標(biāo)準(zhǔn)解讀

《GB/T 34095-2017 信息安全技術(shù) 用于電子支付的基于近距離無線通信的移動(dòng)終端安全技術(shù)要求》這一標(biāo)準(zhǔn)主要針對(duì)利用NFC(近場(chǎng)通信)技術(shù)進(jìn)行電子支付的移動(dòng)設(shè)備,提出了具體的安全技術(shù)規(guī)范。其內(nèi)容涵蓋了從物理層到應(yīng)用層多個(gè)方面的安全考量,旨在確保此類交易過程中的信息安全性。

該標(biāo)準(zhǔn)首先定義了適用范圍,明確了其適用于所有支持NFC功能并可用于執(zhí)行電子支付操作的手持式移動(dòng)設(shè)備。接著,對(duì)相關(guān)術(shù)語進(jìn)行了界定,比如“安全域”、“可信執(zhí)行環(huán)境”等關(guān)鍵概念,為后續(xù)章節(jié)的理解打下基礎(chǔ)。

在安全框架部分,標(biāo)準(zhǔn)概述了一個(gè)多層次的安全架構(gòu)模型,包括但不限于硬件保護(hù)機(jī)制、操作系統(tǒng)級(jí)別的安全措施以及應(yīng)用程序?qū)用娴臄?shù)據(jù)加密和認(rèn)證流程。此外,還特別強(qiáng)調(diào)了對(duì)于敏感數(shù)據(jù)處理時(shí)應(yīng)采取的額外防護(hù)手段,如使用專用的安全芯片或隔離存儲(chǔ)區(qū)域來存放密鑰材料和個(gè)人信息。

接下來是關(guān)于生命周期管理的規(guī)定,涉及到從設(shè)備制造到最終用戶手中的整個(gè)鏈條上如何保證信息安全不被泄露。這其中包括生產(chǎn)階段的安全初始化設(shè)置、分發(fā)過程中防止未授權(quán)訪問的方法以及用戶使用期間定期更新固件以修補(bǔ)潛在漏洞的要求。

標(biāo)準(zhǔn)中也詳細(xì)列出了針對(duì)不同攻擊場(chǎng)景下的防御策略,比如重放攻擊、中間人攻擊等常見威脅,并給出了相應(yīng)的檢測(cè)與響應(yīng)指南。同時(shí),對(duì)于第三方應(yīng)用程序接入移動(dòng)支付系統(tǒng)也有嚴(yán)格限制,必須經(jīng)過嚴(yán)格的審核才能獲得權(quán)限,從而最大限度地減少惡意軟件造成的風(fēng)險(xiǎn)。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2017-07-31 頒布
  • 2018-02-01 實(shí)施
?正版授權(quán)
GB/T 34095-2017信息安全技術(shù)用于電子支付的基于近距離無線通信的移動(dòng)終端安全技術(shù)要求_第1頁
GB/T 34095-2017信息安全技術(shù)用于電子支付的基于近距離無線通信的移動(dòng)終端安全技術(shù)要求_第2頁
GB/T 34095-2017信息安全技術(shù)用于電子支付的基于近距離無線通信的移動(dòng)終端安全技術(shù)要求_第3頁
GB/T 34095-2017信息安全技術(shù)用于電子支付的基于近距離無線通信的移動(dòng)終端安全技術(shù)要求_第4頁
GB/T 34095-2017信息安全技術(shù)用于電子支付的基于近距離無線通信的移動(dòng)終端安全技術(shù)要求_第5頁
免費(fèi)預(yù)覽已結(jié)束,剩余91頁可下載查看

下載本文檔

GB/T 34095-2017信息安全技術(shù)用于電子支付的基于近距離無線通信的移動(dòng)終端安全技術(shù)要求-免費(fèi)下載試讀頁

文檔簡(jiǎn)介

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T34095—2017

信息安全技術(shù)

用于電子支付的基于近距離無線

通信的移動(dòng)終端安全技術(shù)要求

Informationsecuritytechnology—

Technologyrequirementsforelectronicpaymentofmobileterminal

securitybasedonshort-rangeradiocommunicationtechnology

2017-07-31發(fā)布2018-02-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T34095—2017

