交通一卡通移動票卡技術規(guī)范+第7部分：終端

1JT/T1059.7—XXXX交通一卡通移動票卡技術規(guī)范第7部分：終端本文件規(guī)定了交通一卡通移動票卡受理終端的分類和總體要求、讀寫終端、移動終端、分體終端、SE應用管理終端、掃碼終端和人臉識別終端的技術要求。本文件適用于交通一卡通移動票卡受理終端的設計、開發(fā)和制造。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB4943.1音視頻、信息技術和通信技術設備第1部分：安全要求GB/T5007.1信息技術漢字編碼字符集（基本集）24點陣字型GB/T5199信息技術漢字編碼字符集（基本集）15×16點陣字型GB/T9254.1—2021信息技術設備、多媒體設備和接收機電磁兼容第1部分：發(fā)射要求GB/T9254.2信息技術設備、多媒體設備和接收機電磁兼容第2部分：抗擾度要求GB/T13000信息技術通用多八位編碼字符集（UCS）GB/T16649.3識別卡帶觸點的集成電路卡第3部分：電信號和傳輸協(xié)議GB/T16649.4識別卡集成電路卡第4部分：用于交換的結構、安全和命令GB17625.1電磁兼容限值第1部分：諧波電流發(fā)射限值（設備每相輸入電流≤16A）GB18030信息技術中文編碼字符集GB/T23647—2009自助服務終端通用規(guī)范GA/T73—2015機械防盜鎖GM/T0003（所有部分）SM2橢圓曲線公鑰密碼算法JR/T0025.7中國金融集成電路（IC）卡規(guī)范第7部分：借記/貸記應用安全規(guī)范JR/T0120.1銀行卡受理終端安全規(guī)范第1部分：銷售點（POS）終端JR/T0120.2銀行卡受理終端安全規(guī)范第2部分：受理商戶信息系統(tǒng)JR/T0120.3銀行卡受理終端安全規(guī)范第3部分：自助終端JR/T0120.5銀行卡受理終端安全規(guī)范第5部分：PIN輸入設備JT/T1059.1交通一卡通移動票卡技術規(guī)范第1部分：總則JT/T1059.2—XXXX交通一卡通移動票卡技術規(guī)范第2部分：安全單元JT/T1059.3交通一卡通移動票卡技術規(guī)范第3部分：近場支付JT/T1059.4交通一卡通移動票卡技術規(guī)范第4部分：遠程支付JT/T1059.5交通一卡通移動支付技術規(guī)范第5部分：客戶端軟件JT/T978.3—2023城市公共交通IC卡技術規(guī)范第3部分：讀寫終端JT/T978.5城市公共交通IC卡技術規(guī)范第5部分：非接觸接口通信ISO8731-1銀行業(yè)務用于電文認證的認可算法；第1部分：數(shù)據(jù)保密算法[RecommendationsforAlgorithmsforuseinbankingmessageauthentication—Part1：DataEncryptionAlgorithm（DEA）]2JT/T1059.7—XXXXISO9564-2：銀行業(yè)務個人識別碼（PIN）管理和安全第2部分：核準的PIN加密算法[Banking—PersonalIdentificationNumber（PIN）managementandsecurity—Part2：ApprovedalgorithmsforPINencipherment]ISO11568：銀行業(yè)務密鑰管理（零售）banking—keymanagement（retail）ISO13491-1金融服務安全加密設備（零售）第1部分：概念、要求和評價方法[Financialservices—Securecryptographicdevices（retail）—Part1：Concepts，requirementsandevaluationmethods]ANSIX9.24（所有部分）零售金融服務對稱密鑰管理RetailfinancialservicessymmetrickeymanagementETSITS102613智能卡UICC—非接觸前端接口第1部分：物理層和數(shù)據(jù)鏈路層特性[SmartCards：UICC-ContactlessFront-end（CLF）Interface—Part1：Physicalanddatalinklayercharacteristics]ETSITS102622智能卡UICC—非接觸前端接口主機控制器接口[SmartCards：UICC-ContactlessFront-end（CLF）Interface;HostControllerInterface（HCI）]3術語和定義JT/T1059.1界定的以及下列術語和定義適用于本文件。3.1分體終端separatedmobilepaymentterminal借助外部設備（如手機，平板電腦等）等完成移動票卡交易的受理終端。注：分體終端按照適用的環(huán)境及功能不同，可以分為個人類設備和商戶類設備。3.2安全單元應用管理終端securityelementapplicationmanageterminal與可信服務管理平臺連接的專用于管理客戶端安全單元應用的受理終端。注：安全單元應用管理終端在硬件上可以是POS、自助終端或其他類型設備形態(tài)，一般布放在特定的場合，提供用戶對客戶端安全單元應用進行個人化、下載、3.3移動終端mobileterminal個人用戶受理城市公共交通IC卡或移動票卡的移動受理終端。4縮略語下列縮略語適用于本文件。AID：應用標識符（ApplicationIdentifier）ADF：應用專用文件（ApplicationDefinitionFile）ANSI：美國國家標準學會（AmericanNationalStandardsInstitute）ASCII：美國標準信息交換代碼（AmericanStandardCodeforInformationInterchange）ATS：選擇應答（AnswerToSelect）CLF：非接觸前端接口（ContactlessFront-end）DDF：目錄定義文件（DirectoryDedicatedFile）DIR：目錄（Directory）ESAM：嵌入式安全控制模塊（EmbeddedSecureAccessModule）FCI：文件控制信息（FileControlInformation）HID：人體學接口設備（HumanInterfaceDevice）IC：集成電路（IntegratedCircuit）MAC：報文鑒別碼（MessageAuthenticationCode）MF：主文件（MasterFile）MODEM：調(diào)制解調(diào)器（ModulatorandDemodulator）PIN：個人識別碼（PersonalIdentificationNumber）3JT/T1059.7—XXXXPOS：銷售終端（PointofSale）PPSE：近距離支付系統(tǒng)環(huán)境（ProximityPaymentSystemsEnvironment）PSAM：Pin安全控制模塊（PinSecureAccessModule）PSE：支付系統(tǒng)環(huán)境（PaymentSystemsEnvironment）SE：安全單元（SecurityElement）SESPK：會話消費密鑰（SessionPurchaseKey）SESULK：會話圈存密鑰（SessionUnloadKey）SFI：短文件標識符（ShortFileIdentifier）SWP：單線協(xié)議（SingleWireProtocol）TAC：交易鑒別碼（TransactionAuthenticationCryptogram）TEE：可信執(zhí)行環(huán)境（TrustedExecutionEnvironment）TMK：終端主密鑰（TerminalMasterKey）TSM：可信服務管理（TrustedServiceManagement）USB：通用串行總線（UniversalSerialBus）VGA：視頻圖形陣列（VideoGraphicsArray）WIFI：無線網(wǎng)（WirelessFidelity）WK：工作密鑰（WorkingKey）XML：擴展標記語言（ExtensibleMarkupLanguage）5分類和總體要求5.1分類按照交通一卡通移動票卡受理終端的應用場景，受理終端分為讀寫終端、移動終端、分體終端、SE應用管理終端、掃碼終端和人臉識別終端，其中：a)讀寫終端適用于公共汽電車、城市軌道交通和出租汽車等場景。