交通一卡通移动票卡技术规范+第7部分：终端

1JT/T1059.7—XXXX交通一卡通移动票卡技术规范第7部分：终端本文件规定了交通一卡通移动票卡受理终端的分类和总体要求、读写终端、移动终端、分体终端、SE应用管理终端、扫码终端和人脸识别终端的技术要求。本文件适用于交通一卡通移动票卡受理终端的设计、开发和制造。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB4943.1音视频、信息技术和通信技术设备第1部分：安全要求GB/T5007.1信息技术汉字编码字符集（基本集）24点阵字型GB/T5199信息技术汉字编码字符集（基本集）15×16点阵字型GB/T9254.1—2021信息技术设备、多媒体设备和接收机电磁兼容第1部分：发射要求GB/T9254.2信息技术设备、多媒体设备和接收机电磁兼容第2部分：抗扰度要求GB/T13000信息技术通用多八位编码字符集（UCS）GB/T16649.3识别卡带触点的集成电路卡第3部分：电信号和传输协议GB/T16649.4识别卡集成电路卡第4部分：用于交换的结构、安全和命令GB17625.1电磁兼容限值第1部分：谐波电流发射限值（设备每相输入电流≤16A）GB18030信息技术中文编码字符集GB/T23647—2009自助服务终端通用规范GA/T73—2015机械防盗锁GM/T0003（所有部分）SM2椭圆曲线公钥密码算法JR/T0025.7中国金融集成电路（IC）卡规范第7部分：借记/贷记应用安全规范JR/T0120.1银行卡受理终端安全规范第1部分：销售点（POS）终端JR/T0120.2银行卡受理终端安全规范第2部分：受理商户信息系统JR/T0120.3银行卡受理终端安全规范第3部分：自助终端JR/T0120.5银行卡受理终端安全规范第5部分：PIN输入设备JT/T1059.1交通一卡通移动票卡技术规范第1部分：总则JT/T1059.2—XXXX交通一卡通移动票卡技术规范第2部分：安全单元JT/T1059.3交通一卡通移动票卡技术规范第3部分：近场支付JT/T1059.4交通一卡通移动票卡技术规范第4部分：远程支付JT/T1059.5交通一卡通移动支付技术规范第5部分：客户端软件JT/T978.3—2023城市公共交通IC卡技术规范第3部分：读写终端JT/T978.5城市公共交通IC卡技术规范第5部分：非接触接口通信ISO8731-1银行业务用于电文认证的认可算法；第1部分：数据保密算法[RecommendationsforAlgorithmsforuseinbankingmessageauthentication—Part1：DataEncryptionAlgorithm（DEA）]2JT/T1059.7—XXXXISO9564-2：银行业务个人识别码（PIN）管理和安全第2部分：核准的PIN加密算法[Banking—PersonalIdentificationNumber（PIN）managementandsecurity—Part2：ApprovedalgorithmsforPINencipherment]ISO11568：银行业务密钥管理（零售）banking—keymanagement（retail）ISO13491-1金融服务安全加密设备（零售）第1部分：概念、要求和评价方法[Financialservices—Securecryptographicdevices（retail）—Part1：Concepts，requirementsandevaluationmethods]ANSIX9.24（所有部分）零售金融服务对称密钥管理RetailfinancialservicessymmetrickeymanagementETSITS102613智能卡UICC—非接触前端接口第1部分：物理层和数据链路层特性[SmartCards：UICC-ContactlessFront-end（CLF）Interface—Part1：Physicalanddatalinklayercharacteristics]ETSITS102622智能卡UICC—非接触前端接口主机控制器接口[SmartCards：UICC-ContactlessFront-end（CLF）Interface;HostControllerInterface（HCI）]3术语和定义JT/T1059.1界定的以及下列术语和定义适用于本文件。3.1分体终端separatedmobilepaymentterminal借助外部设备（如手机，平板电脑等）等完成移动票卡交易的受理终端。注：分体终端按照适用的环境及功能不同，可以分为个人类设备和商户类设备。3.2安全单元应用管理终端securityelementapplicationmanageterminal与可信服务管理平台连接的专用于管理客户端安全单元应用的受理终端。注：安全单元应用管理终端在硬件上可以是POS、自助终端或其他类型设备形态，一般布放在特定的场合，提供用户对客户端安全单元应用进行个人化、下载、3.3移动终端mobileterminal个人用户受理城市公共交通IC卡或移动票卡的移动受理终端。4缩略语下列缩略语适用于本文件。AID：应用标识符（ApplicationIdentifier）ADF：应用专用文件（ApplicationDefinitionFile）ANSI：美国国家标准学会（AmericanNationalStandardsInstitute）ASCII：美国标准信息交换代码（AmericanStandardCodeforInformationInterchange）ATS：选择应答（AnswerToSelect）CLF：非接触前端接口（ContactlessFront-end）DDF：目录定义文件（DirectoryDedicatedFile）DIR：目录（Directory）ESAM：嵌入式安全控制模块（EmbeddedSecureAccessModule）FCI：文件控制信息（FileControlInformation）HID：人体学接口设备（HumanInterfaceDevice）IC：集成电路（IntegratedCircuit）MAC：报文鉴别码（MessageAuthenticationCode）MF：主文件（MasterFile）MODEM：调制解调器（ModulatorandDemodulator）PIN：个人识别码（PersonalIdentificationNumber）3JT/T1059.7—XXXXPOS：销售终端（PointofSale）PPSE：近距离支付系统环境（ProximityPaymentSystemsEnvironment）PSAM：Pin安全控制模块（PinSecureAccessModule）PSE：支付系统环境（PaymentSystemsEnvironment）SE：安全单元（SecurityElement）SESPK：会话消费密钥（SessionPurchaseKey）SESULK：会话圈存密钥（SessionUnloadKey）SFI：短文件标识符（ShortFileIdentifier）SWP：单线协议（SingleWireProtocol）TAC：交易鉴别码（TransactionAuthenticationCryptogram）TEE：可信执行环境（TrustedExecutionEnvironment）TMK：终端主密钥（TerminalMasterKey）TSM：可信服务管理（TrustedServiceManagement）USB：通用串行总线（UniversalSerialBus）VGA：视频图形阵列（VideoGraphicsArray）WIFI：无线网（WirelessFidelity）WK：工作密钥（WorkingKey）XML：扩展标记语言（ExtensibleMarkupLanguage）5分类和总体要求5.1分类按照交通一卡通移动票卡受理终端的应用场景，受理终端分为读写终端、移动终端、分体终端、SE应用管理终端、扫码终端和人脸识别终端，其中：a)读写终端适用于公共汽电车、城市轨道交通和出租汽车等场景。