14中国金融移动支付 远程支付应用 第5部分：短信支付技术规范

ICS 35.240.40 A 11 JR 中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T 0093.5—2012 中国金融移动支付 远程支付应用 第 5 部分：短信支付技术 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 China financial mobile payment—Remote payment applications— Part 5: Technical specification for short message service (SMS) payment 2012 - 12 - 12 发布 2012 - 12 - 12 实施 中国人民银行 发 布 JR/T 0093.5—2012 I 目 次 前言 ................................................................................ II  引言 ............................................................................... III  1 范围 .............................................................................. 1  2 技术架构 .......................................................................... 1  3 交易处理 流程 快递问题件怎么处理流程河南自建厂房流程下载关于规范招聘需求审批流程制作流程表下载邮件下载流程设计 ...................................................................... 2  4 交易安全要求 ...................................................................... 6  参考文献 ............................................................................. 8  JR/T 0093.5—2012 II 前 言 《中国金融移动支付 远程支付应用》 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 由以下6部分构成： ——第 1 部分：数据元； ——第 2 部分：交易模型及流程规范； ——第 3 部分：报文结构及要素； ——第 4 部分：文件数据格式规范； ——第 5 部分：短信支付技术规范； ——第 6 部分：基于安全单元（SE）的安全服务技术规范。 本部分为该标准的第5部分。 本部分按照GB/T 1.1-2009给出的规则起草。 本部分由中国人民银行提出。 本部分由全国金融标准化技术委员会（SAC/TC180）归口。 本部分负责起草单位：中国人民银行科技司、中国人民银行金融信息中心、中国金融电子化公司。 本部分参加起草单位：中国工商银行、中国农业银行、中国银行、中国建设银行、中国银联股份有 限公司、交通银行、中信银行、中国邮政储蓄银行、中移电子商务有限公司、支付宝（中国）网络技术 有限公司、深圳市财付通科技有限公司、北京通融通信息技术有限公司、开联通网络技术服务有限公司、 中金国盛认证中心、东信和平智能卡股份有限公司、深圳市新国都技术股份有限公司、大唐微电子技术 有限公司。 本部分主要起草人：李晓枫、陆书春、潘润红、姜云兵、杜宁、李兴锋、刘力慷、曲维民、刘运、 史大鹏、雷斌、李春欢、杨帅、唐邦富、李竹、延冰、刘宁锋、仇哲、庞杰、张永成、甄旭、王庆、张 礼文、郝静华、廖宗俐、邓苏军、陈耔宇、王永吉、赵如愿、张彦杰。 