CJT 166-2014 建设事业集成电路（IC）卡应用技术条件

ICS35.240.60中华人民共和国城镇建设行业标准CJ/T166—2014建设事业集成电路(IC)卡应用技术条件中华人民共和国住房和城乡建设部发布 1 13术语和定义 66离线IC卡终端设备 9密钥系统及要求 12IC卡应用系统技术要求 14IC卡应用系统验收要求 附录A(资料性附录)卡片天线类型 附录B(规范性附录)离线式IC卡终端交易流程 附录C(规范性附录)安全计算 Ⅲ本标准代替CJ/T166—2006《建设事业集成电路(——增加并完善卡片类别(见5.1); 增加并完善开放平台CPU卡的有关要求(见5.6):——增加并完善PSAM卡物理参数的有关要求(见6.2.1.3);——增加并完善城市一卡通安全域安全要求(见11.7); 删除服务类ISAM卡的相关内容(见2006版6.4.2)。本标准代替了CJ/T166—2006。1建设事业集成电路(IC)卡应用技术条件GB/T16649.1识别卡带触点的集成电路卡第1部分：物理特性GB/T16649.5识别卡带触点的集成电路卡第5部分：应用标识符的国家编号体系和注册规程CJ/T304建设事业CPU卡操作系统技术要求ISO/IEC14443-1识别卡无触点集成电路卡接近式卡第1部分：物理特性(Identificationcards-Contactlessintegratedcircuitcards—Proximitycards—Part1:Physicalcharacteristics)ISO/IEC14443-2识别卡无触点集成电路卡接近式卡第2部分：射频功率和信号接口(I-dentificationcards—ContactlessintISO/IEC14443-3识别卡无触点集成电路卡接近式卡第3部分：初始化和防冲突(Identi-ISO/IEC14443-4识别卡无触点集成电路卡接近式卡第4部分：传输协议(Identificationcards—Contactlessintegratedcircuitcards—Proximitycards—Part4:Transmissionprotocol)ISO13491-2银行业务安全密码装置第2部分：磁条卡系统装置安全检验表(Banking—2集成电路卡/IC卡integratedcircuitcard内部封装一个或多个集成电路的卡。为完成交易而在交易点安装的设备，用于同IC3.33.53.63.73.83.9在指定应用的电子收费终端，对IC卡进行相应扣款写卡的过程。3.10可与IC卡进行数据交换的终端设备。3.113.123.13按照一定的数据格式产生的具有不同功能的数据文件。3一种为方便持卡人进行小额消费而设计的IC卡应用。一种为持卡人进行消费、取现等交易而设计的使用个人密码(PIN)保护的金融IC卡应用。当一方能向另一方提交出预先约定的密码时，递交一方的合法性才得以承认。非接触式IC卡contactlessICcard无触点的集成电路卡。接触式IC卡contactICcard带触点的集成电路卡。报文鉴别代码messageauthenticationcode为验证报文的完整性对交易数据及其相关参数进行运算产生的代码。黑名单lawlesslist一种具有微处理器芯片的IC卡。消费类终端purchasetypeterminalIC卡消费交易的设备。表具类终端gaugetypeterminal支持对预付费的水、燃气和热量给予正常供应的设备。服务类终端servicetypeterminal安全存取模块secureaccessmoduleIC卡类安全存取模块ICcardsecureaccessmodule以IC卡的模式封装的，一种能够提供必要的安全机制以防止外界对内部所储存或处理的安全数据1以带引脚的芯片模式封装的，一种能够提供必要的安全机制以防止外界对内部所储存或处理的安攻击attack由IC卡发行主管部门或应用主管机构发行的可以用于对IC卡进行脱机消费交易认证的安全认证由IC卡发行主管部门或应用主管机构发行的可以用于对IC卡进行脱机消费交易认证的嵌入式安内嵌了安全运算单元和安全存储模块的卡(或IC卡)。