2024支持支付業(yè)務(wù)的可穿戴設(shè)備安全規(guī)范

支持支付業(yè)務(wù)的可穿戴設(shè)備安全規(guī)范目 次前言 II引言 III范圍 1規(guī)性用件 1術(shù)和義 1縮語(yǔ) 2可戴備付用考模型 2可戴備全脅析 3可戴備全構(gòu) 3可戴備全求測(cè)試法 44全級(jí) 4全術(shù)求 4全試法 6I支持支付業(yè)務(wù)的可穿戴設(shè)備安全規(guī)范范圍本文件規(guī)定了支持支付業(yè)務(wù)的可穿戴設(shè)備的安全功能要求，包括硬件安全、安全啟動(dòng)、安全更新、安全存儲(chǔ)、訪問(wèn)控制、安全通信、業(yè)務(wù)安全、數(shù)據(jù)安全與個(gè)人信息保護(hù)要求。本文件適用于支持支付業(yè)務(wù)的可穿戴設(shè)備的研發(fā)、設(shè)計(jì)、生產(chǎn)、測(cè)試等活動(dòng)。（GB/T25069—2022 信安全術(shù) 術(shù)語(yǔ)GB/T36651—2018 信安全術(shù) 基可環(huán)的生特識(shí)身鑒協(xié)議架GB/T25069—2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1設(shè)備證 devicecertificate預(yù)置在芯片內(nèi)部、用于提供設(shè)備身份信息的數(shù)據(jù)。3.2支付證 paymentcertificate在設(shè)備和支付賬號(hào)綁定過(guò)程中，由支付云平臺(tái)下發(fā)的用于生成支付令牌的數(shù)據(jù)。3.3支付牌 paymenttoken3.4可信境 trustedenvironment設(shè)備上可保證加載到其內(nèi)部數(shù)據(jù)的安全性如保密性、完整性和可用性的安全區(qū)域。注：可信環(huán)境的實(shí)現(xiàn)方式可包括可信執(zhí)行環(huán)境（TEE）、安全元件（SE）、可信密碼模塊（TCM）或其他具備安全邊界的保護(hù)區(qū)域。1[來(lái)源：GB/T36651—2018，3.1，有修改]3.5支付平臺(tái) paymentcloudplatform在可穿戴支付場(chǎng)景中負(fù)責(zé)與收款設(shè)備完成支付過(guò)程的云平臺(tái)。3.6安全儲(chǔ)域 securestoragezone通過(guò)軟件或硬件隔離技術(shù)與系統(tǒng)其他存儲(chǔ)區(qū)域隔離的，為其上存儲(chǔ)的數(shù)據(jù)提供安全保護(hù)的存儲(chǔ)區(qū)域。注：安全存儲(chǔ)區(qū)域可以是外部安全芯片的存儲(chǔ)區(qū)域，也可以是受安全隔離機(jī)制保護(hù)的存儲(chǔ)區(qū)域。縮略語(yǔ)下列縮略語(yǔ)適用于本文件。HUK：硬件唯一密鑰（HardwareUniqueKey）SE:安全元件（SecureElement）TCM：可信密碼模塊（TrustedCryptographyModule）TEE：可信執(zhí)行環(huán)境（TrustedExecutionEnvironment）典型的具備支付功能的可穿戴設(shè)備（簡(jiǎn)稱可穿戴設(shè)備）應(yīng)用參考模型見(jiàn)圖1。典型應(yīng)用參考模型中包含可穿戴設(shè)備、收款設(shè)備、支付云平臺(tái)和手機(jī)支付APP四個(gè)參與主體，支付應(yīng)用涉及到可穿戴支付交易、可穿戴支付個(gè)人管理和可穿戴支付平臺(tái)管理三個(gè)功能角色管理。圖1 典的穿設(shè)支付用考型具體到可穿戴設(shè)備，其支付應(yīng)用包括兩個(gè)階段，分別是設(shè)備綁定階段和支付業(yè)務(wù)交易階段。2APP可穿戴設(shè)備可能面臨以下安全威脅：//圖2 可戴備全構(gòu)安全架構(gòu)從下到上可分為四層：3——硬件層提供硬件安全，包括HUK、調(diào)試接口等；——系統(tǒng)層提供核心安全服務(wù)，包括安全啟動(dòng)、安全更新、安全存儲(chǔ)、訪問(wèn)控制等；——傳輸層提供安全通訊機(jī)制；——應(yīng)用層提供主要包括可穿戴支付場(chǎng)景使用到的設(shè)備憑證和支付憑證的安全要求?！獦I(yè)務(wù)安全主要包括可穿戴支付場(chǎng)景使用到的設(shè)備憑證和支付憑證的安全要求；——數(shù)據(jù)安全與個(gè)人信息保護(hù)功能主要涉及可穿戴設(shè)備對(duì)收集的用戶個(gè)人信息以及其他數(shù)據(jù)的安全保護(hù)能力。概述本章規(guī)定了可穿戴設(shè)備安全分級(jí)和安全技術(shù)要求。。