DB11 T 159.4-2023 市政交通一卡通系统技术规范 第4部分：移动支付系统.pdf

1、ICS 35.240.15 CCS L 64 DB11 北京市地方标准 DB11/T 159.42023 市政交通一卡通系统技术规范 第 4 部分：移动支付系统 Technical specification for municipal administration&communications card systemPart 4:Mobile payment system 2023-12-25 发布2024-04-01 实施北京市市场监督管理局发 布DB11/T 159.42023 I 目 次 前言.II 引言.III 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 缩略语.2

2、 5 移动支付系统组成和功能.2 5.1 系统组成.2 5.2 系统功能.3 6 安全单元.3 6.1 一般要求.3 6.2 多应用管理.4 6.3 基本命令.4 6.4 密钥.4 6.5 安全通信.5 6.6 应用个人化服务.5 6.7 应用选择服务.5 7 客户端软件.5 7.1 软件架构.5 7.2 基本功能.6 7.3 应用模型.6 7.4 安全要求.7 7.5 管理要求.7 8 可信服务管理系统.7 8.1 系统组成.7 8.2 系统功能.7 8.3 应用配置管理.8 8.4 安全单元初始化.9 8.5 移动支付应用管理.10 8.6 平台安全要求.13 9 基本业务.14 9.1

3、业务分类.14 9.2 开卡.14 9.3 充值.14 9.4 消费.14 9.5 退卡.15 9.6 迁卡.15 DB11/T 159.42023 II 前 言 本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。DB11/T 159市政交通一卡通系统技术规范分为以下部分：第1部分：总体要求；第2部分：卡片；第3部分：终端；第4部分：移动支付系统；第5部分：安全；第6部分：检测。本文件是DB11/T 159的第4部分。本文件由北京市交通委员会提出并归口。本文件由北京市交通委员会组织实施。本文件起草单位：北京市智慧交通发展中心、北京市政交通一卡通有

4、限公司、北京市标准化研究院。本文件主要起草人员：陈文革、曾正喜、许占富、隋莉颖、田旷、蒋金煜、赵立华、邢钊、金方伟、魏振阳、刘敬光、李志宇、罗琳、李强、杨雪、钟园、吴月、常新、周湘鹏、张腾、李佳霖、樊子风、周巧霖、王海、李真丞、李昂、郁国栋、刘世俊。本文件及其所代替文件的历次版本发布情况为：本次为首次发布。DB11/T 159.42023 III 引 言 随着智慧城市建设的加速和公共交通的快速发展，市政交通一卡通系统在城市交通运营和民生服务中发挥着越来越重要的作用。为了提高城市公共交通运营效率和民生服务质量，满足市政交通一卡通系统的业务发展要求和民生服务需求，需要进行规范化的技术管理，北京市交

5、通委员会组织编制了统一的技术标准。DB11/T 159市政交通一卡通系统技术规范由6个部分组成：第1部分：总体要求。目的在于明确市政交通一卡通系统的整体构成和要求。第2部分：卡片。目的在于明确市政交通一卡通系统卡片的要求。第3部分：终端。目的在于明确市政交通一卡通系统终端的要求。第4部分：移动支付系统。目的在于明确市政交通一卡通系统移动支付系统的组成和要求。第5部分：安全。目的在于明确市政交通一卡通系统安全的要求。第6部分：检测。目的在于明确市政交通一卡通系统检测的要求。DB11/T 159市政交通一卡通系统技术规范参考了国家及地方的相关法规、行业标准和最佳实践，结合北京市公共交通行业特点和发

6、展需求，以及新技术应用等进行了修订，保证标准具有先进性、安全性和指导性，保障市政交通一卡通系统长期、稳定和健康地发展。DB11/T 159.4市政交通一卡通系统技术规范 第 4 部分：移动支付系统涵盖了市政交通一卡通系统中移动支付系统的功能规范、技术要求等内容，适用于市政交通一卡通系统中移动支付系统的设计、开发和实施。DB11/T 159.42023 1 市政交通一卡通系统技术规范 第 4 部分：移动支付系统 1 范围 本文件给出了市政交通一卡通系统移动支付系统的组成，规定了安全单元、客户端软件、可信服务管理系统和基本业务的技术要求。本文件适用于市政交通一卡通系统移动支付系统的设计、开发和实施

