2023年整理-省IC卡应用技术规范第部分.docx

《2023年整理-省IC卡应用技术规范第部分.docx》由会员分享，可在线阅读，更多相关《2023年整理-省IC卡应用技术规范第部分.docx（18页珍藏版）》请在课桌文档上搜索。

1、ICS.1.备案号：省地方标准DB37T.3-2009集成电路(IC)卡应用技术规范第3部分：终端Applicationtechnicalspecificationforintegratedcircuit(IC)cardPart3：Terminal(送审稿)2009- X-XX实施2009-X-XX发布山东省质量技术监督局发布目次前言11范围12规范性引用文件13术语和定义14符号和缩略语15基本性能要求11.1 基本物理配置11.2 交易时间要求16 IC卡终端的一般要求16.1 一般要求说明16.2 IC卡终端的物理特性，逻辑接口，通信协议16.3 终端类型16.4 4功能部件的特性17

2、IC卡终端的多应用要求27.1 基本要求27.2 终端应用的管理27.3 IC卡应用选择28 IC卡终端的功能要求38.1消费类IC卡终端38.2服务类终端39IC卡终端的数据安全要求39.1一般安全要求39.2非正常中断数据恢复机制59.3安全存取模块的物理安全要求59.4安全存取模块的逻辑安全要求510黑名单管理51.1 1黑名单管理功能61.2 黑名单的记录类型61.3 黑名单检查61.4 黑名单更新61.5 黑名单库的容量要求611交易流程611.1 消费终端的交易流程611.2 非接触式CPU卡与消费终端的交易流程812IC卡终端安全要求1012. 1IC卡终端程序的下载1013.

3、2IC卡终端加载的安全存取模块1114. 3IC卡终端内部应用的安全1115. 4IC卡终端与外部设备通讯的安全1116. 5IC卡终端安全认证流程1113终端设备软件升级和维护1213.1 底层控制软件的升级和维护1213.2 应用程序的升级和维护13DB37TXXX-2009集成电路(IC)卡应用技术规范分为三个部分：第1部分：卡片技术；第2部分：卡应用；第3部分：终端。本部分为DB37TXXX-2009的第3部分，以第1部分和第2部分为基础，根据IC卡的应用，规定了一个能够从技术上保证“卡片通用，设备共享”的终端最基本要求。本标准为推荐性标准。本标准由山东省经济和信息化委员会提出。本标准

4、主要起草单位：XXX、XXXo本标准主要起草人：XXX、XXX、XXX、XXX、XXXo集成电路（IC）卡应用技术规范第3部分卡终端1范围DBTxxx的本部分规定了对终端的基本要求、终端的功能、黑名单管理以及终端应用程序的升级和维护等ODB/Txxx的本部分适用于支持本标准所规定的基本应用的终端设备。使用对象主要是与IC卡应用相关的终端设计、制造以及应用系统研制、开发、集成和维护等组织机构。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T14916识别卡物理特性GB

5、/T16649.1识别卡带触点的集成电路卡-第1部分：物理特性GB/T16649.2识别卡带触点的集成电路卡-第2部分：触点的尺寸与位置GB/T16649.3识别卡带触点的集成电路卡第3部分：电信号和传输协议GB/T17554.1识别卡测试方法第1部分:一般特性测试GB/T17554.3识别卡测试方法第3部分:带触点的集成电路卜及其相关接口设备GB/T18239集成电路（IC）卡读写机通用规范CJ/T166-2006建设事业集成电路（IC）卡应用技术JR/T0025中国金融集成电路（Ie）卡规范ISO/IEC14443（所有部分）识别卡无触点集成电路卡近程卡3术语和定义下列术语和定义适用于本标

6、准。3.1ICC连接器ICCconnectorICC连接器是IFD与ICC电气连接的物理实现部分。在逻辑上，本部分规定用它来标识与它电气上稳定连接的ICCo3.2典型交易时间typebealingtime典型交易时间是指IC卡终端在脱机交易状态下，从IC卡进入设备建立有效连接，经过卡认证，有效性判断，完成有价区有效扣减或增值，卡内存储相关交易信息所需要的时间，不包括发票打印时间，终端内存储交易数据的时间，数据下载和上传的时间等。4符号和缩略语IFD接口设备(InterfaCeDevice)MAC报文鉴别代码(MeSSageAuthenticationCode)SAM安全存取模块(SeCUreA

