JRT 0286-2023數(shù)字銀行卡技術(shù)要求

中國(guó)人民銀行發(fā)布CCSA11JR中華人民共和國(guó)金融行業(yè)標(biāo)準(zhǔn)JR/T0286—2023數(shù)字銀行卡技術(shù)要求Technicalrequirementsfordigitalbankcard2023-07-25發(fā)布2023-07-25實(shí)施JRT2023I前言 II1范圍 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14縮略語(yǔ) 35數(shù)字銀行卡體系架構(gòu) 46數(shù)字憑據(jù)關(guān)鍵控制過程 87數(shù)字憑據(jù)應(yīng)用 128數(shù)字銀行卡安全要求 159公鑰認(rèn)證體系 2210其他要求 23附錄(資料性)數(shù)字銀行卡脫機(jī)支付方案 24參考文獻(xiàn) 26JRT2023前言T本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。人民銀行科技司提出。本文件由全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC180)歸口。JRT—20231本文件規(guī)定了通過銀行卡派生數(shù)字憑據(jù)實(shí)現(xiàn)銀行卡數(shù)字化應(yīng)用的相關(guān)技術(shù)要求，明確了數(shù)字銀行及相關(guān)產(chǎn)業(yè)合作企業(yè)，在數(shù)字化支付場(chǎng)景下基于數(shù)字憑據(jù)開展數(shù)字銀行卡全生命周期管理與應(yīng)用所需2規(guī)范性引用文件GBT22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GBT37092—2018信息安全技術(shù)密碼模塊安全要求JRT—2020金融行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指引JRT—2019移動(dòng)金融客戶端應(yīng)用軟件安全管理規(guī)范JRT0171—2020個(gè)人金融信息保護(hù)技術(shù)規(guī)范JRT0245—2021條碼支付互聯(lián)互通技術(shù)規(guī)范術(shù)語(yǔ)和定義于本文件。bankcard智能設(shè)備安全元件(SecureElement，SE)的設(shè)備卡形態(tài)(例如移動(dòng)支付業(yè)務(wù)相關(guān)的智能可穿戴設(shè)備、移動(dòng)終客戶端及服務(wù)器的電子信息存儲(chǔ)形態(tài)。digitalbankcardJRT20232戶基于數(shù)字憑據(jù)(3.7)實(shí)現(xiàn)對(duì)數(shù)字銀行卡的管理和應(yīng)用。字化bankcarddigitization將銀行卡派生為可用于數(shù)字化支付場(chǎng)景的數(shù)字憑據(jù)(3.7)的過程。issuerdigitalcredentialcarrier，以及基于數(shù)字憑據(jù)的支付指令傳輸?shù)裙δ?，協(xié)助發(fā)卡機(jī)構(gòu)等相關(guān)方完成支付活動(dòng)的應(yīng)用軟件和信息系客戶端進(jìn)行用戶識(shí)別驗(yàn)證。paymentinformationserviceproviderdigitalcredential機(jī)構(gòu)通過數(shù)字憑據(jù)發(fā)行與認(rèn)證平臺(tái)(3.9)協(xié)助發(fā)卡機(jī)構(gòu)共同完成。digitalsignature制。與認(rèn)證平臺(tái)digitalcredentialissuanceandverificationplatformJRT—20233注：數(shù)字憑據(jù)發(fā)行與認(rèn)證平臺(tái)(以下簡(jiǎn)稱數(shù)字憑據(jù)平臺(tái))向支付路由網(wǎng)關(guān)(3.10)提供數(shù)字印簽解密服務(wù)，向發(fā)卡銀行卡相關(guān)交易關(guān)鍵信息及應(yīng)用密文信息的加密服務(wù)。ymentroutinggateway實(shí)現(xiàn)支付信息服務(wù)提供方與收單機(jī)構(gòu)之間信息互聯(lián)互通及受理場(chǎng)景開放，承擔(dān)支付信息服務(wù)提供系統(tǒng)。enttokenD支付信息服務(wù)提供方根據(jù)數(shù)字憑據(jù)平臺(tái)規(guī)定的數(shù)據(jù)格式發(fā)送的卡包客戶端ID、移動(dòng)終端設(shè)備ID及rootcertificationauthority4縮略語(yǔ)APP：應(yīng)用程序(Application)ATC：應(yīng)用交易計(jì)數(shù)器(ApplicationTransactionCounter)JRT20234方CVN卡片驗(yàn)證碼2(CardVerificationNumber2)方ID：身份標(biāo)識(shí)號(hào)(IdentityDocument)MAC：消息認(rèn)證碼(MessageAuthenticationCode)PAN：主賬號(hào)(PrimaryAccountNumber)PIN：個(gè)人標(biāo)識(shí)碼(PersonalIdentificationNumber)RSA：RSA加密算法(RivestShamirAdleman)SHA：安全散列算法(SecureHashAlgorithm)TSP：標(biāo)記服務(wù)提供方(TokenServiceProvider)URL：統(tǒng)一資源定位符(UniformResourceLocator)5數(shù)字銀行卡體系架構(gòu)5.1技術(shù)架構(gòu)憑據(jù)實(shí)現(xiàn)對(duì)銀行卡的數(shù)字化管理和應(yīng)用。數(shù)字銀行卡技術(shù)架構(gòu)見圖1。機(jī)構(gòu)用戶商戶收單機(jī)構(gòu)轉(zhuǎn)接清算機(jī)構(gòu)發(fā)卡機(jī)構(gòu)設(shè)備與系統(tǒng)相關(guān)要求如下。