ICS35.030 CCSL80 中华人民共和国密码行业标准 GM/T0140—2024 支付系统个人可信确认密码应用技术规范 Cryptographyapplicationtechnicalspecificationforpersonaltrusted confirmationinpaymentsystem 2024-12-27发布 2025-07-01实施 国家密码管理局发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 2 …………………………………………………………………………………………………… 5 个人可信确认系统组成 2 ………………………………………………………………………………… 6 个人可信确认业务流程 3 ………………………………………………………………………………… 7 个人可信确认密码应用需求 4 …………………………………………………………………………… 8 个人可信确认密码应用技术要求 4 ……………………………………………………………………… 8.1 密码应用总体要求 4 ………………………………………………………………………………… 8.2 密钥管理安全要求 5 ………………………………………………………………………………… 8.2.1 密钥种类 5 ……………………………………………………………………………………… 8.2.2 密钥存储要求 5 ………………………………………………………………………………… 8.3 个人可信确认服务系统与个人可信确认设备通信安全要求 6 …………………………………… 8.3.1 通信协议流程 6 ………………………………………………………………………………… 8.3.2 报文协议内容 7 ………………………………………………………………………………… 8.4 个人可信确认服务系统与支付系统通信安全要求 8 ……………………………………………… 8.4.1 通信协议流程 8 ………………………………………………………………………………… 8.4.2 报文协议内容 9 ………………………………………………………………………………… 8.5 个人可信确认服务系统与证书认证系统通信安全要求 9 ………………………………………… ⅠGM/T0140—2024前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由密码行业标准化技术委员会提出并归口。 本文件起草单位:西安电子科技大学、睿丰宝科技有限公司、国家新闻出版广电总局广播电视规划 院、支付宝(中国)网络技术有限公司、中国科学院信息工程研究所、暨南大学、中电科网络安全科技股份 有限公司、北京创原天地科技有限公司、西安电子科技大学广州研究院、密码与网络安全(黄埔)研究院、 北京大学、中国金融电子化公司、兴唐通信科技有限公司。 本文件主要起草人:樊凯、白宇晗、刘婷婷、韩小军、王晨、王晓英、秦勇、李东风、高能、谭武征、苏锐丹、 李晖、宋峥、周君平、王鑫、杨凤春、韩竺吾、刘辛越、王妮娜。 ⅢGM/T0140—2024引 言 本文件的目标是给出一种个人用户直接参与支付流程并进行可信确认的机制,为需要可信确认的 业务系统搭载一种逻辑上不同于现有支付系统传输的另一种独立传输通道,从而全方位控制支付的安 全性和可靠性。 本文件针对不同业务抽象其密码技术需求,从解决个人可信确认安全需求的角度进行阐述,重点阐 述如何在支付系统个人可信确认中使用密码技术,能够为支付系统个人可信确认的系统研发、建设过程 提供合规性指导,规范密码技术在辅助支付系统进行可信确认过程中的应用。 ⅣGM/T0140—2024支付系统个人可信确认密码应用技术规范 1 范围 本文件规定了支付系统个人可信确认的密码应用、通信协议等技术要求,描述了相应的密码协议。 本文件适用于支付系统个人可信确认相关系统的构建、使用和管理。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T15843.3 信息技术 安全技术 实体鉴别 第3部分:采用数字签名技术的机制 GB/T15852(所有部分) 信息技术 安全技术 消息鉴别码 GB/T25056 信息安全技术 证书认证系统密码及其相关安全技术规范 GB/T25069 信息安全技术 术语 GB/T32907 信息安全技术 SM4分组密码算法 GB/T32918.4 信息安全技术 SM2椭圆曲线公钥密码算法 第4部分:公钥加密算法 GB/T37092 信息安全技术 密码模块安全要求 GB/T39786 信息安全技术 信息系统密码应用基本要求 GM/Z4001 密码术语 3 术语和定义 GB/T25069、GB/T37092和GM/Z4001界定的以及下列术语和定义适用于本文件。 3.1 支付系统 paymentsystem 由客户、商家、认证中心、支付网关、客户银行、商业银行、金融专网七个要素组成,用以提供支付结 算服务以及专业技术手段,实现债权债务清偿及资金转移的一种金融安排。 3.2 个人可信确认系统 personaltrustedconfirmationsystem;PTCS 由支付机构建立,允许个人用户针对个人信息、支付信息或资产信息等信息在各支付环节进行可信 确认的系统。 3.3 个人可信确认服务系统 servicesystemofPTCS 用于对个人相关业务进行可信确认处理的个人可信确认系统的服务器端或服务端系统。 注:也称或简称服务系统。 3.4 个人可信确认设备 userdeviceofPTCS 用于用户进行个人策略设置、支付确认等业务处理的个人可信确认系统的终端设备。 1GM/T0140—20243.5 密码模块 cryptographicmodule 实现密码运算功能的、相对独立的软件、硬件、固件或其组合。 3.6 密码协议 cryptographicprotocol 两个或两个以上参与者使用密码算法,为达到某种特定目的,采取的一系列步骤而形成的约定 规则。 4 缩略语 下列缩略语适用于本文件。 MAC:消息认证码(MessageAuthenticationCode) PTCS:个人可信确认系统(PersonalTrustedConfirmationSystem) SSPTCS:个人可信确认服务系统(ServiceSystemofPTCS) UDPTCS:个人可信确认设备(UserDeviceofPTCS) 5 个人可信确认系统组成 个人可信确认系统是个人用户的一种支付风险控制解决方案,由个人可信确认服务系统和个人可 信确认设备构成,个人可信确认系统模型的示意图见图1。 图1 个人可信确认系统模型 个人可信确认系统主要包括: a) 个人可信确认服务系统:用于对个人相关业务进行可信确认处理的PTCS的服务器端或服务 端系统; b) 个人可信确认设备:用于用户进行个人策略设置、支付确认等业务处理的PTCS的终端设备。 其中,证书认证系统为个人可信确认系统和支付系统提供生命周期内的数字证书管理,包括证书签 发、证书更新、证书冻结与解冻、证书恢复与撤销等功能。支付系统根据个人可信确认策略设置与 PTCS进行交互,包括签到支付系统、接收支付确认消息和响应支付确认消息。支付终端向支付系统发 起的支付业务需要个人可信确认设备最终确认,通过个人可信确认服务系统与支付系统交互实现可信 确认信息传递。 2GM/T0140—2024