ICS 35.240.40 A 11 JR 中华人民共和国金融行业标准 JR/T 0098.2—2012 中国金融移动支付 检测规范 第 2部分：安全芯片 China financial mobile payment—Test specifications— Part 2: Security chip 2012 - 12 - 12 发布 2012 - 12-12 实施 中国人民银行 发布 JR/T 0098.2—2012 I 目 次 前言 ................................................................................. II  引言 ................................................................................ III  1 范围 ............................................................................... 1  2 术语和定义 ......................................................................... 1  3 符号和缩略语 ....................................................................... 3  4 安全要求概述 ....................................................................... 4  5 安全功能要求检测 ................................................................... 5  6 抗攻击能力要求检测 ................................................................. 6  附录 A（规范性附录） 芯片抗攻击安全要求详细描述 ..................................... 11  附录 B（规范性附录） 检测项和安全功能要求、抗攻击能力要求的映射 ..................... 18  附录 C（规范性附录） 检测结果判定方法 ............................................... 20  参考文献 ............................................................................. 26  JR/T 0098.2—2012 II 前 言 《中国金融移动支付 检测规范》标准由以下8部分构成： ——第1部分：移动终端非接触式接口； ——第2部分：安全芯片； ——第3部分：客户端软件； ——第4部分：安全单元（SE）应用管理终端； ——第5部分：安全单元(SE)嵌入式软件安全； ——第6部分：业务系统； ——第7部分：可信服务管理系统； ——第8部分：个人信息保护。 本部分为该标准的第2部分。 本部分按照GB/T 1.1-2009给出的规则起草。 本部分由中国人民银行提出。 本部分由全国金融标准化技术委员会（SAC/TC180）归口。 本部分负责起草单位：中国人民银行科技司、中国人民银行金融信息中心、中国金融电子化公司。 本部分参加起草单位：北京银联金卡科技有限公司（银行卡检测中心）、中金国盛认证中心、工业和信息化部计算机与微电子发展研究中心（中国软件评测中心）、上海市信息安全测评认证中心、信息产业信息安全测评中心、北京软件产品质量检测检验中心、中钞信用卡产业发展有限公司、上海华虹集成电路有限责任公司、上海复旦微电子股份有限公司、东信和平智能卡股份有限公司、大唐微电子技术有限公司、武汉天喻信息产业股份有限公司、恩智浦半导体有限公司。 本部分主要起草人：李晓枫、陆书春、潘润红、杜宁、李兴锋、张雯华、刘力慷、刘志刚、聂丽琴、李晓、尚可、郭栋、熊文韬、宋铮、李宏达、王冠华、胡一鸣、张晓、平庆瑞、张志茂、陈君、彭美玲、李微、陈吉、程恒。 JR/T 0098.2—2012 III 引 言 随着移动支付产业的发展和芯片在移动支付行业中的广泛应用,安全芯片在移动支付产业中的地位也越来越重要。采用安全芯片可以从根本上提升移动支付风险防范水平，能够有效地保护芯片中的用户敏感信息，抵御对芯片的非法访问和外部攻击，满足对移动支付安全的迫切需求。 移动支付安全芯片应用范围的扩大和应用环境复杂性的增加，对安全芯片保护数据的能力有了更强的要求。目前针对芯片的各种专用攻击技术也在迅猛发展，因此分析非入侵式、半入侵式和入侵式的攻击方式对芯片的威胁及其防御措施的有效性，编写相应的检测标准以规范安全芯片的设计和开发的安全需求,对于保证移动支付安全有着重大的意义。 JR/T 0098.2—2012 1 中国金融移动支付 检测规范 第2部分：安全芯片 1 范围 本部分旨在对移动支付安全芯片的安全性评估测试进行定义。 本部分适用的对象主要为获得授权的从事移动支付安全芯片设计、制造、评估与检测单位。安全芯片卡的发卡机构也可参考本部分以获得对移动支付安全芯片安全风险的进一步了解，以协助风险控制过程。 有关安全功能检测和抗攻击能力检测要求在本部分中进行了定义。 2 术语和定义 下列术语和定义适用于本文件。 2.1 非易失性存储器（NVM） non volatile memory (NVM) 断电后存储的数据不会消失的存储器。通常用来存放程序和数据。目前在安全芯片上采用的主要包括电可擦写存储器和闪存。 2.2 非易失性可编程存储器 non volatile programmable memory 断电后存储的数据不会消失的可编程存储器。 2.3 只读存储器（ROM） read-only memory (ROM) 只能读出事先存入数据的存储器，该存储器一旦存入资料就无法再将其改变或删除。通常使用于不需经常变更资料的电子设备或计算机系统中，资料不会因为电源关闭而消失。 2.4 随机存储器（RAM） random access memory (RAM) 随机存储器，存储单元的内容可随意读取或存入，且存取的速度与存储单元的位置无关。这种存储器在断电时将丢失其存储内容，主要用于存储短时间使用的数据。 2.5 侵入式攻击 invasive attack 是直接针对安全芯片上硅晶的攻击，封装材料被打开并且安全芯片表面被暴露。伴随着这类攻击，电路能够被直接物理触及，数据被窃听或者改动，并且硬件能够被物理修改。 2.6 半侵入式攻击 semi-invasive attack JR/T 0098.2—2012 2 此类攻击要求SE被打开并且安全芯片表面被暴露。攻击者将会尝试用从闪光灯操纵攻击到通过对靠近安全芯片表面电磁场的测量来窃听数据等非接触方法触及电路。 2.7 非侵入式攻击 non-invasive attack 此类攻击发生时SE不需要被打开。安全芯片仍然保持嵌入在封装材料中。非侵入式攻击利用所有安全芯片执行任务时在其周边所能够被获得的信息。 2.8 威胁 threats 任何强迫导致负面影响的行为。 2.9 攻击 attack 在所有威胁中，攻击者的攻击目标将会在秘密数据或物理平台中选择。为达到攻击目标，攻击者所进行的行为被称为攻击。 2.10 个人标识码（PIN） personal identification number (PIN) 用于保护安全芯片免受误用的秘密标识代码。 PIN与密码类似，只有SE的所有者才知道该PIN。只 有拥有该安全芯片并知道PIN的人才能使用该安全芯片。 2.11 倒装安全芯片 flip chip 一种无引脚结构，一般含有电路单元。设计用于通过适当数量的位于其表面上的锡球(导电性粘合剂所覆盖)，在电气上和机械上连接于电路。 2.12 高层设计（HLD） high level design (HLD) 顶层设计规范，将安全芯片的安全功能规范细化，主要包括安全芯片安全功能规范的基本结构和主要的硬件、固件和软件元素。 2.13 底层设计（LLD） low level design (LLD) 详细的设计规范，将高层设计细化成一定程度的细节，此细节可用作编程或硬件构造的基础。 2.14 标识信息 chip indicators 安全芯片生产完成后标识于表面的厂商名称和掩膜信息等。 2.15 反向工程 reverse engineering 通过技术手段对从公开渠道取得的安全芯片进行拆卸、测绘、分析等而获得有关敏感信息的行为。 JR/T 0098.2—2012 3 2.16 旁路分析 side channel analysis 通过旁路的途径对安全芯片的敏感信息进行分析的非侵入式攻击的手段。 2.17 单粒子效应 single event effect 高能带电粒子在器件的灵敏区内产生大量带电粒子的现象。 2.18 测试模式 test