a)卡包客戶端及發(fā)卡機(jī)構(gòu)客戶端等數(shù)字憑據(jù)載體運(yùn)行于用戶的移動(dòng)終端，在數(shù)字銀行卡受理商戶b)受理終端用于識(shí)別用戶付款碼，以及展示收款碼。c)收單業(yè)務(wù)系統(tǒng)向商戶提供交易受理服務(wù)、交易結(jié)果轉(zhuǎn)發(fā)服務(wù)，向轉(zhuǎn)接清算系統(tǒng)提供交易發(fā)送等d銀行卡清算機(jī)構(gòu)建設(shè)，具體功能要求如下?！c支付信息服務(wù)提供方建立安全有效的通信連接，向支付信息服務(wù)提供方發(fā)放相關(guān)數(shù)字證機(jī)構(gòu)的數(shù)字憑據(jù)下發(fā)請(qǐng)求，協(xié)助發(fā)卡機(jī)構(gòu)生成完整的數(shù)字憑據(jù)。JRT—20235加解密服務(wù)。e)支付路由網(wǎng)關(guān)應(yīng)按照銀行卡清算機(jī)構(gòu)相關(guān)技術(shù)要求接入數(shù)字憑據(jù)平臺(tái)，具體功能要求如下。數(shù)字憑據(jù)平臺(tái)發(fā)行的支付信息服務(wù)提供方相關(guān)數(shù)字證書及公鑰，驗(yàn)證支付信息服實(shí)性。銀行卡受理商戶線下收款場(chǎng)景中收單機(jī)構(gòu)訂單的付款碼信息，完成訂單的尋址和銀行卡持卡人線下付款場(chǎng)景中支付信息服務(wù)提供方訂單中的商戶收款碼信息或收息服務(wù)提供方信息，完成訂單的尋址和路由。銀行卡線上支付訂單中的支付信息服務(wù)提供方和收單機(jī)構(gòu)信息，完成訂單的尋址數(shù)字憑據(jù)平臺(tái)連接，調(diào)用數(shù)字憑據(jù)平臺(tái)相關(guān)服務(wù)功能完成數(shù)字憑據(jù)的校驗(yàn)、解析和組加解密和校驗(yàn)，以及訂單關(guān)鍵要素信息加密。收款碼包含的支付域名鏈接的安全掃描、交易風(fēng)險(xiǎn)監(jiān)測(cè)等。f)轉(zhuǎn)接清算系統(tǒng)在金融支付服務(wù)中提供交易轉(zhuǎn)接清算服務(wù)。SPh)賬戶管理系統(tǒng)為銀行賬戶提供資金管理、結(jié)算等業(yè)務(wù)處理服務(wù)。.2數(shù)字憑據(jù)相關(guān)要素要求5.2.1數(shù)據(jù)元屬性要求中文名稱、英文名稱、數(shù)據(jù)格式和說明，具體要求如下。a據(jù)元的中文名稱，在一定語(yǔ)境下該名稱應(yīng)保持唯一。b)英文名稱：數(shù)據(jù)元的英文名稱，在一定語(yǔ)境下該名稱應(yīng)保持唯一。a表示字母字符。n表示數(shù)字字符。m表示任意字符?！猦h:mm:ss為時(shí)間格式(24小時(shí)制)，表示時(shí)分秒。如下。a表示定長(zhǎng)為10的字母字符?！猲5表示定長(zhǎng)為5的數(shù)字字符。nMax20)表示最長(zhǎng)為20個(gè)數(shù)字字符。5.2.2數(shù)字憑據(jù)關(guān)鍵要素器、銀行卡數(shù)字化卡面鏈接、脫敏主賬號(hào)信息等關(guān)鍵要素共同構(gòu)成，具體要素見表1。JRT20236據(jù)關(guān)鍵要素表識(shí)符靜態(tài)數(shù)據(jù)密文tureansMax6)卡清算機(jī)構(gòu)根據(jù)銀行卡關(guān)鍵要素加密生成的密ntialVersionanMax)本信息。erIdnsMaxATCnMax(16)在數(shù)字憑據(jù)的有效期內(nèi)，每次交易自動(dòng)加1的計(jì)數(shù)銀行卡數(shù)字化卡面鏈接cLinkansMax024)數(shù)據(jù)的網(wǎng)絡(luò)鏈接地址。賬號(hào)信息hiddenPannsMax信息，用于卡面展示，不多于PAN的前4位的組合。識(shí)符應(yīng)用密文yptednsMax由發(fā)卡機(jī)構(gòu)按照銀行卡應(yīng)用密文關(guān)鍵要素加密生成記nsMaxID要素表識(shí)符lletIdnsMaxIdnsMax設(shè)備型號(hào)的前8位加摘要算法加密的設(shè)備操作系統(tǒng)16位。serIdnsMax采用摘要算法對(duì)卡包客戶端用戶賬號(hào)加密，取前105.2.3數(shù)字印簽關(guān)鍵要素?cái)?shù)字印簽由卡包客戶端或支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)使用數(shù)字印簽加密公鑰對(duì)數(shù)字印簽關(guān)鍵要機(jī)構(gòu)對(duì)數(shù)字憑據(jù)的真實(shí)性、有效性進(jìn)行校驗(yàn)。數(shù)字印簽由以下數(shù)據(jù)元共同構(gòu)成，具體見表4。簽關(guān)鍵要素表識(shí)符靜態(tài)數(shù)據(jù)密文tureansMax6)銀行卡清算機(jī)構(gòu)根據(jù)銀行卡關(guān)鍵要素加密生成的密erIdnsMax組合域，見表3說明。JRT—20237續(xù))識(shí)符ATCnMax(16)在數(shù)字憑據(jù)的有效期內(nèi)，每次交易自動(dòng)加1的計(jì)數(shù)位置信息userLocInfoDataansMax6)息數(shù)據(jù)。素摘要gestansMax6)使用SM3或SHA256等算法對(duì)訂單關(guān)鍵要素計(jì)算得到機(jī)構(gòu)代碼、商戶代碼、終端號(hào)、商戶地理位置信息、終端硬件序列號(hào)共同構(gòu)成，具體見表5。識(shí)符間YYYY-MM-DDhh:mm:ss時(shí)間。nMax(18)。nMax(10)，例如消費(fèi)、預(yù)授權(quán)、退貨。cyCode。rIdanMax40)qInsCodeanMax11)merIdns信息merLocInfoDataansMax6)號(hào)ansMax8)終端唯一標(biāo)識(shí)，僅用于數(shù)字銀行卡線下支付渠道中5.2.4銀行卡應(yīng)用密文關(guān)鍵要素行校驗(yàn)的關(guān)鍵要素之一。