7、ccessModule)VCC电源电压(SUPPIyVoltage)5.1 基本物理配置对于任何类型的IC卡终端一般都应配置以下部件：显示部件，读写部件，至少2个安全存取模块（SAM）插座，数据交换通道，电源，内存或其它存储设备.上述部件应符合国家或行业的相关产品标准.5.2 IC卡终端典型交易时间要求非接触CPU卡消费类终端的典型交易时间不大于300mso非接触式逻辑加密卡消费类终端的典型交易时间不大于300mso接触式CPU卡消费类终端的典型交易时间不大于850mso服务类IC卡终端的交易时间不作规定。6IC卡终端的一般要求6.1 一般要求说明IC卡建设中采用的TC卡终端要求具有联机和脱机

8、功能，同时支持CPU卡与逻辑加密卡的联机和脱机读写操作。消费类IC卡终端和服务类IC卡终端的气候环境，机械环境，可靠性，安全性，电磁兼容性要求应符合产品的行业标准或地方标准。6.2 IC卡终端的物理特性，逻辑接口，通信协议a）接触式卡IC卡终端的物理特性应符合GB/T16649.1和GB/T16649.2的要求。b）接触式卡IC卡终端的逻辑接口，通讯协议应符合GB/T16649.3的要求。c）非接触卡IC卡终端的逻辑接口和通信协议应符合ISO/IEC14443.3和ISO/IEC14443.4的要求。6.3 终端类型支持IC卡应用的终端根据其工作方式的不同可以分为脱网终端和连网终端。表1给出这

9、二类终端的最低功能部件的配置要求。表1终端的最低功能部件配置要求终端部件脱网终端连网终端显示器MM读写单元MM键盘0M密码键盘0M安全存取模块M0存储设备0M打印机00网络通信接口0M实时时钟MM电源MMM必备0可选6.4 功能部件的特性6.4.1显示器用于交易过程显示及错误指示,本标准要求至少具有数字显示能力，并可显示汉字、字母和符号等。6.4.2IC卡接口设备6.4.2.1基本要求用于实现对符合本标准第1部分IC卡规范的储值卡，进行本标准第2部分应用所规定的各种应用所需的操作，它应符合本部分中的各项要求。6.4.2.2物理链接读写单元通过串行接口或USB接口与宿主进行通信下，读写单元若通过

10、USB接口与宿主交换数据，可采用四种传输方式之一，等时传输方式、中断传输方式、批处理方式、控制传输方式。串行读写单元通信波特率为115200,8,N,Ie6.4.3键盘用于输入交易数据及业务信息。至少应配置数字键及确认功能键。6.4.4安全存取模块用于对终端操作IC卡的权限鉴别和认证。6.4.5打印机根据业务需要，终端可配备相应的打印机。6. 4.6网络通信设备对于连机交易，终端应配备网络通信设备以用于终端与主机之间的数据传输，通信设备可扩展无线通信模块。7. 4.7存储设备终端应配备足够的存储空间，以便存储交易记录、业务数据及黑名单等信息。8. 4.8实时时钟用于提供业务处理所需的终端时间。

11、9. 4.9电源终端可以采用交流或直流方式供电。10. 4.10PSAM插槽终端必须有2个以上的PSAM卡可扩展插槽。11. IC卡终端的多应用要求11.1 本要求卡与终端应配合使用以保证交易安全、有效地运行。为了支持本标准第2部分的规定，本部分对实现多应用的终端提出一些管理应用和选择应用的具体原则。一般来说，如果IC卡上有超过一种以上的应用，则支持它的终端应给用户一个按应用优先级排序的列表以供选择。11.2 端应用的管理终端应用的管理应达到如下目标：应用之间不能互相影响，应相互独立运行，相互之间数据和程序不可交换。共享数据必须保证：a）各应用的内部数据不能被其它应用得到；b）所有的应用可以共

12、享终端中的通用数据；c）提供应用选择的标准界面；d）对应用进行管理（提供应用程序的选择、激活、禁止、参数设置等）。11.3 IC卡应用选择符合本标准第1部分的IC卡可实现一个或多个应用，终端应能够选择并支持这些应用。应用选择第2页共18页过程应符合本标准第2部分应用的规定。12. IC卡终端的功能要求12.1 费类IC卡终端12.1.1 一般要求消费类IC卡终端的消费交易允许持卡人使用电子钱包的余额获取服务，此交易在消费类IC卡终端中记录交易数据，由终端将交易记录数据上传到交易清算中心。注：本标准从IC卡终端角度对充值，消费交易的一般功能，流程等方面提出了基本要求，IC卡终端的个性化功能设计，

