【YD通讯标准】 手机支付 可信服务管理平台技术要求

ICS33.060
中华人民共和宝玉通信行标准
YD/T3147-2016
手机支付
可信服务管理平台技术要求
Technical reguirementsfortrusted service managementplatform2016-07-11发布
2016-10-01实施
中华人民共和国工业和信息化部发布前
范围·
规范性引用文件：
3术语、定义和缩略语
4平台在网络中的位置·.
5平台架构·
平台功能
技术流程
YD/T3147-2016
YD/T3147-2016
本标准是手机支付系列标准之一。该系列标准的名称预计如下：一一手机支付术语和定义
一一手机支付总体技术要求
一一手机支付基于13.56MHz近场通信技术的手机终端技术要求一一手机支付基于13.56MHz近场通信技术的智能卡和内置安全模块技术要求一手机支付基于2.45GHz射频技术的智能卡技术要求一一手机支付基于13.56MHz近场通信技术的非接触式销售点终端技术要求一手机支付基于2.45GHz射频技术的非接触式销售点终端技术要求一一手机支付基于13.56MHz和2.45GHz双频的非接销售点终端技术要求一手机支付基于13.56MHz近场通信技术的非接触式射频接口技术要求-一手机支付基于2.45GHz射频技术的非接触式射频接口技术要求一手机支付智能卡和内置模块安全技术要求一一手机支付移动终端安全技术要求一一手机支付可信服务管理平台技术要求一一手机支付基于13.56MHz近场通信技术的手机终端测试方法一一手机支付基于13.56MHz近场通信技术的智能卡和内置安全模块测试方法一一手机支付基于2.45GHz射频技术的智能卡测试方法一手机支付基于13.56MHz近场通信技术的非接触式销售点终端测试方法一手机支付基于2.45GHz射频技术的非接触式销售点终端测试方法一手机支付基于13.56MHz和2.45GHz的双频非接销售点终端测试方法-一手机支付基于13.56MHz的非接触式射频接口测试方法一一手机支付基于2.45GHz的非接触式射频接口测试方法一一手机支付智能卡和内置模块安全测试方法一一手机支付手机终端安全测试方法一手机支付可信服务管理平台测试方法本标准由中国通信标准化协会提出并归口。本标准起草单位：中国信息通信研究院、中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团公司。
云、陆鸣、郭漫雪。
本标准主要起草人：袁、琦、逢淑宁、王志军、手鹏、纪成军、谢HiiKAoiKAca
1范围
手机支付
可信服务管理平台技术要求
YD/T3147-2016
本标准规定了支持手机支付的可信服务管理平台技术要求，主要包括平台在网络中的位置、平台架构、平台功能、技术流程。
本标准适用于可信服务管理平台。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。《多应用管理协议技术要求》
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
安全域
一种具有特殊权限的应用。每个安全域负责管理自已的密钥，以确保来自于不同应用提供方的应用及数据可以在同一张卡片上共存，而不会破坏彼此的机密性及完整性。3.1.2
主安全域
也称“发卡方安全域”，作为发卡方对卡片内容进行管理时的操作代理，卡片必须实现此安全域应用。发卡方可以利用此授权程序加载、安装、册删除发卡方或其他应用提供方的应用。发卡方安全域同卡上其他的安全域很相似。
辅助安全域
类似发卡方安全域，是某个应用提供方或控制机构在卡上的安全域。3.1.4
发卡方
泛指发放安全模块的发行和管理机构。安全模块可置于智能卡或终端中。3.2缩略语
下列缩略语适用于本文件。
Bearer Independent Protocol
CDMACodeDivisionMultipleAccessFTP
File Transfer Protocol
Gateway GPRS Support Node
承载无关协议
码分多接入
文件传输协议
网关GPRS支持节点
HiiKAoNiKAca
YD/T3147-2016
General Packet Radio System
Global System for Mobile communicationsGateway
Internet Protocol
Internet ShortMessage GatewayearField Communication
Secure Element
Subscriber Identity Module
Short Message Service CenterTransmisionControlProtocol
