移动支付 应用安全规范 Mobile payment —Specification for application security 2024 - 11-29发布 2024 - 11-29 实施 ICS 35.240.40 CCS A 11 团体标准 T/BFIA 046—2024 北京金融科技产业联盟 发布 全国团体标准信息平台 版权保护文件 版权所有归属于该标准的发布机构，除非有其他规定，否则未经许可，此发行物及其章节不得以其 他形式或任何手段进行复制、再版或使用，包括电子版、影印版，或发布在互联网及内部网络等。使用 许可可与发布机构获取。 全国团体标准信息平台 T/BFIA 046-2024 I 目 次 前言 ................................ ................................ .................. II 引言 ................................ ................................ ................. III 1 范围 ................................ ................................ ................. 1 2 规范性引用文件 ................................ ................................ .......1 3 系统安全 ................................ ................................ ............. 1 4 移动终端安全 ................................ ................................ ......... 3 5 受理终端安全 ................................ ................................ ......... 3 6 交易安全 ................................ ................................ ............. 4 7 密钥体系 ................................ ................................ ............. 6 8 安全管理 ................................ ................................ ............. 9 全国团体标准信息平台 T/BFIA 046-2024 II 前 言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》 的规 定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由北京国家金融科技认证中心有限公司 提出。 本文件由北京金融科技产业联盟归口 。 本文件起草单位：北京国家金融科技认证中心有限公司、 北京金融科技产业联盟、中国银联股份有 限公司、中国工商银行股份有限公司、中国农 业银行股份有限公司、中国银行股份有限公司、中国建设 银行股份有限公司、 交通银行股份有限公司、 中信银行股份有限公司、 中国邮政储蓄银行股份有限公司、 中移支付有限公司、财付通支付科技有限公司、深圳市新国都股份有限公司、东信和平智能卡股份有限 公司、北京通融信息技术有限公司、开联通网络技术服务有限公司、大唐微电子技术有限公司。 全国团体标准信息平台 T/BFIA 046-2024 III 引 言 为更好推动移动支付技术的应用，北京金融科技产业联盟在中国金融移动支付系列行业标准基础 上，对部分标准进行了修订完善，形成团体标准。 移动支付面临的风险日益复杂，更新安全规范有助于提高对风 险的识别、预防和响应能力，增强技 术安全性和可靠性。 本文件在 JR/T 0095 —2012《中国金融移动支付 应用安全规范》基础上，增加安 全策略要求，完善安全管理内容，并且更新了规范性引用文件和部分技术要求。 本文件的制定有利于相关单位在应用安全的贯标，便于指导检测认证机构对移动支付 相关产品、应 用系统进行安全性和标准符合性测试认证， 防范技术风险向金融领域传导， 促进移动支付安全健康发展。 全国团体标准信息平台 T/BFIA 046-2024 1 移动支付 应用安全规范 1 范围 本文件规定了移动支付应用中的安全要求，包括系统安全、移动终端安全、受理终端安全、交易安 全、密钥体系和安全管理。 本文件适用于参与移动支付业务的设备生产、应用发行、交易管理以及应用系统研制、开发、集成 和维护等相关组织。本文件也适用于检测认证机构对相关产品、应用系统进行安全性和标准符合性测试 和认证。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件，不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB 4943.1—2011 信息技术设备 安全 第1部分：通用要求 GB/T 20988 —2007 信息安全技术 信息系统灾难恢复规范 GB/T 22081 信息技术 安全技术 信息安全控制实践指南 GB/T 22239 —2019 信息安全技术 网络安全等级保护基本要求 JR/T 0025—2018（所有部分） 中国金融集成电路（ IC）卡规范 JR/T 0092—2019 移动金融客户端应用软件安全管理规范 T/BFIA 022 移动支付 非接触式接口规范 T/BFIA 023. 1 移动支付 安全单元 第1部分：通用技术要求 T/BFIA 023 .A 移动支付 安全单元 第A部分：多应用管理规范 T/BFIA 029.B 移动支付 检测规范 第B部分：嵌入式应用软件 T/BFIA 032 移动支付 受理终端技术 T/BFIA 045 移动支付 可信服务管理技术规范 3 系统安全 3.1 物理安全要求 物理安全应符合下列要求： ——按照GB/T 22239—2019中第三级基本要求中的 8.1.1执行； ——满足GB/T 22239 —2019中9.1.1.2的a）和b）的要求。 3.2 网络安全要求 按照GB/T 22239—2019中第三级基本要求中的 8.1.2执行。 3.3 主机安全要求 全国团体标准信息平台 T/BFIA 046-2024 2 按照GB/T 22239—2019中第三级基本要求中的 8.1.3执行。 3.4 应用软件安全要求 3.4.1 通用安全 按照GB/T 22239—2019中第三级基本要求中的 8.1.4执行，其中， 8.1.4.2中e）、f）和g）为增强 要求。 其他基本要求 如下： ——GB/T 22239—2019中第四级基本要求中的 9.1.4.3中的c）； ——GB/T 22239—2019中第四级基本要求中的 9.1.4.4中的a）； ——用户通过应用系统对交易资源进行访问时，应用系统应保证在被访问的资源与用户之间能建 立一条安全的信息传输路径 ； ——在移动互联网等开放网络环境中， 建立交易连接之前，应 采用密码技术进行 会话初始化验证； ——应对交易过程中的整个报文或会话过程进行加密 ； ——应采用符合国家密码相关标准的 密码技术 ，保证通讯过程中交易数据的完整性； ——应采用报文鉴别码（ MAC）、数字签名等方式保证报文安全 ； ——不应在日志中记录敏感信息。 3.4.2 会话安全 会话应满足但不限于如下安全要求： ——会话标识唯一、随机、不可猜测； ——会话过程中维持认证状态，防止 信息未经授权访问 ； ——会话设置超时时间，当空闲时间超过设定时间 应自动终止会话； ——会话结束后，及时清除会话信息 ； ——采取措施防止会话令牌在传输、存储过程中被窃取。 应用审计日志 宜记录暴力破解会 话令牌的事件。 3.4.3 常见攻击防范 应对常见的攻击（如跨站脚本攻击、注入攻击、拒绝服务攻击等） 采取防范措施，包括但不限于如 下手段： ——应在服务器端对提交的数据进行有效性检查（如对提交的表单、参数等进行合法性判断和非 法字符过滤等），或对输出 的数据进行安全处理； ——应具有防范暴力破解静态密码的保护措施，例如使用图形验证码等 ； ——应进行代码审查，防范应用程序中不可信数据被解析为命令或查询语句等； ——应开发安全的接口，如通过避免语句的完全解释或采用参数化接口等方式实现； ——应采取有效措施防范 针对服务器端的 拒绝服务 攻击； ——应对文件的 上传和下载进行访问控制，避免执行恶意文件或未授权访问。 ——数据库宜使用存储过程或参数化查询，并严格定义数据库用户的角色和权限； ——宜通过自动化工具（如弱点扫描工具、静态代码检测工具等）对应用程序进行检查；