CJT 166-2014 建設事業(yè)集成電路（IC）卡應用技術條件

ICS35.240.60中華人民共和國城鎮(zhèn)建設行業(yè)標準CJ/T166—2014建設事業(yè)集成電路(IC)卡應用技術條件中華人民共和國住房和城鄉(xiāng)建設部發(fā)布 1 13術語和定義 66離線IC卡終端設備 9密鑰系統(tǒng)及要求 12IC卡應用系統(tǒng)技術要求 14IC卡應用系統(tǒng)驗收要求 附錄A(資料性附錄)卡片天線類型 附錄B(規(guī)范性附錄)離線式IC卡終端交易流程 附錄C(規(guī)范性附錄)安全計算 Ⅲ本標準代替CJ/T166—2006《建設事業(yè)集成電路(——增加并完善卡片類別(見5.1); 增加并完善開放平臺CPU卡的有關要求(見5.6):——增加并完善PSAM卡物理參數(shù)的有關要求(見6.2.1.3);——增加并完善城市一卡通安全域安全要求(見11.7); 刪除服務類ISAM卡的相關內(nèi)容(見2006版6.4.2)。本標準代替了CJ/T166—2006。1建設事業(yè)集成電路(IC)卡應用技術條件GB/T16649.1識別卡帶觸點的集成電路卡第1部分：物理特性GB/T16649.5識別卡帶觸點的集成電路卡第5部分：應用標識符的國家編號體系和注冊規(guī)程CJ/T304建設事業(yè)CPU卡操作系統(tǒng)技術要求ISO/IEC14443-1識別卡無觸點集成電路卡接近式卡第1部分：物理特性(Identificationcards-Contactlessintegratedcircuitcards—Proximitycards—Part1:Physicalcharacteristics)ISO/IEC14443-2識別卡無觸點集成電路卡接近式卡第2部分：射頻功率和信號接口(I-dentificationcards—ContactlessintISO/IEC14443-3識別卡無觸點集成電路卡接近式卡第3部分：初始化和防沖突(Identi-ISO/IEC14443-4識別卡無觸點集成電路卡接近式卡第4部分：傳輸協(xié)議(Identificationcards—Contactlessintegratedcircuitcards—Proximitycards—Part4:Transmissionprotocol)ISO13491-2銀行業(yè)務安全密碼裝置第2部分：磁條卡系統(tǒng)裝置安全檢驗表(Banking—2集成電路卡/IC卡integratedcircuitcard內(nèi)部封裝一個或多個集成電路的卡。為完成交易而在交易點安裝的設備，用于同IC3.33.53.63.73.83.9在指定應用的電子收費終端，對IC卡進行相應扣款寫卡的過程。3.10可與IC卡進行數(shù)據(jù)交換的終端設備。3.113.123.13按照一定的數(shù)據(jù)格式產(chǎn)生的具有不同功能的數(shù)據(jù)文件。3一種為方便持卡人進行小額消費而設計的IC卡應用。一種為持卡人進行消費、取現(xiàn)等交易而設計的使用個人密碼(PIN)保護的金融IC卡應用。當一方能向另一方提交出預先約定的密碼時，遞交一方的合法性才得以承認。非接觸式IC卡contactlessICcard無觸點的集成電路卡。接觸式IC卡contactICcard帶觸點的集成電路卡。報文鑒別代碼messageauthenticationcode為驗證報文的完整性對交易數(shù)據(jù)及其相關參數(shù)進行運算產(chǎn)生的代碼。黑名單lawlesslist一種具有微處理器芯片的IC卡。消費類終端purchasetypeterminalIC卡消費交易的設備。表具類終端gaugetypeterminal支持對預付費的水、燃氣和熱量給予正常供應的設備。服務類終端servicetypeterminal安全存取模塊secureaccessmoduleIC卡類安全存取模塊ICcardsecureaccessmodule以IC卡的模式封裝的，一種能夠提供必要的安全機制以防止外界對內(nèi)部所儲存或處理的安全數(shù)據(jù)1以帶引腳的芯片模式封裝的，一種能夠提供必要的安全機制以防止外界對內(nèi)部所儲存或處理的安攻擊attack由IC卡發(fā)行主管部門或應用主管機構發(fā)行的可以用于對IC卡進行脫機消費交易認證的安全認證由IC卡發(fā)行主管部門或應用主管機構發(fā)行的可以用于對IC卡進行脫機消費交易認證的嵌入式安內(nèi)嵌了安全運算單元和安全存儲模塊的卡(或IC卡)。ADF應用數(shù)據(jù)文件(ApplicationDefinitionFile)AEF應用基本文件(ApplicationElementaryFile)AID應用標識符(ApplicationIdentifier)APDU應用協(xié)議數(shù)據(jù)單元(ApplicationProtocolDataUnit)APP應用(Application)CA電子商務認證中心(CertificateAuthority)5DAP數(shù)據(jù)認證模式(DataAuthenticationINS命令報文的指令字節(jié)(InstructionByteofCommandMessage)ISD發(fā)卡行安全域(IssuerSecuritJCAPIJava卡應用接口(JavaCardApplicationInterface)JCREJava卡運行環(huán)境(JavaCardRuntimeEnvironment)Lc終端發(fā)出的命令數(shù)據(jù)的實際長度(ExactLengthofDataSentMF主控文件(MasterFile)NFC-WINearFieldCommunicationWiredInterface近場通信有線接口OPEN卡片主控管理者(TheCentralon-cardAdministratorThatOwnstheGlobalPlatP1參數(shù)1(Parameter1)P2參數(shù)2(Parameter2)PIN個人密碼(PersonalIdentificationNumber)PSAM消費安全存取模塊(PurchaseSecureAccessModule)RAM隨機訪問內(nèi)存(RandomAccessMemory)RSA非對稱加密算法(Rivest/Shamir/Adlemanasymmetricalgorithm)SAM安全存取模塊(SecureSCP02安全通道協(xié)議02(SecureChannelProtocol02)SCP10安全通道協(xié)議10(SecureChannelProtocol10)SE安全單元(SecureESHA1安全摘要算法1(SecureHashAlgorithm1)SM1安全消息算法1(SecureMessage1)SM2安全消息算法2(SecureMessage2)6T=0面向字符的異步半雙工傳輸協(xié)議TAC交易驗證碼(TransactionAuthorizationCryptogram)TSM可信任服務管理平臺(TrustedServiceManager),也稱多應用開放平臺USB通用串行總線(UniversalSerialBus)注：非開放平臺CPU卡是指基于Native平臺的CPU卡.開放平臺是指基于符合GP規(guī)范的CPU卡?？ㄆ凑仗炀€尺寸可劃分為：類型1卡、類型2卡、類型3卡、類型4卡、類型5卡和類型6卡。不同類型卡片天線的尺寸參見附錄A。5.2接觸式IC卡接觸式IC卡應符合GB/T16649.1中有關物理特性的要求。