TTAF195-2023支持支付業(yè)務(wù)的可穿戴設(shè)備安全規(guī)范

T/TAF195—2023

支持支付業(yè)務(wù)的可穿戴設(shè)備安全規(guī)范

1范圍

本文件規(guī)定了支持支付業(yè)務(wù)的可穿戴設(shè)備的安全功能要求，包括硬件安全、安全啟動(dòng)、安全更新、

安全存儲(chǔ)、訪問(wèn)控制、安全通信、業(yè)務(wù)安全、數(shù)據(jù)安全與個(gè)人信息保護(hù)要求。

本文件適用于支持支付業(yè)務(wù)的可穿戴設(shè)備的研發(fā)、設(shè)計(jì)、生產(chǎn)、測(cè)試等活動(dòng)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069—2022信息安全技術(shù)術(shù)語(yǔ)

GB/T36651—2018信息安全技術(shù)基于可信環(huán)境的生物特征識(shí)別身份鑒別協(xié)議框架

3術(shù)語(yǔ)和定義

GB/T25069—2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

設(shè)備憑證devicecertificate

預(yù)置在芯片內(nèi)部、用于提供設(shè)備身份信息的數(shù)據(jù)。

3.2

支付憑證paymentcertificate

在設(shè)備和支付賬號(hào)綁定過(guò)程中，由支付云平臺(tái)下發(fā)的用于生成支付令牌的數(shù)據(jù)。

3.3

支付令牌paymenttoken

設(shè)備支付過(guò)程中，利用支付憑證動(dòng)態(tài)生成的、用于支付云平臺(tái)進(jìn)行支付賬戶匹配、支付等操作的數(shù)

據(jù)。

3.4

可信環(huán)境trustedenvironment

設(shè)備上可保證加載到其內(nèi)部數(shù)據(jù)的安全性如保密性、完整性和可用性的安全區(qū)域。

注：可信環(huán)境的實(shí)現(xiàn)方式可包括可信執(zhí)行環(huán)境（TEE）、安全元件（SE）、可信密碼模塊（TCM）或其他具備安全邊

界的保護(hù)區(qū)域。

1

T/TAF195—2023

[來(lái)源：GB/T36651—2018，3.1，有修改]

3.5

支付云平臺(tái)paymentcloudplatform

在可穿戴支付場(chǎng)景中負(fù)責(zé)與收款設(shè)備完成支付過(guò)程的云平臺(tái)。

3.6

安全存儲(chǔ)區(qū)域securestoragezone

通過(guò)軟件或硬件隔離技術(shù)與系統(tǒng)其他存儲(chǔ)區(qū)域隔離的，為其上存儲(chǔ)的數(shù)據(jù)提供安全保護(hù)的存儲(chǔ)區(qū)域。

注：安全存儲(chǔ)區(qū)域可以是外部安全芯片的存儲(chǔ)區(qū)域，也可以是受安全隔離機(jī)制保護(hù)的存儲(chǔ)區(qū)域。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

HUK：硬件唯一密鑰（HardwareUniqueKey）

SE:安全元件（SecureElement）

TCM：可信密碼模塊（TrustedCryptographyModule）

TEE：可信執(zhí)行環(huán)境（TrustedExecutionEnvironment）

5可穿戴設(shè)備支付應(yīng)用參考模型

典型的具備支付功能的可穿戴設(shè)備（簡(jiǎn)稱可穿戴設(shè)備）應(yīng)用參考模型見(jiàn)圖1。典型應(yīng)用參考模型中

包含可穿戴設(shè)備、收款設(shè)備、支付云平臺(tái)和手機(jī)支付APP四個(gè)參與主體，支付應(yīng)用涉及到可穿戴支付交

易、可穿戴支付個(gè)人管理和可穿戴支付平臺(tái)管理三個(gè)功能角色管理。

圖1典型的可穿戴設(shè)備支付應(yīng)用參考模型

具體到可穿戴設(shè)備，其支付應(yīng)用包括兩個(gè)階段，分別是設(shè)備綁定階段和支付業(yè)務(wù)交易階段。

2

T/TAF195—2023

a)在設(shè)備綁定階段，可穿戴設(shè)備可直接或經(jīng)過(guò)手機(jī)APP將設(shè)備憑證轉(zhuǎn)發(fā)給支付交易平臺(tái)，支付交