b)移动终端适用于个人用户受理城市公共交通IC卡或移动票卡，如充值和查询交易记录等场景中。c)分体终端应用场景与移动终端类似，区别主要是出于安全考虑在物理形态和整体架构上对终端进行了分离。此类终端会将非接触通信部分、密码输入部分以及关键的逻辑加密等风险等级较高的部分分离出来并集中放置于分体式终端一侧，而主控端、常规逻辑和与后台的通信模块则放置于手机或其他通用的移动设备端，两者通过蓝牙、WIFI及有线等方式进行通信和信息交换，共同完成交易处理或SE管理功能。d)SE应用管理终端适用于布放在营业网点对SE状态及应用进行管理操作的终端类型，包括POS形态和自助终端形态两种。e)扫码终端主要是指适用于交通一卡通移动票卡扫码支付的专用读写终端，其应支持JT/T1059.2中所规定的扫码类相关业务。f)人脸识别终端是指支持人脸生物特征识别的专用读写终端，其应支持JT/T1059.2中所提到的人脸识别等业务场景。5.2总体要求5.2.1受理终端的非接触式电气特性和通信协议应符合JT/T978.5的要求。5.2.2若受理终端配备PIN输入设备或模块（如密玛键盘），应满足如下要求：a)PIN输入设备具备物理、逻辑安全机制，如具备入侵检测机制，防止PIN输入过程被监听、安全地存储敏感信息、具备完整的密钥体系等；b)在PIN输入设备和非接触式读卡器间传输PIN相关信息时，有效地保护所传输的数据。6读写终端4JT/T1059.7—XXXX6.1硬件要求6.1.1接触通道的电气特性和传输协议读写终端接触通道用于读写PSAM或ESAM模块，接触通道的电气特性和链路层传输协议应符合GB/T16649.3的规定。6.1.2非接触通道的电气特性和传输协议读写终端非接触通道用于读写非接触卡片或不同类型的SE，非接触通道的电气特性和传输协议应符合5.2的规定。软件要求6.2.1系统软件应具有初始化和对软硬件的自检与报警功能，具备断电保护功能，并方便应用程序的加载和参数设定。6.2.2二次开发平台应提供高级语言开发环境，提供二次开发专用接口，并提供应用模块，具备应用程序的调试和测试环境。6.2.3模块化结构应支持模块化结构设计，封装成几个相对独立、性能稳定的模块，供开发者使用。6.3功能要求读写终端功能主要是指通过非接触接口读写非接触卡片或不同类型的SE移动票卡业务受理终端，其基础功能要求应符合JT/T978.3的规定。读写终端所使用的PSAM或ESAM模块的交易指令要求应符合JT/T978.3附录B的规定。6.4流程要求6.4.1电子钱包应用交易流程要求6.4.1.1交易预处理6.4.1.1.1读写终端寻卡读写终端应发送命令字为0x26或0x52的指令对放置天线区的非接触票卡进行寻卡。如果非接触卡片有正常的ATS响应，终端应进入电子钱包交易预处理流程，应符合图1的规定。5JT/T1059.7—XXXX图1电子钱包交易预处理流程6.4.1.1.2选择PPSE选择PPSE（SELECTPPSE）命令的执行过程应符合JT/T1059.2—XXXX的规定。6.4.1.1.3选择ADF选择ADF（SELECTADF）命令的执行过程应满足JT/T1059.2—XXXX第15章的指令要求。成功地选择了电子钱包应用后，卡片应回送符合JT/T1059.2—XXXX中15.3.1规定的包含发卡机构自定义数据在6JT/T1059.7—XXXX内的文件控制信息、标签为9F51的卡片支持的第一票种货币代码、标签为DF71的卡片支持的第二票种货币代码、标签为DF00的卡片应用算法标识等信息。6.4.1.1.4选择应用响应有效性检查6.4.1.1.4.1对于SELECTADF命令回送的数据信息标签值为9F0C的数据，读写终端应对这些数据进行下列检查：——通过其中的应用序列号判定该卡是否不在终端存储的“黑名单”卡之列；——通过其中的发卡机构代码判定该卡是否在终端存储的“白名单”卡之列；——通过其中的应用类型标识来检查卡片支持的票种，应用类型标识为1，表示仅支持第二票种，应用类型标识为2，表示仅支持第一票种，应用类型标识为3表示支持双票种，交易按6.4.1.1.6中的规定进行；——通过其中的应用版本号来确定终端使用的密钥分散算法，01表示采用分散算法01，02表示采用分散算法02；——通过其中的启用日期和有效日期来判定应用是否在有效期内。6.4.1.1.4.2对于SELECTADF命令回送的信息标签为9F51或DF71的数据，读写终端应在后续的6.4.1.1.6选择票种过程中进行匹配和使用。6.4.1.1.4.3对于SELECTADF命令回送的信息标签为DF00的数据，读写终端应对这类数据进行下列判断和处理：——不包含此数据，或该值为00，表示卡片仅支持国际算法，终端使用国际算法进行后续的交易；——该值为01，表示卡片仅支持国密算法，终端使用国密算法进行后续的交易；——该值为02，表示卡片支持双算法，终端使用国密算法进行后续的交易。6.4.1.1.5错误处理以上任一条件不满足时终端应拒绝交易，显示响应的出错码。6.4.1.1.6选择票种读写终端根据应用选择时获得的应用类型标识判别IC卡和读写终端支持第一票种或第二票种的情况。如果IC卡和读写终端同时支持第一票种或第二票种之一，则读写终端自动地选择到第一票种或第二票种，继而进行6.4.1.2至6.4.1.6中所描述的步骤。如果IC卡和读写终端同时支持第一票种和第二票种，读写终端应向持卡人提供选择第一票种或第二票种的过程，在这一过程中持卡人能从中选择一种票种进行交易。如果IC卡仅支持一种票种并且该票种不被读写终端支持，则该过程终止。6.4.1.2圈存交易流程6.4.1.2.1一般要求圈存交易是钱包应用票卡持卡人在交通一卡通卡片应用上增加票种余额计数器的交易过程。此交易通常在圈存终端上联机进行，圈存交易流程应与图2相符。6.4.1.2.2发出初始化圈存命令读写终端应按JT/T1059.2—XXXX第15章的规定，发出初始化圈存（INITIALIZEFORLOAD）命令，启动圈存交易流程。7JT/T1059.7—XXXX图2圈存交易处理流程6.4.1.2.3处理初始化圈存命令卡片收到INITIALIZEFORLOAD命令后，应进行下列操作。a)检查是否支持命令中包含的密钥索引号。如果不支持，则回送状态字9403，不回送任何其他数据，同时终止命令的处理过程。b)检查指定票种圈存指令中的交易金额补偿已透支金额后，不应超过钱包应用余额上限，否则回送态字6985，不回送任何其他数据，同时终止命令的处理过程。c)在通过以上检查后，卡片将产生一个伪随机数、过程密钥和MAC1，用以供主机验证圈存交易及卡片的合法性。产生过程密钥的输入数据为伪随机数+电子钱包联机交易序号+8000。