移动金融检测规范简介 国家金卡工程IC卡产品信息安全测评中心 国家信息安全产品认证指定实验室 中国人民银行非金融机构支付服务业务系统检测机构

Presentation on theme: "移动金融检测规范简介 国家金卡工程IC卡产品信息安全测评中心 国家信息安全产品认证指定实验室 中国人民银行非金融机构支付服务业务系统检测机构"— Presentation transcript:

1 移动金融检测规范简介 国家金卡工程IC卡产品信息安全测评中心 国家信息安全产品认证指定实验室 中国人民银行非金融机构支付服务业务系统检测机构
公安部授权信息安全等级保护测评机构（京-001）

2 1 2 3 4 5 内容提纲 标准框架介绍 标准制定的必要性 标准编制的可行性 编制原则 标准内容介绍
2012年4月至6月，我中心应人民银行邀请，委派相关人员参与移动支付安全保障类标准的编制工作。 在检测规范的编写过程中我们参与了所有规范的讨论，其中芯片检测规范和SE嵌入式软件检测规范以及可信服务系统检测规范我们都贡献了很多以往测评过程中积累的经验，可以从这5个方面对10个检测规范进行逐一介绍 标准内容介绍 5

3 标准框架介绍

4 标准框架介绍

5 标准框架介绍 从移动支付框架中分支出来检测规范的内容

6 内容提纲 标准框架介绍 1 标准制定的必要性 2 标准编制的可行性 3 编制原则 4 标准内容介绍 5

7 标准制定的必要性

8 内容提纲 标准框架介绍 1 标准制定的必要性 2 标准编制的可行性 3 编制原则 4 标准内容介绍 5

9 标准编制的可行性

10 内容提纲 标准框架介绍 1 标准制定的必要性 2 标准编制的可行性 3 编制原则 4 标准内容介绍 5

11 总体介绍 编制原则

12 内容提纲 标准框架介绍 1 标准制定的必要性 2 标准编制的可行性 3 编制原则 4 标准内容介绍 5

13 1.非接触式接口检测规范 标准框架 针对移动支付特点及非接触接口规范中涉及的主要内容和重点问题，进行了全面的分析和设计。对非接触接口的设计和实现提出了具体要求和检测标准，保障了移动支付环境中的非接触接口的兼容性和稳定性。

14 1.非接触式接口检测规范 电气特性测试

15 1.非接触式接口检测规范 传输协议测试-TYPE A

16 1.非接触式接口检测规范 传输协议测试-TYPE B

17 1.非接触式接口检测规范 块传输协议执行测试

18 2.安全芯片检测规范 背景 意义 安全芯片是移动支付重要的安全角色 安全芯片需要高安全性来应对多元化的攻击
应用于移动支付的安全芯片需要配套的检测规范 意义 保障移动支付中芯片的安全性 对芯片的安全性进行了全面的检测和评价 攻击测试类型与国际接轨,为国内外互认奠定基础 移动支付以手机等移动通信设备的安全模块作为用户账户、身份认证等敏感数据的存储载体，利用线上无线通信网络或线下POS、ATM等受理网络实现不同账户的资金转移或支付行为，安全模块是由SE和安全芯片共同支撑保护用数据的安全核心单元。 安全芯片用于承载移动支付的专用的SE，专门为保护用户代码和数据，防止非授权访问和能较好的抵御非侵入、半侵入和侵入攻击而设计的芯片。 本规范是根据移动支付行业中的安全要求所制定的相应的检测规范，整个框架和内容都是以保障移动支付安全为目的。