易平臺(tái)使用可穿戴設(shè)備的設(shè)備憑證將設(shè)備與用戶支付賬戶進(jìn)行綁定，并生成支付憑證下發(fā)給可

穿戴設(shè)備；

b)在支付業(yè)務(wù)交易階段，可穿戴設(shè)備使用支付憑證與收款設(shè)備和支付交易平臺(tái)完成交易，例如可

穿戴設(shè)備動(dòng)態(tài)生成支付令牌，如二維碼。通過(guò)掃描設(shè)備掃描支付令牌后，收款設(shè)備和支付交易

平臺(tái)進(jìn)行對(duì)應(yīng)賬戶扣款操作來(lái)完成交易。

6可穿戴設(shè)備安全威脅分析

可穿戴設(shè)備可能面臨以下安全威脅：

a)本地安全威脅，包括如下：

1)攻擊者獲取硬件調(diào)試能力，從而控制設(shè)備運(yùn)行；

2)攻擊者篡改或替換設(shè)備固件；

3)收集、存儲(chǔ)的個(gè)人信息等敏感數(shù)據(jù)被泄露。

b)遠(yuǎn)程通信安全威脅，包括如下：

1)攻擊者篡改或替換固件更新包，或者使用包含已知漏洞的舊版本

2)固件替換固件更新包；

3)設(shè)備與手機(jī)/支付云平臺(tái)之間的通信被劫持，造成設(shè)備綁定到其他的手機(jī)或云平臺(tái)；

4)設(shè)備與手機(jī)/支付云平臺(tái)之間的傳輸?shù)闹Ц稇{證被泄露、篡改、偽造等。

c)業(yè)務(wù)安全威脅，包括如下：

1)攻擊者竊取設(shè)備，使用離線支付功能進(jìn)行支付，損害用戶利益；

2)用戶賬號(hào)與錯(cuò)誤的設(shè)備進(jìn)行綁定，從而損害用戶利益；

3)攻擊者竊取、篡改或替換設(shè)備上存儲(chǔ)的設(shè)備憑證、支付憑證；

4)惡意應(yīng)用非授權(quán)訪問(wèn)支付應(yīng)用存儲(chǔ)的支付憑證等數(shù)據(jù)。

7可穿戴設(shè)備安全架構(gòu)

為保證上述可穿戴支付應(yīng)用場(chǎng)景的安全運(yùn)行，可穿戴設(shè)備應(yīng)提供相應(yīng)的安全功能，具體安全架構(gòu)如

圖2所示。

圖2可穿戴設(shè)備安全架構(gòu)

安全架構(gòu)從下到上可分為四層：

3

T/TAF195—2023

——硬件層提供硬件安全，包括HUK、調(diào)試接口等；

——系統(tǒng)層提供核心安全服務(wù)，包括安全啟動(dòng)、安全更新、安全存儲(chǔ)、訪問(wèn)控制等；

——傳輸層提供安全通訊機(jī)制；

——應(yīng)用層提供主要包括可穿戴支付場(chǎng)景使用到的設(shè)備憑證和支付憑證的安全要求。

此外，可穿戴設(shè)備還應(yīng)提供業(yè)務(wù)安全、數(shù)據(jù)安全與個(gè)人信息保護(hù)功能，這兩部分的安全功能可能涉

及如下安全服務(wù)：

——業(yè)務(wù)安全主要包括可穿戴支付場(chǎng)景使用到的設(shè)備憑證和支付憑證的安全要求；

——數(shù)據(jù)安全與個(gè)人信息保護(hù)功能主要涉及可穿戴設(shè)備對(duì)收集的用戶個(gè)人信息以及其他數(shù)據(jù)的安

全保護(hù)能力。

8可穿戴設(shè)備安全要求和測(cè)試方法

8.1概述

本章規(guī)定了可穿戴設(shè)備安全分級(jí)和安全技術(shù)要求。

8.2安全分級(jí)

依據(jù)敏感數(shù)據(jù)存儲(chǔ)的安全性，可將本章的安全技術(shù)要求分為三個(gè)等級(jí)，其中一級(jí)可使用軟件加密算

法實(shí)現(xiàn)數(shù)據(jù)的安全存儲(chǔ)，二級(jí)應(yīng)使用硬件機(jī)制保護(hù)存儲(chǔ)數(shù)據(jù)的安全，三級(jí)應(yīng)提供硬件保護(hù)機(jī)制和代碼邏

輯安全機(jī)制。具體分級(jí)情況可見(jiàn)表1。

表1安全技術(shù)要求分級(jí)表

安全技術(shù)要求一級(jí)二級(jí)三級(jí)

