CJT 166-2006 建设事业集成电路(IC)卡应用技术

中华人民共和国城镇建设行业标准中华人民共和国建设部发布I V 1 1 2 5 6 6 65.3双界面IC卡 65.4CPU卡的数据元和文件结构 65.5IC卡应用文件结构 305.7PSAM卡专用指令 35 376消费类及服务类IC卡终端技术要求 416.1基本性能要求 416.2IC卡终端的一般要求 416.3IC卡终端的多应用要求 6.4IC卡终端的功能要求 6.5IC卡终端的数据安全要求 6.6黑名单管理 6.7IC卡终端交易流程 446.8IC卡终端安全要求 7表具类IC卡终端技术要求 507.1表具类IC卡终端的定义和分类 507.2表具类IC卡终端的基本性能要求 7.3表具类IC卡终端的功能要求 7.5表具类IC卡终端交易流程 7.6安全认证流程 578密钥系统和安全技术要求 578.1密钥系统 578.2密钥管理的安全要求 578.3安全存取模块 8.4安全加密设备的安全要求 599安全机制及安全要求 599.1基本安全要求 9.2密钥和个人密码的存放 60Ⅱ9.3安全报文传送 60 64 6410.2发卡系统技术要求 65 66 67 6811.2专用IC卡产品验收要求 图1CPU卡的文件结构(详细) 8 图4非接触式逻辑加密卡与消费终端的交易流程 49图8非接触式逻辑加密卡消费交易安全认证流程 49 50图10非接触式逻辑加密卡充值交易安全认证流程 图11逻辑加密卡表具交易流程 图12CPU卡表具交易流程 图13表具类终端消费安全认证流程图 57 61 62 图19使用双长度DEA密钥的数据解密 图20IC卡应用系统总体架构 9 9 9 Ⅲ 表12消费类逻辑加密卡启用标志 表15消费类逻辑加密卡交易记录数据结构 表16消费类逻辑加密卡交易类型编码 表17消费类逻辑加密卡交易记录区数据定义 表18消费类逻辑加密卡公共信息区数据结构 表19消费类逻辑加密卡交易过程标志编码表 表20消费类逻辑加密卡公共信息区数据定义 表21表具类逻辑加密卡分区结构 表22消费类CPU用户卡文件详细信息 22表23消费类CPU用户卡MF的KEY文件内容 22表24消费类CPU用户卡MF的基本信息文件 表25消费类CPU用户卡ADF1的KEY文件内容 23表26消费类CPU用户卡ADF1的公共基本信息文件 24 24表29消费类CPU用户卡个人基本信息文件 24表30消费类CPU用户卡公共电子钱包 表31消费类CPU用户卡交易记录文件 表32表具类CPU用户卡文件详细信息 表33表具类CPU用户卡MF的KEY文件内容 26 26表35表具类CPU用户卡卡类别标识 27 27表37表具类CPU用户卡ADF的KEY文件内容 表38表具类CPU用户卡ADF的基本信息文件 27 表41表具类CPU用户卡返回信息文件 29 表44CPU卡命令集 31 表47CPU卡PULL命令响应报文数据域 32表50CPU卡CHARGE命令报文数据域 33表52CPU卡CHARGE命令错误状态 M 33 表57CPU卡INITIALIZEFORCHARGE/PULL命令消费响应报文数据域 34 表59CPU卡GETSPECIAL_TRANPROOF命令报文 表61CPU卡INIT_SAM_FOR_PURCHASE命令报文 表62CPU卡CREDIT_SAM_FO 37 39表65CPU卡DESCRYPT命令引用控制参数 40表67逻辑加密卡扇区密钥计算命令响应报文状态码 表68IC卡终端交易上传数据格式要求 43V本标准与CJ/T166—20021.补充完善表具类IC卡终端的技术要求；2.补充完善IC卡的安全机制和安全要求；3.补充完善IC卡应用系统要求；4.补充完善IC卡应用系统验收要求；5.修订了卡片技术要求；6.修订了消费类及服务类IC卡终端技术要求。本标准适用于使用建设行业发行或接受的IC卡及其产品的相关组织。