JR∕T 0156-2017 移动终端支付可信环境技术规范(金融).pdf
《JR∕T 0156-2017 移动终端支付可信环境技术规范(金融).pdf》由会员分享,可在线阅读,更多相关《JR∕T 0156-2017 移动终端支付可信环境技术规范(金融).pdf(42页珍藏版)》请在咨信网上搜索。
1、 ICS 35.240.40 A 11 中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T 01562017 移动终端支付可信环境技术规范 Mobile terminal payment trusted environment specification 2017 - 12 - 11 发布 2017 - 12 - 11 实施 中国人民银行 发 布 JR/T 01562017 I 目 次 前言 . III 引言 . IV 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 缩略语 . 2 5 移动终端支付可信环境概述 . 2 5.1 整体框架 . 2 5.2 RE
2、E . 3 5.3 TEE . 3 5.4 SE . 3 5.5 外部设备 . 3 6 可信执行环境 . 3 6.1 概述 . 3 6.2 可信 OS . 5 6.3 安全启动 . 5 6.4 安全存储 . 5 6.5 加解密服务 . 6 6.6 密钥体系 . 6 6.7 访问控制 . 8 6.8 TUI . 9 6.9 TA 应用管理 . 10 6.10 TA 跨平台应用中间件(可选) . 10 6.11 可信虚拟化(可选) . 12 7 通信要求 . 14 7.1 REE 与 TEE 的通信要求 . 14 7.2 TEE 与数据采集设备的通信安全 . 14 7.3 TEE 与 SE 的通信
3、安全 . 14 8 数据安全 . 15 8.1 数据安全保护功能 . 15 8.2 内部数据安全要求 . 15 9 安全单元 . 16 10 客户端支付应用 . 16 JR/T 01562017 II 10.1 概述 . 16 10.2 TEE 外部接口安全性要求 . 16 10.3 其他要求 . 17 11 外部设备 . 17 11.1 安全目标 . 17 11.2 安全要求 . 17 12 移动终端支付可信环境生产要求 . 18 12.1 概述 . 18 12.2 管理要求 . 18 12.3 网络要求 . 18 12.4 机房及系统要求 . 18 12.5 密钥管理要求 . 19 12.
4、6 硬件加密设备要求 . 19 13 移动终端支付可信环境安全分级分类 . 19 13.1 安全能力级别总则 . 19 13.2 REE 基础安全能力要求集合 . 20 13.3 TEE 安全能力要求集合 . 20 13.4 SE 安全能力要求集合 . 21 附录 A(规范性附录) 检测规范 . 22 附录 B(规范性附录) 检测规范扩展部分 . 33 附录 C(资料性附录) 手机银行应用场景 . 35 JR/T 01562017 III 前 言 本标准按照GB/T 1.12009给出的规则起草。 本标准由中国人民银行科技司提出。 本标准由全国金融标准化技术委员会(SAC/TC 180)归口。
5、 本标准负责起草单位:中国人民银行科技司、中国金融电子化公司。 本标准参加起草单位:北京移动金融产业联盟、华为技术有限公司、中国人民银行广州分行、中国人民银行西安分行、中国银联、中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、支付宝(中国)网络技术有限公司、财付通支付科技有限公司、北京中金国盛认证有限公司、中金金融认证中心有限公司、银行卡检测中心、中钞信用卡产业发展有限公司、北京握奇数据股份有限公司、恒宝股份有限公司、展讯通信有限公司、北京中清怡和科技有限公司、北京小米科技有限责任公司、北京飞天诚信科技有限公司、北京豆荚科技有限公司。 本标准主要起草人:李伟、李兴锋、邬向阳、杨倩
6、、聂丽琴、班廷伦、黄本涛、王禄禄、魏博锴、陈卫东、吴一兵、李承康、胡沐创、薛高、魏猛、胡达川、王小璞、常新苗、郭伟、谭颖、周思捷、吴永强、曾凯、安思宇、刘春彤、骆雄武、朱大磊、左爵希、何伟明、杜亮、辛业、辛知、叶轩、种衍雪、王兆国、付小康、张健、熊帅、王鑫、李欧、汪小八、郭丽娟、石玉平、赵李明、刘觅、刘航、常莹、金光日、刘立军、朱鹏飞、张志坚、韩鹏。 JR/T 01562017 IV 引 言 随着移动智能终端的普及和移动互联网快速发展,用户对移动金融接受程度和使用频率逐步提高,移动金融安全性如何得到有效保障成为有待解决的重要问题。 推进移动终端支付可信环境相关标准制定有助于提升移动终端支付环境