硬件層安全要求硬件安全要求8.3.18.3.18.3.1

系統(tǒng)層安全要求安全啟動(dòng)要求a)a)b)a)c)

安全更新要求a)d)f）a)b)d)f)a),c)-e)f)

安全存儲(chǔ)要求a)a)-c)

訪問(wèn)控制要求a)

傳輸層安全要求安全通信要求8.3.38.3.38.3.3

應(yīng)用層業(yè)務(wù)安全要設(shè)備憑證安全要求

求支付憑證安全要求a)b)a)b)

數(shù)據(jù)安全要求數(shù)據(jù)安全與個(gè)人信息保護(hù)要求8.3.58.3.58.3.5

密碼算法安全要求密碼算法安全要求8.3.68.3.68.3.6

8.3安全技術(shù)要求

8.3.1硬件安全要求

可穿戴設(shè)備硬件層應(yīng)滿足以下安全要求：

a)設(shè)備應(yīng)具備HUK，該HUK應(yīng)用于實(shí)現(xiàn)固件和芯片綁定；

b)HUK長(zhǎng)度不應(yīng)低于128bit；

c)HUK可由芯片硬件生成或存于OTP區(qū)域；

d)設(shè)備應(yīng)在出廠前關(guān)閉物理調(diào)試接口或者禁用物理調(diào)試功能；

4

T/TAF195—2023

e)硬件固件不應(yīng)通過(guò)物理接口（如串口等）提取出來(lái)。

8.3.2系統(tǒng)層安全要求

安全啟動(dòng)要求

可穿戴設(shè)備的安全啟動(dòng)功能，應(yīng)滿足以下要求：

a)應(yīng)支持鏡像文件完整性校驗(yàn)，校驗(yàn)通過(guò)后方可加載運(yùn)行，校驗(yàn)機(jī)制應(yīng)采用哈希算法；

b)應(yīng)支持鏡像文件來(lái)源驗(yàn)證，驗(yàn)證通過(guò)后方可加載運(yùn)行，驗(yàn)證機(jī)制應(yīng)采用對(duì)稱密碼算法；

c)應(yīng)支持鏡像文件來(lái)源驗(yàn)證，驗(yàn)證通過(guò)后方可加載運(yùn)行，驗(yàn)證機(jī)制應(yīng)采用非對(duì)稱密碼算法。

注：此處涉及的鏡像文件為系統(tǒng)啟動(dòng)過(guò)程中鏡像文件，一般包括ROM、Bootloader、主鏡像文件。其中b)和c)的區(qū)

別在于驗(yàn)簽機(jī)制采用的算法安全性不同，非對(duì)稱密碼算法安全性高于對(duì)稱密碼算法安全性。

安全更新要求

可穿戴設(shè)備安全更新應(yīng)滿足以下要求：

a)應(yīng)支持升級(jí)鏡像文件完整性校驗(yàn)，校驗(yàn)通過(guò)后方可進(jìn)行鏡像文件升級(jí)，校驗(yàn)機(jī)制應(yīng)采用哈希算

法；

b)應(yīng)支持升級(jí)鏡像文件來(lái)源驗(yàn)證，驗(yàn)證通過(guò)后方可進(jìn)行鏡像文件升級(jí)，驗(yàn)證機(jī)制應(yīng)采用對(duì)稱密碼

算法；

c)應(yīng)支持升級(jí)鏡像文件來(lái)源驗(yàn)證，驗(yàn)證通過(guò)后方可進(jìn)行鏡像文件升級(jí)，驗(yàn)證機(jī)制應(yīng)采用非對(duì)稱密

碼算法；

d)鏡像文件升級(jí)失敗應(yīng)保證設(shè)備可使用可運(yùn)行的版本正常運(yùn)行；

e)應(yīng)提供鏡像文件版本防回滾機(jī)制，防止通過(guò)升級(jí)機(jī)制將鏡像文件進(jìn)行版本降級(jí)；

f)如通過(guò)手機(jī)等代理設(shè)備進(jìn)行鏡像文件安全驗(yàn)證的，應(yīng)在可穿戴設(shè)備和代理設(shè)備之間建立安全的