其使用对象主要是与建设GB/T2828.1—2003计数抽样检验程序第1部分；按接收质量限(AQL)检索的逐批检验抽样GB/T14916识别卡物理特性GB/T16649.1识别卡带触点的集成电路卡第1部分：物理特性GB/T16649.2识别卡带触点的集成电路卡第2部分：触点的尺寸与位置GB/T16649.3识别卡带触点的集成电路卡第3部分：电信号和传输协议GB/T16649.4识别卡带触点的集成电路卡第4部分：用于交换的行业间命令GB/T16649.5识别卡带触点的集成电路卡应用标识符的编号系统和登记规程GB/T17554.1识别卡测试方法第1部分：通用性能测试GB/T18239—2000集成电路(IC)卡读写机GB/T18336.1-2001<信息技术安全技术信息技术安全性评估准则第1部分：简介和一般GB/T18336.2—2001信息技术安全技术信息技术安全性评估准则第2部分：安全功能GB/T18336.3—2001信息技术安全技术信息技术安全性评估准则第3部分：安全保证ISO/IEC7811-1:1995识别卡记录技术第一部分：凸印文字ISO/IEC7811-3:1995识别卡记录技术第三部分：凸印在ID-1型卡字符位置ISO/IEC7812-1:2000识别卡发行者标识第1部分：编号系统ISO/IEC14443-1:2000识别卡无触点集成电路卡接近式卡第1部分：物理特性2ISO/IEC14443-2:2001识别卡无触点集成电路卡接近式卡第2部分：射频功率和信号接口ISO/IEC14443-3:2001识别卡无触点集成电路卡接近式卡第3部分：初始化和防冲突ISO/IEC14443-4:2001识别卡无触点集成电路卡接近式卡第4部分：传输协议345P1参数1(Parameter1)P2参数2(Parameter2)6SW2状态字2(StatusWordTwo)5.1接触式IC卡7CPU卡的文件结构应符合GB/T16649.4中的要求。应用数据文件(ADF)。一个ADF是一个或多个应用基本文件(AEF)的入口点。一个ADF及其相关ADF的树形结构(见图1):a)包含一个FCI的专用文件(DF)(GB/T16649.4中定义)被映像为ADF,可通过它来访问EFb)包含一组记录中的基本文件(EF)(GB/T16649.4中定义)被映像为AEF,EF不能作为进入IC卡支持用于MF下各应用列表的目录结构。目录结构必备的文件是目录文件(DIR文件)和一DIR文件是一个AEF,即一个记录结构的EF,它包含GB/T16649.5中定义的数据对象：b)SFI用于选择AEF。对给定应用中的任何AEF,可通过SFI(5位代码，取值范围从1～30)查8说明：2)文件名称：1PAY.SYS.DDF01;3)正确选择MF后，卡片返回相应的FCI。FCI参照JR/T0025—2005的相关内容。2)目录基本文件是一个变长记录型文件，用1到10的SFI标识。该目录基本文件附属于DDF,目录的SFI包含在DDF文件控制信息中。目录可使用ReadRecord命令进行读3)本例中目录文件的SFI=01;4)本例中目录基本文件有一条记录：701361114F09A00000000386980701500450c)电子钱包应用3)正确选择此ADF后，卡片返回相应的FCI如下：000619980817000000301998081519981d)电子存折/电子钱包应用的基本数据文件9文件主体空间需要安全信息(写二进制时应使用DAMK进行线路保护，如连续三次执行此命令失败，IC卡回送“9303',即应用永久锁定)891442文件主体空间需要安全信息(写二进制时应使用DAMK进行线路保护，如连续三次执行此命令失败，IC卡回送‘9303',即应用永久锁定)1121持卡人姓名1*0018”*2E'(循环文件)*0B'(该循环文件应能够容纳至少十条消费、取现、圈存、圈提交易记录)*17’‘F1(应先验证口令)‘EF'(交易明细由IC卡维护，不允许外部对其修改)表3(续)电子存折/电子钱包联机或脱机交易序号234164交易时间3应用文件结构见表4。