規(guī)范編制背景

2025年7月11日，中國人民銀行正式發(fā)布《移動終端數(shù)字證書應用技術(shù)規(guī)范》（JR/T 0340-2025），旨在為移動終端數(shù)字證書的使用出具統(tǒng)一應用標準，為移動終端數(shù)字證書應用提供技術(shù)指導。

核心內(nèi)容解讀

一、移動證書整體應用框架

移動證書應用服務體系架構(gòu)主要由客戶端、服務端和電子認證機構(gòu)三部分組成。

1. 客戶端包括移動應用和移動證書客戶端模塊。

移動應用是移動證書服務的使用者，用戶在移動終端上通過移動應用使用移動證書客戶端模塊獲取完整的數(shù)字證書服務。移動證書客戶端模塊可由第三方機構(gòu)向移動應用提供。

2. 服務端包括業(yè)務系統(tǒng)和移動證書服務端模塊。

業(yè)務系統(tǒng)提供具體業(yè)務服務，并通過驗證用戶的簽名和驗證移動證書有效性，來判斷用戶操作真實性。移動證書服務端模塊為用戶提供移動證書的生命周期管理服務，可由第三方機構(gòu)向業(yè)務系統(tǒng)提供。

3. 電子認證機構(gòu)負責提供數(shù)字證書全生命周期管理功能。

二、三種典型移動證書應用模式

1. 文件證書

引用參考《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》（JR/T 0068—2020）中 6.2.2.2 文件證書 的要求。

2. 非對稱密鑰分散證書

將私鑰分量分布在不同的設備中，以避免全部私鑰信息的直接存儲和使用。簽名時，各設備的私鑰分量進行協(xié)同簽名運算。采用安全保障措施，防止證書私鑰外泄，確保私鑰安全性。

3. TEE/SE證書

引用參考《基于數(shù)字證書的移動終端金融安全身份認證規(guī)范（JR/T 0285-2024）》，其對基于可信執(zhí)行環(huán)境（TEE）和安全單元（SE）的移動終端安全身份認證服務進行了規(guī)范。

三、身份鑒別

1. 移動證書服務端模塊

應獨立識別或通過業(yè)務系統(tǒng)識別每個訪問實體（證書的擁有者）的真實身份，并確保每個實體只能按照業(yè)務系統(tǒng)設定的范圍提供業(yè)務服務。在訪問實體身份被成功鑒別前，移動證書服務端模塊應禁止執(zhí)行該實體的任何操作。

2. 服務端業(yè)務系統(tǒng)

可采用的身份鑒別技術(shù)包括但不限于已有數(shù)字證書、身份證要素驗證、銀行卡要素驗證、動態(tài)口令（OTP）、生物識別技術(shù)、臨柜面簽。

3. 移動證書客戶端模塊

對實際使用者應具有身份鑒別功能，在啟用私鑰進行簽名之前，應采用口令或生物識別等方式對實際使用者進行鑒別，鑒別通過才能生成簽名；若鑒別不通過，則應拒絕生成簽名。

四、用戶密鑰安全管理

1. 移動證書服務端模塊

采用非對稱密鑰分散方式提供移動證書應用服務時，應保證服務端用戶私鑰分量的安全性，防止私鑰分量外泄，避免簽名被冒用的風險。

2. 移動證書客戶端模塊

密鑰管理應符合以下要求：

a）移動證書客戶端模塊應具備密碼運算功能，能夠?qū)崿F(xiàn)簽名或驗簽等功能，密碼算法必須符合國家密碼管理部門的相關(guān)規(guī)定。

b）移動證書客戶端模塊應實現(xiàn)私鑰安全存儲功能，不提供私鑰導出指令，采用非對稱密鑰分散或TEE/SE密鑰的證書存儲方式下，簽名過程中完整私鑰不應以明文形式在移動終端富執(zhí)行環(huán)境REE內(nèi)存中出現(xiàn)。

c）移動證書客戶端模塊應與移動設備信息及應用信息綁定，防范證書被非法復制到其他移動設備或應用上使用。

滿足《規(guī)范》要求的實施方案及其功能特點

中金金融認證中心（CFCA）推出“基于密鑰分散協(xié)同簽名技術(shù)數(shù)字證書實施方案”——CFCA云證通，以及“基于FIDO標準的數(shù)字證書實施方案”——CFCA FIDO+。

CFCA云證通基于SM2、SM3、SM4國密算法，提供密鑰分散證書下載、協(xié)同簽名、數(shù)據(jù)加解密等功能，讓客戶可以無需攜帶額外硬件設備，以智能設備為載體，隨時、隨地、安全、便捷地實現(xiàn)電子簽名。云證通提供云端數(shù)字證書身份認證與數(shù)字簽名服務，可為移動端業(yè)務操作進行可信賴的安全加固，防止出現(xiàn)抵賴、篡改等問題。

CFCA FIDO+基于FIDO生物識別技術(shù)和電子簽名技術(shù)，在客戶登錄、支付、轉(zhuǎn)賬場景中通過指紋、3D人臉等方式實現(xiàn)快速認證，應用TEE數(shù)字證書模式實現(xiàn)安全認證保護，防止遠程調(diào)用攻擊，保障安全性的同時，給予用戶更加便捷的體驗。

CFCA云證通和CFCA FIDO+兩種實施方案擁有中國人民銀行、國家密碼管理局、公安部等頒發(fā)的相關(guān)資質(zhì)認證，技術(shù)要求滿足《移動終端數(shù)字證書應用技術(shù)規(guī)范》（JR/T 0340-2025），具有合規(guī)性保障，并在各大銀行、證券機構(gòu)等眾多金融機構(gòu)實施上線，且系統(tǒng)運行穩(wěn)定。

未來，CFCA作為“可信數(shù)字身份服務的領(lǐng)導者”，將繼續(xù)致力于創(chuàng)新產(chǎn)品模式，擴展服務場景，筑牢安全基線。

繼續(xù)閱讀：

星空人工智能技術(shù)網(wǎng) 倡導尊重與保護知識產(chǎn)權(quán)。如發(fā)現(xiàn)本站文章存在版權(quán)等問題，煩請30天內(nèi)提供版權(quán)疑問、身份證明、版權(quán)證明、聯(lián)系方式等發(fā)郵件至1851688011@qq.com我們將及時溝通與處理。！：首頁 > 星空人工智能產(chǎn)業(yè) > 智能物聯(lián) » 《移動終端數(shù)字證書應用技術(shù)規(guī)范》核心內(nèi)容解讀