交通一卡通移動(dòng)票卡技術(shù)規(guī)范+第7部分：終端

1JT/T1059.7—XXXX交通一卡通移動(dòng)票卡技術(shù)規(guī)范第7部分：終端本文件規(guī)定了交通一卡通移動(dòng)票卡受理終端的分類和總體要求、讀寫終端、移動(dòng)終端、分體終端、SE應(yīng)用管理終端、掃碼終端和人臉識(shí)別終端的技術(shù)要求。本文件適用于交通一卡通移動(dòng)票卡受理終端的設(shè)計(jì)、開發(fā)和制造。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB4943.1音視頻、信息技術(shù)和通信技術(shù)設(shè)備第1部分：安全要求GB/T5007.1信息技術(shù)漢字編碼字符集（基本集）24點(diǎn)陣字型GB/T5199信息技術(shù)漢字編碼字符集（基本集）15×16點(diǎn)陣字型GB/T9254.1—2021信息技術(shù)設(shè)備、多媒體設(shè)備和接收機(jī)電磁兼容第1部分：發(fā)射要求GB/T9254.2信息技術(shù)設(shè)備、多媒體設(shè)備和接收機(jī)電磁兼容第2部分：抗擾度要求GB/T13000信息技術(shù)通用多八位編碼字符集（UCS）GB/T16649.3識(shí)別卡帶觸點(diǎn)的集成電路卡第3部分：電信號(hào)和傳輸協(xié)議GB/T16649.4識(shí)別卡集成電路卡第4部分：用于交換的結(jié)構(gòu)、安全和命令GB17625.1電磁兼容限值第1部分：諧波電流發(fā)射限值（設(shè)備每相輸入電流≤16A）GB18030信息技術(shù)中文編碼字符集GB/T23647—2009自助服務(wù)終端通用規(guī)范GA/T73—2015機(jī)械防盜鎖GM/T0003（所有部分）SM2橢圓曲線公鑰密碼算法JR/T0025.7中國金融集成電路（IC）卡規(guī)范第7部分：借記/貸記應(yīng)用安全規(guī)范JR/T0120.1銀行卡受理終端安全規(guī)范第1部分：銷售點(diǎn)（POS）終端JR/T0120.2銀行卡受理終端安全規(guī)范第2部分：受理商戶信息系統(tǒng)JR/T0120.3銀行卡受理終端安全規(guī)范第3部分：自助終端JR/T0120.5銀行卡受理終端安全規(guī)范第5部分：PIN輸入設(shè)備JT/T1059.1交通一卡通移動(dòng)票卡技術(shù)規(guī)范第1部分：總則JT/T1059.2—XXXX交通一卡通移動(dòng)票卡技術(shù)規(guī)范第2部分：安全單元JT/T1059.3交通一卡通移動(dòng)票卡技術(shù)規(guī)范第3部分：近場(chǎng)支付JT/T1059.4交通一卡通移動(dòng)票卡技術(shù)規(guī)范第4部分：遠(yuǎn)程支付JT/T1059.5交通一卡通移動(dòng)支付技術(shù)規(guī)范第5部分：客戶端軟件JT/T978.3—2023城市公共交通IC卡技術(shù)規(guī)范第3部分：讀寫終端JT/T978.5城市公共交通IC卡技術(shù)規(guī)范第5部分：非接觸接口通信ISO8731-1銀行業(yè)務(wù)用于電文認(rèn)證的認(rèn)可算法；第1部分：數(shù)據(jù)保密算法[RecommendationsforAlgorithmsforuseinbankingmessageauthentication—Part1：DataEncryptionAlgorithm（DEA）]2JT/T1059.7—XXXXISO9564-2：銀行業(yè)務(wù)個(gè)人識(shí)別碼（PIN）管理和安全第2部分：核準(zhǔn)的PIN加密算法[Banking—PersonalIdentificationNumber（PIN）managementandsecurity—Part2：ApprovedalgorithmsforPINencipherment]ISO11568：銀行業(yè)務(wù)密鑰管理（零售）banking—keymanagement（retail）ISO13491-1金融服務(wù)安全加密設(shè)備（零售）第1部分：概念、要求和評(píng)價(jià)方法[Financialservices—Securecryptographicdevices（retail）—Part1：Concepts，requirementsandevaluationmethods]ANSIX9.24（所有部分）零售金融服務(wù)對(duì)稱密鑰管理RetailfinancialservicessymmetrickeymanagementETSITS102613智能卡UICC—非接觸前端接口第1部分：物理層和數(shù)據(jù)鏈路層特性[SmartCards：UICC-ContactlessFront-end（CLF）Interface—Part1：Physicalanddatalinklayercharacteristics]ETSITS102622智能卡UICC—非接觸前端接口主機(jī)控制器接口[SmartCards：UICC-ContactlessFront-end（CLF）Interface;HostControllerInterface（HCI）]3術(shù)語和定義JT/T1059.1界定的以及下列術(shù)語和定義適用于本文件。3.1分體終端separatedmobilepaymentterminal借助外部設(shè)備（如手機(jī)，平板電腦等）等完成移動(dòng)票卡交易的受理終端。注：分體終端按照適用的環(huán)境及功能不同，可以分為個(gè)人類設(shè)備和商戶類設(shè)備。3.2安全單元應(yīng)用管理終端securityelementapplicationmanageterminal與可信服務(wù)管理平臺(tái)連接的專用于管理客戶端安全單元應(yīng)用的受理終端。注：安全單元應(yīng)用管理終端在硬件上可以是POS、自助終端或其他類型設(shè)備形態(tài)，一般布放在特定的場(chǎng)合，提供用戶對(duì)客戶端安全單元應(yīng)用進(jìn)行個(gè)人化、下載、3.3移動(dòng)終端mobileterminal個(gè)人用戶受理城市公共交通IC卡或移動(dòng)票卡的移動(dòng)受理終端。4縮略語下列縮略語適用于本文件。AID：應(yīng)用標(biāo)識(shí)符（ApplicationIdentifier）ADF：應(yīng)用專用文件（ApplicationDefinitionFile）ANSI：美國國家標(biāo)準(zhǔn)學(xué)會(huì)（AmericanNationalStandardsInstitute）ASCII：美國標(biāo)準(zhǔn)信息交換代碼（AmericanStandardCodeforInformationInterchange）ATS：選擇應(yīng)答（AnswerToSelect）CLF：非接觸前端接口（ContactlessFront-end）DDF：目錄定義文件（DirectoryDedicatedFile）DIR：目錄（Directory）ESAM：嵌入式安全控制模塊（EmbeddedSecureAccessModule）FCI：文件控制信息（FileControlInformation）HID：人體學(xué)接口設(shè)備（HumanInterfaceDevice）IC：集成電路（IntegratedCircuit）MAC：報(bào)文鑒別碼（MessageAuthenticationCode）MF：主文件（MasterFile）MODEM：調(diào)制解調(diào)器（ModulatorandDemodulator）PIN：個(gè)人識(shí)別碼（PersonalIdentificationNumber）3JT/T1059.7—XXXXPOS：銷售終端（PointofSale）PPSE：近距離支付系統(tǒng)環(huán)境（ProximityPaymentSystemsEnvironment）PSAM：Pin安全控制模塊（PinSecureAccessModule）PSE：支付系統(tǒng)環(huán)境（PaymentSystemsEnvironment）SE：安全單元（SecurityElement）SESPK：會(huì)話消費(fèi)密鑰（SessionPurchaseKey）SESULK：會(huì)話圈存密鑰（SessionUnloadKey）SFI：短文件標(biāo)識(shí)符（ShortFileIdentifier）SWP：?jiǎn)尉€協(xié)議（SingleWireProtocol）TAC：交易鑒別碼（TransactionAuthenticationCryptogram）TEE：可信執(zhí)行環(huán)境（TrustedExecutionEnvironment）TMK：終端主密鑰（TerminalMasterKey）TSM：可信服務(wù)管理（TrustedServiceManagement）USB：通用串行總線（UniversalSerialBus）VGA：視頻圖形陣列（VideoGraphicsArray）WIFI：無線網(wǎng)（WirelessFidelity）WK：工作密鑰（WorkingKey）XML：擴(kuò)展標(biāo)記語言（ExtensibleMarkupLanguage）5分類和總體要求5.1分類按照交通一卡通移動(dòng)票卡受理終端的應(yīng)用場(chǎng)景，受理終端分為讀寫終端、移動(dòng)終端、分體終端、SE應(yīng)用管理終端、掃碼終端和人臉識(shí)別終端，其中：a)讀寫終端適用于公共汽電車、城市軌道交通和出租汽車等場(chǎng)景。b)移動(dòng)終端適用于個(gè)人用戶受理城市公共交通IC卡或移動(dòng)票卡，如充值和查詢交易記錄等場(chǎng)景中。c)分體終端應(yīng)用場(chǎng)景與移動(dòng)終端類似，區(qū)別主要是出于安全考慮在物理形態(tài)和整體架構(gòu)上對(duì)終端進(jìn)行了分離。此類終端會(huì)將非接觸通信部分、密碼輸入部分以及關(guān)鍵的邏輯加密等風(fēng)險(xiǎn)等級(jí)較高的部分分離出來并集中放置于分體式終端一側(cè)，而主控端、常規(guī)邏輯和與后臺(tái)的通信模塊則放置于手機(jī)或其他通用的移動(dòng)設(shè)備端，兩者通過藍(lán)牙、WIFI及有線等方式進(jìn)行通信和信息交換，共同完成交易處理或SE管理功能。