块0123456789ABCDEF0目录区惟一号(CSN)备用目录区(用于4KB卡)KeyA0(读)KeyB0(写)1发行区应用启用启用日期保留充值时间KeyAl(读)KeyB1(写)2公共钱包区保留KeyA2(读/减)KeyB2(加/写)3钱包交易交易时间日/时/分/秒交易记录1交易交易交易KeyA3(读/写)KeyB3(读/写)表4(续)块01456789ABCDEF4钱包交易交易时间日/时/分/秒交易交易交易KeyA4(读/写)KeyB4(读/写)5钱包交易交易时间日/时/分/秒交易交易交易KeyA5(读/写)KeyB5(读/写)6公共信息区钱包累计交易交易月票累计交易次数黑名志校验块03456789ABCDEF0日录区0惟一号(CSN)123KeyA0(读)KeyB0(写)目录区发行区交易记录区公共信息区公共钱包区未使用扇区公用钱包0扇区1扇区2扇区6扇区目录区文件的KeyB由安全模块计算。1发行区1应用启用启用日期保留充值时间KeyA1(读)KeyB1(写)卡的认证码由卡的惟一号(CSN)、发卡城市代码和发行流水号与内部的Key,经过加密运算得到，2244城市代码应用城市代码按城市邮政编码的前4位确定。13出租汽车46园林892)卡的类别由用户定义122234445启用标志16卡类别1718194年、月、日4年、月、日启用日期4年、月、日4)启用标志表12消费类逻辑加密卡启用标志未启用启用停用5)充值记录充值记录的数据结构见表13。表13消费类逻辑加密卡充值记录数据结构长度(byte)内容4年、月、日发行区4发行区2发行区2发行区4446)访问条件发行区的KeyA=(CSN+CSN)前6字节。发行区文件的KeyB由安全模块计算。1)电子钱包卡机构写入扇区0的指定应用目录块内。钱包分别存储在同一扇区的第1块和第2块内。卡在每次充值或交易时，钱包备份用于钱包的数2)钱包文件数据结构钱包文件数据结构见表14。N公共钱包区保留KeyAN(读/减)KeyBN(加/写)说明：图中阴影部分为原文取反。3)访问条件认证钱包文件的KeyA可以对钱包实现读和减的操作，钱包和钱包备份可以传输和块0存放累计充值额，0块与钱包不可以传输和恢复。1)交易记录的数据结构交易记录的数据结构见表15。表15消费类逻辑加密卡交易记录数据结构N钱包交易交易时间日/时/分/秒交易KeyAN(读/写)KeyBN(读/写)钱包交易交易时间日/时/分/秒交易KeyAN+1(读/写)KeyBN+1(读/写)钱包交易交易时间日/时/分/秒KeyAN+2(读/写)KeyBN+2(读/写)2)交易时间4)交易金额记录当次交易的金额5)交易类型记录当次交易的交易类型。其表示方法见表1表16消费类逻辑加密卡交易类型编码出租汽车园林圈存到公交月票锁卡交易交易时间443交易类型147)访问条件认证交易记录文件的KeyA和KeyB都可以对交易记录文件实现读1)公共信息区的数据结构公共信息区的数据结构见表18。表18消费类逻辑加密卡公共信息区数据结构N公共信息区交易钱包累计交易次数交易月票累计交易公共信息区交易钱包累计交易次数交易月票累计交易用户区KeyAN(读/写)KeyBN(读/写)2)交易记录指针3)钱包累计交易次数4)交易过程标志表19消费类逻辑加密卡交易过程标志编码表5)黑名单标志用于在某次交易时发现该卡为黑名单卡时做的标记，交易时只要6)文件标识121表20(续)2黑名单标志11当次交易对应的钱包文件的标识保留717)访问条件认证公共信息区文件的KeyA和KeyB可以对公共信息区实现读和写的操作。公共信息区841应用索引2应用分区首址(A0)2校验和1保留应用分区1(首址A0)通用信息区44营业网点编号22写卡时间43年、月、日校验和保留4信息区3分(或m³或kWh)24分(或m³或kWh)2分(或m²或kWh)2分(或m³或kWh)分(或m³或kWh)表21(续)应用分区1(首址A0)信息区1阶梯限量12m³(kWh)/月或月阶梯限量2或交费时间2m³(kWh)/月阶梯限量3或月起算时间2m³(kWh)/月3分/m³或kWh3分/m³或kWh3分/m³或kWh3分/m²或kWh1密文密钥141保留4返回信息区4m³或kWh14m²或kWh3分/m²或kWh145231本分区结构将存储器分成公共信息分区和若干应用信息分区，公共信息分区a)公共信息分区应用分区首地址(A0):应用信息分区0的第1个字节在存储器中的绝对地址。