过程密钥对由交易前的电子钱包可用余额+交易金额+交易类型标识（实际数值为02）+终端机编号组合的数据加密产生MAC1。8JT/T1059.7—XXXXd)卡片将把JT/T1059.2—XXXX第15章中定义的INITIALIZEFORLOAD响应报文回送给终端处理。如果卡片回送的状态字不是9000，则交易终止。6.4.1.2.4验证MAC1收到INITIALIZEFORLOAD命令响应报文后，终端把JT/T1059.2—XXXX第15章中定义的数据传给发卡机构主机。主机将生成过程密钥并确认MAC1是否有效。如果MAC1有效，将执行6.4.1.2.6中的步骤；否则执行6.4.1.2.5中的步骤。6.4.1.2.5回送错误状态如果不接受圈存交易，则主机应通知终端。6.4.1.2.6主机圈存交易处理发卡机构主机产生MAC2，用于卡片对主机进行合法性检查。MAC2的计算采用过程密钥按顺序对下列数据加密产生：a)交易金额；b)交易类型标识，其实际数值为02；c)终端机编号；d)主机端的交易日期；e)主机端的交易时间。成功地进行了圈存交易后，主机将联机交易序号加1，并向终端发送一个圈存交易接受报文，其中包括MAC2、主机端的交易日期和主机端的交易时间。6.4.1.2.7发出圈存命令终端收到主机发来的圈存交易接受报文后，发出圈存（CREDITFORLOAD）命令更新卡片上电子钱包余额。CREDITFORLOAD命令应符合JT/T1059.2—XXXX第15章的规定。6.4.1.2.8验证MAC2收到CREDITFORLOAD命令后，卡片应确认MAC2的有效性。如果MAC2有效，交易处理将执行6.4.1.2.9中描述的步骤。否则将向终端回送状态字9302，表示MAC无效。6.4.1.2.9卡片圈存交易确认处理6.4.1.2.9.1记录交易明细处理卡片将电子钱包联机交易序号加1，并且把交易金额加在电子钱包的余额上。卡片应成功地完成6.4.1.2.2～6.4.1.2.9所有操作或者一个也不完成。在电子钱包圈存交易中，卡片应使用下列数据组成的一个记录自动更新交易明细18记录文件：a)电子钱包联机交易序号；b)交易金额；c)交易类型标识；d)终端机编号；e)主机端的交易日期；f)主机端的交易时间。6.4.1.2.9.2TAC计算TAC的计算不采用过程密钥方式，它用DTK左右8位字节异或运算的结果对按照下列顺序组合的数据进行加密运算：a)交易后的电子钱包可用余额；b)顺序加1前的电子钱包交易序号；c)交易金额；d)交易类型标识；e)终端机编号；9JT/T1059.7—XXXXf)主机端的交易日期；g)主机端的交易时间；h)交易票种代码。6.4.1.2.10返回确认在成功完成6.4.1.2.9后，卡片通过CREDITFORLOAD命令的响应报文将TAC回送给终端。主机在必要时验证TAC。6.4.1.3圈提交易流程6.4.1.3.1一般要求圈提交易是钱包应用票卡持卡人在交通一卡通卡片应用上减少票种余额计数器的交易过程。此交易通常在圈提终端上联机进行，圈提交易流程应与图3相符。JT/T1059.7—XXXX图3圈提交易处理流程6.4.1.3.2发出初始化圈提命令终端发出初始化圈提（INITIALIZEFORUNLOAD）命令启动圈提交易。6.4.1.3.3处理初始化圈提命令卡片收到INITIALIZEFORUNLOAD命令后，应按照下列步骤操作。a)检查是否支持命令中提供的密钥索引号。如果不支持，则回送状态字9403，不回送任何其他数据，同时命令处理结束。b)检查命令中包含的交易金额是否超过电子钱包实际余额。如果超过，则回送状态字9401，不回送其他数据。JT/T1059.7—XXXXc)在通过以上检查后，卡片将产生一个伪随机数、过程密钥SESULK和一个MAC1，供主机验证圈提交易及卡片的合法性。产生过程密钥的输入数据为伪随机数+电子钱包联机交易序号+8000。过程密钥对由交易前的电子钱包可用余额+交易金额+交易类型标识（实际数值为03）+终端机编号组合的数据加密产生MAC1。d)卡片应向终端回送INITIALIZEFORUNLOAD命令的响应报文和状态字9000。在收到INITIALIZEFORUNLOAD的响应报文后，终端将圈提批准请求报文MAC1送往发卡机构主机。6.4.1.3.4验证MAC1主机将产生SESULK并验证MAC1是否有效。如果MAC1有效，将执行6.4.1.3.6中的步骤。否则终端应回送一个错误状态字，交易处理将转而执行6.4.1.3.5中所描述的步骤。6.4.1.3.5回送错误状态如果不接受圈提交易，主机应通知终端。6.4.1.3.6主机圈提交易处理主机确认能够进行圈提交易后，将产生一个MAC2，以供卡片对主机合法性进行检查。包含在圈提（DEBITFORUNLOAD）命令响应中从主机经由终端传到卡片的数据应包括下列内容：a)交易金额；b)交易类型标识；c)终端机编号；d)主机端的交易日期；e)主机端的交易时间；f)“800000000000”。采用SESULK对以上数据按顺序组合并进行加密产生MAC2。主机向终端发送一个圈提交易接受报文，其中至少应包括主机端的交易日期、主机端的交易时间和MAC2。6.4.1.3.7发出圈提命令终端收到主机的圈提交易接受报文后，向卡片发出DEBITFORUNLOAD命令以更新卡片上电子钱包余额。DEBITFORUNLOAD命令应符合JT/T1059.2—XXXX第15章的规定。6.4.1.3.8验证MAC2卡片应确认MAC2是有效的。如果MAC2有效，交易处理将继续执行交易流程。否则向终端回送状态字9302表示MAC无效。6.4.1.3.9卡片圈提交易确认处理6.4.1.3.9.1卡片将电子钱包交易序号加1，并从卡片上的电子钱包余额中扣减交易金额。卡片应成功地完成6.4.1.3.2～6.4.1.3.8所有步骤或者一个也不完成。6.4.1.3.9.2卡片将产生MAC3，并通过圈提（DEBITFORUNLOAD）命令的响应报文将下列数据经终端送往主机。a)用SESULK按顺序对下列数据加密产生MAC3：1)交易后的电子钱包可用余额；2)顺序加1前的电子钱包联机交易序号；3)交易金额；4)交易类型标识，其实际数值为03；5)终端机编号；6)主机端的交易日期；7)主机端的交易时间。b)卡片用下列数据组成的一个记录更新交易明细：JT/T1059.7—XXXX1)顺序加1后的电子钱包联机交易序号；2)交易金额；3)交易类型标识；4)终端机编号；5)主机端的交易日期；6)主机端的交易时间。6.4.1.3.10验证MAC3主机收到卡片回送的MAC3后，应确认MAC3是否有效。如果MAC3有效，交易处理将继续执行交易步骤。否则将向终端回送一个错误状态字。6.4.1.3.11主机圈提交易确认处理发卡机构主机将交易金额从电子钱包余额计数器上扣减，并将主机的电子钱包联机交易序号加1。主机将向终端回送一个完成报文，表示持卡人的账户已更新。6.4.1.3.12显示完成在收到主机的完成报文后，终端将向持卡人显示交易完成信息。如果需要，终端应能向持卡人提供纸质交易凭证。6.4.1.4单次交易流程6.4.1.4.1一般要求单次交易允许钱包应用票卡持卡人在交通一卡通读写终端上通过一次交易完成检票的交易过程。此交易通常在交通一卡通读写终端上脱机进行，单次交易流程应与图4相符。JT/T1059.7—XXXX图4单次交易处理流程6.4.1.4.2发出单次交易初始化命令JT/T1059.7—XXXX终端发出初始化消费（INITIALIZEFORPURCHASE）命令启动单次交易。