d)SE應(yīng)用管理終端適用于布放在營業(yè)網(wǎng)點(diǎn)對(duì)SE狀態(tài)及應(yīng)用進(jìn)行管理操作的終端類型，包括POS形態(tài)和自助終端形態(tài)兩種。e)掃碼終端主要是指適用于交通一卡通移動(dòng)票卡掃碼支付的專用讀寫終端，其應(yīng)支持JT/T1059.2中所規(guī)定的掃碼類相關(guān)業(yè)務(wù)。f)人臉識(shí)別終端是指支持人臉生物特征識(shí)別的專用讀寫終端，其應(yīng)支持JT/T1059.2中所提到的人臉識(shí)別等業(yè)務(wù)場(chǎng)景。5.2總體要求5.2.1受理終端的非接觸式電氣特性和通信協(xié)議應(yīng)符合JT/T978.5的要求。5.2.2若受理終端配備PIN輸入設(shè)備或模塊（如密瑪鍵盤），應(yīng)滿足如下要求：a)PIN輸入設(shè)備具備物理、邏輯安全機(jī)制，如具備入侵檢測(cè)機(jī)制，防止PIN輸入過程被監(jiān)聽、安全地存儲(chǔ)敏感信息、具備完整的密鑰體系等；b)在PIN輸入設(shè)備和非接觸式讀卡器間傳輸PIN相關(guān)信息時(shí)，有效地保護(hù)所傳輸?shù)臄?shù)據(jù)。6讀寫終端4JT/T1059.7—XXXX6.1硬件要求6.1.1接觸通道的電氣特性和傳輸協(xié)議讀寫終端接觸通道用于讀寫PSAM或ESAM模塊，接觸通道的電氣特性和鏈路層傳輸協(xié)議應(yīng)符合GB/T16649.3的規(guī)定。6.1.2非接觸通道的電氣特性和傳輸協(xié)議讀寫終端非接觸通道用于讀寫非接觸卡片或不同類型的SE，非接觸通道的電氣特性和傳輸協(xié)議應(yīng)符合5.2的規(guī)定。軟件要求6.2.1系統(tǒng)軟件應(yīng)具有初始化和對(duì)軟硬件的自檢與報(bào)警功能，具備斷電保護(hù)功能，并方便應(yīng)用程序的加載和參數(shù)設(shè)定。6.2.2二次開發(fā)平臺(tái)應(yīng)提供高級(jí)語言開發(fā)環(huán)境，提供二次開發(fā)專用接口，并提供應(yīng)用模塊，具備應(yīng)用程序的調(diào)試和測(cè)試環(huán)境。6.2.3模塊化結(jié)構(gòu)應(yīng)支持模塊化結(jié)構(gòu)設(shè)計(jì)，封裝成幾個(gè)相對(duì)獨(dú)立、性能穩(wěn)定的模塊，供開發(fā)者使用。6.3功能要求讀寫終端功能主要是指通過非接觸接口讀寫非接觸卡片或不同類型的SE移動(dòng)票卡業(yè)務(wù)受理終端，其基礎(chǔ)功能要求應(yīng)符合JT/T978.3的規(guī)定。讀寫終端所使用的PSAM或ESAM模塊的交易指令要求應(yīng)符合JT/T978.3附錄B的規(guī)定。6.4流程要求6.4.1電子錢包應(yīng)用交易流程要求6.4.1.1交易預(yù)處理6.4.1.1.1讀寫終端尋卡讀寫終端應(yīng)發(fā)送命令字為0x26或0x52的指令對(duì)放置天線區(qū)的非接觸票卡進(jìn)行尋卡。如果非接觸卡片有正常的ATS響應(yīng)，終端應(yīng)進(jìn)入電子錢包交易預(yù)處理流程，應(yīng)符合圖1的規(guī)定。5JT/T1059.7—XXXX圖1電子錢包交易預(yù)處理流程6.4.1.1.2選擇PPSE選擇PPSE（SELECTPPSE）命令的執(zhí)行過程應(yīng)符合JT/T1059.2—XXXX的規(guī)定。6.4.1.1.3選擇ADF選擇ADF（SELECTADF）命令的執(zhí)行過程應(yīng)滿足JT/T1059.2—XXXX第15章的指令要求。成功地選擇了電子錢包應(yīng)用后，卡片應(yīng)回送符合JT/T1059.2—XXXX中15.3.1規(guī)定的包含發(fā)卡機(jī)構(gòu)自定義數(shù)據(jù)在6JT/T1059.7—XXXX內(nèi)的文件控制信息、標(biāo)簽為9F51的卡片支持的第一票種貨幣代碼、標(biāo)簽為DF71的卡片支持的第二票種貨幣代碼、標(biāo)簽為DF00的卡片應(yīng)用算法標(biāo)識(shí)等信息。6.4.1.1.4選擇應(yīng)用響應(yīng)有效性檢查6.4.1.1.4.1對(duì)于SELECTADF命令回送的數(shù)據(jù)信息標(biāo)簽值為9F0C的數(shù)據(jù)，讀寫終端應(yīng)對(duì)這些數(shù)據(jù)進(jìn)行下列檢查：——通過其中的應(yīng)用序列號(hào)判定該卡是否不在終端存儲(chǔ)的“黑名單”卡之列；——通過其中的發(fā)卡機(jī)構(gòu)代碼判定該卡是否在終端存儲(chǔ)的“白名單”卡之列；——通過其中的應(yīng)用類型標(biāo)識(shí)來檢查卡片支持的票種，應(yīng)用類型標(biāo)識(shí)為1，表示僅支持第二票種，應(yīng)用類型標(biāo)識(shí)為2，表示僅支持第一票種，應(yīng)用類型標(biāo)識(shí)為3表示支持雙票種，交易按6.4.1.1.6中的規(guī)定進(jìn)行；——通過其中的應(yīng)用版本號(hào)來確定終端使用的密鑰分散算法，01表示采用分散算法01，02表示采用分散算法02；——通過其中的啟用日期和有效日期來判定應(yīng)用是否在有效期內(nèi)。6.4.1.1.4.2對(duì)于SELECTADF命令回送的信息標(biāo)簽為9F51或DF71的數(shù)據(jù)，讀寫終端應(yīng)在后續(xù)的6.4.1.1.6選擇票種過程中進(jìn)行匹配和使用。6.4.1.1.4.3對(duì)于SELECTADF命令回送的信息標(biāo)簽為DF00的數(shù)據(jù)，讀寫終端應(yīng)對(duì)這類數(shù)據(jù)進(jìn)行下列判斷和處理：——不包含此數(shù)據(jù)，或該值為00，表示卡片僅支持國際算法，終端使用國際算法進(jìn)行后續(xù)的交易；——該值為01，表示卡片僅支持國密算法，終端使用國密算法進(jìn)行后續(xù)的交易；——該值為02，表示卡片支持雙算法，終端使用國密算法進(jìn)行后續(xù)的交易。6.4.1.1.5錯(cuò)誤處理以上任一條件不滿足時(shí)終端應(yīng)拒絕交易，顯示響應(yīng)的出錯(cuò)碼。6.4.1.1.6選擇票種讀寫終端根據(jù)應(yīng)用選擇時(shí)獲得的應(yīng)用類型標(biāo)識(shí)判別IC卡和讀寫終端支持第一票種或第二票種的情況。如果IC卡和讀寫終端同時(shí)支持第一票種或第二票種之一，則讀寫終端自動(dòng)地選擇到第一票種或第二票種，繼而進(jìn)行6.4.1.2至6.4.1.6中所描述的步驟。如果IC卡和讀寫終端同時(shí)支持第一票種和第二票種，讀寫終端應(yīng)向持卡人提供選擇第一票種或第二票種的過程，在這一過程中持卡人能從中選擇一種票種進(jìn)行交易。如果IC卡僅支持一種票種并且該票種不被讀寫終端支持，則該過程終止。6.4.1.2圈存交易流程6.4.1.2.1一般要求圈存交易是錢包應(yīng)用票卡持卡人在交通一卡通卡片應(yīng)用上增加票種余額計(jì)數(shù)器的交易過程。此交易通常在圈存終端上聯(lián)機(jī)進(jìn)行，圈存交易流程應(yīng)與圖2相符。6.4.1.2.2發(fā)出初始化圈存命令讀寫終端應(yīng)按JT/T1059.2—XXXX第15章的規(guī)定，發(fā)出初始化圈存（INITIALIZEFORLOAD）命令，啟動(dòng)圈存交易流程。7JT/T1059.7—XXXX圖2圈存交易處理流程6.4.1.2.3處理初始化圈存命令卡片收到INITIALIZEFORLOAD命令后，應(yīng)進(jìn)行下列操作。a)檢查是否支持命令中包含的密鑰索引號(hào)。如果不支持，則回送狀態(tài)字9403，不回送任何其他數(shù)據(jù)，同時(shí)終止命令的處理過程。b)檢查指定票種圈存指令中的交易金額補(bǔ)償已透支金額后，不應(yīng)超過錢包應(yīng)用余額上限，否則回送態(tài)字6985，不回送任何其他數(shù)據(jù)，同時(shí)終止命令的處理過程。c)在通過以上檢查后，卡片將產(chǎn)生一個(gè)偽隨機(jī)數(shù)、過程密鑰和MAC1，用以供主機(jī)驗(yàn)證圈存交易及卡片的合法性。產(chǎn)生過程密鑰的輸入數(shù)據(jù)為偽隨機(jī)數(shù)+電子錢包聯(lián)機(jī)交易序號(hào)+8000。過程密鑰對(duì)由交易前的電子錢包可用余額+交易金額+交易類型標(biāo)識(shí)（實(shí)際數(shù)值為02）+終端機(jī)編號(hào)組合的數(shù)據(jù)加密產(chǎn)生MAC1。8JT/T1059.7—XXXXd)卡片將把JT/T1059.2—XXXX第15章中定義的INITIALIZEFORLOAD響應(yīng)報(bào)文回送給終端處理。如果卡片回送的狀態(tài)字不是9000，則交易終止。6.4.1.2.4驗(yàn)證MAC1收到INITIALIZEFORLOAD命令響應(yīng)報(bào)文后，終端把JT/T1059.2—XXXX第15章中定義的數(shù)據(jù)傳給發(fā)卡機(jī)構(gòu)主機(jī)。主機(jī)將生成過程密鑰并確認(rèn)MAC1是否有效。如果MAC1有效，將執(zhí)行6.4.1.2.6中的步驟；否則執(zhí)行6.4.1.2.5中的步驟。6.4.1.2.5回送錯(cuò)誤狀態(tài)如果不接受圈存交易，則主機(jī)應(yīng)通知終端。6.4.1.2.6主機(jī)圈存交易處理發(fā)卡機(jī)構(gòu)主機(jī)產(chǎn)生MAC2，用于卡片對(duì)主機(jī)進(jìn)行合法性檢查。MAC2的計(jì)算采用過程密鑰按順序?qū)ο铝袛?shù)據(jù)加密產(chǎn)生：a)交易金額；b)交易類型標(biāo)識(shí)，其實(shí)際數(shù)值為02；c)終端機(jī)編號(hào)；d)主機(jī)端的交易日期；e)主機(jī)端的交易時(shí)間。成功地進(jìn)行了圈存交易后，主機(jī)將聯(lián)機(jī)交易序號(hào)加1，并向終端發(fā)送一個(gè)圈存交易接受報(bào)文，其中包括MAC2、主機(jī)端的交易日期和主機(jī)端的交易時(shí)間。