b)移動終端適用于個人用戶受理城市公共交通IC卡或移動票卡，如充值和查詢交易記錄等場景中。c)分體終端應用場景與移動終端類似，區(qū)別主要是出于安全考慮在物理形態(tài)和整體架構上對終端進行了分離。此類終端會將非接觸通信部分、密碼輸入部分以及關鍵的邏輯加密等風險等級較高的部分分離出來并集中放置于分體式終端一側，而主控端、常規(guī)邏輯和與后臺的通信模塊則放置于手機或其他通用的移動設備端，兩者通過藍牙、WIFI及有線等方式進行通信和信息交換，共同完成交易處理或SE管理功能。d)SE應用管理終端適用于布放在營業(yè)網(wǎng)點對SE狀態(tài)及應用進行管理操作的終端類型，包括POS形態(tài)和自助終端形態(tài)兩種。e)掃碼終端主要是指適用于交通一卡通移動票卡掃碼支付的專用讀寫終端，其應支持JT/T1059.2中所規(guī)定的掃碼類相關業(yè)務。f)人臉識別終端是指支持人臉生物特征識別的專用讀寫終端，其應支持JT/T1059.2中所提到的人臉識別等業(yè)務場景。5.2總體要求5.2.1受理終端的非接觸式電氣特性和通信協(xié)議應符合JT/T978.5的要求。5.2.2若受理終端配備PIN輸入設備或模塊（如密瑪鍵盤），應滿足如下要求：a)PIN輸入設備具備物理、邏輯安全機制，如具備入侵檢測機制，防止PIN輸入過程被監(jiān)聽、安全地存儲敏感信息、具備完整的密鑰體系等；b)在PIN輸入設備和非接觸式讀卡器間傳輸PIN相關信息時，有效地保護所傳輸?shù)臄?shù)據(jù)。6讀寫終端4JT/T1059.7—XXXX6.1硬件要求6.1.1接觸通道的電氣特性和傳輸協(xié)議讀寫終端接觸通道用于讀寫PSAM或ESAM模塊，接觸通道的電氣特性和鏈路層傳輸協(xié)議應符合GB/T16649.3的規(guī)定。6.1.2非接觸通道的電氣特性和傳輸協(xié)議讀寫終端非接觸通道用于讀寫非接觸卡片或不同類型的SE，非接觸通道的電氣特性和傳輸協(xié)議應符合5.2的規(guī)定。軟件要求6.2.1系統(tǒng)軟件應具有初始化和對軟硬件的自檢與報警功能，具備斷電保護功能，并方便應用程序的加載和參數(shù)設定。6.2.2二次開發(fā)平臺應提供高級語言開發(fā)環(huán)境，提供二次開發(fā)專用接口，并提供應用模塊，具備應用程序的調(diào)試和測試環(huán)境。6.2.3模塊化結構應支持模塊化結構設計，封裝成幾個相對獨立、性能穩(wěn)定的模塊，供開發(fā)者使用。6.3功能要求讀寫終端功能主要是指通過非接觸接口讀寫非接觸卡片或不同類型的SE移動票卡業(yè)務受理終端，其基礎功能要求應符合JT/T978.3的規(guī)定。讀寫終端所使用的PSAM或ESAM模塊的交易指令要求應符合JT/T978.3附錄B的規(guī)定。6.4流程要求6.4.1電子錢包應用交易流程要求6.4.1.1交易預處理6.4.1.1.1讀寫終端尋卡讀寫終端應發(fā)送命令字為0x26或0x52的指令對放置天線區(qū)的非接觸票卡進行尋卡。如果非接觸卡片有正常的ATS響應，終端應進入電子錢包交易預處理流程，應符合圖1的規(guī)定。5JT/T1059.7—XXXX圖1電子錢包交易預處理流程6.4.1.1.2選擇PPSE選擇PPSE（SELECTPPSE）命令的執(zhí)行過程應符合JT/T1059.2—XXXX的規(guī)定。6.4.1.1.3選擇ADF選擇ADF（SELECTADF）命令的執(zhí)行過程應滿足JT/T1059.2—XXXX第15章的指令要求。成功地選擇了電子錢包應用后，卡片應回送符合JT/T1059.2—XXXX中15.3.1規(guī)定的包含發(fā)卡機構自定義數(shù)據(jù)在6JT/T1059.7—XXXX內(nèi)的文件控制信息、標簽為9F51的卡片支持的第一票種貨幣代碼、標簽為DF71的卡片支持的第二票種貨幣代碼、標簽為DF00的卡片應用算法標識等信息。6.4.1.1.4選擇應用響應有效性檢查6.4.1.1.4.1對于SELECTADF命令回送的數(shù)據(jù)信息標簽值為9F0C的數(shù)據(jù)，讀寫終端應對這些數(shù)據(jù)進行下列檢查：——通過其中的應用序列號判定該卡是否不在終端存儲的“黑名單”卡之列；——通過其中的發(fā)卡機構代碼判定該卡是否在終端存儲的“白名單”卡之列；——通過其中的應用類型標識來檢查卡片支持的票種，應用類型標識為1，表示僅支持第二票種，應用類型標識為2，表示僅支持第一票種，應用類型標識為3表示支持雙票種，交易按6.4.1.1.6中的規(guī)定進行；——通過其中的應用版本號來確定終端使用的密鑰分散算法，01表示采用分散算法01，02表示采用分散算法02；——通過其中的啟用日期和有效日期來判定應用是否在有效期內(nèi)。6.4.1.1.4.2對于SELECTADF命令回送的信息標簽為9F51或DF71的數(shù)據(jù)，讀寫終端應在后續(xù)的6.4.1.1.6選擇票種過程中進行匹配和使用。6.4.1.1.4.3對于SELECTADF命令回送的信息標簽為DF00的數(shù)據(jù)，讀寫終端應對這類數(shù)據(jù)進行下列判斷和處理：——不包含此數(shù)據(jù)，或該值為00，表示卡片僅支持國際算法，終端使用國際算法進行后續(xù)的交易；——該值為01，表示卡片僅支持國密算法，終端使用國密算法進行后續(xù)的交易；——該值為02，表示卡片支持雙算法，終端使用國密算法進行后續(xù)的交易。6.4.1.1.5錯誤處理以上任一條件不滿足時終端應拒絕交易，顯示響應的出錯碼。6.4.1.1.6選擇票種讀寫終端根據(jù)應用選擇時獲得的應用類型標識判別IC卡和讀寫終端支持第一票種或第二票種的情況。如果IC卡和讀寫終端同時支持第一票種或第二票種之一，則讀寫終端自動地選擇到第一票種或第二票種，繼而進行6.4.1.2至6.4.1.6中所描述的步驟。如果IC卡和讀寫終端同時支持第一票種和第二票種，讀寫終端應向持卡人提供選擇第一票種或第二票種的過程，在這一過程中持卡人能從中選擇一種票種進行交易。如果IC卡僅支持一種票種并且該票種不被讀寫終端支持，則該過程終止。6.4.1.2圈存交易流程6.4.1.2.1一般要求圈存交易是錢包應用票卡持卡人在交通一卡通卡片應用上增加票種余額計數(shù)器的交易過程。此交易通常在圈存終端上聯(lián)機進行，圈存交易流程應與圖2相符。6.4.1.2.2發(fā)出初始化圈存命令讀寫終端應按JT/T1059.2—XXXX第15章的規(guī)定，發(fā)出初始化圈存（INITIALIZEFORLOAD）命令，啟動圈存交易流程。7JT/T1059.7—XXXX圖2圈存交易處理流程6.4.1.2.3處理初始化圈存命令卡片收到INITIALIZEFORLOAD命令后，應進行下列操作。a)檢查是否支持命令中包含的密鑰索引號。如果不支持，則回送狀態(tài)字9403，不回送任何其他數(shù)據(jù)，同時終止命令的處理過程。b)檢查指定票種圈存指令中的交易金額補償已透支金額后，不應超過錢包應用余額上限，否則回送態(tài)字6985，不回送任何其他數(shù)據(jù)，同時終止命令的處理過程。c)在通過以上檢查后，卡片將產(chǎn)生一個偽隨機數(shù)、過程密鑰和MAC1，用以供主機驗證圈存交易及卡片的合法性。產(chǎn)生過程密鑰的輸入數(shù)據(jù)為偽隨機數(shù)+電子錢包聯(lián)機交易序號+8000。過程密鑰對由交易前的電子錢包可用余額+交易金額+交易類型標識（實際數(shù)值為02）+終端機編號組合的數(shù)據(jù)加密產(chǎn)生MAC1。8JT/T1059.7—XXXXd)卡片將把JT/T1059.2—XXXX第15章中定義的INITIALIZEFORLOAD響應報文回送給終端處理。如果卡片回送的狀態(tài)字不是9000，則交易終止。6.4.1.2.4驗證MAC1收到INITIALIZEFORLOAD命令響應報文后，終端把JT/T1059.2—XXXX第15章中定義的數(shù)據(jù)傳給發(fā)卡機構主機。