13、有关系统设计及后台处理等内容不属于本标准范围。12.1.2 全要求消费交易时，必须使用特定的消费安全存取模块(PSAM),PSAM是由IC卡发行主管部门或应用主管机构发行的、可以用于对IC卡进行脱机消费交易认证的认证卡，安装在各类消费类IC卡终端中。消费类IC卡终端在IC卡以及PSAM之间建立通信链路,消费类IC卡终端的安全认证由IC卡和PSAM共同完成.终端只是在IC卡和PSAM之间传输安全信息，不参与进行密钥运算过程。敏感数据不得以明码形式存储和通信。12.2 务类终端8.2.1一般要求IC卡充值交易无论在充值设备联机或脱机进行交易时,充值设备应首先对IC卡的合法性予以验证,同时检查账户状

14、况及其他交易数据，如果发卡方因某种原因不能接受交易，那么充值设备必须显示相应的告知信息。8.2.2安全要求联机充值系统应采用“三层体系结构”，即前台客户机系统一一中间件应用服务器系统一一后台中心数据库系统，通过中间件将前台客户机与后台数据库联系起来，由终端完成对卡片的充值操作，通过认证卡内密钥与ISAM卡是否匹配来确定是否是本系统卡。客户端程序发送给终端读卡指令后，终端将卡内的信息发送给客户端，用来显示给客户。如果继续充值，那么需要根据相应提示来确定充值金额。此时充值交易开始，客户端将充值金额和相关内容组成充值请求报文，发送给中间件。中间件首先判断请求报文是否合法以及有效，然后查询黑名单并进行

15、充值权限和授权充值额度的认证。认证通过后，后台交易流程开始，数据库记录本笔充值交易数据，相应扣减网点的充值额度，并将充值内容通过客户端返回给终端。终端根据发送回来的内容，再利用ISAM卡计算充值密钥，依据充值规则对用户卡进行充值。充值成功后，由客户端向后台返回充值成功报文，充值交易及后台交易流程均结束。如果充值过程中发生意外，无论是网络故障还是读写卡片时出现异常，客户端均进入冲正流程。冲正流程的原则是卡片先冲正，后台再冲正，以保证数据安全性。脱机充值交易时，必须使用特定的充值安全存取模块(ISAM)。ISAM是由IC卡发行主管部门或应用主管机构发行的可以用于对IC卡进行充值安全认证的卡(模块)

16、，安装在充值类终端中.充值类终端在IC卡以及ISAM之间建立通信链路，充值类终端的安全认证由IC卡和ISAM共同完成.充值类终端只是在IC卡和TSAM之间传输安全信息，不参与进行密钥运算过程。充值类终端在设计时应对交易清算中心授权的时间，次数和金额进行限制，防止该类终端在非法被使用时给系统造成重大损失(例如伪充值记录)O充值类终端在与交易清算中心的双向身份认证，密钥传送，授权，交易记录上传及黑名单下载等通讯过程应采用密文加校验传送。9IC卡终端的数据安全要求9.1 一般安全要求9.1.1 终端存储的数据类型终端一般存在两种类型的数据。通用数据：包括时间、终端识别号及终端业务记录等。外界可以对这

17、些数据进行访问，但不允许进行无授权修改。敏感数据：包括密钥、应用程序内部的参数（如SAM标识号，密钥索引）。在未授权的情况下，外界不允许对这类数据进行访问和修改。注：本节规定了终端数据存储、处理的一般性安全要求。同时也对安全存取模块（SAM）提出了具体的要求。安全存取模块（SAM）用于存贮安全密钥并负责进行安全加密。关于SAM具体的安全要求实现不属于本部分范围。9.1.2 通用数据的安全要求通用数据一般存放在存储器中。在更新参数以及下装新的应用程序时，终端应做到：a）验证更新方的身份，对于应用程序重新下载，只允许终端所有者，或者经终端所有者或代理方批准的第三方执行。b）校验下载参数及应用程序的