6.4.1.2.7發(fā)出圈存命令終端收到主機(jī)發(fā)來的圈存交易接受報(bào)文后，發(fā)出圈存（CREDITFORLOAD）命令更新卡片上電子錢包余額。CREDITFORLOAD命令應(yīng)符合JT/T1059.2—XXXX第15章的規(guī)定。6.4.1.2.8驗(yàn)證MAC2收到CREDITFORLOAD命令后，卡片應(yīng)確認(rèn)MAC2的有效性。如果MAC2有效，交易處理將執(zhí)行6.4.1.2.9中描述的步驟。否則將向終端回送狀態(tài)字9302，表示MAC無效。6.4.1.2.9卡片圈存交易確認(rèn)處理6.4.1.2.9.1記錄交易明細(xì)處理卡片將電子錢包聯(lián)機(jī)交易序號(hào)加1，并且把交易金額加在電子錢包的余額上?？ㄆ瑧?yīng)成功地完成6.4.1.2.2～6.4.1.2.9所有操作或者一個(gè)也不完成。在電子錢包圈存交易中，卡片應(yīng)使用下列數(shù)據(jù)組成的一個(gè)記錄自動(dòng)更新交易明細(xì)18記錄文件：a)電子錢包聯(lián)機(jī)交易序號(hào)；b)交易金額；c)交易類型標(biāo)識(shí)；d)終端機(jī)編號(hào)；e)主機(jī)端的交易日期；f)主機(jī)端的交易時(shí)間。6.4.1.2.9.2TAC計(jì)算TAC的計(jì)算不采用過程密鑰方式，它用DTK左右8位字節(jié)異或運(yùn)算的結(jié)果對(duì)按照下列順序組合的數(shù)據(jù)進(jìn)行加密運(yùn)算：a)交易后的電子錢包可用余額；b)順序加1前的電子錢包交易序號(hào)；c)交易金額；d)交易類型標(biāo)識(shí)；e)終端機(jī)編號(hào)；9JT/T1059.7—XXXXf)主機(jī)端的交易日期；g)主機(jī)端的交易時(shí)間；h)交易票種代碼。6.4.1.2.10返回確認(rèn)在成功完成6.4.1.2.9后，卡片通過CREDITFORLOAD命令的響應(yīng)報(bào)文將TAC回送給終端。主機(jī)在必要時(shí)驗(yàn)證TAC。6.4.1.3圈提交易流程6.4.1.3.1一般要求圈提交易是錢包應(yīng)用票卡持卡人在交通一卡通卡片應(yīng)用上減少票種余額計(jì)數(shù)器的交易過程。此交易通常在圈提終端上聯(lián)機(jī)進(jìn)行，圈提交易流程應(yīng)與圖3相符。JT/T1059.7—XXXX圖3圈提交易處理流程6.4.1.3.2發(fā)出初始化圈提命令終端發(fā)出初始化圈提（INITIALIZEFORUNLOAD）命令啟動(dòng)圈提交易。6.4.1.3.3處理初始化圈提命令卡片收到INITIALIZEFORUNLOAD命令后，應(yīng)按照下列步驟操作。a)檢查是否支持命令中提供的密鑰索引號(hào)。如果不支持，則回送狀態(tài)字9403，不回送任何其他數(shù)據(jù)，同時(shí)命令處理結(jié)束。b)檢查命令中包含的交易金額是否超過電子錢包實(shí)際余額。如果超過，則回送狀態(tài)字9401，不回送其他數(shù)據(jù)。JT/T1059.7—XXXXc)在通過以上檢查后，卡片將產(chǎn)生一個(gè)偽隨機(jī)數(shù)、過程密鑰SESULK和一個(gè)MAC1，供主機(jī)驗(yàn)證圈提交易及卡片的合法性。產(chǎn)生過程密鑰的輸入數(shù)據(jù)為偽隨機(jī)數(shù)+電子錢包聯(lián)機(jī)交易序號(hào)+8000。過程密鑰對(duì)由交易前的電子錢包可用余額+交易金額+交易類型標(biāo)識(shí)（實(shí)際數(shù)值為03）+終端機(jī)編號(hào)組合的數(shù)據(jù)加密產(chǎn)生MAC1。d)卡片應(yīng)向終端回送INITIALIZEFORUNLOAD命令的響應(yīng)報(bào)文和狀態(tài)字9000。在收到INITIALIZEFORUNLOAD的響應(yīng)報(bào)文后，終端將圈提批準(zhǔn)請(qǐng)求報(bào)文MAC1送往發(fā)卡機(jī)構(gòu)主機(jī)。6.4.1.3.4驗(yàn)證MAC1主機(jī)將產(chǎn)生SESULK并驗(yàn)證MAC1是否有效。如果MAC1有效，將執(zhí)行6.4.1.3.6中的步驟。否則終端應(yīng)回送一個(gè)錯(cuò)誤狀態(tài)字，交易處理將轉(zhuǎn)而執(zhí)行6.4.1.3.5中所描述的步驟。6.4.1.3.5回送錯(cuò)誤狀態(tài)如果不接受圈提交易，主機(jī)應(yīng)通知終端。6.4.1.3.6主機(jī)圈提交易處理主機(jī)確認(rèn)能夠進(jìn)行圈提交易后，將產(chǎn)生一個(gè)MAC2，以供卡片對(duì)主機(jī)合法性進(jìn)行檢查。包含在圈提（DEBITFORUNLOAD）命令響應(yīng)中從主機(jī)經(jīng)由終端傳到卡片的數(shù)據(jù)應(yīng)包括下列內(nèi)容：a)交易金額；b)交易類型標(biāo)識(shí)；c)終端機(jī)編號(hào)；d)主機(jī)端的交易日期；e)主機(jī)端的交易時(shí)間；f)“800000000000”。采用SESULK對(duì)以上數(shù)據(jù)按順序組合并進(jìn)行加密產(chǎn)生MAC2。主機(jī)向終端發(fā)送一個(gè)圈提交易接受報(bào)文，其中至少應(yīng)包括主機(jī)端的交易日期、主機(jī)端的交易時(shí)間和MAC2。6.4.1.3.7發(fā)出圈提命令終端收到主機(jī)的圈提交易接受報(bào)文后，向卡片發(fā)出DEBITFORUNLOAD命令以更新卡片上電子錢包余額。DEBITFORUNLOAD命令應(yīng)符合JT/T1059.2—XXXX第15章的規(guī)定。6.4.1.3.8驗(yàn)證MAC2卡片應(yīng)確認(rèn)MAC2是有效的。如果MAC2有效，交易處理將繼續(xù)執(zhí)行交易流程。否則向終端回送狀態(tài)字9302表示MAC無效。6.4.1.3.9卡片圈提交易確認(rèn)處理6.4.1.3.9.1卡片將電子錢包交易序號(hào)加1，并從卡片上的電子錢包余額中扣減交易金額。卡片應(yīng)成功地完成6.4.1.3.2～6.4.1.3.8所有步驟或者一個(gè)也不完成。6.4.1.3.9.2卡片將產(chǎn)生MAC3，并通過圈提（DEBITFORUNLOAD）命令的響應(yīng)報(bào)文將下列數(shù)據(jù)經(jīng)終端送往主機(jī)。a)用SESULK按順序?qū)ο铝袛?shù)據(jù)加密產(chǎn)生MAC3：1)交易后的電子錢包可用余額；2)順序加1前的電子錢包聯(lián)機(jī)交易序號(hào)；3)交易金額；4)交易類型標(biāo)識(shí)，其實(shí)際數(shù)值為03；5)終端機(jī)編號(hào)；6)主機(jī)端的交易日期；7)主機(jī)端的交易時(shí)間。b)卡片用下列數(shù)據(jù)組成的一個(gè)記錄更新交易明細(xì)：JT/T1059.7—XXXX1)順序加1后的電子錢包聯(lián)機(jī)交易序號(hào)；2)交易金額；3)交易類型標(biāo)識(shí)；4)終端機(jī)編號(hào)；5)主機(jī)端的交易日期；6)主機(jī)端的交易時(shí)間。6.4.1.3.10驗(yàn)證MAC3主機(jī)收到卡片回送的MAC3后，應(yīng)確認(rèn)MAC3是否有效。如果MAC3有效，交易處理將繼續(xù)執(zhí)行交易步驟。否則將向終端回送一個(gè)錯(cuò)誤狀態(tài)字。6.4.1.3.11主機(jī)圈提交易確認(rèn)處理發(fā)卡機(jī)構(gòu)主機(jī)將交易金額從電子錢包余額計(jì)數(shù)器上扣減，并將主機(jī)的電子錢包聯(lián)機(jī)交易序號(hào)加1。主機(jī)將向終端回送一個(gè)完成報(bào)文，表示持卡人的賬戶已更新。6.4.1.3.12顯示完成在收到主機(jī)的完成報(bào)文后，終端將向持卡人顯示交易完成信息。如果需要，終端應(yīng)能向持卡人提供紙質(zhì)交易憑證。6.4.1.4單次交易流程6.4.1.4.1一般要求單次交易允許錢包應(yīng)用票卡持卡人在交通一卡通讀寫終端上通過一次交易完成檢票的交易過程。此交易通常在交通一卡通讀寫終端上脫機(jī)進(jìn)行，單次交易流程應(yīng)與圖4相符。JT/T1059.7—XXXX圖4單次交易處理流程6.4.1.4.2發(fā)出單次交易初始化命令JT/T1059.7—XXXX終端發(fā)出初始化消費(fèi)（INITIALIZEFORPURCHASE）命令啟動(dòng)單次交易。INITIALIZEFORPURCHASE命令應(yīng)符合JT/T1059.2—XXXX第15章指令的規(guī)定，P1為02時(shí)交易為第1票種，P1為12時(shí)交易為第2票種，票種的貨幣代碼應(yīng)符合JT/T1059.2—XXXX中第15章選擇ADF指令返回FCI數(shù)據(jù)中數(shù)據(jù)標(biāo)簽9F51和DF71的規(guī)定。注：P1表示參數(shù)1。6.4.1.4.3處理單次交易初始化命令卡片收到INITIALIZEFORPURCHASE命令后，將進(jìn)行下列操作：a)檢查是否支持命令中提供的密鑰索引號(hào)。如果不支持，則回送狀態(tài)字9403，表示不支持的密鑰索引；b)檢查電子錢包余額是否大于或等于交易金額。如果小于交易金額，則回送狀態(tài)字9401，表示金額不足；c)在通過以上檢查之后，卡片將產(chǎn)生一個(gè)偽隨機(jī)數(shù)并連同電子錢包交易序號(hào)進(jìn)行響應(yīng)。使用由卡片產(chǎn)生偽隨機(jī)數(shù)和卡片回送的電子錢包交易序號(hào)，終端的安全存取模塊（PSAM或ESAM）將產(chǎn)生一個(gè)過程密鑰SESPK和MAC1，供卡片來驗(yàn)證PSAM和ESAM的合法性。產(chǎn)生過程密鑰的輸入數(shù)據(jù)為偽隨機(jī)數(shù)+電子錢包聯(lián)機(jī)交易序號(hào)+終端交易序號(hào)的最右兩個(gè)字節(jié)。過程密鑰對(duì)由交易金額+交易類型標(biāo)識(shí)（實(shí)際數(shù)值為06）+終端機(jī)編號(hào)+終端的交易日期+終端的交易時(shí)間+交易票種代碼組合的數(shù)據(jù)加密產(chǎn)生MAC1。