校验和：从分区第1个字节到校验和前1个字节的异或结果。1)通用信息区2)设置信息区输入·密文密钥N(N=1,2,3):加密后的密钥N和报文认证码，密钥N长16字节，报文认证码长8程序版本号、厂商代码等。这些数据项通常由终端写入、应用管理系统读取。其定义·最近12个月用量：返写数据时前12个整月的月用量。每月用量2字节。KEY文件KEY文件目录文件安全信息目录数据文件需认证目录文件安全信息安全信息MF主控文件内容文件内容表23消费类CPU用户卡MF的KEY文件内容基本信息文件见表24。表24消费类CPU用户卡MF的基本信息文件文件标识(SFI)二进制文件大小文件存取控制读=自由写=需要安全信息长度(Byte)684自定义2a)KEY文件内容KEY文件内容见表25。表25消费类CPU用户卡ADF1的KEY文件内容消费子密钥组14充值子密钥组1b)公共基本信息文件表26消费类CPU用户卡ADF1的公共基本信息文件文件标识(SFI)二进制文件大小文件存取控制读=自由写=需要安全信息长度(Byte)89启用标志11表26(续)长度(Byte)启动日期442说明：应用序列号按下列顺序排列：国家标识(1字节)+建设部标识(1字节)+城市代码(2表27消费类CPU用户卡卡类别标识长度(Byte)1卡类别编码见表28。表28消费类CPU用户卡卡类别编码自定义启用标志的定义见表12。c)个人基本信息文件个人基本信息文件见表29。表29消费类CPU用户卡个人基本信息文件文件标识(SFI)二进制读一自由写一需要安全信息长度(Byte)1121持卡人姓名1d)公共电子钱包公共电子钱包见表30。表30消费类CPU用户卡公共电子钱包长度(Byte)4消费交易序号(次数)2充值交易序号(次数)2e)交易记录文件交易记录文件见表31。文件标识(SFI)文件存取控制读一自由长度(字节)6应用代码(2)+序号(4)交易日期时间74142说明：交易时间记录当次交易的时、分、秒，表示方法应符合GB/T7408—1994规定。5.5.2.2表具类CPU卡应用文件结构表具类CPU卡文件结构见图3。公共信息文件(0015)公共信息文件(0015)—KEY(0000)设置文件(0011) 基本信息文件(0015)文件详细信息见表32。目录文件需安全信息目录数据文件需安全信息目录文件需安全信息需安全信息需安全信息需安全信息需安全信息ADF2…b)MF主控文件内容KEY文件内容见表33。2)公共信息文件公共信息文件见表34。表34表具类CPU用户卡MF的公共信息文件二进制文件大小文件存取控制读=自由写=需要安全信息844应用索引2校验和保留5长度(Byte)1表36表具类CPU用户卡卡类别编码自定义ADF1-ADFx:目录名或短文件标识符。表具类终端的应用文件，一个表具类终端分配一个应用KEY文件内容见表37。表37表具类CPU用户卡ADF的KEY文件内容消费密钥充值密钥内部认证密钥消费密钥、充值密钥及TAC密钥用于使用电子钱包作为计量文件的消费、充值过程的认证。2)基本信息文件基本信息文件见表38。表38表具类CPU用户卡ADF的基本信息文件文件标识(SFD)二进制文件大小文件存取控制读=自由写=需要安全信息表38(续)长度(Byte)4管理系统版本号42营业网点编号24写卡时间34校验和1保留4计量文件结构见表39.字段名长度(Byte)4计量文件使用电子钱包文件。购买量是指用户购买的水、燃气或热量的量值，4)设置信息文件文件标识(SFI)二进制文件大小文件存取控制写=需要安全信息326142221阶梯限量1或结算周期2阶梯限量2或交费时间2表40(续)阶梯限量3或月起算时间233331密文密钥14校验和保留5设置信息文件存储应用管理系统对表具类终端的设置数据，如本次购买量5)返回信息文件返回信息文件结构见表41。文件标识(SFI)二进制文件大小文件存取控制读=自由写=需要安全信息451431423校验和1保留5返回信息区存储表具类终端向卡上返写的数据，如累计充值量、充值次数、累计命令的APDU的内容及格式见表42,响应的APDU的内容及格式见表43。