銀行卡應(yīng)用密文關(guān)鍵要素由以下數(shù)據(jù)元共同構(gòu)成，具體見表6。識(shí)符ANanMax19)peanMax)卡、貸記卡、準(zhǔn)貸記卡等銀行卡類型。等級(jí)evelanMax)。andNumanMax)foanMax)JRT202385.2.5數(shù)字憑據(jù)管理關(guān)鍵要素等功能的關(guān)鍵要素，具體見表7。表識(shí)符erNmDigestansMax6)人姓名，宜采用摘要值的方式進(jìn)行脫敏SMSHA256等算法。型Tp碼fIdDigestansMax6)，支持SM3和SHA256等算法。phoneNoDigestnMax(256)SMSHA。APPIdnsMaxIdnsMax設(shè)備型號(hào)的前8位加摘要算法加密的設(shè)備操作系統(tǒng)編serIdnsMaxANanMax19)銀行卡主賬號(hào)，用戶手輸卡號(hào)進(jìn)行數(shù)字ansMax(1024)要的簽名，簽名使用支付信息服務(wù)提供CA私鑰。位置信息userLocInfoDataansMax6)端采集的實(shí)時(shí)地理位置信息數(shù)據(jù)。6數(shù)字憑據(jù)關(guān)鍵控制過程數(shù)字憑據(jù)生成1概述用戶通過卡包客戶端或發(fā)卡機(jī)構(gòu)客戶端等數(shù)字憑據(jù)載體發(fā)起銀行卡數(shù)字化請(qǐng)求，數(shù)字憑據(jù)平臺(tái)從目標(biāo)客戶端。1.2數(shù)字憑據(jù)拉取用戶通過卡包客戶端選擇申請(qǐng)拉取數(shù)字憑據(jù)的發(fā)卡機(jī)構(gòu)，并實(shí)時(shí)調(diào)用發(fā)卡機(jī)構(gòu)客戶端進(jìn)行登錄授JRT—20239TSP系統(tǒng)系統(tǒng)發(fā)卡機(jī)構(gòu)客戶端3卡包客戶端支付信息服業(yè)務(wù)系統(tǒng)6662121555612統(tǒng)612 TSP系統(tǒng)系統(tǒng)發(fā)卡機(jī)構(gòu)客戶端3卡包客戶端支付信息服業(yè)務(wù)系統(tǒng)6662121555612統(tǒng)612 4數(shù)字憑據(jù)數(shù)字憑據(jù)平臺(tái)用戶支付信息服務(wù)提供方銀行卡清算機(jī)構(gòu)發(fā)卡機(jī)構(gòu)標(biāo)引序號(hào)說明：1——支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)接收卡包客戶端發(fā)起的數(shù)字憑據(jù)申請(qǐng)請(qǐng)求，并向數(shù)字憑據(jù)平臺(tái)提交數(shù)字憑據(jù)申請(qǐng)請(qǐng)2——數(shù)字憑據(jù)平臺(tái)向支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)返回支持?jǐn)?shù)字憑據(jù)業(yè)務(wù)的發(fā)卡機(jī)構(gòu)信息列表及數(shù)字憑據(jù)申請(qǐng)憑證號(hào)；機(jī)構(gòu)信息列表及數(shù)字憑據(jù)申請(qǐng)憑證號(hào)?？蛻舳诉x擇需要申請(qǐng)數(shù)字憑據(jù)的發(fā)卡機(jī)構(gòu)，并通過發(fā)卡機(jī)構(gòu)客戶端完成登錄授權(quán)并向其傳遞數(shù)字憑據(jù)4——發(fā)卡機(jī)構(gòu)客戶端向賬戶管理系統(tǒng)發(fā)起帶有數(shù)字憑據(jù)申請(qǐng)憑證號(hào)的數(shù)字憑據(jù)生成請(qǐng)求。平臺(tái)發(fā)送完整數(shù)字憑據(jù)至發(fā)卡機(jī)構(gòu)和支付信息服務(wù)提供方，由支付信息服務(wù)提供方將數(shù)字憑據(jù)拉取結(jié)果1.3數(shù)字憑據(jù)推送用戶通過發(fā)卡機(jī)構(gòu)客戶端選擇要綁定數(shù)字憑據(jù)的卡包客戶端，并實(shí)時(shí)調(diào)用卡包客戶端進(jìn)行登錄授成綁定，實(shí)現(xiàn)發(fā)卡機(jī)構(gòu)客戶端向卡包客戶端推送數(shù)字憑據(jù)，數(shù)字憑據(jù)推送申請(qǐng)流程見圖3。4用戶發(fā)卡機(jī)構(gòu)銀行卡清算機(jī)構(gòu)支付信息服務(wù)提供方號(hào)說明：請(qǐng)求，并向數(shù)字憑據(jù)平臺(tái)提交數(shù)字憑據(jù)申請(qǐng)請(qǐng)求。2——數(shù)字憑據(jù)平臺(tái)向賬戶管理系統(tǒng)返回支持?jǐn)?shù)字憑據(jù)業(yè)務(wù)的卡包客戶端信息列表及數(shù)字憑據(jù)申請(qǐng)憑證號(hào)；賬戶管理系端返回支持?jǐn)?shù)字憑據(jù)業(yè)務(wù)的卡包客戶端信息列表及數(shù)字憑據(jù)申請(qǐng)憑證號(hào)。3——用戶在發(fā)卡機(jī)構(gòu)客戶端選擇需要綁定數(shù)字憑據(jù)的卡包客戶端后，跳轉(zhuǎn)至卡包客戶端并向其傳遞數(shù)字憑據(jù)申請(qǐng)憑證JRT2023統(tǒng)111222統(tǒng)1112224——卡包客戶端向支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)發(fā)起帶有數(shù)字憑據(jù)申請(qǐng)憑證號(hào)的數(shù)字憑據(jù)生成請(qǐng)求，請(qǐng)求至少包含可接收支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)發(fā)起的數(shù)字憑據(jù)生成請(qǐng)求，并向賬戶管理系統(tǒng)請(qǐng)求銀行卡應(yīng)用密記得到銀行卡靜態(tài)數(shù)據(jù)密文后生成完整數(shù)字憑據(jù)。6——數(shù)字憑據(jù)平臺(tái)發(fā)送完整數(shù)字憑據(jù)至發(fā)卡機(jī)構(gòu)和支付信息服務(wù)提供方，由發(fā)卡機(jī)構(gòu)將數(shù)字憑據(jù)推送結(jié)果告知用戶發(fā)端。