中國移動手機支付企標培訓--04 總體技術要求（總冊）

手機支付業(yè)務總體技術要求培訓 （總冊及遠程支付部分） 中國移動通信集團公司 2009年 5月 中國移動手機支付業(yè)務 1.0系列規(guī)范培訓 2/11 規(guī)范概述 范圍：本規(guī)范從系統(tǒng)建設的角度定義了手機支付系統(tǒng)建設實施的技術要求，是手機支付業(yè)務業(yè)務建設需要遵循的技術綱領性文件，依據總體技術要求，需要制定更詳細的具體技術規(guī)范，如設備規(guī)范、接口規(guī)范等。 讀者：本規(guī)范適合業(yè)務人員、運營管理人員、技術人員及技術合作伙伴參考。 規(guī)范名稱： 中國移動手機支付業(yè)務總體技術要求 -總冊及遠程支付部分 V1.0 企業(yè)標準號： QB-D-012-2009 3/11 規(guī)范目錄 1 范圍 2 規(guī)范性引用文件 3 術語、定義和縮略語 4 業(yè)務概述 5 系統(tǒng)結構 6 組網要求 7 碼號要求 8 與遠程支付相關的流程 -管理類流程 9 與遠程支付相關的流程 -交易類流程 10 對賬、清分和結算流程 11 沖正機制的要求 12 設備要求 13 移動終端要求 14 SIM卡要求 15 接口要求 16 計費與結算 17 網管要求 18 系統(tǒng)性能要求 19 系統(tǒng)數據管理要求 20 系統(tǒng)安全要求 21 系統(tǒng)備份與恢復 4/11 系統(tǒng)架構與組網 主要技術流程 系統(tǒng)安全設計 目錄 系統(tǒng)實施建設的要求 /42技術研發(fā)背景介紹 5/11 手機支付系統(tǒng)組成示意 金融系統(tǒng) 遠程支付 現場支付 安 全 保 障 體 系 客戶 網絡商戶 NFC 手機支付服務系統(tǒng) 發(fā)卡系統(tǒng) 收單系統(tǒng) POS商戶 6/11 現場支付的引入，需要解決一些關鍵的技術問題 1 RFID技術與 SIM卡以及終端技術的融合方案 2 動態(tài)多應用管理 3 安全體系 現場支付： 1、沒有成熟的系統(tǒng)和成熟的標準可借鑒 2、終端、卡方案眾多，需評估、測試、優(yōu)化 3、 國內外均沒有廠家可以提供成型的產品 7/11 應用控制 /操作系統(tǒng) 應用及安全數據非接觸通信模塊SIM卡 全卡方案 應用控制 /操作系統(tǒng) 應用及安全數據非接觸通信模塊SIM卡 全終端方案 RFID與移動終端結合的主要方案 應用及安全數據 非接觸通信模塊 負責非接觸通信 應用邏輯處理及存儲安全數據 應用控制 /操作系統(tǒng) 應用及安全數據非接觸通信模塊SIM卡 終端 /卡協(xié)作方案 8/11 全卡和終端 /卡協(xié)作方案為研發(fā)重點 非接觸通信模塊、應用及安全數據集成在 SIM卡上 天線與 SIM卡直接相連 全卡方案 非接觸通信模塊、應用及安全數據集成在終端上 天線集成在終端中 全終端方案 終端 /卡協(xié)作方案 SWP方案 應用及安全數據集成在 SIM卡上 非接觸通信模塊集成在終端上 天線集成在終端上 終端天線方案 非接觸通信模塊、應用及安全數據集成在 SIM卡上 天線集成在終端后蓋上，與 SIM卡通過觸點相連 工作頻率：13.56MHz， 433MHz，2.4GHz 13.56MHz 9/11 用戶卡現狀與發(fā)展 速 度 的 提 高 存儲能力的提高通話 鑒權 短信 電話薄 個人信息 STK業(yè)務 航班信息 天氣預報 超級號簿 移動夢網 中國移動 OTA業(yè)務 菜單下載 /刪除 文件管理 遠程業(yè)務更新 SIM現狀 金融、交通 娛樂票務 傳媒、醫(yī)療 農業(yè)、政務、物流 多行業(yè)應用 要求 SIM卡： 靈活性 安全性 高速率 大容量 后向兼容性 10/11 支持多種跨行業(yè)應用 不是多應用的簡單疊加 開放式的卡平臺構架 Sim卡操作系統(tǒng) / 虛擬機 應用 1 應用 1 金融行業(yè) 應用 3 應用 2 中國移動 自有應用 應用 2 應用 3 應用 1 應用 2 應用 3 應用 1 應用 2 應用 3 交通行業(yè) 其他行業(yè) SIM卡 11/11 手機支付系統(tǒng)安全體系模型 借鑒金融系統(tǒng)的安全設計理念 綜合運用對稱密鑰和 PKI技術，實現：機密性、完整性、不可否認性 12/11 規(guī)范制定的思路 技術開發(fā)文檔 原型系統(tǒng)開發(fā) 指導開發(fā) 問題反饋 確定業(yè)務需求 手機支付業(yè)務系列規(guī)范 端到端手機支付系統(tǒng) 13/11 手機支付原型系統(tǒng)的研發(fā) 從 2007年 12月到 2008年 6月，由研究院牽頭組織近20家廠家進行原型系統(tǒng)的開發(fā)。 