ADF应用数据文件(ApplicationDefinitionFile)AEF应用基本文件(ApplicationElementaryFile)AID应用标识符(ApplicationIdentifier)APDU应用协议数据单元(ApplicationProtocolDataUnit)APP应用(Application)CA电子商务认证中心(CertificateAuthority)5DAP数据认证模式(DataAuthenticationINS命令报文的指令字节(InstructionByteofCommandMessage)ISD发卡行安全域(IssuerSecuritJCAPIJava卡应用接口(JavaCardApplicationInterface)JCREJava卡运行环境(JavaCardRuntimeEnvironment)Lc终端发出的命令数据的实际长度(ExactLengthofDataSentMF主控文件(MasterFile)NFC-WINearFieldCommunicationWiredInterface近场通信有线接口OPEN卡片主控管理者(TheCentralon-cardAdministratorThatOwnstheGlobalPlatP1参数1(Parameter1)P2参数2(Parameter2)PIN个人密码(PersonalIdentificationNumber)PSAM消费安全存取模块(PurchaseSecureAccessModule)RAM随机访问内存(RandomAccessMemory)RSA非对称加密算法(Rivest/Shamir/Adlemanasymmetricalgorithm)SAM安全存取模块(SecureSCP02安全通道协议02(SecureChannelProtocol02)SCP10安全通道协议10(SecureChannelProtocol10)SE安全单元(SecureESHA1安全摘要算法1(SecureHashAlgorithm1)SM1安全消息算法1(SecureMessage1)SM2安全消息算法2(SecureMessage2)6T=0面向字符的异步半双工传输协议TAC交易验证码(TransactionAuthorizationCryptogram)TSM可信任服务管理平台(TrustedServiceManager),也称多应用开放平台USB通用串行总线(UniversalSerialBus)注：非开放平台CPU卡是指基于Native平台的CPU卡.开放平台是指基于符合GP规范的CPU卡。卡片按照天线尺寸可划分为：类型1卡、类型2卡、类型3卡、类型4卡、类型5卡和类型6卡。不同类型卡片天线的尺寸参见附录A。5.2接触式IC卡接触式IC卡应符合GB/T16649.1中有关物理特性的要求。5.2.2接触式IC卡触点的尺寸和位置接触式IC卡的每个触点的尺寸、数量和位置、分配以及表面接触电阻等应符合GB/T16649.2的非接触式IC卡物理特性应符合ISO)/IEC14443-1中有关物理特性的要求。非接触式IC卡的射频功率和信号接口应符合ISO/IEC14443-2中的要求。非接触式IC卡的初始化和防冲突应符合ISO/IEC14443-3中有关初始化、防冲突等要求。非接触式IC卡应符合ISO/IEC14443-4中有关激活协议和半双工块传输协议等要求。75.4双界面IC卡双界面IC卡是卡中的芯片同时具有符合GB/T16649接触式接口和符合ISO/IEC14443非接触式接口的IC卡。接触式界面应符合5.2中对接触式IC卡的相关要求。非接触式界面应符合5.3中对非接触式IC卡的相关要求。5.5非开放平台CPU卡数据元和文件结构卡中的每一个应用都包括一系列信息项，在终端成功的完成应用选择后可对该项选择的应用信息卡文件结构应符合GB/T16649.4中的要求。数据文件(ADF)。一个ADF是一个或多个应用基本文件(AEF)的入口点。一个ADF及其相关数据ADF的树形结构应符合下列要求：a)能够将数据文件与应用联系起来；c)可通过应用选择实现对其逻辑结构的访问。a)包含一个FCI的专用文件(DF)(GB/T16649.4中定义)被映像为ADF,可通过它来访问EF8和DF。在卡中处于最高层的DF称为主控文件(MF)。b)包含一组记录中的基本文件(EF)(GB/T16649.4中定义)被映像为AEF,EF不能作为进入另IC卡支持用于MF下各应用列表的目录结构。