ICS 35.240.40 A 11 JR 中华人民共和国金融行业标准 JR/T 0093.5—2012 中国金融移动支付 远程支付应用 第 5部分：短信支付技术规范 China financial mobile payment —Remote payment applications — Part 5: Technical specification for short message service (SMS) payment 2012 - 12 - 12 发布 2012 - 12-12 实施 中国人民银行 发布 JR/T 0093.5—2012 I 目 次 前言 ............................................................ .................... II   引言 ............................................................ ................... III   1 范围 .......................................................... .................... 1   2 技术架构 ........................................................ .................. 1   3 交易处理流程 ...................................................... ................ 2   4 交易安全要求 ...................................................... ................ 6   参考文献 .......................................................... ................... 8   JR/T 0093.5—2012 II 前 言 《中国金融移动支付 远程支付应用》标准由以下 6部分构成： ——第1部分：数据元； ——第2部分：交易模型及流程规范； ——第3部分：报文结构及要素； ——第4部分：文件数据格式规范； ——第5部分：短信支付技术规范； ——第6部分：基于安全单元（ SE）的安全服务技术规范。 本部分为该标准的第 5部分。 本部分按照 GB/T 1.1-2009 给出的规则起草。 本部分由中国人民银行提出。 本部分由全国金融标准化技术委员会（ SAC/TC180 ）归口。 本部分负责起草单位：中国人民银行科技司、中国人民银行金融信息中心、中国金融电子化公司。 本部分参加起草单位：中国工商银行、中国农业银行、中国银行、中国建设银行、中国银联股份有 限公司、交通银行、中信银行、中国邮政储蓄银行、中移电子商务有限公司、支付宝（中国）网络技术有限公司、 深圳市财付通科技有限公司、 北京通融通信息技术有限公司、 开联通网络技术服务有限公司、 中金国盛认证中心、东信和平智能卡股份有限公司、深圳市新国都技术股份有限公司、大唐微电子技术有限公司。 本部分主要起草人：李晓枫、陆书春、潘润红、姜云兵、杜宁、李兴锋、刘力慷、曲维民、刘运、 史大鹏、雷斌、李春欢、杨帅、唐邦富、李竹、延冰、刘宁锋、仇哲、庞杰、张永成、甄旭、王庆、张礼文、郝静华、廖宗俐、邓苏军、陈耔宇、王永吉、赵如愿、张彦杰。 JR/T 0093.5—2012 III 引 言 短信支付是最早出现的一种移动支付模式，在智能手机大规模普及之前，由于非智能手机仍以文本 短信为主，因此采用了预先建立手机号和支付账户绑定关系，然后基于文本短信进行支付的方式。 本部分主要对短信支付的交易流程、安全要求进行了规定，由于目前商业银行和支付机构开展的短 信支付业务种类较多，本部分主要对通用、核心的交易进行了规定，提出了通用的安全要求，个性化的增值业务不在本部分中规定。 JR/T 0093.5—2012 1 中国金融移动支付 远程支付应用 第 5 部分：短信支付技术规范 1 范围 本部分规定了基于短信交互的远程支付交易处理流程和交易安全要求， 涉及的内容包括委托、 查询、 消费等类别的交易处理流程及其异常处理，以及由此涉及的有关用户身份、敏感数据等方面的交易安全要求。 本部分适用于短信支付参与方进行短信支付的交易流程及安全的设计。 2 技术架构 短信支付是用户通过移动终端发送短信实现支付的行为，属于远程支付方式中的一种。