18、完整性。c）对存储器要求应做到：无论在什么情况下，终端的应用数据都不会随意改变或丢失，并保证数据有效。d）所有与交易相关的数据均应以记录形式存储于终端存储器中。终端应保证这些数据的完整性。9.1.3 防拔处理如果终端在处理IC卡交易时，卡被突然拔出或由于终端方面的原因突然停止操作（如发生断电），则终端应能根据本标准第2部分应用中的规定，当检测到拔卡并重新插入卡或终端恢复供电后对卡实施防拔处理。在以上情况下，终端应进入这样一种状态：即持卡人可重新插入原来的IC卡，并确认最后一次交易已经完成。如果持卡人未插入IC卡，则终端应提示持卡人重新插入原来的IC卡。如果插入的卡不是原来的卡，则终端应提示持卡

19、人重新插入原来的卡。终端还应能够自动（如超时）或以人工方式（如操作员按下取消键）退出这种待插卡状态。在防拔处理结束后，终端应执行以下操作之一：完成IC卡的最后一笔交易，向持卡人显示交易已完成（如果IC卡数据已被更新）。取消最后一笔交易，向持卡人显示交易已被取消（如果IC卡数据没有被更新）。9.1.4 敏感数据的安全要求敏感数据一般应存放在安全存取模块中。安全存取模块是一种能够提供必要的安全机制以防止外界对终端所储存或处理的数据进行非法攻击的硬件加密模块。此模块主要负责保存和处理所有的敏感数据，这些数据包括消费密钥或传输密钥等。对于安全存取模块的硬件形式在此规范中将不做具体要求。在正常的操作环境

20、下，对安全存取模块要求是出入模块的、以及其内部存放的和正在处理的数据不会由于模块自身或其接口造成任何泄露和改变。9.1.5 交易上传数据IC卡终端需要上传的交易记录至少包括如下46字节数据，其格式见表2。表2IC卡终端交易上传数据格式要求序号数据项（逻辑加密卡）格式长度数据项（CPU卡）长度备注1唯一号HEX4卡号162城市代码BCD23应用代码BCD24发行流水号BCD45卡认证码HEX46卡类BCD1卡类17钱包累计交易次数HEX2消费交易计数器28交易前余额HEX4交易前余额4交易前余额9交易金额HEX3交易金额310交易日期BCD4交易日期4YYYY/MM/DD11交易时间BCD3交易

21、时间3HH/MM/SS12交易类型BCD1交易类型113SAM卡号HEX6卡号614保留HEX2充值交易计数器2保留时以FF填充15TACHEX4TAC4合计46469.2 非正常中断数据恢复机制如果IC卡终端在处理IC卡交易时，卡被突然拔出或离开感应区或由于IC卡终端方面的原因突然停止操作（如发生断电），IC卡终端应能监测到卡被拔出又重新插入或重新进入感应区或检测到IC卡终端恢复供电，并对卡非正常交易的错误数据实施恢复处理。在以上情况下，IC卡终端应进入这样一种状态：即持卡人应将原来的IC卡重新插入或进入感应区，并等待最后一次交易完成。如果持卡人未将原来的IC卡插入或未进入感应区，则IC卡终

22、端应提示持卡人重新插入IC卡或将卡放入感应区。在上述操作后，IC卡终端应执行以下操作之一：a）完成IC卡的最后一笔交易，向持卡人显示交易已完成（如果Ie卡余额已被更新）；b）取消最后一笔交易，向持卡人显示交易已被取消（如果IC卡余额没有被更新）。9.3 安全存取模块的物理安全要求安全存取模块的硬件设计应能保证在物理上限制对其内部存贮的敏感数据的存取与窃取，以及对安全存取模块的非授权使用和修改。一旦安全存取模块受到非法的篡改及攻击，其自身应能够立即完成对内部敏感数据的删除。要实现这些目标，安全存取模块应具有防窃、查窃、窃取显示或窃取响应机制，同时，安全存取模块也应具有足够的防范特性，能够发现是否

23、被篡改过。总之，安全存取模块的设计和构造应遵照以下要求：只有通过特别的技术与工具,或严重破坏的方法,才能对模块的硬件或软件进行增加、替换或修改；任何对敏感数据的访问或修改，只有通过对模块的接触才能达到：a）安全存取模块的任何部分的损坏或失效都不会导致敏感数据的泄露。b）如果安全存取模块是由多个分离部件组合而成，而处理的数据又必须在这些部件之间传递，那么各部件须保持相同的安全级别。9.4 安全存取模块的逻辑安全要求一个安全存取模块的逻辑设计应保证,调用任何单一功能或组合功能,都不会导致敏感数据的泄露。对于某些敏感操作，应有一定的权限限制。安全存取模块中可存放多组不同版本不同索引的主密钥。所有的主