傳輸通道，保障鏡像文件傳輸時(shí)不被篡改。

注：可穿戴設(shè)備可支持設(shè)備自主安全更新或代理設(shè)備（如可穿戴設(shè)備綁定的手機(jī)）安全更新，鏡像文件安全性可以

由可穿戴設(shè)備或者代理設(shè)備進(jìn)行驗(yàn)證。

安全存儲(chǔ)要求

可穿戴設(shè)備應(yīng)提供安全存儲(chǔ)能力，滿足以下要求：

a)應(yīng)使用基于密碼學(xué)的安全機(jī)制保障存儲(chǔ)數(shù)據(jù)的機(jī)密性和完整性；

b)應(yīng)使用硬件保護(hù)機(jī)制（如TEE、SE等）防止存儲(chǔ)數(shù)據(jù)被篡改或泄露；

c)應(yīng)保證安全存儲(chǔ)區(qū)域與系統(tǒng)非安全存儲(chǔ)區(qū)域之間的物理隔離；

d)應(yīng)提供數(shù)據(jù)防回滾機(jī)制。

注：防回滾機(jī)制用于保證當(dāng)前數(shù)據(jù)是最新數(shù)據(jù)，而不能被過(guò)期數(shù)據(jù)更新。

訪問(wèn)控制要求

可穿戴設(shè)備應(yīng)提供訪問(wèn)控制機(jī)制，滿足以下要求：

a)設(shè)備宜具備身份認(rèn)證訪問(wèn)控制機(jī)制，包括但不限于鎖屏密碼、為支付應(yīng)用設(shè)置應(yīng)用鎖、在喚起

支付功能時(shí)進(jìn)行生物識(shí)別身份認(rèn)證等；

b)應(yīng)提供針對(duì)應(yīng)用資源的訪問(wèn)控制機(jī)制，除明確授權(quán)情況外，應(yīng)阻止一個(gè)應(yīng)用對(duì)另一個(gè)應(yīng)用資源

的訪問(wèn)。

注：此處的應(yīng)用資源主要指應(yīng)用運(yùn)行過(guò)程中生成和存儲(chǔ)的數(shù)據(jù)，例如屬于當(dāng)前應(yīng)用的支付憑證。

8.3.3傳輸層安全要求

5

T/TAF195—2023

可穿戴設(shè)備應(yīng)提供安全通信機(jī)制，滿足以下要求：

a)可穿戴設(shè)備與手機(jī)等其他設(shè)備進(jìn)行數(shù)據(jù)交互時(shí)其他設(shè)備應(yīng)基于設(shè)備憑證對(duì)該可穿戴設(shè)備進(jìn)行

身份驗(yàn)證并構(gòu)建安全的數(shù)據(jù)傳輸通道；

b)應(yīng)使用安全的通信協(xié)議，并且對(duì)通信數(shù)據(jù)加密，保障數(shù)據(jù)的完整性和機(jī)密性。

8.3.4應(yīng)用層業(yè)務(wù)安全要求

設(shè)備憑證安全要求

可穿戴設(shè)備應(yīng)具備設(shè)備憑證，用于設(shè)備綁定過(guò)程中的設(shè)備身份識(shí)別。設(shè)備憑證安全要求如下：

a)設(shè)備憑證中應(yīng)包含設(shè)備唯一標(biāo)識(shí)符，以保證支付云平臺(tái)可以據(jù)此識(shí)別和管理可穿戴設(shè)備；

b)設(shè)備憑證中應(yīng)包含設(shè)備證書(shū)等安全憑證，用于設(shè)備綁定過(guò)程中服務(wù)端對(duì)設(shè)備身份進(jìn)行驗(yàn)證；

c)設(shè)備憑證的存儲(chǔ)應(yīng)滿足中的要求；

d)設(shè)備憑證應(yīng)與芯片進(jìn)行綁定，防止設(shè)備被克隆。

支付憑證安全要求

可穿戴設(shè)備應(yīng)具備支付憑證，滿足以下要求：

a)支付憑證的存儲(chǔ)應(yīng)滿足中的要求；

b)設(shè)備解綁或設(shè)備恢復(fù)出廠設(shè)置時(shí)，應(yīng)刪除支付憑證且無(wú)法恢復(fù)；

c)應(yīng)在可信環(huán)境中完成基于支付憑證生成支付令牌的過(guò)程。

8.3.5數(shù)據(jù)安全與個(gè)人信息保護(hù)要求

支持支付功能的可穿戴設(shè)備對(duì)其上數(shù)據(jù)的處理應(yīng)滿足以下要求：

a)設(shè)備若需收集用戶敏感個(gè)人信息，應(yīng)確保有完備的隱私政策，確保用戶知情并單獨(dú)同意；如涉

及收集不滿十四周歲未成年人信息的，應(yīng)當(dāng)征得未成年人的父母或其他監(jiān)護(hù)人同意；

b)收集的數(shù)據(jù)應(yīng)滿足最小化原則，不應(yīng)超范圍、超頻次進(jìn)行數(shù)據(jù)收集；

c)數(shù)據(jù)的存儲(chǔ)應(yīng)具備訪問(wèn)控制機(jī)制或使用符合的安全存儲(chǔ)機(jī)制；

d)數(shù)據(jù)的共享、提供、公開(kāi)應(yīng)具備合理性和必要性，并應(yīng)征得用戶同意；

e)數(shù)據(jù)的傳輸應(yīng)滿足8.3.3的要求，必要時(shí)應(yīng)對(duì)敏感數(shù)據(jù)進(jìn)行加密或脫敏后再傳輸；