User Identity Model
平台在网络中的位置
通用分组无线系统bzxZ.net
全球移动通信系统
互联网协议
互联网短消息网关
近场通信
安全模块
用户标识模块
短消息服务中心
传输控制协议
用户标识模块
可信服务管理平台负责对应用、安全模块、安全域、应用提供商进行管理，为业务应用平台提供服务，并实现对业务应用平台的鉴权和授权：负责与SE建立安全通道，完成应用下载、管理的功能。网关中心
GSM/CDMA
5平台架构
GGSN/PDSN
广防火墙
可信服务管理平台
图1可信服务管理平台组网结构
防火墙
业务应用平台
其他可信服务
管理平台
可信服务管理平台统一接入业务应用平台，并向业务应用平台提供基于GP的应用发行业务。各接口功能要求如下：
1）IF1（可信服务管理平台与业务平台）：本接口实现各业务开展过程中与业务提供商之间的信息交互，连接协议采用标准的TCP/IP协议，应用协议采用FTP，实现安全域初始密钥的交互、对应用下载/删除操作中的数据交互及应用签名的提供与校验、应用提供商应用状态的管理、应用上载管理。2）IF2（可信服务管理平台与客户端）：本接口实现可信服务管理平台与客户端之间采用TCP/IP通道连接，建立平台与客户端的数据链路。3）IF3（可信服务管理平台与SE安全模块）：本接口实现可信服务管理平台对SE安全模块的管理能力，具体的接口协议参见《多应用管理协议技术要求》。SE安全模块可以位于电信智能卡，也可以位于手机终端。2
TiiKAoNiKAca
4）IF4（与其他可信服务管理平台）：YD/T3147-2016
本接口实现与其他可信服务管理平台的连接，实现应用的传递和交互，具体要求待定。业务应用平台
6平台功能
6.1安全域管理
其他可信服务
管理平台
可信服务管理平台
客户端
图2可信服务管理平台系统架构
可信服务管理平台提供安全域管理，安全域的AID由可信服务管理平台统一规划和分配。主安全域，作为发卡方对SE上内容进行管理时的操作代理。运营商可以利用此授权程序加载、安装、删除运营商或其他应用提供方的应用。辅助安全域，由发卡方进行创建，存放发卡方代管的第三方应用以及第三方自主管理应用、自有应用，该安全域的控制方可以对存放的应用进行操作和维护，如下载新应用、应用升级和删除。辅助安全域分为：
a）发卡方控制的辅助安全域：由发卡方控制管理，该安全域存放委托的第三方应用。应用/数据等由第三方产生，安全域密钥、应用/数据等都由发卡方操作。b）第三方控制的辅助安全域：该安全域存放的应用由第三方自行操作维护，第三方获得发卡方授权，对安全域存放的应用进行操作（使用Token密钥的方式）。SE发行时，需预置主安全域。允许应用从主安全域迁移到辅助安全域。辅助安全域可由主安全域删除。6.2应用管理
可信服务管理平台将提供的应用发行相关能力进行封装，开放给自有或第三方业务平台，实现业务平台和SE间进行应用发行相关业务交互的能力。6.2.1应用生命周期管理
可信服务管理平台对应用的整个生命周期进行管理，对工作流进行控制。应用生命周期包括配置、上载、审核、测试、发布、更新和归档等。应用配置，设置应用的属性，包括应用AID、所属应用提供商、所属安全域应用上载，以安全的方式上传完成设计并经过离线测试的应用。3
HiiKANi KAca
YD/T3147-2016
应用审核，具有审核权限的业务管理员根据应用提交的属性及应用文件进行审核。应用测试，具有测试权限的业务管理员对应用进行在线测试。对应用进行测试时，应向所与（不同SE提供商的）SE进行兼容性测试，并记录应用在SE上的最大的使用空间，配置为该应用的大小。应用发布，发布后应用可进行面向用户进行应用下载。应用发布时应指定应用适用的SE型号以及其他方式的用户限定。
应用更新，升级应用的版本，更新应用程序文件以及其他属性。应用归档，结束应用生命周期，进行应用归档。6.2.2应用操作权限管理
配置应用提供商通过接口操作该应用的权限，包括：能否发起应用下载请求、能否发起应用删除请求、能否发起设置应用状态请求，应用个人化请求。6.3用户管理
6.3.1用户信息管理
可信服务管理平台也管理平台的用户基本信息，包括用户身份、联系方式等个人信息。用户使用SE设备包括SIM/UIM卡、NFC终端。其中使用SIM/UIM卡时，也需要终端协作，完成非接触功能。使用NFC终端、SIM/UIM卡可使用空中、非接触两种管理渠道。6.3.2用户自服务
用户可通过手机终端（手机支付客户端）以及可信服务管理平台的门户进行自服务操作。用户自服务功能包括：
·应用发现，查询适配用户SE的可下载应用：·查询功能，查询已下载应用、使用空间、可用空间、SE设备信息、应用的相关信息，自已的操作记录等；
·业务操作，应用下载、删除、更新、锁定功能等。6.4应用提供商管理
