说明:收录25万 73个行业的国家标准 支持批量下载
文库搜索
切换导航
文件分类
频道
联系我们
问题反馈
文件分类
联系我们
问题反馈
批量下载
ICS 35.240.40 A 11 中华人民共和国金融行业标准 JR/T 0114—2015 网银系统 USBKey规范 安全技术与测评要求 Specification for USBKey in internet banking system — Security technique and evaluation requirements 2015 - 08 - 31发布 2015 - 08 - 31实施 中国人民银行 发布 JR/T 0114—2015 I 目 次 前言 ................................................................................. II 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 缩略语 ............................................................................. 2 5 网银系统 USBKey描述 ................................................................ 2 6 安全环境 ........................................................................... 3 7 安全目的 ........................................................................... 6 8 安全要求 ........................................................................... 8 9 测评要求 .......................................................................... 17 JR/T 0114—2015 II 前 言 本标准按照 GB/T 1.1-2009给出的规则起草。 本标准由全国金融标准化技术委员会( SAC/TC 180)归口。 本标准主要起草单位:中国信息安全测评中心、中国工商银行股份有限公司、中国金融电子化公司、 北京博时信力科技有限公司、飞天诚信科技股份有限公司、天地融科技股份有限公司。 本标准参与起草单位:银行卡检测中心、国家信息技术安全研究中心。 本标准主要起草人:张 翀斌、高金萍、杨永生、石竑松、郭颖、王贵智、曾凯、刘鹖、王昱、朱鹏 飞、李明、赵乔伟、安焘、李冰、贾嘉。 JR/T 0114—2015 1 网银系统 USBKey规范 安全技术与测评要求 1 范围 本标准规定了网银系统 USBKey的安全技术要求及对网银系统 USBKey进行测评的相关要求和方法。 本标准适用于网银系统 USBKey的研发、测试、评估和产品采购。 通常所说的一代USBKey由于不符合硬件要求,故不适用于本标准。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 18336 信息技术 安全技术 信息技术安全性评 估准则 GB/T 22186 信息安全技术 具有中央处理器的集成电路(IC)卡芯片安全技术要求(评 估保证级 4 增强级) JR/T 0068 网上银行系统信息安全 通用规范 JR/T 0098.2 中国金融移动支付 检测规范 第2部分:安全芯片 3 术语和定义 GB/T 18336界定的以及下列术语和定义适用于本文件。 3.1 个人化数据 personalization data 网银系统 USBKey在个人化阶段写入的个性化数据。 3.2 集成电路芯片 integrated circuit chip 网银系统 USBKey的核心硬件,具有运算处理能力,是相关软件运行的平台。 3.3 签名 signature 使用用户的私钥对交易相关数据实施数字签名操作 。 3.4 状态机 state machine 网银系统 USBKey运行时,应维护相应的状态,以保障操作在相应状态允许下才可执行。 3.5 JR/T 0114—2015 2 用户 user 使用网银系统 USBKey的操作人员。 3.6 管理员 administrator 对网银系统 USBKey实施个人化、初始化、解锁等管理操作的人员。 3.7 中间件 middle ware 提供软件接口的程序,存储在PC机或移动终端等计算设备 中,可根据传入的参数,向USBKey下发指 令或指令序列,接收USBKey回送的数据,并向调用方报告指令执行情况。 3.8 个人识别码 personal identification number (PIN) 用于鉴别USBKey用户身份,防止其功能被未授权使用的一串字符序列。 注:在用户使用USBKey进行某些敏感操作前(如交易签名),USBKey需要验证用户是否知道该字符序列。 4 缩略语 下列缩略语适用于本文件。 