標準解讀

《GB/T 34095-2017 信息安全技術 用于電子支付的基于近距離無線通信的移動終端安全技術要求》這一標準主要針對利用NFC(近場通信)技術進行電子支付的移動設備,提出了具體的安全技術規(guī)范。其內容涵蓋了從物理層到應用層多個方面的安全考量,旨在確保此類交易過程中的信息安全性。

該標準首先定義了適用范圍,明確了其適用于所有支持NFC功能并可用于執(zhí)行電子支付操作的手持式移動設備。接著,對相關術語進行了界定,比如“安全域”、“可信執(zhí)行環(huán)境”等關鍵概念,為后續(xù)章節(jié)的理解打下基礎。

在安全框架部分,標準概述了一個多層次的安全架構模型,包括但不限于硬件保護機制、操作系統(tǒng)級別的安全措施以及應用程序層面的數(shù)據(jù)加密和認證流程。此外,還特別強調了對于敏感數(shù)據(jù)處理時應采取的額外防護手段,如使用專用的安全芯片或隔離存儲區(qū)域來存放密鑰材料和個人信息。

接下來是關于生命周期管理的規(guī)定,涉及到從設備制造到最終用戶手中的整個鏈條上如何保證信息安全不被泄露。這其中包括生產(chǎn)階段的安全初始化設置、分發(fā)過程中防止未授權訪問的方法以及用戶使用期間定期更新固件以修補潛在漏洞的要求。

標準中也詳細列出了針對不同攻擊場景下的防御策略,比如重放攻擊、中間人攻擊等常見威脅,并給出了相應的檢測與響應指南。同時,對于第三方應用程序接入移動支付系統(tǒng)也有嚴格限制,必須經(jīng)過嚴格的審核才能獲得權限,從而最大限度地減少惡意軟件造成的風險。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權發(fā)布的權威標準文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2017-07-31 頒布
  • 2018-02-01 實施
?正版授權
GB/T 34095-2017信息安全技術用于電子支付的基于近距離無線通信的移動終端安全技術要求_第1頁
GB/T 34095-2017信息安全技術用于電子支付的基于近距離無線通信的移動終端安全技術要求_第2頁
GB/T 34095-2017信息安全技術用于電子支付的基于近距離無線通信的移動終端安全技術要求_第3頁
GB/T 34095-2017信息安全技術用于電子支付的基于近距離無線通信的移動終端安全技術要求_第4頁
GB/T 34095-2017信息安全技術用于電子支付的基于近距離無線通信的移動終端安全技術要求_第5頁
免費預覽已結束,剩余91頁可下載查看

下載本文檔

GB/T 34095-2017信息安全技術用于電子支付的基于近距離無線通信的移動終端安全技術要求-免費下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標準

GB/T34095—2017

信息安全技術

用于電子支付的基于近距離無線

通信的移動終端安全技術要求

Informationsecuritytechnology—

Technologyrequirementsforelectronicpaymentofmobileterminal

securitybasedonshort-rangeradiocommunicationtechnology

2017-07-31發(fā)布2018-02-01實施

中華人民共和國國家質量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T34095—2017

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義縮略語

3、………………………1

術語和定義

3.1…………………………1

縮略語

3.2………………3

概述

4………………………4

評估對象

5(TOE)…………………………4

概述

5.1…………………4

內置安全單元

5.2………………………5

通用集成電路卡

5.3(UICC)……………8

生命周期

5.4……………8

角色

5.5…………………10

安全問題

6…………………10

資產(chǎn)

6.1…………………10

用戶與主體

6.2…………………………12

假設

6.3…………………12

威脅

6.4…………………13

組織安全策略

6.5………………………19

安全目的

7…………………21

安全目的

7.1TOE……………………21

環(huán)境安全目的

7.2………………………26

安全目的對應關系

7.3…………………27

擴展組件定義

8……………29

族定義

8.1FCS_RNG…………………29

隨機數(shù)的質量指標

8.2FCS_RNG.1…………………30

安全功能要求

9……………30

概述

9.1…………………30

安全芯片安全功能要求

9.2IC-Chip…………………33

智能卡管理安全功能要求

9.3…………39

運行環(huán)境安全功能要求

9.4……………45

平臺安全功能要求

9.5…………………55

安全功能要求對應關系

9.6……………56

安全保證要求

10…………………………65

概述

10.1………………65

GB/T34095—2017

智能卡芯片安全保證要求

10.2………………………66

開發(fā)過程

10.3…………………………79

指導性文檔

10.4………………………80

生命周期支持

10.5……………………81

測試過程

10.6…………………………83

脆弱性評估

10.7………………………85

安全保證要求對應關系

10.8…………85

參考文獻

……………………88

GB/T34095—2017

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位工業(yè)和信息化部電信研究院中國移動通信集團公司中國聯(lián)合網(wǎng)絡通信集團有

:、、

限公司中國電信集團公司中國銀聯(lián)股份有限公司北京握奇數(shù)據(jù)系統(tǒng)有限公司重慶電信研究院

、、、、。

本標準主要起草人夏駱輝孫宇濤成秋良任曉明張強紀成軍譚穎張楚范雨曉袁浩

:、、、、、、、、、。

GB/T34095—2017

信息安全技術

用于電子支付的基于近距離無線

通信的移動終端安全技術要求

1范圍

本標準規(guī)定了基于近距離無線通信的移動終端電子支付的智能卡和內置安全單元安全技術要求

,

內容包括評估對象定義安全問題定義安全目的描述安全要求描述等

(TOE)、、、。

本標準適用于基于近距離通信技術支持電子支付業(yè)務的載有智能卡或內置安全單元的移動終端

電子設備

。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術術語

GB/T25069—2010

隨機性檢測規(guī)范

GM/T0005—2012

識別卡集成電路卡第部分帶觸點的卡觸點的尺寸和定位

ISO/IEC7816-2:20072:(Iden-

tificationcards—Integratedcircuitcards—Part2:Cardswithcontacts—Dimensionsandlocationof

thecontacts)

識別卡集成電路卡第部分交換用業(yè)內數(shù)據(jù)元素

ISO/IEC7816-6:20046:(Identification

cards—Integratedcircuitcards—Part6:Interindustrydataelementsforinterchange)

信息技術安全技術基于橢圓曲線的密碼技術第部分總則

ISO/IEC15946-1:20081:

(Informationtechnology—Securitytechniques—Cryptographictechniquesbasedonellipticcurves—

Part1:General)

信息技術安全技術基于橢圓曲線的密碼技術第部分鍵的確定

ISO/IEC15946-3:20023:

(Informationtechnology—Securitytechniques—Crypto

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權,嚴禁復制、發(fā)行、匯編、翻譯或網(wǎng)絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論