INITIALIZEFORPURCHASE命令应符合JT/T1059.2—XXXX第15章指令的规定，P1为02时交易为第1票种，P1为12时交易为第2票种，票种的货币代码应符合JT/T1059.2—XXXX中第15章选择ADF指令返回FCI数据中数据标签9F51和DF71的规定。注：P1表示参数1。6.4.1.4.3处理单次交易初始化命令卡片收到INITIALIZEFORPURCHASE命令后，将进行下列操作：a)检查是否支持命令中提供的密钥索引号。如果不支持，则回送状态字9403，表示不支持的密钥索引；b)检查电子钱包余额是否大于或等于交易金额。如果小于交易金额，则回送状态字9401，表示金额不足；c)在通过以上检查之后，卡片将产生一个伪随机数并连同电子钱包交易序号进行响应。使用由卡片产生伪随机数和卡片回送的电子钱包交易序号，终端的安全存取模块（PSAM或ESAM）将产生一个过程密钥SESPK和MAC1，供卡片来验证PSAM和ESAM的合法性。产生过程密钥的输入数据为伪随机数+电子钱包联机交易序号+终端交易序号的最右两个字节。过程密钥对由交易金额+交易类型标识（实际数值为06）+终端机编号+终端的交易日期+终端的交易时间+交易票种代码组合的数据加密产生MAC1。6.4.1.4.4发出单次交易命令终端发出单次交易（DEBITFORPURCHASE）命令，DEBITFORPURCHASE命令应符合JT/T1059.2—XXXX第15章的规定，P1为01时，交易为第1票种；P1为11时，交易为第2票种。6.4.1.4.5验证MAC1在收到DEBITFORPURCHASE命令后，卡片应验证MAC1的有效性。若MAC1有效，交易处理将继续执行交易流程。若MAC1无效则向终端回送错误状态字9302表示MAC无效。连续3次单次交易MAC1无效，卡片应被临时锁定并回送错误状态字6283。6.4.1.4.6卡片单次交易确认处理卡片应自动从电子钱包余额中扣减消费的金额，并将电子钱包交易序号加1。卡片应成功地完成6.4.1.4.2～6.4.1.4.6所有步骤或者一个也不完成。只有余额和序号的更新均成功后，交易明细18记录文件才能更新。卡片产生MAC2供PSAM和ESAM对其进行合法性检查，并通过DEBITFORPURCHASE命令的响应报文回送终端。MAC2的计算采用SESPK对交易金额进行加密产生。卡片采用密钥DTK左右8位字节异或运算后的结果产生TAC。TAC将被写入终端交易明细，以便于主机进行交易验证。TAC以明文形式通过DEBITFORPURCHASE命令的响应报文从卡片传送到终端。卡片应使用下列数据生成TAC，并更新交易明细。a)生成TAC的数据包括下列内容：1)交易金额；2)交易类型标识；3)终端机编号；4)终端交易序号；5)终端的交易日期；6)终端的交易时间；7)交易票种代码。b)更新交易明细的记录数据包括下列内容：1)电子钱包脱机交易序号；2)交易票种代码；3)交易金额；4)交易类型标识；JT/T1059.7—XXXX5)终端机编号；6)终端的交易日期；7)终端的交易时间。6.4.1.4.7验证MAC2在收到卡片传来的MAC2后，PSAM和ESAM要验证MAC2的有效性。MAC2验证的结果被传送到终端以便采取必要的措施。6.4.1.5复合交易流程6.4.1.5.1一般要求复合应用消费交易是卡人使用电子钱包的余额，根据卡片上记录的分时分段信息，进行支付或获取服务的交易过程。此交易通常在受理终端或其他读卡设备上脱机进行。复合应用消费交易允许消费金额为0，复合应用消费交易流程应与图5相符。6.4.1.5.2发出复合交易初始化命令终端发出INITIALIZEFORCAPPPURCHASE命令启动复合应用消费交易。6.4.1.5.3处理复合交易初始化命令卡片收到INITIALIZEFORCAPPPURCHASE命令后，将进行下列操作：a)检查是否支持命令中提供的密钥索引号。如果不支持，则回送状态字9403，不回送其他数据；b)检查电子钱包余额是否大于或等于交易金额。如果小于交易金额，则回送状态字9401，不回送其他数据；c)在通过以上检查之后，卡片将产生一个伪随机数并连同电子钱包交易序号进行响应。使用由卡片产生伪随机数和卡片回送的电子钱包交易序号，终端的安全存取模块（PSAM或ESAM）将产生一个过程密钥SESPK和MAC1，供卡片来验证PSAM和ESAM的合法性。产生过程密钥的输入数据为为伪随机数+电子钱包联机交易序号+终端交易序号的最右两个字节。过程密钥对由交易金额+交易类型标识（实际数值为09）+终端机编号+终端的交易日期+终端的交易时间+交易票种代码组合的数据加密产生MAC1。6.4.1.5.4发出更新复合应用缓存命令终端发出更新复合应用缓存（UPDATECAPPDATACACHE）命令，交易流程应与图5相符。对卡种类型值为0x96的巡检卡片，应更新相应行业应用信息记录文件、记录标识为2712的行业巡检信息记录文件和循环记录文件。对非卡种类型值为0x96的卡片，应更新相应行业应用信息记录文件和循环记录。JT/T1059.7—XXXX图5复合应用消费交易流程6.4.1.5.5处理更新复合应用缓存命令卡片在收到UPDATECAPPDATACACHE命令后，将进行下列操作：JT/T1059.7—XXXXa)如果命令中存在SFI域，检查卡片当前应用下是否存在与命令中SFI值相同的文件。如果不存在，回送状态字6A82，不回送其他数据。终端应终止此次复合应用消费交易。b)根据命令中的复合应用类型标识符，查询复合应用消费专用文件中是否存在相同标识符的记录。如果不存在，则回送状态字6A83，不回送其他数据。终端应终止此次复合应用消费交易。c)检查复合应用消费专用文件中相应记录中的应用锁定标志字节。如果应用锁定标志为设置，则回送状态字9407，不回送其他数据。终端应终止此次复合应用消费交易。d)检查命令中的数据域长度是否大于复合应用消费专用文件中相应记录的长度。如果大于，则回送状态字6A84，不回送其他数据。终端应终止此次复合应用消费交易。e)在通过以上检查后，卡片应暂存命令中的SFI、记录号、复合应用类型标识符和数据域。复合应用消费专用文件中相应记录中的数据不应通过此命令更新。6.4.1.5.6发出复合应用交易命令终端发出复合应用交易（DEBITFORCAPPPURCHASE）命令。6.4.1.5.7验证MAC1卡片在收到DEBITFORCAPPPURCHASE命令后，将验证MAC1的有效性。如果MAC1有效，交易处理将继续执行交易流程。否则将向终端回送错误状态字9302表示MAC无效。6.4.1.5.8卡片复合交易确认处理6.4.1.5.8.1卡片从电子钱包余额中扣减消费的金额，电子钱包交易序号加1，并更新复合应用消费专用文件，更新电子钱包消费交易记录。卡片应成功地完成6.4.1.5.2～6.4.1.5.8步骤或者一个也不完成。暂存的数据更新复合应用消费专用文件时，如果更新数据长度小于记录长度，卡片应在数据后自动填充00至记录尾。6.4.1.5.8.2卡片产生MAC2供PSAM或ESAM对其进行合法性检查，并通过DEBITFORCAPPPURCHASE命令响应报文回送。MAC2的计算采用SESPK对交易金额进行加密产生。6.4.1.5.8.3卡片采用密钥DTK产生TAC。TAC将被写入终端交易明细，用于主机进行交易验证，它以明文形式通过命令报文从终端传送到卡片。