Exchange Key Block Specifications for Symmetric

Algorithms现行

对称算法中可互操作的安全密钥交换的密钥块规范

Interoperable Secure Key Exchange Key Block Specification for Symmetric

Algorithms

3）

开发中

对称算法中可互操作的安全密钥交换的密钥块规范

Issuer PIN Generation, Verification, and Storage Methodologies Using AES

发行机构使用AES生成、验证以及存储方法

开发中

对称密码

对称密码

AES

公钥密码

X9.143-202X

X9.132-202X

X9.142-2020

Public Key Cryptography: The Elliptical Curve Digital Signature Algorithm

(EDCSA)现行

公钥密码：椭圆曲线数字签名算法（EDCSA）

Public Key Cryptography for the Financial Services Industry, Elliptic Curve Qu-

Vanstone Implicit Certificates开发中

金融服务行业公钥加密ECQV隐式证书

Public Key Cryptography for Financial Services Industry: Agreement of Symmetric

Keys Using Discrete Logarithm Cryptography现行

金融服务业的公钥加密：使用离散对数加密的对称密钥协议

公钥密码X9.123-201X

公钥密码

X9.42-

2003(2013)

2） 非平衡 Feistel 结构，也被称为Feistel网络或Feistel密码，以德国密码学家Horst Feistel命名，专门用于构造分组密码的对称结构。

3） 这个是TR 31-2018的后续项目。

- 12 -

续表

关键词

公钥密码

编号

X9.92-1-2009

(R2017)

X9.98-2010

(R2017)

X9.73-2010

(R2017)

X9.63-2011

(R2017)

标准名称状态

PV-Digital Signature Scheme Giving Partial Message Recovery (PVS) —Part 1:

Based on Elliptic Curve现行

给出部分信息恢复的PV数字签名方案　第1部分：基于椭圆曲线

Lattice-Based Polynomial Public Key Encryption Algorithm for the Financial

Service Industry现行

金融服务行业基于格的多项式公钥加密算法

Cryptographic Message Syntax—ASN.1 and XML

密码消息语法　ASN.1和XML

Key Agreement and Key Management Using Elliptic Curve-Based Cryptography

使用椭圆曲线密码的密钥协议与密钥管理

现行

现行

公钥密码

密码协议

密钥管理

密钥管理TR 34-2019

Interoperable Method for Distribution of Symmetric Keys Using Asymmetric

Techniques—Part 1: Using Factor Based Public Key Cryptography Unilateral Key

Transport现行

使用非对称技术分发对称密钥的互操作方法　第1部分：使用基于因子的

公钥加密单向密钥传输

密钥管理

Interoperable Method for Distribution of Symmetric Keys Using Asymmetric

Techniques—Part 1: Using Factoring-Based Public Key Cryptography Unilateral

X9.139-1-202XKey Transport开发中

使用非对称技术分发对称密钥的互操作方法　第1部分：使用基于因子的

公钥加密单向密钥传输

4）

X9.69-2017

Framework for Key Management Extensions

密钥管理扩展框架

现行密钥管理

密钥管理X9.24-1-2017

Retail Financial Services Symmetric Key Management—Part 1: Using Symmetric

Techniques现行

零售金融服务对称密钥管理　第1部分：使用对称技术

Retail Financial Service Symmetric Key Management—Part 2: Using Asymmetric

Techniques for the Distribution of Symmetric Keys开发中

零售金融服务对称密钥管理　第2部分：使用非对称技术分发对称密钥

Retail Financial Services Symmetric Key Management—Part 3: Derived Unique

Key Per Transaction

现行

零售金融服务对称密钥管理　第3部分：每笔交易派生唯一密钥

（DUKPT）

Key Establishment Using Integer Factorization Cryptography

使用整数分解密码建立密钥

Public Key Infrastructure—Part 4: Asymmetric Key Management

公钥基础设施　第4部分：非对称密钥管理

现行

现行

密钥管理X9.24-2-202X

密钥管理X9.24-3-2017

密钥管理

密钥管理

X9.44-2007

(R2017)