6.4.1基本信息管理
可信服务管理平台提供应用提供商注册、审核功能，对应用提供商的信息资料进行管理6.4.2安全域申请
可信服务管理平台为应用提供商提供安全域申请及审核的管理功能。6.4.3应用申请
可信服务管理平台为应用提供商提供应用生命周期管理功能。应用提供商可同时提供全网应用及本地应用。对全网应用，需要全网业务管理员进行审核：对本地应用仅需要本地业务管理员进行审核。6.4.4签约关系管理
签约关系是应用提供商使用SE安全域进行应用发行业务的签约，并进行签约管理。6.4.5应用提供商自服务
应用提供商可通过可信服务管理平台的门户进行自服务操作。应用提供商自服务功能包括：
·所属安全域信息查询、配置、申请。●所属应用信息查询、配置、申请、升级。4
HiiKAoNiKAca
·所属安全域、应用已下载的查询、统计。·进行信息管理、应用管理、业务订购关系管理。6.5业务管理
6.5.1业务数据管理
YD/T3147-2016
可信服务管理平台需要对各类业务数据进行配置管理，即对应用发行业务涉及到的对象的数据进行管理，如应用提供商、应用、安全域和签约关系等。6.5.2鉴权与授权
可信服务管理平台对业务使用流程进行控制，在业务平台调用应用发行能力时，需要对应用提供商业务平台、签约关系进行鉴权（Authentication）以及对调用的能力进行授权（Authorizaiton）。6.5.3业务迁移
用户更换卡和终端后，TSM应提供业务迁移能力，协助业务平台完成业务更新操作。6.5.4系统管理
系统管理员和业务管理员，分配相应的管理员角色，负责业务的开展。6.6SE管理
6.6.1SE数据信息
SE数据信息包括批次、密钥等静态信息以及已下载应用、可用空间等动态信息。6.6.2SE管理渠道
目前提供非接触读卡器方式和空中两种渠道完成可信服务管理平台与SE的业务操作。读卡器方式指使用手机终端和非接触读卡器，通过互联网或专网链接到可信服务管理平台，完成业务操作。读卡器方式可用于营业厅、自服务终端、用户自服务。空中方式指使用NFC终端、手机支付客户端（手机客户端），通过无线网络连接到可信服务管理平台，完成业务操作。
6.6.3SE安全域管理
6.6.3.1概述
SE安全域管理要求满足《多应用管理协议技术要求》。6.6.3.2安全域创建
可信服务管理平台可动态创建辅助安全域。辅助安全域创建。首先可信服务管理平台辅助安全域，然后第三方平台提供安全域密钥，最后可信服务管理平台进行密钥更新并激活安全域。6.6.3.3安全域删除
可信服务管理平台可删除创建辅助安全域。6.6.3.4安全域密钥更新
可信服务管理平台实现主安全域、辅助安全域的密钥更新，其中主安全域密钥由可信服务管理平台提供，辅助安全域密钥由第三方平台提供。6.6.3.5安全域锁定/解锁定
可信服务管理平台提供安全域锁定/解锁功能，可以通过读卡器、空中方式对运行于SE中主安全域、辅助安全域进行管理。一旦安全域被锁定，则安全域的操作被禁止。5
HiiKAoiKAca
YD/T3147-2016
6.6.4SE生命周期管理
可信服务管理平台提供安全模块的生命周期管理，对安全模块的整个生命周期也可实现终身的管理，其中包括OP_READE、INITILIZED、SECURED、CARDLOCKED->TERMINATED，对安全模块状态的跟踪等操作
6.6.5SE应用管理
6.6.5.1应用发行
可信服务管理平台提供基于SE上主安全域、辅助安全域下的应用的动态、安全下载功能。应用发行包括应用下载和应用个人化两个步骤，其中应用下载又可分为加载文件和创建实例两个过程。应用发行支持非接触、空中两种模式。平台具备的应用发行模式有：（1）空卡模式（应用下载+应用个人化，应用下载由加载CAP文件和创建实例构成）：（2）实例创建模式（应用下载+应用个人化，应用下载仅需要创建实例）：（3）个人化模式（应用下载完成，仅需要进行个人化数据写入）。委托辅助安全域下的应用下载及个人化由第三方在发卡方的控制下进行，可信服务管理平台为第三方平台的应用下载提供TOKEN验证。可信服务管理平台可查询委托辅助安全域信息及其已下载应用信息。6.6.5.2应用删除
可信服务管理平台提供应用删除功能，可通过读卡器、空中方式，将已经安装在SE中主安全域、辅助安全域下应用册删除的过程。与应用发行相对应，应用册删除时也可以有删除整个应用程序和个人化数据两种模式，平台可针对不同应用、应用提供商需求灵活配置。委托安全域下的应用删除由辅助安全域在发卡方的控制下进行，可信服务管理平台为第三方平台的应用删除提供TOKEN验证。
6.6.5.3应用锁定/解锁
可信服务管理平台提供应用锁定/解锁功能，可以通过读卡器、空中方式对运行于SE中主安全域、辅助安全域下的应用进行管理。一旦应用被锁定，则应用一切正常的业务操作被禁止（例如，手机支付应用的刷卡消费、充值等操作），可根据用户或业务系统风险控制的需要，对应用进行管理，减少由于各种风险带来的损失。