1.4數(shù)字憑據(jù)下發(fā)用戶通過卡包客戶端向發(fā)卡機(jī)構(gòu)申請(qǐng)數(shù)字憑據(jù)綁定，發(fā)卡機(jī)構(gòu)通過數(shù)字憑據(jù)平臺(tái)實(shí)現(xiàn)數(shù)字憑據(jù)下申請(qǐng)流程見圖4。SP用戶支付信息服務(wù)提供方銀行卡清算機(jī)構(gòu)發(fā)卡機(jī)構(gòu)號(hào)說明：1——用戶在卡包客戶端內(nèi)輸入數(shù)字憑據(jù)申請(qǐng)要素并由卡包客戶端向支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)發(fā)起數(shù)字憑據(jù)生成請(qǐng)密文信息和支付標(biāo)記得到銀行卡靜態(tài)數(shù)據(jù)密文后生成完整數(shù)字憑據(jù)，并下發(fā)到支付信息服務(wù)提供數(shù)字憑據(jù)更新1概述a)用戶端發(fā)起，例如用戶卡包客戶端賬號(hào)更新、移動(dòng)終端設(shè)備更換等。b)支付信息服務(wù)提供方端發(fā)起，例如支付信息服務(wù)提供方系統(tǒng)更新等。c委托等。.2用戶端發(fā)起更新下。a服務(wù)提供方的業(yè)務(wù)系統(tǒng)接受用戶通過卡包客戶端發(fā)起的數(shù)字憑據(jù)更新請(qǐng)求，并向數(shù)字新請(qǐng)求。JRT—2023b字憑據(jù)平臺(tái)完成數(shù)字憑據(jù)解析，并向發(fā)卡機(jī)構(gòu)發(fā)起數(shù)字憑據(jù)內(nèi)要素更新請(qǐng)求；發(fā)卡機(jī)構(gòu)完成息驗(yàn)證和更新，并返回?cái)?shù)字憑據(jù)平臺(tái)。2.3支付信息服務(wù)提供方端發(fā)起更新下。a信息服務(wù)提供方的業(yè)務(wù)系統(tǒng)在取得用戶明示同意后向數(shù)字憑據(jù)平臺(tái)發(fā)送數(shù)字憑據(jù)更新請(qǐng)求。求2.4發(fā)卡機(jī)構(gòu)端發(fā)起更新的數(shù)字憑據(jù)更新流程如下。a機(jī)構(gòu)向數(shù)字憑據(jù)平臺(tái)提交對(duì)1個(gè)或多個(gè)指定卡包客戶端的數(shù)字憑據(jù)更新請(qǐng)求。b數(shù)字憑據(jù)平臺(tái)完成完整數(shù)字憑據(jù)更新并向支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)返回更新結(jié)果。數(shù)字憑據(jù)注銷1概述a)用戶端發(fā)起，例如用戶解綁銀行卡等。b)支付信息服務(wù)提供方端發(fā)起，例如支付信息服務(wù)提供方系統(tǒng)下線等。.2用戶端發(fā)起注銷下。a)支付信息服務(wù)提供方的業(yè)務(wù)系統(tǒng)接受用戶通過客戶端發(fā)起的數(shù)字憑據(jù)注銷請(qǐng)求，并向數(shù)字憑據(jù)交數(shù)字憑據(jù)注銷請(qǐng)求。b數(shù)字憑據(jù)平臺(tái)完成數(shù)字憑據(jù)解析，并向發(fā)卡機(jī)構(gòu)發(fā)起數(shù)字憑據(jù)注銷請(qǐng)求；發(fā)卡機(jī)構(gòu)完成數(shù)字憑驗(yàn)證和注銷，并將注銷結(jié)果返回?cái)?shù)字憑據(jù)平臺(tái)。c臺(tái)完成數(shù)字憑據(jù)注銷，并向支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)返回注銷結(jié)果。支付信息業(yè)務(wù)系統(tǒng)返回注銷結(jié)果至用戶卡包客戶端。3.3支付信息服務(wù)提供方端發(fā)起注銷下。a務(wù)提供方的業(yè)務(wù)系統(tǒng)在取得用戶明示同意后向數(shù)字憑據(jù)平臺(tái)提交數(shù)字憑據(jù)注銷請(qǐng)求。求b數(shù)字憑據(jù)平臺(tái)完成數(shù)字憑據(jù)解析，并向發(fā)卡機(jī)構(gòu)發(fā)起數(shù)字憑據(jù)注銷請(qǐng)求；發(fā)卡機(jī)構(gòu)完成數(shù)字憑和注銷，并將注銷結(jié)果返回?cái)?shù)字憑據(jù)平臺(tái)。JRT202379 支付信息服務(wù)提供方卡包客戶端4商戶客戶端9TSP系統(tǒng)956支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)56279賬戶管理系統(tǒng)1收單業(yè)務(wù)統(tǒng)商戶業(yè)務(wù)統(tǒng)88133999支付路由轉(zhuǎn)接清算統(tǒng)c系統(tǒng)返回注銷結(jié)果。79 支付信息服務(wù)提供方卡包客戶端4商戶客戶端9TSP系統(tǒng)956支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)56279賬戶管理系統(tǒng)1收單業(yè)務(wù)統(tǒng)商戶業(yè)務(wù)統(tǒng)88133999支付路由轉(zhuǎn)接清算統(tǒng)3.4發(fā)卡機(jī)構(gòu)端發(fā)起注銷a機(jī)構(gòu)向數(shù)字憑據(jù)平臺(tái)提交對(duì)1個(gè)或多個(gè)指定卡包客戶端的數(shù)字憑據(jù)注銷請(qǐng)求。b)數(shù)字憑據(jù)平臺(tái)完成數(shù)字憑據(jù)注銷，并向支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)發(fā)送對(duì)應(yīng)數(shù)字憑據(jù)注銷結(jié)c務(wù)提供方。數(shù)字憑據(jù)應(yīng)用銀行卡線上渠道支付數(shù)字銀行卡線上渠道支付是數(shù)字銀行卡持卡人基于卡包客戶端或支付頁(yè)面通過通信網(wǎng)絡(luò)直接與后付交易為例，交易流程見圖5。銀行卡清算機(jī)構(gòu)數(shù)字憑據(jù)平臺(tái)用戶戶收單機(jī)構(gòu)轉(zhuǎn)接清算機(jī)構(gòu)發(fā)卡機(jī)構(gòu)號(hào)說明：易請(qǐng)求轉(zhuǎn)發(fā)至收單業(yè)務(wù)系統(tǒng)。