ICS 35.240.40 A 11 JR 中华人民共和国 金融行业标准 JR/T 0093.6—2015 代替 JR/T 0093.6 －2012 中国金融移动支付 远程支付应用 第6部分：基于安全单元（ SE）的安全服务 技术规范 China financial mobile payment —Remote payment application s— Part 6: Technical specification for security service based on secure element （SE） 2015 - 12 - 22发布 2015 - 12 - 22实施 中国人民银行 发布 JR/T 0093.6—2015 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ .............. 1 2 规范性引用文件 ................................ ................................ .... 1 3 术语与定义 ................................ ................................ ........ 1 4 缩略语 ................................ ................................ ............ 2 5 基于SE的安全服务 ................................ ................................ . 2 6 SE安全服务生命周期管理 ................................ ............................ 6 7 安全要求 ................................ ................................ ......... 10 附录A（资料性附录） 基于PBOC应用的手机银行 ................................ ........ 17 附录B（资料性附录） 基于PBOC应用的手机信贷 ................................ ........ 19 参考文献 ................................ ................................ ............ 23 JR/T 0093.6 —2015 II 前 言 《中国金融移动支付 远程支付应用》标准由以下六部分构成： ——第1部分：数据元； ——第2部分：交易模型及流程规范； ——第3部分：报文结构及要素； ——第4部分：文件数据格式规范； ——第5部分：短信支付技术规范； ——第6部分：基于安全单元（ SE）的安全服务技术规范。 本部分为该标准的第 6部分。 本部分按照 GB/T 1.1 -2009给出的规则起草。 本部分代替JR/T 0093.6 -2012《中国金融移动支付 远程支付应用 第6部分：基于安全单元（ SE） 的安全服务技术规范》。本部分除编辑性修改外主要技术变化如下： ——增加了第2章规范性引用文件 ； ——在第3章中修改或删除 了一些术语和定义 ； ——在第5章中进行了统一梳理完善， 将 5.6安全服务作用相关内容进行删减纳入 5.1概述中统一 说明，修改 5.2中图示及相关说明 ,对5.4 SE安全服务应用的实现的内容和流程进行了全面梳 理修改； ——对于第6章内容进行全面整理并补充，形成本次修订版本的第 7章安全要求，其中增加或补充 了对SE安全单元、 SE安全服务应用、电子认证、客户端执行环境、 客户端软件、后台服务器 等方面的安全要求； ——增加了本次修订版本的第 6章SE安全服务数字证书生命周期管理； ——增加了附录A基于PBOC应用的手机银行 、附录B基于PBOC应用的手机信贷 ； ——参考文献中删除 了部分文献说明。 本部分由中国人民银行提出。 本部分由全国金融标准化技术委员会（ SAC/TC180 ）归口。 本部分负责起草单位： 中国人民银行科技司、中国金融电子化公司 。 本部分参加起草单位： 中国工商银行、中国农业银行、中国银行、中国建设银行、 交通银行、中国 邮政储蓄银行 、中国民生银行、上海浦东发展银行、 中信银行 、中国银联股份有限公司、 银行卡检测中 心、中国软件评测中心 、上海市信息安全测评认证中心 、中国金融认证中心、 中钞信用卡产业发展有限 公司、中国电子科技集团公司第十 五研究所、北京握奇数据系统有限公司 。 本部分主要起草人： 王永红、陆书春、李兴锋、杜宁、潘润红、邬向阳、杨倩、吴永强 、王禄禄 、 刘运、马小琼、涂长东、廖志江、史大鹏、谢元呈、延冰、宋捷、庞杰、李晓、姜鹏、汤沁莹、张栋、 黄江、王欢、马哲、安焘 、宋铮、李国俊、金铭彦 、高志民、高强裔、杨明庆、魏娜、王冠华、王晓东。 本标准代替JR/T 0093.6-2012，JR/T 0093.6-2012于2012年12月首次发布，本次为第 1次修订。 JR/T 0093.6—2015 III 引 言 随着移动 金融新业务、新产品、新管理模式的不断涌现，以用户需求为主导的移 动金融服务 出现了 不断交融和细化的趋势 。本部分仅对目前 移动金融 业务中比较成熟的、通用的基于 SE的安全服务进行了 抽象和规范，对于仍存在不确定性的或商业银行和支付机构定制的个性化的安全服务， 在标准后续的修 订过程中逐步纳入。 JR/T 0093.6—2015 1 中国金融移动支付 远程支付应用 第6部分：基于安全单元（ SE）的安全服务技术规范 1 范围 本部分对基于 安全单元（包含普通金融IC卡）的安全服务进行了抽象和规范，主要 规定了基于安 全单元（简称 SE）的安全服务所提供的接口规范 、数字证书申请流程 、安全认证流程 、与客户端软件 的层次关系 、SE安全服务生命周期管理及相关安全要求。 本部分适用于移动金融 SE应用、客户端软件和后台系统的设计、开发、应用及检测等方面 。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 JR/T 0025 中国金融集成电路（ IC）卡规范 JR/T 0068 网上银行系统信息安全通用规范 JR/T 0092 中国金融移动支付 客户端技术规范 JR/T 0093.1 中国金融移动支付 应用基础 第1部分：术语 JR/T 0095 中国金融移动支付 可信服务管理技术规范 JR/T 0097 中国金融移动支付 应用安全规范 JR/T 0098.2 中国金融移动支付 检测规范 第2部分：安全芯片 JR/T 0098.5 中国金融移动支付 检测规范 第5部分：安全单元（ SE）嵌入式软件安全 JR/T 0118 金融电子认证规范 3 术语与定义 下列术语和定义适用于本文件。 3.1 电子认证 electronic authentication 以数字证书为核心 、以PKI技术为基础，对传输的信息进行加密、解密、数字签名和数字验证。 3.2 电子认证服务 certification service 为电子签名相关各方提供真实性、可靠性验证的 服务。 3.3 私钥 private key 在公钥密码体系中，用户的密钥对中只有用户本身才能持有的密钥。 JR/T 0093.6 —2015 2 3.4 公钥 public key 在公钥密码体系中，用户的密钥对中可以被其它用户所持有的密钥。 3.5 敏感信息 sensitive information 影响基于SE的移动金融 安全的密码、密钥 以及交易敏感数据等信息，密码包括但不限于转账密码、 查询密码、登录密码、证书的 PIN等，密钥包括但不限于用于确保通讯安全、报文完整性等的密钥，交 易敏感数据包括但不局限于完整磁道信息、有效期、 CVN、CVN2、证件号码等。 4 缩略语 下列缩略语适用于本 文件。 COS：卡片操作系统（ Chip Operation System ） CRL：证书撤销列表（ Cert