JR/T 0093.5—2012 III 引 言 短信支付是最早出现的一种移动支付模式，在智能手机大规模普及之前，由于非智能手机仍以文本 短信为主，因此采用了预先建立手机号和支付账户绑定关系，然后基于文本短信进行支付的方式。 本部分主要对短信支付的交易流程、安全要求进行了规定，由于目前商业银行和支付机构开展的短 信支付业务种类较多，本部分主要对通用、核心的交易进行了规定，提出了通用的安全要求，个性化的 增值业务不在本部分中规定。 JR/T 0093.5—2012 1 中国金融移动支付 远程支付应用 第 5部分：短信支付技术规范 1 范围 本部分规定了基于短信交互的远程支付交易处理流程和交易安全要求，涉及的内容包括委托、查询、 消费等类别的交易处理流程及其异常处理，以及由此涉及的有关用户身份、敏感数据等方面的交易安全 要求。 本部分适用于短信支付参与方进行短信支付的交易流程及安全的设计。 2 技术架构 短信支付是用户通过移动终端发送短信实现支付的行为，属于远程支付方式中的一种。在支付交易 过程中，包含支付信息的短信从用户的移动终端发送到信息处理中心，通过识别、审核和交换后，支付 信息被发送到远程支付系统，进入金融支付系统并完成相关业务。 图1 短信支付业务技术架构图 短信支付业务技术架构如图 1，包括如下组成部分： ——账户管理系统，指具有发卡资质的移动支付交易网络入网机构的系统，对用户（移动终端持有 者）的账户进行管理； ——远程支付系统，在基于短信交互的移动支付业务系统中，进行交易处理，建立用户委托 资料 新概念英语资料下载李居明饿命改运学pdf成本会计期末资料社会工作导论资料工程结算所需资料清单 库， 包括交易接入、交易转接、交易清算等系统功能； ——短信处理平台，指主要由移动运营商建立和管理的网关，依约定的格式，在移动终端和远程支 付系统之间进行短信转发。短信处理平台对业务流程无影响，在本部分后续业务流程图极其流 程描述中，均略去该组成部分； ——支付内容平台，在短信交互支付业务中特指为持卡人提供公用事业等商品和服务的商户； ——用户，与移动终端交互发起交易请求，接收远程支付系统反馈的交易回复，在本部分的交易处 理流程中，用户并不直接影响交易处理过程； ——移动终端，一般为手机，利用短信发起非委托类的交易。 本部分将移动终端通过移动互联网发起交易的方式与通过短信发起交易的方式进行了区分，作为两 种不同的渠道进行描述。 JR/T 0093.5—2012 2 3 交易处理流程 3.1 委托类交易 3.1.1 建立委托关系 3.1.1.1 交易介绍 基于短信模式的远程支付是以委托方与受托方之间建立了签约及绑定关系为基础的。 建立委托关系交易是由用户通过特定的委托方式主动发起的，用于将本人名下的支付工具号与特定 的支付终端号及用户号码之间建立绑定关系；在约定的条件范围内，受托方可以凭此绑定关系，按照约 定的委托内容，协助或代替委托方完成消费或其它支付结算服务。 远程支付系统将建立用户委托资料库，用于保存和用户委托资料的核对；基于委托开展相关业务的 支付内容平台应当保存与各自业务相关的用户资料。当远程支付系统和支付内容平台的委托信息出现不 一致时，在未得到同步处理之前，以远程支付系统保存的用户委托信息为准。 用户可以在现场受理点办理，也可以通过互联网渠道在线注册办理。 本交易不参与对账，不引发冲正。 3.1.1.2 正常流程 建立委托关系模型如图2： 图2 建立委托关系模型 步骤1：用户将建立委托关系请求发送给远程支付系统； 步骤2：远程支付系统接收建立委托关系请求处理后发送给账户管理系统； 步骤3：建立委托关系，分两类情况进行处理： ——账户管理系统应检查持卡人身份、账户有效性等关键信息，审核通过后发送应答给远程支付系 统； ——如果账户管理系统审核未通过审核或者返回应答出错（例如应答超时或者应答 MAC 校验出错）， 则拒绝该交易； 步骤4：远程支付系统根据支付内容平台参数信息判断是否需要支付内容平台确认： ——在需要的情况下，远程支付系统将建立委托关系请求转发给支付内容平台； ——若无需转发则直接进行第 6 步； 步骤5：支付内容平台将建立委托关系应答请求发送给远程支付系统； JR/T 0093.5—2012 3 步骤6：远程支付系统将应答消息发送给用户，返回建立委托关系的结果，如果该委托为非定向委 托，需要发送支付密码； 步骤7：远程支付系统将交易结果以短信形式发送给移动终端（此项为可选步骤，无固定要求）。 