7、。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。JT/T 978.2 城市公共交通IC卡技术规范 第2部分：卡片 JT/T 978.3 城市公共交通IC卡技术规范 第3部分：读写终端 JT/T 978.5 城市公共交通IC卡技术规范 第5部分：非接触接口通讯 JT/T 1059.1 交通一卡通移动支付技术规范 第1部分：总则 JT/T 1059.2 交通一卡通移动支付技术规范 第2部分：安全单元 JT/T 1059.5 交通一卡通移动支付

8、技术规范 第5部分：客户端软件 JT/T 1059.6 交通一卡通移动支付技术规范 第6部分：可信服务管理系统 JT/T 1059.8 交通一卡通移动支付技术规范 第8部分：检测项目 DB11/T 159.1 市政交通一卡通系统技术规范 第1部分：总体要求 DB11/T 159.2 市政交通一卡通系统技术规范 第2部分：卡片 DB11/T 159.5 市政交通一卡通系统技术规范 第5部分：安全 3 术语和定义 DB11/T 159.1界定的以及下列术语和定义适用于本文件。3.1 个人化 personalization 安全单元发行者职责的最后流程，通过该流程配置安全单元、装载安全参数和设置密钥

9、。来源：JT/T 1059.82016,3.16 有修改 3.2 移动支付设备 mobile payment device 具有交通一卡通移动支付应用及移动通讯能力的用户设备。来源：JT/T 1059.12016,3.3 有修改 DB11/T 159.42023 2 3.3 安全单元典型交易时间 secure element currently transaction time 完成一次从终端唤醒安全单元应用成功，到终端接收到安全单元返回的最后一条指令的正常消费交易所消耗的安全单元处理时间。3.4 安全单元发行方 secure element issuer 为用户提供安全单元发行服务的主体。来

10、源：JT/T 1059.12016,3.17 4 缩略语 DB11/T 159.1 界定的以及下列缩略语适用于本文件。AID：应用标识符（Application Identifier）APDU：应用协议数据单元（Application Protocol Data Unit）API：应用程序接口（Application Programming Interface）FCI：文件控制信息（File Control Information）MAC：报文验证码（Message Authorization Code）PIX：扩展的专用应用标识符（Proprietary Application Identi

11、fier Extension)PPSE：近距离支付系统环境（Proximity Payment Systems Environment）RID：注册的应用提供商标识（Regied Application Provider Identifier)SCP：安全通道协议（Secure Channel Protocol）SIM：通用用户身份识别模块(Subscriber Identity Module)SSL：安全套接字层(Secure Socket Layer)TLS：传输层安全协议（Transport Layer Security）WTLS：无线传输层安全协议（Wireless Transport

12、 Layer Security）5 移动支付系统组成和功能 5.1 系统组成 市政交通一卡通移动支付系统应由SE、客户端软件、可信服务管理系统组成。以SE为载体，客户端软件为用户入口，依靠安全、可靠的网络，通过统一的数据接口，实现开卡、充值、消费等功能。市政交通一卡通移动支付系统架构见图1。DB11/T 159.42023 3 总中心计算机处理系统移动支付系统可信服务管理系统SP-TSMSE-TSM移动支付设备客户端软件 SESE应用终端 图1 系统架构 5.2 系统功能 5.2.1 安全单元 应能为移动支付各参与方提供SE信息，应能为应用提供方提供辅助安全域管理、移动支付应用下载授权等功能。

13、SE应能负责存储密钥、证书等机密信息，进行密码计算。5.2.2 客户端软件 应能实现移动支付设备与TSM系统的连接，以图文界面方式在支付应用中为用户提供开卡、充值、消费、退卡、迁卡等功能应用。5.2.3 可信服务管理系统 应由SE-TSM和SP-TSM组成。至少实现机构接入、应用注册、SE可信管理、SE开放共享、SE载体管理、多应用管理、应用管理等。6 安全单元 6.1 一般要求 DB11/T 159.42023 4 6.1.1 物理特性 通过移动支付设备内置SE模块模拟非接触式IC卡，其物理特性应符合JT/T 978.5中的相关要求。6.1.2 逻辑结构 SE应包括接触通道和非接触通道，接触