6.4.1.4.4發(fā)出單次交易命令終端發(fā)出單次交易（DEBITFORPURCHASE）命令，DEBITFORPURCHASE命令應(yīng)符合JT/T1059.2—XXXX第15章的規(guī)定，P1為01時(shí)，交易為第1票種；P1為11時(shí)，交易為第2票種。6.4.1.4.5驗(yàn)證MAC1在收到DEBITFORPURCHASE命令后，卡片應(yīng)驗(yàn)證MAC1的有效性。若MAC1有效，交易處理將繼續(xù)執(zhí)行交易流程。若MAC1無效則向終端回送錯(cuò)誤狀態(tài)字9302表示MAC無效。連續(xù)3次單次交易MAC1無效，卡片應(yīng)被臨時(shí)鎖定并回送錯(cuò)誤狀態(tài)字6283。6.4.1.4.6卡片單次交易確認(rèn)處理卡片應(yīng)自動(dòng)從電子錢包余額中扣減消費(fèi)的金額，并將電子錢包交易序號(hào)加1。卡片應(yīng)成功地完成6.4.1.4.2～6.4.1.4.6所有步驟或者一個(gè)也不完成。只有余額和序號(hào)的更新均成功后，交易明細(xì)18記錄文件才能更新?？ㄆa(chǎn)生MAC2供PSAM和ESAM對(duì)其進(jìn)行合法性檢查，并通過DEBITFORPURCHASE命令的響應(yīng)報(bào)文回送終端。MAC2的計(jì)算采用SESPK對(duì)交易金額進(jìn)行加密產(chǎn)生?？ㄆ捎妹荑€DTK左右8位字節(jié)異或運(yùn)算后的結(jié)果產(chǎn)生TAC。TAC將被寫入終端交易明細(xì)，以便于主機(jī)進(jìn)行交易驗(yàn)證。TAC以明文形式通過DEBITFORPURCHASE命令的響應(yīng)報(bào)文從卡片傳送到終端?？ㄆ瑧?yīng)使用下列數(shù)據(jù)生成TAC，并更新交易明細(xì)。a)生成TAC的數(shù)據(jù)包括下列內(nèi)容：1)交易金額；2)交易類型標(biāo)識(shí)；3)終端機(jī)編號(hào)；4)終端交易序號(hào)；5)終端的交易日期；6)終端的交易時(shí)間；7)交易票種代碼。b)更新交易明細(xì)的記錄數(shù)據(jù)包括下列內(nèi)容：1)電子錢包脫機(jī)交易序號(hào)；2)交易票種代碼；3)交易金額；4)交易類型標(biāo)識(shí)；JT/T1059.7—XXXX5)終端機(jī)編號(hào)；6)終端的交易日期；7)終端的交易時(shí)間。6.4.1.4.7驗(yàn)證MAC2在收到卡片傳來的MAC2后，PSAM和ESAM要驗(yàn)證MAC2的有效性。MAC2驗(yàn)證的結(jié)果被傳送到終端以便采取必要的措施。6.4.1.5復(fù)合交易流程6.4.1.5.1一般要求復(fù)合應(yīng)用消費(fèi)交易是卡人使用電子錢包的余額，根據(jù)卡片上記錄的分時(shí)分段信息，進(jìn)行支付或獲取服務(wù)的交易過程。此交易通常在受理終端或其他讀卡設(shè)備上脫機(jī)進(jìn)行。復(fù)合應(yīng)用消費(fèi)交易允許消費(fèi)金額為0，復(fù)合應(yīng)用消費(fèi)交易流程應(yīng)與圖5相符。6.4.1.5.2發(fā)出復(fù)合交易初始化命令終端發(fā)出INITIALIZEFORCAPPPURCHASE命令啟動(dòng)復(fù)合應(yīng)用消費(fèi)交易。6.4.1.5.3處理復(fù)合交易初始化命令卡片收到INITIALIZEFORCAPPPURCHASE命令后，將進(jìn)行下列操作：a)檢查是否支持命令中提供的密鑰索引號(hào)。如果不支持，則回送狀態(tài)字9403，不回送其他數(shù)據(jù)；b)檢查電子錢包余額是否大于或等于交易金額。如果小于交易金額，則回送狀態(tài)字9401，不回送其他數(shù)據(jù)；c)在通過以上檢查之后，卡片將產(chǎn)生一個(gè)偽隨機(jī)數(shù)并連同電子錢包交易序號(hào)進(jìn)行響應(yīng)。使用由卡片產(chǎn)生偽隨機(jī)數(shù)和卡片回送的電子錢包交易序號(hào)，終端的安全存取模塊（PSAM或ESAM）將產(chǎn)生一個(gè)過程密鑰SESPK和MAC1，供卡片來驗(yàn)證PSAM和ESAM的合法性。產(chǎn)生過程密鑰的輸入數(shù)據(jù)為為偽隨機(jī)數(shù)+電子錢包聯(lián)機(jī)交易序號(hào)+終端交易序號(hào)的最右兩個(gè)字節(jié)。過程密鑰對(duì)由交易金額+交易類型標(biāo)識(shí)（實(shí)際數(shù)值為09）+終端機(jī)編號(hào)+終端的交易日期+終端的交易時(shí)間+交易票種代碼組合的數(shù)據(jù)加密產(chǎn)生MAC1。6.4.1.5.4發(fā)出更新復(fù)合應(yīng)用緩存命令終端發(fā)出更新復(fù)合應(yīng)用緩存（UPDATECAPPDATACACHE）命令，交易流程應(yīng)與圖5相符。對(duì)卡種類型值為0x96的巡檢卡片，應(yīng)更新相應(yīng)行業(yè)應(yīng)用信息記錄文件、記錄標(biāo)識(shí)為2712的行業(yè)巡檢信息記錄文件和循環(huán)記錄文件。對(duì)非卡種類型值為0x96的卡片，應(yīng)更新相應(yīng)行業(yè)應(yīng)用信息記錄文件和循環(huán)記錄。JT/T1059.7—XXXX圖5復(fù)合應(yīng)用消費(fèi)交易流程6.4.1.5.5處理更新復(fù)合應(yīng)用緩存命令卡片在收到UPDATECAPPDATACACHE命令后，將進(jìn)行下列操作：JT/T1059.7—XXXXa)如果命令中存在SFI域，檢查卡片當(dāng)前應(yīng)用下是否存在與命令中SFI值相同的文件。如果不存在，回送狀態(tài)字6A82，不回送其他數(shù)據(jù)。終端應(yīng)終止此次復(fù)合應(yīng)用消費(fèi)交易。b)根據(jù)命令中的復(fù)合應(yīng)用類型標(biāo)識(shí)符，查詢復(fù)合應(yīng)用消費(fèi)專用文件中是否存在相同標(biāo)識(shí)符的記錄。如果不存在，則回送狀態(tài)字6A83，不回送其他數(shù)據(jù)。終端應(yīng)終止此次復(fù)合應(yīng)用消費(fèi)交易。c)檢查復(fù)合應(yīng)用消費(fèi)專用文件中相應(yīng)記錄中的應(yīng)用鎖定標(biāo)志字節(jié)。如果應(yīng)用鎖定標(biāo)志為設(shè)置，則回送狀態(tài)字9407，不回送其他數(shù)據(jù)。終端應(yīng)終止此次復(fù)合應(yīng)用消費(fèi)交易。d)檢查命令中的數(shù)據(jù)域長度是否大于復(fù)合應(yīng)用消費(fèi)專用文件中相應(yīng)記錄的長度。如果大于，則回送狀態(tài)字6A84，不回送其他數(shù)據(jù)。終端應(yīng)終止此次復(fù)合應(yīng)用消費(fèi)交易。e)在通過以上檢查后，卡片應(yīng)暫存命令中的SFI、記錄號(hào)、復(fù)合應(yīng)用類型標(biāo)識(shí)符和數(shù)據(jù)域。復(fù)合應(yīng)用消費(fèi)專用文件中相應(yīng)記錄中的數(shù)據(jù)不應(yīng)通過此命令更新。6.4.1.5.6發(fā)出復(fù)合應(yīng)用交易命令終端發(fā)出復(fù)合應(yīng)用交易（DEBITFORCAPPPURCHASE）命令。6.4.1.5.7驗(yàn)證MAC1卡片在收到DEBITFORCAPPPURCHASE命令后，將驗(yàn)證MAC1的有效性。如果MAC1有效，交易處理將繼續(xù)執(zhí)行交易流程。否則將向終端回送錯(cuò)誤狀態(tài)字9302表示MAC無效。6.4.1.5.8卡片復(fù)合交易確認(rèn)處理6.4.1.5.8.1卡片從電子錢包余額中扣減消費(fèi)的金額，電子錢包交易序號(hào)加1，并更新復(fù)合應(yīng)用消費(fèi)專用文件，更新電子錢包消費(fèi)交易記錄?？ㄆ瑧?yīng)成功地完成6.4.1.5.2～6.4.1.5.8步驟或者一個(gè)也不完成。暫存的數(shù)據(jù)更新復(fù)合應(yīng)用消費(fèi)專用文件時(shí)，如果更新數(shù)據(jù)長度小于記錄長度，卡片應(yīng)在數(shù)據(jù)后自動(dòng)填充00至記錄尾。6.4.1.5.8.2卡片產(chǎn)生MAC2供PSAM或ESAM對(duì)其進(jìn)行合法性檢查，并通過DEBITFORCAPPPURCHASE命令響應(yīng)報(bào)文回送。MAC2的計(jì)算采用SESPK對(duì)交易金額進(jìn)行加密產(chǎn)生。6.4.1.5.8.3卡片采用密鑰DTK產(chǎn)生TAC。TAC將被寫入終端交易明細(xì)，用于主機(jī)進(jìn)行交易驗(yàn)證，它以明文形式通過命令報(bào)文從終端傳送到卡片?？ㄆ瑧?yīng)使用下列數(shù)據(jù)生成TAC，并更新交易明細(xì)。a)生成TAC的數(shù)據(jù)包括下列內(nèi)容：1)交易金額；2)交易類型標(biāo)識(shí)；3)終端機(jī)編號(hào)；4)終端交易序號(hào)；5)終端的交易日期；6)終端的交易時(shí)間；7)交易票種代碼。b)更新交易明細(xì)的記錄數(shù)據(jù)包括下列內(nèi)容：1)交易金額；2)交易票種代碼；3)交易類型標(biāo)識(shí)；4)電子錢包脫機(jī)交易序號(hào)；5)終端機(jī)編號(hào)；6)終端的交易日期；7)終端的交易時(shí)間。6.4.1.5.9驗(yàn)證MAC2在收到卡片傳來的MAC2后，PSAM和ESAM要驗(yàn)證MAC2的有效性。MAC2驗(yàn)證的結(jié)果被傳送到終端以便采取必要的措施。JT/T1059.7—XXXX6.4.1.5.10不完整交易處理在多票制的公交和地鐵行業(yè)，當(dāng)卡片發(fā)生不完整交易時(shí)候，終端應(yīng)做不完整交易處理。6.4.1.6修改透支限額交易流程6.4.1.6.1一般要求修改透支限額交易允許持卡人修改卡片上的透支限額信息。此交易通常在受理終端或其他讀卡設(shè)備上聯(lián)機(jī)進(jìn)行，修改透支限額交易流程應(yīng)與圖6相符。