主機將生成過程密鑰并確認MAC1是否有效。如果MAC1有效，將執(zhí)行6.4.1.2.6中的步驟；否則執(zhí)行6.4.1.2.5中的步驟。6.4.1.2.5回送錯誤狀態(tài)如果不接受圈存交易，則主機應通知終端。6.4.1.2.6主機圈存交易處理發(fā)卡機構主機產(chǎn)生MAC2，用于卡片對主機進行合法性檢查。MAC2的計算采用過程密鑰按順序?qū)ο铝袛?shù)據(jù)加密產(chǎn)生：a)交易金額；b)交易類型標識，其實際數(shù)值為02；c)終端機編號；d)主機端的交易日期；e)主機端的交易時間。成功地進行了圈存交易后，主機將聯(lián)機交易序號加1，并向終端發(fā)送一個圈存交易接受報文，其中包括MAC2、主機端的交易日期和主機端的交易時間。6.4.1.2.7發(fā)出圈存命令終端收到主機發(fā)來的圈存交易接受報文后，發(fā)出圈存（CREDITFORLOAD）命令更新卡片上電子錢包余額。CREDITFORLOAD命令應符合JT/T1059.2—XXXX第15章的規(guī)定。6.4.1.2.8驗證MAC2收到CREDITFORLOAD命令后，卡片應確認MAC2的有效性。如果MAC2有效，交易處理將執(zhí)行6.4.1.2.9中描述的步驟。否則將向終端回送狀態(tài)字9302，表示MAC無效。6.4.1.2.9卡片圈存交易確認處理6.4.1.2.9.1記錄交易明細處理卡片將電子錢包聯(lián)機交易序號加1，并且把交易金額加在電子錢包的余額上?？ㄆ瑧晒Φ赝瓿?.4.1.2.2～6.4.1.2.9所有操作或者一個也不完成。在電子錢包圈存交易中，卡片應使用下列數(shù)據(jù)組成的一個記錄自動更新交易明細18記錄文件：a)電子錢包聯(lián)機交易序號；b)交易金額；c)交易類型標識；d)終端機編號；e)主機端的交易日期；f)主機端的交易時間。6.4.1.2.9.2TAC計算TAC的計算不采用過程密鑰方式，它用DTK左右8位字節(jié)異或運算的結果對按照下列順序組合的數(shù)據(jù)進行加密運算：a)交易后的電子錢包可用余額；b)順序加1前的電子錢包交易序號；c)交易金額；d)交易類型標識；e)終端機編號；9JT/T1059.7—XXXXf)主機端的交易日期；g)主機端的交易時間；h)交易票種代碼。6.4.1.2.10返回確認在成功完成6.4.1.2.9后，卡片通過CREDITFORLOAD命令的響應報文將TAC回送給終端。主機在必要時驗證TAC。6.4.1.3圈提交易流程6.4.1.3.1一般要求圈提交易是錢包應用票卡持卡人在交通一卡通卡片應用上減少票種余額計數(shù)器的交易過程。此交易通常在圈提終端上聯(lián)機進行，圈提交易流程應與圖3相符。JT/T1059.7—XXXX圖3圈提交易處理流程6.4.1.3.2發(fā)出初始化圈提命令終端發(fā)出初始化圈提（INITIALIZEFORUNLOAD）命令啟動圈提交易。6.4.1.3.3處理初始化圈提命令卡片收到INITIALIZEFORUNLOAD命令后，應按照下列步驟操作。a)檢查是否支持命令中提供的密鑰索引號。如果不支持，則回送狀態(tài)字9403，不回送任何其他數(shù)據(jù)，同時命令處理結束。b)檢查命令中包含的交易金額是否超過電子錢包實際余額。如果超過，則回送狀態(tài)字9401，不回送其他數(shù)據(jù)。JT/T1059.7—XXXXc)在通過以上檢查后，卡片將產(chǎn)生一個偽隨機數(shù)、過程密鑰SESULK和一個MAC1，供主機驗證圈提交易及卡片的合法性。產(chǎn)生過程密鑰的輸入數(shù)據(jù)為偽隨機數(shù)+電子錢包聯(lián)機交易序號+8000。過程密鑰對由交易前的電子錢包可用余額+交易金額+交易類型標識（實際數(shù)值為03）+終端機編號組合的數(shù)據(jù)加密產(chǎn)生MAC1。d)卡片應向終端回送INITIALIZEFORUNLOAD命令的響應報文和狀態(tài)字9000。在收到INITIALIZEFORUNLOAD的響應報文后，終端將圈提批準請求報文MAC1送往發(fā)卡機構主機。6.4.1.3.4驗證MAC1主機將產(chǎn)生SESULK并驗證MAC1是否有效。如果MAC1有效，將執(zhí)行6.4.1.3.6中的步驟。否則終端應回送一個錯誤狀態(tài)字，交易處理將轉(zhuǎn)而執(zhí)行6.4.1.3.5中所描述的步驟。6.4.1.3.5回送錯誤狀態(tài)如果不接受圈提交易，主機應通知終端。6.4.1.3.6主機圈提交易處理主機確認能夠進行圈提交易后，將產(chǎn)生一個MAC2，以供卡片對主機合法性進行檢查。包含在圈提（DEBITFORUNLOAD）命令響應中從主機經(jīng)由終端傳到卡片的數(shù)據(jù)應包括下列內(nèi)容：a)交易金額；b)交易類型標識；c)終端機編號；d)主機端的交易日期；e)主機端的交易時間；f)“800000000000”。采用SESULK對以上數(shù)據(jù)按順序組合并進行加密產(chǎn)生MAC2。主機向終端發(fā)送一個圈提交易接受報文，其中至少應包括主機端的交易日期、主機端的交易時間和MAC2。6.4.1.3.7發(fā)出圈提命令終端收到主機的圈提交易接受報文后，向卡片發(fā)出DEBITFORUNLOAD命令以更新卡片上電子錢包余額。DEBITFORUNLOAD命令應符合JT/T1059.2—XXXX第15章的規(guī)定。6.4.1.3.8驗證MAC2卡片應確認MAC2是有效的。如果MAC2有效，交易處理將繼續(xù)執(zhí)行交易流程。否則向終端回送狀態(tài)字9302表示MAC無效。6.4.1.3.9卡片圈提交易確認處理6.4.1.3.9.1卡片將電子錢包交易序號加1，并從卡片上的電子錢包余額中扣減交易金額?？ㄆ瑧晒Φ赝瓿?.4.1.3.2～6.4.1.3.8所有步驟或者一個也不完成。6.4.1.3.9.2卡片將產(chǎn)生MAC3，并通過圈提（DEBITFORUNLOAD）命令的響應報文將下列數(shù)據(jù)經(jīng)終端送往主機。a)用SESULK按順序?qū)ο铝袛?shù)據(jù)加密產(chǎn)生MAC3：1)交易后的電子錢包可用余額；2)順序加1前的電子錢包聯(lián)機交易序號；3)交易金額；4)交易類型標識，其實際數(shù)值為03；5)終端機編號；6)主機端的交易日期；7)主機端的交易時間。b)卡片用下列數(shù)據(jù)組成的一個記錄更新交易明細：JT/T1059.7—XXXX1)順序加1后的電子錢包聯(lián)機交易序號；2)交易金額；3)交易類型標識；4)終端機編號；5)主機端的交易日期；6)主機端的交易時間。6.4.1.3.10驗證MAC3主機收到卡片回送的MAC3后，應確認MAC3是否有效。如果MAC3有效，交易處理將繼續(xù)執(zhí)行交易步驟。否則將向終端回送一個錯誤狀態(tài)字。6.4.1.3.11主機圈提交易確認處理發(fā)卡機構主機將交易金額從電子錢包余額計數(shù)器上扣減，并將主機的電子錢包聯(lián)機交易序號加1。主機將向終端回送一個完成報文，表示持卡人的賬戶已更新。6.4.1.3.12顯示完成在收到主機的完成報文后，終端將向持卡人顯示交易完成信息。如果需要，終端應能向持卡人提供紙質(zhì)交易憑證。6.4.1.4單次交易流程6.4.1.4.1一般要求單次交易允許錢包應用票卡持卡人在交通一卡通讀寫終端上通過一次交易完成檢票的交易過程。此交易通常在交通一卡通讀寫終端上脫機進行，單次交易流程應與圖4相符。JT/T1059.7—XXXX圖4單次交易處理流程6.4.1.4.2發(fā)出單次交易初始化命令JT/T1059.7—XXXX終端發(fā)出初始化消費（INITIALIZEFORPURCHASE）命令啟動單次交易。INITIALIZEFORPURCHASE命令應符合JT/T1059.2—XXXX第15章指令的規(guī)定，P1為02時交易為第1票種，P1為12時交易為第2票種，票種的貨幣代碼應符合JT/T1059.2—XXXX中第15章選擇ADF指令返回FCI數(shù)據(jù)中數(shù)據(jù)標簽9F51和DF71的規(guī)定。注：P1表示參數(shù)1。