7、安全、 推动金融与信息技术融合发展, 对于行业健康持续发展及防范电信欺诈有着重要的指导意义。JR/T 01562017 1 移动终端支付可信环境技术规范 1 范围 本标准规定了移动终端支付领域可信环境的整体框架、可信执行环境、通信安全、数据安全、客户端支付应用等主要内容。 本标准适用于开展移动支付相关业务时对移动终端可信环境提出相关技术要求, 也适用于移动终端支付可信环境的设计、开发、测试以及相关产品的评价等,智能POS终端可参照执行。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有
8、的修改单)适用于本文件。 GB/T 32915 信息安全技术 二元序列随机性检测方法 JR/T 0089.2 中国金融移动支付 安全单元 第2部分:多应用管理规范 JR/T 0092 中国金融移动支付 客户端技术规范 JR/T 0098.3 中国金融移动支付 检测规范 第3部分:客户端软件 JR/T 0098.5 中国金融移动支付 检测规范 第5部分:安全单元(SE)嵌入式软件安全 3 术语和定义 下列术语和定义适用于本文件。 3.1 可信环境 trusted environment 个人移动终端上基于硬件和软件结合的安全技术,为移动支付相关业务提供的运行环境。 3.2 移动终端 mobile
9、 terminal 具有移动通讯能力的终端设备,通常指智能手机、平板电脑等。 3.3 回放保护分区(RPMB) replay protected memory block 一种可防回滚、防重放攻击的安全存储区,该区域除指定RPMB服务接口外不应通过其他方式访问。 3.4 可信 OS trusted operating system 一个受可信硬件资源隔离保护的操作系统,该系统可为上层应用提供安全存储、加解密、生物特征识别等多种基础安全服务。 JR/T 01562017 2 3.5 可信用户接口(TUI) trusted user interface TEE为TA提供的与用户输入/输出设备安全交
10、互的界面, 保证TA与用户交互的敏感数据免受其他应用或恶意软件的攻击。 4 缩略语 下列缩略语适用于本文件。 eSE嵌入式安全单元(embedded Secure Element) inSE内置安全单元(integrated Secure Element) OTA空中下载技术(Over-the-Air) RBG随机比特生成器(Random Bit Generator) REE富执行环境(Rich Execution Environment) TA可信应用(Trusted Application) TEE可信执行环境(Trusted Execution Environment) TSM可信服务管
11、理(Trusted Service Management) TUI可信用户接口(Trusted User Interface) 5 移动终端支付可信环境概述 5.1 整体框架 移动终端支付可信环境框架如图1所示,一般包括REE、TEE与SE三部分应用运行环境,并共存于同一个终端上。根据终端提供的硬件隔离机制,分别为REE、TEE与SE提供各自所属的硬件资源,包括CPU、RAM、ROM、FLASH、总线接口与I/O控制器等,并基于所属硬件资源分别控制各自所属外部设备,如触摸屏幕、键盘、摄像头、NFC、指纹、虹膜设备等。移动终端支付可信环境检测要求见附录A、附录B。 移动操作系统(如Android
12、、iOS)REE可信 OSTEE卡片操作系统SE应用软件层系统软件层硬件层支付应用可信虚拟化层钱包应用其他应用认证TA支付TA其他TAPBOC应用公交应用其他应用CPURAMROMFLASH总线I/O控制器外部设备屏幕键盘摄像头NFC指纹虹膜 图1 移动终端支付可信环境框架示意图 JR/T 01562017 3 通过业务使用场景不同,REE、TEE与SE在软件上各成相对独立的体系,从功能上,REE、TEE、SE逐级降低;从安全上,REE、TEE、SE逐级提高。通过REE、TEE、SE三者之间的可控相互访问机制,为移动终端支付提供功能与安全上的全方位服务体系。 5.2 REE 移动终端上直接面向