5.2.2接觸式IC卡觸點的尺寸和位置接觸式IC卡的每個觸點的尺寸、數(shù)量和位置、分配以及表面接觸電阻等應符合GB/T16649.2的非接觸式IC卡物理特性應符合ISO)/IEC14443-1中有關物理特性的要求。非接觸式IC卡的射頻功率和信號接口應符合ISO/IEC14443-2中的要求。非接觸式IC卡的初始化和防沖突應符合ISO/IEC14443-3中有關初始化、防沖突等要求。非接觸式IC卡應符合ISO/IEC14443-4中有關激活協(xié)議和半雙工塊傳輸協(xié)議等要求。75.4雙界面IC卡雙界面IC卡是卡中的芯片同時具有符合GB/T16649接觸式接口和符合ISO/IEC14443非接觸式接口的IC卡。接觸式界面應符合5.2中對接觸式IC卡的相關要求。非接觸式界面應符合5.3中對非接觸式IC卡的相關要求。5.5非開放平臺CPU卡數(shù)據(jù)元和文件結構卡中的每一個應用都包括一系列信息項，在終端成功的完成應用選擇后可對該項選擇的應用信息卡文件結構應符合GB/T16649.4中的要求。數(shù)據(jù)文件(ADF)。一個ADF是一個或多個應用基本文件(AEF)的入口點。一個ADF及其相關數(shù)據(jù)ADF的樹形結構應符合下列要求：a)能夠?qū)?shù)據(jù)文件與應用聯(lián)系起來；c)可通過應用選擇實現(xiàn)對其邏輯結構的訪問。a)包含一個FCI的專用文件(DF)(GB/T16649.4中定義)被映像為ADF,可通過它來訪問EF8和DF。在卡中處于最高層的DF稱為主控文件(MF)。b)包含一組記錄中的基本文件(EF)(GB/T16649.4中定義)被映像為AEF,EF不能作為進入另IC卡支持用于MF下各應用列表的目錄結構。目錄結構必備的文件是目錄文件(DIR文件)和一DIR文件是一個AEF,即一個記錄結構的EF,它包含GB/T16649.5中定義的數(shù)據(jù)對象：的目錄SFI數(shù)據(jù)對象指定。a)卡中的任何ADF或DDF可通過其DF名查詢，ADF的DF名對應其AID,每個DF名在給定的卡中應是唯一的；b)SFI用于選擇AEF。對給定應用中的任何AEF,可通過SFI(5位代碼，取值范圍從1～30)查MF(3F00)MF(3F00)密鑰文件(0000)目錄基本文件(0001)應用1(ADF1)93)正確選擇MF后，卡片返回相應的FCI。FCI參照JR/T0025的相關內(nèi)容。1)目錄基本文件是一個變長記錄型文件，用1到10的SFI標識。該目錄基本文件附屬于DDF,目錄的SFI包含在DDF文件控制信息中。目錄可使用ReadRecord命令進行讀2)目錄文件的SFI=01。c)應用1—x:正確選擇ADF后，卡片返回相應的FCI。5.6開放平臺CPU卡開放平臺CPU卡結構應符合GlobalPlatform2.2的規(guī)定，見圖2。APPAPP卡通行APPAPPAPP主安全域多應用框架APIJCAPIJCRE互聯(lián)互通應用輔助安全域圖2開放平臺CPU卡結構城市一卡通安全域是開放平臺CPU卡的一部分，為城市一卡通應用以及該安全域相關聯(lián)的其他CA證書其他應用a)城市一卡通安全域在SE出廠前預置，其空間大小采用靜態(tài)分配方式。存儲器類型為EEPRO)M時，城市一卡通安全域的存儲容量不應小于50KB;存儲器類型為FLASH及其他類型時，存儲容量不應小于200KB。運行安全域內(nèi)應用時RA空間的30%;5.6.2.2CA證書安全認證識別碼的編碼規(guī)則應符合CJ/T304的規(guī)定。非接觸應用管理目錄用于管理開放平臺CPU卡上城市一卡通安全域應用目錄列表，提供安全域密鑰文件(0000)公共電子存折(0001)公共電子錢包(0002)異地交易明細記錄文件(0010)公共應用基本文件(0015)持卡人基本信息文件(0016)互通復合記錄文件(0017)本地交易明細記錄文件(0018)本地復合交易文件(0019)充值交易明細文件(001A)文件名稱文件類型文件標識符讀權寫權MF主控文件日錄文件滿足一定條件建立密鑰文件密鑰文件自定義滿足一定條件建立目錄基本文件變長記錄文件需認證發(fā)卡基本信息文件二進制文件安全信息持卡人基本信息文件二進制文件安全信息公用錢包應用文件日錄文件滿足一定條件建立密鑰文件密鑰文件自定義滿足一定條件建立公共電子存折專用存折文件專用指令公共電子錢包專用錢包文件專用指令異地交易明細記錄文件循環(huán)文件公用基本信息文件二進制文件安全信息個人基本信息文件二進制文件安全信息互通復合交易文件變長記錄文件安全信息本地交易明細記錄文件循環(huán)文件本地復合交易文件變長記錄文件安全信息充值交易明細文件循環(huán)文件5.7.1.3MF主控文件內(nèi)容消費類CPU用戶卡MF的KEY文件內(nèi)容，見表2。表2消費類CPU用戶卡MF的KEY密鑰名稱密鑰代碼密鑰標識密鑰分散級別密鑰作用卡片主控子密鑰DACK1控制MF下文件添加和刪除卡片維護子密鑰DAMK1MF下有關信息文件的更新保護目錄基本文件有一條記錄：701361114F09A00000000386980701500450424F43,各部表3目錄信息文件文件標識(SFI)文件類型變長記錄文件文件大小文件存取控制讀=自由改寫=DCMK線路保護標志長度值Var結構數(shù)據(jù)對象標簽Var應用模板0x05～0x10DDF名稱0x01～0x10應用標簽表4發(fā)卡基本信息文件文件標識(SFI)文件類型二進制文件文件大小001EH文件存取控制字節(jié)數(shù)據(jù)元長度格式發(fā)卡方代碼2BCD城市代碼2HEX算法支持1BCD行業(yè)代碼1BCD占位符2HEX應用序列號8HEX卡類型2HEX發(fā)行日期(YYYYMMDD)4BCI發(fā)行設備信息6HEX應用版本號2HEX行業(yè)代碼應采用住房和城鄉(xiāng)建設部定義的行業(yè)代碼標識，見表5。序號發(fā)卡行業(yè)代碼1城市通用2公交及快速軌道3出租汽車4地鐵5輕軌6輪渡7園林景點8路橋9旅游大巴停車場1文化娛樂環(huán)衛(wèi)系統(tǒng)商業(yè)批發(fā)零售餐飲旅館服務郵電通訊金融保險教育系統(tǒng)廠礦企業(yè)石油化工預付費表具自來水煤氣天然氣供熱供電工商稅務體育健身自行車租賃2行政機關表6用戶卡卡片算法支持卡片算法支持說明只支持DES、3DES算法只支持SM1算法除消費子密鑰1-5、TAC子密鑰與應用鎖定子密鑰為DES算法，余下都為SM1算法表7卡類型對應關系主卡類型子卡類型對應原卡類型普通卡：00標準卡：0000000001異形卡：09測試卡：99記名卡：01標準卡：0000020003異形卡：09優(yōu)惠卡：02標準卡：00一異形卡：09測試卡：99ADF1-ADFx:目錄名或短文件標識符。5.7.1.4ADF1公用錢包專用文件內(nèi)容公用錢包應用目錄(1001)下文件信息，見表8。