24、密钥通常应在终端投入使用之前被下载到安全模块中。如果在终端使用过程中，主密钥需要修改，应使用安全报文。实现这一操作通常应在特殊的授权情况下完成。对外部不能存在任何取得密钥的机会。为避免伪操作，存放在安全模块中的任何类型的主密钥应与某个特定的操作相结合。例如，主消费密钥将仅适用于处理“消费及取现”应用操作。在每一个交易结束或超时状态下，安全模块应自动清除内部缓存区中存放的数据。安全存取模块应能执行金融IC卡要求的安全信息的计算、校验。当符合标准的IC卡需要以安全报文方式传递信息时，安全存取模块应能够实现安全报文传递。所有与脱机交易相关的主密钥和敏感数据应存储在安全存取模块中。安全存取模块应可以实

25、现规定的加密算法和符合卡片规范中定义的主密钥到子密钥的分散算法。10.1 黑名单管理功能消费类终端和服务类终端应具有黑名单存储和检索功能，以实现ICk脱机交易的安全处理.黑名单管理包括黑名单的收集，分发，存储，检索，更新等原则性的定义，黑名单的收集，IC卡终端中黑名单的存储格式和内容的细节将不在本标准之内。10.2 黑名单的记录类型黑名单文件应该能够存储两种格式的黑名单记录：a）序列号。b）序列号的区间。10.3 黑名单检查黑名单检查操作在IC卡合法性检查过程中进行。卡片开始操作后，向IC卡终端回送包括应用序列号在内的公共数据，IC卡终端根据序列号进行黑名单检查操作，检查该卡是否在IC卡终端存

26、储的黑名单卡之列。10.4 黑名单更新黑名单文件更新包括增加，删除和重新下载等操作，具体的安全要求应包括：a）黑名单下载设备和IC卡终端间通信数据的安全性和完整性。b）IC卡终端对黑名单更新操作的安全认证。c）更新周期要满足应用要求。10.5 黑名单库的容量要求容量要满足应用的要求，最低不小于100o条。11交易流程11.1 消费终端的交易流程11.1.1 消费终端的交易流程要求说明IC卡终端的交易流程，是IC卡应用的基本技术要求。软件开发商和系统集成商在开发和实施IC卡应用系统项目时，应遵循本标准所规定的基本技术要求。11.1.2 非接触式逻辑加密卡与消费终端的交易流程图（以电子钱包消费交易

27、为例）非接触式逻辑加密卡电子钱包消费交易流程见图IoY认证钱包区、扣减正本交易金额认证公共信息区、改写正本进程标志认证钱包区、拷贝钱包副本认证公共信息区、拷贝信息区副本把交易时间、交易金额、交易次数送安全存储模块计算TAC存储消费记录结束图1非接触式逻辑加密卡电子钱包消费交易流程11.1.3 非接触式逻辑加密卡与消费终端的交易流程图说明非接触式逻辑加密卡在消费终端上的交易过程应按下列顺序进行：a）卡的合法性认证：消费终端检测到IC卡后首先要认证卡的合法性，避免系统受到非法卡、非系统卡、伪卡的侵害，IC卡和发行的认证应由PSAM负责；b）判黑名单标志：消费终端检查卡内黑名单标志，如卡内己作黑名单

28、标志，应退出交易；c）查黑名单：中断检查该卡是否列入终端存储的黑名单中，如该卡列入黑名单，应将黑名单标志写入该卡，存储黑名单交易记录，并退出交易；d）断点卡的判断及恢复处理：正式交易前，应对该卡上一次交易的完整性进行确认，如该卡上一次交易不完整，应进行恢复处理，恢复流程应根据本消费流程进行设计；e）判钱包区的合法性：消费终端应对钱包正副本进行检查，如发现两者不一致，应将正确的数据拷贝到不正确的数据块，同时对卡内钱包余额的有效性进行判断，如拷贝不成功或卡内钱包余额不足以支付本次消费，应退出交易；f）改写公共信息去正本进程标志：标识钱包消费交易开始；g）写卡内交易记录：记载钱包消费交易前的原额、本

