JR∕T 0114-2015 网银系统USBKey规范 安全技术与测评要求(金融)

ID

85954D58A43A402900E935FD090A54BD

文件大小(MB)

0.34

页数:

35

文件格式:

pdf

日期:

2021-12-21

购买:

购买或下载

文本摘录(文本识别可能有误,但文件阅览显示及打印正常,pdf文件可进行文字搜索定位):

ICS 35.240.40,A 11,中华人民共和国金融行业标准,JR/T 0114—2015,网银系统USBKey规范,安全技术与测评要求,Specification for USBKey in internet banking system—,Security technique and evaluation requirements,2015 - 08 - 31发布 2015 - 08 - 31实施,中国人民银行 发布,JR/T 0114—2015,I,目 次,前言 II,1 范围 . 1,2 规范性引用文件 1,3 术语和定义 . 1,4 缩略语 .. 2,5 网银系统USBKey描述 . 2,6 安全环境 3,7 安全目的 6,8 安全要求 8,9 测评要求 .. 17,JR/T 0114—2015,II,前 言,本标准按照GB/T 1.1-2009给出的规则起草,本标准由全国金融标准化技术委员会(SAC/TC 180)归口,本标准主要起草单位:中国信息安全测评中心、中国工商银行股份有限公司、中国金融电子化公司、,北京博时信力科技有限公司、飞天诚信科技股份有限公司、天地融科技股份有限公司,本标准参与起草单位:银行卡检测中心、国家信息技术安全研究中心,本标准主要起草人:张翀斌、高金萍、杨永生、石竑松、郭颖、王贵智、曾凯、刘鹖、王昱、朱鹏,飞、李明、赵乔伟、安焘、李冰、贾嘉,JR/T 0114—2015,1,网银系统USBKey规范 安全技术与测评要求,1 范围,本标准规定了网银系统USBKey的安全技术要求及对网银系统USBKey进行测评的相关要求和方法,本标准适用于网银系统USBKey的研发、测试、评估和产品采购,通常所说的一代USBKey由于不符合硬件要求,故不适用于本标准,2 规范性引用文件,下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文,件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件,GB/T 18336 信息技术 安全技术 信息技术安全性评估准则,GB/T 22186 信息安全技术 具有中央处理器的集成电路(IC)卡芯片安全技术要求(评估保证级4,增强级),JR/T 0068 网上银行系统信息安全通用规范,JR/T 0098.2 中国金融移动支付 检测规范 第2部分:安全芯片,3 术语和定义,GB/T 18336界定的以及下列术语和定义适用于本文件,3.1,个人化数据 personalization data,网银系统USBKey在个人化阶段写入的个性化数据,3.2,集成电路芯片 integrated circuit chip,网银系统USBKey的核心硬件,具有运算处理能力,是相关软件运行的平台,3.3,签名 signature,使用用户的私钥对交易相关数据实施数字签名操作,3.4,状态机 state machine,网银系统USBKey运行时,应维护相应的状态,以保障操作在相应状态允许下才可执行,3.5,JR/T 0114—2015,2,用户 user,使用网银系统USBKey的操作人员,3.6,管理员 administrator,对网银系统USBKey实施个人化、初始化、解锁等管理操作的人员,3.7,中间件 middle ware,提供软件接口的程序,存储在PC机或移动终端等计算设备中,可根据传入的参数,向USBKey下发指,令或指令序列,接收USBKey回送的数据,并向调用方报告指令执行情况,3.8,个人识别码 personal identification number(PIN),用于鉴别USBKey用户身份,防止其功能被未授权使用的一串字符序列,注:在用户使用USBKey进行某些敏感操作前(如交易签名),USBKey需要验证用户是否知道该字符序列,4 缩略语,下列缩略语适用于本文件,TOE:评估对象(Target of Evaluation),TSF:TOE安全功能(TOE Security Functions),EAL:评估保证级(Evaluation Assurance Level),TSP:TOE安全策略(TOE Security Policy),CM:配置管理(Configuration Management),CSP:密码服务提供者(Cryptographic Service Provider),PKCS:公钥密码标准(Public-Key Cryptography Standards),5 网银系统USBKey 描述,5.1 概述,网银系统USBKey是服务于金融交易业务,内置集成电路芯片,具有一定的存储空间,可以存储用户,的私钥以及数字证书,实现对关键金融交易数据实施数字签名功能的设备,本标准所指的TOE即网银系统USBKey,包括USBKey自身的软件、硬件,以及与系统应用交互的中间,件,如图1中的虚线框所示范围,可通过C/S或B/S模式与银行网银系统进行交互,网银系统USBKey除配备按键及显示屏功能外,还可附加语音提示、语音识别等其他功能。同时,网,银系统USBKey的通信接口不局限于USB接口,采用蓝牙、音频等其他接口形式的产品也适用于本标准,JR/T 0114—2015,3,TOE:网银系统USBKey,USBKey,银行网银系统,浏览器,网银插件,密码服务接口,(CSP、PKCS#11),中间件,软件,硬件芯片,客户端,C/S,模,式,B/S,模,式,图1 网银系统USBKey 一般框架图,5.2 生命周期,网银系统USBKey生命周期可分为以下……

……