卡片应使用下列数据生成TAC，并更新交易明细。a)生成TAC的数据包括下列内容：1)交易金额；2)交易类型标识；3)终端机编号；4)终端交易序号；5)终端的交易日期；6)终端的交易时间；7)交易票种代码。b)更新交易明细的记录数据包括下列内容：1)交易金额；2)交易票种代码；3)交易类型标识；4)电子钱包脱机交易序号；5)终端机编号；6)终端的交易日期；7)终端的交易时间。6.4.1.5.9验证MAC2在收到卡片传来的MAC2后，PSAM和ESAM要验证MAC2的有效性。MAC2验证的结果被传送到终端以便采取必要的措施。JT/T1059.7—XXXX6.4.1.5.10不完整交易处理在多票制的公交和地铁行业，当卡片发生不完整交易时候，终端应做不完整交易处理。6.4.1.6修改透支限额交易流程6.4.1.6.1一般要求修改透支限额交易允许持卡人修改卡片上的透支限额信息。此交易通常在受理终端或其他读卡设备上联机进行，修改透支限额交易流程应与图6相符。图6修改透支限额交易流程6.4.1.6.2发出修改初始化命令终端发出修改初始化（INITIALIZEFORUPDATE）命令启动修改透支限额交易。6.4.1.6.3处理修改初始化命令卡片收到INITIALIZEFORUPDATE命令后，将进行下列操作：a)检查是否支持命令中包含的密钥索引号。如果不支持，则回送状态字9403，但不回送任何其他数据，同时终止命令的处理过程。JT/T1059.7—XXXXb)产生一个伪随机数，过程密钥和MAC1，用以供主机验证修改透支限额交易及卡片的合法性。过程密钥用于电子钱包修改透支限额交易。用来产生过程密钥的输入数据应由下列数据顺序组成：1)伪随机数；2)电子钱包联机交易序号；3)8000。c)MAC1的计算采用过程密钥对下列数据进行顺序组合并加密产生：1)交易后的电子钱包可用余额；2)电子钱包原透支限额；3)交易类型标识；4)终端机编号。d)卡片将把JT/T1059.2—XXXX中定义的修改初始化（INITIALIZEFORUPDATE）命令响应回送给终端处理。如果卡片回送的状态字不是9000，则交易终止。6.4.1.6.4验证MAC1在收到INITIALIZEFORUPDATE命令响应数据后，主机将验证MAC1的有效性。如果MAC1有效，交易处理将继续执行交易流程。否则将进入6.4.1.6.5。6.4.1.6.5回送错误状态如果不接受修改透支限额交易，主机应通知终端。6.4.1.6.6主机修改透支限额交易处理6.4.1.6.6.1主机确认能够进行修改透支限额交易后，将产生一个MAC2，以供卡片对主机合法性进行检查。6.4.1.6.6.2包含在修改透支限额（UPDATEOVERDRAWLIMIT）命令中从主机经由终端传到卡片的数据应包括下列内容：a)新透支限额；b)交易类型标识；c)终端机编号；d)主机端的交易日期；e)主机端的交易时间。6.4.1.6.6.3采用SESULK对以上数据按顺序组合并进行加密产生MAC2。主机向终端发送一个修改透支限额交易接受报文，其中至少应包括主机端的交易日期、主机端的交易时间和MAC2。6.4.1.6.7发出修改透支限额命令终端收到主机发来的修改透支限额交易接受报文后，发出UPDATEOVERDRAWLIMIT命令更新卡片上电子钱包修改透支限额。UPDATEOVERDRAWLIMIT命令应符合JT/T1059.2—XXXX第15章的规定。6.4.1.6.8验证MAC2卡片收到UPDATEOVERDRAWLIMIT命令后，应确认MAC2是有效的。如果MAC2有效，交易处理将继续执行交易流程。否则向终端回送状态字9302表示MAC无效。6.4.1.6.9卡片修改透支限额确认交易处理卡片将电子钱包联机交易序号加1，并从卡片上的电子钱包余额中增加或扣减交易金额。卡片应成功地完成6.4.1.6.2～6.4.1.6.7所有步骤或者一个也不完成。卡片将产生一个交易TAC，并通过UPDATEOVERDRAWLIMIT命令的响应报文将下列数据经终端送往主机。a)用SESULK对下列数据按顺序组合并加密产生TAC：1)交易后的电子钱包可用余额；JT/T1059.7—XXXX2)顺序加1前的电子钱包联机交易序号；3)新透支限额；4)交易类型标识；5)终端机编号；6)主机端的交易日期；7)主机端的交易时间；8)交易票种代码。b)卡片用下列数据组成的一个记录更新交易明细：1)电子钱包联机交易序号；2)交易金额；3)交易票种代码；4)交易类型标识；5)终端机编号；6)主机端的交易日期；7)主机端的交易时间。6.4.1.6.10验证TAC主机收到卡片回送的TAC后，应确认TAC是否有效。如果TAC有效，终端将向持卡人显示修改卡片透支限额交易成功。终端应能向持卡人提供纸质交易凭证。否则将向终端回送一个错误状态字。6.4.1.7交易后处理6.4.1.7.1一般要求当交易发生闪卡时，终端应执行交易后处理，电子钱包交易后处理流程应与图7相符。JT/T1059.7—XXXX图7电子钱包交易后处理流程6.4.1.7.2初始化和防冲突终端同时检测到多个非接触卡片，应向持卡人显示，并要求只放置一张卡片。JT/T1059.7—XXXX6.4.1.7.3读取18记录终端发送READRECORD命令，读取钱包应用0x18交易明细文件，获取最近一笔交易明细。6.4.1.7.4发送取交易认证命令终端发送取交易认证（GETTRANSACTIONPROVE）命令，读取卡片MAC2和TAC。6.4.1.7.5交易确认处理如果卡片返回所需MAC2不可用等错误状态，则终端确认上笔交易失败，重新进入交易流程；如果卡片正常返回MAC2和TAC，终端则将MAC2送给PSAM和ESAM进行认证，如果认证通过，则上笔闪卡交易确认交易成功，生成正常交易记录并完成交易，否则确认卡片交易失败，结束闪卡交易流程，进入正常交易流程。6.4.2电子现金应用交易流程要求6.4.2.1交易预处理6.4.2.1.1读写终端寻卡终端应发送命令字为0x26或0x52的指令对放置天线区的非接触卡片进行寻卡。如果非接触卡片有正常的ATS响应，终端应进入交易预处理流程，应符合图8的规定。JT/T1059.7—XXXX图8电子现金交易预处理流程6.4.2.1.2PPSE选择PPSE选择的执行过程应符合JT/T1059.2—XXXX的规定。6.4.2.1.3应用选择应用选择的执行过程应符合JT/T1059.2—XXXX中第14章的规定。成功地选择了电子现金应用后，卡片回送符合JT/T1059.2—XXXX中15.2.2.2规定的包含发卡方专用数据在内的文件控制信息标签为DF11、卡片支持的第一票种货币代码标签为9F51和卡片支持的第二票种货币代码信息标签为DF71、交易处理数据列表PDOL的标签为9F38。6.4.2.1.4应用有效性检查6.4.2.1.4.1对于SELECTADF命令回送的数据标签为9F38、DF69，终端将对这些数据进行下列检查：——标签为9F38的数据应包含DF69的数据内容，表示卡片支持的算法，终端需使用卡片支持算法进行后续的交易；JT/T1059.7—XXXX——DF69值为01，表示卡片仅支持国密算法，终端需使用国密算法进行后续的交易,值为02，表示卡片仅支持双算法，终端需使用国密算法进行后续的交易。