29、次交易额等信息；h）扣减钱包正本交易金额：按消费额对钱包去正本进行减值操作；i）改写公共信息去正本进程标志：标识钱包消费交易完成；j）拷贝钱包区副本：将公共信息正本的数据传输给公共信息副本；k）拷贝公共信息区副本：将公共信息正本的数据传输给公共信息副本；1）安全存储模块计算TAC：消费终端把消费的相关数据（包括交易时间、交易金额、卡号等）送安全模块，计算TAC：m）存储消费交易记录：完成本次交易。上述交易过程中，如果出现卡片异常、通讯异常等错误，必须根据是否进行钱包的正本操作进行容错处理，进入冲正流程。11.2 非接触式CPU卡与消费终端的交易流程11.2.1 CPU卡与消费终端的交易流程图C

30、PU卡与消费终端的交易流程图见图2o图2CPU卡与消费终端的交易流程图11.2.2 CPU卡与消费终端的交易流程图说明CPU卡在消费终端上的交易过程应按下列顺序进行：a）卡的合法性与有效性判别：消费终端检测到IC卡后首先要对卡的合法性与有效性进行判断,避免非法卡、伪卡、无效卡等在系统内使用；b）判黑名单标志：消费终端检查卡内黑名单标志，如卡内己作黑名单标志，应退出交易；c）查黑名单：消费中断检查该卡是否列入终端存储的黑名单中，如该卡列入黑名单，应将黑名单标志写入该卡，存储黑名单交易记录，并退出交易；d）钱包有效性判断：消费终端应对卡内钱包余额的有效性进行判断，如卡内钱包余额不足以支付本次消费，

31、应退出交易；e）向卡片发出消费初始化命令，并接受卡片回送数据；f）PSAM生成过程密钥并计算MAC1；g）从电子钱包中扣除本次交易金额；h）生成TAC和MAC2,送PSAM校验MAC2；i）存储消费交易记录，完成本次交易。上述交易过程中，如尚未开始钱包正本交易金额扣减操作，消费终端应终止交易；如钱包正本交易金额扣减（第h步）成功，则应计算TAC和存储消费交易记录；如钱包正本交易金额扣减操作己经开始但无成功回应，则应要求持卡人重新刷卡的相应提示或存储相关交易记录供后台处理。11.2.3CPU卡消费的详细交易流程图CPU卡消费的详细交易安全认证流程图见图3oIC卡II终端IIPSAM卡设置当前应用

32、标志并送出应用序列号卡片产生过程密钥SK将原余额、脱机交易序号、透支 限额、密钥版本号、算法标志、 4字节伪I机数送卡外。IC 花用过程密钥SK验证MACl的 正确性。如果验证通过，则将从 氽额中扣除消费的金额：将卡片 脱机交易序号加1：更新交易明 细记录。用SK对相应数据计竟得到4字 节的MAC2；用内部密钥左右8字 节异或运算的结果对相应数据 计算得到4字日的TAC码。将MC2和TAC码回送给终端选择山东IC卡应用Select File接收应用序列号并保存 发送消贽初始化密令 Initialize For Purchase将收到的有关数据作为MACl计算命令 的DATA域，送MACl计算命

33、令给PSAM 卡终端将终端号、交易日期和时间以及 MACl作为消费命令的DATA域,发送消 费命令 Debit For Purchase 给 IC 卡终端接收到TAC码,确认交易成功, 并将MAC2送PSAM卡校验.终端接受确认信息PSAN卡按指定的密钥版本号，使用相应 的消费主密钢对应用序列号分故得到 消费子密钥。按卡片相同方法产生相同 的国彻骨那密钥SK,并计算产生MACl将MAeI回送给终端如果MAC2校验成功，则终端应记录该 笔交易并发送确认消息给终端，否则， PSAM卡应用错误计数器减1,当计数器 值为0时，PSAM卡将锁死。图3CPU卡消费的详细交易流程图12IC卡终端安全要求12

34、.1 IC卡终端程序的下载IC卡终端应统一编号，统一管理:a）开发终端程序的软件包应严格控制；b）终端对程序的下载应有相应安全机制控制，以防止非法下载；c）终端程序的下载应有专人执行，并作记录；d）编码规则：城市代码（2字节）+应用代码（2字节）+序列号（2字节）。12.2 IC卡终端加载的安全存取模块安全存取模块（PSAMlSAM、ESAM）应具备以下功能：a）保护所有敏感数据不会泄漏；b）受到非法攻击和篡改会自动删除内部的所有敏感数据；c）完成安全报文传送和密钥算法。12.3 IC卡终端内部应用的安全如果终端上有多个应用，在应用程序上应做到：公用数据可以共享,各应用的内部数据要相互独立。1