表8公用錢包應用目錄(1001)下文件信息文件名稱文件標識符文件大小ADF01目錄數(shù)據(jù)文件KEY文件(ADF1公用錢包專用文件)電子錢包文件0002×0008H公共應用基本信息文件個人基本信息文件復合交易記錄文件電子錢包本地交易明細記錄文件0A×17H電子錢包異地交易明細文件0A×17H電子錢包充值交易明細文件0A×17Hb)正確選擇此ADF后，卡片返回相應的FCI如下：密鑰名稱密鑰代碼密鑰標識密鑰分散級別密鑰作用應用主控子密鑰DACK控制應用區(qū)內(nèi)結構添加和刪除應用維護子密鑰DAMK1應用區(qū)內(nèi)有關信息文件的更新保護復合消費維護密鑰DCPK復合消費文件維護PIN解鎖密鑰DPUK2解鎖PINPIN重裝密鑰DRPK2重裝PIN消費子密鑰DPK01～0A2共10組密鑰圈存子密鑰DLK01～021共2組密鑰TAC子密鑰DTK2消費交易驗證5.7.1.4.4公共電子錢包文件(0002)文件標識符文件長度0002×0008H文件結構錢包文件讀余額寫控禁止圈存PIN8.DLK消費DPK文件標識(SFI)文件類型二進制文件文件大小文件存取控制字節(jié)數(shù)據(jù)元長度格式發(fā)卡方代碼2BCD城市代碼2HEX算法支持BCD行業(yè)代碼1BCD占位符(0000)2HEX應用類型標識(啟用標志)1BCD應用版本1BCD互通標識2HEX應用序列號8HEX應用啟動日期(YYYYMMDD)4BCD應用有效日期(YYYYMMDD)4BCD預留2HEX注1:互通標識為本城市的城市代碼：注2:應用類型標識(啟用標志)00為未啟用，非00為啟用；預留部分不允許占用。表12個人基本信息文件文件標識符0016文件長度0040H(64)文件結構二進制文件讀控PIN認證寫控字節(jié)數(shù)據(jù)元長度格式說明01-01持卡人類型標識1BCD02-02持卡人職工標識1BCD03-22持卡人姓名ASC23-54持卡人證件號碼ASC55-55持卡人證件類型1BCD空間預留9字節(jié)表13持卡人類型標識標識定義說明普通乘客公交職工發(fā)卡方職工…表14持卡人證件類型標識定義說明居民身份證學生證護照軍官證士兵證武裝警察身份證港澳臺通行證臺胞證駕駛證暫住證一船員證/船民證表15復合交易文件文件標識(SFI)文件類型變長記錄文件文件大小00A0H文件存取控制改寫=在交易情況下記錄標識字節(jié)數(shù)據(jù)元長度格式公交應用復合交易(本地應用)BCD輕軌應用復合交易(本地應用)BCD03～08預留BCD全國互通應用復合交易(異地應用)定義見表18BCD17文件09記錄數(shù)據(jù)源定義，見表16。表1617文件09記錄數(shù)據(jù)源定義記錄標識字節(jié)數(shù)據(jù)元長度格式復合消費標志(09)1BCD復合消費數(shù)據(jù)長度(2E)1HEX復合消費鎖定標志1BCD復合消費記錄版本號1HEX交易類型(0x00標識已完成)HEX終端機編號(城市代碼)6BCD金額(用于補扣，增加補扣流程)4HEX交易日期4YYYYMMDD交易時間3HHMMSS自定義數(shù)據(jù)注1:復合消費標志為09;注2:復合消費鎖定標志00表示允許，非00表示禁止。表17本地消費交易明細文件文件標識(SFI)文件類型循環(huán)記錄文件記錄長度文件存取控制字節(jié)數(shù)據(jù)元長度格式電子錢包消費2HEX預留3HEX交易金額4HEX交易類型1BCD交易終端編號6HEX交易日期(YYYYMMDD)4BCD交易時間(HHMMSS)3BCD20文件標識(SFI)文件類型循環(huán)記錄文件記錄長度文件存取控制改寫=C(S內(nèi)部操作字節(jié)數(shù)據(jù)元長度格式電子錢包消費序號2HEX預留3HEX交易金額4HEX交易類型1BCD交易終端編號6HEX交易日期(YYYYMMDD)4BCD交易時間(HHMMSS)3BCD文件標識(SFI)文件類型循環(huán)記錄文件記錄長度文件存取控制字節(jié)數(shù)據(jù)元長度格式電子錢包充值交易序號2HEX預留3HEX交易金額4HEX交易類型1BCD交易終端編號6HEX交易日期(YYYYMMDD)4BCD交易時間(HHMMSS)3BCD用戶卡各交易明細記錄文件中交易類型，見表20。表20交易類型交易類型說明DES算法下的圈存DES算法下的消費DES算法下的復合應用SM1算法下的圈存SM1算法下的消費SM1算法下的復合應用用戶卡應支持的密鑰版本、算法標識和密鑰索引分別見表21、表22和表23。密鑰版本算法名稱來源支持DES/3DES建設事業(yè)IC卡密鑰管理系統(tǒng)城市一卡通密鑰管理系統(tǒng)算法標識算法名稱支持DES/3DES支持SM1表23密鑰索引密鑰索引算法名稱支持DES/3DES80～85支持SM15.7.2表具類CPU卡應文件結構表24。22文件名稱文件類型文件標識符讀權寫權MF主控文件日錄文件滿足一定條件建立KEY密鑰文件自定義滿足一定條件建立公共信息文件進制文件需安全信息日錄數(shù)據(jù)文件變長記錄文件需安全信息ADF1應用文件目錄文件滿足一定條件建立計量文件錢包文件需安全信息設置信息文件二進制文件需安全信息需安全信息返回信息文件二進制文件需安全信息基本信息文件二進制文件需安全信息表25MF主控文件內(nèi)容密鑰文件主控密鑰維護密鑰表26MF公共信息文件文件標識(SFI)文件類型二進制文件大小文件存取控制讀=自由寫=需要安全信息字節(jié)數(shù)據(jù)元長度(Byte)用戶代碼89～13地址代碼4卡類別碼4應用索引220～20校驗和121～25保留5表27卡類別標識名稱長度(Byte)內(nèi)容數(shù)據(jù)格式卡類別碼1卡片類別號碼HEX卡型代碼用戶卡檢測卡其他自定義目錄數(shù)據(jù)文件ADF1-ADFx:目錄名或短文件標識符。表具類終端的應用文件，一個表具類終端密鑰名稱應用主控應用維護消費密鑰充值密鑰內(nèi)部認證密鑰信息更新認證密鑰數(shù)據(jù)上傳認證密鑰b)基本信息文件CJ/T166—2014文件標識(SFI)文件類型二進制文件大小文件存取控制讀=自由寫=需要安全信息字節(jié)數(shù)據(jù)元長度(Byte)管理系統(tǒng)代碼4管理系統(tǒng)版本號49～10應用版本號2營業(yè)網(wǎng)點編號2操作員編號4寫卡時間320～23卡有效日期424～24校驗和125～28保留4計量文件使用電子錢包文件。購買量是指用戶購買的水、燃氣或熱量的量值，也可以是預交的金字段名長度(Byte)購買量4表32設置信息文件文件標識(SFI)文件類型二進制文件大小文件存取控制讀=需要安全信息寫=需要安全信息字節(jié)數(shù)據(jù)元長度(Byte)本次購買量3購買次數(shù)2參數(shù)版本號1允許囤積量4關閥報警量2顯示報警量2允許透支量2單價版本號1階梯限量1或結算周期2階梯限量2或交費時間2階梯限量3或月起算時間2常規(guī)單價3第1階單價3第2階單價3第3階單價3密鑰版本號密文密鑰1密文密鑰285～108密文密鑰3檢驗數(shù)據(jù)4校驗和1保留5e)返回信息文件表33返回信息文件文件標識(SFI)文件類型二進制文件大小文件存取控制寫=需要安全信息字節(jié)數(shù)據(jù)元長度(Byte)數(shù)據(jù)格式累計充值量4HEX充值次數(shù)1HEX累計用量4HEX剩余量3HEX表具故障狀態(tài)HEX最近12個月用量HEX異常次數(shù)1HEX最后異常發(fā)生日期4BCD43～47采集時間日期5BCD48～49表具程序版本號2HEX廠商代碼3HEX校驗和1HEX保留5HEX5.8CPU卡的命令表34CPU卡命令APDU的內(nèi)容及格式代碼描述長度/ByteCI.A命令類別1指令代碼1P1命令參數(shù)11P2命令參數(shù)21命令數(shù)據(jù)域中存在的字節(jié)數(shù)Data命令發(fā)送的數(shù)據(jù)位串(=Lc)變長響應數(shù)據(jù)域中期望的最大數(shù)據(jù)字節(jié)數(shù)表35CPU卡響應APDU的內(nèi)容及格式代碼描述長度/ByteData響應中接受的數(shù)據(jù)位串(=Le)變長命令處理狀態(tài)1命令處理限定1編號指令名稱CLA功能描述1VERIFY00/04驗證口令2EXTERNALAUTHENTICATE外部認證3GETCHALLENGE取隨機數(shù)4INTERNALAUTHENTICATE內(nèi)部認證5SELECTFHLEA4選擇文件6READBINARY00/04B0讀二進制文件7READRECORI00/04B2讀記錄文件8GETRESPONSE取響應數(shù)據(jù)9UPDATEBINARY00/04D6寫二進制文件UPDATERECORD)00/04DC寫記錄文件CARDBL(CK卡片鎖定APPLICATIONUNBLOCK應用解鎖APPLICATIONBLOCK應用鎖定PINUNBL(OCK80/84個人密碼解鎖INITIALIZE初始化交易CREDITFORLOAD圈存DEBITFORCASHPURCHASE/CAPPPURCHASEWITHDRAW/UNLOAD消費/復合消費取現(xiàn)圈提修改透支限額GETTRANSCATIONPROVE取交易認證GETBAL.ANCE讀余額RELOAD/CHANGEPIN重裝修改個人密碼GETMESSAGE讀取安全認證識別碼注：本表中第1～22條命令的解釋參照CJ/T304。