圖6修改透支限額交易流程6.4.1.6.2發(fā)出修改初始化命令終端發(fā)出修改初始化（INITIALIZEFORUPDATE）命令啟動(dòng)修改透支限額交易。6.4.1.6.3處理修改初始化命令卡片收到INITIALIZEFORUPDATE命令后，將進(jìn)行下列操作：a)檢查是否支持命令中包含的密鑰索引號(hào)。如果不支持，則回送狀態(tài)字9403，但不回送任何其他數(shù)據(jù)，同時(shí)終止命令的處理過程。JT/T1059.7—XXXXb)產(chǎn)生一個(gè)偽隨機(jī)數(shù)，過程密鑰和MAC1，用以供主機(jī)驗(yàn)證修改透支限額交易及卡片的合法性。過程密鑰用于電子錢包修改透支限額交易。用來產(chǎn)生過程密鑰的輸入數(shù)據(jù)應(yīng)由下列數(shù)據(jù)順序組成：1)偽隨機(jī)數(shù)；2)電子錢包聯(lián)機(jī)交易序號(hào)；3)8000。c)MAC1的計(jì)算采用過程密鑰對(duì)下列數(shù)據(jù)進(jìn)行順序組合并加密產(chǎn)生：1)交易后的電子錢包可用余額；2)電子錢包原透支限額；3)交易類型標(biāo)識(shí)；4)終端機(jī)編號(hào)。d)卡片將把JT/T1059.2—XXXX中定義的修改初始化（INITIALIZEFORUPDATE）命令響應(yīng)回送給終端處理。如果卡片回送的狀態(tài)字不是9000，則交易終止。6.4.1.6.4驗(yàn)證MAC1在收到INITIALIZEFORUPDATE命令響應(yīng)數(shù)據(jù)后，主機(jī)將驗(yàn)證MAC1的有效性。如果MAC1有效，交易處理將繼續(xù)執(zhí)行交易流程。否則將進(jìn)入6.4.1.6.5。6.4.1.6.5回送錯(cuò)誤狀態(tài)如果不接受修改透支限額交易，主機(jī)應(yīng)通知終端。6.4.1.6.6主機(jī)修改透支限額交易處理6.4.1.6.6.1主機(jī)確認(rèn)能夠進(jìn)行修改透支限額交易后，將產(chǎn)生一個(gè)MAC2，以供卡片對(duì)主機(jī)合法性進(jìn)行檢查。6.4.1.6.6.2包含在修改透支限額（UPDATEOVERDRAWLIMIT）命令中從主機(jī)經(jīng)由終端傳到卡片的數(shù)據(jù)應(yīng)包括下列內(nèi)容：a)新透支限額；b)交易類型標(biāo)識(shí)；c)終端機(jī)編號(hào)；d)主機(jī)端的交易日期；e)主機(jī)端的交易時(shí)間。6.4.1.6.6.3采用SESULK對(duì)以上數(shù)據(jù)按順序組合并進(jìn)行加密產(chǎn)生MAC2。主機(jī)向終端發(fā)送一個(gè)修改透支限額交易接受報(bào)文，其中至少應(yīng)包括主機(jī)端的交易日期、主機(jī)端的交易時(shí)間和MAC2。6.4.1.6.7發(fā)出修改透支限額命令終端收到主機(jī)發(fā)來的修改透支限額交易接受報(bào)文后，發(fā)出UPDATEOVERDRAWLIMIT命令更新卡片上電子錢包修改透支限額。UPDATEOVERDRAWLIMIT命令應(yīng)符合JT/T1059.2—XXXX第15章的規(guī)定。6.4.1.6.8驗(yàn)證MAC2卡片收到UPDATEOVERDRAWLIMIT命令后，應(yīng)確認(rèn)MAC2是有效的。如果MAC2有效，交易處理將繼續(xù)執(zhí)行交易流程。否則向終端回送狀態(tài)字9302表示MAC無效。6.4.1.6.9卡片修改透支限額確認(rèn)交易處理卡片將電子錢包聯(lián)機(jī)交易序號(hào)加1，并從卡片上的電子錢包余額中增加或扣減交易金額?？ㄆ瑧?yīng)成功地完成6.4.1.6.2～6.4.1.6.7所有步驟或者一個(gè)也不完成?？ㄆ瑢a(chǎn)生一個(gè)交易TAC，并通過UPDATEOVERDRAWLIMIT命令的響應(yīng)報(bào)文將下列數(shù)據(jù)經(jīng)終端送往主機(jī)。a)用SESULK對(duì)下列數(shù)據(jù)按順序組合并加密產(chǎn)生TAC：1)交易后的電子錢包可用余額；JT/T1059.7—XXXX2)順序加1前的電子錢包聯(lián)機(jī)交易序號(hào)；3)新透支限額；4)交易類型標(biāo)識(shí)；5)終端機(jī)編號(hào)；6)主機(jī)端的交易日期；7)主機(jī)端的交易時(shí)間；8)交易票種代碼。b)卡片用下列數(shù)據(jù)組成的一個(gè)記錄更新交易明細(xì)：1)電子錢包聯(lián)機(jī)交易序號(hào)；2)交易金額；3)交易票種代碼；4)交易類型標(biāo)識(shí)；5)終端機(jī)編號(hào)；6)主機(jī)端的交易日期；7)主機(jī)端的交易時(shí)間。6.4.1.6.10驗(yàn)證TAC主機(jī)收到卡片回送的TAC后，應(yīng)確認(rèn)TAC是否有效。如果TAC有效，終端將向持卡人顯示修改卡片透支限額交易成功。終端應(yīng)能向持卡人提供紙質(zhì)交易憑證。否則將向終端回送一個(gè)錯(cuò)誤狀態(tài)字。6.4.1.7交易后處理6.4.1.7.1一般要求當(dāng)交易發(fā)生閃卡時(shí)，終端應(yīng)執(zhí)行交易后處理，電子錢包交易后處理流程應(yīng)與圖7相符。JT/T1059.7—XXXX圖7電子錢包交易后處理流程6.4.1.7.2初始化和防沖突終端同時(shí)檢測(cè)到多個(gè)非接觸卡片，應(yīng)向持卡人顯示，并要求只放置一張卡片。JT/T1059.7—XXXX6.4.1.7.3讀取18記錄終端發(fā)送READRECORD命令，讀取錢包應(yīng)用0x18交易明細(xì)文件，獲取最近一筆交易明細(xì)。6.4.1.7.4發(fā)送取交易認(rèn)證命令終端發(fā)送取交易認(rèn)證（GETTRANSACTIONPROVE）命令，讀取卡片MAC2和TAC。6.4.1.7.5交易確認(rèn)處理如果卡片返回所需MAC2不可用等錯(cuò)誤狀態(tài)，則終端確認(rèn)上筆交易失敗，重新進(jìn)入交易流程；如果卡片正常返回MAC2和TAC，終端則將MAC2送給PSAM和ESAM進(jìn)行認(rèn)證，如果認(rèn)證通過，則上筆閃卡交易確認(rèn)交易成功，生成正常交易記錄并完成交易，否則確認(rèn)卡片交易失敗，結(jié)束閃卡交易流程，進(jìn)入正常交易流程。6.4.2電子現(xiàn)金應(yīng)用交易流程要求6.4.2.1交易預(yù)處理6.4.2.1.1讀寫終端尋卡終端應(yīng)發(fā)送命令字為0x26或0x52的指令對(duì)放置天線區(qū)的非接觸卡片進(jìn)行尋卡。如果非接觸卡片有正常的ATS響應(yīng)，終端應(yīng)進(jìn)入交易預(yù)處理流程，應(yīng)符合圖8的規(guī)定。JT/T1059.7—XXXX圖8電子現(xiàn)金交易預(yù)處理流程6.4.2.1.2PPSE選擇PPSE選擇的執(zhí)行過程應(yīng)符合JT/T1059.2—XXXX的規(guī)定。6.4.2.1.3應(yīng)用選擇應(yīng)用選擇的執(zhí)行過程應(yīng)符合JT/T1059.2—XXXX中第14章的規(guī)定。成功地選擇了電子現(xiàn)金應(yīng)用后，卡片回送符合JT/T1059.2—XXXX中15.2.2.2規(guī)定的包含發(fā)卡方專用數(shù)據(jù)在內(nèi)的文件控制信息標(biāo)簽為DF11、卡片支持的第一票種貨幣代碼標(biāo)簽為9F51和卡片支持的第二票種貨幣代碼信息標(biāo)簽為DF71、交易處理數(shù)據(jù)列表PDOL的標(biāo)簽為9F38。6.4.2.1.4應(yīng)用有效性檢查6.4.2.1.4.1對(duì)于SELECTADF命令回送的數(shù)據(jù)標(biāo)簽為9F38、DF69，終端將對(duì)這些數(shù)據(jù)進(jìn)行下列檢查：——標(biāo)簽為9F38的數(shù)據(jù)應(yīng)包含DF69的數(shù)據(jù)內(nèi)容，表示卡片支持的算法，終端需使用卡片支持算法進(jìn)行后續(xù)的交易；JT/T1059.7—XXXX——DF69值為01，表示卡片僅支持國密算法，終端需使用國密算法進(jìn)行后續(xù)的交易,值為02，表示卡片僅支持雙算法，終端需使用國密算法進(jìn)行后續(xù)的交易。6.4.2.1.4.2對(duì)于SELECTADF命令回送的數(shù)據(jù)標(biāo)簽為DF11，終端將對(duì)這些數(shù)據(jù)進(jìn)行以下檢查：——使用標(biāo)簽為DF11中的應(yīng)用序列號(hào)判定該卡是否在終端存儲(chǔ)的“黑名單”卡之列；——使用標(biāo)簽為DF11中的發(fā)卡機(jī)構(gòu)代碼判定該卡是否在終端存儲(chǔ)的“白名單”卡之列；——使用標(biāo)簽為DF11中的應(yīng)用版本號(hào)來確定終端使用的密鑰分散算法，01表示采用分散算法01，02表示采用分散算法02；——使用標(biāo)簽為DF11中的啟用日期和有效日期來判定應(yīng)用是否在有效期內(nèi)。6.4.2.1.4.3如果以上任一條件不滿足，交易將按6.4.2.1.5中的描述進(jìn)行。否則終端按照6.4.2.2～6.4.2.5要求的交易處理。6.4.2.1.5錯(cuò)誤處理以上任一條件不滿足時(shí)終端應(yīng)拒絕交易，顯示相應(yīng)的信息碼。6.4.2.2電子現(xiàn)金聯(lián)機(jī)交易電子現(xiàn)金聯(lián)機(jī)交易應(yīng)符合JT/T978.3中8.1的規(guī)定。6.4.2.3電子現(xiàn)金快速交易電子現(xiàn)金快速交易應(yīng)符合JT/T978.3中8.2的規(guī)定。6.4.2.4電子現(xiàn)金快速擴(kuò)展交易電子現(xiàn)金快速擴(kuò)展交易應(yīng)符合JT/T978.3中8.3、8.4的規(guī)定。6.4.2.5電子現(xiàn)金快速第二票種交易電子現(xiàn)金快速第二票種交易應(yīng)符合JT/T978.3中8.5的規(guī)定。7移動(dòng)終端7.1硬件要求7.1.1接觸通道的電氣特性和傳輸協(xié)議移動(dòng)終端在內(nèi)置SE的情況下，CLF和SE接口是內(nèi)部接口，宜采用SWP及其他內(nèi)部接口協(xié)議。