原型系統(tǒng)側重驗證與現場支付端到端技術方案的可行性 現場支付完整業(yè)務流程的驗證 支持 RF功能 SIM卡的開發(fā) 支持現場支付功能的 POS機具的開發(fā) 安全技術方案的設計與實現 SIM卡多應用管理平臺的設計與實現 原型系統(tǒng)按照軟件開發(fā)管理流程進行，開發(fā)技術文檔 61本，測試用例 3000多項，申請技術專利 20多項 14/11 系統(tǒng)架構與組網 主要技術流程 系統(tǒng)安全設計 目錄 系統(tǒng)實施建設的要求 42技術研發(fā)背景介紹 15/11 系統(tǒng)結構 賬 戶模 塊前 置 模 塊支 付 處 理模 塊支 付 管 理模 塊金 融 機 構系 統(tǒng)商 戶 系 統(tǒng)P M SP O S PS C P一 級B O S SB O S S業(yè) 務 平 臺P O SS I MS I M 卡 應 用 管理 模 塊O T A 模 塊卡 管 模 塊客 戶 端 /移 動 終 端I F 0I F 3I F 2I F 4I F 5I F 6I F 8I F 9I F 1 0I F 1 1I F 1 2I F 1 4I F 1 5I F 1 6I F 1 7I F 1 9I F 2 2I F 2 3I F 2 4I F 2 5I F 2 6I F 7I F 2 1I F 1 8P S A MI F 1 3支 付 清 算模 塊I F 1I F 2 0P A R T 2網 管I F 2 7手 機 支 付二 線 客 服I F 2 8核心處理部分，實現賬戶管理，支付交易的處理以及 POS收單處理 終端部分 虛擬卡發(fā)卡部分 商戶及外圍支撐服務系統(tǒng) 手機支付服務平臺 賬戶平臺 POS服務平臺 POS終端 16/11 組網原則 前 置 模 塊支 付 處 理模 塊帳 戶 平 臺支 付 管 理模 塊C - S I M 卡 應 用管 理 平 臺C - O T A 平 臺卡 管 平 臺L - 手 機 支 付 服 務平 臺L - O T A 平 臺集 團 中 心 平 臺省 手 機 支 付 業(yè) 務 及 管 理 平 臺商 戶本 地 業(yè) 務平 臺地 方 銀 行 /銀 聯(lián) 分 行B O S SP O S 機S C P銀 行 總 行 /銀 聯(lián) 總 行網 銀一 級 B O S S全 網 商 戶P O S 機手 機 錢 包支 付 清 算模 塊C - 手 機 支 付 服 務 平 臺L - P O S 服 務 平 臺P M S P O S PC - P O S 服 務 平 臺P M S P O S P全 網 業(yè) 務平 臺L - S I M 卡 應 用管 理 平 臺手 機 支 付二 線 客 服系 統(tǒng)網 管 系 統(tǒng)S I M 卡 多 應 用 接入 管 理 平 臺1. 負責本地業(yè)務平臺、本地商戶系統(tǒng)的接入； 2. 負責本省 POS的接入和管理； 3. 負責本省商戶的管理； 4. 提供交易轉發(fā)功能 。 手機支付業(yè)務系統(tǒng)是一個準金融系統(tǒng)，系統(tǒng)的穩(wěn)定性、數據的一致性和安全性是很重要的。參考目前銀行系統(tǒng)的發(fā)展建設趨勢，結合中國移動的組織架構特性和增值業(yè)務管理和建設的經驗，提出了現有的兩級組網架構，即：集團中心平臺和省業(yè)務及管理平臺。 采用該種組網方式，一方面通過對賬戶數據的集中管理，可以提高支付的效率，減少數據的不一致性，提高數據的安全性以及系統(tǒng)的可維護性；另一方面又便于拓展用戶和業(yè)務。 1. 負責手機支付業(yè)務系統(tǒng)賬戶的集中管理、統(tǒng)一支付處理和支付管理； 2. 提供集中清算和結算的功能； 3. 負責全網業(yè)務平臺、現有手機錢包平臺、全網商戶系統(tǒng)、一級 BOSS、銀行總行、銀聯(lián)總部、銀行網銀以及SCP的接入； 4. 查看和監(jiān)控所有中國移動自行布放的POS終端的運行狀態(tài)信息、交易信息以及相關的統(tǒng)計報表； 5. 對于沒有建設省平臺的省份，全國中心平臺承擔虛擬省功能，實現省平臺的所有功能。 17/11 組網結構 防 火 墻G P R SS M S 中 心W A P G WG S MI S M GCMNET集 團 中 心 平 臺省 平 臺 n一 級 B O S S 省 B O S S 省 B O S S中 國 銀 聯(lián) 總 部商 業(yè) 銀 行 總 行商 戶 / 業(yè) 務 平 臺銀 聯(lián) 分 公 司商 戶 / 業(yè) 務 平 臺商 業(yè) 銀 行 分 行手 機 支 付 業(yè) 務 系 統(tǒng)專網/I n te r ne t. . .