14、通道和非接触通道应具有并发处理能力，且互不影响，SE的逻辑结构见图2。接触通道非接触通道OS预留应用交通应用预留应用硬件底层驱动 图2 SE 逻辑结构 6.1.3 接触通道 SE模块的接口应提供移动支付设备访问SE模块的通路。6.1.4 非接触通道 非接触通道的电气特性和传输协议应符合JT/T 978.5中的相关要求，保证SE与终端的兼容性。6.1.5 硬件方案结构 应符合JT/T 1059.2中的相关要求。6.1.6 供电要求 当移动支付设备处于开机状态，或处于关机状态但电池仍能通过电源管理系统正常提供电源能量时，内置SE模块可使用移动支付设备的电池作为电源能量；当移动支付设备的电池被取下，

15、或电池无法通过电源管理系统正常提供电源能量时，内置SE模块可选择使用非接触芯片从终端的工作场中感应得到的电源能量。在内置SE模块可获得正常工作所需的电源能量的情况下，应能正常执行市政交通一卡通移动支付应用。6.2 多应用管理 应符合 JT/T 1059.2 中的相关要求。6.3 基本命令 应符合 JT/T 1059.2 中的相关要求。6.4 密钥 应符合 JT/T 1059.2 中的相关要求。DB11/T 159.42023 5 6.5 安全通信 SE安全通信应采用SCP02安全通道机制或SCP03安全通道机制，在SECURED状态后，所需的APDU命令的最低安全级别要求见表1。表1 SCP0

16、2/SCP03 APDU 命令的最低安全级别要求 指令 最低安全级别 INITIALIZE UPDATE 无 EXTERNAL AUTHENTICATE C-MAC（01）6.6 应用个人化服务 6.6.1 基本功能 应支持以下两种方式实现个人化服务：a)使用运行时消息流；b)使用安全域访问。6.6.2 运行时消息流 应符合 JT/T 1059.2 中的相关要求。6.6.3 安全域访问 应符合 JT/T 1059.2 中的相关要求。6.7 应用选择服务 应支持以下两种选择方式：a)受理环境选择市政交通一卡通支付应用时，非接触途径应提供 PPSE 选择，并按照 JT/T 978.2中相关 PPS

17、E 选择流程要求，通过 FCI 模板返回应用 AID 列表；b)客户端软件应直接使用 SELECT AID 方式，选择市政交通一卡通支付应用。7 客户端软件 7.1 软件架构 客户端软件运行在移动支付设备操作系统中，通过 SE 对交易敏感信息等加密,并与 TSM 系统建立通信连接，完成缴费相关功能。客户端软件架构包含以下四层：a)支付应用软件层：客户端软件直接面向用户，通过图形化操作界面，为用户提供方便快捷的缴费服务；b)网络协议层：为客户端提供基础的网络协议服务，包括安全通信协议 SSL、TLS、WTLS 等，也可根据客户端需求提供定制化的专用网络协议；c)操作系统层：操作系统层是客户端软件

18、运行的基础平台；d)物理设备层：SE 内部安全域存储密钥、数字证书等机密信息，并为客户端提供交易敏感信息加密处理等安全功能。客户端软件架构见图 3。DB11/T 159.42023 6 操作系统层物理设备层网络协议层支付应用软件层 图3 客户端软件架构 7.2 基本功能 7.2.1 注册 能通过客户端软件向总中心计算机处理系统进行用户注册。7.2.2 开卡 能通过客户端软件向TSM系统发起请求，并实现在移动支付设备SE中创建市政交通一卡通应用。7.2.3 充值 能通过客户端软件向TSM系统发起充值交易。7.2.4 消费 能通过客户端软件在移动支付设备进行缴费交易。7.2.5 退卡 能通过客户端

