GM/T 0140-2024 支付系统个人可信确认密码应用技术规范

ICS35030

CCSL.80

中华人民共和国密码行业标准

GM/T0140—2024

支付系统个人可信确认密码应用技术规范

Cryptographyapplicationtechnicalspecificationforpersonaltrusted

confirmationinpaymentsystem

2024-12-27发布2025-07-01实施

国家密码管理局发布

GM/T0140—2024

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

个人可信确认系统组成

5…………………2

个人可信确认业务流程

6…………………3

个人可信确认密码应用需求

7……………4

个人可信确认密码应用技术要求

8………………………4

密码应用总体要求

8.1…………………4

密钥管理安全要求

8.2…………………5

密钥种类

8.2.1………………………5

密钥存储要求

8.2.2…………………5

个人可信确认服务系统与个人可信确认设备通信安全要求

8.3……6

通信协议流程

8.3.1…………………6

报文协议内容

8.3.2…………………7

个人可信确认服务系统与支付系统通信安全要求

8.4………………8

通信协议流程

8.4.1…………………8

报文协议内容

8.4.2…………………9

个人可信确认服务系统与证书认证系统通信安全要求

8.5…………9

Ⅰ

GM/T0140—2024

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由密码行业标准化技术委员会提出并归口

。

本文件起草单位西安电子科技大学睿丰宝科技有限公司国家新闻出版广电总局广播电视规划

:、、

院支付宝中国网络技术有限公司中国科学院信息工程研究所暨南大学中电科网络安全科技股份

、()、、、

有限公司北京创原天地科技有限公司西安电子科技大学广州研究院密码与网络安全黄埔研究院

、、、()、

北京大学中国金融电子化公司兴唐通信科技有限公司

、、。

本文件主要起草人樊凯白宇晗刘婷婷韩小军王晨王晓英秦勇李东风高能谭武征苏锐丹

:、、、、、、、、、、、

李晖宋峥周君平王鑫杨凤春韩竺吾刘辛越王妮娜

、、、、、、、。

Ⅲ

GM/T0140—2024

引言

本文件的目标是给出一种个人用户直接参与支付流程并进行可信确认的机制为需要可信确认的

,

业务系统搭载一种逻辑上不同于现有支付系统传输的另一种独立传输通道从而全方位控制支付的安

,

全性和可靠性

。

本文件针对不同业务抽象其密码技术需求从解决个人可信确认安全需求的角度进行阐述重点阐

,,

述如何在支付系统个人可信确认中使用密码技术能够为支付系统个人可信确认的系统研发建设过程

,、

提供合规性指导规范密码技术在辅助支付系统进行可信确认过程中的应用

,。

Ⅳ

GM/T0140—2024

支付系统个人可信确认密码应用技术规范

1范围

本文件规定了支付系统个人可信确认的密码应用通信协议等技术要求描述了相应的密码协议

、,。

本文件适用于支付系统个人可信确认相关系统的构建使用和管理

、。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息技术安全技术实体鉴别第部分采用数字签名技术的机制

GB/T15843.33:

所有部分信息技术安全技术消息鉴别码

GB/T15852()

信息安全技术证书认证系统密码及其相关安全技术规范

GB/T25056

信息安全技术术语

GB/T25069

信息安全技术分组密码算法

GB/T32907SM4

信息安全技术椭圆曲线公钥密码算法第部分公钥加密算法

GB/T32918.4SM24:

信息安全技术密码模块安全要求

GB/T37092

信息安全技术信息系统密码应用基本要求

GB/T39786

密码术语

GM/Z4001

3术语和定义

和界定的以及下列术语和定义适用于本文件

GB/T25069、GB/T37092GM/Z4001。

31

.

支付系统paymentsystem

由客户商家认证中心支付网关客户银行商业银行金融专网七个要素组成用以提供支付结

、、、、、、,

算服务以及专业技术手段实现债权债务清偿及资金转移的一种金融安排

,。

32

.

个人可信确认系统personaltrustedconfirmationsystemPTCS

;

由支付机构建立允许个人用户针对个人信息支付信息或资产信息等信息在各支付环节进行可信

,、

确认的系统

。

33

.

个人可信确认服务系统servicesystemofPTCS

用于对个人相关业务进行可信确认处理的个人可信确认系统的服务器端或服务端系统

。

注也称或简称服务系统

:。

34

.

个人可信确认设备userdeviceofPTCS

用于用户进行个人策略设置支付确认等业务处理的个人可信确认系统的终端设备

、。

1