6離線IC卡終端設備離線式IC卡終端設備是指在不使用通信線路與結算主機聯(lián)機的脫機狀態(tài)下，能直接與用戶IC卡6.2離線消費類及服務類IC卡終端設備6.2.1IC卡終端的基本性能要求離線式IC卡終端一般應配置以下部件：b)安全部件：SAM卡插座應至少2個，或應至少支持2個芯片類安全存取模塊；d)存儲部件：存儲不應低于10000筆離線交易數(shù)據(jù)；a)非接觸CPU卡消費類終端的典型交易時間不應大于300ms;b)接觸式CPU卡消費類終端的典型交易時間不應大于850ms;c)服務類IC卡終端的交易時間不作規(guī)定。6.2.1.3IC卡終端內(nèi)置PSAM卡要求離線式IC卡終端內(nèi)置PSAM卡的初始通訊速率為38400bps,支持PPS指令檢測。a)激活(上電);6.2.2IC卡終端的一般要求a)接觸式IC卡終端的物理特性應符合GB/T16649.1和GB/T16649.2的要求；b)接觸式IC卡終端的邏輯接口和通訊協(xié)議應符合GB/T16649.3的要求；c)非接觸IC卡終端的邏輯接口和通訊協(xié)議應符合ISO/IEC14443-3、ISO/IEC14443-4的要求。IC卡終端多應用的管理應達到以下目標：b)共享數(shù)據(jù)應保證所有的應用可以共享終端中的通用數(shù)據(jù)，各應用的專用數(shù)據(jù)不能被其他應用6.2.4IC卡終端的功能要求消費類IC卡終端的消費交易允許持卡人使用電子錢包的余額獲取服務。此交易在消費類IC卡終消費交易時，應使用特定的PSAM卡。消費類IC卡終端在IC卡以及PSAM之間建立通信鏈路.消費類IC卡終端的安全認證由IC卡和PSAM卡共同完成。終端只是在IC卡和PSAM卡之間傳輸安全信息，不參與密鑰運算過程。6.2.5IC卡終端的數(shù)據(jù)安全要求IC卡終端一般存在兩種類型的數(shù)據(jù)：a)在更新參數(shù)或下載應用程序前能夠?qū)ο螺d設備進行有效的身份驗證；b)在更新參數(shù)或下載應用程序后要校驗下載數(shù)據(jù)或程序的完整性。敏感數(shù)據(jù)一般應存放在終端安全存取模塊中。此模塊主要負責保存和處理所有的敏感數(shù)據(jù)，這些數(shù)據(jù)包括各種密鑰和內(nèi)部參數(shù)。該模塊還應提供必要的加密功能。對于安全存取模塊的硬件形式在此表37交易上傳數(shù)據(jù)數(shù)據(jù)項數(shù)據(jù)格式長度說明城市代碼HFX2從用戶卡內(nèi)讀出的城市代碼應用序列號HEX8從用戶卡內(nèi)讀出的應用序列號算法標識HEX1標識用戶卡本次交易使用的算法交易金額HEX4本次消費金額交易類型標識BCD1交易類型終端機編號HEX6PSAM卡中的終端機編號終端交易序號HEX4PSAM卡維護的終端交易序號或者終端自己維護的交易序號交易日期BCD4YYYYMMDI)交易時間BCI)3HHMMSS交易認證碼HEX4CPU卡本次交易產(chǎn)生的TAC校驗碼當IC卡終端在處理IC卡交易時，卡被突然拔出或離開感應區(qū)或由于IC卡終端方面的原因突然停止操作(如發(fā)生斷電),IC卡終端應能監(jiān)測到卡被拔出又重新插入或重新進入感應區(qū)或檢測到IC卡終在以上情況下，IC卡終端應進入這樣一種狀態(tài)：即持卡人應將原來的IC卡重新插入或進入感應寺卡人重新插入IC卡或?qū)⒖ǚ湃敫袘獏^(qū)。a)完成IC卡的最后一筆交易，向持卡人顯示交易已完成(如果IC卡余額已被更新);b)取消最后一筆交易，向持卡人顯示交易已被取消(如果IC卡余額沒有被更新)。消費類終端和服務類終端應具有黑名單存儲和檢索功能，以實現(xiàn)IC卡脫機交黑名單檢查操作在IC卡合法性檢查過程中進行。卡片開始操作后，向IC卡終端回送包括應用序列號在內(nèi)的公共數(shù)據(jù)。IC卡終端根據(jù)序列號進行黑名單檢查操作，檢查該卡是否在IC卡終端存儲的a)黑名單下載設備和IC卡終端間通信數(shù)據(jù)的安全性和完整性；b)IC卡終端對黑名單更新操作的安全認證；c)更新周期要滿足應用要求。容量要滿足應用的要求，最低不應小于1000條。白名單指由住房和城鄉(xiāng)建設部IC卡應用服務中心下發(fā)給互聯(lián)互通城市用于判別城市是否加入互白名單檢查操作在IC卡合法性檢查過程中進行?？ㄆ_始操作后，向IC卡終端回送包括互通標識在內(nèi)的公共數(shù)據(jù)。IC卡終端根據(jù)互通標識進行白名單檢查操作，檢查該卡是否允許在該IC卡終端a)白名單下載設備和IC卡終端間通信數(shù)據(jù)的安全性和完整性；b)IC卡終端對白名單更新操作的安全認證；e)白名單可采用多種能與離線式終端進行安全數(shù)據(jù)交換的方式下載。6.2.8離線式IC卡終端交易流程IC卡終端的交易流程是IC卡應用的基本技術要求。在CPU用戶卡交易流程中，本地與異地交易應統(tǒng)一采用卡內(nèi)互聯(lián)互通應用下的電子錢包。詳細的交易流程應按附錄B的規(guī)定進行。6.2.9離線式IC卡終端安全要求d)編碼規(guī)則：城市代碼(2字節(jié))+應用代碼(1字節(jié))+序列號(3字節(jié))。6.2.9.2離線式IC卡終端加載的安全存取模塊b)受到非法攻擊和篡改會自動刪除內(nèi)部的所有敏感數(shù)據(jù)；6.2.9.3離線式IC卡終端內(nèi)部應用的安全a)終端對輸出的關鍵報文產(chǎn)生MAC,隨報文一起傳送，以防偽造的報文；b)終端對輸入的關鍵報文驗證MAC,以防偽造的報文；c)終端與PIN的輸入設備密碼鍵盤：如果需要持卡人輸入密碼，那么應從密碼鍵盤得到密碼的本標準只涉及CPU卡在離線式IC卡消費終端上交易的安全認證流程。CPU卡消費交易安全認終端消費6.3離線門禁用IC卡終端設備非接觸CPU卡門禁終端離線方式的典型響應時間應不大于300ms。離線門禁用IC卡終端設備的應用性能應符合下列要求：a)應采用CPU卡作為建筑及居住區(qū)門禁終端智能卡的載體；f)在脫機狀態(tài)下，門禁控制系統(tǒng)應保存最近一周或4000條以上的使用記錄，以備事后調(diào)用和追g)開門超時報警功能：開門時間超過設置的超時報警時間時，實時監(jiān)控界面就會出現(xiàn)報警畫面a)在更新參數(shù)或下載應用程序前能夠?qū)ο螺d設備進行有效的身份驗證；b)在更新參數(shù)或下載應用程序后要校驗下載數(shù)據(jù)或程序的完整性。