JT∕T 1059.5-2025 交通一卡通移动支付技术规范 第5部分：客户端软件

ⅠJT/T1059.5—2025前言 引言 2规范性引用文件 3术语和定义 4缩略语 5客户端软件分类及应用模型 6系统架构及功能 7安全技术要求 JT/T1059.5—2025Ⅲ本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。本文件是JT/T1059《交通一卡通移动支付技术规范》的第5部分。JT/T1059已经发布了以下部分:—第1部分:总则;—第2部分:安全单元;—第3部分:近场支付;—第4部分:远程支付;—第5部分:客户端软件;—第6部分:可信服务管理系统;—第7部分:受理终端;—第8部分:检测。本文件代替JT/T1059.5—2016《交通一卡通移动支付技术规范第5部分:客户端软件》,与JT/T1059.5—2016相比,除结构调整和编辑性改动外,主要技术变化如下:—更改了系统架构中客户端软件的分类(见5.1,2016年版的5.1.1);—更改了基于SE和无SE的客户端模型(见5.2,2016年版的6.1和6.2);—更改了基于SE客户端软件的系统架构及分类(见6.1.1,2016年版的5.1.2);—删除了基本功能与流程中的SE初始化功能与流程的规定(见2016年版的5.2.2);—删除了基本功能与流程中的应用查询功能与流程的规定(见2016年版的5.2.3);—删除了基本功能与流程中的应用下载功能与流程的规定(见2016年版的5.2.4)—增加了应用下载及个人化功能与流程的规定(见6.2.2);—更改了密码管理的规定(见6.2.10,2016年版的5.2.12);—删除了外置SE的客户端模型(见2016年版的6.2.2);—更改了移动支付终端交易异常处理(见7.1.4,2016年版的7.1.4);—更改了安全认证要求(见7.4.2,2016年版的7.4.2);—增加了安全接口要求(见7.4.3)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由交通运输信息通信及导航标准化技术委员会提出并归口。本文件起草单位:中国交通通信信息中心、北京中交金卡科技有限公司、北京智慧云测设备技术有限公司、江苏交通一卡通有限公司、交通运输部科学研究院、武汉城市一卡通有限公司、河南省交通一卡通有限责任公司。本文件及其所代替文件的历次版本发布情况为:—本次为第一次修订。ⅣJT/T1059.5—2025引言推广普及交通一卡通是发展综合运输服务、落实公交优先发展战略的重要举措,事关人民群众切身利益,是重要的民生工程。JT/T1059《交通一卡通移动支付技术规范》旨在规范交通一卡通移动支付相关产品和系统的设计、研发和建设,由8个部分构成。—第1部分:总则。目的在于确立交通一卡通移动支付的系统组成及总体要求。—第2部分:安全单元。目的在于规范交通一卡通移动支付安全单元的类型及技术要求。—第3部分:近场支付。目的在于规范交通一卡通移动支付近场支付的应用模型及交易技术要求。—第4部分:远程支付。目的在于规范交通一卡通移动支付远程支付的应用模型及业务处理技术要求。—第5部分:客户端软件。目的在于规范交通一卡通移动支付客户端软件的架构及功能、安全技术要求。—第6部分:可信服务管理系统。目的在于规范交通一卡通移动支付可信服务管理系统的组成—第7部分:受理终端。目的在于规范交通一卡通移动支付受理终端的类型及技术要求。—第8部分:检测。目的在于规范交通一卡通移动支付安全单元、近场支付、远程支付、客户端软件、可信服务管理系统及受理终端的检测要求。JT/T1059.5—20251交通一卡通移动支付技术规范第5部分:客户端软件本文件规定了交通一卡通移动支付系统中客户端软件的分类及应用模型、系统架构及功能、安全技术要求。本文件适用于交通一卡通移动支付系统中客户端软件及相关产品的设计、开发和制造。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。JT/T978.1城市公共交通IC卡技术规范第1部分:总则JT/T1059.1交通一卡通移动支付技术规范第1部分:总则JT/T1059.4—2025交通一卡通移动支付技术规范第4部分:远程支付JT/T1059.6—2025交通一卡通移动支付技术规范第6部分:可信服务管理系统3术语和定义JT/T978.1和JT/T1059.1界定4缩略语JT/T1059.5—202525客户端软件分类及应用模型5.1客户端软件分类客户端软件包括基于SE的客户端软件和无SE的客户端软件两种,其中基于SE的客户端软件应用模型的软件系统架构包括SE内嵌的支付软件系统架构与非SE内嵌的支付软件系统架构。