19、软件向TSM系统发起退卡请求，并完成SE应用的删除，退还余额。7.2.6 迁卡 能通过客户端软件向TSM系统发起迁卡请求，并完成SE应用在移动支付设备SE间转移。7.2.7 默认应用设置 能通过客户端软件对移动支付设备的SE中的默认应用（缴费交易时的默认应用）进行修改设置。7.2.8 信息查询 能通过客户端软件对余额、交易明细等信息进行查询。7.2.9 密码管理 能通过客户端软件对登录密码进行管理。密码管理包括密码修改和密码找回两项功能。7.2.10 版本升级 客户端软件应具备版本在线检测和升级功能。7.3 应用模型 DB11/T 159.42023 7 客户端软件应能以图文界面方式向用户提供

20、缴费和TSM应用管理等功能。应用模型见图4。移动支付设备SEOS客户端软件用户TSM人机交互远程通信APIAPDU 图4 客户端应用模型 7.4 安全要求 7.4.1 人机交互安全 应符合 DB11/T159.5中的相关要求。7.4.2 软件安全 应符合 DB11/T159.5中的相关要求。7.4.3 数据安全 应符合 DB11/T159.5中的相关要求。7.4.4 通信安全 应符合 DB11/T159.5中的相关要求。7.5 管理要求 应符合 JT/T 1059.5中的相关要求。8 可信服务管理系统 8.1 系统组成 应由SE-TSM和SP-TSM组成。8.2 系统功能 可信服务管理系统至少

21、应实现以下功能：a)机构接入：包括 TSM 平台运营方、应用提供方两类机构的接入；DB11/T 159.42023 8 b)应用注册：包括应用审查、应用 AID（包括包 AID、类 AID 和实例 AID）分配；c)SE 可信管理：包括 SE 的注册、SE 信息的获取和传递；d)SE 开放共享：包括应用提供方 SSD 的创建、删除、锁定/解锁、个人化、终止、状态查询、应用操作授权等功能；e)SE 载体管理：包括 SE 的生命周期管理等；f)多应用管理：包括应用提供方管理、辅助安全域的生命周期管理、应用存储与发布、应用管理授权、应用生命周期管理；g)应用管理：包括应用空中下载、充值等。8.3 应

22、用配置管理 8.3.1 基本要求 TSM系统应对应用提供方SSD进行管理，为市政交通一卡通移动支付应用统一分配应用AID(包 AID、类AID和实例AID)，并对应用的注册、测试、暂停、上线发布和下线进行管理。8.3.2 AID 分配原则 AID应由应用提供者标识符(RID)和专有标识符（PIX）构成。TSM系统统一为交通应用或安全域分配唯一的AID。TSM系统对交通应用AID编码规则见表2。表2 应用 AID 编码规则 AID RID PIX 业务/应用编码 保留 序号编码 B1B5 B6-B14 B15 B16 5 字节 9 字节 1 字节 1 字节 注 1：RID：取五个字节常数值（十六

23、进制表示）。注 2：业务/应用编码：9 字节。注 3：保留：保留为将来扩展。注 4：序号编码：0-F。TSM系统对交通支付应用辅助安全域AID编码规则见表3。表3 辅助安全域 AID 编码规则 AID RID PIX 业务/应用编码 保留 序号编码 DB11/T 159.42023 9 表 3 辅助安全域 AID 编码规则（续）AID B1B5 B6-B14 B15 B16 5 字节 9 字节 1 字节 1 字节 注 1：RID：取五个字节常数值（十六进制表示）。注 2：业务/应用编码：9 字节。注 3：保留：保留为将来扩展。注 4：序号编码：0-F。8.3.3 应用注册管理 TSM系统负责对

24、所有市政交通一卡通移动支付应用进行注册管理。应用提供方将应用及其信息向SE-TSM提交注册申请，SE-TSM审核后，为应用分配相关的AID资源信息，应用注册管理应包括如下步骤：a)步骤 1：应用提供方向 SE-TSM 提供应用注册申请信息和相关材料；b)步骤 2：SE-TSM 将市政交通一卡通应用提供方填写的应用注册信息和相关材料信息登记入库；c)步骤 3：SE-TSM 向应用提供方提示操作状态；d)步骤 4：由人工对应用注册信息和相关材料信息进行审核，并为审查合格的应用分配 AID；e)步骤 5：应用提供方上传应用，登记备案。信息审核通过后业务管理员将应用状态更新为审批通过；审批通过的市政交

