YD_T 3146-2016手机支付 移动终端安全测试方法.pdf

ICS 33.060M 60YD中华人民共和国通信行业标准YD/T3146-2016手机支付移动终端安全测试方法Mobile payment security test method for mobile terminal201607-11发布2016-10-01实施中华人民共和国工业和信息化部发布 YD/T 314620166.4软件应用管理安全要求软件应用管理安全测试方法具体见《智能终端信息安全移动终端安全能力测试方法》中4.5节。6.5涉及通信连接类操作的管理安全要求涉及通信连接类操作的管理安全测试方法具体见《智能终端信息安全移动终端安全能力测试方法》4.3.1.1节,6.6操作系统更新的安全要求操作系统更新的安全测试方法具体见《智能终端信息安全移动终端安全能力测试方法》中4.3.1.3节。应用程序接口API安全层测试7.1移动终端的API访问类别及安全级别定义功能测试测试编号：7.1测试项目：移动终端API安全级别测试测试目的；测试移动终端的API安全级别定义功能项目要求：见《手机支付移动终端安全技术要求》中第8章预置条件：被测移动终端处于正常工作状态测试配置：测试配置见图3测试步骤：步骤1：检查移动终端API接口安全级别信息：步骤2：通过移动终端设定API接口安全级别：步3：检查移动终端API接口安全级别信息；步骤4：对任一给定API接口，检查移动终端API接口安全级别信息中该API接口的安全级别信息预期结果：测试步骤1）中，可以获得移动终端API安全级别信息：测试步骤3）中，可以获得重新定义后的移动终端API安全级别信息；测试步要4）中，可以获得API接口的安全级别信息7 YD/T 314620167.2移动终端应用的API访问类别及安全级别定义功能测试测试编号：7.2测试项目：移动终端中应用的API访间权限类别定义测试测试目的：测试移动终增中应用的API访间权限类别定义功能项日要求：见（手机支付移动终端安全技术要求》中第8章预置条件：被测移动终端处于正常工作状态测试配置：测试配置见图3步骤1：检查移动终端中应用的API接口访闻权限类别及访间策略信息；步骤2：通过移动终端设定应用的API接口访间权限类别及相应的访间策略：步骤3：检查移动终端中应用的API接口访间权限类别及访间侧率信息：步骤4：对移动终端中的任一给定应用，检查应用的API接口访间权限类别及访问策略信息预期结果：测试步骤1）中，可以获得移动终端中应用的API访间权限类别及对应的访问控制策略信息：测试步骤3）中，可以获得重新定义后的移动终端中应用的API访间权限类别及对应的访间控制策路信息测试步骤4）中，可以获得应用的API接口访间权限类别及对应的访间控制策略信息8 YD/T 314620167.3移动终端对应用的API访问权限管理功能测试测试编号：7.3测试项目：应用的API访间权限管理测试测试目的：测试移动终端对应用的API访间权限管理功能项目要求：见《手机支付移动终端安全技术要求》中第8章预置条件：被测移动终端处于正常工作状态测试配置：测试配置见图3测试步骤：步露1：检查移动终端应用信息：步露2：对应用进行API访间权限分配；步骤3：检查移动终端应用API访间权限：步骤4：对应用进行API访间权限变更：步骤5：检查移动终端应用API访问权限；步6：启动移动终端应用软件的升级；步骤7：检查升级后的移动终端应用的API访间权限信息：步翼8：删除移动终端应用：步骤9：检查被删除的移动终端应用及其相应的API访问权限信息预期结果：测试步骤1）中，1可以获得移动终端应用信息如，应用的来源、应用是否可信等信息：测试步骤3）中，可以获得移动终端应用的API访间权限信息：测试步暴5）中，可以获得更新后的移动终端应用的API访间权限信息；测试步骤6）中，手机提示检查应用的API访间权限信息测试步骤7）中，1可以获得升级后的移动终端应用的API访间权限信息：测试步9）中，移动终端无被删除移动终端应用及其对应的API访间权限信息 YD/T 314620167.4移动终端应用的API访问功能测试测试编号：7.4测试项目：移动终端应用API访间测试测试目的：测试移动终端应用的API访问功能项目要求：见《手机支付移动终端安全技术要求》中第8章预置条件：被测移动终端处于正常工作状态测试配置：测试配置见图3测试步骤：步骤1：检查移动终端上的应用及相应的API访间权限信息：步罩2：通过移动终缩上的应用，按照其对应API访间权限对API进行访间：步噪3：通过移动终端上的应用，不按照其对应API访间权限对API进行访间预期结果：测试步骤1）中，可以获得移动终端应用信息及应用对应的访间权限信息；测试步骤2）中，应用可以在其API访间权限范围内对API进行访间。测试步3）中，应