《JR_T0285-2024基于数字证书的移动终端金融安全身份认证规范.docx》由会员分享,可在线阅读,更多相关《JR_T0285-2024基于数字证书的移动终端金融安全身份认证规范.docx(24页珍藏版)》请在优知文库上搜索。
1、ICS35.240.40CCSA11JR中华人民共和国金融行业标准JR/T02852024基于数字证书的移动终端金融安全身份认证规范SpecificationformobiIeterminaIfinancialsecurityidentityauthenticationbasedondigitalcertificate2024 - 01 - 15 实施2024-01-15发布中国人民银行目次前言II弓I言III1范围12规范性引用文件13术语和定义14安全身份认证服务35移动终端生命周期管理66安全身份认证服务生命周期管理77 密钥管理118 安全及功能要求129风险控制要求1410运营管理要
2、求1511证实方法15附录A(资料性)安全身份认证服务在商业银行中的参考实现16附录B(资料性)安全身份认证服务申请及移动终端关联方式19参考文献21本文件按照GB/T1.1-2020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国人民银行科技司提出。本文件由全国金融标准化技术委员会(SAC/TC180)归口。本文件起草单位:北京金融科技产业联盟、中国人民银行数字货币研究所、中国工商银行股份有限公司、中国农业银行股份有限公司、中国银行股份有限公司、中国建设银行股份有限公司、中国银联股份有限公司、
3、中金金融认证中心有限公司、北京国家金融科技认证中心有限公司、北京银联金卡科技有限公司、华为技术有限公司、荣耀终端有限公司、小米科技有限责任公司、OPPO广东移动通信有限公司、北京紫光展锐科技有限公司、北京豆荚科技有限公司、北京一砂信息技术有限公司、无锡融卡科技有限公司、北京扬帆伟业科技有限公司、恒宝股份有限公司、北京握奇数据股份有限公司、上海奥航智能科技有限公司、国泰君安证券股份有限公司、国民认证科技(北京)有限公司。本文件主要起草人:潘润红、聂丽琴、黄本涛、胡达川、李明艳、李璐、于鹏、洪宝南、金驰、王麒麟、金鑫、陈维开、何伟明、周小淋、李定洲、詹成初、陈成钱、于文海、鲁欣、张海燕、唐辉、黄江
4、、章盼、王鑫、杨波、张友奖、李坤、张有科、韩业飞、罗广文、王磊、薛升俊、李根、张寒冰、杨子光、张楚、路如毅、王涛、熊帅、赵李明、鲁洪成、李勃、丁宁、陶惠勇、柴海新、都大港。随着移动互联网产业的创新发展,移动终端金融业务得到了快速普及,移动金融的需求也已经向安全、便捷、高效的方向发展。基于数字证书电子认证方式的传统网银智能密码钥匙设备有效地满足了网银系统的安全需求,但无法适应当前移动终端金融业务对安全产品便携易用、体验平滑和场景深度嵌入的需求。近年来,在移动终端上采用数字证书的电子认证方式逐渐成为保障金融交易安全和客户资金安全的重要手段。为规范在移动终端上开展数字证书电子认证服务,提升金融行业业
5、务安全水平,特制定本文件。基于数字证书的移动终端金融安全身份认证规范1范围本文件规定了基于数字证书的移动终端金融安全身份认证的服务描述、移动终端生命周期管理、服务生命周期管理、密钥管理、安全及功能、风险控制和运营管理的要求。本文件适用于银行业金融机构、非银行支付机构,以及相关终端厂商、电子认证服务商等。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T32915-2016信息安全技术二元序列随机性检测方法GM/T00622018密码产品随
6、机数检测要求JR/T0089.2-2012中国金融移动支付安全单元第2部分:多应用管理规范JR/T0098.2-2012中国金融移动支付检测规范第2部分:安全芯片JR/T0098.5-2012中国金融移动支付检测规范第5部分:安全单元(SE)嵌入式软件安全JR/T01182015金融电子认证规范JR/T01562017移动终端支付可信环境技术规范3术语和定义下列术语和定义适用于本文件。3. 1移动终端mobiIeterminal可移动的便携式计算设备。注:移动终端包括带有无线上网功能的智能移动通信终端、平板式计算机、便携式计算机。来源:GB/T250692022,3.7193.2安全单元sec
7、ureelement;SE负责身份认证服务的密钥和数字证书等关键数据的存储和运算的高安全性硬件部件。注:安全单元包括移动终端集成的安全芯片和外置的安全芯片。来源:JR/T0088.12012,2.11,有修改1.1 3富执行环境richexecutionenvironment;REE在移动终端内,由通用操作系统管理和控制的环境。注:通用操作系统及运行在其中的应用程序具有不可信的特点。3.4可信执行环境trustedexecutionenvironment;TEE基于硬件级隔离及安全启动机制,为确保安全敏感应用相关数据和代码的机密性、完整性、真实性和不可否认性目标构建的一种软件运行环境。注:硬件
8、级隔离是基于硬件安全扩展机制,通过对计算资源的固定划分或动态共享,保证隔离资源不被富执行环境访问的一种安全机制。来源:GB/T413882022,3.33.5可信环境trustedenvironment个人移动终端上基于硬件和软件结合的安全技术,为移动支付相关业务提供的运行环境。注:本文件中的可信环境指TEE安全环境和TEE+SE安全环境。来源:JR/T01562017,3.1,有修改3.6可信用户接口trusteduserinterface;TUI在可信执行环境内为可信应用与用户提供具有输入或输出安全交互能力的接口。3.7电子认证机构certificateauthority;CA对数字证书进
9、行全生命周期管理的实体。来源:JR/T01182015,3.23.8数字证书digitalcertificate由国家认可的,具有权威性、可信性和公正性的电子认证机构进行数字签名的一个可信的数字化文件。来源:GB/T205182018,3.7,有修改3.9智能密码钥匙cryptographicsmarttoken内置单片机或智能卡芯片,具备存储用户私钥以及数字证书能力的终端硬件设备。来源:JR/T00682020,3.7,有修改3.10个人标识码personaIidentificationnumber;PIN用于鉴别用户身份和防止私钥被未授权使用的字符序列。来源:JR/T01142015,3.