13、用户提供支付、通信、娱乐、游戏、社交等各种各样功能的富执行环境,总体目标是以服务用户为主,注重便利、开放、功能强大的用户体验。其组成主要包括: 应用软件层:包括各类应用,如手机银行、手机钱包等; 系统软件层:移动操作系统,提供摄像头、FLASH、USB、触摸屏、蓝牙等相关驱动程序,并基于此向上提供一整套的系统服务、应用服务与管理框架,方便各种类型应用的开发与部署,其中对于支持 TEE 的终端,应提供访问 TEE 的通信驱动和 TEE 外部 API,支持其上运行的应用访问 TEE 应用。 5.3 TEE 与REE相隔离的安全区域,通过一组硬件和软件的组合,保证各种敏感数据在其中被安全传输、存储、
14、处理,保证TA执行的机密性、完整性和数据访问权限端到端的安全。TEE的实现可以基于不同的技术,其组成主要包括: 应用软件层:包括各种安全相关的可信应用,一般与对应 REE 应用相结合,为用户提供既便捷又安全的用户体验,可信应用以机构部署为主,如指纹、支付、身份认证等应用; 系统软件层:充分利用硬件资源(如 CPU、RAM、FLASH、SPI 总线等)的可信性,实现受硬件隔离的系统执行环境, 具备安全计算及其所属各种安全设备运行的资源调用能力,可提供下述功能: 安全加解密、安全存储、可信用户接口、可信身份认证等各种系统服务; 系统和应用安全的密钥体系; 与 REE、SE、外部设备的安全通信机制,
15、并提供相应的访问控制; 提供可信虚拟化层,可支撑多个可信 OS 并存与运行。 5.4 SE 移动终端上的高安全运行环境, 可在硬件与软件层面上防御各种恶意攻击, 运行在其上的应用具备高安全性需求,如eSE、inSE。其组成主要包括: 应用软件层:包括安全应用,如金融、公交、社保、电信等,应用采用预置或在 TSM 控制下安全获取与部署,通过 SE 开展金融安全的应用场景可参考附录 C; 系统软件层:运行一种可验证的卡片操作系统,主要提供安全加解密、密钥存储等功能。 5.5 外部设备 可以被TEE控制和使用,用于扩展TEE功能的移动终端元器件,包括但不限于触摸屏、摄像头、指纹模块、蓝牙模块、NFC
16、芯片等。从安全角度考虑,外部设备可划分为专享外设和共享外设。 6 可信执行环境 6.1 概述 6.1.1 总体架构 JR/T 01562017 4 可信执行环境总体架构见图2。 图2 可信执行环境总体架构图 6.1.2 安全目标 可信执行环境的安全目标如表1所示: 表1 可信执行环境安全目标及描述 安全目标 描述 安全目标 描述 启动安全 安全启动从可信代码开始,通过签名校验方法来保证信任链的传递,TEE启动过程的完整性通过上一阶段签名校验来保证。 存储安全 通过硬件的隔离和系统的控制,保护高安全性数据的存储安全,如用户数据、设备数据等。 通信安全 通过加密、隔离、认证等方式,对终端内不同实体
17、间的通信通道、终端同外界的通信通道的数据传输进行安全性保护。 访问控制 通过访问权限的设置等方式保证功能和数据不被非法访问或者不恰当的访问。 系统配置 通过软硬件结合的安全措施保证终端的安全配置不被更改并具备相应的提示机制。 运行安全 通过对固件、密钥、永久数据等数据的保护策略保证TEE自身的安全性,为运行在其上的可信应用提供安全保护。 应用管理 通过生命周期管理、访问验证等措施保证对运行在其上的可信应用进行安全管理。 6.1.3 硬件安全要求 JR/T 01562017 5 6.1.3.1 防止物理攻击 TEE 应具有一定的防物理攻击能力,物理攻击方式包括但不限于非侵入式攻击、半侵入式攻击,
18、如旁路攻击、错误注入攻击等。 6.1.3.2 安全调试 应对设备调试接口进行相应的管控,只能通过授权控制的模式对内部敏感数据进行访问。 6.2 可信 OS 6.2.1 可信 OS 内核组成 提供了OS基本核心功能,包括进程调度管理、时间管理、进程间通信管理、中断管理、内存管理、外设驱动管理等。 提供了OS的系统级功能,包括用户态和内核态的可操作性定义、系统调用访问控制和权限管理、可信应用隔离和管理等。 6.2.2 可信 OS 基础服务 提供系统级的安全服务,见表2。 表2 可信 OS 基础服务 服务名称 功能简述 服务名称 功能简述 安全存储 提供基于文件操作的存储功能及接口,包含文件创建、打
19、开、关闭、写入、读取、删除、重命名等。 加解密 提供密码算法功能及接口,包含摘要算法、信息验证码算法、对称加解密算法、非对称加解密算法、随机数算法、密钥衍生等。 安全时间 提供获取 TEE 系统时间和 REE 系统时间等时钟接口。 TA 管理 提供 TA 的下载、安装、更新、删除等功能。 SE 服务 提供与 SE 之间的操作及相关通讯接口。 生物特征识别 提供生物特征提取、模板存储和比对,以及针对比对结果的访问控制等功能。 REE 监测 提供对 REE 安全性的监测。 TUI 提供可信的用户交互接口。 6.3 安全启动 安全启动过程是指通过签名验证方法来检验TEE启动过程的每一个阶段, 以确保