SWP接口的電氣特性和鏈路層傳輸協(xié)議應(yīng)符合ETSITS102613的規(guī)定；其傳輸層協(xié)議應(yīng)滿足ETSITS102622的要求。7.1.2非接觸通道的電氣特性和傳輸協(xié)議非接觸通道的電氣特性和傳輸協(xié)議應(yīng)符合JT/T978.5的規(guī)定。7.2軟件要求移動(dòng)終端軟件要求見6.2。7.3功能要求移動(dòng)終端具備的功能應(yīng)符合JT/T1059.5的規(guī)定。7.4交易模型要求移動(dòng)終端支持的交易模型應(yīng)符合JT/T1059.3和JT/T1059.4的規(guī)定。7.5安全要求移動(dòng)終端應(yīng)滿足JT/T1059.5規(guī)定的安全要求。8分體終端JT/T1059.7—XXXX8.1硬件要求8.1.1硬件模塊8.1.1.1非接觸式讀卡器分體終端應(yīng)具備內(nèi)置非接觸式讀卡器，并應(yīng)具備明顯的標(biāo)識(shí)，標(biāo)明非接觸讀卡區(qū)域。非接觸式讀卡器應(yīng)滿足第6章的要求。8.1.1.2通信端口與外部設(shè)備的通信端口應(yīng)支持下列全部或部分類型的通信方式：a)藍(lán)牙通信；b)串口通信；c)USB；d)WIFI；e)音頻接口。8.1.1.3存儲(chǔ)器分體終端應(yīng)具有足夠的存儲(chǔ)容量存放應(yīng)用程序、密鑰、交易數(shù)據(jù)和其他參數(shù)等，并確保在掉電后數(shù)據(jù)不丟失。在保證完成交易功能的前提下，要求脫機(jī)終端保存的記錄不少于500條。8.1.2電磁兼容性無線電干擾極限值應(yīng)符合GB/T9254.1—2021中B級(jí)ITE的規(guī)定。產(chǎn)品的抗擾度限值應(yīng)符合GB/T9254.2的規(guī)定。8.2軟件要求分體終端軟件要求見6.2。8.3安全要求分體終端在操作員管理、密鑰體系、密鑰管理、加密及存儲(chǔ)等安全方面應(yīng)滿足JR/T0025.7的要求。9SE應(yīng)用管理終端9.1硬件要求9.1.1POS形態(tài)9.1.1.1基本要求POS形態(tài)SE應(yīng)用管理終端作為一類使用廣泛的小型SE管理終端，其基礎(chǔ)硬件及性能應(yīng)符合JT/T978.3的規(guī)定。9.1.1.2顯示屏顯示屏應(yīng)顯示ASCII可視字符，漢字應(yīng)按照GB/T5007.1、GB/T5199、GB/T13000或GB18030的要求。屏幕大小應(yīng)具有顯示4行或4行以上英文和中文功能，其中每行顯示不少于16個(gè)英文字母、數(shù)字和符號(hào)，或不少于8個(gè)漢字；終端的液晶顯示屏對(duì)比度宜可調(diào)節(jié)或帶背光功能；宜具備圖形顯示能力。9.1.1.3鍵盤鍵盤應(yīng)提供0～9的十進(jìn)制數(shù)字型字符及若干功能鍵的輸入，應(yīng)能輸入字母。鍵盤使用壽命應(yīng)達(dá)到每鍵可敲擊300000次以上。若采用了帶顏色的命令鍵，宜使用下列顏色分配：a)確認(rèn)：綠色；JT/T1059.7—XXXXb)取消：紅色；c)清除：黃色。9.1.1.4密碼鍵盤9.1.1.4.1POS形態(tài)的SE應(yīng)用管理終端應(yīng)配有密碼鍵盤，連接方式有兩種：與終端集成在一起的內(nèi)置密碼鍵盤；與終端通過通信線連接的外置密碼鍵盤。9.1.1.4.2密碼鍵盤內(nèi)部應(yīng)包含具有加密運(yùn)算處理功能的專用器件，能完成報(bào)文加密、解密、MAC計(jì)算和驗(yàn)證。密碼鍵盤應(yīng)能安全地存儲(chǔ)密鑰，防止被讀取。應(yīng)支持可存儲(chǔ)及選用多組密鑰。9.1.1.4.3密碼鍵盤應(yīng)至少具有10個(gè)數(shù)字鍵和若干功能鍵。功能鍵應(yīng)至少包括“清除”和“確認(rèn)”兩種功能；獨(dú)立密碼鍵盤至少應(yīng)具有一行數(shù)字或字母顯示屏。鍵盤使用壽命應(yīng)達(dá)到每鍵敲擊300000次以上。9.1.1.4.4交易金額應(yīng)顯示在密碼鍵盤的顯示屏上。用戶鍵入密碼時(shí)，密碼鍵盤的顯示屏上不應(yīng)顯示明文，應(yīng)顯示“*”。密碼鍵盤與POS之間的關(guān)鍵數(shù)據(jù)傳送應(yīng)以密文的形式進(jìn)行，如下載主密鑰。9.1.1.5非接觸式讀卡器非接觸式讀卡器應(yīng)具備明顯的標(biāo)識(shí)，標(biāo)明非接觸讀卡區(qū)域。如果讀卡區(qū)域在顯示屏下方，在交易時(shí)應(yīng)在顯示屏上顯示非接觸讀卡標(biāo)識(shí)。非接觸式讀卡器包括下列兩種類型。a)與終端集成在一起的內(nèi)置非接觸式讀卡器。b)與終端通過通信線連接的外置非接觸式讀卡器，外置非接觸式讀卡器包括下列兩種類型：1)獨(dú)立非接觸式讀卡器；2)與密碼鍵盤集成在一起的非接觸式讀卡器。9.1.1.6打印機(jī)打印機(jī)選用點(diǎn)陣擊打式或熱敏紙記錄式打印機(jī)，能內(nèi)置或外接。打印機(jī)打印要求如下：a)打印應(yīng)支持ASCII可視字符，漢字應(yīng)滿足GB/T5007.1、GB/T5199、GB/T13000或GB18030的要求；b)無故障打印憑證張數(shù)不應(yīng)少于50000張；c)打印機(jī)走紙定位應(yīng)準(zhǔn)確，點(diǎn)陣擊打式打印機(jī)應(yīng)至少能打印三聯(lián)壓感復(fù)寫憑證；d)打印機(jī)應(yīng)具有過熱保護(hù)功能；e)打印字跡清晰均勻、字體飽滿無形變。9.1.1.7存儲(chǔ)器終端應(yīng)具有足夠的存儲(chǔ)容量來存放應(yīng)用程序、密鑰、交易數(shù)據(jù)和其他參數(shù)等，并確保在掉電后數(shù)據(jù)不丟失。要求在保證完成交易功能的前提下，單一批次內(nèi)，終端能夠保存300筆以上的交易流水。9.1.1.8通信端口POS形態(tài)SE應(yīng)用管理終端應(yīng)以聯(lián)機(jī)方式與TSM平臺(tái)進(jìn)行通信，通信端口應(yīng)支持下列全部或部分類型的通信方式：a)串口通信；b)MODEM通信；c)紅外通信；d)無線通信；e)以太網(wǎng)通信；f)其他。9.1.2自助終端形態(tài)9.1.2.1基本要求自助終端形態(tài)SE應(yīng)用管理終端硬件應(yīng)符合GB/T23647—2009第4章的規(guī)定。9.1.2.2硬件設(shè)計(jì)要求JT/T1059.7—XXXX硬件設(shè)計(jì)應(yīng)滿足下列要求：a)具備防火、防盜、防塵、防淋、防震、防暴等要求，保證人身安全；b)配置的密封裝置及門鎖耐久、安全、可靠，應(yīng)符合GA/T73的規(guī)定，對(duì)異常情況有報(bào)警及日志記錄功能；c)硬件系統(tǒng)和各模塊單元的邏輯設(shè)計(jì)應(yīng)盡量采用統(tǒng)一校驗(yàn)等技術(shù)，并留有適當(dāng)?shù)倪壿嬘嗔?；d)硬件系統(tǒng)應(yīng)具備自檢功能；e)框架和機(jī)柜應(yīng)有一定的剛度和強(qiáng)度，以防止由于空間變動(dòng)、部件變松或移位造成的全部或部分損壞，并應(yīng)防止和減少部件發(fā)生火災(zāi)、電沖擊和人身傷害的可能性；f)外形應(yīng)具備人性化特點(diǎn)，客戶操作應(yīng)感到舒適方便；g)安全模塊應(yīng)遵循嚴(yán)格的密鑰機(jī)制，保證用戶個(gè)人信息及PIN等賬戶信息的安全。9.1.2.3外觀和結(jié)構(gòu)自助終端形態(tài)SE應(yīng)用管理終端的外觀和結(jié)構(gòu)應(yīng)滿足下列條件：a)表面沒有明顯的凹痕、劃傷、裂縫、變形和污染等，表面涂鍍層應(yīng)均勻，不起泡、龜裂、脫落和磨損，金屬零部件沒有銹蝕及其他機(jī)械損傷；b)零部件緊固無松動(dòng)，鍵盤、開關(guān)及其他活動(dòng)部件的動(dòng)作應(yīng)靈活可靠。9.1.2.4觸摸屏輸入正常使用情況下，觸摸屏的觸摸反應(yīng)時(shí)間不應(yīng)大于20ms；透光率不應(yīng)小于95%；單點(diǎn)觸摸的使用壽命不小于3500萬次。9.1.2.5密碼鍵盤自助終端形態(tài)SE應(yīng)用管理終端的密碼鍵盤采用加密PIN鍵盤實(shí)現(xiàn)。PIN鍵盤包含一個(gè)內(nèi)嵌的密碼模塊，完成PIN加密和密鑰管理的任務(wù)。為了用戶方便，加密PIN鍵盤的密碼模塊還應(yīng)提供其他密碼加密服務(wù)，比如報(bào)文加密和報(bào)文鑒別。密碼鍵盤應(yīng)符合ISO8731-1、ISO13491-1、ISO9564-2、ISO11568的規(guī)定。9.1.2.6非接觸式讀卡模塊非接觸式讀卡模塊應(yīng)滿足第6章的要求，宜采用內(nèi)嵌式模塊。非接觸式讀卡模塊應(yīng)具備明顯的標(biāo)識(shí)，標(biāo)明非接觸讀卡區(qū)域。9.1.2.7通信端口自助終端形態(tài)SE應(yīng)用管理終端應(yīng)以聯(lián)機(jī)方式與TSM平臺(tái)進(jìn)行通信。通信端口應(yīng)支持下列全部或部分類型的通信方式：——串口通信；——MODEM通信；——紅外通信；——無線通信；——以太網(wǎng)通信；——其他。9.1.2.8電氣安全自助終端形態(tài)SE應(yīng)用管理終端的電氣安全要求應(yīng)符合GB4943.1的規(guī)定。9.1.2.9電磁兼容性9.1.2.9.1無線電騷擾限值自助終端形態(tài)SE應(yīng)用管理終端的無線電騷擾限值應(yīng)符合GB/T9254.1的規(guī)定。JT/T1059.7—XXXX9.1.2.9.2抗擾度限值自助終端形態(tài)SE應(yīng)用管理終端的抗擾度限值應(yīng)符合GB/T9254.2的規(guī)定。9.1.2.9.3諧波電流限值自助終端形態(tài)SE應(yīng)用管理終端的諧波電流限值應(yīng)符合GB17625.1的有關(guān)規(guī)定。9.1.2.10其他自助終端形態(tài)SE應(yīng)用管理終端其他部件性能應(yīng)確保SE應(yīng)用管理終端功能的實(shí)現(xiàn)。