您的位置:360文档中心› 中国金融移动支付 远程支付应用 第6部分:基于SE的安全服务技术规范

中国金融移动支付 远程支付应用 第6部分:基于SE的安全服务技术规范

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

ICS35.240.40

A11

JR 中华人民共和国金融行业标准

JR/T XXXXX—XXXX

中国金融移动支付远程支付应用

第6部分:基于SE的安全服务

China financial mobile payment--Remote payment application

Part 6: Security service based on SE

(报批稿)

(本稿完成日期:2012年10月22日)

XXXX-XX-XX发布XXXX-XX-XX实施

目次

前言............................................................................... III 引言................................................................................ IV

1 范围 (1)

2 规范性引用文件 (1)

3 术语与定义 (1)

4 缩略语 (3)

5 基于SE的安全服务应用 (3)

6 安全服务数字证书应用 (10)

参考文献 (14)

前言

《中国金融移动支付远程支付应用》标准由以下6部分构成:——第1部分:数据元;

——第2部分:交易模型及流程规范;

——第3部分:报文结构及要素;

——第4部分:文件数据格式;

——第5部分:短信支付技术规范;

——第6部分:基于SE的安全服务技术规范

本部分为该标准的第6部分。

本部分按照GB/T 1.1-2009给出的规则起草。

本部分由中国人民银行提出。

本部分由全国金融标准化技术委员会(SAC/TC180)归口。

本部分负责起草单位:。

本部分参加起草单位:。

本部分主要起草人:。

引言

随着移动支付新业务、新产品、新管理模式的不断涌现,以客户需求为主导的移动支付业务出现了不断交融和细化的趋势,不同机构、不同部门、不同业务之间的信息交换和信息共享变得越来越频繁。统一交易模型、交易流程及报文接口可以有效加强银行、非金融支付服务组织、商户之间的互联、互通及信息共享,降低交易成本,提高市场效率。

考虑到移动支付中远程支付涉及面广、业务种类繁杂以及各商业银行和非金融支付机构的业务系统现状,为便于标准的推广,本标准仅对目前支付业务中比较成熟的、通用的基于SE的安全服务进行了抽象和规范,对于仍存在不确定性、或商业银行和非金融支付机构定制的个性化安全服务,在标准后续的修订过程中逐步纳入。

移动支付-远程支付应用第6部分:基于SE的安全服务技术规范1 范围

本部分对基于SE远程支付的安全服务进行了抽象和规范,主要描述基于SE的安全服务所提供的接口规范,数字证书申请流程,安全认证流程,及与客户端支付应用软件的层次关系。

本部分适用于移动支付中远程支付业务的SE应用、客户端支付应用软件、远程支付系统的设计、应用开发及检测。

2 规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

GB/T 25069-2010 信息安全技术术语

GB/T 25064-2010 信息安全技术公钥基础设施电子签名格式规范

GB/T 19713-2005 信息技术-安全技术公钥基础设施-在线证书状态协议

GB/T 20518-2006 信息安全技术公钥基础设施数字证书格式

JR/T ×××× 中国金融移动支付应用基础第1部分:术语

3 术语与定义

3.1

电子认证 electronic authentication

指采用PKI技术检验用户合法性的操作。

3.2

电子认证服务 certification service

指为电子签名相关各方提供真实性、可靠性验证的活动。

3.3

假名证书 pseudonym certificate

证书中未载明证书所有者的真实名称,而是以在特定应用环境中具有实际意义的名称作为证书主体标识的证书。

3.4

移动证书 mobile certificate

是指以移动终端作为数字证书载体,采用移动终端硬件作为证书安全保护介质的移动数字证书。

3.5

证书撤销列表 certificate revocation list

一个已标识的列表,指定了一套证书发布者认为无效的证书。

3.6

证书策略 certificate policy

一套指定的规则集,用以指明证书对一个特定团体和(或者)具有相同安全需求的应用类型的适用性;或用以指明证书对于具有相同安全需求的某类应用的适用性。

3.7

证书主体 certificate subject

证书主体是证书公钥对应的实体,它可以是个人、机构、域名等。

3.8

客户 customer

向证书认证机构申请证书的实体,包括个人客户和机构客户。

3.9

服务器证书 webserver certificate

以机构客户名义向证书认证机构申请,用以表示域名或IP地址所有者身份信息的证书。

3.10

私钥 private key

在公钥密码体系中,客户的密钥对中只有客户本身才能持有的密钥。

3.11

公钥 public key

在公钥密码体系中,客户的密钥对中可以被其它客户所持有的密钥。

4 缩略语

定义本规范所使用的缩略语。

COS 卡片操作系统(Chip Operation System)

CRL 证书撤销列表(Certificate Revocation List)

DN 证书主题甄别名(Distinguished Name)

OCSP 在线证书状态协议(Online Certificate Status Protocol)

PIN 个人识别号码(Personal Identification Number)

SSL 安全套接层协议(Secure Sockets Layer)

5 基于SE的安全服务应用

5.1 概述

相关文档
最新文档