ICS 35.240.40 A11 团 体 标 准 T/BFIA 001—2020 代替T/BMFIA00001—2017 移动终端安全金融盾规范 Specification for mobile terminal security financial electronic authentication 2020-04-29发布 2020-04-29实施 北京金融科技产业联盟 发布 ！ 版权保护文件 版权所有归属于该标准的发布机构，除非有其他规定，否则未经许可，此发行物及其章节不得以其 他形式或任何手段进行复制、再版或使用，包括电子版、影印版，或发布在互联网及内部网络等。使用 许可可与发布机构获取。 T/BFIA 001—2020 目 次 前言 III 引言 NV 1 范围 2 规范性引用文件 3 术语和定义 金融盾服务描述 5 终端生命周期管理 6 服务生命周期管理 7 密钥管理 8 安全及功能要求 9 风险控制要求 12 运营管理要求 13 附录A（资料性附录） 金融盾服务申请及移动终端关联方式 14 附录B（资料性附录） 金融盾在商业银行中的参考实现 16 T/BFIA001—2020 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准由北京金融科技产业联盟提出并归口。 本标准负责起草单位：中国工商银行股份有限公司、中金金融认证中心有限公司、华为技术有限公 司、北京中金国盛认证有限公司。 限公司、徽商银行股份有限公司、北京农村商业银行股份有限公司、宁波银行股份有限公司、邯郸银行股 份有限公司、中国金融电子化公司、中国银联股份有限公司、北京握奇数据股份有限公司、北京扬帆伟业 科技有限公司、飞天诚信科技股份有限公司、中钞信用卡产业发展有限公司、北京中电华大电子设计有 限责任公司、恒宝股份有限公司、展讯通信有限公司、北京中清怡和科技有限公司、北京豆莱科技有限公 司、金联汇通信息技术有限公司、上海金雅拓智能卡技术有限公司、北京易联达商务服务有限公司、上海 复微电子集团股份有限公司小来科技有限责任公司OPPO移动通信有限公司、北京紫光展锐科技 有限公司、银行卡检测中心、北京一砂信息技术有限公司。 本标准主要起草人：潘润红、朱杰、班廷伦、胡达川、安思宇、刘春彤、张行、马春旺、鲁欣、万象、 王小璞、高居甲、常新苗、徐知仁、付小康、黄江、金鑫、范俐捷、刘杰琪、左爵西、何伟明、孙增献、王凯、 刘海龙、朱鹏飞、郝玮琳、汪小八、赵李明、刘觅、常莹、杨子光、牛建宾、赵希山、陈安新、梁志坚、薛升俊、 李根、赵朋飞、马哲、鲁洪成、刘飞、路如毅 本标准所代替标准的历次版本发布情况为： -T/BMFIA00001—2017。 T/BFIA001—2020 引言 随着移动终端金融业务的快速普及和移动互联网产业的创新发展，移动金融的需求已经向安全、便 捷、高效方向发展。基于数字证书电子认证方式的传统网银硬件Key设备有效地解决了网银系统的安 全需求，但无法适应当前移动终端金融业务的需求。 在移动终端上采用数字证书的电子认证方式，是保障金融交易安全和客户资金安全的重要手段。 为了在移动终端上开展数字证书电子认证服务，提高金融行业业务安全，特制定本标准。 民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》（银发【2016】261号）、《关 于开展支付安全风险专项排查工作的通知》（银办发【2018】146号）、《金融科技（FinTech）发展规划 根据金融行业的特点参考金融行业相关标准规范而确定。 行业主管部门另有规定的，遵循主管部门的相关规定。 IV T/BFIA 001—2020 移动终端安全金融盾规范 1范围 本标准规定了移动终端安全金融盾的服务描述、终端生命周期管理、服务生命周期管理、密钥管理、 安全及功能要求、风险控制要求和运营管理要求。 本标准适用于商业银行、支付机构、终端厂商、电子认证服务商等，为基于电子认证的移动终端金融 盾服务的开展提供参考。 注：本标准仅对基于移动终端支付可信环境的金融盾服务进行了抽象和规范，对金融机构的手机银行、网上银行或 其他支付类业务通过金融盾开展数字证书电子认证提供技术指导。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T32915—2016 信息安全技术二元序列随机性检测方法 JR/T0089.2 中国金融移动支付安全单元第2部分：多应用管理规范 JR/T0098.2 中国金融移动支付检测规范第2部分：安全芯片 JR/T0098.5中国金融移动支付检测规范第5部分：安全单元（SE）嵌人式软件安全 JR/T0118—2015 金融电子认证规范 JR/T0156—2017 移动终端支付可信环境技术规范 3术语和定义 下列术语和定义适用于本文件 3.1 移动终端mobileterminal 具有移动通信能力的智能终端设备或具备同等能力的外部设备。 