6.4.1.4.3處理單次交易初始化命令卡片收到INITIALIZEFORPURCHASE命令后，將進行下列操作：a)檢查是否支持命令中提供的密鑰索引號。如果不支持，則回送狀態(tài)字9403，表示不支持的密鑰索引；b)檢查電子錢包余額是否大于或等于交易金額。如果小于交易金額，則回送狀態(tài)字9401，表示金額不足；c)在通過以上檢查之后，卡片將產(chǎn)生一個偽隨機數(shù)并連同電子錢包交易序號進行響應。使用由卡片產(chǎn)生偽隨機數(shù)和卡片回送的電子錢包交易序號，終端的安全存取模塊（PSAM或ESAM）將產(chǎn)生一個過程密鑰SESPK和MAC1，供卡片來驗證PSAM和ESAM的合法性。產(chǎn)生過程密鑰的輸入數(shù)據(jù)為偽隨機數(shù)+電子錢包聯(lián)機交易序號+終端交易序號的最右兩個字節(jié)。過程密鑰對由交易金額+交易類型標識（實際數(shù)值為06）+終端機編號+終端的交易日期+終端的交易時間+交易票種代碼組合的數(shù)據(jù)加密產(chǎn)生MAC1。6.4.1.4.4發(fā)出單次交易命令終端發(fā)出單次交易（DEBITFORPURCHASE）命令，DEBITFORPURCHASE命令應符合JT/T1059.2—XXXX第15章的規(guī)定，P1為01時，交易為第1票種；P1為11時，交易為第2票種。6.4.1.4.5驗證MAC1在收到DEBITFORPURCHASE命令后，卡片應驗證MAC1的有效性。若MAC1有效，交易處理將繼續(xù)執(zhí)行交易流程。若MAC1無效則向終端回送錯誤狀態(tài)字9302表示MAC無效。連續(xù)3次單次交易MAC1無效，卡片應被臨時鎖定并回送錯誤狀態(tài)字6283。6.4.1.4.6卡片單次交易確認處理卡片應自動從電子錢包余額中扣減消費的金額，并將電子錢包交易序號加1?？ㄆ瑧晒Φ赝瓿?.4.1.4.2～6.4.1.4.6所有步驟或者一個也不完成。只有余額和序號的更新均成功后，交易明細18記錄文件才能更新?？ㄆa(chǎn)生MAC2供PSAM和ESAM對其進行合法性檢查，并通過DEBITFORPURCHASE命令的響應報文回送終端。MAC2的計算采用SESPK對交易金額進行加密產(chǎn)生?？ㄆ捎妹荑€DTK左右8位字節(jié)異或運算后的結果產(chǎn)生TAC。TAC將被寫入終端交易明細，以便于主機進行交易驗證。TAC以明文形式通過DEBITFORPURCHASE命令的響應報文從卡片傳送到終端?？ㄆ瑧褂孟铝袛?shù)據(jù)生成TAC，并更新交易明細。a)生成TAC的數(shù)據(jù)包括下列內(nèi)容：1)交易金額；2)交易類型標識；3)終端機編號；4)終端交易序號；5)終端的交易日期；6)終端的交易時間；7)交易票種代碼。b)更新交易明細的記錄數(shù)據(jù)包括下列內(nèi)容：1)電子錢包脫機交易序號；2)交易票種代碼；3)交易金額；4)交易類型標識；JT/T1059.7—XXXX5)終端機編號；6)終端的交易日期；7)終端的交易時間。6.4.1.4.7驗證MAC2在收到卡片傳來的MAC2后，PSAM和ESAM要驗證MAC2的有效性。MAC2驗證的結果被傳送到終端以便采取必要的措施。6.4.1.5復合交易流程6.4.1.5.1一般要求復合應用消費交易是卡人使用電子錢包的余額，根據(jù)卡片上記錄的分時分段信息，進行支付或獲取服務的交易過程。此交易通常在受理終端或其他讀卡設備上脫機進行。復合應用消費交易允許消費金額為0，復合應用消費交易流程應與圖5相符。6.4.1.5.2發(fā)出復合交易初始化命令終端發(fā)出INITIALIZEFORCAPPPURCHASE命令啟動復合應用消費交易。6.4.1.5.3處理復合交易初始化命令卡片收到INITIALIZEFORCAPPPURCHASE命令后，將進行下列操作：a)檢查是否支持命令中提供的密鑰索引號。如果不支持，則回送狀態(tài)字9403，不回送其他數(shù)據(jù)；b)檢查電子錢包余額是否大于或等于交易金額。如果小于交易金額，則回送狀態(tài)字9401，不回送其他數(shù)據(jù)；c)在通過以上檢查之后，卡片將產(chǎn)生一個偽隨機數(shù)并連同電子錢包交易序號進行響應。使用由卡片產(chǎn)生偽隨機數(shù)和卡片回送的電子錢包交易序號，終端的安全存取模塊（PSAM或ESAM）將產(chǎn)生一個過程密鑰SESPK和MAC1，供卡片來驗證PSAM和ESAM的合法性。產(chǎn)生過程密鑰的輸入數(shù)據(jù)為為偽隨機數(shù)+電子錢包聯(lián)機交易序號+終端交易序號的最右兩個字節(jié)。過程密鑰對由交易金額+交易類型標識（實際數(shù)值為09）+終端機編號+終端的交易日期+終端的交易時間+交易票種代碼組合的數(shù)據(jù)加密產(chǎn)生MAC1。6.4.1.5.4發(fā)出更新復合應用緩存命令終端發(fā)出更新復合應用緩存（UPDATECAPPDATACACHE）命令，交易流程應與圖5相符。對卡種類型值為0x96的巡檢卡片，應更新相應行業(yè)應用信息記錄文件、記錄標識為2712的行業(yè)巡檢信息記錄文件和循環(huán)記錄文件。對非卡種類型值為0x96的卡片，應更新相應行業(yè)應用信息記錄文件和循環(huán)記錄。JT/T1059.7—XXXX圖5復合應用消費交易流程6.4.1.5.5處理更新復合應用緩存命令卡片在收到UPDATECAPPDATACACHE命令后，將進行下列操作：JT/T1059.7—XXXXa)如果命令中存在SFI域，檢查卡片當前應用下是否存在與命令中SFI值相同的文件。如果不存在，回送狀態(tài)字6A82，不回送其他數(shù)據(jù)。終端應終止此次復合應用消費交易。b)根據(jù)命令中的復合應用類型標識符，查詢復合應用消費專用文件中是否存在相同標識符的記錄。如果不存在，則回送狀態(tài)字6A83，不回送其他數(shù)據(jù)。終端應終止此次復合應用消費交易。c)檢查復合應用消費專用文件中相應記錄中的應用鎖定標志字節(jié)。如果應用鎖定標志為設置，則回送狀態(tài)字9407，不回送其他數(shù)據(jù)。終端應終止此次復合應用消費交易。d)檢查命令中的數(shù)據(jù)域長度是否大于復合應用消費專用文件中相應記錄的長度。如果大于，則回送狀態(tài)字6A84，不回送其他數(shù)據(jù)。終端應終止此次復合應用消費交易。e)在通過以上檢查后，卡片應暫存命令中的SFI、記錄號、復合應用類型標識符和數(shù)據(jù)域。復合應用消費專用文件中相應記錄中的數(shù)據(jù)不應通過此命令更新。6.4.1.5.6發(fā)出復合應用交易命令終端發(fā)出復合應用交易（DEBITFORCAPPPURCHASE）命令。6.4.1.5.7驗證MAC1卡片在收到DEBITFORCAPPPURCHASE命令后，將驗證MAC1的有效性。如果MAC1有效，交易處理將繼續(xù)執(zhí)行交易流程。否則將向終端回送錯誤狀態(tài)字9302表示MAC無效。6.4.1.5.8卡片復合交易確認處理6.4.1.5.8.1卡片從電子錢包余額中扣減消費的金額，電子錢包交易序號加1，并更新復合應用消費專用文件，更新電子錢包消費交易記錄?？ㄆ瑧晒Φ赝瓿?.4.1.5.2～6.4.1.5.8步驟或者一個也不完成。暫存的數(shù)據(jù)更新復合應用消費專用文件時，如果更新數(shù)據(jù)長度小于記錄長度，卡片應在數(shù)據(jù)后自動填充00至記錄尾。6.4.1.5.8.2卡片產(chǎn)生MAC2供PSAM或ESAM對其進行合法性檢查，并通過DEBITFORCAPPPURCHASE命令響應報文回送。MAC2的計算采用SESPK對交易金額進行加密產(chǎn)生。6.4.1.5.8.3卡片采用密鑰DTK產(chǎn)生TAC。TAC將被寫入終端交易明細，用于主機進行交易驗證，它以明文形式通過命令報文從終端傳送到卡片?？ㄆ瑧褂孟铝袛?shù)據(jù)生成TAC，并更新交易明細。a)生成TAC的數(shù)據(jù)包括下列內(nèi)容：1)交易金額；2)交易類型標識；3)終端機編號；4)終端交易序號；5)終端的交易日期；6)終端的交易時間；7)交易票種代碼。