移动支付 检测规范 第5部分：可信服务管理系统 Mobile payment —Test specification — Part 5: T rusted service management system 2024 - 11-29发布 2024 - 11-29 实施 ICS 35.240.40 CCS A 11 团体标准 T/BFIA 029.5—2024 北京金融科技产业联盟 发布 全国团体标准信息平台 版权保护文件 版权所有归属于该标准的发布机构，除非有其他规定，否则未经许可，此发行物及其章节不得以其 他形式或任何手段进行复制、再版或使用，包括电子版、影印版，或发布在互联网及内部网络等。使用 许可可与发布机构获取。 全国团体标准信息平台 T/BFIA 029.5-2024 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ .............. 1 2 规范性引用文件 ................................ ................................ .... 1 3 术语和定义 ................................ ................................ ........ 1 4 缩略语 ................................ ................................ ............ 1 5 总则 ................................ ................................ .............. 1 6 检测项列表 ................................ ................................ ........ 2 7 检测内容 ................................ ................................ ......... 17 附录A（规范性） 判定准则 ................................ ........................... 49 参考文献 ................................ ................................ ............ 50 全国团体标准信息平台 T/BFIA 029.5-2024 II 前 言 本文件按照 GB/T 1.1 —2020《标准化工作 导则 第1部分：标准化文件的结构和起草规则》 的规 定起草。 本文件是 T/BFIA 029 《移动支付 检测规范 》的第 3部分， T/BFIA 029 已经发布了以下部分 ： ——第1部分：移动终端非接触式接口； ——第2部分：安全芯片； ——第3部分：安全单元（ SE）应用管理终端； ——第4部分：安全单元（ SE）； ——第5部分：可信服务管理系统； ——第6部分：嵌入式应用软件 。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本部分由北京国家金融科技认证中心有限公司提出。 本部分由 北京金融科技产业联盟 归口。 本部分起草单位： 北京国家金融科技认证中心有限公司、北京金融科技产业联盟、北京银联金卡科技有 限公司、北京国家金融标准化研究院有限责任公司、上海市信息安全测评认证中心、北京软件产品质量 检测检验中心、上海华虹集成电路有限责任公司、中钞信用卡产业发展有限公司、上海复旦微电子股份 有限公司、大唐微电子技术有限公司、武汉天喻信息产业股份有限公司、恩智浦（中国）管理有限公司。 全国团体标准信息平台 T/BFIA 029.5-2024 III 引 言 为更好推动移动支付技术的应用，北京金融科技产业联盟在中国金融移动支付系列行业标准基础 上，对部分标准进行了修订完善，形成团体标准。 随着移动支 付技术的发展，新的支付方式和业务模式不断出现，检测规范及时跟进新变化，本文件 在JR/T 0098 —2012《中国金融移动支付 检测规范》基础上，修改功能性检测和性能检测部分内容， 调整攻击测试方法，完善管理制度内容，增加电气特性和通信协议检测适用范围项，并且更新了规范性 引用文件和部分技术要求。 本文件的制定便于指导检测认证机构对移动支付 相关产品、 应用系统 进行安全性和标准符合性测试 认证，防范技术风险向金融领域传导，促进移动支付安全健康发展。 全国团体标准信息平台 T/BFIA 029.5-2024 1 移动支付 检测规范 第5部分：可信服务管理系统 1 范围 本文件规定了 移动支付可信服务管理系统的检测项、检测内容及判定准则，包括可信服务管理系统 的功能、性能、安全性、接口和文档五个检测 类。 本文件适用于指导检测认证机构制定移动支付可信服务管理系统技术标准符合性和安全性检测方 案、执行检测以及判定检测结果的符合性。本文件也适用于指导移动支付可信服务管理系统的设计、开 发、建设、运营过程。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 22239 —2019 信息安全技术 网络安全等级保护基本要求 3 术语和定义 本文件没有需要界定的术语和定义。 4 缩略语 下列缩略语适用于本文件。 IPSEC：IP安全协议（ Internet Protocol Security ） PAID：支付应用标识符（ Payment Application Identifier ） PAMID：支付账户介质识别码（ Payment Account Media Identifier ） SE：安全单元（ Secure Element ） SSL：安全套接层协议（ Secure Sockets Layer ） TLS：传输层安全协议（ Transport Layer Security ） TSM：可信服务管理（ Trusted Service Management ） 5 总则 5.1 检测目标 检测目标是在系统版本确定的基础上，对可信服务 管理系统功能、性能、安全性、接口和文档五项 检测类进行检测，客观、公正评估系统是否符合国家管理部门对可信服务 管理系统 的技术标准符合性和 安全性要求，保障我国移动支付业务设施的安全稳定运行。 全国团体标准信息平台 T/BFIA 029.5-2024 2 5.2 启动准则 启动准则具体包括： a) 机构提交的可信服务管理系统被测版本与生产版本一致 ； b) 机构可信服务管理系统内部测试进行完毕； c) 系统需求说明书、系统设计说明书、用户手册、安装手册等相关文档准备完毕； d) 检测环境准备完毕，具体包括： 1) 检测环境与生产环境一致或者基本一致，其中网络安全性、主机安全性、数据安全性和运 维安全性检测尽量在生产环境下进行； 2) 可信服务管理系统被测版本及其他相关外围系统和设备已完成部署并配置正确； 3) 用于功能和性能检测的基础数据准备完毕； 4) 检测用机到位，系统及软件安装完毕； 5) 检测环境网络配置正确，连接通畅，可以满足检测需求。 5.3 检测判定准则 检测相关判定准则应遵循附录 A的规定。 6 检测项列表 6.1 功能检测项 验证移动支 付TSM系统业务功能的正确性，检测系统业务处理的准确性，检测项见表 1，TSM平台类 型分为必测项（发行方 TSM、应用提供方 TSM均必测）、发行方 TSM必测项（应用提供方 TSM可不适用）、 应用提供方 TSM必测项（发行方 TSM可不适用 ）。 表1 功能检测项 编号 检测项 检测项说明 1.1 PAMID管理 PAMID生成 发行方TSM必测项 PAMID查询 发行方TSM必测项 1.2 SE的生命周期管理 SE的个人化与注册 发行方TSM必测项 SE的合法性检查 发行方TSM必测项 SE的终止 非必测项 SE的挂失与解挂 非必测项 SE的锁定与解锁 非必测项 SE状态查询 发行方TSM必测项 SE应用信息查询 发行方TSM必测项 SE空间使用情况查询 非必测项 SE状态同步 发行方TSM必测项 SE重置 非必测项 主安全域密钥更新 非必测项 持有人公钥证书更新 非必测项 1.3 辅助安全域生命周期管理 辅助安全域的创建