注：移动终端包括智能手机、平板电脑等。 3.2 可信环境 trustedenvironment 个人移动终端上基于硬件和软件结合的安全技术，为移动支付相关业务提供的运行环境。 注：本标准中的可信环境特指TEE和TEE+SE两类安全环境。 3.3 安全单元 secureelement;SE 负责金融盾服务的密钥和数字证书等关键数据的存储和运算的高安全性硬件部件，包括移动终端 集成的安全芯片或外置的安全芯片。 3.4 可信执行环境 trusted execution environment,TEE 在移动终端内，与富执行环境相隔离的安全环境，保证数据在其中被安全传输、存储、处理等，并为 其中的可信应用提供一个安全的执行环境。 1 T/BFIA 001—2020 3.5 富执行环境richexecutionenvironment；REE 在移动终端内，由通用操作系统管理和控制的环境，通用操作系统及运行在其中的应用程序具有不 可信的特点。 注：如安卓等操作系统。 3.6 可信用户接口trusteduserinterface；TUI TEE为可信应用提供的与用户输入/输出设备安全交互的能力，保证可信应用与用户交互的敏感 数据免受其他应用或恶意软件的攻击。 3.7 认证中心certificate authority；CA 电子认证服务的核心，提供证书的签发和管理、撤销列表的签发管理和发布、用户注册中心的设立、 审核、维护及管理。 3.8 数字证书 digital certificate 由认证中心签发的不可伪造的某个实体的公钥和相关信息。 3.9 硬件key 内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书的一种硬件 设备。 注：在本标准中主要指USBKey、音频Key、蓝牙Key。 3.10 8 PIN码personal identification number 用于鉴别用户身份和防止私钥被未授权使用的字符序列。 3.11 可信应用trustedapplication；TA 运行在TEE中，通过预置或者空中下载的方式进行安装的应用程序。入 3.12 安全应用 secureapplication;SA 运行在SE中，通过预置或者空中下载的方式进行安装的应用程序 4 金融盾服务描述 4.1概述 金融盾服务是在移动终端上实现基于硬件的、交互的、数字证书的电子认证服务，主要由移动终端 硬件及金融盾服务应用构成。金融盾服务可在金融机构的手机银行、支付应用、网上银行等金融业务中 使用，以及其他有高安全性要求的非金融业务中使用。 根据移动终端支付可信环境不同的安全能力级别，金融盾服务应用由多部分组成。各部分应用分 别装载及运行在移动终端的不同运行环境中，提供不同的功能和安全能力，相互协作共同提供完整的金 融盾服务。 金融盾服务应用由以下部分组成： 在REE中的客户端应用； 在TEE中的可信应用； 2 T/BFIA 001—2020 在SE中的安全应用。 4.2服务体系构成 金融盾服务体系由用户方、服务提供方（金融机构，平台提供方）、设备提供方和认证中心（CA）组 成。服务体系构成如图1所示。 服务提供方 用户方 使用服务 金融机构 提供设备 认证中心 一产生证书 (CA) 平台提供方 设备提供方 部署服务 图1服务体系构成 服务体系中业务参与方的角色和之间的关系如下： a) 用户方：使用金融盾服务的对象。在不同的场景下具有不同的含义，如：移动终端的拥有者、金 融盾服务的申请及使用者。 b) 服务提供方：向用户提供金融盾服务，处理用户提交的服务申请，并对服务相关的系统、平台等 进行管理。在不同的实施方式中可以再细分为金融机构、平台提供方，平台提供方主要是向金 融机构提供系统、平台等服务。在本标准中主要指已经建设相关系统、平台的商业银行。 设备提供方：金融盾服务载体的生产制造方，为服务提供方在设备上部署金融盾服务提供必要 的技术支撑。 d) 认证中心（CA）：采用公开密钥基础技术，提供证书的签发和管理等的机构。 4.3 一般结构 4.3.1概述 依据移动终端支付可信环境不同能力级别（分类分级参见JR/T0156一2017），金融盾实现方式可 分为采用TEE十SE安全能力和采用TEE安全能力两种情况。金融盾在商业银行中的具体实现方式 参见附录B。 4.3.2采用TEE+SE安全能力的情况 采用TEE十SE安全能力的一般结构如图2所示。 3