5.2应用模型客户端应能向用户提供支付和TSM应用管理功能。客户端软件支付应用分为近场支付和远程支付两大类。在近场支付应用中,用户通过客户端对SE中的应用进行余额查询、卡片参数设置操作。在远程支付应用中,用户通过客户端进行在线消费、圈存和账户查询。客户端与SE、远程支付系统、TSM平台系统交互实现支付和TSM应用管理功能。基于SE的客户端应用模型如图1所示,无SE的客户端应用模型如图2所示。图1基于SE的客户端应用模型JT/T1059.5—20253图2无SE的客户端应用模型6系统架构及功能6.1.1.1.1SE内嵌的支付软件运行在SE操作系统中,SE操作系统通过标准APDU指令实现SE内嵌的支付软件和SE之间的交互。SE内嵌的支付软件系统架构如图3所示。图3SE内嵌的支付软件系统架构6.1.1.1.2SE内嵌的支付软件架构各层划分为:a)应用界面层:与用户直接交互的功能层,基于客户端软件以菜单的模式为用户提供移动支付应用,根据用户需求,应用层应支持空中下载技术,实现应用软件空中下载及升级服务;b)传输协议层:负责使用标准APDU指令实现应用界面层和操作系统层间的交互;c)操作系统层:为SE内嵌支付软件运行提供基础平台,负责解析所有应用指令并进行处理,提供基础的安全服务;d)物理设备层:为客户端软件提供安全服务的硬件基础,为上层应用提供基础的认证及加解密硬件资源。6.1.1.2.1非SE内嵌的支付软件运行在移动支付终端操作系统中,通过SE对交易敏感信息进行加密,并与远程支付系统建立通信连接,完成支付功能。非SE内嵌的支付软件系统架构如图4所示。6.1.1.2.2非SE内嵌的支付软件系统架构划分为:a)支付应用软件层:客户端软件直接面向用户,通过图形化操作界面,为用户提供支付服务;b)网络协议层:为客户端软件提供网络协议服务,例如SSL、TLS、WTLS等安全通信协议以及定制化的专用网络协议;JT/T1059.5—20254d)物理设备层:SE内部安全域用于存储密钥、数字证书等安全信息,并为客户端软件提供交易敏感信息加解密处理等安全功能。图4非SE内嵌的支付软件系统架构6.1.2无SE的客户端软件6.1.2.1无SE的客户端软件运行在移动支付终端操作系统中,与远程支付系统建立通信连接,完成支付功能,其中交易敏感信息加解密由客户端软件完成。无SE的客户端软件系统架构如图5所示。图5无SE的客户端软件系统架构6.1.2.2基于无SE的客户端软件系统架构各层划分为:a)支付应用软件:客户端软件直接面向用户,应通过图形化操作界面,为用户提供支付服务;b)网络协议层:为客户端软件提供网络协议服务,例如SSL、TLS、WTLS等各种安全通信协议以及定制化的专用网络协议;c)操作系统层:为客户端软件运行提供基础支撑,例如6.2基本功能与流程客户端通过用户界面收集用户信息,向远程支付系统发起用户注册请求。应向用户显示注册结果界面。6.2.2应用下载及个人化用户通过客户端向TSM发起应用下载及个人化请求,且SE实现应用下载及个人化的过程。5界面应给出过程或结果提示。用户通过客户端查看SE中已经下载的应用列表,删除选中的应用。界面应给出过程或结果提示,如等待时间过长或删除失败。用户通过客户端软件对SE中的默认应用(支付交易时的默认应用)进行修改设置。客户端软件修改默认应用前,界面应给出用户二次确认的提示。默认应用设置交互流程如图6所示。默认应用设置应按照下列步骤进行:图6默认应用设置交互流程JT/T1059.5—20256a)步骤1:客户端软件请求TSM系统查询应用的列表;b)步骤2:返回查询结果,若查询失败,则客户端软件读取本地的应用列表信息;c)步骤3:客户端软件读所有已安装的应用和默认应用信息显示给用户;d)步骤4:要求用户设置其中一个应用为默认应用;e)步骤5:向用户显示所有已安装应用及设置的默认应用。用户在支付内容平台上选购商品或服务后,通过客户端确认付款的支付流程。支付前应向用户显示核心订单信息,如商品名称、商品数量、交易金额等,供用户二次确认。用户使用客户端,通过远程支付系统给交通应用充值。圈存前,宜向用户显示核心交易信息,如账户号、交易金额等,供用户确认。圈存完成后,应向用户显示圈存结果。用户使用客户端,通过远程支付系统对账户管理系统进行转账操作。互联互通的异地账户需转接清算系统,本地转账交易无须转接。转账前,应向用户显示转账信息,如账户号和转账金额等,供用户确认。客户端通过远程支付系统读取账户信息,并显示给用户。JT/T1059.5—20257客户端应将账户返回的信息展示给用户。用户通过客户端对余额和交易明细等信息进行查询。在查询信息前,选择相应的交通一卡通移动支付应用;用户选择应用后,界面应展示应用的余额、交易明细等信息。信息查询交互流程如图7所示。