防 火 墻防 火 墻防 火 墻C MN E T省 平 臺 1網 銀專 線G P R SG G S N用 戶P O SS C P手 機 支 付 業(yè) 務二 線 客 服 系 統(tǒng)網 管 系 統(tǒng)18/11 充值卡充值網絡結構 M S C其 它 省全 國 手 機 支 付 平 臺所 在 省 特 定 G M S C全 國 手 機 支付 充 值 S C PN O . 7 信 令 網前 臺 ： 手 機 支付 服 務 平 臺后 臺 ： 手 機 支 付賬 戶 平 臺全 國 手 機 支 付平 臺 所 在 省匯 接 網M S C全 國 手 機 支 付 充 值平 臺 所 在 省 B O S S其 它 省 B O S S全 國 B O S S手 機 支 付賬 戶 平 臺全網統(tǒng)一接入號： 1380013700 19/11 手機支付系統(tǒng) POS服務系統(tǒng)組網 中心手機支付服務平臺 中央 POS服務平臺 省 POS服務平臺 POS機 POS機 POS機 POS機 POS機 POS機 省 1 省 2 省 3 組網說明： 1、對于沒有建設本省 POS服務平臺的省， POS機通過GPRS網絡接入中央 POS服務平臺； 2、對于建設了本省 POS服務平臺的省， POS機通過 GPRS網絡接入本省的 POS服務平臺 全國中心（湖南） 統(tǒng)一 APN： cmpay 20/11 省 1情況下網絡路由方式 SGSN GGSN 省 POS服務平臺 省 DNS POS POS POS 配置 CMPAY的解析規(guī)則，指向本省的某個 GGSN 1 2 3 4 分配私網地址 GRE隧道 公網 /私網地址 路由說明： 在本省有 POS服務平臺的情況下，在省內的 DNS配置APN路由，直接指向省內的某個 GGSN 21/11 省 2、 3情況下網絡路由方式 SGSN 全國 GGSN 中央 POS服務平臺 省 DNS POS POS POS 不配置 CMPAY的解析規(guī)則 1 4 5 6 分配私網地址 GRE隧道 公網 /私網地址 路由說明： 在本省沒有 POS服務平臺的情況下，在省內的 DNS配置指向根 DNS的路由，根 DNS配置指向全國 4個根GGSN的路由 根 DNS 2 3 配置 CMPAY的解析規(guī)則，指向全國的 GGSN 22/11 省平臺建設模式 模式 A：采用手機支付中央平臺提供的虛擬省功能，各省采用遠程終端訪問中央平臺進行日常運營管理及系統(tǒng)維護工作 模式 B ：根據集團發(fā)布的 “ 省手機支付業(yè)務和管理平臺 ” 的規(guī)范自建省平臺，同時建設省支付服務平臺和 POS服務平臺 模式 C：建設省支付服務平臺，商戶 POS交易通過中心 POS服務平臺完成 前 置 模 塊支 付 處 理模 塊帳 戶 平 臺支 付 管 理模 塊（ 中 心 提 供 ）虛 擬 省 平 臺集 團 中 心 平 臺 （ 全 國 手 機 支 付 賬戶 平 臺 ）A 方 案A 省 商 戶A 省 本 地業(yè) 務 平 臺S C P銀 行 總 行 /銀 聯(lián) 總 行網 銀一 級 B O S S全 網 商 戶手 機 錢 包支 付 清 算模 塊C - 手 機 支 付 服 務 平 臺C - P O S 服 務 平 臺P M S P O S P全 網 業(yè) 務平 臺手 機 支 付二 線 客 服系 統(tǒng)網 管 系 統(tǒng)遠 程 管 理 終 端（ 完 整 中 心 平 臺 功能 ）A 省 - P O S 機省 支 付 服 務 平 臺B 方 案B 省 商 戶本 地 業(yè) 務平 臺省 B O S S省 P O S 服 務 平 臺P M S P O S PB 省 - P O S 機C 省 - P O S 機C 方 案23/11 系統(tǒng)架構與組網 主要技術流程 系統(tǒng)安全設計 目錄 系統(tǒng)實施建設的要求 42技術研發(fā)背景介紹 24/11 流程列表 1. 開戶 2. 銷戶 3. 弱實名升級到實名流程 4. 支付密碼修改流程 5. 支付密碼重置流程 6. 登錄密碼修改流程 7. 登錄密碼重置流程 8. STK菜單密碼的重置 /解鎖 9. 余額處理流程 10.自動補交 BOSS欠費流程 1. 銷號處理流程 2. 停機處理流程 3. 用戶過戶處理流程 4. 用戶手機掛失流程 5. 用戶手機解掛流程 6. 用戶換卡流程 7. 用戶補卡流程 1. 充值 2. 充值銀行卡綁定 /解除 3. 手機支付賬戶間的轉賬 4. 提現流程 5. 直接支付流程 6. 預授權支付流程 7. 退款交易流程 8. 手機支付賬戶余額查詢流程 9. 手機支付賬戶交易明細查詢流程 10.WWW網站登錄流程 25/11 開戶流程 用戶通過 SMS、STK或 WWW方式進行開戶 用 戶帳 戶 平 臺1 a 發(fā) 送 短 信 開 戶 指 令 鑒 權 請 求 . 