ICS35.240.40 A11 JR 中华人民共和国金融行业标准 JR/T0096.6—2012 中国金融移动支付联网联合 第6部分:安全规范 China financial mobile payment-Interoperability- Part6:Specification for security 2012-12-12发布 2012-12-12实施 中国人民银行 发布 JR/T0096.6—2012 目次 前言 II 引言. ........III 1范围. 1 2规范性引用文件.. .1 3术语和定义.. ...1 4移动支付联网通用安全概述. ...2 5密钥管理及控制.., 6报文加密. ....6 7关键信息保护 14 参考文献 15 JR/T0096.6—2012 前言 《中国金融移动支付联网联合》标准由以下6部分构成: 一一第1部分:通信接口规范: 第2部分:交易与清算流程规范: 第3部分:报文交换规范: 一一第4部分:文件数据格式规范: 第5部分:入网管理规范: 一一第6部分:安全规范. 本部分为该标准的第6部分. 本部分按照GB/T1.1-2009给出的规则起草. 本部分由中国人民银行提出. 本部分由全国金融标准化技术委员会(SAC/TC180)归口. 本部分负责起草单位:中国人民银行科技司、中国人民银行金融信息中心、中国金融电子化公司. 本部分参加起草单位:中国银联股份有限公司、中国工商银行、中国农业银行、交通银行、上海浦 东发展银行、中国邮政储蓄银行、北京中电华大电子设计有限责任公司、天翼电子商务有限公司、联通 支付有限公司、工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)、中国金融认证中 心、金雅拓智能卡公司、握奇数据系统有限公司、捷德(中国)信息科技有限公司. 本部分主要起草人:李晓枫、陆书春、潘润红、姜云兵、杜宁、李兴锋、刘力慷、辛路、谭颖、袁 捷、兰天、吴水炯、姜鹏、谢元呈、李晨光、李庆艳、李茁、纪洪明、宋铮、熊帅、陈震天、张健、孙 战涛、马志全、燕宜军、温丽明. II JR/T0096.6—2012 引言 随着移动支付新业务、新产品、新管理模式的不断涌现,以客户需求为主导的移动支付业务出现 了不断交融和细化的趋势,不同机构、不同部门、不同业务之间的信息交换和信息共享变得越来越频 繁,不同系统间敏感数据信息的安全传递和保护,成为商业银行、支付机构、商户之间的互联互通及 信息共享必不可少的一环. 考虑到移动支付涉及面广、业务种类繁杂以及各商业银行和支付机构的业务系统现状,为便于标 准的推广,本部分对具有共性的安全要求进行规范,供各入网机构加入转接清算网络参照执行. III JR/T0096.62012 中国金融移动支付联网联合第6部分:安全规范 1范围 本部分规定了移动支付联网通用网络中传输数据信息应达到的安全标准,包括密钥的管理及控制、 报文加密和关键信息保护方法. 本部分适用于加入移动支付转接清算系统信息交换网络的入网机构. 2规范性引用文件 下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件,仅所注日期的版本适用于本文 件.凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本文件. R/T0055.1银行卡联网联合技术规范第一部分:交易处理 ISO 9564-1 Banking-Personal Identification Number Management and Security ISO 8731-1992 Approved Algorithms for Authentication 3术语和定义 下列术语和定义适用于本文件. 3.1 个人识别码personal identification number(PIN) 即个人密码,是在联机交易中识别持卡人身份合法性的数据信息. 3.2 报文鉴别码message authentication code(MAC) 用于验证发送方和接收方之间的信息源和信息内容完整性的数据. 3.3 主密钥master key(MK) 用于加密成员主密钥 3.4 成员主密钥member master key(MMK) 用于加密工作密钥(WK).成员主密钥(MMK)受主密钥(MK)加密保护. 3.5 工作密钥work key(WK) 用于加密PIN和MAC 包括MAC密钥(MAK)和PIN密钥(PIK).工作密钥(WK)受成员主密钥(MMK) 加密保护. ...
JR/T 0096.6-2012 中国金融移动支付 联网联合 第6部分:安全规范.pdf