3.1.1.3 异常处理 远程支付系统在超时未收到应答时，返回用户交易失败，关闭连接。 3.1.2 撤销委托关系 3.1.2.1 交易介绍 撤销委托关系是对建立委托关系的反向操作，用于撤销或解除用户名下的支付工具号与特定的支付 终端、用户号码之间的绑定关系。 用户可以在现场受理点办理，也可以通过互联网渠道在线注册办理。 本交易不参与对账，不引发冲正。 3.1.2.2 正常流程 撤销委托关系模型如图 3： 图3 撤销委托关系模型 步骤1：用户将撤销委托关系请求发送给远程支付系统；远程支付系统应检查委托关系是否存在， 分两类情况进行处理： ——如果存在，进行第 2 步； ——如果不存在，则直接进行第 6 步，返回交易失败或拒绝交易的结果； 步骤2：远程支付系统将撤销委托关系请求发送给账户管理系统； 步骤3：账户管理系统向远程支付系统返回交易应答，分两类情况进行处理： ——账户管理系统应检查持卡人身份、账户有效性等关键信息，审核通过后发送应答给远程支付系 统； ——如果账户管理系统审核未通过审核或者返回应答出错（例如应答超时或者应答 MAC 校验出错）， 则拒绝该交易； 步骤4:远程支付系统根据支付内容平台参数信息判断是否需要支付内容平台确认：在需要的情况 下，远程支付系统将撤销委托关系请求转发给支付内容平台；若无需转发则直接进行第6步； 步骤5：支付内容平台将撤销委托关系应答消息发送给远程支付系统； 步骤6：远程支付系统将应答消息转发给用户，返回撤销委托关系的结果； JR/T 0093.5—2012 4 步骤7：远程支付系统将交易结果以短信形式发送给移动终端（此项为可选步骤，无固定要求）。 3.1.2.3 异常处理 见本部分的建立委托关系异常处理。 3.2 消费类交易 3.2.1 消费交易 3.2.1.1 交易介绍 消费交易是指持卡人从移动终端通过短信发起消费请求指令来完成交易。 本交易可引发冲正，需要参加清算对账。 3.2.1.2 正常流程 3.2.1.2.1 交易模型 消费模型如图4： 图4 消费交易模型 交互流程如下： 步骤1：用户通过移动终端发送消费短信到远程支付系统； 步骤2：远程支付系统登记处理后，转发给账户管理系统； 步骤3：账户管理系统验证信息后处理消费，将消费结果应答； 步骤4：远程支付系统根据业务需要选择是否通知支付内容平台进行销账，如果需要，则远程支付 系统向支付内容平台发送销账通知，支付内容平台返回销账应答；如果不需要，则远程支付系统直接向 移动终端发送应答短信； 步骤5：销账处理完毕并通知远程支付系统； 步骤6：远程支付系统转发应答短信通知用户。 3.2.1.2.2 信息交互过程 消费流程如图5： JR/T 0093.5—2012 5 图5 消费交易流程 步骤1：用户通过移动终端将消费交易请求或交易确认回执以短信形式发送给远程支付系统； 步骤2：远程支付系统将交易请求转发给账户管理系统； 步骤3：账户管理系统向远程支付系统返回交易应答，分三类情况进行处理： ——账户管理系统应检查持卡人身份、账户有效性等关键信息，审核通过后返回账户处理结果应答 给远程支付系统； ——如果账户管理系统审核未通过审核或者返回应答出错（例如应答超时或者应答 MAC 校验出错）， 则拒绝该交易； ——账户管理系统必须确认持卡人账户中有足够的金额，如果少于应支付金额，则拒绝该交易； 步骤4：远程支付系统根据支付内容平台中的商户信息判断是否发送支付内容平台进行销账，如果 需要，则向行业商户发送消费交易请求，否则直接进入步骤6； 步骤5：支付内容平台对指定账户进行销账，并返回消费交易应答； 步骤6：远程支付系统将应答转发送给移动终端，如果需要可增加以短信形式发送的提示信息。 3.2.1.3 异常处理 移动终端和远程支付系统在超时未收到应答时，由远程支付系统向账户管理系统或支付内容平台发 起冲正请求，并将结果以短信通知用户，或者采用人工差错处理。 