用 戶 賬 戶 開 戶 響 應用 戶 開 戶 有 效 性 驗 證一 級 B O S S2 3 下 行 短 信 ， 通 知 用 戶 開 戶 結 果省 B O S S開 戶 處 理支 付 處 理 模 塊前 置 模 塊 轉 發(fā) 開 戶 指 令 開 戶 結 果 通 知 用 戶支 付 管 理 模 塊 . 用 戶 賬 戶 開 戶 請 求 鑒 權 響 應 用 戶 信 息 查 詢 請 求查 詢 處 理 用 戶 資 料 補 全 請 求 . 提 示 用 戶 短 信 上 行 姓 名 、 證 件 號 . 用 戶 通 過 短 信 上 行 姓 名 、 證 件 號 . 用 戶 資 料 補 全 響 應C - 手 機 支 付 服 務 平 臺 查 詢 響 應 ， 返 回 用 戶 資 料 （ 可 選 ） 訂 購 關 系 生 成 請 求用 戶 訂 購 關 系 生 成 處 理 訂 購 關 系 生 成 響 應 轉 發(fā) 用 戶 資 料用 戶 資 料 處 理 響 應 B O S S 訂 購 關 系 生 成 請 求產 生 訂 購 關 系 B O S S 訂 購 關 系 生 成 響 應 . 用 戶 資 料 處 理 請 求用 戶 資 料 處 理 . 用 戶 資 料 處 理 響 應1 b 用 戶 登 錄 W W W ， 發(fā) 起 開 戶 請 求S M S 動 態(tài) 口 令 提 示用 戶 在 網 站 頁 面 輸 入 動 態(tài) 碼動 態(tài) 碼 校 驗 通 知 用 戶 開 戶 結 果動 態(tài) 口 令 申 請動 態(tài) 口 令 申 請生 成 動 態(tài) 口 令返 回 動 態(tài) 口 令返 回 動 態(tài) 口 令動 態(tài) 口 令 驗 證 請 求動 態(tài) 口 令 驗 證 請 求返 回 口 令 驗 證 響 應返 回 口 令 驗 證 響 應26/11 銷戶流程 用 戶帳 戶 平 臺1 a 發(fā) 送 短 信 銷 戶 指 令7 . 銷 戶 鑒 權 請 求用 戶 銷 戶 有 效 性 驗 證一 級 B O S S省 B O S S支 付 處 理 模 塊前 置 模 塊支 付 管 理 模 塊8 . 銷 戶 鑒 權 響 應C - 手 機 支 付 服 務 平 臺9 . 賬 戶 銷 戶 請 求1 0 . 賬 戶 銷 戶 響 應1 3 . B O S S 訂 購 關 系 取 消 請 求1 4 . B O S S 訂 購 關 系 取 消 響 應1 1 . 訂 購 關 系 取 消 請 求1 2 . 訂 購 關 系 取 消 響 應1 5 . 用 戶 銷 戶 請 求 響 應銷 戶 處 理訂 購 關 系 取 消1 b 用 戶 登 錄 W W W 網 站 ， 選 擇 銷 戶 操 作2 . 轉 發(fā) 銷 戶 請 求3 . 銷 戶 確 認4 . 確 認 請 求 ( S M S )5 . 用 戶 S M S 確 認 6 . 用 戶 確 認 響 應B O S S 訂 購 關 系 處 理1 6 . 用 戶 銷 戶 請 求 響 應用戶通過 SMS、 STK以及 WWW主動發(fā)起銷戶請求 27/11 用戶換卡流程 用 戶 帳 戶 平 臺一 級 B O S S省 B O S S支 付 處 理 模 塊前 置 模 塊支 付 管 理 模 塊C - 手 機 支 付 服 務 平 臺2 . 用 戶 換 卡 通 知 請 求1 . 訂 購 關 系 查 詢3 . 用 戶 訂 購 關 系 查 詢 請 求是 否 訂 購 現 場 支 付4 . 用 戶 訂 購 關 系 查 詢 響 應5 . 用 戶 換 卡 通 知 響 應6 . 用 戶 已 換 卡 通 知 請 求1 0 . 取 消 現 場 脫 機 支 付 訂 購 關 系 請 求1 1 . 現 場 脫 機 支 付 訂 購 關 系 取 消 響 應8 . 現 場 支 付 子 賬 戶 銷 戶 請 求賬 戶 處 理9 . 現 場 支 付 子 賬 戶 銷 戶 響 應訂 購 關 系 取 消 處 理1 . 受 理 用 戶 換 卡 請 求7 . 用 戶 已 換 卡 通 知 響 應28/11 用戶補卡流程 用 戶 帳 戶 平 臺一 級 B O S S省 B O S S支 付 處 理 模 塊前 置 模 塊 支 付 管 理 模 塊C - 手 機 支 付 服 務 平 臺1 . 受 理 用 戶 補 卡 請 求 ， 并 給 用 戶 補 卡2 . 用 戶 補 卡 通 知 請 求8 . 取 消 現 場 脫 機 支 付 訂 購 關 系 請 求9 . 響 應6 . 現 場 支 付 子 賬 戶 銷 戶 請 求賬 戶 處 理7 . 現 場 支 付 子 賬 戶 銷 戶 響 應訂 購 關 系 取 消 處 理3 . 響 應4 . 用 戶 訂 購 關 系 查 詢 請 求5 . 用 戶 訂 購 關 系 查 詢 響 應29/11 余額處理流程 用 戶帳 戶 平 臺一 級 B O S S省 B O S S支 付 處 理 模 塊前 置 模 塊支 付 管 理 模 塊C - 手 機 支 付 服 務 平 臺3 . 