2024支持支付業(yè)務(wù)的可穿戴設(shè)備安全規(guī)范

支持支付業(yè)務(wù)的可穿戴設(shè)備安全規(guī)范目 次前言 II引言 III范圍 1規(guī)性用件 1術(shù)和義 1縮語 2可戴備付用考模型 2可戴備全脅析 3可戴備全構(gòu) 3可戴備全求測試法 44全級 4全術(shù)求 4全試法 6I支持支付業(yè)務(wù)的可穿戴設(shè)備安全規(guī)范范圍本文件規(guī)定了支持支付業(yè)務(wù)的可穿戴設(shè)備的安全功能要求，包括硬件安全、安全啟動、安全更新、安全存儲、訪問控制、安全通信、業(yè)務(wù)安全、數(shù)據(jù)安全與個人信息保護要求。本文件適用于支持支付業(yè)務(wù)的可穿戴設(shè)備的研發(fā)、設(shè)計、生產(chǎn)、測試等活動。（GB/T25069—2022 信安全術(shù) 術(shù)語GB/T36651—2018 信安全術(shù) 基可環(huán)的生特識身鑒協(xié)議架GB/T25069—2022界定的以及下列術(shù)語和定義適用于本文件。3.1設(shè)備證 devicecertificate預(yù)置在芯片內(nèi)部、用于提供設(shè)備身份信息的數(shù)據(jù)。3.2支付證 paymentcertificate在設(shè)備和支付賬號綁定過程中，由支付云平臺下發(fā)的用于生成支付令牌的數(shù)據(jù)。3.3支付牌 paymenttoken3.4可信境 trustedenvironment設(shè)備上可保證加載到其內(nèi)部數(shù)據(jù)的安全性如保密性、完整性和可用性的安全區(qū)域。注：可信環(huán)境的實現(xiàn)方式可包括可信執(zhí)行環(huán)境（TEE）、安全元件（SE）、可信密碼模塊（TCM）或其他具備安全邊界的保護區(qū)域。1[來源：GB/T36651—2018，3.1，有修改]3.5支付平臺 paymentcloudplatform在可穿戴支付場景中負責(zé)與收款設(shè)備完成支付過程的云平臺。3.6安全儲域 securestoragezone通過軟件或硬件隔離技術(shù)與系統(tǒng)其他存儲區(qū)域隔離的，為其上存儲的數(shù)據(jù)提供安全保護的存儲區(qū)域。注：安全存儲區(qū)域可以是外部安全芯片的存儲區(qū)域，也可以是受安全隔離機制保護的存儲區(qū)域?？s略語下列縮略語適用于本文件。HUK：硬件唯一密鑰（HardwareUniqueKey）SE:安全元件（SecureElement）TCM：可信密碼模塊（TrustedCryptographyModule）TEE：可信執(zhí)行環(huán)境（TrustedExecutionEnvironment）典型的具備支付功能的可穿戴設(shè)備（簡稱可穿戴設(shè)備）應(yīng)用參考模型見圖1。典型應(yīng)用參考模型中包含可穿戴設(shè)備、收款設(shè)備、支付云平臺和手機支付APP四個參與主體，支付應(yīng)用涉及到可穿戴支付交易、可穿戴支付個人管理和可穿戴支付平臺管理三個功能角色管理。圖1 典的穿設(shè)支付用考型具體到可穿戴設(shè)備，其支付應(yīng)用包括兩個階段，分別是設(shè)備綁定階段和支付業(yè)務(wù)交易階段。2APP可穿戴設(shè)備可能面臨以下安全威脅：//圖2 可戴備全構(gòu)安全架構(gòu)從下到上可分為四層：3——硬件層提供硬件安全，包括HUK、調(diào)試接口等；——系統(tǒng)層提供核心安全服務(wù)，包括安全啟動、安全更新、安全存儲、訪問控制等；——傳輸層提供安全通訊機制；——應(yīng)用層提供主要包括可穿戴支付場景使用到的設(shè)備憑證和支付憑證的安全要求?！獦I(yè)務(wù)安全主要包括可穿戴支付場景使用到的設(shè)備憑證和支付憑證的安全要求；——數(shù)據(jù)安全與個人信息保護功能主要涉及可穿戴設(shè)備對收集的用戶個人信息以及其他數(shù)據(jù)的安全保護能力。概述本章規(guī)定了可穿戴設(shè)備安全分級和安全技術(shù)要求。。