X9.79-4-2013

4） 注意，TR 34-2019和X9.139-1-202X目前名称重复了，但是内容不一样。TR 34-2019介绍一种符合X9.24-2零售金融服务对称密钥管理要求的方法。这

种方法的设计目的是在零售金融服务行业中使用设备的现有功能运行。X9.139-202X的目的是标准化使用非对称方法的对称密钥的安全远程密钥分发，支持

所有AES密钥大小。

- 13 -

标准咨询

续表

关键词

随机数

随机数

编号

X9.82-1-2006

(R2013)

X9.82-2-2015

X9.82-3-2007

(R2017)

X9.82-4-2011

(R2017)

X9.80-2020

X9.97-1-2009

(R2017)

X9.97-2-2009

(R2017)

标准名称

Random Number Generation—Part 1: Overview and Basic Principles

随机数生成　第1部分：概述与基本原则

Random Number Generation—Part 2: Entrophy Sources

随机数生成　第2部分：熵来源

状态

现行

现行

随机数

Random Number Generation—Part 3: Deterministic Random Bit Generator

Mechanisms现行

随机数生成　第3部分：确定性随机位产生机制

Random Number Generation—Part 4: Random Bit Generator Constructions

随机数生成　第4部分：随机位发生器结构

Prime Number Generation, Primality Testing, and Primality Certificates

质数生成、质数测试和质数证书

现行

现行

随机数

质数证书

加密设备

Secure Cryptographic Devices (Retail)—Part 1: Concepts, Requirements and

Evaluation Methods现行

安全加密设备（零售）　第1部分：概念、要求和评价方法

Secure Cryptographic Devices (Retail)—Part 2: Security Compliance Checklists

for Devices Used in Financial Transactions现行

安全加密设备（零售）　第2部分：金融交易设备安全符合性检查表

加密设备

3　小结

在本文中，我们对ASC X9F正在开发和已经发

布的所有51项标准，按照支付安全、金融科技、通

用安全和密码技术进行了分类，并按照关键词进行

了子分类。整体而言，ASC X9截至目前发布了125

项标准，ASC X9F还是最活跃的分委员会之一。从

其标准分布来看，存在的问题和ISO/TC 68/SC 2是

一致的，即技术安全相关的标准偏多，业务安全相

关的标准相对较少。

ASC X9的工作模式，也给我国金融标准化工作

以启发。

一是积极参与并转化应用国际标准。从目前

看，ISO/TC 68的秘书就一直是ASC X9的人员，

对ISO/TC 68重要的工作组，ASC X9也积极派专

家参与。可以说，这些标准中的主要技术内容能够

确保与美国对相关方面的标准诉求兼容，加上语言

的优势，可以实现国际标准的发布即转化。

二是组织协调金融的各相关方，统筹制定相关

的金融标准。从标准的数量上看，目前ASC X9组织

制定的金融标准，仅为我国所制定金融国家标准和

行业标准的一半，而标准的内容则技术性十分强，

标准化对象粒度划分很细，各个标准之间也不易发

生交集，易于落地和应用，也不会导致标准的应用

者需要在多个标准之间再做比对、分析和选择。

三是其下辖分委会的划分，并未随着ISO/TC 68

的变更而改变，而是依旧保持了必要的业务条线对

口关系。我国的金标委目前也是这样的结构，并进

一步在秘书处建立了与ISO/TC 68各个分委会对应的

专家组，这样的多维管理结构，目前看是与我国当

前的金融标准化工作配套协调的。

四是ASC X9统筹对口金融服务和电子商务交易

保障的标准化工作，可以做到对电子商务的全场景

的标准化，对与商业场景相关的供应链金融的标准

化十分有利。如果我们的金融标准和电子商务的标

准能够进一步的加强协调，必要时甚至可以组建联

合工作组，将可有效提高工作的协调性。

参考文献

[1] 谢宗晓,李宽.欧盟网络与信息安全监管框架介绍[J].中国质

量与标准导报, 2019(11):22-25.

- 14 -