b)更新交易明細的記錄數(shù)據(jù)包括下列內(nèi)容：1)交易金額；2)交易票種代碼；3)交易類型標識；4)電子錢包脫機交易序號；5)終端機編號；6)終端的交易日期；7)終端的交易時間。6.4.1.5.9驗證MAC2在收到卡片傳來的MAC2后，PSAM和ESAM要驗證MAC2的有效性。MAC2驗證的結果被傳送到終端以便采取必要的措施。JT/T1059.7—XXXX6.4.1.5.10不完整交易處理在多票制的公交和地鐵行業(yè)，當卡片發(fā)生不完整交易時候，終端應做不完整交易處理。6.4.1.6修改透支限額交易流程6.4.1.6.1一般要求修改透支限額交易允許持卡人修改卡片上的透支限額信息。此交易通常在受理終端或其他讀卡設備上聯(lián)機進行，修改透支限額交易流程應與圖6相符。圖6修改透支限額交易流程6.4.1.6.2發(fā)出修改初始化命令終端發(fā)出修改初始化（INITIALIZEFORUPDATE）命令啟動修改透支限額交易。6.4.1.6.3處理修改初始化命令卡片收到INITIALIZEFORUPDATE命令后，將進行下列操作：a)檢查是否支持命令中包含的密鑰索引號。如果不支持，則回送狀態(tài)字9403，但不回送任何其他數(shù)據(jù)，同時終止命令的處理過程。JT/T1059.7—XXXXb)產(chǎn)生一個偽隨機數(shù)，過程密鑰和MAC1，用以供主機驗證修改透支限額交易及卡片的合法性。過程密鑰用于電子錢包修改透支限額交易。用來產(chǎn)生過程密鑰的輸入數(shù)據(jù)應由下列數(shù)據(jù)順序組成：1)偽隨機數(shù)；2)電子錢包聯(lián)機交易序號；3)8000。c)MAC1的計算采用過程密鑰對下列數(shù)據(jù)進行順序組合并加密產(chǎn)生：1)交易后的電子錢包可用余額；2)電子錢包原透支限額；3)交易類型標識；4)終端機編號。d)卡片將把JT/T1059.2—XXXX中定義的修改初始化（INITIALIZEFORUPDATE）命令響應回送給終端處理。如果卡片回送的狀態(tài)字不是9000，則交易終止。6.4.1.6.4驗證MAC1在收到INITIALIZEFORUPDATE命令響應數(shù)據(jù)后，主機將驗證MAC1的有效性。如果MAC1有效，交易處理將繼續(xù)執(zhí)行交易流程。否則將進入6.4.1.6.5。6.4.1.6.5回送錯誤狀態(tài)如果不接受修改透支限額交易，主機應通知終端。6.4.1.6.6主機修改透支限額交易處理6.4.1.6.6.1主機確認能夠進行修改透支限額交易后，將產(chǎn)生一個MAC2，以供卡片對主機合法性進行檢查。6.4.1.6.6.2包含在修改透支限額（UPDATEOVERDRAWLIMIT）命令中從主機經(jīng)由終端傳到卡片的數(shù)據(jù)應包括下列內(nèi)容：a)新透支限額；b)交易類型標識；c)終端機編號；d)主機端的交易日期；e)主機端的交易時間。6.4.1.6.6.3采用SESULK對以上數(shù)據(jù)按順序組合并進行加密產(chǎn)生MAC2。主機向終端發(fā)送一個修改透支限額交易接受報文，其中至少應包括主機端的交易日期、主機端的交易時間和MAC2。6.4.1.6.7發(fā)出修改透支限額命令終端收到主機發(fā)來的修改透支限額交易接受報文后，發(fā)出UPDATEOVERDRAWLIMIT命令更新卡片上電子錢包修改透支限額。UPDATEOVERDRAWLIMIT命令應符合JT/T1059.2—XXXX第15章的規(guī)定。6.4.1.6.8驗證MAC2卡片收到UPDATEOVERDRAWLIMIT命令后，應確認MAC2是有效的。如果MAC2有效，交易處理將繼續(xù)執(zhí)行交易流程。否則向終端回送狀態(tài)字9302表示MAC無效。6.4.1.6.9卡片修改透支限額確認交易處理卡片將電子錢包聯(lián)機交易序號加1，并從卡片上的電子錢包余額中增加或扣減交易金額?？ㄆ瑧晒Φ赝瓿?.4.1.6.2～6.4.1.6.7所有步驟或者一個也不完成?？ㄆ瑢a(chǎn)生一個交易TAC，并通過UPDATEOVERDRAWLIMIT命令的響應報文將下列數(shù)據(jù)經(jīng)終端送往主機。a)用SESULK對下列數(shù)據(jù)按順序組合并加密產(chǎn)生TAC：1)交易后的電子錢包可用余額；JT/T1059.7—XXXX2)順序加1前的電子錢包聯(lián)機交易序號；3)新透支限額；4)交易類型標識；5)終端機編號；6)主機端的交易日期；7)主機端的交易時間；8)交易票種代碼。b)卡片用下列數(shù)據(jù)組成的一個記錄更新交易明細：1)電子錢包聯(lián)機交易序號；2)交易金額；3)交易票種代碼；4)交易類型標識；5)終端機編號；6)主機端的交易日期；7)主機端的交易時間。6.4.1.6.10驗證TAC主機收到卡片回送的TAC后，應確認TAC是否有效。如果TAC有效，終端將向持卡人顯示修改卡片透支限額交易成功。終端應能向持卡人提供紙質(zhì)交易憑證。否則將向終端回送一個錯誤狀態(tài)字。6.4.1.7交易后處理6.4.1.7.1一般要求當交易發(fā)生閃卡時，終端應執(zhí)行交易后處理，電子錢包交易后處理流程應與圖7相符。JT/T1059.7—XXXX圖7電子錢包交易后處理流程6.4.1.7.2初始化和防沖突終端同時檢測到多個非接觸卡片，應向持卡人顯示，并要求只放置一張卡片。JT/T1059.7—XXXX6.4.1.7.3讀取18記錄終端發(fā)送READRECORD命令，讀取錢包應用0x18交易明細文件，獲取最近一筆交易明細。6.4.1.7.4發(fā)送取交易認證命令終端發(fā)送取交易認證（GETTRANSACTIONPROVE）命令，讀取卡片MAC2和TAC。6.4.1.7.5交易確認處理如果卡片返回所需MAC2不可用等錯誤狀態(tài)，則終端確認上筆交易失敗，重新進入交易流程；如果卡片正常返回MAC2和TAC，終端則將MAC2送給PSAM和ESAM進行認證，如果認證通過，則上筆閃卡交易確認交易成功，生成正常交易記錄并完成交易，否則確認卡片交易失敗，結束閃卡交易流程，進入正常交易流程。6.4.2電子現(xiàn)金應用交易流程要求6.4.2.1交易預處理6.4.2.1.1讀寫終端尋卡終端應發(fā)送命令字為0x26或0x52的指令對放置天線區(qū)的非接觸卡片進行尋卡。如果非接觸卡片有正常的ATS響應，終端應進入交易預處理流程，應符合圖8的規(guī)定。JT/T1059.7—XXXX圖8電子現(xiàn)金交易預處理流程6.4.2.1.2PPSE選擇PPSE選擇的執(zhí)行過程應符合JT/T1059.2—XXXX的規(guī)定。6.4.2.1.3應用選擇應用選擇的執(zhí)行過程應符合JT/T1059.2—XXXX中第14章的規(guī)定。成功地選擇了電子現(xiàn)金應用后，卡片回送符合JT/T1059.2—XXXX中15.2.2.2規(guī)定的包含發(fā)卡方專用數(shù)據(jù)在內(nèi)的文件控制信息標簽為DF11、卡片支持的第一票種貨幣代碼標簽為9F51和卡片支持的第二票種貨幣代碼信息標簽為DF71、交易處理數(shù)據(jù)列表PDOL的標簽為9F38。6.4.2.1.4應用有效性檢查6.4.2.1.4.1對于SELECTADF命令回送的數(shù)據(jù)標簽為9F38、DF69，終端將對這些數(shù)據(jù)進行下列檢查：——標簽為9F38的數(shù)據(jù)應包含DF69的數(shù)據(jù)內(nèi)容，表示卡片支持的算法，終端需使用卡片支持算法進行后續(xù)的交易；JT/T1059.7—XXXX——DF69值為01，表示卡片僅支持國密算法，終端需使用國密算法進行后續(xù)的交易,值為02，表示卡片僅支持雙算法，終端需使用國密算法進行后續(xù)的交易。6.4.2.1.4.2對于SELECTADF命令回送的數(shù)據(jù)標簽為DF11，終端將對這些數(shù)據(jù)進行以下檢查：——使用標簽為DF11中的應用序列號判定該卡是否在終端存儲的“黑名單”卡之列；——使用標簽為DF11中的發(fā)卡機構代碼判定該卡是否在終端存儲的“白名單”卡之列；——使用標簽為DF11中的應用版本號來確定終端使用的密鑰分散算法，01表示采用分散算法01，02表示采用分散算法02；——使用標簽為DF11中的啟用日期和有效日期來判定應用是否在有效期內(nèi)。