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義縮略語

3、………………………1

術(shù)語和定義

3.1…………………………1

縮略語

3.2………………3

概述

4………………………4

評(píng)估對(duì)象

5(TOE)…………………………4

概述

5.1…………………4

內(nèi)置安全單元

5.2………………………5

通用集成電路卡

5.3(UICC)……………8

生命周期

5.4……………8

角色

5.5…………………10

安全問題

6…………………10

資產(chǎn)

6.1…………………10

用戶與主體

6.2…………………………12

假設(shè)

6.3…………………12

威脅

6.4…………………13

組織安全策略

6.5………………………19

安全目的

7…………………21

安全目的

7.1TOE……………………21

環(huán)境安全目的

7.2………………………26

安全目的對(duì)應(yīng)關(guān)系

7.3…………………27

擴(kuò)展組件定義

8……………29

族定義

8.1FCS_RNG…………………29

隨機(jī)數(shù)的質(zhì)量指標(biāo)

8.2FCS_RNG.1…………………30

安全功能要求

9……………30

概述

9.1…………………30

安全芯片安全功能要求

9.2IC-Chip…………………33

智能卡管理安全功能要求

9.3…………39

運(yùn)行環(huán)境安全功能要求

9.4……………45

平臺(tái)安全功能要求

9.5…………………55

安全功能要求對(duì)應(yīng)關(guān)系

9.6……………56

安全保證要求

10…………………………65

概述

10.1………………65

GB/T34095—2017

智能卡芯片安全保證要求

10.2………………………66

開發(fā)過程

10.3…………………………79

指導(dǎo)性文檔

10.4………………………80

生命周期支持

10.5……………………81

測(cè)試過程

10.6…………………………83

脆弱性評(píng)估

10.7………………………85

安全保證要求對(duì)應(yīng)關(guān)系

10.8…………85

參考文獻(xiàn)

……………………88

GB/T34095—2017

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位工業(yè)和信息化部電信研究院中國移動(dòng)通信集團(tuán)公司中國聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有

:、、

限公司中國電信集團(tuán)公司中國銀聯(lián)股份有限公司北京握奇數(shù)據(jù)系統(tǒng)有限公司重慶電信研究院

、、、、。

本標(biāo)準(zhǔn)主要起草人夏駱輝孫宇濤成秋良任曉明張強(qiáng)紀(jì)成軍譚穎張楚范雨曉袁浩

:、、、、、、、、、。

GB/T34095—2017

信息安全技術(shù)

用于電子支付的基于近距離無線

通信的移動(dòng)終端安全技術(shù)要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了基于近距離無線通信的移動(dòng)終端電子支付的智能卡和內(nèi)置安全單元安全技術(shù)要求

,

內(nèi)容包括評(píng)估對(duì)象定義安全問題定義安全目的描述安全要求描述等

(TOE)、、、。

本標(biāo)準(zhǔn)適用于基于近距離通信技術(shù)支持電子支付業(yè)務(wù)的載有智能卡或內(nèi)置安全單元的移動(dòng)終端

、

電子設(shè)備

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語

GB/T25069—2010

隨機(jī)性檢測(cè)規(guī)范

GM/T0005—2012

識(shí)別卡集成電路卡第部分帶觸點(diǎn)的卡觸點(diǎn)的尺寸和定位

ISO/IEC7816-2:20072:(Iden-

tificationcards—Integratedcircuitcards—Part2:Cardswithcontacts—Dimensionsandlocationof

thecontacts)

識(shí)別卡集成電路卡第部分交換用業(yè)內(nèi)數(shù)據(jù)元素

ISO/IEC7816-6:20046:(Identification

cards—Integratedcircuitcards—Part6:Interindustrydataelementsforinterchange)

信息技術(shù)安全技術(shù)基于橢圓曲線的密碼技術(shù)第部分總則

ISO/IEC15946-1:20081:

(Informationtechnology—Securitytechniques—Cryptographictechniquesbasedonellipticcurves—

Part1:General)

信息技術(shù)安全技術(shù)基于橢圓曲線的密碼技術(shù)第部分鍵的確定

ISO/IEC15946-3:20023:

(Informationtechnology—Securitytechniques—Crypto

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

最新文檔

評(píng)論

0/150

提交評(píng)論