6.6.5.4应用升级
可信服务管理平台提供应用升级功能，先删除旧版本应用，后下载新版本应用并进行应用个人化。可信服务管理平台删除旧版本应用前，应通知应用的业务平台，由业务平台获取应用在SE中个人化数据，并保存个人化在业务平台，完成新应用下载后由业务平台提供个人化数据，由可信服务管理平台进行个人化数据更新。
应用升级是否由用户自服务完成，由业务决定。应用删除及应用下载的参见本规范应用发行及应用删除的规定7技术流程
7.1应用发行
应用发行对未预置应用的SE执行应用下载及应用个人化操作，对预置应用的SE仅需执行应用个人化操作。
HiiKAoNiKAca
7.1.1应用下载
适用于主安全域、辅助安全域下应用下载。用户/
操作员
业务平台
可信服务管理平
1.请求应用下载
1.PUSH请求
43.预申请（可选）
4.应用下载请求
（可选）
1.PUSH请求（MO)
2.应用下载请求
客户端/POS
提示用户选择嵌入或创建应用+
用户反馈
5.签约鉴权
6.判断应用所属安全域
是否已创建？未创建，
创建应用所属安全域
创建安全域（详情参
见安全域创建
7.创建安全通道
9生成应用下载指令
-10.下发应用指令（多条）
YD/T3147-2016
NFC终端/SE
7.创建安全通道
11.装载应用文件（cap)
—12.安装应用文件(cap)—
13.创建实例
415.应用下载通知
15.应用下载通知
图3应用下载
(1..n applets)
14.下一个cap？
注：图3包括两种受理渠道一一用户使用手机支付、客户端空中方式。操作员使用专业POS是营业厅非接触方式。以下技术流程同理。
7.1.2应用个人化
应用个人化可以由业务平台也可以由可信服务管理平台发起，相关更新数据由可信服务管理平台生成。适用于主安全域、辅助安全域下应用个人化。需要个人化的应用在完成应用下载，接收到可信服务管理平台的应用下载通知后，发起应用个人化请求。7
YD/T3147-2016
用户/
操作员
7.2应用删除
业务平台
可信服务管理平
接应用安装流程，使用原有TCP链接1.生成/原有个人化数据
2.下发个人化指令
4.个人化响应
5.判断是否还有后
续指令，如无后继
指令则完成
6.通知流程结束
8.操作结果通知
-3.个人化响应
7.通知流程结束
客户端
NFC终端/SE
2.下发个人化指令
3.个人化响应
9.检查并启动
终端应用下载
10、下载终端应用
图4应用个人化
适用于主安全域、辅助安全域下应用删除用户/
操作员
针对下载应用
业务平台
针对预置应用
可信服务管理平
1.请求应用删除
1.PUSH请求
3.预中请
4.应用删除请求
10.获取个人化
数据（清空）
+13.操作结果通知
13.操作结果通知
1.PUSH请求（MO）
-2.请求应用下载
5.订购关系，应
用提供商及应用
鉴权6.返回出错信息
7.判断用户卡上
是否存在指定应
8.无指定应用，
返回出错信息
9.创建安全通道
10.生成应用删除指
客户端
-11.下发应用删除指令
11.应用个人化
12.响应
图5应用删除
9.创建安全通道
NFC终端/SE
11.下发应用删除指令
11.应用个人化
12响应
7.3应用更新
适用于主安全域、辅助安全域下应用更新。用户/
操作员
业务平台
可信服务管理平
1.请求应用更新
1.请求应用更新一
-1.请求应用更新
3.请求应用更新
4.鉴权验证
-5.请求应用更新
7.请求个人化数据十
个人化数据管理
7.4安全域创建
8.个人化数据
下一组数
9.应用更新
9.应用更新通知
一个人化数据管理
适用于安全域、辅助安全域。
/操作员
业务平台
7.请求个人化数据
8.个人化数据
应用删除（旧日版本）
应用下载（新版）
个人化数据管理
图6应用更新
可信服务管理平
1.请求创建安全域
1.请求创建安全域
11.请求安全域密钥
12.获取安伞域密钥
14.操作结果通知
15.操作结果通知
--1.PUSH请求（MO）
2.创建安全域
3.签约鉴权
3.返回出错信息
4.创建安全通道
5.生成创建安
全域指拿
6.下发安全域
创建指令
9.创建辅助域
初始密钥
T0.自有辅助安全
域，则进行安全
域密钥更新
客户端
YD/T3147-2016
NFC终端/SE
7.请求个人化数据
8.个人化数据
应用删除（旧版本）
应用下载（新版不）
个人化数据管理
客户端
4.创建安全通道
7.下发安全域
创建指令
9.创建辅助域
初始密钥
或更新
图7安全域创建
NFC终端/SE
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。