收單機(jī)構(gòu)向商戶返回交易流水號(hào)。端并傳入交易信息。5——卡包客戶端通過支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)向支付路由網(wǎng)關(guān)查詢訂單信息；支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)根據(jù)6——用戶選擇數(shù)字憑據(jù)并確認(rèn)支付后，支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)使用數(shù)字印簽加密公鑰生成數(shù)字印簽并使用支付私鑰對(duì)訂單關(guān)鍵要素進(jìn)行簽名；卡包客戶端及支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)向支付路由網(wǎng)關(guān)發(fā)起JRT—2023TSP系統(tǒng)743743支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)3572TSP系統(tǒng)743743支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)35727——支付路由網(wǎng)關(guān)調(diào)用銀行卡清算機(jī)構(gòu)的數(shù)字憑據(jù)平臺(tái)驗(yàn)證數(shù)字憑據(jù)并解析數(shù)字印簽；數(shù)字憑據(jù)平臺(tái)用支付信息服務(wù)臺(tái)要素驗(yàn)證結(jié)果，使用發(fā)卡機(jī)構(gòu)加密公鑰加密用戶地理位置、銀行卡應(yīng)用密文、ATC等信息生成銀據(jù)平臺(tái)交易要素簽名、載體ID及訂單關(guān)鍵要素等信息的支付交易。成交易要素驗(yàn)證及交易處理。付路據(jù)至數(shù)字憑據(jù)平臺(tái)完成數(shù)字憑據(jù)更新，并通過支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)向卡包客戶端返回付交易流程圖字銀行卡線下渠道支付概述支付交易應(yīng)符合JR/T0245—2021要求。2數(shù)字銀行卡持卡人線下付款場(chǎng)景數(shù)字銀行卡持卡人線下付款場(chǎng)景是數(shù)字銀行卡持卡人通過卡包客戶端掃描商戶展示的收款碼并使卡完成交易信息處理的支付過程，交易流程見圖6。銀行卡清算機(jī)構(gòu)卡包客戶卡包客戶端用戶數(shù)字憑據(jù)平臺(tái)57支57支付路由7收單業(yè)務(wù)系統(tǒng)收款碼67收單業(yè)務(wù)系統(tǒng)收款碼66賬戶管理系統(tǒng)1系統(tǒng)777收單機(jī)構(gòu)發(fā)卡機(jī)構(gòu)商戶收單機(jī)構(gòu)發(fā)卡機(jī)構(gòu)商戶號(hào)說明：商戶收款碼。戶端訪問收款碼URL，用戶輸入或者確認(rèn)金額。JRT2023支付信息服務(wù)提供方77574支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)TSP系統(tǒng)32支付路由網(wǎng)關(guān)275賬戶管理系統(tǒng)收單業(yè)務(wù)系統(tǒng)受理終端66轉(zhuǎn)接清算系統(tǒng)17177支付信息服務(wù)提供方77574支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)TSP系統(tǒng)32支付路由網(wǎng)關(guān)275賬戶管理系統(tǒng)收單業(yè)務(wù)系統(tǒng)受理終端66轉(zhuǎn)接清算系統(tǒng)17177支付路由網(wǎng)關(guān)推送包含卡包ID的訂單信息，支付路由網(wǎng)關(guān)基于卡包ID推送訂單信息數(shù)據(jù)至支付信息服4——用戶選擇數(shù)字憑據(jù)并確認(rèn)支付后，支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)使用數(shù)字印簽加密公鑰生成數(shù)字印簽并使用支付私鑰對(duì)訂單關(guān)鍵要素進(jìn)行簽名；卡包客戶端及支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)向支付路由網(wǎng)關(guān)發(fā)起據(jù)的支付交易。5——支付路由網(wǎng)關(guān)調(diào)用銀行卡清算機(jī)構(gòu)的數(shù)字憑據(jù)平臺(tái)驗(yàn)證數(shù)字憑據(jù)并解析數(shù)字印簽；數(shù)字憑據(jù)平臺(tái)用支付信息服務(wù)平臺(tái)要素驗(yàn)證結(jié)果，使用發(fā)卡機(jī)構(gòu)加密公鑰加密用戶地理位置、銀行卡應(yīng)用密文、ATC等信息生成銀完成交易要素驗(yàn)證及交易處理。數(shù)字憑據(jù)平臺(tái)完成數(shù)字憑據(jù)更新，并向支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)返回基于數(shù)字憑據(jù)的機(jī)構(gòu)向商戶返回交易結(jié)果。款場(chǎng)景流程圖數(shù)字銀行卡受理商戶線下收款場(chǎng)景數(shù)字銀行卡受理商戶線下收款場(chǎng)景是商戶通過受理設(shè)備讀取數(shù)字銀行卡持卡人通過卡包客戶端展示的數(shù)字銀行卡相關(guān)付款碼完成交易信息處理的支付過程，交易流程見圖7。商戶受理設(shè)備處于脫機(jī)時(shí)銀行卡清算機(jī)構(gòu)數(shù)字憑據(jù)平臺(tái)卡包客戶端用戶商戶收單機(jī)構(gòu)轉(zhuǎn)接清算機(jī)構(gòu)賬戶管理機(jī)構(gòu)號(hào)說明：JRT—2023單機(jī)構(gòu)通過支付路由網(wǎng)關(guān)向支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)驗(yàn)證付款碼。。