25、通一卡通应用可以进行调测、上线发布。应用注册管理见图5。132应用提供方SE-TSM54 图5 应用注册管理 8.4 安全单元初始化 8.4.1 基本要求 SSD在第一次下载市政交通一卡通应用时应进行初始化和激活。DB11/T 159.42023 10 SSD负责其下市政交通一卡通应用和安全域的管理操作。SSD的初始化密钥应采用两级分散体系，应用提供方持有一级密钥，通过一级分散后提供给SE发行方，SE发行方持有二级密钥。SE发行方再进行一次分散后预置到SE中的SSD中。8.4.2 初始化 SE初始化应包括如下步骤：a)步骤 1：客户端软件向 SE-TSM 请求获取应用列表；b)步骤 2：SE-

26、TSM 响应应用查询结果；c)步骤 3：客户端软件首先进行判断 SSD 是否创建；d)步骤 4：如果客户端软件判断 SSD 没有创建，则向 SE-TSM 发起 SSD 创建请求；e)步骤 5：SE-TSM 判断 SSD 是否创建；f)步骤 6：若未创建，与客户端软件交互完成 SSD 创建操作(预制 SSD 初始密钥)；g)步骤 7：客户端软件与 SE-TSM 交互完成市政交通一卡通应用下载、安装操作。SE初始化见图6。123客户端/SESE-TSM4675 图6 SE 初始化 8.5 移动支付应用管理 8.5.1 基本功能 TSM系统能通过SSD对应用提供方SSD下的应用进行生命周期管理，包括

27、市政交通一卡通移动支付应用的下载、删除、锁定/解锁、个人化。8.5.2 应用下载 市政交通一卡通移动支付应用下载应包括以下步骤：DB11/T 159.42023 11 a)步骤 1：客户端软件向 SE-TSM 发起应用下载的认证申请操作；b)步骤 2：SE-TSM 将结果响应至客户端软件；c)步骤 3：客户端软件向 SE-TSM 发起应用下载请求；d)步骤 4：SE-TSM 向 SP-TSM 发起应用下载申请；e)步骤 5：SP-TSM 检查是否具备下载应用条件；f)步骤 6：SP-TSM 将是否允许下载结果反馈至 SE-TSM；g)步骤 7：SE-TSM 平台组装应用下载响应指令；h)步骤

28、8：SE-TSM 响应客户端软件下载请求；i)步骤 9：客户端软件向 SE-TSM 发送应用下载结果通知；j)步骤 10：SE-TSM 将应用下载结果同步 SP-TSM 平台。应用下载见图7。1234客户端/SESE-TSMSP-TSM6589710 图7 应用下载 8.5.3 应用删除 应用删除应包含以下步骤：a)步骤 1：客户端软件向 SE-TSM 发起应用删除认证申请操作；b)步骤 2：SE-TSM 处理后，将处理结果响应至客户端软件；c)步骤 3：客户端软件向 SE-TSM 发起应用删除请求操作；d)步骤 4：SE-TSM 向 SP-TSM 发起应用删除申请操作；e)步骤 5：SP-T

29、SM 进行应用是否符合删除条件检查；DB11/T 159.42023 12 f)步骤 6：SP-TSM 将是否具备删除条件的结果响应至 SE-TSM；g)步骤 7：SE-TSM 进行删除指令脚本准备；h)步骤 8：SE-TSM 进行应用删除指令发送；i)步骤 9：客户端软件将应用删除操作结果通知给 SE-TSM；j)步骤 10：SE-TSM 将应用删除操作结果通知给 SP-TSM。应用删除见图8。1234客户端/SESE-TSMSP-TSM6589710 图8 应用删除 8.5.4 应用锁定/解锁 应用锁定/解锁应包括以下步骤：a)步骤 1：客户端软件向 SP-TSM 发起应用锁定/解锁请求操