終端中的數(shù)據(jù)不應隨意改變，并保證數(shù)據(jù)有效。所有與操作相關的數(shù)據(jù)均以記錄的形式存儲在終敏感數(shù)據(jù)一般應存放在終端安全存取模塊(SAM)中。此模塊主要負責保存和處理所有的敏感數(shù)據(jù)，這些數(shù)據(jù)包括各種密鑰和內(nèi)部參數(shù)。該模塊還應提供必要的加密功能。對于安全存取模塊的硬件終端應具有黑名單存儲和檢索功能，以實現(xiàn)IC卡脫機操作的安全處理。黑名單管理包括黑名單的黑名單檢查操作在IC卡合法性檢查過程中進行?？ㄆ_始操作后，IC卡終端根據(jù)安全認證碼進a)黑名單下載設備和IC卡終端間通信數(shù)據(jù)的安全性和完整性；b)IC卡終端對黑名單更新操作的安全認證；c)更新周期要滿足應用要求。黑名單庫的容量要滿足應用的要求，最低不應小于1000條。門禁IC卡終端的操作流程是IC卡應用的基本技術要求。軟件開發(fā)商和系統(tǒng)集成商在開發(fā)和實施門禁IC卡終端有密鑰認證和讀CPU卡安全認證碼兩種認證方式：b)讀CPU卡安全認證碼方式僅應用于在線方式。選擇門禁應用讀取卡片信息安全模塊認證卡片合法性查黑名單N門禁權限合法其他功能處理發(fā)出開門信息到門禁執(zhí)行機構結束黑名單卡處理退出提示錯誤退出提示錯誤退出NNY圖6門禁IC卡終端密鑰認證操作流程圖門禁IC卡終端密鑰認證的操作過程應按下列順序進行：b)卡的合法性與有效性判別：門禁IC卡終端檢測到IC卡后首先要對卡的合法性與有效性進行門禁IC卡終端讀CPU卡安全認證碼操作流開始開始識別碼碼的合法性Y安全認證碼送后臺合法性Y結束圖7門禁IC卡終端讀CPU卡安全認證碼操作流程門禁IC卡終端讀CPU卡安全認證碼的操作過程應按下列順序進行：b)卡的合法性與有效性判別：門禁用IC卡終端檢測到IC卡后首先要對卡的合法性與有效性進6.3.7安全要求a)開發(fā)終端程序的軟件包應嚴格控制；終端與主機或前置機的通信安全應符合下列要求：b)終端對輸入的關鍵報文驗證MAC,以防偽造的報文；門禁IC卡終端密鑰認證方式的安全認證流程，見圖8。讀卡到Rb",發(fā)出Rb"要求認證圖8門禁IC卡終端密鑰認證方式的安全認證流程門禁IC卡終端讀CPU卡安全認證識別碼的安全認證流程，見圖9。發(fā)回給卡片要求認證內(nèi)部認證。若Rb′和Rb"到Rb",發(fā)出Rb"要求認證圖9門禁IC卡終端讀CPU卡安全認證識別碼的安全認證流程7在線IC卡終端設備7.1在線消費類及服務類IC卡終端設備在線(聯(lián)機)交易是指IC卡終端設備通過有線或無線通訊方式，實時與交易清算中心相關設備(網(wǎng)在線多應用IC卡終端應給用戶提供一個按優(yōu)先級排序的應用列表以供選擇。在線IC卡終端多應用的管理應達到以下目標：7.1.5在線IC卡充值終端的功能要求在線IC卡充值類終端在IC卡與加密機之間建立通信鏈路，安全認證由IC卡和加密機共同完成，a)根據(jù)IC卡ID號分散卡片應用密鑰信息；b)計算并認證IC卡安全認證碼；c)驗證交易數(shù)據(jù)信息MAC和交易認證碼TAC。7.1.6在線IC卡終端的數(shù)據(jù)安全要求在線IC卡終端一般存在兩種類型的數(shù)據(jù)：安全存取模塊主要負責保存和處理所有的敏感數(shù)據(jù)，這些數(shù)據(jù)包括各種內(nèi)部參數(shù)。該模塊還應提供必要的加密功能。對于安全存取模塊的硬件形式在此規(guī)范中將不做具體要求。在線IC卡終端需要實時上傳的交易記錄至少包括如下46字節(jié)數(shù)據(jù)，IC卡終端交易上傳數(shù)據(jù)格表38IC卡終端交易上傳數(shù)據(jù)格式數(shù)據(jù)項(CPU卡)格式長度說明卡號HEX4BCD2BCD2BCD4HEX4卡類BCD1消費交易計數(shù)器HEX2交易前余額HEX4交易前余額表38(續(xù))數(shù)據(jù)項(CPU卡)格式長度說明交易金額HEX3交易日期BCD4YYYY/MM/DD交易時間BCD3HH/MM/SS交易類型BCD1SAM卡號HEX6充值交易計數(shù)器HEX2保留時以FF填充TACHEX4合計在線IC卡終端在處理IC卡交易時如果出現(xiàn)以下情況時：c)IC卡終端的原因突然停止操作(如發(fā)生斷電)。IC卡終端應能監(jiān)測到卡被拔出又重新插入或重新進入感應區(qū)或檢測到IC卡終端恢復供電，并對卡非正常交易的錯誤數(shù)據(jù)實施恢復處理。如果持卡人未將原來的IC卡插入或未進入感應區(qū)，則IC卡終端應提示持卡人重新插入IC卡或?qū)⒖ǚ湃敫袘獏^(qū)。a)完成IC卡的最后一筆交易，向持卡人顯示交易已完成(如果IC卡余額已被更新);b)取消最后一筆交易，向持卡人顯示交易已經(jīng)取消(如果IC卡余額沒7.1.7在線IC卡終端安全要求a)開發(fā)IC卡終端軟件包程序應嚴格控制；e)編碼規(guī)則：城市代碼(2字節(jié))+應用代碼(1字節(jié))+序列號(3字節(jié))。7.1.7.2在線IC卡終端內(nèi)部應用的安全如果在線IC卡終端上有多個應用，在應用程序上應做到公用數(shù)據(jù)可以在線IC卡終端與交易清算中心前置機及加密機的通信安全應包括：42CJ/T166—2014b)IC卡終端對輸入的關鍵報文驗證MAC,以防偽造的報文；c)IC卡終端與PIN的輸入設備密碼鍵盤：如果需要持卡人輸入密碼，應該從密碼鍵盤得到密碼7.1.7.4在線IC卡終端安全認證流程IC卡發(fā)出發(fā)卡方標識、應用發(fā)出隨機數(shù)、用戶卡交易序號、密鑰版本、算法標識、余額、MAC1發(fā)出TAC選擇應用選擇用戶卡應用驗證卡片口令驗證MACI計算MAC2充值交易中心發(fā)出充值密鑰索引發(fā)出MAC1圖10在線充值交易安全認證流程7.2在線門禁用IC卡終端設備非接觸CPU卡門禁終端在線方式的典型響應時間不應大于500ms。在線門禁用IC卡終端設備的基本要求應符合6.3.1的要求。在線門禁用IC卡終端設備的物理特性、邏輯接口、通信協(xié)議要求應符合6.2.2.2的要求。在線門禁用IC卡終端設備的功能要求應符合6.3.3的要求。在線門禁用IC卡終端設備的數(shù)據(jù)安全要求應符合6.3.4的要求。在線門禁用IC卡終端設備的黑名單管理應符合6.3.5的要求。在線門禁用IC卡終端設備的操作流程應符合6.3.6的要求。在線門禁用IC卡終端設備的安全要求應符合6.3.7的要求。8表具類IC卡終端設備8.1表具類IC卡終端的定義和分類用于建設事業(yè)的IC卡表具類終端是指包含有計量儀表的一類IC卡機具。這類IC卡機具中的計a)按照所包含的計量儀表類型和用途劃分為：1)預付費IC卡表具類終端；2)后付費IC卡表具類終端。1)一體化IC卡表具類終端；2)分體式IC卡表具類終端。d)按照IC卡接口形式劃分為：1)接觸式IC卡表具類終端；2)非接觸式IC卡表具類終端。8.2表具類IC卡終端的基本性能要求典型交易時間是指IC卡表具類終端在使用狀態(tài)下，從IC卡表具類終端感知到IC卡進入IC卡接8.2.2.2表具類IC卡終端典型交易時間要求非接觸式CPU卡表具類終端的典型交易時間不應大于1500ms。接觸式CPU卡表具類終端的典型交易時間不應大于1050ms。8.3表具類IC卡終端的一般要求表具類IC卡終端的電源應保證IC卡的讀寫正確和運行正常。