f)收集、使用、傳輸階段所使用的敏感數(shù)據(jù)的緩存數(shù)據(jù)，應(yīng)該提供自動(dòng)刪除或者授權(quán)用戶手動(dòng)刪

除功能。

8.3.6密碼算法安全要求

本文件涉及的密碼算法應(yīng)符合法律、法規(guī)的規(guī)定，符合國(guó)家相關(guān)管理機(jī)構(gòu)和相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)

準(zhǔn)的要求，保障密碼算法在應(yīng)用中的合規(guī)性、正確性和有效性。

8.4安全測(cè)試方法

8.4.1硬件安全

可穿戴設(shè)備硬件安全檢測(cè)方法和結(jié)果判定如下：

a)檢測(cè)方法如下：

1)查看設(shè)備是否具備HUK，HUK是否應(yīng)用于實(shí)現(xiàn)固件和芯片綁定；

1)查看HUK長(zhǎng)度是否低于128bit；

2)查看HUK是否由芯片硬件生成或存于OTP區(qū)域；

3)查看設(shè)備是否關(guān)閉物理調(diào)試接口或者禁用物理調(diào)試功能；

6

T/TAF195—2023

4)查看硬件固件是否可以通過(guò)物理接口（如串口等）提取出來(lái)。

b)預(yù)期結(jié)果如下：

1)設(shè)備具備HUK，切該HUK應(yīng)用于實(shí)現(xiàn)固件和芯片綁定；

2)HUK長(zhǎng)度不低于128bit；

3)HUK可由芯片硬件生成或存于OTP區(qū)域；

4)設(shè)備關(guān)閉物理調(diào)試接口或者禁用物理調(diào)試功能；

5)硬件固件不能通過(guò)物理接口（如串口等）提取出來(lái)。

c)結(jié)果判定：

實(shí)際測(cè)試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為不符合。

8.4.2系統(tǒng)層安全

安全啟動(dòng)

可穿戴設(shè)備安全啟動(dòng)檢測(cè)方法和結(jié)果判定如下：

a)檢測(cè)方法如下：

1)檢查鏡像文件完整性校驗(yàn)是否校驗(yàn)通過(guò)后才可加載運(yùn)行，校驗(yàn)機(jī)制是否采用哈希算法；

2)查看鏡像文件是否支持來(lái)源驗(yàn)證，是否驗(yàn)證通過(guò)后才能加載運(yùn)行，驗(yàn)證機(jī)制是否采用對(duì)稱

密碼算法；

3)查看鏡像文件是否支持來(lái)源驗(yàn)證，是否驗(yàn)證通過(guò)后才能加載運(yùn)行，驗(yàn)證機(jī)制是否采用非對(duì)

稱密碼算法。

b)預(yù)期結(jié)果如下：

1)支持鏡像文件完整性校驗(yàn)，校驗(yàn)通過(guò)后才能加載運(yùn)行，校驗(yàn)機(jī)制采用哈希算法；

2)支持鏡像文件來(lái)源驗(yàn)證，驗(yàn)證通過(guò)后才能加載運(yùn)行，驗(yàn)證機(jī)制采用對(duì)稱密碼算法；

3)支持鏡像文件來(lái)源驗(yàn)證，驗(yàn)證通過(guò)后才能加載運(yùn)行，驗(yàn)證機(jī)制采用非對(duì)稱密碼算法。

c)結(jié)果判定：

實(shí)際測(cè)試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為不符合。

安全更新

可穿戴設(shè)備安全更新檢測(cè)方法和結(jié)果判定如下：

a)檢測(cè)方法如下：

1)查看是否支持升級(jí)鏡像文件完整性校驗(yàn)，是否校驗(yàn)通過(guò)后才可進(jìn)行鏡像文件升級(jí)，校驗(yàn)機(jī)