目录结构必备的文件是目录文件(DIR文件)和一DIR文件是一个AEF,即一个记录结构的EF,它包含GB/T16649.5中定义的数据对象：的目录SFI数据对象指定。a)卡中的任何ADF或DDF可通过其DF名查询，ADF的DF名对应其AID,每个DF名在给定的卡中应是唯一的；b)SFI用于选择AEF。对给定应用中的任何AEF,可通过SFI(5位代码，取值范围从1～30)查MF(3F00)MF(3F00)密钥文件(0000)目录基本文件(0001)应用1(ADF1)93)正确选择MF后，卡片返回相应的FCI。FCI参照JR/T0025的相关内容。1)目录基本文件是一个变长记录型文件，用1到10的SFI标识。该目录基本文件附属于DDF,目录的SFI包含在DDF文件控制信息中。目录可使用ReadRecord命令进行读2)目录文件的SFI=01。c)应用1—x:正确选择ADF后，卡片返回相应的FCI。5.6开放平台CPU卡开放平台CPU卡结构应符合GlobalPlatform2.2的规定，见图2。APPAPP卡通行APPAPPAPP主安全域多应用框架APIJCAPIJCRE互联互通应用辅助安全域图2开放平台CPU卡结构城市一卡通安全域是开放平台CPU卡的一部分，为城市一卡通应用以及该安全域相关联的其他CA证书其他应用a)城市一卡通安全域在SE出厂前预置，其空间大小采用静态分配方式。存储器类型为EEPRO)M时，城市一卡通安全域的存储容量不应小于50KB;存储器类型为FLASH及其他类型时，存储容量不应小于200KB。运行安全域内应用时RA空间的30%;5.6.2.2CA证书安全认证识别码的编码规则应符合CJ/T304的规定。非接触应用管理目录用于管理开放平台CPU卡上城市一卡通安全域应用目录列表，提供安全域密钥文件(0000)公共电子存折(0001)公共电子钱包(0002)异地交易明细记录文件(0010)公共应用基本文件(0015)持卡人基本信息文件(0016)互通复合记录文件(0017)本地交易明细记录文件(0018)本地复合交易文件(0019)充值交易明细文件(001A)文件名称文件类型文件标识符读权写权MF主控文件日录文件满足一定条件建立密钥文件密钥文件自定义满足一定条件建立目录基本文件变长记录文件需认证发卡基本信息文件二进制文件安全信息持卡人基本信息文件二进制文件安全信息公用钱包应用文件日录文件满足一定条件建立密钥文件密钥文件自定义满足一定条件建立公共电子存折专用存折文件专用指令公共电子钱包专用钱包文件专用指令异地交易明细记录文件循环文件公用基本信息文件二进制文件安全信息个人基本信息文件二进制文件安全信息互通复合交易文件变长记录文件安全信息本地交易明细记录文件循环文件本地复合交易文件变长记录文件安全信息充值交易明细文件循环文件5.7.1.3MF主控文件内容消费类CPU用户卡MF的KEY文件内容，见表2。表2消费类CPU用户卡MF的KEY密钥名称密钥代码密钥标识密钥分散级别密钥作用卡片主控子密钥DACK1控制MF下文件添加和删除卡片维护子密钥DAMK1MF下有关信息文件的更新保护目录基本文件有一条记录：701361114F09A00000000386980701500450424F43,各部表3目录信息文件文件标识(SFI)文件类型变长记录文件文件大小文件存取控制读=自由改写=DCMK线路保护标志长度值Var结构数据对象标签Var应用模板0x05～0x10DDF名称0x01～0x10应用标签表4发卡基本信息文件文件标识(SFI)文件类型二进制文件文件大小001EH文件存取控制字节数据元长度格式发卡方代码2BCD城市代码2HEX算法支持1BCD行业代码1BCD占位符2HEX应用序列号8HEX卡类型2HEX发行日期(YYYYMMDD)4BCI发行设备信息6HEX应用版本号2HEX行业代码应采用住房和城乡建设部定义的行业代码标识，见表5。序号发卡行业代码1城市通用2公交及快速轨道3出租汽车4地铁5轻轨6轮渡7园林景点8路桥9旅游大巴停车场1文化娱乐环卫系统商业批发零售餐饮旅馆服务邮电通讯金融保险教育系统厂矿企业石油化工预付费表具自来水煤气天然气供热供电工商税务体育健身自行车租赁2行政机关表6用户卡卡片算法支持卡片算法支持说明只支持DES、3DES算法只支持SM1算法除消费子密钥1-5、TAC子密钥与应用锁定子密钥为DES算法，余下都为SM1算法表7卡类型对应关系主卡类型子卡类型对应原卡类型普通卡：00标准卡：0000000001异形卡：09测试卡：99记名卡：01标准卡：0000020003异形卡：09优惠卡：02标准卡：00一异形卡：09测试卡：99ADF1-ADFx:目录名或短文件标识符。