8.4表具類IC卡終端的功能要求表具類IC卡終端應具有如下功能：a)應能安全獲取作為用戶預存金額或付費信息載體的IC卡中的付費數(shù)據(jù)，并按發(fā)卡管理部門制b)應能從載有付費信息的IC卡中獲取各種必要的運行參數(shù)、計量消費規(guī)則及控制信息等數(shù)據(jù)，表具類IC卡終端應至少能顯示電池狀態(tài)、閥門開關狀態(tài)和影響設備完成基本功能的外部影響的狀態(tài)。表具類IC卡終端應能顯示用戶操作錯誤類型、IC卡與設備之間數(shù)據(jù)交換錯誤類型及設備自檢發(fā)出有效提示，使用戶有充分時間采取規(guī)避措施，不致影響用戶正常消費。用戶接收提示并給設備回復電池容量下降到接近下限值時或電源電壓下降到接近不足以維持設備可靠工作的下限值時，表具電池容量下降到下限值時或電源電壓下降到維持設備可靠工作的下限值時，表具類IC卡終端應對有連結導線外露的表具類IC卡終端，當外表具類IC卡終端在電源突然中斷后，終端應對用戶正表具類IC卡終端應安裝ESAM模塊，用于完成對IC卡進行安全認證、數(shù)據(jù)存取和線路加密等表具類IC卡終端一般存在兩種類型的數(shù)據(jù)：b)在更新參數(shù)或下載應用程序后要校驗下載數(shù)據(jù)或程序的完整性。所有與交易相關的數(shù)據(jù)均以記錄的形式存儲在終端的存儲器中.終端應保證這些數(shù)據(jù)的完整性。敏感數(shù)據(jù)一般應存放在終端ESAM模塊中。ESAM模塊主要負責保存和處理所有的敏感數(shù)據(jù)，這些數(shù)據(jù)包括各種密鑰和內(nèi)部參數(shù)。該模塊還應提供必要的加密功能。對于安全存取模塊的硬件形式在此規(guī)范中將不做具體要求。ESAM模塊應做到：出入模塊的、以及其內(nèi)部存放的和正在處理的數(shù)據(jù)不會由于模塊自身或其接如果表具類IC卡終端在處理IC卡交易時，卡被突然拔出或離開感應區(qū)或由于IC卡終端方面的原因突然停止操作(如發(fā)生斷電),IC卡終端應能監(jiān)測到卡被拔出又重新插入或重新進入感應區(qū)或檢測到在以上情況下，IC卡終端應進入這樣一種狀態(tài)：即持卡人應將原來的IC卡重新插入或進入感應持卡人重新插入IC卡或?qū)⒖ǚ湃敫袘獏^(qū)。a)完成IC卡的最后一筆交易，向持卡人顯示交易已完成(如果IC卡余額已被更新);b)取消最后一筆交易.向持卡人顯示交易已被取消(如果IC卡余額沒有被更新)。8.6表具類IC卡終端交易流程表具類IC卡終端交易流程參照6.2.8.并符合下列要求：a)表具使用的CPU卡.如支持一卡多用.各應用分區(qū)要有獨立的安全要求：序列號等信息法標識終端選擇文件MAC1計算消費9.2密鑰系統(tǒng)IC卡應用的一卡多用和互聯(lián)互通。中心級密鑰管理系統(tǒng)將生成的密鑰通過密鑰母卡或硬件密碼機的b)密鑰生成的環(huán)境應保證絕對安全；d)密鑰生成過程應按照嚴格的操作規(guī)程進行。a)明文存儲c)密文存儲a)從物理或邏輯上防止對密鑰存儲區(qū)的非授權訪問；b)根據(jù)不同的使用目的將密鑰加密后存儲；c)確保不能同時知道明文數(shù)據(jù)及其密文數(shù)據(jù)。a)根據(jù)不同的使用目的對密鑰進行物理隔離存儲；b)子密鑰的泄露不會導致根密鑰和由同一過程分散出的其他子密鑰的泄露；密鑰分發(fā)注入是將密鑰采用安全的方式導入安全密碼設備的過程，導入過程不應導致被分發(fā)注入a)對密鑰的分發(fā)注入應滿足下列要求：1)密鑰分發(fā)注入過程中不得泄露密鑰明文的任何組成部分；3)安全密碼設備需鑒別操作人員身份；4)只有安全密碼設備才能負責密鑰傳輸。b)對密鑰組件分發(fā)注入應滿足下列要求：1)密鑰組件的分發(fā)過程不得泄露密鑰組件的任何組成部分；2)安全密碼設備的接口和傳輸信道應保證密鑰組件不被泄露、替換和篡改；3)密鑰組件的分發(fā)注入過程應按照雙重控制的原則進行。b)拆分成密鑰組件后備份。密鑰應被用于指定的目的和限定的用途。密鑰在使用過程中不應泄露任何密鑰信息，并防止被替當密鑰的生命周期結束或系統(tǒng)密鑰泄露后，需要進行密鑰更新。密鑰更新的基本原則是保護持卡人的利益不受損害，不影響持卡人的正常交易。密鑰更新的全過程應保證系統(tǒng)的安全性能和系統(tǒng)的可b)更換密鑰組。a)安裝多組緊急密鑰備份組；a)密鑰銷毀可采用下列一種或多種方式：2)以新密鑰或非保密數(shù)據(jù)覆蓋原密鑰；4)其他可被證明的有效方式。1)在銷毀密鑰前，應進行檢查以確保由這些密鑰保護的已歸檔材料不再需要它們；2)密鑰在銷毀后.不應有任何信息可以用來恢復已銷毀的密鑰。在非對稱密鑰管理系統(tǒng)中一般私鑰用于解密或產(chǎn)生數(shù)字簽名，公鑰用于加密或驗證簽名。非對稱非對稱密鑰采用集中方式生成。非對稱密鑰的生成是產(chǎn)生私鑰和公鑰的過程.密鑰生成應采用隨9.4.3.2公鑰的傳輸公鑰可以通過手工分發(fā)或通過通信信道自動分發(fā)。公鑰的傳輸沒有機密性要求，但應確保其真實b)在對公鑰來源可信的情況下，可以通過為公鑰和相關數(shù)據(jù)產(chǎn)生校驗碼的方式來保證公鑰的完9.4.4密鑰存儲存儲方法應符合9.3.3的規(guī)定。9.4.4.2公鑰存儲形式公鑰的存儲要求保證真實性和完整性。公鑰應以下列形b)存儲于其他可信環(huán)境中。非對稱密鑰備份的要求應符合9.3.6的規(guī)定。a)公鑰超出有效期應不再使用并自動撤銷；b)私鑰泄露時對應公鑰應被撤銷。私鑰和公鑰銷毀應符合9.3.9的規(guī)定。10.1.3RA機構RA機構負責所有證書申請者的信息錄入、審核等工作，同時協(xié)助CA中心分擔部分證書管理密鑰管理中心負責為CA中心提供密鑰對的產(chǎn)生，負責對密鑰對進行管理，支持密鑰的備份和恢隨機選取的一段信息及簽名等其他CA中心要求的輔助信息。a)根證書和CA證書的簽發(fā)：根證書是一張自簽名證書，使用證書中的公鑰即可驗證證書的簽名。在系統(tǒng)初始化時，首先要簽發(fā)一張根證書。下級CA的數(shù)字證書由上級CA簽發(fā)。在證息為用戶簽發(fā)兩張數(shù)字證書并將兩張數(shù)字證書發(fā)布到目錄服務器上，然后將數(shù)字證書以及加a)發(fā)布的時間策略：可以采取實時發(fā)布和定時發(fā)布兩種策略。實時發(fā)布是指簽發(fā)系統(tǒng)接到注銷b)證書注銷列表發(fā)布的形式：可以采用完全的注銷列表、增量證書注銷列表以及證書分布點技a)根證書和CA證書更新根證書和CA證書密鑰更新根據(jù)證書密鑰更新的策略進行。1)新私鑰簽名的包含新公鑰的證書；在過渡期中，系統(tǒng)中存在著的四個證書，保證所有實體能夠在各種情況下對所接到的證書進行驗b)用戶證書更新用戶證書的更新包括簽名證書的更新和加密證書的更新。用戶證書更新應向RA提出申請。證a)卡中每一個應用和其他應用使用規(guī)則不應發(fā)生沖突；b)非開放平臺CPU卡中的每一個應用應放在一個單獨的ADF中，以防止跨過應用進行非法用于一種特定功能的加密/解密密鑰不能被任何其他功能所使用，包括保存在IC卡中的密鑰和用IC卡應該能夠保證非對稱私有密鑰或?qū)ΨQ加密密鑰在沒有授權的情況下，不會被泄露出來。如果送方的認證通過使用MAC來實現(xiàn)。數(shù)據(jù)的可靠性和機密性通過對數(shù)據(jù)域的加密來得到保證。安全計算應按附錄C的規(guī)定進行。安全存取模塊的硬件設計應能夠保證在物理上限制對其內(nèi)部存儲的敏感數(shù)據(jù)的認證與竊取，以及對安全存取模塊的非授權使用和修改。一旦安全存取模塊受到非法的篡改及攻擊，其自身應能夠立即a)即使通過特別的工具或?qū)Ｓ脟乐仄茐牡姆椒?