表1安全技術(shù)要求分級表安全技術(shù)要求一級二級三級硬件層安全要求硬件安全要求8.3.18.3.18.3.1系統(tǒng)層安全要求安全啟動要求8.3.2.1a)8.3.2.1a)b)8.3.2.1a)c)安全更新要求8.3.2.2a)d)f）8.3.2.2a)b)d)f)8.3.2.2a),c)-e)f)安全存儲要求8.3.2.3a)8.3.2.3a)-c)8.3.2.3訪問控制要求8.3.2.4a)8.3.2.48.3.2.4傳輸層安全要求安全通信要求8.3.38.3.38.3.3應(yīng)用層業(yè)務(wù)安全要求設(shè)備憑證安全要求8.3.4.18.3.4.18.3.4.1支付憑證安全要求8.3.4.2a)b)8.3.4.2a)b)8.3.4.2數(shù)據(jù)安全要求數(shù)據(jù)安全與個人信息保護要求8.3.58.3.58.3.5密碼算法安全要求密碼算法安全要求8.3.68.3.68.3.6可穿戴設(shè)備硬件層應(yīng)滿足以下安全要求：HUK，該HUKHUK128bit；HUKOTP4（可穿戴設(shè)備的安全啟動功能，應(yīng)滿足以下要求：注：此處涉及的鏡像文件為系統(tǒng)啟動過程中鏡像文件，一般包括ROM、Bootloader、主鏡像文件。其中b)和c)的區(qū)別在于驗簽機制采用的算法安全性不同，非對稱密碼算法安全性高于對稱密碼算法安全性?？纱┐髟O(shè)備安全更新應(yīng)滿足以下要求：注：可穿戴設(shè)備可支持設(shè)備自主安全更新或代理設(shè)備（如可穿戴設(shè)備綁定的手機）安全更新，鏡像文件安全性可以由可穿戴設(shè)備或者代理設(shè)備進行驗證?？纱┐髟O(shè)備應(yīng)提供安全存儲能力，滿足以下要求：（TEE、SE等注：防回滾機制用于保證當(dāng)前數(shù)據(jù)是最新數(shù)據(jù)，而不能被過期數(shù)據(jù)更新?？纱┐髟O(shè)備應(yīng)提供訪問控制機制，滿足以下要求：注：此處的應(yīng)用資源主要指應(yīng)用運行過程中生成和存儲的數(shù)據(jù)，例如屬于當(dāng)前應(yīng)用的支付憑證。5可穿戴設(shè)備應(yīng)提供安全通信機制，滿足以下要求：可穿戴設(shè)備應(yīng)具備設(shè)備憑證，用于設(shè)備綁定過程中的設(shè)備身份識別。設(shè)備憑證安全要求如下：8.3.2.3可穿戴設(shè)備應(yīng)具備支付憑證，滿足以下要求：8.3.2.3支持支付功能的可穿戴設(shè)備對其上數(shù)據(jù)的處理應(yīng)滿足以下要求：8.3.2.38.3.3可穿戴設(shè)備硬件安全檢測方法和結(jié)果判定如下：1)HUK，HUK1)查看HUK長度是否低于128bit；2)查看HUK是否由芯片硬件生成或存于OTP區(qū)域；63)查看設(shè)備是否關(guān)閉物理調(diào)試接口或者禁用物理調(diào)試功能；4) （HUKHUKHUK128bit；HUKOTP（實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為不符合?？纱┐髟O(shè)備安全啟動檢測方法和結(jié)果判定如下：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為不符合?？纱┐髟O(shè)備安全更新檢測方法和結(jié)果判定如下：7實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為不符合?？纱┐髟O(shè)備安全存儲檢測方法和結(jié)果判定如下：TEE、SETEE、SE實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為不符合?？纱┐髟O(shè)備訪問控制檢測方法和結(jié)果判定如下：實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為不符合?？纱┐髟O(shè)備傳輸層安全通信檢測方法和結(jié)果判定如下：8實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為不符合。設(shè)備憑證安全檢測方法和結(jié)果判定如下：8.4.2.3a）8.4.2.3b）；實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為不符合?？纱┐髟O(shè)備應(yīng)具備支付憑證并保障支付憑證安全，滿足以下要求：8.4.2.3a）8.4.2.3b）；實際測試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為