規(guī)范編制背景

　　2025年7月11日，中國人民銀行正式發(fā)布《移動終端數(shù)字證書應(yīng)用技術(shù)規(guī)范》(JR/T 0340-2025)，旨在為移動終端數(shù)字證書的使用出具統(tǒng)一應(yīng)用標(biāo)準(zhǔn)，為移動終端數(shù)字證書應(yīng)用提供技術(shù)指導(dǎo)。

核心內(nèi)容解讀

　　一、移動證書整體應(yīng)用框架

　　移動證書應(yīng)用服務(wù)體系架構(gòu)主要由客戶端、服務(wù)端和電子認(rèn)證機(jī)構(gòu)三部分組成。

　　1. 客戶端包括移動應(yīng)用和移動證書客戶端模塊。

　　移動應(yīng)用是移動證書服務(wù)的使用者，用戶在移動終端上通過移動應(yīng)用使用移動證書客戶端模塊獲取完整的數(shù)字證書服務(wù)。移動證書客戶端模塊可由第三方機(jī)構(gòu)向移動應(yīng)用提供。

　　2. 服務(wù)端包括業(yè)務(wù)系統(tǒng)和移動證書服務(wù)端模塊。

　　業(yè)務(wù)系統(tǒng)提供具體業(yè)務(wù)服務(wù)，并通過驗(yàn)證用戶的簽名和驗(yàn)證移動證書有效性，來判斷用戶操作真實(shí)性。移動證書服務(wù)端模塊為用戶提供移動證書的生命周期管理服務(wù)，可由第三方機(jī)構(gòu)向業(yè)務(wù)系統(tǒng)提供。

　　3. 電子認(rèn)證機(jī)構(gòu)負(fù)責(zé)提供數(shù)字證書全生命周期管理功能。

　　二、三種典型移動證書應(yīng)用模式

　　1. 文件證書

　　引用參考《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》(JR/T 0068—2020)中 6.2.2.2 文件證書 的要求。

　　2. 非對稱密鑰分散證書

　　將私鑰分量分布在不同的設(shè)備中，以避免全部私鑰信息的直接存儲和使用。簽名時，各設(shè)備的私鑰分量進(jìn)行協(xié)同簽名運(yùn)算。采用安全保障措施，防止證書私鑰外泄，確保私鑰安全性。

　　3. TEE/SE證書

　　引用參考《基于數(shù)字證書的移動終端金融安全身份認(rèn)證規(guī)范(JR/T 0285-2024)》，其對基于可信執(zhí)行環(huán)境(TEE)和安全單元(SE)的移動終端安全身份認(rèn)證服務(wù)進(jìn)行了規(guī)范。

　　三、身份鑒別

　　1. 移動證書服務(wù)端模塊

　　應(yīng)獨(dú)立識別或通過業(yè)務(wù)系統(tǒng)識別每個訪問實(shí)體(證書的擁有者)的真實(shí)身份，并確保每個實(shí)體只能按照業(yè)務(wù)系統(tǒng)設(shè)定的范圍提供業(yè)務(wù)服務(wù)。在訪問實(shí)體身份被成功鑒別前，移動證書服務(wù)端模塊應(yīng)禁止執(zhí)行該實(shí)體的任何操作。

　　2. 服務(wù)端業(yè)務(wù)系統(tǒng)

　　可采用的身份鑒別技術(shù)包括但不限于已有數(shù)字證書、身份證要素驗(yàn)證、銀行卡要素驗(yàn)證、動態(tài)口令(OTP)、生物識別技術(shù)、臨柜面簽。

　　3. 移動證書客戶端模塊

　　對實(shí)際使用者應(yīng)具有身份鑒別功能，在啟用私鑰進(jìn)行簽名之前，應(yīng)采用口令或生物識別等方式對實(shí)際使用者進(jìn)行鑒別，鑒別通過才能生成簽名;若鑒別不通過，則應(yīng)拒絕生成簽名。