制是否采用哈希算法；

2)查看是否支持升級(jí)鏡像文件來(lái)源驗(yàn)證，是否驗(yàn)證通過(guò)后才可進(jìn)行鏡像文件升級(jí)，驗(yàn)證機(jī)制

是否采用對(duì)稱密碼算法；

3)查看是否支持升級(jí)鏡像文件來(lái)源驗(yàn)證，是否驗(yàn)證通過(guò)后方可進(jìn)行鏡像文件升級(jí)，驗(yàn)證機(jī)制

是否采用非對(duì)稱密碼算法；

4)查看鏡像文件升級(jí)失敗后，設(shè)備是否可使用升級(jí)前的版本正常運(yùn)行；

5)查看是否提供鏡像文件版本防回滾機(jī)制，是否可以通過(guò)升級(jí)機(jī)制將鏡像文件進(jìn)行版本降級(jí)；

6)如通過(guò)手機(jī)等代理設(shè)備進(jìn)行鏡像文件安全驗(yàn)證的，查看可穿戴設(shè)備和代理設(shè)備之間是否建

立安全的傳輸通道，是否保障鏡像文件傳輸時(shí)不被篡改。

b)預(yù)期結(jié)果如下：

1)支持升級(jí)鏡像文件完整性校驗(yàn)，僅校驗(yàn)通過(guò)后才可進(jìn)行鏡像文件升級(jí)，校驗(yàn)機(jī)制采用哈希

算法；

7

T/TAF195—2023

2)支持升級(jí)鏡像文件來(lái)源驗(yàn)證，僅驗(yàn)證通過(guò)后才可進(jìn)行鏡像文件升級(jí)，驗(yàn)證機(jī)制采用對(duì)稱密

碼算法

3)支持升級(jí)鏡像文件來(lái)源驗(yàn)證，僅驗(yàn)證通過(guò)后方可進(jìn)行鏡像文件升級(jí)，驗(yàn)證機(jī)制采用非對(duì)稱

密碼算法；

4)鏡像文件升級(jí)失敗后，設(shè)備可使用升級(jí)前的版本正常運(yùn)行；

5)鏡像文件版本防回滾，不能通過(guò)升級(jí)機(jī)制將鏡像文件進(jìn)行版本降級(jí)。

6)如通過(guò)手機(jī)等代理設(shè)備進(jìn)行鏡像文件安全驗(yàn)證的，可穿戴設(shè)備和代理設(shè)備之間建立了安全

的傳輸通道，鏡像文件傳輸時(shí)不被篡改。

c)結(jié)果判定如下：

實(shí)際測(cè)試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為不符合。

安全存儲(chǔ)

可穿戴設(shè)備安全存儲(chǔ)檢測(cè)方法和結(jié)果判定如下：

a)檢測(cè)方法如下：

1)查看是否基于密碼學(xué)的安全機(jī)制進(jìn)行數(shù)據(jù)加密存儲(chǔ)；

2)查看是否使用硬件保護(hù)機(jī)制（如TEE、SE等）存儲(chǔ)數(shù)據(jù)；

3)查看安全存儲(chǔ)區(qū)域與系統(tǒng)非安全存儲(chǔ)區(qū)域之間是否物理隔離；

4)查看是否提供數(shù)據(jù)防回滾機(jī)制。

b)預(yù)期結(jié)果如下：

1)提供存儲(chǔ)數(shù)據(jù)的機(jī)密性和完整性保護(hù)；

2)使用硬件保護(hù)機(jī)制（如TEE、SE等）防止存儲(chǔ)數(shù)據(jù)被篡改或泄露；

3)安全存儲(chǔ)區(qū)域與系統(tǒng)非安全存儲(chǔ)區(qū)域之間進(jìn)行了物理隔離；

4)提供了數(shù)據(jù)防回滾機(jī)制。

c)結(jié)果判定如下：

實(shí)際測(cè)試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為不符合。

訪問(wèn)控制

可穿戴設(shè)備訪問(wèn)控制檢測(cè)方法和結(jié)果判定如下：

a)檢測(cè)方法如下：

1)查看設(shè)備是否具備身份認(rèn)證訪問(wèn)控制機(jī)制，包括但不限于鎖屏密碼、為支付應(yīng)用設(shè)置應(yīng)用

鎖、在喚起支付功能時(shí)進(jìn)行生物識(shí)別身份認(rèn)證等；

2)查看是否提供針對(duì)應(yīng)用資源的訪問(wèn)控制機(jī)制，是否存在無(wú)授權(quán)情況外一個(gè)應(yīng)用對(duì)另一個(gè)應(yīng)