表42CPU卡命令APDU的内容及格式长度(Byte)11命令参数111命令发送的数据位串(=Lc)响应数据域中期望的最大数据字节数表43CPU卡响应APDU的内容及格式长度(Byte)响应中接受的数据位串(=Le)11命令集见表44。1234内部认证56789卡片锁定表44(续)初始化交易圈存RELOAD/CHANGEPIN重装/修改个人密码注：本表中第1条～第21条命令的解释参照JR/T0025—2005。5.6.3.1范围值长度(Byte)4交易日期(终端)4交易时间(终端)34表47CPU卡PULL命令响应报文数据域长度(Byte)44注：关于TAC、MAC1、MAC2计算的说明参见JR/T0IC卡可能回送的错误状态码见表48表48CPU卡PULL命令错误状态内存失败命令不接受(无效状态)参数P1P2不正确INS不支持或错误值长度(Byte)交易日期4交易时间34注：关于TAC、MAC1、MAC2计算的说明参见JR/T0长度(Byte)4IC卡可能回送的错误状态码见表52。内存失败命令不接受(无效状态)INS不支持或错误5.6.5INITIALIZEFORCHARGE命令报文见表53和表54。值值表54(续)值命令报文数据域见表55。长度(Byte)146长度(Byte)4IC卡充值交易序号21144注：关于TAC、MAC1、MAC2计算的说明参见JR/T0025—2005。长度(Byte)4IC卡消费交易序号2114IC卡可能回送的错误状态码见表58。内存错误表58(续)值当前的充值/消费交易序号内存错误所需TAC/MAC2不可用5.7.1MAC1计算(INIT_SAM_FOR_PURCHA到MAC1。PSAM卡产生脱机交易流程中MAC的过程如下所示：INIT_SAM_FOR_PURCHASE命令报文见表61。 —-4字节的MAC15.7.2校验MAC2(CREDIT_SAM_FOR_PURCHASE)5.7.2.1-定义和范围CREDIT_SAM_FOR_PURCHASE命令利用INIT_SAM_FOR_PURCHASE命令产生的过程密钥SESPKP校验MAC2,过程如下所示：CREDIT_SAM_FOR_PURCHASE命令应在INIT_SAM_FOR_PURCHASE命令成功执行若MAC2尝试计数器为0的话，消费密钥所在的应用下的MAC2错误计数器在应用下所有消费密钥MAC2校验错误的情况下都要被减1。CREDIT_SAM_FOR_PURCHASE命令报文见表62。表62CPU卡CREDIT_SAM_FOR_PURCHASE命令报文值命令报文数据域包括4字节的MAC2。5.8.1通用DEA计算初始化(INIT_FOR_DEACRYPT)INIT_FOR_DEACRYPT命令用来初始化通用密钥计算过程。SAM卡将利用卡中指定的密钥——维护密钥——MAC认证密钥—-PIN解锁密钥—一加密密钥利用该命令产生充值过程的过程密钥。过程密钥的计算INIT_FOR_DEACRYPT命令报文见表63。值无命令报文数据域包括待处理的输入数据。数据长度为8的整数倍，长度也可以为0。密钥类型取密钥用途的低5位，密钥分散级数取密钥用途的高3位。5.8.2通用DES计算(DESCRYPT)DESCRYPT命令利用INIT_FOR_DESCRYPT命令执行成功后所产生的临时密钥或过程密钥持长度为8的整数倍数据的MAC计算。DESCRYPT命令应在INIT_FOR_DESCRYPT命令成功执行后才能进行。卡片状态在执行无DESCRYPT命令报文见表64。值表65CPU卡DESCRYPT命令引用控制参数0XXX初始值(仅对MAC计算有效)P1值计算模式如下：——1,最后一块MAC计算或无初始值的MAC计算；——2,有后续块加密——5,惟一一块MAC计算；--7,第一块MAC计算；命令报文数据域包括要加密的数据。加密数据的长度为8的整数倍。在P1的b3位为1时，待处理数据的前8个字节为MAC计算的初始值。在P1的bl位为1,且P1的b2位为0时，响应报文数据域包括4字节的MAC。