6.4.2.1.4.2对于SELECTADF命令回送的数据标签为DF11，终端将对这些数据进行以下检查：——使用标签为DF11中的应用序列号判定该卡是否在终端存储的“黑名单”卡之列；——使用标签为DF11中的发卡机构代码判定该卡是否在终端存储的“白名单”卡之列；——使用标签为DF11中的应用版本号来确定终端使用的密钥分散算法，01表示采用分散算法01，02表示采用分散算法02；——使用标签为DF11中的启用日期和有效日期来判定应用是否在有效期内。6.4.2.1.4.3如果以上任一条件不满足，交易将按6.4.2.1.5中的描述进行。否则终端按照6.4.2.2～6.4.2.5要求的交易处理。6.4.2.1.5错误处理以上任一条件不满足时终端应拒绝交易，显示相应的信息码。6.4.2.2电子现金联机交易电子现金联机交易应符合JT/T978.3中8.1的规定。6.4.2.3电子现金快速交易电子现金快速交易应符合JT/T978.3中8.2的规定。6.4.2.4电子现金快速扩展交易电子现金快速扩展交易应符合JT/T978.3中8.3、8.4的规定。6.4.2.5电子现金快速第二票种交易电子现金快速第二票种交易应符合JT/T978.3中8.5的规定。7移动终端7.1硬件要求7.1.1接触通道的电气特性和传输协议移动终端在内置SE的情况下，CLF和SE接口是内部接口，宜采用SWP及其他内部接口协议。SWP接口的电气特性和链路层传输协议应符合ETSITS102613的规定；其传输层协议应满足ETSITS102622的要求。7.1.2非接触通道的电气特性和传输协议非接触通道的电气特性和传输协议应符合JT/T978.5的规定。7.2软件要求移动终端软件要求见6.2。7.3功能要求移动终端具备的功能应符合JT/T1059.5的规定。7.4交易模型要求移动终端支持的交易模型应符合JT/T1059.3和JT/T1059.4的规定。7.5安全要求移动终端应满足JT/T1059.5规定的安全要求。8分体终端JT/T1059.7—XXXX8.1硬件要求8.1.1硬件模块8.1.1.1非接触式读卡器分体终端应具备内置非接触式读卡器，并应具备明显的标识，标明非接触读卡区域。非接触式读卡器应满足第6章的要求。8.1.1.2通信端口与外部设备的通信端口应支持下列全部或部分类型的通信方式：a)蓝牙通信；b)串口通信；c)USB；d)WIFI；e)音频接口。8.1.1.3存储器分体终端应具有足够的存储容量存放应用程序、密钥、交易数据和其他参数等，并确保在掉电后数据不丢失。在保证完成交易功能的前提下，要求脱机终端保存的记录不少于500条。8.1.2电磁兼容性无线电干扰极限值应符合GB/T9254.1—2021中B级ITE的规定。产品的抗扰度限值应符合GB/T9254.2的规定。8.2软件要求分体终端软件要求见6.2。8.3安全要求分体终端在操作员管理、密钥体系、密钥管理、加密及存储等安全方面应满足JR/T0025.7的要求。9SE应用管理终端9.1硬件要求9.1.1POS形态9.1.1.1基本要求POS形态SE应用管理终端作为一类使用广泛的小型SE管理终端，其基础硬件及性能应符合JT/T978.3的规定。9.1.1.2显示屏显示屏应显示ASCII可视字符，汉字应按照GB/T5007.1、GB/T5199、GB/T13000或GB18030的要求。屏幕大小应具有显示4行或4行以上英文和中文功能，其中每行显示不少于16个英文字母、数字和符号，或不少于8个汉字；终端的液晶显示屏对比度宜可调节或带背光功能；宜具备图形显示能力。9.1.1.3键盘键盘应提供0～9的十进制数字型字符及若干功能键的输入，应能输入字母。键盘使用寿命应达到每键可敲击300000次以上。若采用了带颜色的命令键，宜使用下列颜色分配：a)确认：绿色；JT/T1059.7—XXXXb)取消：红色；c)清除：黄色。9.1.1.4密码键盘9.1.1.4.1POS形态的SE应用管理终端应配有密码键盘，连接方式有两种：与终端集成在一起的内置密码键盘；与终端通过通信线连接的外置密码键盘。9.1.1.4.2密码键盘内部应包含具有加密运算处理功能的专用器件，能完成报文加密、解密、MAC计算和验证。密码键盘应能安全地存储密钥，防止被读取。应支持可存储及选用多组密钥。9.1.1.4.3密码键盘应至少具有10个数字键和若干功能键。功能键应至少包括“清除”和“确认”两种功能；独立密码键盘至少应具有一行数字或字母显示屏。键盘使用寿命应达到每键敲击300000次以上。9.1.1.4.4交易金额应显示在密码键盘的显示屏上。用户键入密码时，密码键盘的显示屏上不应显示明文，应显示“*”。密码键盘与POS之间的关键数据传送应以密文的形式进行，如下载主密钥。9.1.1.5非接触式读卡器非接触式读卡器应具备明显的标识，标明非接触读卡区域。如果读卡区域在显示屏下方，在交易时应在显示屏上显示非接触读卡标识。非接触式读卡器包括下列两种类型。a)与终端集成在一起的内置非接触式读卡器。b)与终端通过通信线连接的外置非接触式读卡器，外置非接触式读卡器包括下列两种类型：1)独立非接触式读卡器；2)与密码键盘集成在一起的非接触式读卡器。9.1.1.6打印机打印机选用点阵击打式或热敏纸记录式打印机，能内置或外接。打印机打印要求如下：a)打印应支持ASCII可视字符，汉字应满足GB/T5007.1、GB/T5199、GB/T13000或GB18030的要求；b)无故障打印凭证张数不应少于50000张；c)打印机走纸定位应准确，点阵击打式打印机应至少能打印三联压感复写凭证；d)打印机应具有过热保护功能；e)打印字迹清晰均匀、字体饱满无形变。9.1.1.7存储器终端应具有足够的存储容量来存放应用程序、密钥、交易数据和其他参数等，并确保在掉电后数据不丢失。要求在保证完成交易功能的前提下，单一批次内，终端能够保存300笔以上的交易流水。9.1.1.8通信端口POS形态SE应用管理终端应以联机方式与TSM平台进行通信，通信端口应支持下列全部或部分类型的通信方式：a)串口通信；b)MODEM通信；c)红外通信；d)无线通信；e)以太网通信；f)其他。9.1.2自助终端形态9.1.2.1基本要求自助终端形态SE应用管理终端硬件应符合GB/T23647—2009第4章的规定。9.1.2.2硬件设计要求JT/T1059.7—XXXX硬件设计应满足下列要求：a)具备防火、防盗、防尘、防淋、防震、防暴等要求，保证人身安全；b)配置的密封装置及门锁耐久、安全、可靠，应符合GA/T73的规定，对异常情况有报警及日志记录功能；c)硬件系统和各模块单元的逻辑设计应尽量采用统一校验等技术，并留有适当的逻辑余量；d)硬件系统应具备自检功能；e)框架和机柜应有一定的刚度和强度，以防止由于空间变动、部件变松或移位造成的全部或部分损坏，并应防止和减少部件发生火灾、电冲击和人身伤害的可能性；f)外形应具备人性化特点，客户操作应感到舒适方便；g)安全模块应遵循严格的密钥机制，保证用户个人信息及PIN等账户信息的安全。9.1.2.3外观和结构自助终端形态SE应用管理终端的外观和结构应满足下列条件：a)表面没有明显的凹痕、划伤、裂缝、变形和污染等，表面涂镀层应均匀，不起泡、龟裂、脱落和磨损，金属零部件没有锈蚀及其他机械损伤；b)零部件紧固无松动，键盘、开关及其他活动部件的动作应灵活可靠。9.1.2.4触摸屏输入正常使用情况下，触摸屏的触摸反应时间不应大于20ms；透光率不应小于95%；单点触摸的使用寿命不小于3500万次。9.1.2.5密码键盘自助终端形态SE应用管理终端的密码键盘采用加密PIN键盘实现。PIN键盘包含一个内嵌的密码模块，完成PIN加密和密钥管理的任务。