ICS 35.240.40 CCS A 11 团体标准 T/BFIA 029.4—2024 移动支付 检测规范 第4部分：安全单元（ SE） Mobile payment —Test specification — Part 4: Secure element (SE) 2024 - 11-29发布 2024- 11-29实施 北京金融科技产业联盟 发布 全国团体标准信息平台 版权保护文件 版权所有归属于该标准的发布机构，除非有其他规定，否则未经许可，此发行物及其章节不得以其 他形式或任何手段进行复制、再版或使用，包括电子版、影印版，或发布在互联网及内部网络等。使用 许可可与发布机构获取。 全国团体标准信息平台 T/BFIA 029.4—2024 1 目 次 前言 ................................ ................................ ................. 2 引言 ................................ ................................ ................. 3 1 范围 ................................ ................................ ............... 4 2 规范性引用文件 ................................ ................................ ..... 4 3 术语和定义 ................................ ................................ ......... 4 4 缩略语 ................................ ................................ ............. 9 5 测试条件 ................................ ................................ ........... 9 6 SE物理特性检测 ................................ ................................ .... 10 7 SE电气特性和通讯协议检测 ................................ .......................... 16 8 SE嵌入式系统软件功能检测 ................................ .......................... 21 9 SE嵌入式系统软件安全检测 ................................ .......................... 72 附录A（规范性） SE电气特性和通讯协议检测适用范围 ................................ .. 106 附录B（规范性） SE嵌入式系统软件安全要求 ................................ .......... 107 附录C（规范性） SE嵌入式系统软件安全 目标与安全要求的对应关系 ...................... 122 附录D（规范性） 高级抵抗力攻击列表及对应关系 ................................ ....... 127 参考文献 ................................ ................................ ........... 131 全国团体标准信息平台 T/BFIA 029.4—2024 2 前 言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的 结构和起草规则》的规定 起草。 本文件是T/BFIA 029 《移动支付 检测规范》 的第4部分，T/BFIA 029 已经发布了以下部分 ： ——第1部分：移动终端非接触式接口； ——第2部分：安全芯片； ——第3部分：安全单元（ SE）应用管理终端； ——第4部分：安全单元（ SE）； ——第5部分：可信服务管理系统； ——第6部分：嵌入式应用软件 。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本部分由 北京国家金融科技认证中心有限公司 提出。 本部分由 北京金融科技产业联盟 归口。 本部分起草单位： 北京国家金融科 技认证中心有限公司、北京金融科技 产业联盟、北京银联金卡科 技有限公司、北京国家金融标准化研究院有限责任公司、上海市信息安全测评认证中心、北京软件产品 质量检测检验中心、上海华虹集成电路有限责任公司、中钞信用卡产业发展有限公司、上海复旦微电子 集团股份有限公司、大唐微电子技术有限公司、武汉天喻信息产业股份有限公司、 恩智浦（中国）管理 有限公司 。 全国团体标准信息平台 T/BFIA 029.4—2024 3 引 言 为更好推动移动支付技术的应用，北京金融科技产业联盟在中国金融移动支付系列行业标准基础 上，对部分标准进行了修订完善，形成团体标准。 随着移动支付技术的发展，新的支付方 式和业务模式不断出现，检测规范及 时跟进新变化，本文件 在JR/T 0098 —2012《中国金融移动支付 检测规范》基础上，修改功能性检测和性能检测部分内容， 调整攻击测试方法，完善管理制度内容，增加电气特性和通信协议检测适用范围项，并且更新了规范性 引用文件和部分技术要求。 本文件的制定便于指导检测认证机构对移动支付相关产品、 应用系统进行安全性和标准符合性测试 认证，防范技术风险向金融领域传导，促进移动支付安全健康发展。 全国团体标准信息平台 T/BFIA 029.4—2024 4 移动支付 检测规范 第4部分：安全单元 （SE） 1 范围 本文件规定了 SE的载体形态、协议、功 能和安全性等检测要求，包 括SE载体物理形态和通讯协议检 测，SE多应用平台功能一致性及其与嵌入式应用软件兼容性检测， SE嵌入式系统软件的安全性检测等。 本文件适用于从事 SE嵌入式系统软件设计、制造、评估与检测的单位。 SE的发行机构也可参考本部 分以获得对移动支付 SE产品兼容性的进一步了解，以协助产品选型和风险控制过程。 本文件也适用于检 测认证机构对相关产品、应用系统进行安全性和标准符合性测试和认证 。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对 应的版本适用于本文件，不注日期的 引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 18336 信息技术 安全技术 信息技术安全评估准则 JR/T 0093.6 中国金融移动支付 远程支付应用 第6部分：基于安全单元（ SE）的安全服务技术 规范 T/BFIA 021.4 移动支付 应用基础 第4部分：支付账户介质识别码 T/BFIA 023.1 移动支付 安全单元 第1部分：通用技术要求 T/BFIA 023.2 移动支付 安全单元 第2部分：多应用管理规范 T/BFIA 029.1 移动支付 检测规范 第1部分：移动终端非接触式接口 T/BFIA 045 移动支付 可信服务管理技术规范 FIPS PUB 140 -2 密码模块安全技术要求（ Security Requirements for Cryptographic Modules ） ETSI TS 102 613 智能卡 UICC-无接触前端 (CLF)接口 第1部分：物理层和数据链路层特性 （Smart Cards; UICC —Contactless Front -end （CLF） Interface ; Part 1: Physic al and data link layer characteristics ） NIST 800 -22 用于加密应用的随机数和伪随机数发生器的随机性检测工具（ A Statistical Test Suite for Random and Pseudorandom Number Generators for Cryptographic Applications ） 3 术语和定义 下列术语和定义适用于本文件。 3.1 持卡者验证方法 cardholder verificatio n method；CVM 用于确保当前持卡者即合法持卡者的方法。 3.2 授权管理者 controlling authority 全国团体标准信息平台 T/BFIA 029.4—2024 5 借助强制性的数据鉴别模式的确认，拥有对 SE内容进行管理控制权限的角色。 3.3 DAP数据块 DAP block 加载文件中用于对加载文件数据块进行可信性验证的部分。 3.4