10、8,有修改3. 11可信应用trustedappIication;TA运行在可信执行环境中的应用程序。来源:GB/T413882022,3.83 .12安全应用secureappIication;SA运行在SE中,通过预置或者空中下载的方式进行安装的应用程序。4 .13可信服务管理trustedservicemanagement;TSM由可信第三方提供的载体生命周期管理、应用生命周期管理和应用管理等服务。来源:JR/T0088.12012,2.204安全身份认证服务4.1 概述本文件中安全身份认证服务指基于数字证书的金融安全身份认证服务。安全身份认证服务在金融机构的手机银行、网上银行等金融业务
11、中使用。根据移动终端可信环境不同的安全能力级别,安全身份认证服务由多个应用组成。各部分应用分别装载及运行在移动终端的不同运行环境中,提供不同的功能和安全能力,相互协作共同提供完整的安全身份认证服务,服务应用包括以下内容。a)在REE中的客户端应用。b)在TEE中的可信应用。c)在SE中的安全应用。4.2 服务体系构成服务体系由用户方、服务提供方(金融机构、平台提供方)、设备提供方和CA组成。服务体系构成如图1所示。.图1服务体系构成服务体系中业务参与方的角色及其之间的关系如下。a)用户方:使用安全身份认证服务的对象。在不同的场景下具有不同的含义,例如移动终端的拥有者、安全身份认证服务的申请者及
12、使用者。b)服务提供方:向用户提供安全身份认证服务,处理用户提交的服务申请,并对服务相关的系统、平台等进行管理。在不同的实施方式中可再细分为金融机构、平台提供方,平台提供方主要是向金融机构提供系统、平台等服务。C)设备提供方:安全身份认证服务载体的生产制造方,为服务提供方在设备上部署安全身份认证服务提供必要的技术支撑。d)CA:采用公开密钥基础技术,提供证书的签发和管理的机构。4.3一般结构4.3.1概述根据移动终端可信环境不同能力级别(分类分级参见JR/T0156-2017),身份认证实现方式采用TEE+SE安全能力和采用TEE安全能力2种方式。身份认证在商业银行中的具体实现方式参见附录A。
13、4.3.2采用TEE+SE安全能力的方式采用TEE+SE安全能力的一般结构如图2所示。图2一般结构(采用TEE+SE安全能力的方式)采用TEE+SE安全能力的一般结构时,应符合以下规则。a)在REE中的客户端模块:运行在REE中,是用户使用服务的入口。一提供身份认证应用管理的接口,实现下载、安装、更新、删除等功能。一一实现证书管理,包括申请、下载、更新及删除等操作。b)在TEE中的可信模块:运行在TEE中。一一实现用户PlN码的安全输入及管理。一一实现交易信息的显示和确认。一一提供SE安全访问通道。c)在SE中的安全模块:运行在SE中。 只接受TEE的安全访问。 提供密码服务,实现签名密钥的生
14、成和私钥管理功能。 提供密码服务,实现PIN码管理功能。 提供密码服务,实现交易信息签名功能。4. 3.3采用TEE安全能力的方式采用TEE安全能力的一般结构如图3所示。图3一般结构(采用TEE安全能力的方式)采用TEE安全能力的一般结构时,应符合以下规则。a)在REE中的客户端应用:运行在REE中,是用户使用服务的入口。一一提供身份认证应用管理的接口,实现下载、安装、更新、删除等功能。一一实现证书管理,包括申请、下载、更新及删除等操作。b)在TEE中的可信应用:运行在TEE中。 实现交易信息的显示和确认。一一提供密码服务,实现签名密钥的生成和私钥管理功能。 提供密码服务,实现PIN码的安全输
15、入及管理功能。 提供密码服务,实现交易信息签名功能。5移动终端生命周期管理5.1 概述作为安全身份认证服务的载体,移动终端的生命周期划分为生产、使用、转让、丢失、维护和恢夏出厂设置阶段。5.2 生产移动终端生产制造环境(例如机房、设备、网络、运输、人员及管理等)应符合相关行业要求。移动终端数据预置过程(例如SE操作系统、TEE操作系统、工厂密钥、其他敏感数据等)应符合相关行业要求。5. 3使用用户在具有安全身份认证服务能力的移动终端上,通过服务提供方客户端应用进行相关服务操作。设备提供方宜在移动终端系统功能层,提供安全身份认证服务启用开关。用户通过该功能管理安全身份认证服务状态(打开、关闭),以及管理允许访问安全身份认证服务的客户端应用。5.4 转让服务提供方应提供用户提示机制,提示用户在转让已经启用安全身份认证服务的移动终端前,进行安全身份认证服务注销,并告知用