《移动终端安全环境安全评估内容和方法》关键点
不管是GP TEE安全认证,还是泰尔实验室安全认证,还是CC认证,都是按照CC标准规范的评估方法和原则来进行的。
比如泰尔终端实验室制定了一些规范:
《移动终端安全环境安全评估内容和方法》该文档作为总体性文档。其参考的文档则有:
《YDT 2844.1-2015 移动终端可信环境技术要求 第1部分:总体》
《YDT 2844.2-2015 移动终端可信环境技术要求 第2部分:可信执行环境》
《YDT 2844.3-2015 移动终端可信环境技术要求 第3部分:安全存储》
《YDT 2844.4-2015 移动终端可信环境技术要求 第4部分:操作系统的安全保护》
《YDT 2844.5-2016 移动终端可信环境技术要求 第5部分:与输入输出设备的安全交互》
安全性测试分为脆弱性分析和渗透性测试,具体如下图所示:
简要的说,先审核文档和代码,找漏洞、制定测试案例,进行软硬件攻击测试。
该规范将安全级别定义为4个安全级别。
另外该文档对安全功能进行了细化,对于我们产品安全设计具有很好的参考意义:
基本上上述安全目标也就是TEE可信执行环境操作系统的特征。
规范最后提出了一些文档要求,这些文档有些事设计文档,有些事安全测试的标准文档,这些文档不管是哪一个安全测试标准、机构都会有比较具体的要求,对于产品的安全性设计来说,这些文档也是必要的。
本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。
展开全文
展开全文
相关阅读
- 移动支付网 | 2021/5/19 15:39:24
- 移动支付网 | 2020/5/13 19:24:13
- 移动支付网 | 2018/11/22 10:54:02
- 移动支付网 | 2018/11/8 10:05:05
- 移动支付网 | 2018/11/7 9:30:41
- 移动支付网 | 2018/11/6 10:05:00
- 移动支付网 | 2018/11/5 9:54:21
- 移动支付网 | 2018/10/24 15:28:45
- 移动支付网 | 2018/10/11 19:18:16
- 中金国盛认证中心 | 2018/9/30 17:33:07
- 移动支付网 | 2022/7/26 17:29:25
- 移动支付网 | 2019/12/12 19:02:30
- 移动支付网 | 2019/1/3 10:42:14
- 移动支付网 | 2018/8/2 9:36:03
- 移动支付网 | 2018/1/27 14:26:47