为了用户方便，加密PIN键盘的密码模块还应提供其他密码加密服务，比如报文加密和报文鉴别。密码键盘应符合ISO8731-1、ISO13491-1、ISO9564-2、ISO11568的规定。9.1.2.6非接触式读卡模块非接触式读卡模块应满足第6章的要求，宜采用内嵌式模块。非接触式读卡模块应具备明显的标识，标明非接触读卡区域。9.1.2.7通信端口自助终端形态SE应用管理终端应以联机方式与TSM平台进行通信。通信端口应支持下列全部或部分类型的通信方式：——串口通信；——MODEM通信；——红外通信；——无线通信；——以太网通信；——其他。9.1.2.8电气安全自助终端形态SE应用管理终端的电气安全要求应符合GB4943.1的规定。9.1.2.9电磁兼容性9.1.2.9.1无线电骚扰限值自助终端形态SE应用管理终端的无线电骚扰限值应符合GB/T9254.1的规定。JT/T1059.7—XXXX9.1.2.9.2抗扰度限值自助终端形态SE应用管理终端的抗扰度限值应符合GB/T9254.2的规定。9.1.2.9.3谐波电流限值自助终端形态SE应用管理终端的谐波电流限值应符合GB17625.1的有关规定。9.1.2.10其他自助终端形态SE应用管理终端其他部件性能应确保SE应用管理终端功能的实现。9.2软件要求功能要求9.3自助终端形态SE应用管理终端软件要求见6.2。功能要求自助终端形态SE应用管理终端应包括下列全部或部分功能：a)自检：SE应用管理终端开机后应对硬件状态进行检测和报警；b)操作员签到：操作员开机后，键入操作员代码和密码，SE应用管理终端验证操作员的合法性，签到成功后操作员对SE应用管理终端进行操作；c)终端签到：SE应用管理终端与管理平台签到采用联机方式，签到成功后才允许做其他交易；d)终端签退：SE应用管理终端具备签退功能，签退后的终端应显示签退提示；e)应用下载：通过TSM平台将应用程序通过SE应用管理终端发送并安装到移动终端SE内；f)应用个人化：通过SE应用管理终端进行移动终端SE应用个人化；g)应用列表查询：通过SE应用管理终端查询移动终端SE应用列表；h)应用详细查询：通过SE应用管理终端查询移动终端SE应用信息；i)应用同步：通过SE应用管理终端将移动终端上的SE应用和相关状态上送到系统；j)应用删除：通过SE应用管理终端删除移动终端上的指定SE应用；k)应用锁定：通过SE应用管理终端对移动终端的SE应用进行锁定；l)应用解锁：通过SE应用管理终端对移动终端锁定的SE应用进行解锁；m)应用远程管理同步：通过SE应用管理终端对移动终端远程设定的SE应用进行同步；n)SE激活：通过SE应用管理终端对移动终端的SE进行激活；o)SE锁定：通过SE应用管理终端对移动终端的SE进行锁定；p)SE终止：通过SE应用管理终端对移动终端的SE进行终止使用；q)安全域锁定：通过SE应用管理终端对移动终端的安全域进行锁定；r)安全域解锁：通过SE应用管理终端对移动终端锁定的安全域进行解锁；s)安全域终止：通过SE应用管理终端对移动终端的安全域进行终止使用。9.4安全要求9.4.1安全管理SE应用管理终端开机后应对硬件状态进行检测和报警。自检结束后自动进入工作状态。在工作状态中，操作员也可通过选择功能设置对SE应用管理终端进行自检。自检完毕返回工作状态。9.4.2POS形态SE应用管理终端集成安全要求9.4.2.1配置管理对设备集成到密码输入终端进行安全性评估时，应明确定义其物理和逻辑安全界定，如PIN输入和读卡器各自的功能。9.4.2.2PIN输入功能集成PIN输入功能集成应满足下列要求。a)保证通过认证的安全器件在集成到PIN输入设备时，不降低整个设备的保护等级。JT/T1059.7—XXXXb)对密码输入器的密码输入区域和其周围区域进行设计或改造时，保证不会增加密码输入器受攻击的风险。c)终端在调用密码键盘执行PIN输入操作的时候，遵循下列要求：1)终端上如有消费金额的提示及输入PIN的提示，两个提示有明显区别；2)终端进入到输入PIN的界面后不再允许输入其他非PIN数据；3)终端进入到输入PIN的界面后，之前输入的金额部分不应修改。以防止用户在输入PIN的过程中误操作到修改金额部分而泄露PIN；4)终端进入到输入PIN操作阶段，禁止在终端上进行其他和PIN输入无关的人机交互的操作；若此时发生应用切换操作，或者显示屏的焦点从PIN输入界面移开，终端强制退出当前的PIN输入操作，且将本次PIN输入操作按失败处理；5)进行PIN输入提示时，终端只接受诸如“Yes,‖―OK,‖―Cancel,‖or―No”等控制字9.4.2.3POS形态SE应用管理终端的集成POS形态SE应用管理终端的集成应满足下列要求：a)密码输入终端将已认证的安全设备进行物理和逻辑集成时，确保不引入新的攻击途径；b)保证在同一个设备中，安全组件与非安全组件之间有比较清晰的逻辑和物理隔离；c)应用执行过程中，显示给用户的动态信息和终端操作状态强制保持一致性。如果接收到来自外部设备更改用户动态显示信息和操作状态的命令，保证该命令已被密码授权校验通过；d)PIN输入设备保证只有一个支付密码输入接口，如一个键盘等。如果有其他可用于PIN输入接口，限制该端口密码输入的使用，如无有效数字键、输入的数字不可用等。9.4.2.4设备移除的安全要求设备移除的安全要求应符合下列规定：a)终端应符合9.4.6中PIN输入设备的规定；b)供应商应对文档持续的维护更新，以保证终端集成使用者了解如何保护系统，对非法移除加c)对于嵌入式设备，应准确按照嵌入设备厂商提供的文档对系统加以保护，防止非法移除。9.4.3自助终端形态SE应用管理终端逻辑安全9.4.3.1非PIN数据输入如自助终端形态SE应用管理终端的密码键盘需要输入非PIN数据，至少满足下列条件中的一个：a)提示信息由加密单元控制：应满足9.4.6中PIN输入设备要求；b)改变用户界面提示攻击可能性分析：在未授权情况下，改变非PIN数据输入时显示的提示内容危及PIN安全；c)安全模式：SE应用管理终端应确保用户可见信息与操作状态之间的关联关系。9.4.3.2多应用自助终端形态SE应用管理终端支持多个应用程序，应能将不同程序分离出来。每个应用程序不应干扰或篡改其他应用程序或SE应用管理终端的操作系统，包括修改属于其他程序的数据对象。9.4.3.3操作系统自助终端形态SE应用管理终端操作系统只能包含设计应用所必需的零部件和服务。应以最少的特权配置和运行。9.4.3.4单一的PIN数据接口自助终端形态SE应用管理终端仅能通过指定的接口接收PIN数据，如果另设有键盘，应阻止通过这个接口接收PIN数据。JT/T1059.7—XXXX9.4.4传输报文加密自助终端形态SE应用管理终端与TSM之间的报文应采用对称密钥的方式进行加密传输或进行数字签9.4.5交易密钥管理9.4.5.1二级密钥体系终端密钥分为二级：TMK和WK。9.4.5.2TMK用于对WK进行加密保护，每台终端与TSM平台共享唯一的TMK。TMK应有安全保护措施，只能写入并参与运算，不能被读取。9.4.5.3WK分为用于对PIN加密的密钥以及进行报文鉴别的密钥。由TSM平台的加密机产生，在终端每次签到时从TSM平台利用TMK加密后下载，并由TMK加密存储。终端WK在下载时应以密文传送，严禁明文传送。9.4.5.4终端MAC的算法当SE应用管理终端采用8583协议报文格式时，从报文消息类型到63域之间的部分构成MACELEMEMENTBLOCK，采用电子密码本工作方式，加密结果为128位的MAC。