9.2軟件要求功能要求9.3自助終端形態(tài)SE應(yīng)用管理終端軟件要求見6.2。功能要求自助終端形態(tài)SE應(yīng)用管理終端應(yīng)包括下列全部或部分功能：a)自檢：SE應(yīng)用管理終端開機(jī)后應(yīng)對(duì)硬件狀態(tài)進(jìn)行檢測(cè)和報(bào)警；b)操作員簽到：操作員開機(jī)后，鍵入操作員代碼和密碼，SE應(yīng)用管理終端驗(yàn)證操作員的合法性，簽到成功后操作員對(duì)SE應(yīng)用管理終端進(jìn)行操作；c)終端簽到：SE應(yīng)用管理終端與管理平臺(tái)簽到采用聯(lián)機(jī)方式，簽到成功后才允許做其他交易；d)終端簽退：SE應(yīng)用管理終端具備簽退功能，簽退后的終端應(yīng)顯示簽退提示；e)應(yīng)用下載：通過TSM平臺(tái)將應(yīng)用程序通過SE應(yīng)用管理終端發(fā)送并安裝到移動(dòng)終端SE內(nèi)；f)應(yīng)用個(gè)人化：通過SE應(yīng)用管理終端進(jìn)行移動(dòng)終端SE應(yīng)用個(gè)人化；g)應(yīng)用列表查詢：通過SE應(yīng)用管理終端查詢移動(dòng)終端SE應(yīng)用列表；h)應(yīng)用詳細(xì)查詢：通過SE應(yīng)用管理終端查詢移動(dòng)終端SE應(yīng)用信息；i)應(yīng)用同步：通過SE應(yīng)用管理終端將移動(dòng)終端上的SE應(yīng)用和相關(guān)狀態(tài)上送到系統(tǒng)；j)應(yīng)用刪除：通過SE應(yīng)用管理終端刪除移動(dòng)終端上的指定SE應(yīng)用；k)應(yīng)用鎖定：通過SE應(yīng)用管理終端對(duì)移動(dòng)終端的SE應(yīng)用進(jìn)行鎖定；l)應(yīng)用解鎖：通過SE應(yīng)用管理終端對(duì)移動(dòng)終端鎖定的SE應(yīng)用進(jìn)行解鎖；m)應(yīng)用遠(yuǎn)程管理同步：通過SE應(yīng)用管理終端對(duì)移動(dòng)終端遠(yuǎn)程設(shè)定的SE應(yīng)用進(jìn)行同步；n)SE激活：通過SE應(yīng)用管理終端對(duì)移動(dòng)終端的SE進(jìn)行激活；o)SE鎖定：通過SE應(yīng)用管理終端對(duì)移動(dòng)終端的SE進(jìn)行鎖定；p)SE終止：通過SE應(yīng)用管理終端對(duì)移動(dòng)終端的SE進(jìn)行終止使用；q)安全域鎖定：通過SE應(yīng)用管理終端對(duì)移動(dòng)終端的安全域進(jìn)行鎖定；r)安全域解鎖：通過SE應(yīng)用管理終端對(duì)移動(dòng)終端鎖定的安全域進(jìn)行解鎖；s)安全域終止：通過SE應(yīng)用管理終端對(duì)移動(dòng)終端的安全域進(jìn)行終止使用。9.4安全要求9.4.1安全管理SE應(yīng)用管理終端開機(jī)后應(yīng)對(duì)硬件狀態(tài)進(jìn)行檢測(cè)和報(bào)警。自檢結(jié)束后自動(dòng)進(jìn)入工作狀態(tài)。在工作狀態(tài)中，操作員也可通過選擇功能設(shè)置對(duì)SE應(yīng)用管理終端進(jìn)行自檢。自檢完畢返回工作狀態(tài)。9.4.2POS形態(tài)SE應(yīng)用管理終端集成安全要求9.4.2.1配置管理對(duì)設(shè)備集成到密碼輸入終端進(jìn)行安全性評(píng)估時(shí)，應(yīng)明確定義其物理和邏輯安全界定，如PIN輸入和讀卡器各自的功能。9.4.2.2PIN輸入功能集成PIN輸入功能集成應(yīng)滿足下列要求。a)保證通過認(rèn)證的安全器件在集成到PIN輸入設(shè)備時(shí)，不降低整個(gè)設(shè)備的保護(hù)等級(jí)。JT/T1059.7—XXXXb)對(duì)密碼輸入器的密碼輸入?yún)^(qū)域和其周圍區(qū)域進(jìn)行設(shè)計(jì)或改造時(shí)，保證不會(huì)增加密碼輸入器受攻擊的風(fēng)險(xiǎn)。c)終端在調(diào)用密碼鍵盤執(zhí)行PIN輸入操作的時(shí)候，遵循下列要求：1)終端上如有消費(fèi)金額的提示及輸入PIN的提示，兩個(gè)提示有明顯區(qū)別；2)終端進(jìn)入到輸入PIN的界面后不再允許輸入其他非PIN數(shù)據(jù)；3)終端進(jìn)入到輸入PIN的界面后，之前輸入的金額部分不應(yīng)修改。以防止用戶在輸入PIN的過程中誤操作到修改金額部分而泄露PIN；4)終端進(jìn)入到輸入PIN操作階段，禁止在終端上進(jìn)行其他和PIN輸入無關(guān)的人機(jī)交互的操作；若此時(shí)發(fā)生應(yīng)用切換操作，或者顯示屏的焦點(diǎn)從PIN輸入界面移開，終端強(qiáng)制退出當(dāng)前的PIN輸入操作，且將本次PIN輸入操作按失敗處理；5)進(jìn)行PIN輸入提示時(shí)，終端只接受諸如“Yes,‖―OK,‖―Cancel,‖or―No”等控制字9.4.2.3POS形態(tài)SE應(yīng)用管理終端的集成POS形態(tài)SE應(yīng)用管理終端的集成應(yīng)滿足下列要求：a)密碼輸入終端將已認(rèn)證的安全設(shè)備進(jìn)行物理和邏輯集成時(shí)，確保不引入新的攻擊途徑；b)保證在同一個(gè)設(shè)備中，安全組件與非安全組件之間有比較清晰的邏輯和物理隔離；c)應(yīng)用執(zhí)行過程中，顯示給用戶的動(dòng)態(tài)信息和終端操作狀態(tài)強(qiáng)制保持一致性。如果接收到來自外部設(shè)備更改用戶動(dòng)態(tài)顯示信息和操作狀態(tài)的命令，保證該命令已被密碼授權(quán)校驗(yàn)通過；d)PIN輸入設(shè)備保證只有一個(gè)支付密碼輸入接口，如一個(gè)鍵盤等。如果有其他可用于PIN輸入接口，限制該端口密碼輸入的使用，如無有效數(shù)字鍵、輸入的數(shù)字不可用等。9.4.2.4設(shè)備移除的安全要求設(shè)備移除的安全要求應(yīng)符合下列規(guī)定：a)終端應(yīng)符合9.4.6中PIN輸入設(shè)備的規(guī)定；b)供應(yīng)商應(yīng)對(duì)文檔持續(xù)的維護(hù)更新，以保證終端集成使用者了解如何保護(hù)系統(tǒng)，對(duì)非法移除加c)對(duì)于嵌入式設(shè)備，應(yīng)準(zhǔn)確按照嵌入設(shè)備廠商提供的文檔對(duì)系統(tǒng)加以保護(hù)，防止非法移除。9.4.3自助終端形態(tài)SE應(yīng)用管理終端邏輯安全9.4.3.1非PIN數(shù)據(jù)輸入如自助終端形態(tài)SE應(yīng)用管理終端的密碼鍵盤需要輸入非PIN數(shù)據(jù)，至少滿足下列條件中的一個(gè)：a)提示信息由加密單元控制：應(yīng)滿足9.4.6中PIN輸入設(shè)備要求；b)改變用戶界面提示攻擊可能性分析：在未授權(quán)情況下，改變非PIN數(shù)據(jù)輸入時(shí)顯示的提示內(nèi)容危及PIN安全；c)安全模式：SE應(yīng)用管理終端應(yīng)確保用戶可見信息與操作狀態(tài)之間的關(guān)聯(lián)關(guān)系。9.4.3.2多應(yīng)用自助終端形態(tài)SE應(yīng)用管理終端支持多個(gè)應(yīng)用程序，應(yīng)能將不同程序分離出來。每個(gè)應(yīng)用程序不應(yīng)干擾或篡改其他應(yīng)用程序或SE應(yīng)用管理終端的操作系統(tǒng)，包括修改屬于其他程序的數(shù)據(jù)對(duì)象。9.4.3.3操作系統(tǒng)自助終端形態(tài)SE應(yīng)用管理終端操作系統(tǒng)只能包含設(shè)計(jì)應(yīng)用所必需的零部件和服務(wù)。應(yīng)以最少的特權(quán)配置和運(yùn)行。9.4.3.4單一的PIN數(shù)據(jù)接口自助終端形態(tài)SE應(yīng)用管理終端僅能通過指定的接口接收PIN數(shù)據(jù)，如果另設(shè)有鍵盤，應(yīng)阻止通過這個(gè)接口接收PIN數(shù)據(jù)。JT/T1059.7—XXXX9.4.4傳輸報(bào)文加密自助終端形態(tài)SE應(yīng)用管理終端與TSM之間的報(bào)文應(yīng)采用對(duì)稱密鑰的方式進(jìn)行加密傳輸或進(jìn)行數(shù)字簽9.4.5交易密鑰管理9.4.5.1二級(jí)密鑰體系終端密鑰分為二級(jí)：TMK和WK。9.4.5.2TMK用于對(duì)WK進(jìn)行加密保護(hù)，每臺(tái)終端與TSM平臺(tái)共享唯一的TMK。TMK應(yīng)有安全保護(hù)措施，只能寫入并參與運(yùn)算，不能被讀取。9.4.5.3WK分為用于對(duì)PIN加密的密鑰以及進(jìn)行報(bào)文鑒別的密鑰。由TSM平臺(tái)的加密機(jī)產(chǎn)生，在終端每次簽到時(shí)從TSM平臺(tái)利用TMK加密后下載，并由TMK加密存儲(chǔ)。終端WK在下載時(shí)應(yīng)以密文傳送，嚴(yán)禁明文傳送。9.4.5.4終端MAC的算法當(dāng)SE應(yīng)用管理終端采用8583協(xié)議報(bào)文格式時(shí)，從報(bào)文消息類型到63域之間的部分構(gòu)成MACELEMEMENTBLOCK，采用電子密碼本工作方式，加密結(jié)果為128位的MAC。如采用XML報(bào)文格式，由TSM平臺(tái)自行定義。注：8583協(xié)議基于ISO8583協(xié)議國際標(biāo)準(zhǔn)的包格式的通信協(xié)議。9.4.5.5PIN加密PIN加密采用ANSIX9.8Format（帶主賬號(hào)信息），加密算法采用雙倍長密鑰算法。9.4.6PIN輸入安全應(yīng)保證PIN輸入過程中的數(shù)據(jù)傳輸安全和數(shù)據(jù)存儲(chǔ)安全，適用于所有移動(dòng)支付的讀寫終端完成PIN輸入的設(shè)備或模塊（如密碼鍵盤）。10掃碼終端10.1通用要求二維碼掃碼模塊與刷卡部分應(yīng)分開，二維碼掃碼與刷卡工作區(qū)域直線距離不少于6cm。