6.4.2.1.4.3如果以上任一條件不滿足，交易將按6.4.2.1.5中的描述進行。否則終端按照6.4.2.2～6.4.2.5要求的交易處理。6.4.2.1.5錯誤處理以上任一條件不滿足時終端應拒絕交易，顯示相應的信息碼。6.4.2.2電子現(xiàn)金聯(lián)機交易電子現(xiàn)金聯(lián)機交易應符合JT/T978.3中8.1的規(guī)定。6.4.2.3電子現(xiàn)金快速交易電子現(xiàn)金快速交易應符合JT/T978.3中8.2的規(guī)定。6.4.2.4電子現(xiàn)金快速擴展交易電子現(xiàn)金快速擴展交易應符合JT/T978.3中8.3、8.4的規(guī)定。6.4.2.5電子現(xiàn)金快速第二票種交易電子現(xiàn)金快速第二票種交易應符合JT/T978.3中8.5的規(guī)定。7移動終端7.1硬件要求7.1.1接觸通道的電氣特性和傳輸協(xié)議移動終端在內(nèi)置SE的情況下，CLF和SE接口是內(nèi)部接口，宜采用SWP及其他內(nèi)部接口協(xié)議。SWP接口的電氣特性和鏈路層傳輸協(xié)議應符合ETSITS102613的規(guī)定；其傳輸層協(xié)議應滿足ETSITS102622的要求。7.1.2非接觸通道的電氣特性和傳輸協(xié)議非接觸通道的電氣特性和傳輸協(xié)議應符合JT/T978.5的規(guī)定。7.2軟件要求移動終端軟件要求見6.2。7.3功能要求移動終端具備的功能應符合JT/T1059.5的規(guī)定。7.4交易模型要求移動終端支持的交易模型應符合JT/T1059.3和JT/T1059.4的規(guī)定。7.5安全要求移動終端應滿足JT/T1059.5規(guī)定的安全要求。8分體終端JT/T1059.7—XXXX8.1硬件要求8.1.1硬件模塊8.1.1.1非接觸式讀卡器分體終端應具備內(nèi)置非接觸式讀卡器，并應具備明顯的標識，標明非接觸讀卡區(qū)域。非接觸式讀卡器應滿足第6章的要求。8.1.1.2通信端口與外部設備的通信端口應支持下列全部或部分類型的通信方式：a)藍牙通信；b)串口通信；c)USB；d)WIFI；e)音頻接口。8.1.1.3存儲器分體終端應具有足夠的存儲容量存放應用程序、密鑰、交易數(shù)據(jù)和其他參數(shù)等，并確保在掉電后數(shù)據(jù)不丟失。在保證完成交易功能的前提下，要求脫機終端保存的記錄不少于500條。8.1.2電磁兼容性無線電干擾極限值應符合GB/T9254.1—2021中B級ITE的規(guī)定。產(chǎn)品的抗擾度限值應符合GB/T9254.2的規(guī)定。8.2軟件要求分體終端軟件要求見6.2。8.3安全要求分體終端在操作員管理、密鑰體系、密鑰管理、加密及存儲等安全方面應滿足JR/T0025.7的要求。9SE應用管理終端9.1硬件要求9.1.1POS形態(tài)9.1.1.1基本要求POS形態(tài)SE應用管理終端作為一類使用廣泛的小型SE管理終端，其基礎硬件及性能應符合JT/T978.3的規(guī)定。9.1.1.2顯示屏顯示屏應顯示ASCII可視字符，漢字應按照GB/T5007.1、GB/T5199、GB/T13000或GB18030的要求。屏幕大小應具有顯示4行或4行以上英文和中文功能，其中每行顯示不少于16個英文字母、數(shù)字和符號，或不少于8個漢字；終端的液晶顯示屏對比度宜可調(diào)節(jié)或帶背光功能；宜具備圖形顯示能力。9.1.1.3鍵盤鍵盤應提供0～9的十進制數(shù)字型字符及若干功能鍵的輸入，應能輸入字母。鍵盤使用壽命應達到每鍵可敲擊300000次以上。若采用了帶顏色的命令鍵，宜使用下列顏色分配：a)確認：綠色；JT/T1059.7—XXXXb)取消：紅色；c)清除：黃色。9.1.1.4密碼鍵盤9.1.1.4.1POS形態(tài)的SE應用管理終端應配有密碼鍵盤，連接方式有兩種：與終端集成在一起的內(nèi)置密碼鍵盤；與終端通過通信線連接的外置密碼鍵盤。9.1.1.4.2密碼鍵盤內(nèi)部應包含具有加密運算處理功能的專用器件，能完成報文加密、解密、MAC計算和驗證。密碼鍵盤應能安全地存儲密鑰，防止被讀取。應支持可存儲及選用多組密鑰。9.1.1.4.3密碼鍵盤應至少具有10個數(shù)字鍵和若干功能鍵。功能鍵應至少包括“清除”和“確認”兩種功能；獨立密碼鍵盤至少應具有一行數(shù)字或字母顯示屏。鍵盤使用壽命應達到每鍵敲擊300000次以上。9.1.1.4.4交易金額應顯示在密碼鍵盤的顯示屏上。用戶鍵入密碼時，密碼鍵盤的顯示屏上不應顯示明文，應顯示“*”。密碼鍵盤與POS之間的關鍵數(shù)據(jù)傳送應以密文的形式進行，如下載主密鑰。9.1.1.5非接觸式讀卡器非接觸式讀卡器應具備明顯的標識，標明非接觸讀卡區(qū)域。如果讀卡區(qū)域在顯示屏下方，在交易時應在顯示屏上顯示非接觸讀卡標識。非接觸式讀卡器包括下列兩種類型。a)與終端集成在一起的內(nèi)置非接觸式讀卡器。b)與終端通過通信線連接的外置非接觸式讀卡器，外置非接觸式讀卡器包括下列兩種類型：1)獨立非接觸式讀卡器；2)與密碼鍵盤集成在一起的非接觸式讀卡器。9.1.1.6打印機打印機選用點陣擊打式或熱敏紙記錄式打印機，能內(nèi)置或外接。打印機打印要求如下：a)打印應支持ASCII可視字符，漢字應滿足GB/T5007.1、GB/T5199、GB/T13000或GB18030的要求；b)無故障打印憑證張數(shù)不應少于50000張；c)打印機走紙定位應準確，點陣擊打式打印機應至少能打印三聯(lián)壓感復寫憑證；d)打印機應具有過熱保護功能；e)打印字跡清晰均勻、字體飽滿無形變。9.1.1.7存儲器終端應具有足夠的存儲容量來存放應用程序、密鑰、交易數(shù)據(jù)和其他參數(shù)等，并確保在掉電后數(shù)據(jù)不丟失。要求在保證完成交易功能的前提下，單一批次內(nèi)，終端能夠保存300筆以上的交易流水。9.1.1.8通信端口POS形態(tài)SE應用管理終端應以聯(lián)機方式與TSM平臺進行通信，通信端口應支持下列全部或部分類型的通信方式：a)串口通信；b)MODEM通信；c)紅外通信；d)無線通信；e)以太網(wǎng)通信；f)其他。9.1.2自助終端形態(tài)9.1.2.1基本要求自助終端形態(tài)SE應用管理終端硬件應符合GB/T23647—2009第4章的規(guī)定。9.1.2.2硬件設計要求JT/T1059.7—XXXX硬件設計應滿足下列要求：a)具備防火、防盜、防塵、防淋、防震、防暴等要求，保證人身安全；b)配置的密封裝置及門鎖耐久、安全、可靠，應符合GA/T73的規(guī)定，對異常情況有報警及日志記錄功能；c)硬件系統(tǒng)和各模塊單元的邏輯設計應盡量采用統(tǒng)一校驗等技術，并留有適當?shù)倪壿嬘嗔?；d)硬件系統(tǒng)應具備自檢功能；e)框架和機柜應有一定的剛度和強度，以防止由于空間變動、部件變松或移位造成的全部或部分損壞，并應防止和減少部件發(fā)生火災、電沖擊和人身傷害的可能性；f)外形應具備人性化特點，客戶操作應感到舒適方便；g)安全模塊應遵循嚴格的密鑰機制，保證用戶個人信息及PIN等賬戶信息的安全。9.1.2.3外觀和結構自助終端形態(tài)SE應用管理終端的外觀和結構應滿足下列條件：a)表面沒有明顯的凹痕、劃傷、裂縫、變形和污染等，表面涂鍍層應均勻，不起泡、龜裂、脫落和磨損，金屬零部件沒有銹蝕及其他機械損傷；b)零部件緊固無松動，鍵盤、開關及其他活動部件的動作應靈活可靠。9.1.2.4觸摸屏輸入正常使用情況下，觸摸屏的觸摸反應時間不應大于20ms；透光率不應小于95%；單點觸摸的使用壽命不小于3500萬次。9.1.2.5密碼鍵盤自助終端形態(tài)SE應用管理終端的密碼鍵盤采用加密PIN鍵盤實現(xiàn)。PIN鍵盤包含一個內(nèi)嵌的密碼模塊，完成PIN加密和密鑰管理的任務。為了用戶方便，加密PIN鍵盤的密碼模塊還應提供其他密碼加密服務，比如報文加密和報文鑒別。密碼鍵盤應符合ISO8731-1、ISO13491-1、ISO9564-2、ISO11568的規(guī)定。