5.7.1.4ADF1公用钱包专用文件内容公用钱包应用目录(1001)下文件信息，见表8。表8公用钱包应用目录(1001)下文件信息文件名称文件标识符文件大小ADF01目录数据文件KEY文件(ADF1公用钱包专用文件)电子钱包文件0002×0008H公共应用基本信息文件个人基本信息文件复合交易记录文件电子钱包本地交易明细记录文件0A×17H电子钱包异地交易明细文件0A×17H电子钱包充值交易明细文件0A×17Hb)正确选择此ADF后，卡片返回相应的FCI如下：密钥名称密钥代码密钥标识密钥分散级别密钥作用应用主控子密钥DACK控制应用区内结构添加和删除应用维护子密钥DAMK1应用区内有关信息文件的更新保护复合消费维护密钥DCPK复合消费文件维护PIN解锁密钥DPUK2解锁PINPIN重装密钥DRPK2重装PIN消费子密钥DPK01～0A2共10组密钥圈存子密钥DLK01～021共2组密钥TAC子密钥DTK2消费交易验证5.7.1.4.4公共电子钱包文件(0002)文件标识符文件长度0002×0008H文件结构钱包文件读余额写控禁止圈存PIN8.DLK消费DPK文件标识(SFI)文件类型二进制文件文件大小文件存取控制字节数据元长度格式发卡方代码2BCD城市代码2HEX算法支持BCD行业代码1BCD占位符(0000)2HEX应用类型标识(启用标志)1BCD应用版本1BCD互通标识2HEX应用序列号8HEX应用启动日期(YYYYMMDD)4BCD应用有效日期(YYYYMMDD)4BCD预留2HEX注1:互通标识为本城市的城市代码：注2:应用类型标识(启用标志)00为未启用，非00为启用；预留部分不允许占用。表12个人基本信息文件文件标识符0016文件长度0040H(64)文件结构二进制文件读控PIN认证写控字节数据元长度格式说明01-01持卡人类型标识1BCD02-02持卡人职工标识1BCD03-22持卡人姓名ASC23-54持卡人证件号码ASC55-55持卡人证件类型1BCD空间预留9字节表13持卡人类型标识标识定义说明普通乘客公交职工发卡方职工…表14持卡人证件类型标识定义说明居民身份证学生证护照军官证士兵证武装警察身份证港澳台通行证台胞证驾驶证暂住证一船员证/船民证表15复合交易文件文件标识(SFI)文件类型变长记录文件文件大小00A0H文件存取控制改写=在交易情况下记录标识字节数据元长度格式公交应用复合交易(本地应用)BCD轻轨应用复合交易(本地应用)BCD03～08预留BCD全国互通应用复合交易(异地应用)定义见表18BCD17文件09记录数据源定义，见表16。表1617文件09记录数据源定义记录标识字节数据元长度格式复合消费标志(09)1BCD复合消费数据长度(2E)1HEX复合消费锁定标志1BCD复合消费记录版本号1HEX交易类型(0x00标识已完成)HEX终端机编号(城市代码)6BCD金额(用于补扣，增加补扣流程)4HEX交易日期4YYYYMMDD交易时间3HHMMSS自定义数据注1:复合消费标志为09;注2:复合消费锁定标志00表示允许，非00表示禁止。表17本地消费交易明细文件文件标识(SFI)文件类型循环记录文件记录长度文件存取控制字节数据元长度格式电子钱包消费2HEX预留3HEX交易金额4HEX交易类型1BCD交易终端编号6HEX交易日期(YYYYMMDD)4BCD交易时间(HHMMSS)3BCD20文件标识(SFI)文件类型循环记录文件记录长度文件存取控制改写=C(S内部操作字节数据元长度格式电子钱包消费序号2HEX预留3HEX交易金额4HEX交易类型1BCD交易终端编号6HEX交易日期(YYYYMMDD)4BCD交易时间(HHMMSS)3BCD文件标识(SFI)文件类型循环记录文件记录长度文件存取控制字节数据元长度格式电子钱包充值交易序号2HEX预留3HEX交易金额4HEX交易类型1BCD交易终端编号6HEX交易日期(YYYYMMDD)4BCD交易时间(HHMMSS)3BCD用户卡各交易明细记录文件中交易类型，见表20。