，也不能對模塊的硬件或軟件進行增加、替換或c)安全存取模塊的任何部分的損壞或失效都不會導致敏感數(shù)據(jù)的泄露；d)如果安全存取模塊是由多個分離的部分組合而成，而處理的數(shù)據(jù)也應在這些部件之間傳遞，一個安全存取模塊的邏輯設計應保證，調(diào)用任何單一功能或組合功能，都不會導致敏感數(shù)據(jù)的泄安全存取模塊中可以存放多組不同版本不同索引的主密鑰和證書。所有的主密鑰和證書通常應在而要實現(xiàn)這一過程通常應在特殊的授權情況下完成。對外部不能存在任何取得密鑰的機會。為避免偽操作，存放在安全存取模塊中的不同類型的主密鑰應與不同特定的應用操作相結合。所有脫機交易相關的主密鑰和敏感數(shù)據(jù)應存儲在安全存取模塊中。安全存取模塊應可以實現(xiàn)對稱密鑰算安全加密設備的物理安全應符合ISO13491-2中的安全要求，即密碼機應該具有當侵害時自動銷采用硬件的物理噪聲發(fā)生器產(chǎn)生隨機數(shù)。b)密碼機內(nèi)主密鑰不能直接或間接導出并保存在機外其他非自主控制的介質(zhì)中；e)支持IC卡的密鑰管理和身份鑒別機制，確保只為b)提供SCPO2和SCP10安全通道；g)應至少支持X509格式證書。智能卡TSM-發(fā)送安裝SSD指令(指定SSD權限)安裝SSD返回響應值一11.7.3CA證書應用圖13CA證書應用人化后可根據(jù)需要切換為SCP10通道。IC卡應用系統(tǒng)采用層次式體系結構，第一層為中央清算系統(tǒng)和發(fā)卡系統(tǒng)，負責完成IC卡的發(fā)行、應用管理系統(tǒng)2充值終端第一層第二層第三層第四層n服務終端1消費終端圖14IC卡應用系統(tǒng)總體架構發(fā)卡系統(tǒng)負責管理和發(fā)行IC卡。發(fā)卡系統(tǒng)在IC卡應用系統(tǒng)中相對獨立，并與中央清算系統(tǒng)相連。發(fā)卡系統(tǒng)應為每張成功發(fā)行的卡片生成一條發(fā)卡記錄，并將發(fā)卡記錄傳送到中央清算系統(tǒng)。中央發(fā)卡系統(tǒng)應有相關的安全措施保證發(fā)卡過程的安全。執(zhí)行發(fā)卡操作的操作人員應經(jīng)過身份認證后充值系統(tǒng)在應用系統(tǒng)中相對獨立.并與中央清算系統(tǒng)相連。充值系統(tǒng)負責對所有提出充值的請求a)與密碼機前置系統(tǒng)實現(xiàn)物理連接；b)對自行設置或合作建設的充值點的充值請求進行響應管理。充值系統(tǒng)應為每張成功充值的卡片生成一條充值記錄，并將充值記錄傳送到中央清算系統(tǒng)。中央中央清算系統(tǒng)的主要職能是建立并維護IC卡內(nèi)資金賬戶信息、處理IC卡交易數(shù)據(jù)、管理IC卡應計發(fā)卡數(shù)量確定，交易處理能力以每天可以處理遠期預計發(fā)卡數(shù)量的2倍的交易量確定。中央清算系b)通信接入處理模塊；中央清算系統(tǒng)應提供友好的圖形化的界面顯示相關的監(jiān)控信息。對非法操作、有可能影響系統(tǒng)正a)歷史交易明細聯(lián)機保存時間：不應小于90d;b)統(tǒng)計數(shù)據(jù)聯(lián)機保存時間：不應小于1年；中央清算系統(tǒng)應配置合適容量的不間斷電源，至少可以保證清算系統(tǒng)在失電后可以運行30min.證系統(tǒng)滿足24h不停機運行的要求。在電源、設備或系統(tǒng)出現(xiàn)故障時.應保證清算系統(tǒng)的數(shù)據(jù)不會IC卡應用系統(tǒng)中可以采用聯(lián)機數(shù)據(jù)采集和脫機數(shù)脫機數(shù)據(jù)采集的時間周期根據(jù)行業(yè)應用的要求確定。數(shù)據(jù)采集的過程應保證數(shù)據(jù)的完整性和可靠性。在數(shù)據(jù)采集的過程中不能對數(shù)據(jù)進行刪除或使用脫機方式采集數(shù)據(jù)時，在采集過程中意外中斷.不應造成數(shù)據(jù)丟失。在故障排除后重新采集b)終端消費流程要求符合本標準；c)采用的消費終端要求支持多種類型的用戶卡；d)生成的交易記錄格式要求符合本標準；互聯(lián)互通卡卡片結構要求應符合5.7的要求。a)受理互聯(lián)互通卡消費終端消費流程應符合6.2和7.1的要求；c)互聯(lián)互通白名單的下載應與數(shù)據(jù)采集及傳輸一并實施。a)生成的交易記錄格式應符合CJ/T332的要求；b)應實現(xiàn)從消費終端采集的消費數(shù)據(jù)中自動分離異地卡交易數(shù)據(jù)；e)密鑰安全體系應符合9.2的規(guī)定。IC卡應用系統(tǒng)應具有防止外部及內(nèi)部攻擊破壞能力c)系統(tǒng)在有條件時應采用專用網(wǎng)絡，或使用虛擬專用網(wǎng)絡。系統(tǒng)應有專門管理工作站負責系統(tǒng)g)任何操作都在訪問控制機制下進行，受控信息只有在得到權限后才可以操作，同時建立完善系統(tǒng)產(chǎn)生的所有數(shù)據(jù)都應附有經(jīng)SAM運算產(chǎn)生的驗證碼以及校驗碼。除充分保證數(shù)據(jù)在應用環(huán)a)未經(jīng)驗證的數(shù)據(jù)不得存入主數(shù)據(jù)庫；d)為防止意外災害，定期應將數(shù)據(jù)備份保存在不同的地理位置(可采用磁帶或安裝在其他地點CJ/T166—2014a)網(wǎng)絡設置的防火墻應具有以下功能：1)保護那些易受攻擊的服務；2)拒絕未經(jīng)批準的服務；3)控制對特殊站點的訪問；4)集中化的安全管理；5)對網(wǎng)絡存取訪問進行記錄和統(tǒng)計，可提供是否遭受攻擊的報告。b)網(wǎng)絡防病毒軟件應具有以下功能：1)檢測和定位已侵入系統(tǒng)的計算機病毒；2)防止病毒在系統(tǒng)中的傳染；3)清除或隔離系統(tǒng)中已發(fā)現(xiàn)的計算機病毒；4)可自動或定期升級。c)敏感數(shù)據(jù)在傳輸過程中應打包和加密，不得以明文形式傳送。有條件時可考慮使用加密機b)機房應鋪設防靜電地板；d)機房應安裝有防盜報警裝置和視頻監(jiān)控裝置；f)機房所有電源插座應帶有接地極；g)機房應安裝有空調(diào)設備；h)關鍵設備應有備份，保證系統(tǒng)可在最短時間內(nèi)恢復工作。多應用開放平臺為開放平臺CPU卡提供安全域及應用管理服務。多應用開放平臺采用層次式體系結構，包含多應用管理系統(tǒng)、客戶端軟件及SE卡三層。多應用開第一層第二層CJ/T166—2014多應用開放平臺的技術框架應符合以下要求：a)SE卡片構架及系統(tǒng)構架應符合GP2.2(GlobalPlatform2.2)規(guī)范；b)多應用開放平臺與應用客戶端的通信應使用安全信道，保證數(shù)據(jù)安全；c)多應用開放平臺與各應用系統(tǒng)的通信應使用安全信道，保證數(shù)據(jù)安全；d)多應用開放平臺應具備與其他第三方多應用開放平臺互聯(lián)的能力。多應用開放平臺的基本功能模塊包括：及測試管理等；e)SE卡操作：多應用管理平臺可通過客戶端對SE卡進行操作，操作內(nèi)容包括應用下載及個人多應用開放平臺的基本技術指標應包括：a)系統(tǒng)并發(fā)連接數(shù)：不應小于100個；b)單筆業(yè)務處理時間：不應大于2min;f)故障恢復時間：恢復業(yè)務工作不應大于24h。多應用開放平臺的運維要求應包括：a)至少保證清算系統(tǒng)在失電后可以運行30min;b)應具備可靠的熱備份機制；c)保證關鍵設備沒有單點故障；d)確保系統(tǒng)滿足7×24h不停機運行的要求；密鑰安全體系應符合9.2的規(guī)定。