标准解读

《GB/T 34095-2017 信息安全技术 用于电子支付的基于近距离无线通信的移动终端安全技术要求》这一标准主要针对利用NFC(近场通信)技术进行电子支付的移动设备,提出了具体的安全技术规范。其内容涵盖了从物理层到应用层多个方面的安全考量,旨在确保此类交易过程中的信息安全性。

该标准首先定义了适用范围,明确了其适用于所有支持NFC功能并可用于执行电子支付操作的手持式移动设备。接着,对相关术语进行了界定,比如“安全域”、“可信执行环境”等关键概念,为后续章节的理解打下基础。

在安全框架部分,标准概述了一个多层次的安全架构模型,包括但不限于硬件保护机制、操作系统级别的安全措施以及应用程序层面的数据加密和认证流程。此外,还特别强调了对于敏感数据处理时应采取的额外防护手段,如使用专用的安全芯片或隔离存储区域来存放密钥材料和个人信息。

接下来是关于生命周期管理的规定,涉及到从设备制造到最终用户手中的整个链条上如何保证信息安全不被泄露。这其中包括生产阶段的安全初始化设置、分发过程中防止未授权访问的方法以及用户使用期间定期更新固件以修补潜在漏洞的要求。

标准中也详细列出了针对不同攻击场景下的防御策略,比如重放攻击、中间人攻击等常见威胁,并给出了相应的检测与响应指南。同时,对于第三方应用程序接入移动支付系统也有严格限制,必须经过严格的审核才能获得权限,从而最大限度地减少恶意软件造成的风险。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2017-07-31 颁布
  • 2018-02-01 实施
©正版授权
GB/T 34095-2017信息安全技术用于电子支付的基于近距离无线通信的移动终端安全技术要求_第1页
GB/T 34095-2017信息安全技术用于电子支付的基于近距离无线通信的移动终端安全技术要求_第2页
GB/T 34095-2017信息安全技术用于电子支付的基于近距离无线通信的移动终端安全技术要求_第3页
GB/T 34095-2017信息安全技术用于电子支付的基于近距离无线通信的移动终端安全技术要求_第4页
GB/T 34095-2017信息安全技术用于电子支付的基于近距离无线通信的移动终端安全技术要求_第5页
免费预览已结束,剩余91页可下载查看

下载本文档

免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T34095—2017

信息安全技术

用于电子支付的基于近距离无线

通信的移动终端安全技术要求

Informationsecuritytechnology—

Technologyrequirementsforelectronicpaymentofmobileterminal

securitybasedonshort-rangeradiocommunicationtechnology

2017-07-31发布2018-02-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T34095—2017

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义缩略语

3、………………………1

术语和定义

3.1…………………………1

缩略语

3.2………………3

概述

4………………………4

评估对象

5(TOE)…………………………4

概述

5.1…………………4

内置安全单元

5.2………………………5

通用集成电路卡

5.3(UICC)……………8

生命周期

5.4……………8

角色

5.5…………………10

安全问题

6…………………10

资产

6.1…………………10

用户与主体

6.2…………………………12

假设

6.3…………………12

威胁

6.4…………………13

组织安全策略

6.5………………………19

安全目的

7…………………21

安全目的

7.1TOE……………………21

环境安全目的

7.2………………………26

安全目的对应关系

7.3…………………27

扩展组件定义

8……………29

族定义

8.1FCS_RNG…………………29

随机数的质量指标

8.2FCS_RNG.1…………………30

安全功能要求

9……………30

概述

9.1…………………30

安全芯片安全功能要求

9.2IC-Chip…………………33

智能卡管理安全功能要求

9.3…………39

运行环境安全功能要求

9.4……………45

平台安全功能要求

9.5…………………55

安全功能要求对应关系

9.6……………56

安全保证要求

10…………………………65

概述

10.1………………65

GB/T34095—2017

智能卡芯片安全保证要求

10.2………………………66

开发过程

10.3…………………………79

指导性文档

10.4………………………80

生命周期支持

10.5……………………81

测试过程

10.6…………………………83

脆弱性评估

10.7………………………85

安全保证要求对应关系

10.8…………85

参考文献

……………………88

GB/T34095—2017

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位工业和信息化部电信研究院中国移动通信集团公司中国联合网络通信集团有

:、、

限公司中国电信集团公司中国银联股份有限公司北京握奇数据系统有限公司重庆电信研究院

、、、、。

本标准主要起草人夏骆辉孙宇涛成秋良任晓明张强纪成军谭颖张楚范雨晓袁浩

:、、、、、、、、、。

GB/T34095—2017

信息安全技术

用于电子支付的基于近距离无线

通信的移动终端安全技术要求

1范围

本标准规定了基于近距离无线通信的移动终端电子支付的智能卡和内置安全单元安全技术要求

,

内容包括评估对象定义安全问题定义安全目的描述安全要求描述等

(TOE)、、、。

本标准适用于基于近距离通信技术支持电子支付业务的载有智能卡或内置安全单元的移动终端

电子设备

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术术语

GB/T25069—2010

随机性检测规范

GM/T0005—2012

识别卡集成电路卡第部分带触点的卡触点的尺寸和定位

ISO/IEC7816-2:20072:(Iden-

tificationcards—Integratedcircuitcards—Part2:Cardswithcontacts—Dimensionsandlocationof

thecontacts)

识别卡集成电路卡第部分交换用业内数据元素

ISO/IEC7816-6:20046:(Identification

cards—Integratedcircuitcards—Part6:Interindustrydataelementsforinterchange)

信息技术安全技术基于椭圆曲线的密码技术第部分总则

ISO/IEC15946-1:20081:

(Informationtechnology—Securitytechniques—Cryptographictechniquesbasedonellipticcurves—

Part1:General)

信息技术安全技术基于椭圆曲线的密码技术第部分键的确定

ISO/IEC15946-3:20023:

(Informationtechnology—Securitytechniques—Crypto

人人文库> 全部分类> 行业资料 > 各类标准

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

最新文档

评论

0/150

提交评论