用資源可進(jìn)行訪問(wèn)的情況。

b)預(yù)期結(jié)果如下：

1)設(shè)備具備身份認(rèn)證訪問(wèn)控制機(jī)制，包括但不限于鎖屏密碼、為支付應(yīng)用設(shè)置應(yīng)用鎖、在喚

起支付功能時(shí)進(jìn)行生物識(shí)別身份認(rèn)證等；

2)提供針對(duì)應(yīng)用資源的訪問(wèn)控制機(jī)制，無(wú)授權(quán)情況下一個(gè)應(yīng)用無(wú)法對(duì)另一個(gè)應(yīng)用資源進(jìn)行訪

問(wèn)。

c)結(jié)果判定如下：

實(shí)際測(cè)試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為不符合。

8.4.3傳輸層安全

可穿戴設(shè)備傳輸層安全通信檢測(cè)方法和結(jié)果判定如下：

8

T/TAF195—2023

a)檢測(cè)方法如下：

1)將可穿戴設(shè)備與手機(jī)等設(shè)備進(jìn)行數(shù)據(jù)交互，查看是否基于設(shè)備憑證對(duì)該可穿戴設(shè)備進(jìn)行身

份驗(yàn)證并是否構(gòu)建數(shù)據(jù)安全傳輸通道；

2)查看支持?jǐn)?shù)據(jù)和機(jī)密性完整性保護(hù)的安全通信協(xié)議，是否對(duì)通信數(shù)據(jù)加密。

b)預(yù)期結(jié)果如下：

1)可穿戴設(shè)備與手機(jī)等其他設(shè)備進(jìn)行數(shù)據(jù)交互時(shí)，其他設(shè)備基于設(shè)備憑證對(duì)該可穿戴設(shè)備進(jìn)

