USBKey與OTP檢測

字號:

  逐年增長的電子商務已經成為金融支付的重要應用場景,也帶動了網上銀行業務高速發展,由于網絡病毒、木馬等威脅日益增多,如何保證金融交易的安全性成為社會各界關注的焦點。為解決用戶的后顧之憂,各家銀行都推出了網銀安全產品-高安全性能智能密碼鑰匙(USBKey)和動態令牌(OTP)。而檢測USBKey和OTP的安全性是否達到相關規定的要求就是信息安全實驗室的使命。

  參考依據

  GB/T 18336-2015 《信息技術 安全技術 信息技術安全評估準則》

  GB/T 20276-2016 《信息安全技術 具有中央處理器的IC卡嵌入軟件安全技術要求》

  JR/T 0068-2012《網上銀行系統信息安全通用規范》

  檢測內容

  信息安全實驗室憑借多年的技術積累,遵循現行國家標準、行業標準,制定了一套完備的安全檢測流程,并將網銀安全產品USBKey與OTP的檢測項分別進行了詳細的劃分,依次從產品合規性、邏輯安全性、物理安全性、功能及性能五個方面,展開全方位測試。

  USBKEY檢測


  根據USBKey產品特性分別對每個功能模塊展開5個方面的測試:

  管理工具安全性檢測: 本項測試針對管理工具的邏輯安全性、產品合規性展開。通過對上位機軟件實施代碼篡改,數據竊聽等滲透攻擊,驗證USBKey產品的上位機軟件安全性,保障用戶密碼的輸入安全。

  嵌入式軟件安全性檢測: 依據相關規范的安全要求對USBKey嵌入式軟件展開安全檢測,從功能符合性和邏輯安全性兩個方面發掘應用流程中潛在的安全隱患,從而保障用戶在交易過程中的個人利益。

  物理安全性檢測: 通過對產品硬件環境進行電磁干擾、故障注入等攻擊性檢測,以驗證其芯片不會在運行過程中泄露敏感數據,從而保證產品安全性。

  性能測試:根據應用需求展開測試,分別對產品的嵌入式軟件和上層管理工具進行檢測,保證產品穩定性和使用效率。

  OTP檢測

  OTP具體檢測內容涵蓋五個模塊:


  產品合規性測試以流程為根本,通過對OTP的合規性進行測試,可以保證產品研發的規范性。

  邏輯安全著眼于安全功能有效性測試,通過對OTP的邏輯安全性進行檢測,可以及時發現用戶交易安全漏洞,從而降低安全風險。

  物理安全以防止芯片攻擊為出發點,通過對OTP的物理安全性進行檢測,可以確保OTP內敏感信息的保密性。

  功能測試以功能的正確性為基準,通過對OTP的功能性進行檢測,可以保證OTP功能的正確性。

  性能測試以產品的性能指標為基準,通過對OTP的性能進行檢測,可以保證產品符合市場需求。  

一零计划和明日方舟