30、作；b)步骤 2：SP-TSM 组织应用锁定/解锁脚本；c)步骤 3：SP-TSM 发送应用锁定/解锁脚本；d)步骤 4：客户端软件将应用锁定/解锁结果通知 SP-TSM 平台；e)步骤 5：SP-TSM 将应用锁定/解锁结果通知 SE-TSM 平台。应用锁定/解锁见图9。DB11/T 159.42023 13 图9 应用锁定/解锁 8.5.5 应用个人化 应用个人化应包含以下步骤：a)步骤 1：客户端软件向 SP-TSM 发起申请个人化操作；b)步骤 2：SP-TSM 组织个人化脚本；c)步骤 3：SP-TSM 将脚本发往 SE 执行；d)步骤 4：客户端软件将执行结果通知 SP-TSM；e

31、)步骤 5：SP-TSM 将应用个人化状态通知 SE-TSM 平台。应用个人化见图10。图10 应用个人化 8.6 平台安全要求 应符合 DB11/T1059.6 中的相关要求。DB11/T 159.42023 14 9 基本业务 9.1 业务分类 根据移动支付设备应用场景的不同，业务可分为：开卡、充值、消费、退卡和迁卡。其中，电子钱包的具体应用要求应符合JT/T 978.2中的相关要求，交互流程应符合JT/T 978.3中的相关要求。9.2 开卡 用户通过移动支付设备完成SE应用创建的过程，应包括：a)移动支付设备请求 SE-TSM 进行 SE 初始化、应用下载、安装；b)移动支付设备请求

32、SP-TSM 进行 SE 应用个人化；c)SP-TSM 同步开卡交易信息到总中心计算机处理系统，完成卡账户创建。开卡交易模型见图 11。移动支付设备SP-TSM总中心计算机处理系统SE-TSM 图11 开卡交易模型 9.3 充值 用户通过移动支付设备请求TSM完成SE应用充值的过程，应包括：a)移动支付设备向 SP-TSM 平台发起充值请求；b)SP-TSM 向移动支付设备发送充值交易指令；c)SP-TSM 向总中心计算机处理系统发送充值交易数据。充值交易模型见图12。移动支付设备SP-TSM总中心计算机处理系统 图12 充值交易模型 9.4 消费 9.4.1 交易模型 DB11/T 159.

33、42023 15 用户通过移动支付设备与终端交互进行消费，终端在交易完成后将交易通知或文件转发至总中心计算机处理系统进行处理。消费交易模型见图13。移动支付设备终端总中心计算机处理系统 图13 消费交易模型 9.4.2 SE 典型交易时间 正常消费交易时，SE典型交易时间不应超过300ms。9.5 退卡 通过移动支付设备请求TSM平台删除SE应用，并退还余额的过程，应包括：a)移动支付设备向 SP-TSM 发起退卡请求；b)SP-TSM 向移动支付设备发送退卡脚本；c)SP-TSM 通知 SE-TSM 删除应用；d)SE-TSM 向移动支付设备发送删除应用脚本；e)SP-TSM 向总中心计算机

34、系统发送退卡交易数据。退卡交易模型见图14。移动支付设备SP-TSM总中心计算机处理系统SE-TSM 图14 退卡交易模型 9.6 迁卡 9.6.1 基本要求 用户将移动支付设备上的一个SE应用迁移到另一台移动支付设备上的过程，迁移前后SE应用数据应完全一致。迁卡交易可分为迁出、迁入两个部分。9.6.2 迁出 迁出应包括：a)移动支付设备向 SP-TSM 申请迁出；DB11/T 159.42023 16 b)SP-TSM 向移动支付设备发送迁出脚本；c)SP-TSM 通知 SE-TSM 移除移动支付设备中的应用；d)SP-TSM 向总中心计算机处理系统发送迁出交易。迁出交易模型见图15。移动支付设备SP-TSM总中心计算机处理系统SE-TSM 图15 迁出交易模型 9.6.3 迁入 迁入应包括：a)移动支付设备向 SP-TSM 申请迁入；b)SP-TSM 向总中心计算机处理系统申请迁入数据；c)SP-TSM 通知 SE-TSM 下载、安装 SE 应用；d)SP-TSM 向移动支付设备发送迁入脚本；e)SP-TSM 向总中心计算机处理系统发送迁入交易。迁入交易模型见图16。移动支付设备SP-TSM总中心计算机处理系统SE-TSM 图16 迁入交易模型 _