20、TEE中运行软件镜像的完整性,防止对软件进行未被授权修改或恶意修改。安全启动代码应进行完整性验证,当验证通过后执行安全启动过程。 安全启动过程保证了TEE的安全功能被正确地初始化, 并且这个初始化过程不受REE恶意应用的攻击,同时保证固件的版本符合TEE版本更新策略。 同时,安全启动也伴随着一个信任链,即整个过程开始于一个可信代码(即这个代码的完整性受到保障)或者信任根,之后在执行其他代码之前都要验证其真实性。对于在安全启动过程中哪些代码需要被验证本部分不做具体定义。安全启动的代码可以通过OTA以代码镜像的方式进行更新。为了保证代码更新的安全性,在更新代码之前应验证更新镜像的真实性和完整性。
21、6.4 安全存储 JR/T 01562017 6 6.4.1 功能要求 TEE应提供安全存储功能,例如将数据存储在安全存储器中,或对数据进行加密存储。 安全存储应提供以下基本功能:创建、打开、关闭、写入、读取、删除、重命名等。 6.4.2 安全要求 安全存储应满足如下安全要求: 保证所保存数据的机密性、可用性、一致性和原子性; 数据只能由数据管理者访问; 安全存储所使用密钥应由根密钥衍生; 保证安全存储所使用密钥的机密性和完整性; 安全存储所使用密钥只能由密钥管理者访问和处理。 6.5 加解密服务 6.5.1 功能要求 加解密服务提供密码算法接口,使得应用可以通过该服务接口执行密码运算。密码运
22、算应符合6.6.1.10的要求。 6.5.2 安全要求 加解密服务应符合表3所示的要求。 表3 加解密算法安全要求 算法算法 安全要求安全要求 摘要算法 应使用SHA256及以上强度算法。 对称密码算法 AES算法的密钥长度应为128bit及以上。 3DES算法的密钥长度应为128bit及以上。 非对称密码算法 RSA算法的密钥长度应为2048bit及以上。 椭圆曲线算法的密钥长度应为224bit及以上。 DSA算法的密钥长度应为2048bit及以上。 ECDSA算法的密钥长度应为224bit及以上。 随机数生成器 应符合GB/T 32915规范的规定。 6.6 密钥体系 6.6.1 密钥管理
23、 6.6.1.1 概述 密钥包括根密钥、设备密钥、业务密钥。 密钥生命周期的管理包括密钥生成、使用和销毁。 6.6.1.2 随机数生成 随机数生成方式,应遵循GB/T 32915中的相关规定。 6.6.1.3 密钥生成 JR/T 01562017 7 TEE应根据指定的密钥算法生成对称密钥和非对称密钥。 被生成的业务密钥包括:用于保护数据的数据加密密钥和用于保护其他密钥的密钥加密密钥。 6.6.1.4 密钥导入 通过安全方式导入到TEE安全存储区域中的密钥,应使用密钥加密密钥进行保护。 6.6.1.5 根密钥 根密钥是移动终端密钥体系的根,应符合以下要求: 根密钥应使用硬件保护或硬件隔离技术保
24、证安全性; 硬件隔离的根密钥产生因子只可由独立的处理器运算生成; 硬件保护的根密钥产生因子不可被任何软件访问,由通用处理器运算生成并进行扰乱保护; 硬件隔离和硬件保护的根密钥应和REE隔离,不可被REE直接访问; 根密钥不可直接从硬件中读和写; 只有具备系统权限的可信应用可使用根密钥衍生出其他密钥。 6.6.1.6 设备密钥及设备身份证书 设备密钥应符合以下要求: 应由根密钥在 TEE 中产生,或者随机生成后以密文形式注入设备的安全存储区域; 可用于保护业务密钥,保证信任链的传递; 可用于设备身份证明。 设备身份证书应符合以下要求: 应在 TEE 或 SE 中产生,或者在出厂前预置; 应保存在
25、 TEE 或者 SE 环境中; 可用于设备身份证明。 6.6.1.7 数据加密密钥 数据加密密钥长度应至少保证128bit。 数据加密密钥应使用RBG方法随机生成,密钥的强度应至少等同于128bit的AES密钥强度。 6.6.1.8 密钥加密密钥 密钥加密密钥的长度应至少保证128bit。强度应不弱于数据加密密钥。 密钥加密密钥宜基于口令的密钥衍生方式生成,或者用RBG方法生成,或者利用其他密钥来组合生成。 6.6.1.9 密钥销毁 程序运行时产生的明文密钥数据(密钥加密密钥、会话密钥等),在生命周期结束后应进行销毁, 清除密钥的目标源和存储位置,销毁所有不再需要的明文密钥材料。 销毁方式分以
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- JRT 0156-2017 移动终端支付可信环境技术规范金融 JR 0156 2017 移动 终端 支付 可信 环境 技术规范 金融
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。