35、2 .4IC卡终端与外部设备通讯的安全终端与主机或前置机的通信安全：a）终端对输出的关键报文产生MAC,随报文一起传送，以防伪造的报文；b）终端对输入的关键报文验证MAC,以防伪造的报文；c）终端与PIN的输入设备密码键盘：如果需要持卡人输入密码，那么应从密码键盘得到密码的密文。12.5IC卡终端安全认证流程12.5.1 消费终端交易安全认证流程消费终端的交易安全认证涉及到CPU卡交易和逻辑加密卡交易两种流程。a）CPU卡消费交易安全认证流程；消费交易流程见图4。IC卡IPOS机IPSAM卡POS上电、PSAM卡上电PSAM卡初始化-初始化PSAM标识符卡片插入交易预处理一交易预处理发卡商标识

36、（8）卡片应用序列号10）一设置PSAM卡交易密钥命令发卡商标识（8）卡片应用序列号（10）一由应用序列号生成消费子密钥命令处理一消费初始化命令（DATA:密钥索引交易金额终端机编号）一返回密钥索引号返回：卡片余额、脱机交易序号、透支限额、密钥版本号、算法标识、伪随机数一申请PSAM卡产生交易MAel卡片余额、脱机交易序号、随机数、一命令处理命令处理验证MACI的有效性一消费命令（DATA:终端交易序号终端交易日期终端交易时间MACD一返回终端交易序号、MAClMACl有效，返回TAC、MAC2,并进行以下交易处理：从余额中扣减消费金额:卡内脱机交易序号加1：更新交易记录申请PSAM卡验证交易

37、认证码MAC2（TAC、MAC2）验证MC2卡片拔出写交易明细完成交易一终端交易序号加、返I可签名MACO图4消费交易安全认证流程b）非接触式逻辑加密卡消费交易安全认证流程。消费交易安全认证流程见图5。-发行城市代码、唯一号、流 水号、MAC认证码等信息消费操作IC卡核对MAC的有效性、 发出计算扇区密钥图5消费交易安全认证流程12.5.2 充值终端交易安全认证流程(DCPU卡充值交易安全认证流程CPU卡充值交易安全认证流程见图6oIC卡终端卡片插入交易预处理一一一交易预处理卡片应用序列号(10) 一-*一命令处理一一一圈存初始化命令 (DATA:密钥索引 交易金额终端机编号)卡片返回生成 S

38、ESLK与MACI的数 据ED或EP余额ED/EP联机交易序号 密钥版本号 算法标识 随机数MACl命令处理验证MAC2的有效性一一一圈存命令(DATA:主机交易日期 主机交易时间MAC2)MC2有效，进行以 下交易处理：卡内联 机交易序号加1：将 交易金额加在余额 上；更新交易记录.返回TACTAC图6 CPU卡充值交易安全认证流程主机主机依据应用序列号分散出圈存于密钥返回确认状态并初始化圈存交易主机生成SESLK5佥证MACI是否有效.MACl有代主机产生MAC2将联机交易序号加1 进行圈存交易(2)非接触式逻辑加密卡充值交易安全认证流程非接触式逻辑加密卡充值交易安全认证流程见图7oIC卡

39、终端充值密钥服务器-选择充值应用-发行城市代码、唯一号、流水号、MAC认证码等信息选择用户卡扇区读出应用信息验证MAC、计算扇区密钥充值操作核对MAC的仃效性、发出计莫扇区密钥计算交易TAC发出TAC图7非接触式逻辑加密卡充值交易安全认证流程13 终端设备软件升级和维护终端设备应具备升级的能力，使用专用的软件和工具可以方便的对终端设备的底层控制程序进行必要的升级和扩充，对控制程序的升级不应影响设备的正常使用。13.2应用程序的升级和维护终端设备的应用程序的升级和维护，应视应用的差异提供多种灵活的升级方式，例如，应用程序的远程下载和本地下载。应用程序的升级和维护所采用的物理接口形式和通信协议不在本部分规定范围内。