行了身份驗(yàn)證并構(gòu)建了數(shù)據(jù)安全傳輸通道；

2)使用了安全通信協(xié)議進(jìn)行數(shù)據(jù)交互，對(duì)通信數(shù)據(jù)進(jìn)行了加密。

c)結(jié)果判定如下：

實(shí)際測(cè)試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為不符合。

8.4.4應(yīng)用層業(yè)務(wù)安全

設(shè)備憑證安全

設(shè)備憑證安全檢測(cè)方法和結(jié)果判定如下：

a)檢測(cè)方法如下：

1)查看設(shè)備憑證中是否包含設(shè)備唯一標(biāo)識(shí)符；

2)查看設(shè)備憑證中是否包含設(shè)備證書(shū)；

3)存儲(chǔ)安全測(cè)試按照a）中的方法進(jìn)行測(cè)試；

4)查看設(shè)備憑證是否與芯片進(jìn)行綁定。

b)預(yù)期結(jié)果如下：

1)設(shè)備憑證中包含設(shè)備唯一標(biāo)識(shí)符；

2)設(shè)備憑證中包含設(shè)備證書(shū)；

3)設(shè)備憑證存儲(chǔ)安全預(yù)期結(jié)果見(jiàn)b）；

4)設(shè)備憑證與芯片進(jìn)行綁定。

c)結(jié)果判定如下：

實(shí)際測(cè)試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為不符合。

支付憑證安全要求

可穿戴設(shè)備應(yīng)具備支付憑證并保障支付憑證安全，滿足以下要求：

a)檢測(cè)方法如下：

1)支付憑證存儲(chǔ)安全測(cè)試按照a）中的方法進(jìn)行測(cè)試；

2)將設(shè)備解綁或恢復(fù)出廠設(shè)置，查看是否刪除支付憑證且無(wú)法恢復(fù)；

3)查看基于支付憑證生成支付令牌的過(guò)程是否在可信環(huán)境中完成。

b)預(yù)期結(jié)果如下：

1)支付憑證存儲(chǔ)安全預(yù)期結(jié)果見(jiàn)b）；

2)將設(shè)備解綁或恢復(fù)出廠設(shè)置，支付憑證刪除且無(wú)法恢復(fù)；

3)基于支付憑證生成支付令牌的過(guò)程在可信環(huán)境中完成。

c)結(jié)果判定如下：

實(shí)際測(cè)試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為不符合。

8.4.5數(shù)據(jù)安全與個(gè)人信息保護(hù)要求

數(shù)據(jù)安全與個(gè)人信息保護(hù)檢測(cè)方法和結(jié)果判定如下：

a)檢測(cè)方法如下：

9

T/TAF195—2023

1)查看是否有完備的隱私政策，隱私政策是否涵蓋如下內(nèi)容：設(shè)備若需收集用戶敏感個(gè)人信

息，需用戶授權(quán)并單獨(dú)同意，如涉及收集不滿十四周歲未成年人信息的，應(yīng)當(dāng)征得未成年

人的父母或其他監(jiān)護(hù)人同意；

2)查看收集的數(shù)據(jù)是否滿足最小化原則，是否有超范圍、超頻次數(shù)據(jù)收集；

3)查看數(shù)據(jù)的存儲(chǔ)是否具備訪問(wèn)控制機(jī)制或參照a）的檢測(cè)方法進(jìn)行測(cè)試；

4)查看數(shù)據(jù)的共享、提供、公開(kāi)是否具備合理性和必要性，并是否征得用戶同意；

5)數(shù)據(jù)傳輸測(cè)試按照a）的測(cè)試方法，查看必要的情況下是否有這對(duì)敏感數(shù)據(jù)進(jìn)行

加密或脫敏后再傳輸；

6)查看收集、使用、傳輸階段所使用的敏感數(shù)據(jù)的緩存數(shù)據(jù)，是否可以自動(dòng)刪除或者授權(quán)用

戶進(jìn)行手動(dòng)刪除。

b)預(yù)期結(jié)果如下：

1)具備完備的隱私政策，隱私政策是否涵蓋如下內(nèi)容：設(shè)備若需收集用戶敏感個(gè)人信息，需

用戶授權(quán)并單獨(dú)同意，如涉及收集不滿十四周歲未成年人信息的，應(yīng)當(dāng)征得未成年人的父

母或其他監(jiān)護(hù)人同意；

2)收集的數(shù)據(jù)滿足最小化原則，不存在超范圍、超頻次數(shù)據(jù)收集的行為；

3)數(shù)據(jù)的存儲(chǔ)具備訪問(wèn)控制機(jī)制或參照b）的預(yù)期結(jié)果；

4)數(shù)據(jù)的共享、提供、公開(kāi)具備合理性和必要性，并征得用戶同意；

5)數(shù)據(jù)傳輸測(cè)試按照a）的測(cè)試方法，必要的情況下有針對(duì)敏感數(shù)據(jù)進(jìn)行加密或脫

敏后再傳輸；

6)收集、使用、傳輸階段所使用的敏感數(shù)據(jù)的緩存數(shù)據(jù)，可以自動(dòng)刪除或者授權(quán)用戶進(jìn)行手

動(dòng)刪除。

c)結(jié)果判定如下：

實(shí)際測(cè)試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為不符合。

8.4.6密碼算法安全要求

密鑰算法安全檢測(cè)方法和結(jié)果判定如下：

a)檢測(cè)方法如下：

查看密碼算法是否符合法律、法規(guī)的規(guī)定，符合國(guó)家相關(guān)管理機(jī)構(gòu)和相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)

的要求，密碼算法在應(yīng)用中是否滿足合規(guī)性，正確性和有效性。

b)預(yù)期結(jié)果如下：

符合法律、法規(guī)的規(guī)定，符合國(guó)家相關(guān)管理機(jī)構(gòu)和相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的要求，密碼算法

在應(yīng)用中滿足合規(guī)性，正確性和有效性。

c)結(jié)果判定如下：

實(shí)際測(cè)試結(jié)果與相關(guān)預(yù)期結(jié)果一直則判定為符合，其他情況判定為不符合。

10

T/TAF195—2023

電信終端產(chǎn)業(yè)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)

支持支付業(yè)務(wù)的可穿戴設(shè)備安全規(guī)范

T/TAF195—2023

*

版權(quán)所有侵權(quán)必究

電信終端產(chǎn)業(yè)協(xié)會(huì)印發(fā)

地址：北京市西城區(qū)新街口外大街28號(hào)

電話/p>

電子版發(fā)行網(wǎng)址：

ICS33.050

CCSM30

團(tuán)體標(biāo)準(zhǔn)

T/TAF195—2023

支持支付業(yè)務(wù)的可穿戴設(shè)備安全規(guī)范

Securityspecificationsforwearabledevicessupportingpaymentservices

2023-11-24發(fā)布2023-11-24實(shí)施

電信終端產(chǎn)業(yè)協(xié)會(huì)發(fā)布

T/TAF195—2023

支持支付業(yè)務(wù)的可穿戴設(shè)備安全規(guī)范

1范圍

本文件規(guī)定了支持支付業(yè)務(wù)的可穿戴設(shè)備的安