待 銷 戶 余 額 處 理 請 求賬 戶 余 額 扣 減4 . 余 額 處 理 響 應 ， 返 回 余 額 信 息5 . 話 費 充 值 請 求話 費 充 值 處 理6 . 話 費 充 值 響 應賬 戶 銷 戶 處 理9 . 余 額 處 理 結 果 響 應1 . 用 戶 發(fā) 起 余 額 處 理 請 求2 . 轉 發(fā) 請 求1 0 . 通 知 用 戶 余 額 處 理 結 果7 . 提 現 處 理 流 程8 . 余 額 處 理 結 果 通 知用 戶 登 錄 W W W 網 站本流程描述的是處于待銷戶狀態(tài)的用戶主賬戶的余額處理方式 現階段僅提供用戶通過 WWW方式進行余額處理。 30/11 主賬戶網銀充值流程 通過 WWW方式發(fā)起的充值處理 用 戶銀 行 網 上 銀 行判 斷 交 易 有 效 性支 付 處 理 模 塊1 4 b . 下 行 短 信 提 示 用 戶 充 值 成 功 結 果1 2 . 賬 戶 充 值 響 應1 3 . 返 回 充 值 結 果1 4 a . 返 回 用 戶 頁 面 ， 提 示 用 戶 充 值 結 果前 置 模 塊賬 務 處 理8 . 提 示 用 戶 輸 入 銀 行 卡 卡 號 和 密 碼9 . 用 戶 確 認 支 付1 1 . 賬 戶 充 值 請 求充 值 鑒 權 處 理2 . 提 交 充 值 請 求賬 戶 平 臺支 付 管 理 模 塊3 . 用 戶 充 值 鑒 權 請 求4 . 充 值 鑒 權 響 應6 . 重 定 向 銀 行 網 銀1 0 . 支 付 結 果 通 知1 0 . 支 付 結 果 通 知C - 手 機 支 付 服 務 平 臺7 . 重 定 向 銀 行 網 銀用 戶 登 錄 手 機 支 付 網 站1 . 用 戶 選 擇 網 銀 充 值5 . 充 值 鑒 權 響 應31/11 主賬戶充值卡充值流程（ WWW/STK） 用 戶 賬 戶 平 臺1 . 用 戶 發(fā) 起 充 值 卡 充 值 請 求S C P支 付 處 理 模 塊前 置 模 塊支 付 管 理 模 塊C - 手 機 支 付 服 務 平 臺用 戶 鑒 權2 . 用 戶 充 值 鑒 權 請 求3 . 用 戶 充 值 鑒 權 響 應1 0 . 賬 戶 充 值 響 應9 . 賬 戶 充 值 請 求帳 務 處 理檢 查 賬 戶 狀 態(tài)1 1 . 賬 戶 充 值 響 應1 3 . 充 值 卡 充 值 響 應1 4 . 賬 戶 沖 正 請 求賬 戶 沖 正 處 理1 5 . 賬 戶 沖 正 響 應1 8 . 短 信 通 知 用 戶 充 值 成 功 信 息1 6 . 通 知 用 戶 充 值 結 果1 7 . 提 示 用 戶 充 值 結 果6 . 賬 戶 充 值 請 求V c智 能 網 系 統(tǒng)5 . 充 值 卡 有 效 性 驗 證手 機 支 付 業(yè) 務 w w w 網 站 登 錄4 . 充 值 卡 充 值 請 求1 2 . 充 值 卡 狀 態(tài) 修 改7 . 充 值 有 效 性 驗 證8 . 充 值 有 效 性 驗 證 響 應32/11 主賬戶充值卡充值流程（語音） 用 戶9 . 返 回 賬 戶 充 值 響 應賬 戶 平 臺S C P賬 務 處 理檢 查 賬 戶 狀 態(tài)支 付 處 理 模 塊前 置 模 塊1 0 . 返 回 賬 戶 充 值 響 應支 付 管 理 模 塊1 1 . 發(fā) 起 沖 正 請 求1 2 . 沖 正 請 求沖 正1 3 . 沖 正 響 應8 . 賬 戶 充 值 請 求1 6 . 短 信 通 知 用 戶 充 值 成 功C - 手 機 支 付 服 務 平 臺1 4 . 沖 正 響 應V c智 能 網 系 統(tǒng)1 。 用 戶 根 據 語 音 提 示 輸 入 充 值 卡 密 碼及 待 充 值 的 手 機 號 碼2 . 充 值 鑒 權 請 求充 值 鑒 權 處 理3 . 充 值 鑒 權 響 應4 . 充 值 卡 有 效 性 驗 證5 . 賬 戶 充 值 請 求1 1 . 充 值 卡 狀 態(tài) 修 改1 5 . 語 音 提 示 用 戶 充 值 結 果6 . 用 戶 充 值 鑒 權 請 求7 . 用 戶 充 值 鑒 權 響 應語音方式 33/11 提現流程 用 戶 支 付 處 理 模 塊5 . 用 戶 提 現 請 求賬 務 處 理6 . 返 回 提 現 響 應1 8 . 短 信 通 知 用 戶 提 現 結 果金 融 機 構1 4 . 用 戶 提 現 通 知 請 求銀 行 賬 務 處 理1 5 . 用 戶 提 現 通 知 響 應交 易 有 效 性 驗 證前 置 模 塊 帳 戶 平 臺2 . 轉 發(fā) 提 現 請 求用 戶 鑒 權1 7 . 通 知 用 戶 提 現 結 果支 付 管 理 模 塊3 . 