首页  »  企业风采  »  关注动态  »  外界动态

《移动终端数字证书应用技术规范》核心内容解读

2025-10-13 11:10:55

来源:中金金融认证中心

规范编制背景

  2025年7月11日,中国人民银行正式发布《移动终端数字证书应用技术规范》(JR/T 0340-2025),旨在为移动终端数字证书的使用出具统一应用标准,为移动终端数字证书应用提供技术指导。

核心内容解读

  一、移动证书整体应用框架

  移动证书应用服务体系架构主要由客户端、服务端和电子认证机构三部分组成。

wps_doc_0

  1. 客户端包括移动应用和移动证书客户端模块。

  移动应用是移动证书服务的使用者,用户在移动终端上通过移动应用使用移动证书客户端模块获取完整的数字证书服务。移动证书客户端模块可由第三方机构向移动应用提供。

  2. 服务端包括业务系统和移动证书服务端模块。

  业务系统提供具体业务服务,并通过验证用户的签名和验证移动证书有效性,来判断用户操作真实性。移动证书服务端模块为用户提供移动证书的生命周期管理服务,可由第三方机构向业务系统提供。

  3. 电子认证机构负责提供数字证书全生命周期管理功能。

  二、三种典型移动证书应用模式

  1. 文件证书

  引用参考《网上银行系统信息安全通用规范》(JR/T 0068—2020)中 6.2.2.2 文件证书 的要求。

wps_doc_1

  2. 非对称密钥分散证书

  将私钥分量分布在不同的设备中,以避免全部私钥信息的直接存储和使用。签名时,各设备的私钥分量进行协同签名运算。采用安全保障措施,防止证书私钥外泄,确保私钥安全性。

  3. TEE/SE证书

  引用参考《基于数字证书的移动终端金融安全身份认证规范(JR/T 0285-2024)》,其对基于可信执行环境(TEE)和安全单元(SE)的移动终端安全身份认证服务进行了规范。

  三、身份鉴别

  1. 移动证书服务端模块

  应独立识别或通过业务系统识别每个访问实体(证书的拥有者)的真实身份,并确保每个实体只能按照业务系统设定的范围提供业务服务。在访问实体身份被成功鉴别前,移动证书服务端模块应禁止执行该实体的任何操作。

  2. 服务端业务系统

  可采用的身份鉴别技术包括但不限于已有数字证书、身份证要素验证、银行卡要素验证、动态口令(OTP)、生物识别技术、临柜面签。

  3. 移动证书客户端模块

  对实际使用者应具有身份鉴别功能,在启用私钥进行签名之前,应采用口令或生物识别等方式对实际使用者进行鉴别,鉴别通过才能生成签名;若鉴别不通过,则应拒绝生成签名。

  四、用户密钥安全管理

  1. 移动证书服务端模块

  采用非对称密钥分散方式提供移动证书应用服务时,应保证服务端用户私钥分量的安全性,防止私钥分量外泄,避免签名被冒用的风险。

  2. 移动证书客户端模块

  密钥管理应符合以下要求:

  a)移动证书客户端模块应具备密码运算功能,能够实现签名或验签等功能,密码算法必须符合国家密码管理部门的相关规定。

  b)移动证书客户端模块应实现私钥安全存储功能,不提供私钥导出指令,采用非对称密钥分散或TEE/SE密钥的证书存储方式下,签名过程中完整私钥不应以明文形式在移动终端富执行环境REE内存中出现。

  c)移动证书客户端模块应与移动设备信息及应用信息绑定,防范证书被非法复制到其他移动设备或应用上使用。

满足《规范》要求的实施方案及其功能特点

  中金金融认证中心(CFCA)推出“基于密钥分散协同签名技术数字证书实施方案”——CFCA云证通,以及“基于FIDO标准的数字证书实施方案”——CFCA FIDO+。

  CFCA云证通基于SM2、SM3、SM4国密算法,提供密钥分散证书下载、协同签名、数据加解密等功能,让客户可以无需携带额外硬件设备,以智能设备为载体,随时、随地、安全、便捷地实现电子签名。云证通提供云端数字证书身份认证与数字签名服务,可为移动端业务操作进行可信赖的安全加固,防止出现抵赖、篡改等问题。

  CFCA FIDO+基于FIDO生物识别技术和电子签名技术,在客户登录、支付、转账场景中通过指纹、3D人脸等方式实现快速认证,应用TEE数字证书模式实现安全认证保护,防止远程调用攻击,保障安全性的同时,给予用户更加便捷的体验。

  CFCA云证通和CFCA FIDO+两种实施方案拥有中国人民银行、国家密码管理局、公安部等颁发的相关资质认证,技术要求满足《移动终端数字证书应用技术规范》(JR/T 0340-2025),具有合规性保障,并在各大银行、证券机构等众多金融机构实施上线,且系统运行稳定。

  未来,CFCA作为“可信数字身份服务的领导者”,将继续致力于创新产品模式,扩展服务场景,筑牢安全基线。

  免责声明:

  1、本网所刊登文章,除原创频道外,若无特别版权声明,均来自网络转载。

  2、文章观点不代表本网立场,其真实性由作者或稿源方负责;市场有风险,选择需谨慎,此文仅供参考,不作买卖依据。

  • 相关阅读
  • CFCA执金融科技之笔 绘就金融高质量发展新图景

      2025年3月,国务院办公厅印发《关于做好金融“五篇大文章”的指导意见》,提出“推动数字金融高质量发展,规范电子签名技术在金融领域的应用”。当前,数字金融加速渗透全球,金融科技已成为驱动金融...

    时间:10-13
  • CFCA数字证书赋能智能眼镜支付方案,安全护航“智付”新体验

      围绕“持续推进‘人工智能+’行动将数字技术与制造优势、市场优势更好结合起来”,中国银联积极推动支付创新向各行业场景延伸,助力塑造数字贸易发展的新动能、新优势。在近期举办的第四届全球...

    时间:10-13
  • 雪域高原上的“人保温度”:守护、担当与创新

      每一次灾难的考验都如同一面镜子,映照出人性的光辉与责任的担当;每一项惠民举措的落地,都似一缕春风,吹拂着高原人民对美好生活的向往;每一个扎根乡村的身影,都像一颗星辰,照亮了乡村振兴的漫漫征途。  中国人保,作为...

    时间:10-12
  • 在海拔4200米之上,织一张叫“安全感”的网

    在广袤的雪域高原,独特的地理环境与战略地位,都让西藏自治区的发展既充满机遇又面临挑战。从高寒牧区的畜牧业,到边境地区的守边任务,再到支撑实体经济发展的高危行业,每个领域都承载着边疆发展的希望,也面临着潜在的风险。...

    时间:10-12
  • 破题“最后一公里”:中国人保助力西藏构建多层次医疗保障

      在西藏自治区拉萨市墨竹工卡县工卡镇格桑村,作为父亲的次仁多吉了解到城乡居民医疗互助保险的保障作用后,毅然决定给患有肾病综合征的儿子换肾。而在墨竹工卡县的唐加乡莫冲村,面琼的妈妈也因为得到了该互助保险的赔...

    时间:10-12
免责声明:本网对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。 本网站转载图片、文字之类版权申明,本网站无法鉴别所上传图片或文字的知识版权,如果侵犯,请及时通知我们,本网站将在第一时间及时删除。