在支付交易 过程中，包含支付信息的短信从用户的移动终端发送到信息处理中心，通过识别、审核和交换后，支付信息被发送到远程支付系统，进入金融支付系统并完成相关业务。 图1 短信支付业务技术架构图 短信支付业务技术架构如图 1，包括如下组成部分： ——账户管理系统，指具有发卡资质的移动支付交易网络入网机构的系统，对用户（移动终端持有 者）的账户进行管理； ——远程支付系统， 在基于短信交互的移动支付业务系统中， 进行交易处理， 建立用户委托资料库， 包括交易接入、交易转接、交易清算等系统功能； ——短信处理平台，指主要由移动运营商建立和管理的网关，依约定的格式，在移动终端和远程支 付系统之间进行短信转发。短信处理平台对业务流程无影响，在本部分后续业务流程图极其流程描述中，均略去该组成部分； ——支付内容平台，在短信交互支付业务中特指为持卡人提供公用事业等商品和服务的商户； ——用户，与移动终端交互发起交易请求，接收远程支付系统反馈的交易回复，在本部分的交易处 理流程中，用户并不直接影响交易处理过程； ——移动终端，一般为手机，利用短信发起非委托类的交易。 本部分将移动终端通过移动互联网发起交易的方式与通过短信发起交易的方式进行了区分， 作为两 种不同的渠道进行描述。 JR/T 0093.5—2012 2 3 交易处理流程 3.1 委托类交易 3.1.1 建立委托关系 3.1.1.1 交易介绍 基于短信模式的远程支付是以委托方与受托方之间建立了签约及绑定关系为基础的。 建立委托关系交易是由用户通过特定的委托方式主动发起的， 用于将本人名下的支付工具号与特定 的支付终端号及用户号码之间建立绑定关系；在约定的条件范围内，受托方可以凭此绑定关系，按照约定的委托内容，协助或代替委托方完成消费或其它支付结算服务。 远程支付系统将建立用户委托资料库，用于保存和用户委托资料的核对；基于委托开展相关业务的 支付内容平台应当保存与各自业务相关的用户资料。 当远程支付系统和支付内容平台的委托信息出现不 一致时，在未得到同步处理之前，以远程支付系统保存的用户委托信息为准。 用户可以在现场受理点办理，也可以通过互联网渠道在线注册办理。 本交易不参与对账，不引发冲正。 3.1.1.2 正常流程 建立委托关系模型如图2： 图2 建立委托关系模型 步骤1：用户将建立委托关系请求发送给远程支付系统； 步骤2：远程支付系统接收建立委托关系请求处理后发送给账户管理系统； 步骤3：建立委托关系，分两类情况进行处理： ——账户管理系统应检查持卡人身份、账户有效性等关键信息，审核通过后发送应答给远程支付系 统； ——如果账户管理系统审核未通过审核或者返回应答出错 （例如应答超时或者应答 MAC校验出错） ， 则拒绝该交易； 步骤4：远程支付系统根据支付内容平台参数信息判断是否需要支付内容平台确认： ——在需要的情况下，远程支付系统将建立委托关系请求转发给支付内容平台； ——若无需转发则直接进行第 6 步； 步骤5：支付内容平台将建立委托关系应答请求发送给远程支付系统； JR/T 0093.5—2012 3 步骤6：远程支付系统将应答消息发送给用户，返回建立委托关系的结果，如果该委托为非定向委 托，需要发送支付密码； 步骤7：远程支付系统将交易结果以短信形式发送给移动终端（此项为可选步骤，无固定要求）。 3.1.1.3 异常处理 远程支付系统在超时未收到应答时，返回用户交易失败，关闭连接。 3.1.2 撤销委托关系 3.1.2.1 交易介绍 撤销委托关系是对建立委托关系的反向操作， 用于撤销或解除用户名下的支付工具号与特定的支付 终端、用户号码之间的绑定关系。 用户可以在现场受理点办理，也可以通过互联网渠道在线注册办理。 本交易不参与对账，不引发冲正。 3.1.2.2 正常流程 撤销委托关系模型如图 3： 图3 撤销委托关系模型 步骤1：用户将撤销委托关系请求发送给远程支付系统；远程支付系统应检查委托关系是否存在， 分两类情况进行处理： ——如果存在，进行第 2 步； ——如果不存在，则直接进行第 6 步，返回交易失败或拒绝交易的结果； 步骤2：远程支付系统将撤销委托关系请求发送给账户管理系统； 步骤3：账户管理系统向远程支付系统返回交易应答，分两类情况进行处理： ——账户管理系统应检查持卡人身份、账户有效性等关键信息，审核通过后发送应答给远程支付系 统； ——如果账户管理系统审核未通过审核或者返回应答出错 （例如应答超时或者应答 MAC校验出错） ， 则拒绝该交易； 步骤4:远程支付系统根据支付内