用 戶 提 現 鑒 權 請 求4 . 返 回 鑒 權 響 應1 . 用 戶 發(fā) 起 提 現 請 求1 3 . 定 時 提 交 提 現 請 求1 6 . 提 現 響 應C - 手 機 支 付 服 務 平 臺1 1 . 通 知 用 戶 提 現 結 果1 2 . 通 知 用 戶 提 現 結 果7 . 金 融 機 構 提 現 通 知 請 求8 . 用 戶 提 現 通 知 請 求銀 行 賬 務 處 理9 . 用 戶 提 現 通 知 響 應1 0 . 金 融 機 構 提 現 通 知 響 應34/11 直接支付流程 下訂單（ WWW方式） 商 戶 系 統(tǒng)用 戶（ B r o w s e r ）支 付 處 理 模 塊2 . 提 交 商 戶 訂 單驗 證 商 戶 訂 單1 . 購 物 請 求賬 戶 平 臺前 置 模 塊3 . 轉 發(fā) 商 戶 訂 單6 . 商 戶 訂 單 響 應生 成 訂 單7 . 商 戶 訂 單 響 應支 付 管 理 模 塊4 . 商 戶 訂 單 鑒 權 請 求5 . 返 回 訂 單 鑒 權 響 應C - 手 機 支 付 服 務 平 臺支 付 流 程8 . 用 戶 輸 入 支 付 信 息 ( 手 機 號 )1 3 . 下 行 短 信 提 示 用 戶 動 態(tài) 口 令驗 證 驗 證 碼1 4 . 用 戶 輸 入 支 付 信 息 （ 動 態(tài) 口 令 、 支 付 密 碼 )9 . 動 態(tài) 口 令 申 請1 0 . 申 請 動 態(tài) 口 令生 成 動 態(tài) 口 令1 1 . 返 回 動 態(tài) 口 令1 2 . 返 回 動 態(tài) 口 令1 5 . 驗 證 動 態(tài) 口 令1 6 . 密 碼 驗 證 響 應35/11 直接支付流程 下訂單（ SMS/IVR） 商 戶 系 統(tǒng)用 戶1 0 . 短 信 提 交 支 付 密 碼 進 行 支 付 確 認支 付 處 理 模 塊2 . 提 交 商 戶 訂 單驗 證 商 戶 訂 單9 . 下 行 短 信 通 知 用 戶 確 認 支 付1 . 購 物 請 求賬 戶 平 臺前 置 模 塊3 . 轉 發(fā) 商 戶 訂 單6 . 商 戶 訂 單 響 應生 成 訂 單7 . 商 戶 訂 單 響 應8 . 提 示 用 戶 確 認 支 付支 付 管 理 模 塊4 . 商 戶 訂 單 鑒 權 請 求5 . 返 回 訂 單 鑒 權 響 應C - 手 機 支 付 服 務 平 臺支 付 流 程36/11 直接支付流程 下訂單（手機客戶端/WAP） 商 戶 系 統(tǒng)用 戶 U E支 付 處 理 模 塊2 . 提 交 商 戶 訂 單驗 證 商 戶 訂 單1 . 購 物 請 求賬 戶 平 臺前 置 模 塊3 . 轉 發(fā) 商 戶 訂 單6 . 商 戶 訂 單 響 應生 成 訂 單7 . 商 戶 訂 單 響 應支 付 管 理 模 塊4 . 商 戶 訂 單 鑒 權 請 求5 . 返 回 訂 單 鑒 權 響 應C - 手 機 支 付 服 務 平 臺支 付 流 程8 . 用 戶 輸 入 支 付 信 息 （ 支 付 密 碼 )37/11 直接支付流程 支付 商 戶 系 統(tǒng)用 戶4 . 用 戶 消 費 請 求交 易 校 驗賬 務 處 理5 . 用 戶 消 費 響 應1 3 . 下 行 短 信 提 示 用 戶 支 付 結 果用 戶 交 易 鑒 權支 付 處 理 模 塊訂 單 處 理賬 戶 平 臺前 置 模 塊1 . 提 交 支 付 交 易 請 求1 2 . 通 知 用 戶 支 付 結 果6 . 通 知 商 戶 支 付 結 果7 . 訂 單 處 理 響 應支 付 管 理 模 塊2 . 用 戶 交 易 鑒 權 請 求3 . 用 戶 交 易 鑒 權 響 應1 1 . 訂 單 處 理 響 應修 改 訂 單 狀 態(tài)1 0 . 訂 單 支 付 結 果 通 知C - 手 機 支 付 服 務 平 臺8 . 沖 正 請 求9 . 沖 正 響 應38/11 預授權支付流程 預授權（ WWW） 商 戶 系 統(tǒng)用 戶1 4 . 預 授 權 交 易 請 求交 易 有 效 性 驗 證凍 結 用 戶 交 易 資 金1 5 . 預 授 權 請 求 響 應1 8 . 預 授 權 結 果 通 知 商 戶1 9 . 提 示 用 戶 預 授 權 結 果前 置 模 塊1 0 . 用 戶 輸 入 預 授 權 信 息 （ 動 態(tài) 碼 、 支 付 密 碼 ）用 戶 鑒 權 處 理支 付 處 理 模 塊2 . 商 戶 提 交 預 授 權 訂 單驗 證 商 戶 訂 單賬 戶 平 臺支 付 管 理 模 塊4 . 商 戶 訂 單 鑒 權 請 求5 . 商 戶 訂 單 鑒 權 響 應1 2 . 用 戶 預 授 權 鑒 權 請 求1 3 . 返 回 鑒 權 響 應3 . 