如采用XML报文格式，由TSM平台自行定义。注：8583协议基于ISO8583协议国际标准的包格式的通信协议。9.4.5.5PIN加密PIN加密采用ANSIX9.8Format（带主账号信息），加密算法采用双倍长密钥算法。9.4.6PIN输入安全应保证PIN输入过程中的数据传输安全和数据存储安全，适用于所有移动支付的读写终端完成PIN输入的设备或模块（如密码键盘）。10扫码终端10.1通用要求二维码扫码模块与刷卡部分应分开，二维码扫码与刷卡工作区域直线距离不少于6cm。应保证在二维码数据图像旋转、不规则变形、图像亮度变化、局部污损等各种复杂情况下，能准确识读，并具有较强的自动纠错能力。10.2存储终端应保证至少能存储1000张机构证书，能存储至少5000条二维码交易记录。终端应安全存放自身应用程序、发卡机构证书、交易数据、黑白名单等参数，并确保终端在断电情况下这些数据不丢失。10.3通信具备无线通信模块如2G/3G/4G或其他实时联网功能，若是地铁闸机应具备接入局域网功能，并支持二维码机构密钥更新下载。终端应能够准实时将用户扫码行为同步到服务器端。10.4时钟具备高精度时钟模块，并能进行精确授时，应保证正常使用时两次授时期间时间误差不大于2s。10.5算法要求JT/T1059.7—XXXX证书、密钥等的算法应符合GM/T0003的规定。10.6二维码读取器10.6.1识别和读取要求应支持识别二进制编码格式的二维码，并通过USB-HID方式对二维码进行读取。10.6.2读取与计算时间应在200ms内完成二维码读取与验证。10.6.3编码方式应支持识别QRCode等常用码制。注：QuickResponseCode，快速响应码。10.6.4读取精确度扫码终端应支持识别旋转、倾斜、偏转的二维码。10.7操作系统要求应支持Linux、Android等操作系统，其中Linux系统中glibc版本应在2.7及以上。10.8终端监控与管理应具备远程管理能力，包括远程监测终端心跳、终端远程进行软件升级、机构证书下载与更新、黑白名单下载与更新、能远程识别终端问题且具有应急处理能力。10.9安全要求10.9.1存储安全应对二维码支付交易中涉及的关键、敏感数据进行存储性安全保护，防止信息泄露和篡改。10.9.2通信安全10.9.2.1传输安全二维码支付交易涉及各系统之间进行信息传输，各系统之间应建立安全通信信道，应对交易数据采用数字签名和加密等安全方式进行传输，确保数据不被监听和篡改。在公网环境下，二维码信息不应以明文形式传输。10.9.2.2传输数据的完整性应具备对传输数据的鉴别机制，确保发出数据的完整性和接收数据完整性的校验。10.9.2.3传输数据的保密性应对传输的数据进行保密性保护，不应引起信息泄露。10.9.3应用软件安全10.9.3.1合法性检查和风险控制应用软件与后台系统应具备合法性检查，通过签名验签等密码技术与后台系统进行双向认证，确保后台系统和应用软件的合法性，并设置超时时间。10.9.3.2密钥更新要求若应用软件涉及存储通信、数据加密的安全密钥，应保证密钥定期更新，以防密钥丢失。10.9.3.3应用软件安全JT/T1059.7—XXXX应用软件应满足下列安全要求：——应确保应用程序源代码存储的安全性，即应用程序源代码不可泄露；——客户端中涉及联机获取的二维码中的敏感数据应采用一定的机制进行分散存储；——对客户端中敏感数据以及涉及处理该数据的程序逻辑进行保护，例如采取代码混淆、加壳、加密等方式，防范攻击者对客户端进行静态分析、逆向工程、调试；——应从木马病毒防范、信息加密保护、运行环境可信等方面提升安全防控能力。10.9.3.4支付安全用户支付过程应满足下列安全要求：a)二维码具备分钟级时效性，并且时效性具备动态调整能力；b)每个用户只能单终端登录，新终端登录旧终端自动下线；c)限制二维码连续生码次数，次数动态配置，超过限制需要验证用户身份合法性；d)更换设备登陆，需要验证用户身份的合法性；e)二维码应每分钟自动更新；f)应保证相关设备及系统安全。10.9.3.5用户安全客户端应验证用户的身份，应用下列方式进行验证：a)用户提供验证信息，例如客户端密码或口令等；b)用户提供所持设备的验证信息，例如手机动态验证码、令牌等。10.10扫码处理交易流程要求扫码处理流程分为钱包和现金两种类型，钱包的扫码处理交易流程如图9所示，现金的扫码处理交易流程如图10所示。JT/T1059.7—XXXX图9钱包扫码处理交易流程JT/T1059.7—XXXX图10现金扫码处理交易流程11人脸识别终端11.1适应性要求11.1.1电源适应能力在额定电压偏差±5%范围内的条件下，人脸识别终端应能正常工作。11.1.2气候环境适应性气候环境适应性应满足表1的要求。表1气候环境适应性0℃~40℃-20℃~60℃11.2硬件要求11.2.1显示屏JT/T1059.7—XXXX人脸识别终端的显示屏宜为彩色，能显示图形、汉字，显示分辨率不低于VGA分辨率640*480。11.2.2应用处理器人脸识别终端进行人脸信息处理的处理单元规格不低于通用主频1GHz，4核或等效计算能力。11.2.3内存人脸识别终端的内存不低于1GB，闪存或硬盘不低于4GB。11.2.4密码键盘如人脸识别终端有密码键盘，则密码键盘应满足JR/T0120.5的要求。11.2.5接口人脸识别终端应具备通信能力，应支持下列全部或部分类型的接口：——串行通信接口；——USB接口；——红外通信接口；——以太网通信接口；——WIFI通信接口；——蓝牙通信接口；——4G及以上无线网络通信接口；——其他。11.2.6图像采集单元人脸识别终端的图像采集设备要求最低分辨率为VGA分辨率640*480，帧率不低于25f/s。11.2.7图像处理单元应能够将图像采集单元传递过来的数字图像信息进行如白平衡、色彩校正、编解码等信息处理。11.2.8安全环境人脸识别终端应基于硬件和软件结合的安全技术，采取如SE、支付标记化等手段，为人脸识别相关业务提供安全环境。11.3软件要求11.3.1操作系统人脸识别终端应具备智能操作系统。如终端操作系统是Android，应不低于4.4版本。如终端系统是Windows，应不低于xp版本。11.3.2软件完整性人脸识别终端软件完整性应满足完整性要求。应对终端软件进行签名，表示软件的来源和发布者，保证所下载的终端软件来源于所信任的机构；终端软件启动和更新时，应进行真实性和完整性校验，防止终端软件被篡改。11.3.3软件运行要求人脸识别终端软件运行时应满足运行要求。人脸识别终端软件应防止消耗过多的系统资源而使系统崩溃；人脸识别终端软件安装时应具备防崩溃机制。11.3.4人脸识别交易流程要求人脸识别交易流程见图10。JT/T1059.7—XXXX图11人脸识别交易流程11.4安全要求11.4.1通用安全人脸识别终端应通过国家认证认可管理部门认可机构的安全评估。人脸识别终端应使用经国家密码管理机构认可的商用密码产品。人脸识别终端用于PIN输入相关场景的，应具备物理、逻辑安全机制，包括但不限于以下安全机制：——应具备入侵检测机制；——应防止PIN输入过程被监听；——应保证敏感信息的安全存储；——应具备完整的密钥体系；——PIN输入设备应符合JR/T0120.5的规定；——在人脸支付交易过程中，人脸识别终端应符合JR/T0120.1、JR/T0120.2、JR/T0120.