移动金融检测规范简介 国家金卡工程IC卡产品信息安全测评中心 国家信息安全产品认证指定实验室 中国人民银行非金融机构支付服务业务系统检测机构

Slides:



Advertisements
Similar presentations
酒店的类型 为了满足人们各种不同的 需要,就出现了各种类型的 酒店。. 十种分类方法 提出者: 英国旅游学家、萨里大学宾馆餐饮 与旅游系主任迈德利克教授 专著:《 宾馆业 》
Advertisements

“ 色达光明行 ” 眼保健及综合健康医疗计划. 背景 2012 年 8 月青海光明行 实地考察 时间: 5 月 15 号 -18 号 考察团:医疗团队 + 服务团队 目的:医疗状态、场所;生活设施.
北京市二级以上医院疾病预防控制工作考核标准(试行) (七)健康教育 北京市疾控中心 健康教育所 李玉青 副主任医师 二〇一一年八月 四、技术考核.
高中物理学习方法. 【状元说经】 胡湛智,是贵州省高考理科状元,他说复习物理 的要点首要的是充分重视课本知识,除了跟上老 师的步调外,自己一定要多钻研课本,课本上的 思考题是复习的纲,再找一些考点解析,认真搞 清每个概念、每个要求,并相应做一定数量的习 题;其次也要特别重视画图的作用,画图有直观、
人社分中心 职工养老保险业务简介. 基本养老保险分类 1. 职工养老保险 2. 新型农村社会养老保险 3. 城镇居民社会养老保险 (城乡居民社会养老保险) (城镇居民社会养老保险和新型农村社会养老 保险合并实施)
电梯维护保养安全管理规范 DB33/T728—2016 嘉兴市质量技术监督局 陈学成 2016年3月.
2014年度部门决算 肇庆市财政局绩效评价科 2014年12月.
中国银联 收银员培训 2014年7月 课程纲要 知识 认知目标层级 学习目标 教学 方法 时间 类型 分配 银联卡基础知识
科技档案管理 主讲:王莉敏.
第八章 结算业务的核算.
国有及国有控股企业 “小金库”专项治理政策及报表讲解
社会保险法律体系知识 养老保险政策系列宣传 保险知识问答
2代系統簡介 (招標、領標、開標、決標).
《国民经济行业分类》 讲座 2011年10月.
实验室资质认定评审准则.
实验室资质认定评审准则 实验室建设与管理要求.
舌尖上的昭通.
领会法律精神 理解法律体系 城控313-3班益达组制作.
0.4千伏设备保护定值整定 指导原则 北京市电力公司  配电首席工程师 丁荣.
本章主要内容 工伤保险的功能与实施原则 工伤保险的范围与工伤认定 工伤保险基金 工伤的劳动能力鉴定 工伤保险的待遇 工伤预防与工伤康复
恒泰期货研究所2016年 期债暴跌告一段落,短期波动降低 国债期货周报
加强金融移动支付标准化建设 推进产业规范有序发展
《中华医学百科全书》 释文编写要点
99年成語200題庫(21-40).
《愛》 張愛玲 指導老師:胡翰平 國二甲 S 黃宜宣.
理工科系介紹.
坪山新区租赁产房工业项目产业核准流程说明
岡山區103年第12次 登革熱聯繫會報會議 岡山區公所 103年12月30日 1.
资产评估准则——不动产 讲 解 主讲人: 肖 力.
第二章 项目一:企业厂区与车间平面设计 1.
社 会 保 险 知 识 培训教材.
2015年企业薪酬调查 主要指标解释及填报要求 呼和浩特市人力资源和社会保障局 2015年5月.
第三期 重点管理标准和制度宣贯会 2016年5月12日.
房地产、建安企业 营改增实务解读、涉税疑难问题解析及风险应对技巧
國立金門大學101學年度新生報到暨入學說明會 國立金門大學 學生宿舍 學務處簡介.
新办纳税人办税服务指南 (郑州经济技术开发区国税局)
项目7: 仓储经济核算与绩效评价.
悠遊卡與行動支付 悠遊卡公司 通路事業部 經理 黃士展 2016/05/23.
依法保护青少年健康成长 1、相关新闻 2、相关法律.
第三章 第五节 白内障病人的护理
交流一: 您的客户为什么要买医疗产品? 1.人总归会生病,生病肯定要花钱; 2.现在的医疗费用真的很高,承受不起;
IC卡基础知识.
电子病历系统应用水平 分级标准及案例解读 安徽省立医院 徐冬 黄山.
济源市国税局网上办税业务介绍 主讲人 办税服务厅 杨武兵 2014年8月1日.
簡 報 大 綱 壹、緣起 貳、執行過程 參、效益.
企业产品执行标准备案 登记办事规程 深圳市标准技术研究院 标准审查部.
徐志摩与 四大美女.
厦门市湖里区国家税务局 营改增优惠政策简介 厦门市湖里区国家税务局 2016年9月.
《 PLC应用技术》课件 第三章 梯形图编程技巧.
第七节 标点符号 目 录 一 标点符号的含义 二 标点符号的重要性 三 标点符号的作用 四 标点符号的变异形式 五 标点符号的灵活性
纳税指南 二○一一年第九期 主办:青岛市市北国家税务局.
推进语言文字规范化 共建和谐阳光新富阳 富阳市语委办公室 富阳市普通话培训测试站
95年度... 油品行銷事業部五股供油中心桃園煉油廠~汐止市內溝溪管線詳細路徑示意圖 紅藍綠三色線條為管線路徑 TS 2017/9/13
智能电子钱包终端设计(一) ——CPU卡与COS文件结构
Module 8:IC卡安全 8-1.
Proware Technology Corp.
第5章 AT89C51输入/输出口及其简单应用 5.1 I/O口结构与工作原理
電子簽章憑證卡功能及操作方式 中華電信股份有限公司.
两用物项和技术进出口许可证 管理与签发系统
行政院衛生署 電子病歷交換中心(EEC)及個資法教育訓練
小学生交通安全主题班会课件 安全 security 上派学区中心校校园安全管理办公室.
什么是单片机 单片微型计算机(Single Chip Microcomputer)简称单片机,是指集成在一个芯片上的微型计算机,它的各种功能部件,包括CPU(Central Processing Unit)、存储器(memory)、基本输入/输出(Input/Output,简称I/O)接口电路、定时/计数器和中断系统等,都制作在一块集成芯片上,构成一个完整的微型计算机。单片机内部基本结构如图1.7所示。由于它的结构与指令功能都是按照工业控制要求设计的,故又称为微控制器(Micro-Controller.
K60入门课程 06 首都师范大学物理系 靳熙芃.
電能領域修課流程圖-大學部(甲乙班) 大一上 大一下 大二上 大二下 大三上 大三下 大四上 大四下 畢業出路 *電動機 *電力系統 普通
贏得萬邦的異象.
第二章 门电路 本章重点 半导体二极管和三极管(包括双极型和MOS型)开关状态下的等效电路和外特性 TTL电路的外特性及其应用(难点)
聚合型第一種:隱沒帶、島弧 例子:臺灣東方的琉球海溝、南美洲智利海溝. 聚合型第一種:隱沒帶、島弧 例子:臺灣東方的琉球海溝、南美洲智利海溝.
自动控制原理.
第一章 绪论 学 习 指 导 本章学习目的是了解本课程的性质和任务。学习要求是懂得互换性的含义;了解互换性与标准化的关系及其在现代化生产中的重要意义;了解优先数的基本原理及其应用。
Presentation transcript:

移动金融检测规范简介 国家金卡工程IC卡产品信息安全测评中心 国家信息安全产品认证指定实验室 中国人民银行非金融机构支付服务业务系统检测机构 公安部授权信息安全等级保护测评机构(京-001)

1 2 3 4 5 内容提纲 标准框架介绍 标准制定的必要性 标准编制的可行性 编制原则 标准内容介绍 2012年4月至6月,我中心应人民银行邀请,委派相关人员参与移动支付安全保障类标准的编制工作。 在检测规范的编写过程中我们参与了所有规范的讨论,其中芯片检测规范和SE嵌入式软件检测规范以及可信服务系统检测规范我们都贡献了很多以往测评过程中积累的经验,可以从这5个方面对10个检测规范进行逐一介绍 标准内容介绍 5

标准框架介绍

标准框架介绍

标准框架介绍 从移动支付框架中分支出来检测规范的内容

内容提纲 标准框架介绍 1 标准制定的必要性 2 标准编制的可行性 3 编制原则 4 标准内容介绍 5

标准制定的必要性

内容提纲 标准框架介绍 1 标准制定的必要性 2 标准编制的可行性 3 编制原则 4 标准内容介绍 5

标准编制的可行性

内容提纲 标准框架介绍 1 标准制定的必要性 2 标准编制的可行性 3 编制原则 4 标准内容介绍 5

总体介绍 编制原则

内容提纲 标准框架介绍 1 标准制定的必要性 2 标准编制的可行性 3 编制原则 4 标准内容介绍 5

1.非接触式接口检测规范 标准框架 针对移动支付特点及非接触接口规范中涉及的主要内容和重点问题,进行了全面的分析和设计。对非接触接口的设计和实现提出了具体要求和检测标准,保障了移动支付环境中的非接触接口的兼容性和稳定性。

