JR_T 0097-2012中国金融移动支付 可信服务管理技术规范.pdf

ICS 35. 240. 40A 11JR中华人民共和国金融行业标准JR/T0097—2012中国金融移动支付可信服务管理技术规范China financial mobile paymentTechnical specification for trusted service management2012-12-12发布2012-12-12实施中国人民银行发布 JR/T 0097—2012目次前言引言范围2规范性引用文件3术语与定义4移动支付可信服务管理系统架构5移动支付可信服务管理系统的实现与互联126公共服务平台系统功能.7TSM平台功能移动支付可信服务管理系统间接口389SE要求51移动支付可信服务管理系统安全要求53委参考文献60 JR/T.0097—2012步案1：SE在用户发放前，配置由公共服务平台持有的SE可信/开放共享部件，该部件体现为独立的授权管理者安全域及其权限和服务；步骤2：发行方的TSM平台向用户发SE，并持有主安全域（ISD)；步骤3：应用提供方的TSM平台需要进行金融类辅助安全域操作前，需要请求公共服务平台通过SE可信部件验证并获取SE及其持有人身份：步骤4：公共服务平台通过SE可信部件验证并获取SE及其持有人身份信息，并传递给应用提供方的TSM平台；步骤5：应用提供方的TSM平台对所获得的实名身份根据业务安全等级要求进行核实，如临柜核实或电话核实等；步骤6：如果SE及其持有人身份合法，则向公共服务平台发出操作请求，操作类型包括金融类辅助安全域的创建、删除、锁定/解锁、个人化、状态查询：步骤7：如果需要和发行方的TSM平台进行操作的协商，公共服务平台和发行方的TSM平台交互并获得许可；步8：公共服务平台通过SE开放共享部件下发操作命令；步骤9：SE开放共享部件执行金融类辅助安全域的相关操作；步骤10、步骤11：如果需要进行金融类辅助安全域的个人化操作，公共服务平台分发初始化密钥给应用提供方的TSM平台：应用提供方的TSM平台更新密钥并持有安全域。应用提供方的TSM平台持有金融类辅助安全域后，应用的操作由应用提供方的TSM平台实施，但需要由公共服务平台提供授权，图8描述了该开放共享模型下应用操作的实体关系。公共服务平台1.请求2.和发行方协资应用操作授权3.返四应用操作授权发行方TSM平台配置由公共服务平台应用提供方持有的SE可信开放TS平台共享部件网络4.下发应用操作发行SESE持有金题安全域并持有主安全域SE可信/开政共享部件主安全城金鹏辅助安全城图8公共服务平台作为可信第三方共享模型应用操作应用操作中实体关系如下：步骤1：应用提供方的TSM平台执行操作前，向公共服务平台请求应用操作的授权；步骤2：如果需要，公共服务平台和发行方的TSM平台协商，获得应用操作的许可；步骤3：公共服务平台对应用进行授权并返回给应用提供方的TSM平台，该授权具体体现为一个令牌;7 JR/T骤4：应用提供方的TSM平台下发应用操作脚本到其持有的安全域；步骤5：SE中由SE开放共享部件对操作的授权进行验证，如果通过，那么该操作执行；否则该操作失败。4.5.3以发行方作为可信管理者的开发共享模型该模型参与实体包括发行方的TSM平台、公共服务平台、应用提供方的TSM平台、SE。其中发行方的TSM平台作为可信管理者，执行金融类辅助安全城的创建、删除、锁定/解锁、个人化操作；对金融类辅助安全域中的应用下载、删除、锁定/解锁操作进行授权；公共服务平台仅作为可信第三方提供SE及其持有人身份获取和实名身份信息传递图9措述了该开放共享模型下的安全域操作的实体关系。公共服务平台3.请求SE及持有人7.转发安全频操作请求，实名身份10.分发安全域初始密钥、6.并消求安全战损作11.转发安全城初始密钥应用提供方5.实名发行方TSM平1.配置公共服务平台持有的SE可信部件TSM平台信息核实4.通过SE可信部件获取实名身份8.发送安全技操作到主安全校网络2.发行SE12.持有全融安全放并持有主安全SE可借部件安全城主安9.创建全城厂安全款全题辅助（安全级）图9发行方作为可信管理者开发共享模型一一安全减操作安全域操作中实体关系如下：步骤1：SE在向用户发放前，配置由公共服务平台持有的SE可信部件，该部件体现为由其持有的一个安全域，仅提供实体验证服务；步骤2：发行方的TSM平台向用户发SE，并持有主安全城（ISD)；步骤3：应用提供方的TSM平台执行安全域操作前，需要请求公共服务平台获取SE及持有人实名身份；步骤4：公共服务平台通过其持有的SE可信部件获取SE及其持有人的实名身份，并传递给应用提供方的TSM平台；步骤5：应用提供方对所获得的实名信息根据业务安全等级要求进行核实，如临柜核实或电话核实等；步骤6：如果身份合法，则向