JT_T 1059.6-2016交通一卡通移动支付技术规范 第6部分：可信服务管理系统.pdf

ICS 03.220.20 ;35.240.15R 85JT备案号：中华人民共和国交通运输行业标准JT/T 1059—2016交通一卡通移动支付技术规范Technical specification for mobile payment of transport card2016-04-08发布2016-07-01实施中华人民共和国交通运输部发布 JT/T 1059—2016总目次交通一卡通移动支付技术规范第1部分：总则1交通一卡通移动支付技术规范第2部分：安全单元.13交通一卡通移动支付技术规范第3部分：近场支付.交通一卡通移动支付技术规范第4部分：远程支付51交通一卡通移动支付技术规范第5部分：客户端软件 61交通一卡通移动支付技术规范第6部分：可信服务管理系统77交通一卡通移动支付技术规范第7部分：终端设备125交通一卡通移动支付技术规范第8部分：检测项目139 JT/T 1059.6—2016TSD-交通一卡通安全域(Transport SecurityDomain)TSM-可信服务管理（Trusted ServiceManagement）3DES三重数据加密算法(Triple Data Encryption Algorithm）5系统组成及基本要求5.1系统组成交通一卡通移动支付可信服务管理系统由T-MTPS平台、SEI-TSM平台和SP-TSM平台三个平台共同组成，如图1所示。SEITSM平台SEITSM平台运营商SEI-TSMA市一卡通SP-TSM全终端SEI-TSMTMTPS平台B市—卡通SP-TSM其他SEITSMX市一卡通SP-TSM客户端SE图1系统结构图5.2基本要求5.2.1T-MTPS平台概述T-MTPS平台是交通一卡通移动支付参与各方认可的可信第三方平台。T-MTPS平台主要面向TSM平台运营方、SE发行方、应用提供方、服务提供方和用户，负责连接SEI-TSM平台和SP-TSM平台，实现平台之间的资源共享。T-MTPS平台应提供跨系统交互路由、应用共享、SE可信及开放共享四项服务，实现跨系统间的交易数据、用户数据、应用数据等信息数据的传递。平台内实体间关系及其功能.1平台内实体间关系密钥管理系统和CA系统作为T-MTPS平台支持系统，应实现对T-MTPS平台业务功能的支持，85 JT/T 1059.6—2016T-MTPS平台间关系如图2所示。CA系统密钥管理系统T-MTPS平台图2T-MTPS平台内实体间关系图.2T-MTPS平台功能T-MTPS应具各如下功能：a)机构接入管理；b)应用信息配置管理；e)应用盘本信息配置管理；d）SE初始化；(a应用提供方SSD管理：f）交通一卡通移动支付应用管理。.3CA系统功能CA系统应具备如下功能：a）证书申请；b）证书验证；e)证书更新。.4密钥管理系统功能密钥管理系统应具备如下功能：a)密钥申请：b)SCP02会话密钥生成；c)密钥更新；d)数据转加密：e)3DES加密、解密运算。5.2.2SEI-TSM平台SEI-TSM应负责管理SE载体与多应用管理。其中，SE载体管理包括SE的生命周期管理；多应用管理包括应用提供方管理、辅助安全域的生命周期管理、应用存储与发布、应用管理投权和应用生命周期管理。本部分不对SEI-TSM平台的结构进行规定，但SEI-TSM与T-MTPS平台对接流程应符合本部分要求。5.2.3SP-TSM平台SP-TSM应负责提供对本机构自有应用进行管理的服务，确保自有应用能进行空中下载、圈存等功能需求。本部分不对SP-TSM的平台结构进行规定，但SP-TSM与T-MTPS平台对接流程应符合本部分要求。86 JT/T 1059.6—20166安全要求6.1T-MTPS平台安全要求6.1.1SE应用下载基本要求在委托管理模式下应采用令牌机制进行应用下载审核。根据不同的应用下载方式，令牌主要包括用户应用的加载令牌（Load Token）、应用的安装令牌（InstallToken）以及应用的迁移令牌（ExtraditionToken)。用于进行Token计算的密钥算法为SM2、SM3、RSA，SHA-256。Token 计算.1Load Token 计算LoadToken是向卡发行者提供将应用代码装载到特定安全域的证明，计算流程如图3所示。INSTALLP1,PSLCLen,执行安全域AID文件HASELen.Load_Len,LoadLen,Load(for load)文件AID参数Losd TokenTOKEN计算图全球控方私制/围3Load Token计算输入结构产生Load Token应遵循以下要求：a)加载文件HASH应包含在签名当中；b)Load包AID、安全域AID应包含在签名当中；(aLoadToken应由具备令牌验证