规范编制背景
2025年7月11日,中国人民银行正式发布《移动终端数字证书应用技术规范》(JR/T 0340-2025),旨在为移动终端数字证书的使用出具统一应用标准,为移动终端数字证书应用提供技术指导。
核心内容解读
一、移动证书整体应用框架
移动证书应用服务体系架构主要由客户端、服务端和电子认证机构三部分组成。
1. 客户端包括移动应用和移动证书客户端模块。
移动应用是移动证书服务的使用者,用户在移动终端上通过移动应用使用移动证书客户端模块获取完整的数字证书服务。移动证书客户端模块可由第三方机构向移动应用提供。
2. 服务端包括业务系统和移动证书服务端模块。
业务系统提供具体业务服务,并通过验证用户的签名和验证移动证书有效性,来判断用户操作真实性。移动证书服务端模块为用户提供移动证书的生命周期管理服务,可由第三方机构向业务系统提供。
3. 电子认证机构负责提供数字证书全生命周期管理功能。
二、三种典型移动证书应用模式
1. 文件证书
引用参考《网上银行系统信息安全通用规范》(JR/T 0068—2020)中 6.2.2.2 文件证书 的要求。
2. 非对称密钥分散证书
将私钥分量分布在不同的设备中,以避免全部私钥信息的直接存储和使用。签名时,各设备的私钥分量进行协同签名运算。采用安全保障措施,防止证书私钥外泄,确保私钥安全性。
3. TEE/SE证书
引用参考《基于数字证书的移动终端金融安全身份认证规范(JR/T 0285-2024)》,其对基于可信执行环境(TEE)和安全单元(SE)的移动终端安全身份认证服务进行了规范。
三、身份鉴别
1. 移动证书服务端模块
应独立识别或通过业务系统识别每个访问实体(证书的拥有者)的真实身份,并确保每个实体只能按照业务系统设定的范围提供业务服务。在访问实体身份被成功鉴别前,移动证书服务端模块应禁止执行该实体的任何操作。
2. 服务端业务系统
可采用的身份鉴别技术包括但不限于已有数字证书、身份证要素验证、银行卡要素验证、动态口令(OTP)、生物识别技术、临柜面签。
3. 移动证书客户端模块
对实际使用者应具有身份鉴别功能,在启用私钥进行签名之前,应采用口令或生物识别等方式对实际使用者进行鉴别,鉴别通过才能生成签名;若鉴别不通过,则应拒绝生成签名。
四、用户密钥安全管理
1. 移动证书服务端模块
采用非对称密钥分散方式提供移动证书应用服务时,应保证服务端用户私钥分量的安全性,防止私钥分量外泄,避免签名被冒用的风险。
2. 移动证书客户端模块
密钥管理应符合以下要求:
a)移动证书客户端模块应具备密码运算功能,能够实现签名或验签等功能,密码算法必须符合国家密码管理部门的相关规定。
b)移动证书客户端模块应实现私钥安全存储功能,不提供私钥导出指令,采用非对称密钥分散或TEE/SE密钥的证书存储方式下,签名过程中完整私钥不应以明文形式在移动终端富执行环境REE内存中出现。
c)移动证书客户端模块应与移动设备信息及应用信息绑定,防范证书被非法复制到其他移动设备或应用上使用。
满足《规范》要求的实施方案及其功能特点
中金金融认证中心(CFCA)推出“基于密钥分散协同签名技术数字证书实施方案”——CFCA云证通,以及“基于FIDO标准的数字证书实施方案”——CFCA FIDO+。
CFCA云证通基于SM2、SM3、SM4国密算法,提供密钥分散证书下载、协同签名、数据加解密等功能,让客户可以无需携带额外硬件设备,以智能设备为载体,随时、随地、安全、便捷地实现电子签名。云证通提供云端数字证书身份认证与数字签名服务,可为移动端业务操作进行可信赖的安全加固,防止出现抵赖、篡改等问题。
CFCA FIDO+基于FIDO生物识别技术和电子签名技术,在客户登录、支付、转账场景中通过指纹、3D人脸等方式实现快速认证,应用TEE数字证书模式实现安全认证保护,防止远程调用攻击,保障安全性的同时,给予用户更加便捷的体验。
CFCA云证通和CFCA FIDO+两种实施方案拥有中国人民银行、国家密码管理局、公安部等颁发的相关资质认证,技术要求满足《移动终端数字证书应用技术规范》(JR/T 0340-2025),具有合规性保障,并在各大银行、证券机构等众多金融机构实施上线,且系统运行稳定。
未来,CFCA作为“可信数字身份服务的领导者”,将继续致力于创新产品模式,扩展服务场景,筑牢安全基线。