系統(tǒng)安全體系符合11.7的規(guī)定。b)建設方提供系統(tǒng)(試)運行報告。b)投標書；h)隱蔽工程檢查記錄(需監(jiān)理簽字);j)竣工圖紙(藍圖);1)隨機資料(文種不變);n)用戶使用報告；o)需有關主管部門審批的系統(tǒng)的許可證；p)需有關主管部門驗收的驗收合格證明。以上文檔可根據(jù)應用系統(tǒng)建設的實際情況增減。技術文件和相關資料應做到內(nèi)容齊全，數(shù)據(jù)準確b)驗收組進行驗收測試；a)產(chǎn)品合格證明；d)產(chǎn)品質(zhì)量保證書或保修證明；e)產(chǎn)品符合現(xiàn)行國家或行業(yè)標準的證明；g)全國工業(yè)生產(chǎn)許可證(針對國家有要求的IC卡產(chǎn)品);h)國家IC卡注冊證書。如果在系統(tǒng)內(nèi)使用的專用IC卡產(chǎn)品沒有符合國家或行業(yè)標準的證明，供應商還應當提供以下c)用戶單位和驗收組確認的設備功能的測試報告。a)產(chǎn)品的設計文件；b)產(chǎn)品的安裝維護手冊。承建方應在驗收前1個月向建設方或驗收組提交軟件測試方案和軟件測試報告，由建設方或驗收b)測試范圍和覆蓋程度是否包括系統(tǒng)的各個方面。對驗收測試中的錯誤和不合格處，驗收組提出整改意見或預防措施。建設方和驗收組對整改結果e)數(shù)據(jù)庫設計說明(數(shù)據(jù)庫管理員手冊);CJ/T166—2014j)應用軟件的安裝媒體；k)合同中規(guī)定的其他應當提供的資料。在系統(tǒng)進行驗收之前，承建方應提供系統(tǒng)的培訓計劃和培訓教材，在用戶確認后對使用單位提供培不僅限于此。a)質(zhì)量保證期內(nèi)維修養(yǎng)護工作內(nèi)容、次數(shù)和持續(xù)時間的常規(guī)維修養(yǎng)護計劃；b)正確安裝和維修養(yǎng)護所需的專用工具和測試設備；承建方的質(zhì)量保證體系對用戶的系統(tǒng)提供技術支持及系統(tǒng)故障時在約定的時間內(nèi)提供維修服務的在完成培訓和驗收測試后，承建方向建設方提交移交方案。建設方認可后可實施移交。承建方按IC卡應用系統(tǒng)驗收時應具備以下條件：a)IC卡應用系統(tǒng)使用了符合本標準要求的密鑰管理系統(tǒng)；b)承建方已完成了所有的培訓工作，運營單位已可以獨立操作所有的設備和系統(tǒng)；c)承建方已將所有的系統(tǒng)用戶名和密碼移交給運營單位，并且運營單位已修改這些密碼；d)運營單位已指定專人負責與安全有關的各項工作，并制訂安全管理規(guī)章制度。應用系統(tǒng)能夠提供多層次、多方面的安全控制手段，建立完善的安全管理體系，防止系統(tǒng)受攻擊和(資料性附錄)卡片天線類型A.1概述本部分介紹接近式卡天線尺寸，接近式卡應符合ISO/IEC14443-1要求。按照接近式卡天線線圈的區(qū)域大小，一般將其劃分為六種類型，以下分別進行介紹。A.2接近式卡類型類型1接近式卡天線線圈應布置在81mm×49mm到64mm×34mm之間區(qū)域，矩形內(nèi)拐角半徑3mm。異形卡天線線圈圍成的面積不應小于300mm2。類型1天線尺寸，見圖A.1。64mm天線區(qū)域—R3mm圖A.1類型1天線尺寸類型2接近式卡天線線圈應布置在81mm×27mm到51mm×13mm之間區(qū)域，矩形內(nèi)拐角半徑3mm。天線線圈圍成的面積不應小于300mm2。類型2天線尺寸，見圖A.2。四圖A.2類型2天線尺寸類型3接近式卡天線線圈應布置在50mm×40mm到35mm×24mm之間區(qū)域，a)矩形內(nèi)拐角mmmm天線區(qū)域圖A.3類型3天線尺寸線尺寸，見圖A.4。天線區(qū)域圖A.4類型4天線尺寸A.2.5類型5類型5接近式卡天線線圈應布置在40.5mm×24.5mm到25mm×10mm之間區(qū)域，a)矩形內(nèi)拐角半徑3mm;b)直徑35mm與直徑18mm的圓環(huán)。天線線圈圍成的面積不應小于300mm2。類型5天線區(qū)域圖A.5類型5天線尺寸A.2.6類型6類型6接近式卡天線線圈應布置在a)25mm×20mm矩形區(qū)域內(nèi)，或者在b)直徑25mm圓環(huán)區(qū)域內(nèi)。天線線圈圍成的面積不應小于300mm2。類型6天線尺寸，見圖A.6。a)b)圖A.6類型6天線尺寸CJ/T166—2014離線式IC卡終端交易流程消費開始消費開始開始消費結束結束失敗失敗1)取PSAM卡終端機編號成功2)取PSAM卡版本號成功失敗成功4)取PSAM卡密鑰索引成功無應用6)選用戶卡互聯(lián)互通應用有應用失敗7)取用戶卡安全認證識別碼成功8PSAM卡驗安全認證識別碼通過失敗9)讀用戶卡公共應用基本信息報錯退出異常處理報錯退出一致圖B.2預處理流程圖預處理流程圖中各步驟說明如下，其中1)～4)只在PSAM卡復位或終端重啟后才需要2)取PSAM卡版本號：終端向PSAM卡發(fā)送取PSAM卡版本號指令，指令返回值第11字節(jié)即3)選PSAM卡互聯(lián)互通應用：終端向PSAM卡發(fā)送選PSAM卡互聯(lián)互通應用指令；與SM1算法分別對應的密鑰索引，第一字節(jié)代表DES算法索引，第二字節(jié)代表SM1算法索引；5)用戶卡防碰撞：終端對進入場強范圍內(nèi)的用戶卡進行防碰撞處理，最終成功鎖定一張標準的6)選用戶卡互聯(lián)互通應用：終端向用戶卡發(fā)送選擇互聯(lián)互通應用指令；7)取用戶卡安全認證識別碼：終端向用戶卡發(fā)送取用戶卡安全認證識別碼指令，指令返回結果即為9字節(jié)安全認證識別碼；9)讀用戶卡公共應用基本信息：終端向用戶卡發(fā)送讀互聯(lián)互通應用下公共應用基本信息文件(以10)城市代碼判斷：終端將用戶卡返回的15文件內(nèi)容拆分出城市代碼(03-04字段，HEX格式)與本城市城市代碼進行比對，如不一致則進入異地卡預處理流程，如一致則進入本地卡預處理1)互聯(lián)互通判斷1)互聯(lián)互通判斷2)判斷啟用狀態(tài)非003)判斷有效期有效期內(nèi)4)黑名單判斷黑名單卡應用鎖定報錯退出異地預處理流程中各步驟說明如下，其中各步驟判斷的內(nèi)容數(shù)據(jù)均來源于預處理10)所返回的151)互聯(lián)互通判斷：終端將用戶卡返回的15文件內(nèi)容拆分出互通標識(11-12字段，HEX格式)與白名單中的代碼進行比對，如白名單中存在此互通標識則發(fā)卡方已加入全國城市一卡通互聯(lián)2)判斷啟用狀態(tài)：終端將用戶卡返回的15文件內(nèi)容拆分出應用類型標識(09-09字段，BCD格式),標識為非00則代表卡片已啟用，為00則代表卡片未啟用；3)判斷有效期：終端將用戶卡返回的15文件內(nèi)容拆分出應用有效日期(25-28字段，BCD格式)日期則卡片在有效期外；4)黑名單判斷：終端將用戶卡返回的15文件內(nèi)容拆分出城市代碼(03-04字段，HEX格式)以及應用序列號(13-20字段，HEX格式)與黑名單中的城市代碼及應用序列號進行比對，如黑名單中未存在此城市代碼與應用序列號則此卡為非黑名單卡，反之則為黑名單卡。由于目前互CJ/T166—2014B.4本地預處理流程本地預處理流程各步驟由應用方自行定義。本地預處理流程，見圖B.4。本地消費交易/復合應用消費報錯退出圖B.4本地預處理流程B.5異地與本地消費交易流程成功3)用戶卡扣款報錯退出圖