規范編制背景
2025年7月11日,中國人民銀行正式發布《移動終端數字證書應用技術規范》(JR/T 0340-2025),旨在為移動終端數字證書的使用出具統一應用標準,為移動終端數字證書應用提供技術指導。
核心內容解讀
一、移動證書整體應用框架
移動證書應用服務體系架構主要由客戶端、服務端和電子認證機構三部分組成。
1. 客戶端包括移動應用和移動證書客戶端模塊。
移動應用是移動證書服務的使用者,用戶在移動終端上通過移動應用使用移動證書客戶端模塊獲取完整的數字證書服務。移動證書客戶端模塊可由第三方機構向移動應用提供。
2. 服務端包括業務系統和移動證書服務端模塊。
業務系統提供具體業務服務,并通過驗證用戶的簽名和驗證移動證書有效性,來判斷用戶操作真實性。移動證書服務端模塊為用戶提供移動證書的生命周期管理服務,可由第三方機構向業務系統提供。
3. 電子認證機構負責提供數字證書全生命周期管理功能。
二、三種典型移動證書應用模式
1. 文件證書
引用參考《網上銀行系統信息安全通用規范》(JR/T 0068—2020)中 6.2.2.2 文件證書 的要求。
2. 非對稱密鑰分散證書
將私鑰分量分布在不同的設備中,以避免全部私鑰信息的直接存儲和使用。簽名時,各設備的私鑰分量進行協同簽名運算。采用安全保障措施,防止證書私鑰外泄,確保私鑰安全性。
3. TEE/SE證書
引用參考《基于數字證書的移動終端金融安全身份認證規范(JR/T 0285-2024)》,其對基于可信執行環境(TEE)和安全單元(SE)的移動終端安全身份認證服務進行了規范。
三、身份鑒別
1. 移動證書服務端模塊
應獨立識別或通過業務系統識別每個訪問實體(證書的擁有者)的真實身份,并確保每個實體只能按照業務系統設定的范圍提供業務服務。在訪問實體身份被成功鑒別前,移動證書服務端模塊應禁止執行該實體的任何操作。
2. 服務端業務系統
可采用的身份鑒別技術包括但不限于已有數字證書、身份證要素驗證、銀行卡要素驗證、動態口令(OTP)、生物識別技術、臨柜面簽。
3. 移動證書客戶端模塊
對實際使用者應具有身份鑒別功能,在啟用私鑰進行簽名之前,應采用口令或生物識別等方式對實際使用者進行鑒別,鑒別通過才能生成簽名;若鑒別不通過,則應拒絕生成簽名。
四、用戶密鑰安全管理
1. 移動證書服務端模塊
采用非對稱密鑰分散方式提供移動證書應用服務時,應保證服務端用戶私鑰分量的安全性,防止私鑰分量外泄,避免簽名被冒用的風險。
2. 移動證書客戶端模塊
密鑰管理應符合以下要求:
a)移動證書客戶端模塊應具備密碼運算功能,能夠實現簽名或驗簽等功能,密碼算法必須符合國家密碼管理部門的相關規定。
b)移動證書客戶端模塊應實現私鑰安全存儲功能,不提供私鑰導出指令,采用非對稱密鑰分散或TEE/SE密鑰的證書存儲方式下,簽名過程中完整私鑰不應以明文形式在移動終端富執行環境REE內存中出現。
c)移動證書客戶端模塊應與移動設備信息及應用信息綁定,防范證書被非法復制到其他移動設備或應用上使用。
滿足《規范》要求的實施方案及其功能特點
中金金融認證中心(CFCA)推出“基于密鑰分散協同簽名技術數字證書實施方案”——CFCA云證通,以及“基于FIDO標準的數字證書實施方案”——CFCA FIDO+。
CFCA云證通基于SM2、SM3、SM4國密算法,提供密鑰分散證書下載、協同簽名、數據加解密等功能,讓客戶可以無需攜帶額外硬件設備,以智能設備為載體,隨時、隨地、安全、便捷地實現電子簽名。云證通提供云端數字證書身份認證與數字簽名服務,可為移動端業務操作進行可信賴的安全加固,防止出現抵賴、篡改等問題。
CFCA FIDO+基于FIDO生物識別技術和電子簽名技術,在客戶登錄、支付、轉賬場景中通過指紋、3D人臉等方式實現快速認證,應用TEE數字證書模式實現安全認證保護,防止遠程調用攻擊,保障安全性的同時,給予用戶更加便捷的體驗。
CFCA云證通和CFCA FIDO+兩種實施方案擁有中國人民銀行、國家密碼管理局、公安部等頒發的相關資質認證,技術要求滿足《移動終端數字證書應用技術規范》(JR/T 0340-2025),具有合規性保障,并在各大銀行、證券機構等眾多金融機構實施上線,且系統運行穩定。
未來,CFCA作為“可信數字身份服務的領導者”,將繼續致力于創新產品模式,擴展服務場景,筑牢安全基線。
免責聲明:
1、本網所刊登文章,除原創頻道外,若無特別版權聲明,均來自網絡轉載。
2、文章觀點不代表本網立場,其真實性由作者或稿源方負責;市場有風險,選擇需謹慎,此文僅供參考,不作買賣依據。