轉 發(fā) 商 戶 訂 單1 6 . 預 授 權 結 果 通 知更 新 訂 單 狀 態(tài)1 7 . 返 回 響 應1 9 . 短 信 提 示 用 戶 預 授 權 結 果C - 手 機 支 付 服 務 平 臺1 8 . 預 授 權 結 果 通 知 商 戶1 . 購 物 請 求生 成 訂 單6 . 商 戶 訂 單 響 應7 . 商 戶 訂 單 響 應1 1 . 用 戶 預 授 權 確 認 請 求8 . 用 戶 輸 入 預 授 權 信 息 （ 手 機 號 碼 ）9 . 下 行 短 信 提 示 用 戶 動 態(tài) 碼動 態(tài) 碼 校 驗39/11 預授權支付流程 預授權完成 8 、 預 授 權 完 成 通 知 商 戶9 、 下 行 短 信 提 示 用 戶 預 授 權 付 款 成 功前 置 模 塊 支 付 處 理 模 塊驗 證 原 訂 單 有 效 性用 戶 商 戶1 b 、 預 授 權 完 成 請 求 （ 訂 單 號 、 支 付 密 碼 ）賬 戶 平 臺4 、 預 授 權 完 成 請 求驗 證 預 授 權 有 效 性預 授 權 付 款 處 理5 、 預 授 權 完 成 響 應1 a 、 用 戶 未 在 期 限 內 對 預 授 權 進 行 任 何 處 理2 、 提 交 鑒 權 請 求3 、 返 回 鑒 權 信 息支 付 管 理 模 塊轉 發(fā) 請 求6 、 預 授 權 完 成 結 果 通 知訂 單 狀 態(tài) 更 新7 、 返 回 處 理 響 應8 、 預 授 權 完 成 通 知 商 戶9 、 短 信 通 知 用 戶C - 手 機 支 付 服 務 平 臺用戶 /系統(tǒng)發(fā)起 40/11 預授權支付流程 預授權完成 商 戶用 戶1 0 . 預 授 權 完 成 請 求驗 證 交 易 有 效 性預 授 權 完 成 處 理1 1 . 預 授 權 完 成 響 應1 5 . 通 知 用 戶 預 授 權 完 成 結 果前 置 模 塊1 . 商 戶 提 交 預 授 權 完 成 請 求6 . 提 交 預 授 權 完 成 確 認 ( 支 付 密 碼 )交 易 鑒 權1 4 . 通 知 商 戶 預 授 權 完 成 結 果支 付 處 理 模 塊2 . 轉 發(fā) 請 求驗 證 原 訂 單 有 效 性5 . 下 行 短 信 提 示 用 戶 確 認1 4 . 通 知 商 戶 預 授 權 完 成 結 果賬 戶 平 臺3 . 提 交 訂 單 驗 證 請 求4 . 返 回 驗 證 結 果8 . 用 戶 交 易 鑒 權 請 求9 . 返 回 交 易 鑒 權 響 應支 付 管 理 模 塊1 2 . 預 授 權 完 成 結 果 通 知預 授 權 訂 單 狀 態(tài) 更 新1 3 . 返 回 處 理 響 應5 . 短 信 提 示 用 戶 確 認 支 付7 . 轉 發(fā) 確 認 信 息1 5 . 通 知 用 戶 預 授 權 完 成 結 果C - 手 機 支 付 服 務 平 臺商戶發(fā)起 41/11 系統(tǒng)架構與組網 主要技術流程 系統(tǒng)安全設計 目錄 系統(tǒng)實施建設的要求 42技術研發(fā)背景介紹 42/11 手機支付系統(tǒng)安全體系模型 借鑒金融系統(tǒng)的安全設計理念 綜合運用對稱密鑰和 PKI技術，實現：機密性、完整性、不可否認性 應用安全層 應用 /業(yè)務層面所采取的安全措施，包括 保證業(yè)務流程中信息的機密性、完整性的密碼體系設計、訪問控制（如：業(yè)務用戶的登錄控制）、通信安全 （如： SSL協(xié)議）、 可用性（如：應用數據備份）、安全審計（如：交易操作的審計）、應用防攻擊等 系統(tǒng)安全層 指各類系統(tǒng)所采取的安全措施，包括訪問控制（如：系統(tǒng)登錄控制）、可用性（如：系統(tǒng)的雙機熱備）、安全審計（如：系統(tǒng)操作日志）、防攻擊 /防病毒（如：系統(tǒng)防病毒軟件）。 網絡安全層網絡層所采取的各類安全措施，包括訪問控制（如：防火墻）、通信安全（如：VPN）、可用性（如：雙鏈路）、安全審計、防攻擊 /防病毒（如：網絡版防病毒）等。 物理安全層 物理層所采取的各類安全措施，包括環(huán)境安全、媒體安全和設備安全等方面 43/11 客戶端 /SIM卡 POS/PSAM卡 現場消費 （ 消費密鑰、TAC密鑰 ） 客戶端 /SIM卡 批上送等（ WK） WK更新（ KEK） 業(yè)務子密鑰（現場支付）： 消費密鑰 充值密鑰 TAC密鑰 重裝應用密碼密鑰 應用維護密鑰 應用主控密鑰 空中報文 MAC密鑰 業(yè)務子密鑰（遠程支付）： ENC MAC POS密鑰（密碼鍵盤）： 密鑰加密密鑰 工作密鑰 PSAM密鑰 ： 消費主密鑰 卡片主控 /維護密鑰 應用主控 /維護密鑰 POS服務平臺 加密機 加密機 加密機 業(yè)務根密鑰（現場支付）： 消費密鑰 充值密鑰 TAC密鑰 重裝應用密碼密鑰 應用維護密鑰 應用主控密鑰 空中報文 MAC密鑰 業(yè)務根密鑰（遠程支付）： ENC MAC POS服務系統(tǒng)密鑰： 主密鑰 密鑰加密密鑰 工作密鑰 手機支付系統(tǒng)密鑰體系 遠程支付、充值等交易 （ 充值、應用維護、應用主控、 MAC、 ENC等業(yè)務密鑰 ） OTA環(huán)境 44/11 密鑰管理的總體要求： 在業(yè)務系統(tǒng)需要的時候為其提供密鑰，并提供安全保證。 