7月11日，中国人民银行发布金融行业标准《移动终端数字证书应用技术规范》（JR/T 0340—2025）（以下简称“《规范》”），于当日实施。

该文件起草单位包括中金金融认证中心有限公司、中国人民银行山东省分行、中国银联股份有限公司，以及多家国有银行、股份制银行、城商行、民营银行、农商行、农信社和支付机构、高校等。

据悉，随着智能移动终端的普及和移动互联网技术在金融领域的快速发展，利用数字证书在移动终端上保障业务安全性需求日益凸显。将移动终端作为数字证书的载体，以其方便快捷的使用方式和良好的用户体验，将逐步演变为一种数字证书应用新模式。此模式下，移动终端数字证书可为移动应用提供统一的数字证书使用方式，实现数字证书使用方式的无缝切换与多样化选择，从而降低应用部署成本，提升数字证书在移动终端上的普及率和安全性。

该文件旨在对尚属发展阶段但已广泛应用于移动终端的数字证业务进行统一规范与指导。其规定了移动终端数字证书应用的框架，以及服务端模块、服务端业务系统和客户端移动应用的技术要求。适用于在金融领域提供移动证书应用服务的机构，包含应用移动终端数字证书服务的银行业金融机构、非银行支付机构等。

《规范》提到，移动证书应用服务体系架构主要由客户端、服务端和电子认证机构3部分组成。

其中，客户端包括移动应用和移动证书客户端模块。移动应用是移动证书服务的使用者，用户在移动终端上通过移动应用使用移动证书客户端模块获取完整的数字证书服务，包括数字证书申请、数字证书下载、对交易报文使用数字证书进行签名确认等。移动证书客户端模块可由第三方机构向移动应用提供。

服务端包括业务系统和移动证书服务端模块。业务系统提供具体业务服务，并通过验证用户的签名和验证移动证书有效性，来判断用户操作真实性。移动证书服务端模块为用户提供移动证书的生命周期管理服务。移动证书服务端模块可由第三方机构向业务系统提供。

电子认证机构负责提供数字证书全生命周期管理功能。使用合法CA机构时，由CA机构提供的数字证书必须符合《中华人民共和国电子签名法》的要求。

《规范》提出了移动证书技术要求。移动证书技术的基本要求应符合JR/T 0118—2015中第5章、第6章的相关技术要求。移动证书私钥安全存储方式包括文件证书存储方式、基于非对称密钥分散的证书存储方式、基于TEE/SE的证书存储方式等。

其中，移动终端采用文件证书存储方式时应满足JR/T 0068—2020中6.2.2.2文件证书的要求。

移动终端采用非对称密钥分散的证书存储方式时，可采用非对称密钥分散技术等安全保障措施，防止证书私钥外泄，确保私钥安全性。

移动终端采用TEE/SE存储方式时，应符合JR/T 0093.6—2015中第5章、第6章、第7章以及JR/T 0285—2024中第6章、第7章、第8章的有关基于安全单元的移动证书应用技术要求。

而在附录A、B部分，分别展示了“基于非对称密钥分散的移动证书参考实现”“基于TEE/SE的移动证书参考实现”。

此外，《规范》分别对移动证书服务端模块、服务端业务系统、客户端移动应用提出了技术要求。

其中，移动证书服务端模块技术要求涉及身份鉴别、通讯安全、数据存储安全、用户密钥安全、安全审计、系统可靠性等方面。服务端业务系统技术要求涉及身份鉴别、传输安全等方面。客户端移动应用技术要求则涉及身份鉴别、传输安全、数据存储安全、程序完整性保护、移动证书客户端模块密钥管理要求等方面。