表1安全技術(shù)要求分級(jí)表安全技術(shù)要求一級(jí)二級(jí)三級(jí)硬件層安全要求硬件安全要求8.3.18.3.18.3.1系統(tǒng)層安全要求安全啟動(dòng)要求8.3.2.1a)8.3.2.1a)b)8.3.2.1a)c)安全更新要求8.3.2.2a)d)f）8.3.2.2a)b)d)f)8.3.2.2a),c)-e)f)安全存儲(chǔ)要求8.3.2.3a)8.3.2.3a)-c)8.3.2.3訪問(wèn)控制要求8.3.2.4a)8.3.2.48.3.2.4傳輸層安全要求安全通信要求8.3.38.3.38.3.3應(yīng)用層業(yè)務(wù)安全要求設(shè)備憑證安全要求8.3.4.18.3.4.18.3.4.1支付憑證安全要求8.3.4.2a)b)8.3.4.2a)b)8.3.4.2數(shù)據(jù)安全要求數(shù)據(jù)安全與個(gè)人信息保護(hù)要求8.3.58.3.58.3.5密碼算法安全要求密碼算法安全要求8.3.68.3.68.3.6可穿戴設(shè)備硬件層應(yīng)滿足以下安全要求：HUK，該HUKHUK128bit；HUKOTP4（可穿戴設(shè)備的安全啟動(dòng)功能，應(yīng)滿足以下要求：注：此處涉及的鏡像文件為系統(tǒng)啟動(dòng)過(guò)程中鏡像文件，一般包括ROM、Bootloader、主鏡像文件。其中b)和c)的區(qū)別在于驗(yàn)簽機(jī)制采用的算法安全性不同，非對(duì)稱密碼算法安全性高于對(duì)稱密碼算法安全性。可穿戴設(shè)備安全更新應(yīng)滿足以下要求：注：可穿戴設(shè)備可支持設(shè)備自主安全更新或代理設(shè)備（如可穿戴設(shè)備綁定的手機(jī)）安全更新，鏡像文件安全性可以由可穿戴設(shè)備或者代理設(shè)備進(jìn)行驗(yàn)證?？纱┐髟O(shè)備應(yīng)提供安全存儲(chǔ)能力，滿足以下要求：（TEE、SE等注：防回滾機(jī)制用于保證當(dāng)前數(shù)據(jù)是最新數(shù)據(jù)，而不能被過(guò)期數(shù)據(jù)更新?？纱┐髟O(shè)備應(yīng)提供訪問(wèn)控制機(jī)制，滿足以下要求：注：此處的應(yīng)用資源主要指應(yīng)用運(yùn)行過(guò)程中生成和存儲(chǔ)的數(shù)據(jù)，例如屬于當(dāng)前應(yīng)用的支付憑證。5可穿戴設(shè)備應(yīng)提供安全通信機(jī)制，滿足以下要求：可穿戴設(shè)備應(yīng)具備設(shè)備憑證，用于設(shè)備綁定過(guò)程中的設(shè)備身份識(shí)別。設(shè)備憑證安全要求如下：8.3.2.3可穿戴設(shè)備應(yīng)具備支付憑證，滿足以下要求：8.3.2.3支持支付功能的可穿戴設(shè)備對(duì)其上數(shù)據(jù)的處理應(yīng)滿足以下要求：8.3.2.38.3.3可穿戴設(shè)備硬件安全檢測(cè)方法和結(jié)果判定如下：1)HUK，HUK1)查看HUK長(zhǎng)度是否低于128bit；2)查看HUK是否由芯片硬件生成或存于OTP區(qū)域；63)查看設(shè)備是否關(guān)閉物理調(diào)試接口或者禁用物理調(diào)試功能；4) （HUKHUKHUK128bit；HUKOTP（實(shí)際測(cè)試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為不符合?？纱┐髟O(shè)備安全啟動(dòng)檢測(cè)方法和結(jié)果判定如下：實(shí)際測(cè)試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為不符合?？纱┐髟O(shè)備安全更新檢測(cè)方法和結(jié)果判定如下：7實(shí)際測(cè)試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為不符合?？纱┐髟O(shè)備安全存儲(chǔ)檢測(cè)方法和結(jié)果判定如下：TEE、SETEE、SE實(shí)際測(cè)試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為不符合?？纱┐髟O(shè)備訪問(wèn)控制檢測(cè)方法和結(jié)果判定如下：實(shí)際測(cè)試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為不符合。可穿戴設(shè)備傳輸層安全通信檢測(cè)方法和結(jié)果判定如下：8實(shí)際測(cè)試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為不符合。設(shè)備憑證安全檢測(cè)方法和結(jié)果判定如下：8.4.2.3a）8.4.2.3b）；實(shí)際測(cè)試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為不符合?？纱┐髟O(shè)備應(yīng)具備支付憑證并保障支付憑證安全，滿足以下要求：8.4.2.3a）8.4.2.3b）；實(shí)際測(cè)試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為