密鑰管理需求 密鑰生命周期 管理 密鑰生成 密鑰傳輸 /注入 密鑰備份 /恢復 密鑰保管 密鑰更新 密鑰刪除 45/11 二級密鑰管理架構 45 手機支付服務平臺 密管機構 手機支付系統(tǒng)全國密鑰管理中心 省密鑰請求、分發(fā)、注入 手機支付系統(tǒng)省密鑰管理中心 洗卡 /灌裝 PSAM卡 省公司發(fā)卡部門 手機支付集團中心平臺 省手機支付業(yè)務和管理平臺 注入根密鑰 業(yè)務卡片子密鑰 46/11 全國密鑰管理中心職能 管理職能 說明 根密鑰管理 業(yè)務根密鑰生成 /更新 、 保管 、 注入以及相關管理操作 PSAM卡洗卡 /灌裝 PSAM卡的洗卡及消費根密鑰的灌裝操作 業(yè)務省密鑰的管理 包括省級業(yè)務密鑰的生成 、 傳輸等管理操作 卡片子密鑰管理 卡片子密鑰的管理操作 加密機主密鑰管理 對加密機主密鑰進行管理 46 47/11 省級密鑰管理中心職能 管理職能 說明 省密鑰的管理 省密鑰接收 、 保管以及相關管理操作 ，由于 用戶卡子密鑰管理 用戶卡的各類子密鑰的管理操作 加密機主密鑰管理 加密機主密鑰的管理操作 POS服務系統(tǒng)密鑰管理 對 POS服務系統(tǒng)相關密鑰進行管理 47 48/11 系統(tǒng)架構與組網 主要技術流程 系統(tǒng)安全設計 目錄 系統(tǒng)實施建設的要求 42技術研發(fā)背景介紹 49/11 系統(tǒng)涉及的碼號資源 與網絡相關的編碼。這些編碼主要用于做網絡參數的配置或路由的配置，在網絡層面保證系統(tǒng)端到端路由的暢通。 與業(yè)務管理相關的編碼。這些編碼主要用于在業(yè)務開展中用于業(yè)務規(guī)劃與管理，通過這些編碼，能夠方便各省業(yè)務的拓展。 與設備相關的編碼。在移動支付業(yè)務中，由于現場支付的引入，引入了新的業(yè)務設備： POS。 POS是金融機構中常用的收單設備，中國移動引入該設備后，通過對設備進行統(tǒng)一編碼，便于設備的管理。另一方面，在編碼的設計上是參考了金融POS的編碼規(guī)則。 50/11 與網絡相關的碼號 IP地址 POS服務平臺分配公網 IP 手機支付服務平臺分配多個公網 IP 短信接入碼 全國統(tǒng)一分配手機支付業(yè)務的短信接入碼： 106XXXX 彩信接入碼 全國統(tǒng)一分配手機支付業(yè)務的彩信接入碼： 106XXXXX。 PORTAL URL WWW、 WAP APN ： CMWAP。 機：專用 APN。 51/11 與業(yè)務管理相關的碼號 用戶號編碼規(guī)則： 編碼規(guī)則： 2位省代碼 10位序號 商戶號 POS商戶編碼規(guī)則： 7位收單行號 4位商戶類型 4位序號 網絡商戶編碼規(guī)則： 4位地區(qū)號 +8位序號 機構編碼 機構分四級管理，總中心、省、市、營業(yè)廳，資金按省結算。 機構編碼規(guī)則： 1位級別 2位省代碼 3位市代碼 4位序號 賬戶編碼規(guī)則 賬戶編碼： 主賬戶編碼規(guī)則（共 19位）：賬戶類型 (3位 )+ 地區(qū)代碼 (3位 )+流水號(12位 ) + 校驗位 (1位 )。 現場脫機支付子賬戶： N1N2N3N4N5N6N7N8N9N10 N20 N1-N6：發(fā)卡行標識代碼（中國移動標識）， 6位數字； N7-N9：地區(qū)標識， 3位數字（地區(qū)區(qū)號去掉首位 0；如只有兩位，后補零，例：北京為“ 100”）； N10-N19：序列號 , 10位數字； N20：校驗位， 1位數字 應用 AID編碼規(guī)則 52/11 AID概述 應用標識符（ AID）主要用于在 IC卡片中標識一個應用，簡單來說是用來告訴終端某個應用的入口地址。每一個 AID對應一個應用的入口地址。規(guī)范ISO7816對此進行了定義 AID由 RID和 PIX組成，其中 RID為 5個字節(jié)， PIX可以由 0到 11個字節(jié)組成，采用 BCD編碼。 RID為唯一的標識應用提供者，即中國移動。由中國移動通過國家 IC卡注冊中心向 ISO組織申請獲得。D156000101 - D156000131 PIX采用 BCD編碼 ，可由中國移動自行定義