戶完成支付確認(rèn)后，支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)使用數(shù)字印簽加密公鑰生成數(shù)字印簽并使用支付信息服務(wù)提供方私鑰對(duì)訂單關(guān)鍵要素進(jìn)行簽名；卡包客戶端及支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)向支付路由網(wǎng)關(guān)發(fā)起帶有數(shù)字憑支付交易。關(guān)調(diào)用銀行卡清算機(jī)構(gòu)的數(shù)字憑據(jù)平臺(tái)驗(yàn)證數(shù)字憑據(jù)并解析數(shù)字印簽；數(shù)字憑據(jù)平臺(tái)用支付信息服務(wù)平臺(tái)要素驗(yàn)證結(jié)果，使用發(fā)卡機(jī)構(gòu)加密公鑰加密用戶地理位置、銀行卡應(yīng)用密文、ATC等信息生成銀成交易要素驗(yàn)證及交易處理。由網(wǎng)關(guān)發(fā)送關(guān)鍵數(shù)據(jù)至數(shù)字憑據(jù)平臺(tái)完成數(shù)字憑據(jù)更新，并向支付信息服務(wù)提供方業(yè)務(wù)系統(tǒng)返回基于數(shù)字憑據(jù)的機(jī)構(gòu)向商戶返回交易結(jié)果。場(chǎng)景交易流程圖8數(shù)字銀行卡安全要求1數(shù)字憑據(jù)相關(guān)密碼算法要求.1.1數(shù)字憑據(jù)相關(guān)密鑰鑰名稱對(duì)象地點(diǎn)式密機(jī)隨生文關(guān)鍵要素(見5.2.4)護(hù)構(gòu)私鑰計(jì)、銀行卡應(yīng)塊itSMbit(RSA)機(jī)產(chǎn)生機(jī)構(gòu)加密公的簽名bitSM)bit(RSA)護(hù)構(gòu)相關(guān)加密密鑰名稱、生成方法、加解密對(duì)象、存儲(chǔ)地點(diǎn)、長(zhǎng)度、保護(hù)方式見表JRT2023鑰名稱對(duì)象地點(diǎn)式靜態(tài)數(shù)密密鑰入或加密機(jī)隨機(jī))、支付標(biāo)記護(hù)加密字印簽私鑰計(jì)算數(shù)字印簽關(guān)鍵要素(見)塊bitSMbit(RSA)加密隨機(jī)產(chǎn)生數(shù)字印簽加密bitSM)bit(RSA)護(hù)稱驗(yàn)簽對(duì)象地點(diǎn)式平臺(tái)字憑據(jù)平臺(tái)私鑰成卡包憑據(jù)公鑰證書平臺(tái)私鑰簽名bitSMbit(RSA)平臺(tái)隨機(jī)產(chǎn)生包憑據(jù)公鑰簽名生據(jù)公鑰證書bitSM)bit(RSA)護(hù)息服務(wù)公鑰付信息服務(wù)提供計(jì)算生成支付信息服務(wù)提供交易的訂單關(guān)鍵數(shù)字印簽簽名bitSMbit(RSA)息服務(wù)私鑰密機(jī)隨機(jī)產(chǎn)生單關(guān)鍵要素和數(shù)字bitSM)bit(RSA)護(hù).1.2密碼算法要求如下。a)應(yīng)使用密碼算法對(duì)數(shù)字憑據(jù)相關(guān)的數(shù)據(jù)(數(shù)字印簽、銀行卡應(yīng)用密文等)進(jìn)行加解密。MSM.1.3密鑰管理8.1.3.1密鑰生成相關(guān)密鑰的生成方式見8.1.1。8.1.3.2密鑰分發(fā)數(shù)字印簽加密公鑰由銀行卡清算機(jī)構(gòu)的數(shù)字憑據(jù)平臺(tái)私鑰簽名生成數(shù)字印簽加密公鑰證書，并與發(fā)卡機(jī)構(gòu)自主生成，并與銀行卡清算機(jī)構(gòu)通過雙方商定途徑分發(fā)。8.1.3.3密鑰存儲(chǔ)JRT—2023a)應(yīng)以加密、安全存儲(chǔ)模塊、分散存儲(chǔ)等方式存儲(chǔ)數(shù)據(jù)加密密鑰。b)應(yīng)確保逆向工程、已知漏洞攻擊等手段無(wú)法獲取密鑰。c)應(yīng)采取適當(dāng)?shù)脑L問控制，確保存儲(chǔ)的密鑰在未授權(quán)時(shí)不被訪問與使用，防范密鑰泄漏或?yàn)E用。8.1.3.4密鑰銷毀新。2卡包客戶端安全要求.2.1組件安全組件安全要求如下。a)應(yīng)避免使用存在安全漏洞的系統(tǒng)組件或第三方組件。b應(yīng)避免第三方組件未經(jīng)授權(quán)采集卡包客戶端軟件信息、用戶金融信息及個(gè)人信息。.2.2接口安全接口安全要求如下。bURL異常。c已知漏洞的接口。8.2.3抗攻擊能力擊能力應(yīng)符合JR/T0092—2019中抗攻擊要求。.2.4軟件運(yùn)行環(huán)境檢測(cè)JRT測(cè)要求。8.2.5軟件安全管理JRT件管理要求。8.2.6軟件權(quán)限控制軟件權(quán)限控制應(yīng)符合JR/T0092—2019中客戶端應(yīng)用軟件安全中的權(quán)限控制要求。8.2.7密碼算法管理a)應(yīng)使用符合國(guó)家相關(guān)密碼管理政策規(guī)定的算法對(duì)數(shù)字憑據(jù)加密保護(hù)。b)隨機(jī)生成的密鑰應(yīng)具備隨機(jī)性與不可預(yù)測(cè)性。3交易報(bào)文安全要求8.3.1交易完整性JRT2023a對(duì)傳輸信息的鑒別機(jī)制，確保發(fā)出交易信息的完整性。b應(yīng)具備對(duì)接收信息的驗(yàn)證機(jī)制，確保接收交易信息的完整性。M8.3.2交易保密性進(jìn)行加密保護(hù)，防范信息的泄露。8.3.3異常交易防范要求如下。b)應(yīng)通過校驗(yàn)交易報(bào)文和數(shù)字憑據(jù)密文中的載體ID，防止復(fù)制數(shù)字憑據(jù)的交易。c予以拒絕，并返回錯(cuò)誤信息。d證書、電子簽名在內(nèi)的2類及以上有效要素對(duì)交易進(jìn)行驗(yàn)證。4數(shù)據(jù)安全要求8.4.1數(shù)據(jù)采集8.4.1.1基本要求全技術(shù)應(yīng)符合JR/T0171—2020的要求。8.4.1.2用戶信息采集a)應(yīng)公開采集和使用用戶信息的規(guī)則。b)應(yīng)明示采集和使用用戶信息的目的、方式和范圍。c)不應(yīng)隱瞞應(yīng)用軟件產(chǎn)品或服務(wù)所具有的自動(dòng)采集個(gè)人信息的功能。