信息查询应按照下列步骤进行:a)步骤1:客户端软件选择交通一卡通移动支付应用;b)步骤2:SE返回该应用的详细信息;c)步骤3:客户端软件展示所有的信息给用户。图7信息查询交互流程用户通过移动支付终端上的客户端软件对登录密码进行管理,包括密码修改和密码找回两项功能。密码修改需要用户提供原密码进行验证。密码找回需用户输入客户端用户注册时填写的注册信息(如邮箱、手机号码等)。新密码信息由后台服务器直接发送到用户注册时填写的邮箱或者短信通知到注册手机号。JT/T1059.5—20258应向用户显示修改密码和找回密码的界面,提供信息的输入界面用于验证密码和获取新密码。6.2.10.3.1密码找回交互流程如图8所示。密码找回应按照下列步骤进行:a)步骤1:移动支付终端向远程支付系统发送密码找回请求;b)步骤2:远程支付系统向用户注册邮箱或者手机号返回验证信息;c)步骤3:用户邮箱或者手机号将验证结果返回远程支付系统;d)步骤4:远程支付系统验证成功将验证结果返回移动支付终端;e)步骤5:用户在移动支付终端输入新密码,并请求保存;f)步骤6:远程支付系统保存用户密码信息;g)步骤7:远程支付系统将密码保存结果返回移动支付终端。图8密码找回交互流程6.2.10.3.2密码修改交互流程如图9所示。密码修改交付应按照下列步骤进行:a)步骤1:移动支付终端向远程支付系统发送密码修改请求;b)步骤2:远程支付系统向移动支付终端发送验证信息用于验证原密码;c)步骤3:用户在移动支付终端输入原密码,加密后传回远程支付系统;图9密码修改交互流程JT/T1059.5—20259d)步骤4:远程支付系统验证成功将验证结果返回移动支付终端,验证成功进行步骤5,否则,提示重新输入;e)步骤5:用户在移动支付终端输入新密码,请求保存;f)步骤6:远程支付系统保存用户密码信息;g)步骤7:远程支付系统将密码保存结果返回移动支付终端。对客户端软件版本进行在线检测和升级功能。客户端软件升级前,宜向用户显示新版本特性说明。对于强制升级,应向用户说明强制升级的原因。版本升级交互流程如图10所示。版本升级按照下列步骤进行:a)步骤1:客户端软件向远程支付系统发起版本b)步骤2:远程支付系统进行客户端软件版本查询,并将查询结果通知客户端软件;c)步骤3:客户端软件向用户显示版本查询结果,若有最新版本则提示用户升级,否则,本流程结束;d)步骤4:用户确认是否升级,若放弃升级,则本流程结束;e)步骤5:用户确认升级,则客户端软件向远程支付系统发起下载请求;f)步骤6:远程支付系统下发最新版本;g)步骤7:客户端软件新版本下载完成后,进行覆盖安装升级。图10版本升级交互流程JT/T1059.5—20257安全技术要求登录密码安全管理满足下列要求:a)如需在移动支付终端本地保存,应采用密码算法进行加密;b)用户输入登录密码时,应提供即时加密功能;c)认证操作结束后,应立即清除缓存,防止信息泄露。支付密码管理满足下列要求:a)不应保存在移动支付终端本地;b)用户输入时,应提供即时加密功能,如密码键盘和动态口令等;c)认证操作结束后,为防止信息泄露,应立即清除缓存。对于大额支付和重要信息修改等关键业务,除应进行密码认证以外,客户端还应采用第二要素安全认证方式,如动态口令和短信认证等。客户端对用户登录应限定连续登录失败的次数,如连续登录失败多次,则账号锁定。7.1.4移动支付终端交易异常处理当客户端软件检测到移动支付终端交易出现异常时,应向用户提示出错信息,不应泄露用户的敏感数据。交易过程中如遇交易失败或在交易完成前用户进行撤销操作,应返回到交易前的有效状态。客户端软件应提供数据有效性校验功能,保证数据格式或长度等信息通过人机接口或通信接口输入时符合系统设定的要求,如输入的资金金额和账户等信息应不含特殊字符。7.2.2页面回退清除敏感信息机制客户端软件应支持页面回退清除敏感信息的机制。客户端软件应具备基本的抗攻击能力,能抵御静态分析、动态调试等操作,客户端宜采取反逆向工JT/T1059.5—2025程保护措施,如采取代码混淆等技术手段,防范攻击者对客户端的反编译分析。客户端启动和更新时,应进行真实性和完整性校验,防范客户端被篡改。录入敏感数据时,客户端软件:a)应采取安全显示方式,对于密码等敏感数据不应明文显示;b)宜采取防截获安全措施,保证敏感数据不被移动支付终端连接的其他设备或程序非授权获取;c)宜采取防篡改机制,保证数据不被移动支付终端的其他设备或程序篡改。根据业务需要,敏感数据应仅供授权用户或授权应用组件访问。数据存储满足下列要求:a)关键数据存储:客户端宜保留最少的用户敏感数据(如登录密码、软件证书和账户信息等),并限制数据存储量和保留时间;b)用户信息存储安全:客户端不应保存用户支付信息(如支付密码等)及其密文;c)