该命令利用SAM卡验证逻辑加密卡的MAC有效性，并根据MAC计算出各扇区的密钥。值≠‘00”扩展方式，P1为逻辑加密卡认证密钥的标识KID(逻辑加密卡专有密钥的标识)注：若P1=‘00’,按标准方式进行认证及扇区密钥的计算，此方式下，P1应等于‘00’——扇区标识1(1字节);--扇区标识2(1字节);——扇区1的密钥值(6字节);——扇区2的密钥值(6字节);使用条件不满足(应用临时被锁定)功能不支持(文件不可建立在MF或DF)表67(续)意义对于任何类型的IC卡终端一般都应配置以下部件：显示部件、读写部件、至少2个安全存取模块6.1.2.1典型交易时间非接触CPU卡消费类终端的典型交易时间不大于300ms。服务类IC卡终端的交易时间不作规定。a)接触式IC卡终端的物理特性应符合GB/T16649.1和GB/T16649.2的要求；b)接触式IC卡终端的逻辑接口和通讯协议应符合GB/T16649.3的要求；c)非接触IC卡终端的逻辑接口和通信协议应符合ISO/IEC14443-3:2001、ISO/IEC14443-4:b)共享数据应保证所有的应用可以共享终端中的通用数据，各应用的专用数6.4.1消费类IC卡终端消费类IC卡终端的消费交易允许持卡人使用电子钱包的余额获取服务。此交易在消费类IC卡终消费类IC卡终端在IC卡以及PSAM之间建立通信链路，消费类IC卡终端的安全认证由IC卡和终端只是在IC卡和PSAM之间传输安全信息，不参与密钥运本标准仅对IC卡充值设备提出要求。IC卡充值交易无论在充值设备联机或脱机进行交易时，充值设备应首先对IC卡的合法性予以验b)在更新参数或下载应用程序后要校验下此模块主要负责保存和处理所有的敏感数据，这些数据包括各种密钥和内部IC卡终端需要上传的交易记录至少包括如下46字节数据，其格式见表68。表68IC卡终端交易上传数据格式要求(逻辑加密卡)数据项(CPU卡)14223445461722844933交易日期44交易时间3交易时间3交易类型1166保留2244停止操作(如发生断电),IC卡终端应能监测到卡被拔出又重新插入或重新进入感应区或检测到IC卡在以上情况下，IC卡终端应进入这样一种状态：即持卡人应将原来的IC卡重新插入或进入感应持卡人重新插入IC卡或将卡放入感应区。黑名单检查操作在IC卡合法性检查过程中进行。卡片开始操作后，向IC卡终端回送包括应用序否是是否是否否是图4(续)g)写卡内交易记录：记载钱包消费交易前的原额、本次交易额等信息；全模块，计算TACm)存储消费交易记录：完成本次交易。上述交易过程中，如尚未开始钱包正本交易金额扣减操作，消费终端应终止交易；如钱包正本交易金额扣减(第h步)成功，则不论后续几步卡操作是否成功，均应计算TAC和存储消费交易记录；如钱包正本交易金额扣减操作已经开始但无成功回应，则应要求持卡人重新刷卡的相应提示或存储相关交易记录供后台处理。6.7.2CPU卡与消费终端的交易流程6.7.2.1CPU卡与消费终端的交易流程图CPU卡与消费终端的交易流程图，见图5。否是是否否是否是图5CPU卡与消费终端的交易流程图否是PSAM计算MACl生成TAC和MAC2PSAM验证MAC2结束图5(续)6.7.2.2CPU卡与消费终端的交易流程图说明f)PSAM生成过程密钥并计算MAC1;h)生成TAC和MAC2,IC卡用过程密钥SK验证将MAC2和TAC码回送给图6CPU卡消费的详细交易流程图的重要条件。a)开发终端程序的软件包应严格控制；c)完成安全报文传送和密钥算法。c)终端与PIN的输入设备密码键盘；如果需要持卡人输入密码，那么应从密码键盘得到密码的消费交易安全认证流程见图7。发出MAC2IC卡CPU卡充值交易安全认证流程见图9。终端选择ISAM终端选择ISAM应用验证MAC1计算验证MAC1计算MAC2终端IC卡终端发出发出TAC典型交易时间是指IC卡表具类终端在使用状态下，从IC卡表具类终端感知到IC卡进入IC卡接非接触式逻辑加密卡表具类终端的典型交易时间不大于1000ms。非接触式CPU卡表具类终端的典型交易时间不大于1500ms。