9.1.2.6非接觸式讀卡模塊非接觸式讀卡模塊應滿足第6章的要求，宜采用內(nèi)嵌式模塊。非接觸式讀卡模塊應具備明顯的標識，標明非接觸讀卡區(qū)域。9.1.2.7通信端口自助終端形態(tài)SE應用管理終端應以聯(lián)機方式與TSM平臺進行通信。通信端口應支持下列全部或部分類型的通信方式：——串口通信；——MODEM通信；——紅外通信；——無線通信；——以太網(wǎng)通信；——其他。9.1.2.8電氣安全自助終端形態(tài)SE應用管理終端的電氣安全要求應符合GB4943.1的規(guī)定。9.1.2.9電磁兼容性9.1.2.9.1無線電騷擾限值自助終端形態(tài)SE應用管理終端的無線電騷擾限值應符合GB/T9254.1的規(guī)定。JT/T1059.7—XXXX9.1.2.9.2抗擾度限值自助終端形態(tài)SE應用管理終端的抗擾度限值應符合GB/T9254.2的規(guī)定。9.1.2.9.3諧波電流限值自助終端形態(tài)SE應用管理終端的諧波電流限值應符合GB17625.1的有關規(guī)定。9.1.2.10其他自助終端形態(tài)SE應用管理終端其他部件性能應確保SE應用管理終端功能的實現(xiàn)。9.2軟件要求功能要求9.3自助終端形態(tài)SE應用管理終端軟件要求見6.2。功能要求自助終端形態(tài)SE應用管理終端應包括下列全部或部分功能：a)自檢：SE應用管理終端開機后應對硬件狀態(tài)進行檢測和報警；b)操作員簽到：操作員開機后，鍵入操作員代碼和密碼，SE應用管理終端驗證操作員的合法性，簽到成功后操作員對SE應用管理終端進行操作；c)終端簽到：SE應用管理終端與管理平臺簽到采用聯(lián)機方式，簽到成功后才允許做其他交易；d)終端簽退：SE應用管理終端具備簽退功能，簽退后的終端應顯示簽退提示；e)應用下載：通過TSM平臺將應用程序通過SE應用管理終端發(fā)送并安裝到移動終端SE內(nèi)；f)應用個人化：通過SE應用管理終端進行移動終端SE應用個人化；g)應用列表查詢：通過SE應用管理終端查詢移動終端SE應用列表；h)應用詳細查詢：通過SE應用管理終端查詢移動終端SE應用信息；i)應用同步：通過SE應用管理終端將移動終端上的SE應用和相關狀態(tài)上送到系統(tǒng)；j)應用刪除：通過SE應用管理終端刪除移動終端上的指定SE應用；k)應用鎖定：通過SE應用管理終端對移動終端的SE應用進行鎖定；l)應用解鎖：通過SE應用管理終端對移動終端鎖定的SE應用進行解鎖；m)應用遠程管理同步：通過SE應用管理終端對移動終端遠程設定的SE應用進行同步；n)SE激活：通過SE應用管理終端對移動終端的SE進行激活；o)SE鎖定：通過SE應用管理終端對移動終端的SE進行鎖定；p)SE終止：通過SE應用管理終端對移動終端的SE進行終止使用；q)安全域鎖定：通過SE應用管理終端對移動終端的安全域進行鎖定；r)安全域解鎖：通過SE應用管理終端對移動終端鎖定的安全域進行解鎖；s)安全域終止：通過SE應用管理終端對移動終端的安全域進行終止使用。9.4安全要求9.4.1安全管理SE應用管理終端開機后應對硬件狀態(tài)進行檢測和報警。自檢結束后自動進入工作狀態(tài)。在工作狀態(tài)中，操作員也可通過選擇功能設置對SE應用管理終端進行自檢。自檢完畢返回工作狀態(tài)。9.4.2POS形態(tài)SE應用管理終端集成安全要求9.4.2.1配置管理對設備集成到密碼輸入終端進行安全性評估時，應明確定義其物理和邏輯安全界定，如PIN輸入和讀卡器各自的功能。9.4.2.2PIN輸入功能集成PIN輸入功能集成應滿足下列要求。a)保證通過認證的安全器件在集成到PIN輸入設備時，不降低整個設備的保護等級。JT/T1059.7—XXXXb)對密碼輸入器的密碼輸入?yún)^(qū)域和其周圍區(qū)域進行設計或改造時，保證不會增加密碼輸入器受攻擊的風險。c)終端在調(diào)用密碼鍵盤執(zhí)行PIN輸入操作的時候，遵循下列要求：1)終端上如有消費金額的提示及輸入PIN的提示，兩個提示有明顯區(qū)別；2)終端進入到輸入PIN的界面后不再允許輸入其他非PIN數(shù)據(jù)；3)終端進入到輸入PIN的界面后，之前輸入的金額部分不應修改。以防止用戶在輸入PIN的過程中誤操作到修改金額部分而泄露PIN；4)終端進入到輸入PIN操作階段，禁止在終端上進行其他和PIN輸入無關的人機交互的操作；若此時發(fā)生應用切換操作，或者顯示屏的焦點從PIN輸入界面移開，終端強制退出當前的PIN輸入操作，且將本次PIN輸入操作按失敗處理；5)進行PIN輸入提示時，終端只接受諸如“Yes,‖―OK,‖―Cancel,‖or―No”等控制字9.4.2.3POS形態(tài)SE應用管理終端的集成POS形態(tài)SE應用管理終端的集成應滿足下列要求：a)密碼輸入終端將已認證的安全設備進行物理和邏輯集成時，確保不引入新的攻擊途徑；b)保證在同一個設備中，安全組件與非安全組件之間有比較清晰的邏輯和物理隔離；c)應用執(zhí)行過程中，顯示給用戶的動態(tài)信息和終端操作狀態(tài)強制保持一致性。如果接收到來自外部設備更改用戶動態(tài)顯示信息和操作狀態(tài)的命令，保證該命令已被密碼授權校驗通過；d)PIN輸入設備保證只有一個支付密碼輸入接口，如一個鍵盤等。如果有其他可用于PIN輸入接口，限制該端口密碼輸入的使用，如無有效數(shù)字鍵、輸入的數(shù)字不可用等。9.4.2.4設備移除的安全要求設備移除的安全要求應符合下列規(guī)定：a)終端應符合9.4.6中PIN輸入設備的規(guī)定；b)供應商應對文檔持續(xù)的維護更新，以保證終端集成使用者了解如何保護系統(tǒng)，對非法移除加c)對于嵌入式設備，應準確按照嵌入設備廠商提供的文檔對系統(tǒng)加以保護，防止非法移除。9.4.3自助終端形態(tài)SE應用管理終端邏輯安全9.4.3.1非PIN數(shù)據(jù)輸入如自助終端形態(tài)SE應用管理終端的密碼鍵盤需要輸入非PIN數(shù)據(jù)，至少滿足下列條件中的一個：a)提示信息由加密單元控制：應滿足9.4.6中PIN輸入設備要求；b)改變用戶界面提示攻擊可能性分析：在未授權情況下，改變非PIN數(shù)據(jù)輸入時顯示的提示內(nèi)容危及PIN安全；c)安全模式：SE應用管理終端應確保用戶可見信息與操作狀態(tài)之間的關聯(lián)關系。9.4.3.2多應用自助終端形態(tài)SE應用管理終端支持多個應用程序，應能將不同程序分離出來。每個應用程序不應干擾或篡改其他應用程序或SE應用管理終端的操作系統(tǒng)，包括修改屬于其他程序的數(shù)據(jù)對象。9.4.3.3操作系統(tǒng)自助終端形態(tài)SE應用管理終端操作系統(tǒng)只能包含設計應用所必需的零部件和服務。應以最少的特權配置和運行。9.4.3.4單一的PIN數(shù)據(jù)接口自助終端形態(tài)SE應用管理終端僅能通過指定的接口接收PIN數(shù)據(jù)，如果另設有鍵盤，應阻止通過這個接口接收PIN數(shù)據(jù)。JT/T1059.7—XXXX9.4.4傳輸報文加密自助終端形態(tài)SE應用管理終端與TSM之間的報文應采用對稱密鑰的方式進行加密傳輸或進行數(shù)字簽9.4.5交易密鑰管理9.4.5.1二級密鑰體系終端密鑰分為二級：TMK和WK。9.4.5.2TMK用于對WK進行加密保護，每臺終端與TSM平臺共享唯一的TMK。TMK應有安全保護措施，只能寫入并參與運算，不能被讀取。9.4.5.3WK分為用于對PIN加密的密鑰以及進行報文鑒別的密鑰。由TSM平臺的加密機產(chǎn)生，在終端每次簽到時從TSM平臺利用TMK加密后下載，并由TMK加密存儲。終端WK在下載時應以密文傳送，嚴禁明文傳送。9.4.5.4終端MAC的算法當SE應用管理終端采用8583協(xié)議報文格式時，從報文消息類型到63域之間的部分構成MACELEMEMENTBLOCK，采用電子密碼本工作方式，加密結果為128位的MAC。如采用XML報文格式，由TSM平臺自行定義。注：8583協(xié)議基于ISO8583協(xié)議國際標準的包格式的通信協(xié)議。