　　四、用戶密鑰安全管理

　　1. 移動證書服務(wù)端模塊

　　采用非對稱密鑰分散方式提供移動證書應(yīng)用服務(wù)時，應(yīng)保證服務(wù)端用戶私鑰分量的安全性，防止私鑰分量外泄，避免簽名被冒用的風(fēng)險。

　　2. 移動證書客戶端模塊

　　密鑰管理應(yīng)符合以下要求：

　　a)移動證書客戶端模塊應(yīng)具備密碼運(yùn)算功能，能夠?qū)崿F(xiàn)簽名或驗(yàn)簽等功能，密碼算法必須符合國家密碼管理部門的相關(guān)規(guī)定。

　　b)移動證書客戶端模塊應(yīng)實(shí)現(xiàn)私鑰安全存儲功能，不提供私鑰導(dǎo)出指令，采用非對稱密鑰分散或TEE/SE密鑰的證書存儲方式下，簽名過程中完整私鑰不應(yīng)以明文形式在移動終端富執(zhí)行環(huán)境REE內(nèi)存中出現(xiàn)。

　　c)移動證書客戶端模塊應(yīng)與移動設(shè)備信息及應(yīng)用信息綁定，防范證書被非法復(fù)制到其他移動設(shè)備或應(yīng)用上使用。

滿足《規(guī)范》要求的實(shí)施方案及其功能特點(diǎn)

　　中金金融認(rèn)證中心(CFCA)推出“基于密鑰分散協(xié)同簽名技術(shù)數(shù)字證書實(shí)施方案”——CFCA云證通，以及“基于FIDO標(biāo)準(zhǔn)的數(shù)字證書實(shí)施方案”——CFCA FIDO+。

　　CFCA云證通基于SM2、SM3、SM4國密算法，提供密鑰分散證書下載、協(xié)同簽名、數(shù)據(jù)加解密等功能，讓客戶可以無需攜帶額外硬件設(shè)備，以智能設(shè)備為載體，隨時、隨地、安全、便捷地實(shí)現(xiàn)電子簽名。云證通提供云端數(shù)字證書身份認(rèn)證與數(shù)字簽名服務(wù)，可為移動端業(yè)務(wù)操作進(jìn)行可信賴的安全加固，防止出現(xiàn)抵賴、篡改等問題。

　　CFCA FIDO+基于FIDO生物識別技術(shù)和電子簽名技術(shù)，在客戶登錄、支付、轉(zhuǎn)賬場景中通過指紋、3D人臉等方式實(shí)現(xiàn)快速認(rèn)證，應(yīng)用TEE數(shù)字證書模式實(shí)現(xiàn)安全認(rèn)證保護(hù)，防止遠(yuǎn)程調(diào)用攻擊，保障安全性的同時，給予用戶更加便捷的體驗(yàn)。

　　CFCA云證通和CFCA FIDO+兩種實(shí)施方案擁有中國人民銀行、國家密碼管理局、公安部等頒發(fā)的相關(guān)資質(zhì)認(rèn)證，技術(shù)要求滿足《移動終端數(shù)字證書應(yīng)用技術(shù)規(guī)范》(JR/T 0340-2025)，具有合規(guī)性保障，并在各大銀行、證券機(jī)構(gòu)等眾多金融機(jī)構(gòu)實(shí)施上線，且系統(tǒng)運(yùn)行穩(wěn)定。

　　未來，CFCA作為“可信數(shù)字身份服務(wù)的領(lǐng)導(dǎo)者”，將繼續(xù)致力于創(chuàng)新產(chǎn)品模式，擴(kuò)展服務(wù)場景，筑牢安全基線。

　　免責(zé)聲明：

　　1、本網(wǎng)所刊登文章，除原創(chuàng)頻道外，若無特別版權(quán)聲明，均來自網(wǎng)絡(luò)轉(zhuǎn)載。

　　2、文章觀點(diǎn)不代表本網(wǎng)立場，其真實(shí)性由作者或稿源方負(fù)責(zé);市場有風(fēng)險，選擇需謹(jǐn)慎，此文僅供參考，不作買賣依據(jù)。