8.4.1.3銀行卡信息采集方、商戶或收單機(jī)構(gòu)采集銀行卡信息時(shí)，要求如下。a)不應(yīng)采集非業(yè)務(wù)必要的銀行卡信息。b)不應(yīng)在用戶未授權(quán)的情況下直接或間接對(duì)外提供所采集的信息。8.4.2數(shù)據(jù)傳輸8.4.2.1基本要求8.4.2.2數(shù)據(jù)完整性據(jù)完整性要求如下。a)對(duì)于數(shù)字憑據(jù)相關(guān)的敏感數(shù)據(jù)，例如用戶身份信息、用戶授權(quán)信息(包括但不限于活體檢測(cè)信息、真實(shí)意愿表達(dá)信息)、原始銀行卡信息等，各參與方在進(jìn)行數(shù)據(jù)傳輸時(shí)應(yīng)采取措施(數(shù)字、MAC等)確保數(shù)據(jù)完整性。b)對(duì)于交易相關(guān)的關(guān)鍵數(shù)據(jù)，例如訂單號(hào)、交易金額、交易雙方信息等，各參與方進(jìn)行數(shù)據(jù)傳輸JRT—2023時(shí)應(yīng)采取措施(數(shù)字簽名、MAC等)確保數(shù)據(jù)完整性。c)在檢測(cè)到數(shù)據(jù)完整性錯(cuò)誤時(shí)，應(yīng)采取必要的恢復(fù)措施或發(fā)起停止執(zhí)行請(qǐng)求。8.4.2.3數(shù)據(jù)保密性a)對(duì)于數(shù)字憑據(jù)相關(guān)的敏感數(shù)據(jù)，例如用戶身份信息、用戶授權(quán)信息(包括但不限于活體檢測(cè)信息、真實(shí)意愿表達(dá)信息)、原始銀行卡信息等，各參與方進(jìn)行數(shù)據(jù)傳輸時(shí)應(yīng)采取加密等措施確b)對(duì)于交易的敏感數(shù)據(jù)，例如訂單號(hào)、交易金額、交易雙方信息等，各參與方進(jìn)行數(shù)據(jù)傳輸時(shí)應(yīng)加密等措施確保其保密性。c要求。8.4.2.4數(shù)據(jù)抗抵賴數(shù)據(jù)抗抵賴性要求如下。a)應(yīng)確保數(shù)字憑據(jù)相關(guān)的數(shù)據(jù)可抗抵賴，宜采用數(shù)字證書技術(shù)等措施。b)應(yīng)確保交易報(bào)文數(shù)據(jù)可抗抵賴，宜采用數(shù)字證書技術(shù)等措施。c)若無(wú)法滿足抗抵賴要求，應(yīng)設(shè)計(jì)風(fēng)險(xiǎn)交易處置方案，確保用戶的合法利益。8.4.2.5數(shù)據(jù)防重放據(jù)防重放要求如下。a)數(shù)字憑據(jù)生成、更新、注銷的報(bào)文數(shù)據(jù)應(yīng)包含載體ID、時(shí)間戳等信息。b)基于數(shù)字憑據(jù)的交易報(bào)文數(shù)據(jù)應(yīng)包含支付標(biāo)記、交易要素、時(shí)間戳等信息。支付信息服務(wù)提供方使用支付信息服務(wù)提供方私鑰(支付信息服務(wù)提供方公鑰和私鑰由銀行卡清算機(jī)構(gòu)配發(fā))對(duì)數(shù)字憑據(jù)真實(shí)性、完整性。8.4.3數(shù)據(jù)存儲(chǔ)8.4.3.1基本要求8.4.3.2對(duì)參與方的要求算機(jī)構(gòu)、支付信息服務(wù)提供方、a卡機(jī)構(gòu)：取措施安全存儲(chǔ)用戶的身份鑒別信息和支付敏感信息。數(shù)字憑據(jù)相關(guān)發(fā)卡機(jī)構(gòu)私有數(shù)據(jù))，包括但不限于加密保護(hù)、訪問權(quán)限控制。b)銀行卡清算機(jī)構(gòu)：——應(yīng)采取措施安全存儲(chǔ)由數(shù)字憑據(jù)平臺(tái)生成的數(shù)字憑據(jù)相關(guān)信息(例如支付標(biāo)記、載體ID、數(shù)字印簽等)，包括但不限于加密保護(hù)、訪問權(quán)限控制。c和支付敏感信息。JRT2023d)支付信息服務(wù)提供方：——應(yīng)采取措施安全存儲(chǔ)用戶的數(shù)字憑據(jù)相關(guān)信息(例如支付標(biāo)記、數(shù)字印簽等)，包括但不——不應(yīng)以任何形式存儲(chǔ)用戶的銀行卡信息(例如CVN2、有效期、PAN等)?！粦?yīng)留存用戶身份鑒別信息(例如用戶遠(yuǎn)程面簽的身份鑒別信息、用戶用于發(fā)起交易的身份鑒別信息等)。e)商戶和收單機(jī)構(gòu)：8.4.4數(shù)據(jù)使用8.4.5數(shù)據(jù)更新a)數(shù)據(jù)更新前，應(yīng)對(duì)參與方進(jìn)行身份驗(yàn)證。b)數(shù)據(jù)更新前后，應(yīng)做好關(guān)聯(lián)系統(tǒng)的信息同步，確保關(guān)聯(lián)系統(tǒng)同步完成數(shù)據(jù)更新。de應(yīng)及時(shí)清除歷史數(shù)據(jù)或用于數(shù)據(jù)更新的臨時(shí)性數(shù)據(jù)。4.6數(shù)據(jù)刪除與銷毀a)數(shù)據(jù)刪除的基本安全技術(shù)應(yīng)符合JR/T0171—2020的相關(guān)要求。b)數(shù)據(jù)銷毀的基本安全技術(shù)應(yīng)符合JR/T0171—2020的相關(guān)要求。c息泄漏。d)卡包客戶端被卸載(或銷毀)后，不應(yīng)殘留任何用戶的數(shù)字憑據(jù)相關(guān)信息。刪除(或銷毀)失效數(shù)字憑據(jù)相關(guān)的數(shù)據(jù)。f)完成數(shù)字憑據(jù)生成后，卡包客戶端應(yīng)立即刪除(或銷毀)用戶的身份鑒別信息、原始銀行卡信g密性等安全屬性受到潛在威脅，應(yīng)及時(shí)對(duì)數(shù)據(jù)進(jìn)行銷毀或采取適當(dāng)措施。8.4.7數(shù)據(jù)訪問控制。a)應(yīng)采取措施保護(hù)數(shù)字憑據(jù)參與方采集和存儲(chǔ)的數(shù)據(jù)僅能被授權(quán)用戶或授權(quán)應(yīng)用接口訪問。b)應(yīng)以最小必要原則來限定數(shù)據(jù)的訪問范圍和訪問權(quán)限。c)應(yīng)采取措施防范常見的攻擊，例如越權(quán)訪問、口令暴力破解等。