USBKey与OTP检测_北京转创国际管理咨询有限公司

逐年增长的电子商务已经成为金融支付的重要应用场景，也带动了网上银行业务高速发展，由于网络病毒、木马等威胁日益增多，如何保证金融交易的安全性成为社会各界关注的焦点。为解决用户的后顾之忧，各家银行都推出了网银安全产品-高安全性能智能密码钥匙（USBKey）和动态令牌（OTP）。而检测USBKey和OTP的安全性是否达到相关规定的要求就是信息安全实验室的使命。

　　参考依据

　　GB/T 18336-2015 《信息技术安全技术信息技术安全评估准则》

　　GB/T 20276-2016 《信息安全技术具有中央处理器的IC卡嵌入软件安全技术要求》

　　JR/T 0068-2012《网上银行系统信息安全通用规范》

　　检测内容

　　信息安全实验室凭借多年的技术积累，遵循现行国家标准、行业标准，制定了一套完备的安全检测流程，并将网银安全产品USBKey与OTP的检测项分别进行了详细的划分，依次从产品合规性、逻辑安全性、物理安全性、功能及性能五个方面，展开全方位测试。

　　USBKEY检测

　　根据USBKey产品特性分别对每个功能模块展开5个方面的测试：

　　管理工具安全性检测：本项测试针对管理工具的逻辑安全性、产品合规性展开。通过对上位机软件实施代码篡改，数据窃听等渗透攻击，验证USBKey产品的上位机软件安全性，保障用户密码的输入安全。

　　嵌入式软件安全性检测：依据相关规范的安全要求对USBKey嵌入式软件展开安全检测，从功能符合性和逻辑安全性两个方面发掘应用流程中潜在的安全隐患，从而保障用户在交易过程中的个人利益。

　　物理安全性检测：通过对产品硬件环境进行电磁干扰、故障注入等攻击性检测，以验证其芯片不会在运行过程中泄露敏感数据，从而保证产品安全性。

　　性能测试：根据应用需求展开测试，分别对产品的嵌入式软件和上层管理工具进行检测，保证产品稳定性和使用效率。

　　OTP检测

　　OTP具体检测内容涵盖五个模块：

　　产品合规性测试以流程为根本，通过对OTP的合规性进行测试，可以保证产品研发的规范性。

　　逻辑安全着眼于安全功能有效性测试，通过对OTP的逻辑安全性进行检测，可以及时发现用户交易安全漏洞，从而降低安全风险。

　　物理安全以防止芯片攻击为出发点，通过对OTP的物理安全性进行检测，可以确保OTP内敏感信息的保密性。

　　功能测试以功能的正确性为基准，通过对OTP的功能性进行检测，可以保证OTP功能的正确性。

　　性能测试以产品的性能指标为基准，通过对OTP的性能进行检测，可以保证产品符合市场需求。　