远程支付系统应正确处理过期或重复发送的短信支付指令，避免过期支付或重复扣款的发生。 3.3 查询类交易 3.3.1 查询交易 3.3.1.1 交易介绍 查询交易是指持卡人从移动终端通过短信发起查询请求指令来完成交易。 3.3.1.2 正常流程 3.3.1.2.1 交易模型 查询模型如图6： JR/T 0093.5—2012 6 图6 查询交易模型 交互流程如下： 步骤1：用户通过移动终端向远程支付系统发起查询短信； 步骤2：远程支付系统向账户管理系统转发查询短信； 步骤3：账户管理系统将查询结果返回给远程支付系统； 步骤4：远程支付系统将查询结果返回给移动终端。 3.3.1.2.2 信息交互过程 查询流程如图7： 移动终端 账户管理系统远程支付系统 2.查询余额请求 3.查询余额应答 4.转发应答短信 1.发起查询短信 图7 查询交易流程 步骤1：用户通过移动终端将查询交易请求以短信形式发送给远程支付系统； 步骤2：远程支付系统将查询交易请求转发给账户管理系统； 步骤3：账户管理系统处理查询请求，组装查询结果报文，向远程支付系统应答账户查询结果； 步骤4：远程支付系统以短信形式向移动终端返回查询结果。 3.3.1.3 异常处理 远程支付系统在超时未收到应答时，返回用户交易失败。 4 交易安全要求 4.1 短信处理要求 对短信传输和处理的要求如下： ——短信传输应采用健壮的通信传输 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 ，保证传输可靠性； ——短信文本信息采用明文传输，不能在一条短信中同时出现银行卡号、银行卡密码等敏感数据； ——对数据存储区域的访问要实施控制，保证信息安全； JR/T 0093.5—2012 7 ——短信处理平台与远程支付系统之间，应采用安全通道（如专线、VPN 或同级别的安全协议如 HTTPS）进行通信，保证机密性； ——短信处理平台与远程支付系统之间的报文宜采用报文鉴别码或数字签名，防止报文被篡改，实 现报文的一致性和完整性。 4.2 用户安全认证 4.2.1 委托关系相关验证 在委托类交易中，需要在建立、撤销、变更委托关系时进行鉴别，鉴别手段可以包括手机号码有效 性验证、银行卡有效性验证、用户身份真实性验证等，根据业务需要还可增加电子邮箱验证等其他辅助 验证环节。 4.2.1.1 手机号码有效性验证 对手机号码有效性的验证包括但不限于以下方式： ——在进行委托类交易时，可以对移动终端下发认证请求，用户以短信回复的形式完成对手机号码 有效性的验证； ——在移动运营商网点办理，可以基于移动运营商的手机实名制，确认用户对手机号码持有的有效 性。 4.2.1.2 账户有效性验证 按照不同的账户性质，对账户有效性的验证方式主要可以分为两类： ——对于银行卡账户，在办理委托类交易时，需要提供银行卡和银行卡密码，确认用户持有银行卡 的有效性； ——对于第三方支付机构的中间账户，可以通过账户名和账户密码验证等方式，确认用户持有账户 的有效性。 4.2.1.3 用户身份真实性验证 对用户身份真实性的验证包括但不限于以下方式： ——对于以柜面为代表的现场委托类交易受理，需要用户出示必要的身份证明，以保证用户身份的 真实性； ——对于互联网和移动互联网发起的委托类交易，可以采用输入（验证）身份证明号码等认证要素 的方式。 4.3 委托关系管理 委托关系管理，指的是用户可以向业务运营方发起委托关系人工管理的申请，具体功能可以包括对 委托关系的挂失、解挂、撤销等。业务运营方需要进行用户身份安全认证，认证通过后可对委托关系进 行相应管理。 4.4 风险提示 在短信支付业务中，系统无法对移动终端内的短信进行控制，因此具有短信暂存风险。在实际交易 过程中，需要提示用户及时删除相关短信，防止向外误发和被他人窥视。 JR/T 0093.5—2012 8 参 考 文 献 [1] JR/T 0025 中国金融集成电路（IC）卡规范 [2] JR/T 0055-2009 银行卡联网联合技术规范 [3] JR/T 0093.1-2012 中国金融移动支付 应用基础 第1部分：术语 _________________________________