ICS 03. 060 CCS A 11 团 体 标 准 T/NIFA 9-2021 移动金融客户端应用软件安全检测规范 Testing specification on financial mobile application software security 2021 -4-22发布 2021 -4-22实施 中国互联网金融协会 中国支付清算协会 发布 全国团体标准信息平台 全国团体标准信息平台 T/NIFA 9—2021 I 目 次 前言 ................................ ................................ .................. II 1 范围 ................................ ................................ ................. 1 2 规范性引用文件 ................................ ................................ ....... 1 3 术语与定义 ................................ ................................ ........... 1 4 缩略语 ................................ ................................ ............... 1 5 客户端应用软件安全要求 ................................ ............................... 1 6 客户端应用软件管理要求 ................................ .............................. 19 参考文献 ................................ ................................ .............. 26 全国团体标准信息平台 T/NIFA 9—2021 II 前 言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》和 GB/T 20004.1—2016《团体标准化 第1部分：良好行为指南》给 出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国互联网金融协会、中国支付清算协会共同提出。 本文件由中国互联网金融协会归口。 本文件主要起草单位：中国互联网金融协会、中国支付清算协会、中国工商银行股份有限公司、中 国农业银行股份有限公司、中国银行股份有限公司、中国建设银行股份有限公司、交通银行股份有限公 司、中国邮政储蓄银行股份有限公司、招商银行股份有限公司、中国民生银行股份有限公司、中信银行 股份有限公司、中国银联股份有限公司、农信银资金清算中心有限责任公司、中移电子商务有限公司、 天翼电子商务有限公司、联通支付有限公司、支付宝（中国）网络技术有限公司、浙江网商银行股份有 限公司、财付通支付科技有限公司、鼎铉商用密码测评技术（深圳）有限公 司、京东数字科技控股股份 有限公司、京东智联云、拉卡拉支付股份有限公司、北京中金国盛认证有限公司、中国网络安全审查技 术与认证中心、银行卡检测中心（国家金融 IC 卡安全检测中心） 、中国金融电子化公司、中金金融认 证中心有限公司、信息产业信息安全测评中心、工业和信息化部计算机与微电子发展研究中心（中国软 件测评中心） 、国家应用软件产品质量监督检测中心（北京软件产品质量检测检验中心） 、航天中认软件 测评科技（北京）有限责任公司、中互金认证有限公司、奇安信科技集团股份有限公司、科大讯飞股份 有限公司、平安保险等单位。 本文件主要起草人：朱勇、李健、单剑锋、于圆、张赫、田然、任家琪、唐静、王立飞、辛路、王 新华、苏莉、刘燕青、陈波、马国光、刑桂伟、于沛、侯晓晨、何一江、薛宇、陈旭东、相海飞、牛康 欣、张宇、白帆、黄潇拉、马咪、朱翔宇、刘占明、廖渊、赵鹏、付南、黎马亮、袁丽欧、费会、汪毅、 李志蓉、廖勤思、周晶、焦伟、任震、宋铮、姜志辉、吴永强、蒋增增、李振、邹超、李玲、魏晓征、 曾辉、王晴晴、张健、陈伟、王峰、申永波、王玲、渠韶光、李博文、张文博、李宇、郭大圣、高峰、 曹中全、董晶晶、冀乃杰、赵亮、徐鹏、于泉、张鹏、王焱、孙明慧、史汝辉 、李增局、林宝晶、蒯天 祥、刘浩、王盈语、向阳等。 全国团体标准信息平台 T/NIFA 9—2021 1 移动金融客户端应用软件安全检测规范 1 范围 本文件规定了移动金融客户端应用软件的安全要求，以及客户端应用软件设计、开发、维护和发布 的管理要求。 本文件适用于检测机构开展移动金融客户端应用软件安全检测使用， 并为相关单位开展客户端应用 软件设计、开发、集成和维护等工作提供参考。本文件也适用于检测认证机构对相关产品、应用系统进 行安全性和标准符合性测试和认证。 客户端应用软件分为资金交易类、信息采集类和资讯 查询类。本文件对每类软件的适用范围参考附 录A：应用软件测试范围。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 JR/T 0092 —2019 移动金融客户端应用软件安全管理规范 JR/T 0171 —2020 个人金融信息保护技术规范 3 术语与定义 本文件没有需要界定的术语和定义 。 4 缩略语 下列缩略语适用于本文件。 APP：客户端应用软件（ Application software ） URI：统一资源标识符（ Uniform Resource Identifier ） TEE：可信执行环境（ Trusted Execution Environment ） SDK：软件开发工具包（ Software Development Kit ） SE：安全单元（ Secure Element ） 5 客户端应用软件安全要求 5.1 身份认证安全 5.5.1 认证方式 检测目的： 检测客户端身份认证方式及所采用认证要素的安全性。 全国团体标准信息平台 T/NIFA 9—2021 2 基本要求： 检测方法： 1) 检查开发文档中客户端应用软件包含的用户身份认证方式、辅助认证方式，对需要用户身份认 证的过程进行操作，例如进行客户端登录、支付等。使用客户端应用软件进行登录，检查其登 录时所采用的认证要素，确定其是否采用合适的认证要素 ； 2) 使用客户端应用软件进行身份认证操作时，如：登录和交易操作，检查其在执行这些操作时所 需身份认证的认证要素或认证要素组合，确认身份认证要素是否相互独立 ； 3) 使用客户端应用软件进行如大额交易等操作时， 检查客户端应用软件 所采用的用户身份认证方 式，是否符合相关业务管理要求 ； 4) 若手势密码、短信验证码、生物特征信息作为认证要素或认证要素组合中的一种时，检查这些 类型认证要素的安全性措施是否符合 JR/T 0092 -2019中5.1.1 d) 条款的要求 ； 5) 若采用图形验证码作为认证的辅助要素，检查图形验证码相关限制性措施和生成方式，检查客 户端源文件中是否包含图形验证码文本内容； 6) 检查客户端应用软件进行用户身份认证时，图形验证码是否可单独成为身份验证通过要素； 7) 在新设备首次登录时，查看客户端是否采用了两种或两种以上的要素对用户身份进行认证 。 通过标准： 1) 客户端应用软件登录时采用了适宜的 认证要素，包括但不限于口令、短信验证码、手势 密码、生物特征识别、手机号与 SIM卡标识信息匹配等方式； 2) 采用的身份认证要素相互独立，即部分要素的损坏或者泄露不应导致其他要素损坏或者泄露； 3) 客户端应用软件交易时满足相关业务管理要求对用户身份进行认证，如对于大额资金交易， 客 户端采用了两种或两种以上要素对用户身份进行认证等； 4) 手势密码为至少连续不间断的 4个点；短信验证码应仅可成功使用一次，且仅在规定时间内使 用，短信验证码具备长度和随机性的要求，短 信验证码所在的短信内容中，告知了用户短信验 证码的发送方、用途以及有效时间；声纹要素符合 JR/T 0164 —2018要求；其他生物特征 认证 要素，符合国家、金融行业标准和相关信息安全管理要求，能够防止非法存储、复制和重放； 5) 图形验证码具有使用时间限制并仅能使用一次，图形验证码由服务器生成，客户端源文件中不 包含图形验证码文本内容； 6) 图形验证码未作为独立的身份认证要素； 7) 在新设备首次登录时，采用了两种或两种以上的要素对用户身份进行认证。 增强要求： 检测方法： 1) 使用客户端应用软件执行登录操作， 检查是否采用两种或两种以上的要素对用户身份进行