8.4.8數(shù)據(jù)異常處理。a訪問等。b)應(yīng)能夠?qū)惓?shù)據(jù)恢復(fù)至異常出現(xiàn)前的有效狀態(tài)。JRT—20235系統(tǒng)安全要求5.1概述8.5所指的系統(tǒng)為處理數(shù)字憑據(jù)數(shù)據(jù)和交易數(shù)據(jù)的信息系統(tǒng)，應(yīng)至少滿足GB/T22239—2019的信息JRT20的第三級(jí)安全要求。8.5.2物理環(huán)境安全RT8.5.3通訊網(wǎng)絡(luò)安全RT8.5.4區(qū)域邊界安全RT8.5.5計(jì)算環(huán)境安全RT8.5.6運(yùn)維管理安全RT.5.7會(huì)話安全a)應(yīng)符合JR/T0071.2—2020的相關(guān)要求。b)會(huì)話標(biāo)識(shí)應(yīng)唯一、隨機(jī)、不可猜測(cè)。c令、d)應(yīng)設(shè)置超時(shí)會(huì)話限制，當(dāng)空閑時(shí)間超過設(shè)定時(shí)間應(yīng)自動(dòng)終止會(huì)話。e)會(huì)話結(jié)束后，應(yīng)及時(shí)清除會(huì)話信息。f)應(yīng)采取加密等措施防止會(huì)話令牌在傳輸、存儲(chǔ)過程中被竊取。g)應(yīng)使用審計(jì)日志記錄暴力破解會(huì)話令牌的事件。8.5.8常見攻擊防范a)應(yīng)在服務(wù)器端對(duì)用戶提交的數(shù)據(jù)進(jìn)行有效性檢查(例如對(duì)提交的表單、參數(shù)等進(jìn)行合法性判斷b)應(yīng)采取有效措施防范暴力破解。c)應(yīng)采取有效措施防范服務(wù)器端的拒絕服務(wù)攻擊。d)應(yīng)對(duì)支付交易中包含的網(wǎng)址等信息進(jìn)行校驗(yàn)，對(duì)非法地址和惡意請(qǐng)求進(jìn)行攔截。e)應(yīng)對(duì)文件的上傳和下載進(jìn)行訪問控制，避免執(zhí)行惡意文件或未授權(quán)訪問。JRT2023f范應(yīng)用程序中不可信數(shù)據(jù)被解析為命令或查詢語(yǔ)句等。g)應(yīng)開發(fā)安全的接口，例如通過避免語(yǔ)句的完全解釋或采用參數(shù)化接口等方式實(shí)現(xiàn)，防范接口被權(quán)調(diào)用。h)應(yīng)使用安全控件、安全插件等措施以降低惡意軟件竊取敏感信息的風(fēng)險(xiǎn)。i)應(yīng)通過自動(dòng)化工具(例如弱點(diǎn)掃描工具、靜態(tài)代碼檢測(cè)工具等)對(duì)應(yīng)用程序進(jìn)行檢查。k)數(shù)據(jù)庫(kù)應(yīng)使用存儲(chǔ)過程或參數(shù)化查詢，并嚴(yán)格定義數(shù)據(jù)庫(kù)用戶的角色和權(quán)限。9公鑰認(rèn)證體系數(shù)字憑據(jù)公鑰認(rèn)證體系是1個(gè)獨(dú)立的樹狀結(jié)構(gòu)公鑰基礎(chǔ)設(shè)施體系(PKI)，包括根CA、銀行卡清算機(jī)CA管理整個(gè)根CA認(rèn)證體系運(yùn)行，職責(zé)如下。aCA公鑰認(rèn)證服務(wù)注冊(cè)流程、根CA公鑰證書發(fā)放流程。b)對(duì)根CA公鑰認(rèn)證運(yùn)營(yíng)機(jī)構(gòu)進(jìn)行審核、監(jiān)督、安全評(píng)估。c)對(duì)根CA公鑰長(zhǎng)度及有效期進(jìn)行安全評(píng)估和調(diào)整等。根CA公鑰認(rèn)證運(yùn)營(yíng)機(jī)構(gòu)在管理機(jī)構(gòu)的管理下，負(fù)責(zé)根CA系統(tǒng)的根CA公鑰和私鑰對(duì)生成和系統(tǒng)的安作及管理等工作。根CA相關(guān)密鑰包括數(shù)字憑據(jù)平臺(tái)公鑰和私鑰、支付信息服務(wù)提供方公鑰和私鑰以及支付路由網(wǎng)關(guān)1。稱驗(yàn)簽對(duì)象地點(diǎn)式平臺(tái)根CA字憑據(jù)平臺(tái)CA鑰計(jì)算生成數(shù)字憑據(jù)平臺(tái)發(fā)送的交itSMbit(RSA)平臺(tái)根CA隨機(jī)產(chǎn)生字憑據(jù)平臺(tái)發(fā)送的交易文簽名bitSM)bit(RSA)備息服務(wù)提供付信息服務(wù)根CA私鑰計(jì)支付信息服務(wù)提供方發(fā)的交易報(bào)文簽名itSMbit(RSA)JRT—2023稱驗(yàn)簽對(duì)象地點(diǎn)式息服務(wù)提供A隨機(jī)產(chǎn)生付信息服務(wù)提供方的交bitSM)bit(RSA)備由網(wǎng)關(guān)根CA付路由網(wǎng)關(guān)CA計(jì)算生成支付路由網(wǎng)關(guān)發(fā)送的交itSMbit(RSA)由網(wǎng)關(guān)根CA隨機(jī)產(chǎn)生付路由網(wǎng)關(guān)發(fā)送的交易文簽名bitSM)bit(RSA)備9.3.1概述CA以根CA公鑰文件形式進(jìn)行傳遞。CA命名格式為“銀行卡清算機(jī)構(gòu)服務(wù)號(hào).銀行卡清算機(jī)構(gòu)標(biāo)識(shí)+公鑰索引”。信息服務(wù)提供方的安全技術(shù)要求。CA字憑據(jù)平臺(tái)、支付路由網(wǎng)關(guān)的雙向認(rèn)證。卡包客戶端展示數(shù)字銀行卡應(yīng)包含銀行卡界面、脫敏PAN信息、發(fā)卡機(jī)構(gòu)與銀行卡清算機(jī)構(gòu)標(biāo)識(shí)及JRT202313顯碼模塊掃碼模塊受理終端掃碼模塊2顯碼模塊卡包客戶端13顯碼模塊掃碼模塊受理終端掃碼模塊2顯碼模塊卡包客戶端(資料性)脫機(jī)支付方案脫機(jī)支付方案適用于線下支付場(chǎng)景中，裝載數(shù)字憑據(jù)的用戶移動(dòng)終端和商戶的受理終2基本要求脫機(jī)支付方案的實(shí)現(xiàn)宜滿足以下基本要求。a)數(shù)字憑據(jù)平臺(tái)可使用數(shù)字憑據(jù)平臺(tái)私鑰為卡包客戶端內(nèi)數(shù)字憑據(jù)簽發(fā)卡包憑據(jù)公鑰證書，并向公鑰；開通階