ICS 35.240.40
A 11
中华人民共和国金融行业标准
JR/T 0114—2015
网银系统 USBKey规范
安全技术与测评要求
Specification for USBKey in internet banking system —
Security technique and evaluation requirements
2015 - 08 - 31发布 2015 - 08 - 31实施
中国人民银行
发布 JR/T 0114—2015
I 目 次
前言 ................................................................................. II
1 范围 ............................................................................... 1
2 规范性引用文件 ..................................................................... 1
3 术语和定义 ......................................................................... 1
4 缩略语 ............................................................................. 2
5 网银系统 USBKey描述 ................................................................ 2
6 安全环境 ........................................................................... 3
7 安全目的 ........................................................................... 6
8 安全要求 ........................................................................... 8
9 测评要求 .......................................................................... 17
JR/T 0114—2015
II 前 言
本标准按照 GB/T 1.1-2009给出的规则起草。
本标准由全国金融标准化技术委员会( SAC/TC 180)归口。
本标准主要起草单位:中国信息安全测评中心、中国工商银行股份有限公司、中国金融电子化公司、
北京博时信力科技有限公司、飞天诚信科技股份有限公司、天地融科技股份有限公司。
本标准参与起草单位:银行卡检测中心、国家信息技术安全研究中心。
本标准主要起草人:张 翀斌、高金萍、杨永生、石竑松、郭颖、王贵智、曾凯、刘鹖、王昱、朱鹏
飞、李明、赵乔伟、安焘、李冰、贾嘉。
JR/T 0114—2015
1 网银系统 USBKey规范 安全技术与测评要求
1 范围
本标准规定了网银系统 USBKey的安全技术要求及对网银系统 USBKey进行测评的相关要求和方法。
本标准适用于网银系统 USBKey的研发、测试、评估和产品采购。
通常所说的一代USBKey由于不符合硬件要求,故不适用于本标准。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336 信息技术 安全技术 信息技术安全性评 估准则
GB/T 22186 信息安全技术 具有中央处理器的集成电路(IC)卡芯片安全技术要求(评 估保证级 4
增强级)
JR/T 0068 网上银行系统信息安全 通用规范
JR/T 0098.2 中国金融移动支付 检测规范 第2部分:安全芯片
3 术语和定义
GB/T 18336界定的以及下列术语和定义适用于本文件。
3.1
个人化数据 personalization data
网银系统 USBKey在个人化阶段写入的个性化数据。
3.2
集成电路芯片 integrated circuit chip
网银系统 USBKey的核心硬件,具有运算处理能力,是相关软件运行的平台。
3.3
签名 signature
使用用户的私钥对交易相关数据实施数字签名操作 。
3.4
状态机 state machine
网银系统 USBKey运行时,应维护相应的状态,以保障操作在相应状态允许下才可执行。
3.5 JR/T 0114—2015
2 用户 user
使用网银系统 USBKey的操作人员。
3.6
管理员 administrator
对网银系统 USBKey实施个人化、初始化、解锁等管理操作的人员。
3.7
中间件 middle ware
提供软件接口的程序,存储在PC机或移动终端等计算设备 中,可根据传入的参数,向USBKey下发指
令或指令序列,接收USBKey回送的数据,并向调用方报告指令执行情况。
3.8
个人识别码 personal identification number (PIN)
用于鉴别USBKey用户身份,防止其功能被未授权使用的一串字符序列。
注:在用户使用USBKey进行某些敏感操作前(如交易签名),USBKey需要验证用户是否知道该字符序列。
4 缩略语
下列缩略语适用于本文件。
TOE:评估对象(Target of Evaluation )
TSF:TOE安全功能(TOE Security Functions )
EAL:评估保证级(Evaluation Assurance Level )
TSP:TOE安全策略(TOE Security Policy)
CM:配置管理(Configuration Management )
CSP:密码服务提供者(Cryptographic Service Provider)
PKCS:公钥密码标准(Public-Key Cryptography Standards)
5 网银系统 USBKey描述
5.1 概述
网银系统 USBKey是服务于金融交易业务,内置集成电路芯片,具有一定的存储空间,可以存储用户
的私钥以及数字证书,实现对关键金融交易数据实施数字签名功能 的设备。
本标准所指的TOE即网银系统 USBKey,包括USBKey自身的软件、硬件,以及与系统应用交互的中间
件,如图1中的虚线框所示范围,可通过C/S或B/S模式与银行网银系统进行交互。
网银系统 USBKey除配备按键及显示屏功能外,还可附加语音提示、语音识别等其他功能。同时,网
银系统USBKey的通信接口不局限于USB接口,采用蓝牙、音频等其他接口形式的产品也适用于本标准。
JR/T 0114—2015
3 TOE:网银系统 USBKeyUSBKey银行网银系统
浏览器
网银插件
密码服务接口
(CSP、PKCS#11)
中间件
软件
硬件芯片客户端C/S
模
式B/S
模
式
图1 网银系统 USBKey一般框架图
5.2 生命周期
网银系统 USBKey生命周期可分为以下几个阶段,各个阶段内容如表1所示。
表1 网银系统 USBKey产品的生命周期
阶段 内容
阶段1 开发阶段 硬件设计,软件开发
阶段2 生产制造阶段 网银系统 USBKey制造,软件加载
阶段3 应用初始阶段 配置相应数据,在安全的环境中完成USBKey的应用初始化、个人化
阶段4 使用阶段 将USBKey交付给最终用户,供用户使用
阶段5 废止阶段 USBKey废弃后,不得在网银系统中继续使用
6 安全环境
6.1 概述
本章描述网银系统 USBKey的预期使用环境及使用方式,包括网银系统 USBKey需要保护的信息和资
源、有关网银系统 USBKey应用环境的说明、对资产的威胁及网银系统 USBKey应用应遵循的组织安全策略
等内容。
6.2 资产
网银系统 USBKey需要保护以下资产:
——TSF数据(如TOE生命周期状态、安全状态、密钥、PIN、数字证书、配置数据、文件系统等信
息)。
——用户数据(TOE中不属于TSF数据的信息,如交易数据、字库信息等)。
——数字签名能力(仅限于合法用户能使用存储的私钥进行数字签名的能力)。 JR/T 0114—2015
4 6.3 应用环境说明
6.3.1 人员
假设操作USBKey人员已具备基本的安全防护知识并具有良好的使用习惯
JR-T0114-2015 网银系统USBKey规范 安全技术与测评要求
文档预览
中文文档
35 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共35页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 思安 于 2022-12-11 23:30:05上传分享