應(yīng)保證在二維碼數(shù)據(jù)圖像旋轉(zhuǎn)、不規(guī)則變形、圖像亮度變化、局部污損等各種復(fù)雜情況下，能準(zhǔn)確識(shí)讀，并具有較強(qiáng)的自動(dòng)糾錯(cuò)能力。10.2存儲(chǔ)終端應(yīng)保證至少能存儲(chǔ)1000張機(jī)構(gòu)證書，能存儲(chǔ)至少5000條二維碼交易記錄。終端應(yīng)安全存放自身應(yīng)用程序、發(fā)卡機(jī)構(gòu)證書、交易數(shù)據(jù)、黑白名單等參數(shù)，并確保終端在斷電情況下這些數(shù)據(jù)不丟失。10.3通信具備無線通信模塊如2G/3G/4G或其他實(shí)時(shí)聯(lián)網(wǎng)功能，若是地鐵閘機(jī)應(yīng)具備接入局域網(wǎng)功能，并支持二維碼機(jī)構(gòu)密鑰更新下載。終端應(yīng)能夠準(zhǔn)實(shí)時(shí)將用戶掃碼行為同步到服務(wù)器端。10.4時(shí)鐘具備高精度時(shí)鐘模塊，并能進(jìn)行精確授時(shí)，應(yīng)保證正常使用時(shí)兩次授時(shí)期間時(shí)間誤差不大于2s。10.5算法要求JT/T1059.7—XXXX證書、密鑰等的算法應(yīng)符合GM/T0003的規(guī)定。10.6二維碼讀取器10.6.1識(shí)別和讀取要求應(yīng)支持識(shí)別二進(jìn)制編碼格式的二維碼，并通過USB-HID方式對(duì)二維碼進(jìn)行讀取。10.6.2讀取與計(jì)算時(shí)間應(yīng)在200ms內(nèi)完成二維碼讀取與驗(yàn)證。10.6.3編碼方式應(yīng)支持識(shí)別QRCode等常用碼制。注：QuickResponseCode，快速響應(yīng)碼。10.6.4讀取精確度掃碼終端應(yīng)支持識(shí)別旋轉(zhuǎn)、傾斜、偏轉(zhuǎn)的二維碼。10.7操作系統(tǒng)要求應(yīng)支持Linux、Android等操作系統(tǒng)，其中Linux系統(tǒng)中g(shù)libc版本應(yīng)在2.7及以上。10.8終端監(jiān)控與管理應(yīng)具備遠(yuǎn)程管理能力，包括遠(yuǎn)程監(jiān)測(cè)終端心跳、終端遠(yuǎn)程進(jìn)行軟件升級(jí)、機(jī)構(gòu)證書下載與更新、黑白名單下載與更新、能遠(yuǎn)程識(shí)別終端問題且具有應(yīng)急處理能力。10.9安全要求10.9.1存儲(chǔ)安全應(yīng)對(duì)二維碼支付交易中涉及的關(guān)鍵、敏感數(shù)據(jù)進(jìn)行存儲(chǔ)性安全保護(hù)，防止信息泄露和篡改。10.9.2通信安全10.9.2.1傳輸安全二維碼支付交易涉及各系統(tǒng)之間進(jìn)行信息傳輸，各系統(tǒng)之間應(yīng)建立安全通信信道，應(yīng)對(duì)交易數(shù)據(jù)采用數(shù)字簽名和加密等安全方式進(jìn)行傳輸，確保數(shù)據(jù)不被監(jiān)聽和篡改。在公網(wǎng)環(huán)境下，二維碼信息不應(yīng)以明文形式傳輸。10.9.2.2傳輸數(shù)據(jù)的完整性應(yīng)具備對(duì)傳輸數(shù)據(jù)的鑒別機(jī)制，確保發(fā)出數(shù)據(jù)的完整性和接收數(shù)據(jù)完整性的校驗(yàn)。10.9.2.3傳輸數(shù)據(jù)的保密性應(yīng)對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行保密性保護(hù)，不應(yīng)引起信息泄露。10.9.3應(yīng)用軟件安全10.9.3.1合法性檢查和風(fēng)險(xiǎn)控制應(yīng)用軟件與后臺(tái)系統(tǒng)應(yīng)具備合法性檢查，通過簽名驗(yàn)簽等密碼技術(shù)與后臺(tái)系統(tǒng)進(jìn)行雙向認(rèn)證，確保后臺(tái)系統(tǒng)和應(yīng)用軟件的合法性，并設(shè)置超時(shí)時(shí)間。10.9.3.2密鑰更新要求若應(yīng)用軟件涉及存儲(chǔ)通信、數(shù)據(jù)加密的安全密鑰，應(yīng)保證密鑰定期更新，以防密鑰丟失。10.9.3.3應(yīng)用軟件安全JT/T1059.7—XXXX應(yīng)用軟件應(yīng)滿足下列安全要求：——應(yīng)確保應(yīng)用程序源代碼存儲(chǔ)的安全性，即應(yīng)用程序源代碼不可泄露；——客戶端中涉及聯(lián)機(jī)獲取的二維碼中的敏感數(shù)據(jù)應(yīng)采用一定的機(jī)制進(jìn)行分散存儲(chǔ)；——對(duì)客戶端中敏感數(shù)據(jù)以及涉及處理該數(shù)據(jù)的程序邏輯進(jìn)行保護(hù)，例如采取代碼混淆、加殼、加密等方式，防范攻擊者對(duì)客戶端進(jìn)行靜態(tài)分析、逆向工程、調(diào)試；——應(yīng)從木馬病毒防范、信息加密保護(hù)、運(yùn)行環(huán)境可信等方面提升安全防控能力。10.9.3.4支付安全用戶支付過程應(yīng)滿足下列安全要求：a)二維碼具備分鐘級(jí)時(shí)效性，并且時(shí)效性具備動(dòng)態(tài)調(diào)整能力；b)每個(gè)用戶只能單終端登錄，新終端登錄舊終端自動(dòng)下線；c)限制二維碼連續(xù)生碼次數(shù)，次數(shù)動(dòng)態(tài)配置，超過限制需要驗(yàn)證用戶身份合法性；d)更換設(shè)備登陸，需要驗(yàn)證用戶身份的合法性；e)二維碼應(yīng)每分鐘自動(dòng)更新；f)應(yīng)保證相關(guān)設(shè)備及系統(tǒng)安全。10.9.3.5用戶安全客戶端應(yīng)驗(yàn)證用戶的身份，應(yīng)用下列方式進(jìn)行驗(yàn)證：a)用戶提供驗(yàn)證信息，例如客戶端密碼或口令等；b)用戶提供所持設(shè)備的驗(yàn)證信息，例如手機(jī)動(dòng)態(tài)驗(yàn)證碼、令牌等。10.10掃碼處理交易流程要求掃碼處理流程分為錢包和現(xiàn)金兩種類型，錢包的掃碼處理交易流程如圖9所示，現(xiàn)金的掃碼處理交易流程如圖10所示。JT/T1059.7—XXXX圖9錢包掃碼處理交易流程JT/T1059.7—XXXX圖10現(xiàn)金掃碼處理交易流程11人臉識(shí)別終端11.1適應(yīng)性要求11.1.1電源適應(yīng)能力在額定電壓偏差±5%范圍內(nèi)的條件下，人臉識(shí)別終端應(yīng)能正常工作。11.1.2氣候環(huán)境適應(yīng)性氣候環(huán)境適應(yīng)性應(yīng)滿足表1的要求。表1氣候環(huán)境適應(yīng)性0℃~40℃-20℃~60℃11.2硬件要求11.2.1顯示屏JT/T1059.7—XXXX人臉識(shí)別終端的顯示屏宜為彩色，能顯示圖形、漢字，顯示分辨率不低于VGA分辨率640*480。11.2.2應(yīng)用處理器人臉識(shí)別終端進(jìn)行人臉信息處理的處理單元規(guī)格不低于通用主頻1GHz，4核或等效計(jì)算能力。11.2.3內(nèi)存人臉識(shí)別終端的內(nèi)存不低于1GB，閃存或硬盤不低于4GB。11.2.4密碼鍵盤如人臉識(shí)別終端有密碼鍵盤，則密碼鍵盤應(yīng)滿足JR/T0120.5的要求。11.2.5接口人臉識(shí)別終端應(yīng)具備通信能力，應(yīng)支持下列全部或部分類型的接口：——串行通信接口；——USB接口；——紅外通信接口；——以太網(wǎng)通信接口；——WIFI通信接口；——藍(lán)牙通信接口；——4G及以上無線網(wǎng)絡(luò)通信接口；——其他。11.2.6圖像采集單元人臉識(shí)別終端的圖像采集設(shè)備要求最低分辨率為VGA分辨率640*480，幀率不低于25f/s。11.2.7圖像處理單元應(yīng)能夠?qū)D像采集單元傳遞過來的數(shù)字圖像信息進(jìn)行如白平衡、色彩校正、編解碼等信息處理。11.2.8安全環(huán)境人臉識(shí)別終端應(yīng)基于硬件和軟件結(jié)合的安全技術(shù)，采取如SE、支付標(biāo)記化等手段，為人臉識(shí)別相關(guān)業(yè)務(wù)提供安全環(huán)境。11.3軟件要求11.3.1操作系統(tǒng)人臉識(shí)別終端應(yīng)具備智能操作系統(tǒng)。如終端操作系統(tǒng)是Android，應(yīng)不低于4.4版本。如終端系統(tǒng)是Windows，應(yīng)不低于xp版本。11.3.2軟件完整性人臉識(shí)別終端軟件完整性應(yīng)滿足完整性要求。應(yīng)對(duì)終端軟件進(jìn)行簽名，表示軟件的來源和發(fā)布者，保證所下載的終端軟件來源于所信任的機(jī)構(gòu)；終端軟件啟動(dòng)和更新時(shí)，應(yīng)進(jìn)行真實(shí)性和完整性校驗(yàn)，防止終端軟件被篡改。11.3.3軟件運(yùn)行要求人臉識(shí)別終端軟件運(yùn)行時(shí)應(yīng)滿足運(yùn)行要求。人臉識(shí)別終端軟件應(yīng)防止消耗過多的系統(tǒng)資源而使系統(tǒng)崩潰；人臉識(shí)別終端軟件安裝時(shí)應(yīng)具備防崩潰機(jī)制。11.3.4人臉識(shí)別交易流程要求人臉識(shí)別交易流程見圖10。JT/T1059.7—XXXX圖11人臉識(shí)別交易流程11.4安全要求11.4.1通用安全人臉識(shí)別終端應(yīng)通過國家認(rèn)證認(rèn)可管理部門認(rèn)可機(jī)構(gòu)的安全評(píng)估。人臉識(shí)別終端應(yīng)使用經(jīng)國家密碼管理機(jī)構(gòu)認(rèn)可的商用密碼產(chǎn)品。人臉識(shí)別終端用于PIN輸入相關(guān)場(chǎng)景的，應(yīng)具備物理、邏輯安全機(jī)制，包括但不限于以下安全機(jī)制：——應(yīng)具備入侵檢測(cè)機(jī)制；——應(yīng)防止PIN輸入過程被監(jiān)聽；——應(yīng)保證敏感信息的安全存儲(chǔ)；——應(yīng)具備完整的密鑰體系；——PIN輸入設(shè)備應(yīng)符合JR/T0120.5的規(guī)定；——在人臉支付交易過程中，人臉識(shí)別終端應(yīng)符合JR/T0120.1、JR/T0120.2、JR/T0120.