接触式逻辑加密卡表具类终端的典型交易时间不接触式CPU卡表具类终端的典型交易时间不大于1050ms。表具类IC卡终端的电源应保证IC卡的读写正确和运行正常。7.2.3.3表具类IC卡终端的计量特性和寿命要求7.2.3.4表具类IC卡终端安全要求表具类IC卡终端使用的用户卡应是逻辑加密卡或CPU卡，建表具类IC卡终端的使用方使用的密码(密钥)系统应与制造方使用的密码(密钥)系统相互不一致，表具类IC卡终端与载有付费信息的IC卡之间应有对应的关系，各发卡系统之间发行的载有付费信息的IC卡应互不通用。逻辑加密卡表具应安装ESAM模块，用于完成对IC卡进行安全认证、数据存取和线路加密等支持多应用的逻辑加密卡中各应用中的敏感数据应以密文形式存储，各应用表具类IC卡终端应能安全获取作为用户预存金额或付费信息载体的IC卡中的付费数据，并按发表具类IC卡终端应能从载有付费信息的IC卡中获取各种必要的运行参数、计量消费规则及控制表具类IC卡终端应至少能显示电池状态、阀门开关状态和影响设备完成基本功能的外部影响的表具类IC卡终端应能显示用户操作错误类型、IC卡与设备之间数据交换错误类型及设备自检发电池容量下降到接近下限值时或电源电压下降到接近不足以维持设备可靠工作的下限值时，表电池容量下降到下限值时或电源电压下降到维持设备可靠工作的下限值时，表具类IC卡终端应a)在更新参数或下载应用程序前能b)在更新参数或下载应用程序后要校验下载数据或程序的完敏感数据一般应存放在终端ESAM模块中。ESAM模块主要负责保存和处理所有的敏感数据，这些数据包括各如果表具类IC卡终端在处理IC卡交易时，卡被突然拔出或离开感应区或由于IC卡终端方面的原因突然停止操作(如发生断电),IC卡终端应能监测到卡被拔出又重新插入或重新进入感应区或检测到在以上情况下，IC卡终端应进入这样一种状态：即持卡人应将原来的IC卡重新插入或进入感应持卡人重新插入IC卡或将卡放人感应区。7.5表具类IC卡终端交易流程逻辑加密卡表具交易流程见图11。b)使用逻辑加密卡的表具除了卡片本身的密码体系验证外，各应用分区应有4~8字节的安全校验码，要求由表具从卡片分区及表终端档案区中至少各取2个变量参数并添加成8字节数据送ESAM模块使用安全认证密钥加密后导出校验码(可截取一部分),卡安全校验码亦由管理否否是否是送ESAM做数据加密否是送ESAM做数据加密提示错误11比对结果是否正确是清除卡片预购量增加终端剩余量做交易记录终端统计数据回写到卡片提示错误否2图11(续)CPU卡表具交易流程见图12。否是否是是否是错错否图12CPU卡表具交易流程表具类终端消费安全认证流程见图13。终端发出消费密钥索引发出消费密钥索引发出随机数、用户卡交易序号、消费初始化发出MAC1、终端脱机交易序号发出MAC1、终端脱机交易序号发出MAC发出MAC2发出校验结果MAC2校验发出校验结果参照6.8.5.2执行。IC卡应用的一卡多用和互联互通。中心级密钥管理系统将生成的密钥通过密钥母卡或硬件加密机的d)如果安全存取模块是由多个分离的部分组合而成，而处理的数据也应在这些部件之间传递，物理安全符合ISO13491-2:2000的安全要求，即加密机应该具有当侵害时自动销毁密钥的特性认证通过使用MAC来实现。数据的可靠性通过对数据域本规范中定义的安全报文传送格式符合GB/T16649.4的规定。当CLA字节的第二个半字节等MAC是使用命令的所有元素(包括命令头)产生的。一条命令的完整性，包括命令数据域中的数本规范中，MAC的长度规定为4个字节。在安全信息处理过程中用到的MAC过程密钥是按照9.3.4中描述的过程密钥的产生过程产生—-CLA,INS,P1,P2,Lc¹—-命令数据。是1～8个字节。第四步：如果最后的数据块长度是8字节的话，则在其后加上16进制数字‘80000000000000安全报文传送支持单长度的MACDEA密钥，则依照图14的方式使用MAC过程密钥来产生MAC(根图例I=输入DEA=数据加密算法(加密模式)0=输出KMA=MAC过程密钥A图14单长度DEA密钥的MAC算法图例图例