TOE:评估对象(Target of Evaluation ) TSF:TOE安全功能(TOE Security Functions ) EAL:评估保证级(Evaluation Assurance Level ) TSP:TOE安全策略(TOE Security Policy) CM:配置管理(Configuration Management ) CSP:密码服务提供者(Cryptographic Service Provider) PKCS:公钥密码标准(Public-Key Cryptography Standards) 5 网银系统 USBKey描述 5.1 概述 网银系统 USBKey是服务于金融交易业务,内置集成电路芯片,具有一定的存储空间,可以存储用户 的私钥以及数字证书,实现对关键金融交易数据实施数字签名功能 的设备。 本标准所指的TOE即网银系统 USBKey,包括USBKey自身的软件、硬件,以及与系统应用交互的中间 件,如图1中的虚线框所示范围,可通过C/S或B/S模式与银行网银系统进行交互。 网银系统 USBKey除配备按键及显示屏功能外,还可附加语音提示、语音识别等其他功能。同时,网 银系统USBKey的通信接口不局限于USB接口,采用蓝牙、音频等其他接口形式的产品也适用于本标准。 JR/T 0114—2015 3 TOE:网银系统 USBKeyUSBKey银行网银系统 浏览器 网银插件 密码服务接口 (CSP、PKCS#11) 中间件 软件 硬件芯片客户端C/S 模 式B/S 模 式 图1 网银系统 USBKey一般框架图 5.2 生命周期 网银系统 USBKey生命周期可分为以下几个阶段,各个阶段内容如表1所示。 表1 网银系统 USBKey产品的生命周期 阶段 内容 阶段1 开发阶段 硬件设计,软件开发 阶段2 生产制造阶段 网银系统 USBKey制造,软件加载 阶段3 应用初始阶段 配置相应数据,在安全的环境中完成USBKey的应用初始化、个人化 阶段4 使用阶段 将USBKey交付给最终用户,供用户使用 阶段5 废止阶段 USBKey废弃后,不得在网银系统中继续使用 6 安全环境 6.1 概述 本章描述网银系统 USBKey的预期使用环境及使用方式,包括网银系统 USBKey需要保护的信息和资 源、有关网银系统 USBKey应用环境的说明、对资产的威胁及网银系统 USBKey应用应遵循的组织安全策略 等内容。 6.2 资产 网银系统 USBKey需要保护以下资产: ——TSF数据(如TOE生命周期状态、安全状态、密钥、PIN、数字证书、配置数据、文件系统等信 息)。 ——用户数据(TOE中不属于TSF数据的信息,如交易数据、字库信息等)。 ——数字签名能力(仅限于合法用户能使用存储的私钥进行数字签名的能力)。 JR/T 0114—2015 4 6.3 应用环境说明 6.3.1 人员 假设操作USBKey人员已具备基本的安全防护知识并具有良好的使用习惯
JR-T0114-2015 网银系统USBKey规范 安全技术与测评要求
文档预览
中文文档
35 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
赞助2元下载(无需注册)
温馨提示:本文档共35页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助2元下载
本文档由 思安 于
2022-12-11 23:30:05
上传分享
举报
下载
原文档
(291.6 KB)
分享
友情链接
DB5301-T 82-2023 农业废弃物 冷库蔬菜废弃物处置规范 昆明市.pdf
云计算开源产业联盟 云计算安全责任共担白皮书 2020年 .pdf
GB-T 26603-2011 N,N-二甲基苯胺.pdf
T-JSIA 0001—2022 能源大数据 数据分类分级指南.pdf
奇安信 中国数字城市网络安全运营现状分析报告 2022.pdf
T-CPSS 1013—2021 开关电源电子元器件降额技术规范.pdf
GB-T 42291-2022 压水堆核电厂控制区门窗辐射防护设计准则.pdf
GB-T 25098-2010 绝缘体带电清洗剂使用导则.pdf
DB34-T 3047-2017 普通干线公路施工标准化指南 安徽省.pdf
DB12-T 1083-2021 公务用车平台运行管理规范 天津市.pdf
GB 4094-2016 汽车操纵件、指示器及信号装置的标志.pdf
GB-T 30903-2014 无机化工产品 杂质元素的测定 电感耦合等离子体质谱法(ICP-MS).pdf
T-EERT 042—2024 工业有机废气蓄热燃烧治理设施运行维护规范.pdf
GB-T 9491-2021 锡焊用助焊剂.pdf
华为 华为流程与信息化实践与架构规划.pdf
GB-T 1553-2023 硅和锗体内少数载流子寿命的测定 光电导衰减法.pdf
SAE_2003-01-1982_Testing Method and Effect of ATF Performance on Degradation of Wet Friction Materials.pdf
安全村文集 第2辑 .pdf
T-SHJX 047—2022 智能网联汽车匝道场景交通和谐性测试与评价方法.pdf
GB-T 40653-2021 信息安全技术 安全处理器技术要求.pdf
交流群
-->
1
/
3
35
评价文档
赞助2元 点击下载(291.6 KB)
回到顶部
×
微信扫码支付
2
元 自动下载
官方客服微信:siduwenku
支付 完成后 如未跳转 点击这里 下载
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。