1.非接触式接口检测规范 电气特性测试

1.非接触式接口检测规范 传输协议测试-TYPE A

1.非接触式接口检测规范 传输协议测试-TYPE B

1.非接触式接口检测规范 块传输协议执行测试

2.安全芯片检测规范 背景 意义 安全芯片是移动支付重要的安全角色 安全芯片需要高安全性来应对多元化的攻击 应用于移动支付的安全芯片需要配套的检测规范 意义 保障移动支付中芯片的安全性 对芯片的安全性进行了全面的检测和评价 攻击测试类型与国际接轨,为国内外互认奠定基础 移动支付以手机等移动通信设备的安全模块作为用户账户、身份认证等敏感数据的存储载体,利用线上无线通信网络或线下POS、ATM等受理网络实现不同账户的资金转移或支付行为,安全模块是由SE和安全芯片共同支撑保护用数据的安全核心单元。 安全芯片用于承载移动支付的专用的SE,专门为保护用户代码和数据,防止非授权访问和能较好的抵御非侵入、半侵入和侵入攻击而设计的芯片。 本规范是根据移动支付行业中的安全要求所制定的相应的检测规范,整个框架和内容都是以保障移动支付安全为目的。

2.安全芯片检测规范 检测目的

2.安全芯片检测规范 芯片安全功能要求

2.安全芯片检测规范 交易性能测试

2.安全芯片检测规范 芯片抗攻击能力要求

2.安全芯片检测规范 安全功能检测

2.安全芯片检测规范 抗攻击能力检测

2.安全芯片检测规范 安全功能检测方法

2.安全芯片检测规范 抗攻击能力检测方法

2.安全芯片检测规范 检测步骤

3.客户端软件检测规范 背景及意义 快速发展需要:客户端软件作为应用与以其便捷的操作、良好的用户体验,成为移动支付一个新的发展趋势。 客户体验需要:考虑到客户端软件运行平台的多样化,软件作为用户支付服务的窗口,选用安全可靠的客户端软件是极其重要的。 创新性需要:目前尚无针对客户端软件检测的国家标准、行业标准;同时,本标准未被纳入已有的国家标准、行业标准制修订计划。 规范性需要:确保移动支付业务的安全应用,规范移动支付客户端软件的检测行为。

3.客户端软件检测规范 适用范围 客户端软件仅指运行于移动终端操作系统的应用软件。 适用于所有远程支付和近场支付的客户端软件的检测。 适用于移动支付客户端软件检测机构以及设计、开发、集成、维护等相关单位。

3.客户端软件检测规范 总体框架

3.客户端软件检测规范 基本测项

3.客户端软件检测规范 安全检测项

4.受理终端安全检测规范 总体框架

4.受理终端安全检测规范 终端检测内容

4.受理终端安全检测规范 PIN输入设备检测内容

5.SE物理电气特性和通讯协议检测规范 检测内容

5.SE物理电气特性和通讯协议检测规范 一般特性

5.SE物理电气特性和通讯协议检测规范 电气特性 测试项目 测试目的 VCC触点 测量SE在VCC触点上所消耗的电流,并检测在给定的Vcc范围内SE能否工作 I/O触点 测量I/O触点的接触电容,正常工作模式下(IOL max/min和IOH max/min)输出电压(VOH,VOL), SE发送数据时I/O端的tR和tF,接收数据时I/O端的输人电流IIL) CLK触点 测量SE的CLK触点的电流,检测SE在一给定时钟频率和波形下能否运行 RST触点 测量卡在RST触点上所消耗的电流,并检测RST

5.SE物理电气特性和通讯协议检测规范 逻辑操作 SWP&HCI协议 复位应答(ATR) T=0协议 T=1协议 SWP协议的测试标准请参考《ETSI TS 102 694-2 Test specification for the Single Wire Protocol (SWP)》规范。 HCI测试标准请参考《ETSI TS 102 695-2 Test specification for the Host Controller Interface (HCI)》规范。

5.SE物理电气特性和通讯协议检测规范 非接触接口 非接触接口的测试标准请参考《移动支付-检测规范 第1部分:非接触式接口》

6.SE嵌入式软件安全检测规范 概述

6.SE嵌入式软件安全检测规范 SE嵌入式软件安全要求 SE多应用平台安全要求 参照标准 GB/T 20276-2006《信息安全技术 智能卡嵌入式软件安全技术要求(EAL4+)》 GB/T 18336-2008《信息技术 安全技术 信息技术安全性评估准则》 SE多应用平台安全要求 参照标准: GPSR (GP Card Security Requirements Specification V1.0) GPCS(GP Card specification V2.1.1)

6.SE嵌入式软件安全检测规范 SE多应用平台安全检测内容

6.SE嵌入式软件安全检测规范 SE嵌入式软件逻辑攻击

6.SE嵌入式软件安全检测规范 SE嵌入式软件测试

6.SE嵌入式软件安全检测规范 SE嵌入式软件测评步骤

7.SE应用检测规范 概述 本检测标准从命令格式、交互流程、状态机转换、异常情况处理等方面进行了描述,针对规范中主要内容和关键问题进行了重点设计,提出了全面的检测方法和检测流程,保障了SE应用规范实现的正确性和兼容性。

7.SE应用检测规范 非接触PBOC应用测试

7.SE应用检测规范 非接触式支付应用测试

7.SE应用检测规范 交易性能及稳定性测试

衷心感谢!