19 2.安全芯片检测规范 检测目的

20 2.安全芯片检测规范 芯片安全功能要求

21 2.安全芯片检测规范 交易性能测试

22 2.安全芯片检测规范 芯片抗攻击能力要求

23 2.安全芯片检测规范 安全功能检测

24 2.安全芯片检测规范 抗攻击能力检测

25 2.安全芯片检测规范 安全功能检测方法

26 2.安全芯片检测规范 抗攻击能力检测方法

27 2.安全芯片检测规范 检测步骤

28 3.客户端软件检测规范 背景及意义 快速发展需要：客户端软件作为应用与以其便捷的操作、良好的用户体验，成为移动支付一个新的发展趋势。
客户体验需要：考虑到客户端软件运行平台的多样化，软件作为用户支付服务的窗口，选用安全可靠的客户端软件是极其重要的。 创新性需要：目前尚无针对客户端软件检测的国家标准、行业标准；同时，本标准未被纳入已有的国家标准、行业标准制修订计划。 规范性需要：确保移动支付业务的安全应用，规范移动支付客户端软件的检测行为。

29 3.客户端软件检测规范 适用范围 客户端软件仅指运行于移动终端操作系统的应用软件。 适用于所有远程支付和近场支付的客户端软件的检测。
适用于移动支付客户端软件检测机构以及设计、开发、集成、维护等相关单位。

30 3.客户端软件检测规范 总体框架

31 3.客户端软件检测规范 基本测项

32 3.客户端软件检测规范 安全检测项

33 4.受理终端安全检测规范 总体框架

34 4.受理终端安全检测规范 终端检测内容

35 4.受理终端安全检测规范 PIN输入设备检测内容

36 5.SE物理电气特性和通讯协议检测规范 检测内容

37 5.SE物理电气特性和通讯协议检测规范 一般特性

38 5.SE物理电气特性和通讯协议检测规范 电气特性 测试项目 测试目的 VCC触点
测量SE在VCC触点上所消耗的电流，并检测在给定的Vcc范围内SE能否工作 I/O触点 测量I/O触点的接触电容，正常工作模式下(IOL max/min和IOH max/min)输出电压(VOH,VOL), SE发送数据时I/O端的tR和tF，接收数据时I/O端的输人电流IIL) CLK触点 测量SE的CLK触点的电流，检测SE在一给定时钟频率和波形下能否运行 RST触点 测量卡在RST触点上所消耗的电流，并检测RST

39 5.SE物理电气特性和通讯协议检测规范 逻辑操作 SWP&HCI协议 复位应答（ATR） T=0协议 T=1协议
SWP协议的测试标准请参考《ETSI TS Test specification for the Single Wire Protocol (SWP)》规范。 HCI测试标准请参考《ETSI TS Test specification for the Host Controller Interface (HCI)》规范。

40 5.SE物理电气特性和通讯协议检测规范 非接触接口 非接触接口的测试标准请参考《移动支付-检测规范 第1部分：非接触式接口》

41 6.SE嵌入式软件安全检测规范 概述

42 6.SE嵌入式软件安全检测规范 SE嵌入式软件安全要求 SE多应用平台安全要求 参照标准
GB/T 《信息安全技术 智能卡嵌入式软件安全技术要求（EAL4+）》 GB/T 《信息技术 安全技术 信息技术安全性评估准则》 SE多应用平台安全要求 参照标准: GPSR (GP Card Security Requirements Specification V1.0） GPCS（GP Card specification V2.1.1）

43 6.SE嵌入式软件安全检测规范 SE多应用平台安全检测内容

44 6.SE嵌入式软件安全检测规范 SE嵌入式软件逻辑攻击

45 6.SE嵌入式软件安全检测规范 SE嵌入式软件测试

46 6.SE嵌入式软件安全检测规范 SE嵌入式软件测评步骤

47 7.SE应用检测规范 概述 本检测标准从命令格式、交互流程、状态机转换、异常情况处理等方面进行了描述，针对规范中主要内容和关键问题进行了重点设计，提出了全面的检测方法和检测流程，保障了SE应用规范实现的正确性和兼容性。

48 7.SE应用检测规范 非接触PBOC应用测试

49 7.SE应用检测规范 非接触式支付应用测试

50 7.SE应用检测规范 交易性能及稳定性测试

51 衷心感谢！