移动金融信息安全保障标准介绍.pptVIP

3.客户端软件检测规范 总体框架 3.客户端软件检测规范 基本测项 3.客户端软件检测规范 安全检测项 4.受理终端安全检测规范 总体框架 4.受理终端安全检测规范 终端检测内容 4.受理终端安全检测规范 PIN输入设备检测内容 5.SE物理电气特性和通讯协议检测规范 检测内容 5.SE物理电气特性和通讯协议检测规范 一般特性 5.SE物理电气特性和通讯协议检测规范 电气特性 测试项目 测试目的 VCC触点 测量SE在VCC触点上所消耗的电流，并检测在给定的Vcc范围内SE能否工作 I/O触点 测量I/O触点的接触电容，正常工作模式下(IOL?max/min和IOH?max/min)输出电压(VOH,VOL),?SE发送数据时I/O端的tR和tF，接收数据时I/O端的输人电流IIL) CLK触点 测量SE的CLK触点的电流，检测SE在一给定时钟频率和波形下能否运行 RST触点 测量卡在RST触点上所消耗的电流，并检测RST 5.SE物理电气特性和通讯协议检测规范 逻辑操作 复位应答（ATR） T=0协议 T=1协议 SWPHCI协议 SWP协议的测试标准请参考《ETSI TS 102 694-2 Test specification for the Single Wire Protocol (SWP)》规范。 HCI测试标准请参考《ETSI TS 102 695-2 Test specification for the Host Controller Interface (HCI)》规范。 5.SE物理电气特性和通讯协议检测规范 非接触接口 非接触接口的测试标准请参考《移动支付-检测规范 第1部分：非接触式接口》 6.SE嵌入式软件安全检测规范 概述 6.SE嵌入式软件安全检测规范 SE嵌入式软件安全要求 参照标准 GB/T 20276-2006《信息安全技术 智能卡嵌入式软件安全技术要求（EAL4+）》 GB/T 18336-2008《信息技术 安全技术 信息技术安全性评估准则》 SE多应用平台安全要求 参照标准: GPSR (GP Card Security Requirements Specification V1.0） GPCS（GP Card specification V2.1.1） 6.SE嵌入式软件安全检测规范 SE多应用平台安全检测内容 6.SE嵌入式软件安全检测规范 SE嵌入式软件逻辑攻击 6.SE嵌入式软件安全检测规范 SE嵌入式软件测试 6.SE嵌入式软件安全检测规范 SE嵌入式软件测评步骤 7.SE应用检测规范 概述 本检测标准从命令格式、交互流程、状态机转换、异常情况处理等方面进行了描述，针对规范中主要内容和关键问题进行了重点设计，提出了全面的检测方法和检测流程，保障了SE应用规范实现的正确性和兼容性。 7.SE应用检测规范 非接触PBOC应用测试 7.SE应用检测规范 非接触式支付应用测试 7.SE应用检测规范 交易性能及稳定性测试 衷心感谢！ 2012年4月至6月，我中心应人民银行邀请，委派相关人员参与移动支付安全保障类标准的编制工作。 在检测规范的编写过程中我们参与了所有规范的讨论，其中芯片检测规范和SE嵌入式软件检测规范以及可信服务系统检测规范我们都贡献了很多以往测评过程中积累的经验，可以从这5个方面对10个检测规范进行逐一介绍 * 从移动支付框架中分支出来检测规范的内容 * * * * * 移动支付以手机等移动通信设备的安全模块作为用户账户、身份认证等敏感数据的存储载体，利用线上无线通信网络或线下POS、ATM等受理网络实现不同账户的资金转移或支付行为，安全模块是由SE和安全芯片共同支撑保护用数据的安全核心单元。 安全芯片用于承载移动支付的专用的SE，专门为保护用户代码和数据，防止非授权访问和能较好的抵御非侵入、半侵入和侵入攻击而设计的芯片。 本规范是根据移动支付行业中的安全要求所制定的相应的检测规范，整个框架和内容都是以保障移动支付安全为目的。 * Page ? * 信息产业信息安全测评中心 移动金融检测规范简介 国家金卡工程IC卡产品信息安全测评中心 国家信息安全产品认证指定实验室 中国人民银行非金融机构支付服务业务系统检测机构 公安部授权信息安全等级保护测评机构（京-001） 内容提纲 标准制定的必要性 标准编制的可行性 编制原则 标准内容介绍 标准框架介绍 标准框