本站支持IPv6

菜单导航
产品介绍
解决方案
信息安全服务
下载专区
服务支持
旗下品牌
解决方案
金融篇
电子商务篇
移动篇
企业信息化篇
信息安全基础篇
电子政务篇
电子数据司法实践
旗下品牌
旗下品牌

嵌入式软件安全检测—USB Key与OTP领域

字号:

  背景说明

  随着电子商务的兴起,网上购物、网上汇款、网上缴费越来越频繁,网上银行已经成为消费者必不可少的交易工具,因而得到了高速发展,迎来了网上银行的盛世。

  随着网上银行的飞速发展给金融企业带来商机,为众多用户带来方便的同时,也给他们带来了巨大的挑战及风险。网银信息数据的保密性及交易的安全性一旦遭受攻击,必将直接影响用户的切身利益,因此安全性作为网上银行赖以生存和得以发展的核心及基础,一直广受各银行的重视。

  为保障交易的完整性、保密性、不可抵赖性,各家银行都推出了自己的网银安全产品-高安全性能智能密码钥匙USBKey和动态身份认证设备OTP令牌,为保证这些身份认证产品的安全性,CFCA信息安全实验室根据USBKey网银通用规范及安全技术标准为广大金融行业用户,提供USBKey与OTP检测服务。

  检测依据

  信息USBKEY 检测依据标准

  GB 20276-2006-T 《信息安全技术 智能卡嵌入式软件安全技术要求(EAL4增强级)》

  GB/T 25070-2010 《电子签名卡应用接口基本要求》

  GB/T 18336.1-2008《信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型》

  GB/T 18336.2-2008《信息技术 安全技术 信息技术安全性评估准则 第2部分:安全功能要求》

  JR/T 0068-2012 《网上银行系统信息安全通用规范》

  OTP 检测依据标准

  JR/T 0068-2012 《网上银行系统信息安全通用规范》

  检测内容

  CFCA信息安全实验室凭借多年的技术积累,遵循现行国家标准、行业标准,制定了一套完备的安全检测流程(如图1),并将网银安全产品USBKey与OTP的检测项分别进行了详细的划分,依次从产品合规性、逻辑安全性、物理安全性、功能及性能五个方面(如图2),展开全方位测试。


图1 安全产品检测流程


图2 安全产品检测项

  USB KEY检测

  USBKey具体检测内容涵盖五个模块,如图3所示:


图3 USBKEY检测项

  产品合规性测试以流程为根本,分别针对USBKey嵌入式软件和管理工具两个模块展开合规性测试,从而保证了产品研发的规范性。

  逻辑安全着眼于安全功能有效性,分别针对嵌入式软件与管理工具两大模块进行测试:一方面通过对嵌入式软件的逻辑安全性进行检测,可以及时发现用户交易流程的安全漏洞,从而降低安全风险;另一方面通过对管理工具的逻辑安全性进行检测,可以及时发现上层应用的缺陷,从而保证管理工具的安全性。

  物理安全以防止芯片攻击为出发点,通过对硬件的物理安全性进行检测,以保证敏感信息的安全性。

  功能检测以功能的正确性为基准,通过对嵌入式软件和管理工具的应用功能进行检测,为产品的应用功能正确性保驾护航。

  性能测试是按照相关产品性能标准结合银行应用需求展开测试,分别对产品的嵌入式软件和上层管理工具进行检测,保证产品稳定性和使用效率。

  OTP检测

  OTP具体检测内容涵盖五个模块,如图4所示:


图4 OTP检测项

  产品合规性测试以流程为根本,通过对OTP的合规性进行测试,可以保证产品研发的规范性。

  逻辑安全着眼于安全功能有效性测试,通过对OTP的逻辑安全性进行检测,可以及时发现用户交易安全漏洞,从而降低安全风险。

  物理安全以防止芯片攻击为出发点,通过对OTP的物理安全性进行检测,可以确保OTP内敏感信息的保密性。

  功能测试以功能的正确性为基准,通过对OTP的功能性进行检测,可以保证OTP功能的正确性。

  性能测试以产品的性能指标为基准,通过对OTP的性能进行检测,可以保证产品符合市场需求。

  检测对象

  网上交易的兴起虽然为金融安全产品的发展带来了春天,但也为网上交易安全带来了新的挑战。各大银行为提高身份认证安全性、保护用户信息安全,推出了各自的网银安全产品:USBKey和动态令牌(OTP)。随着网络安全要求的不断提高,二代USBKey和OTP产品应运而生。由于应用环境逐渐多元化,为应对市场的变化,二代Key逐步孕育出了音频Key、蓝牙Key和复合型USBKey等子产品,与此同时OTP也变革出了时间型、事件型、挑战应答型多种子产品。为了能在如此复杂的网银支付环境中降低网银支付产品的安全风险,CFCA根据相关安全标准为上述网上银行安全产品提供安全检测服务,以解决银行和用户的后顾之忧。


图5 安全产品检测对象