9.4.5.5PIN加密PIN加密采用ANSIX9.8Format（帶主賬號信息），加密算法采用雙倍長密鑰算法。9.4.6PIN輸入安全應保證PIN輸入過程中的數(shù)據(jù)傳輸安全和數(shù)據(jù)存儲安全，適用于所有移動支付的讀寫終端完成PIN輸入的設備或模塊（如密碼鍵盤）。10掃碼終端10.1通用要求二維碼掃碼模塊與刷卡部分應分開，二維碼掃碼與刷卡工作區(qū)域直線距離不少于6cm。應保證在二維碼數(shù)據(jù)圖像旋轉(zhuǎn)、不規(guī)則變形、圖像亮度變化、局部污損等各種復雜情況下，能準確識讀，并具有較強的自動糾錯能力。10.2存儲終端應保證至少能存儲1000張機構證書，能存儲至少5000條二維碼交易記錄。終端應安全存放自身應用程序、發(fā)卡機構證書、交易數(shù)據(jù)、黑白名單等參數(shù)，并確保終端在斷電情況下這些數(shù)據(jù)不丟失。10.3通信具備無線通信模塊如2G/3G/4G或其他實時聯(lián)網(wǎng)功能，若是地鐵閘機應具備接入局域網(wǎng)功能，并支持二維碼機構密鑰更新下載。終端應能夠準實時將用戶掃碼行為同步到服務器端。10.4時鐘具備高精度時鐘模塊，并能進行精確授時，應保證正常使用時兩次授時期間時間誤差不大于2s。10.5算法要求JT/T1059.7—XXXX證書、密鑰等的算法應符合GM/T0003的規(guī)定。10.6二維碼讀取器10.6.1識別和讀取要求應支持識別二進制編碼格式的二維碼，并通過USB-HID方式對二維碼進行讀取。10.6.2讀取與計算時間應在200ms內(nèi)完成二維碼讀取與驗證。10.6.3編碼方式應支持識別QRCode等常用碼制。注：QuickResponseCode，快速響應碼。10.6.4讀取精確度掃碼終端應支持識別旋轉(zhuǎn)、傾斜、偏轉(zhuǎn)的二維碼。10.7操作系統(tǒng)要求應支持Linux、Android等操作系統(tǒng)，其中Linux系統(tǒng)中glibc版本應在2.7及以上。10.8終端監(jiān)控與管理應具備遠程管理能力，包括遠程監(jiān)測終端心跳、終端遠程進行軟件升級、機構證書下載與更新、黑白名單下載與更新、能遠程識別終端問題且具有應急處理能力。10.9安全要求10.9.1存儲安全應對二維碼支付交易中涉及的關鍵、敏感數(shù)據(jù)進行存儲性安全保護，防止信息泄露和篡改。10.9.2通信安全10.9.2.1傳輸安全二維碼支付交易涉及各系統(tǒng)之間進行信息傳輸，各系統(tǒng)之間應建立安全通信信道，應對交易數(shù)據(jù)采用數(shù)字簽名和加密等安全方式進行傳輸，確保數(shù)據(jù)不被監(jiān)聽和篡改。在公網(wǎng)環(huán)境下，二維碼信息不應以明文形式傳輸。10.9.2.2傳輸數(shù)據(jù)的完整性應具備對傳輸數(shù)據(jù)的鑒別機制，確保發(fā)出數(shù)據(jù)的完整性和接收數(shù)據(jù)完整性的校驗。10.9.2.3傳輸數(shù)據(jù)的保密性應對傳輸?shù)臄?shù)據(jù)進行保密性保護，不應引起信息泄露。10.9.3應用軟件安全10.9.3.1合法性檢查和風險控制應用軟件與后臺系統(tǒng)應具備合法性檢查，通過簽名驗簽等密碼技術與后臺系統(tǒng)進行雙向認證，確保后臺系統(tǒng)和應用軟件的合法性，并設置超時時間。10.9.3.2密鑰更新要求若應用軟件涉及存儲通信、數(shù)據(jù)加密的安全密鑰，應保證密鑰定期更新，以防密鑰丟失。10.9.3.3應用軟件安全JT/T1059.7—XXXX應用軟件應滿足下列安全要求：——應確保應用程序源代碼存儲的安全性，即應用程序源代碼不可泄露；——客戶端中涉及聯(lián)機獲取的二維碼中的敏感數(shù)據(jù)應采用一定的機制進行分散存儲；——對客戶端中敏感數(shù)據(jù)以及涉及處理該數(shù)據(jù)的程序邏輯進行保護，例如采取代碼混淆、加殼、加密等方式，防范攻擊者對客戶端進行靜態(tài)分析、逆向工程、調(diào)試；——應從木馬病毒防范、信息加密保護、運行環(huán)境可信等方面提升安全防控能力。10.9.3.4支付安全用戶支付過程應滿足下列安全要求：a)二維碼具備分鐘級時效性，并且時效性具備動態(tài)調(diào)整能力；b)每個用戶只能單終端登錄，新終端登錄舊終端自動下線；c)限制二維碼連續(xù)生碼次數(shù)，次數(shù)動態(tài)配置，超過限制需要驗證用戶身份合法性；d)更換設備登陸，需要驗證用戶身份的合法性；e)二維碼應每分鐘自動更新；f)應保證相關設備及系統(tǒng)安全。10.9.3.5用戶安全客戶端應驗證用戶的身份，應用下列方式進行驗證：a)用戶提供驗證信息，例如客戶端密碼或口令等；b)用戶提供所持設備的驗證信息，例如手機動態(tài)驗證碼、令牌等。10.10掃碼處理交易流程要求掃碼處理流程分為錢包和現(xiàn)金兩種類型，錢包的掃碼處理交易流程如圖9所示，現(xiàn)金的掃碼處理交易流程如圖10所示。JT/T1059.7—XXXX圖9錢包掃碼處理交易流程JT/T1059.7—XXXX圖10現(xiàn)金掃碼處理交易流程11人臉識別終端11.1適應性要求11.1.1電源適應能力在額定電壓偏差±5%范圍內(nèi)的條件下，人臉識別終端應能正常工作。11.1.2氣候環(huán)境適應性氣候環(huán)境適應性應滿足表1的要求。表1氣候環(huán)境適應性0℃~40℃-20℃~60℃11.2硬件要求11.2.1顯示屏JT/T1059.7—XXXX人臉識別終端的顯示屏宜為彩色，能顯示圖形、漢字，顯示分辨率不低于VGA分辨率640*480。11.2.2應用處理器人臉識別終端進行人臉信息處理的處理單元規(guī)格不低于通用主頻1GHz，4核或等效計算能力。11.2.3內(nèi)存人臉識別終端的內(nèi)存不低于1GB，閃存或硬盤不低于4GB。11.2.4密碼鍵盤如人臉識別終端有密碼鍵盤，則密碼鍵盤應滿足JR/T0120.5的要求。11.2.5接口人臉識別終端應具備通信能力，應支持下列全部或部分類型的接口：——串行通信接口；——USB接口；——紅外通信接口；——以太網(wǎng)通信接口；——WIFI通信接口；——藍牙通信接口；——4G及以上無線網(wǎng)絡通信接口；——其他。11.2.6圖像采集單元人臉識別終端的圖像采集設備要求最低分辨率為VGA分辨率640*480，幀率不低于25f/s。11.2.7圖像處理單元應能夠?qū)D像采集單元傳遞過來的數(shù)字圖像信息進行如白平衡、色彩校正、編解碼等信息處理。11.2.8安全環(huán)境人臉識別終端應基于硬件和軟件結合的安全技術，采取如SE、支付標記化等手段，為人臉識別相關業(yè)務提供安全環(huán)境。11.3軟件要求11.3.1操作系統(tǒng)人臉識別終端應具備智能操作系統(tǒng)。如終端操作系統(tǒng)是Android，應不低于4.4版本。如終端系統(tǒng)是Windows，應不低于xp版本。11.3.2軟件完整性人臉識別終端軟件完整性應滿足完整性要求。應對終端軟件進行簽名，表示軟件的來源和發(fā)布者，保證所下載的終端軟件來源于所信任的機構；終端軟件啟動和更新時，應進行真實性和完整性校驗，防止終端軟件被篡改。11.3.3軟件運行要求人臉識別終端軟件運行時應滿足運行要求。人臉識別終端軟件應防止消耗過多的系統(tǒng)資源而使系統(tǒng)崩潰；人臉識別終端軟件安裝時應具備防崩潰機制。11.3.4人臉識別交易流程要求人臉識別交易流程見圖10。JT/T1059.7—XXXX圖11人臉識別交易流程11.4安全要求11.4.1通用安全人臉識別終端應通過國家認證認可管理部門認可機構的安全評估。人臉識別終端應使用經(jīng)國家密碼管理機構認可的商用密碼產(chǎn)品。人臉識別終端用于PIN輸入相關場景的，應具備物理、邏輯安全機制，包括但不限于以下安全機制：——應具備入侵檢測機制；——應防止PIN輸入過程被監(jiān)聽；——應保證敏感信息的安全存儲；——應具備完整的密鑰體系；——PIN輸入設備應符合JR/T0120.5的規(guī)定；——在人臉支付交易過程中，人臉識別終端應符合JR/T0120.1、JR/T0120.2、JR/T0120.