移动支付 检测规范 第6部分：嵌入式应用软件 Mobile payment —Test specification — Part 6: E mbedded application software 2024 - 11-29发布 2024 - 11-29 实施 ICS 35.240.40 CCS A 11 团体标准 T/BFIA 029.6—2024 北京金融科技产业联盟 发布 全国团体标准信息平台 版权保护文件 版权所有归属于该标准的发布机构，除非有其他规定，否则未经许可，此发行物及其章节不得以其 他形式或任何手段进行复制、再版或使用，包括电子版、影印版，或发布在互联网及内部网络等。使用 许可可与发布机构获取。 全国团体标准信息平台 T/BFIA 029.6—2024 I 目 次 前言 ................................ ................................ .................. II 引言 ................................ ................................ ................. III 1 范围 ................................ ................................ ................. 1 2 规范性引用文件 ................................ ................................ .......1 3 术语和定义 ................................ ................................ ........... 1 4 缩略语 ................................ ................................ ............... 1 5 功能符合性测试 ................................ ................................ .......1 6 性能测试 ................................ ................................ ............. 2 7 安全性测试 ................................ ................................ ........... 2 附录A（资料性） SE嵌入式应用软件攻击方法 ................................ .............. 7 全国团体标准信息平台 T/BFIA 029.6—2024 II 前 言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》 的规 定起草。 本文件是 T/BFIA 029 《移动支付 检测规范 》的第3部分，T/BFIA 029 已经发布了以下部分 ： ——第1部分：移动终端非接触式接口； ——第2部分：安全芯片； ——第3部分：安全单元（ SE）应用管理 终端； ——第4部分：安 全单元（ SE）； ——第5部分：可信服务管理系统； ——第6部分：嵌入式应用软件 。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由北京国家金融科技认证中心有限公司提出。 本文件由北京金融科技产业联盟归口。 本部分起草单位： 北京国家金融科技认证中心有限公司、北京金融科技产业联盟、北京银联金卡科 技有限公司、北京国家金融标准化研究院有限责任公司、上海市信息安全测评认证中心、北京软件产品 质量检测检验中心、上海华虹集成电路有限责任公司、中钞信用卡产业发展有限公司、上海 复旦微电子 股份有限公 司、大唐微电子技术有限公司、武汉天喻信息产业股份有限公司、恩智浦（中国）管理有限 公司。 全国团体标准信息平台 T/BFIA 029.6—2024 III 引 言 为更好推动移动支付技术的应用，北京金融科技产业联盟在中国金融移动支付系列行业标准基础 上，对部分标准进行了修订完善，形成团体标准。 随着移动支付技术的发展，新的支付方式和业务模式不断出现，检测规范及时跟进新变化，本文件 在JR/T 0098 —2012《中国金融移动支付 检测规范》基础上，修改功能性检测和性能检测部分内容， 调整攻击测试方法，完善管理制度内容，增加电气特性和通信协议检测适用范围项， 并且更新了规范性 引用文件和部分技术要求。 本文件的制定便于指导检测认证机构对移动支付 相关产品、 应用系统 进行安全性和标准符合性测试 认证，防范技术风险向金融领域传导，促进移动支付安全健康发展。 全国团体标准信息平台 T/BFIA 029.6—2024 III 引 言 为更好推动移动支付技术的应用，北京金融科技产业联盟在中国金融移动支付系列行业标准基础 上，对部分标准进行了修订完善，形成团体标准。 随着移动支付技术的发展，新的支付方式和业务模式不断出现，检测规范及时跟进新变化，本文件 在JR/T 0098 —2012《中国金融移动支付 检测规范》基础上，修改功能性检测和性能检测部分内容， 调整攻击测试方法，完善管理制度内容，增加电气特性和通信协议检测适用范围项， 并且更新了规范性 引用文件和部分技术要求。 本文件的制定便于指导检测认证机构对移动支付 相关产品、 应用系统 进行安全性和标准符合性测试 认证，防范技术风险向金融领域传导，促进移动支付安全健康发展。 全国团体标准信息平台 全国团体标准信息平台 T/BFIA 029.6—2024 1 移动支付 检测规范 第6部分：嵌入式应用软件 1 范围 本文件规定了移动支付 安全单元（ Secure Element ，SE）嵌入式应用软件的功能、性能和安全性的 检测方法。 本文件适用于从事 SE嵌入式应用软件设计、制造、评估与检测单位。 本文件也适用于检测认证机构 对相关产品、应用系统进行安全性和标准符合性测试和认证。 SE的发行机 构也可参考本 部分以获 得对移 动支付SE产品安全风险的进一步了解，以协助产品选型和风险控制过程。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 T/BFIA 023 .2 移动支付 安全单元 第2部分：多应用管理规范 3 术语和定义 下列术语和定义适用于本文件。 3.1 评估对象 target of evaluation ; TOE 作为评估主体的一个 IT产品或系统以及相关的指导性 文档。 4 缩略语 下列缩略语适用于本文件。 IT：信息技术（ Information Technology ） PBOC：中国人民银行（ People’s Bank of China） 5 功能符合性测试 检测目的：验证 SE嵌入式应用软件交易功能的有效性。 检测方法：审查厂商提交的文档，依据厂商声明的交易流程设计测试案例；对于 PBOC及其他行业 应用的嵌入式应用软件的检测，参考相关行业标准规范制定测试方案，采用检 测软件对 其应用指令进行检测。 通过标准：交易流程完整，交易结果正确。 全国团体标准信息平台