表20交易类型交易类型说明DES算法下的圈存DES算法下的消费DES算法下的复合应用SM1算法下的圈存SM1算法下的消费SM1算法下的复合应用用户卡应支持的密钥版本、算法标识和密钥索引分别见表21、表22和表23。密钥版本算法名称来源支持DES/3DES建设事业IC卡密钥管理系统城市一卡通密钥管理系统算法标识算法名称支持DES/3DES支持SM1表23密钥索引密钥索引算法名称支持DES/3DES80～85支持SM15.7.2表具类CPU卡应文件结构表24。22文件名称文件类型文件标识符读权写权MF主控文件日录文件满足一定条件建立KEY密钥文件自定义满足一定条件建立公共信息文件进制文件需安全信息日录数据文件变长记录文件需安全信息ADF1应用文件目录文件满足一定条件建立计量文件钱包文件需安全信息设置信息文件二进制文件需安全信息需安全信息返回信息文件二进制文件需安全信息基本信息文件二进制文件需安全信息表25MF主控文件内容密钥文件主控密钥维护密钥表26MF公共信息文件文件标识(SFI)文件类型二进制文件大小文件存取控制读=自由写=需要安全信息字节数据元长度(Byte)用户代码89～13地址代码4卡类别码4应用索引220～20校验和121～25保留5表27卡类别标识名称长度(Byte)内容数据格式卡类别码1卡片类别号码HEX卡型代码用户卡检测卡其他自定义目录数据文件ADF1-ADFx:目录名或短文件标识符。表具类终端的应用文件，一个表具类终端密钥名称应用主控应用维护消费密钥充值密钥内部认证密钥信息更新认证密钥数据上传认证密钥b)基本信息文件CJ/T166—2014文件标识(SFI)文件类型二进制文件大小文件存取控制读=自由写=需要安全信息字节数据元长度(Byte)管理系统代码4管理系统版本号49～10应用版本号2营业网点编号2操作员编号4写卡时间320～23卡有效日期424～24校验和125～28保留4计量文件使用电子钱包文件。购买量是指用户购买的水、燃气或热量的量值，也可以是预交的金字段名长度(Byte)购买量4表32设置信息文件文件标识(SFI)文件类型二进制文件大小文件存取控制读=需要安全信息写=需要安全信息字节数据元长度(Byte)本次购买量3购买次数2参数版本号1允许囤积量4关阀报警量2显示报警量2允许透支量2单价版本号1阶梯限量1或结算周期2阶梯限量2或交费时间2阶梯限量3或月起算时间2常规单价3第1阶单价3第2阶单价3第3阶单价3密钥版本号密文密钥1密文密钥285～108密文密钥3检验数据4校验和1保留5e)返回信息文件表33返回信息文件文件标识(SFI)文件类型二进制文件大小文件存取控制写=需要安全信息字节数据元长度(Byte)数据格式累计充值量4HEX充值次数1HEX累计用量4HEX剩余量3HEX表具故障状态HEX最近12个月用量HEX异常次数1HEX最后异常发生日期4BCD43～47采集时间日期5BCD48～49表具程序版本号2HEX厂商代码3HEX校验和1HEX保留5HEX5.8CPU卡的命令表34CPU卡命令APDU的内容及格式代码描述长度/ByteCI.A命令类别1指令代码1P1命令参数11P2命令参数21命令数据域中存在的字节数Data命令发送的数据位串(=Lc)变长响应数据域中期望的最大数据字节数表35CPU卡响应APDU的内容及格式代码描述长度/ByteData响应中接受的数据位串(=Le)变长命令处理状态1命令处理限定1编号指令名称CLA功能描述1VERIFY00/04验证口令2EXTERNALAUTHENTICATE外部认证3GETCHALLENGE取随机数4INTERNALAUTHENTICATE内部认证5SELECTFHLEA4选择文件6READBINARY00/04B0读二进制文件7READRECORI00/04B2读记录文件8GETRESPONSE取响应数据9UPDATEBINARY00/04D6写二进制文件UPDATERECORD)00/04DC写记录文件CARDBL(CK卡片锁定APPLICATIONUNBLOCK应用解锁APPLICATIONBLOCK应用锁定PINUNBL(OCK80/84个人密码解锁INITIALIZE初始化交易CREDITFORLOAD圈存DEBITFORCASHPURCHASE/CAPPPURCHASEWITHDRAW/UNLOAD消费/复合消费取现圈提修改透支限额GETTRANSCATIONPROVE取交易认证GETBAL.ANCE读余额RELOAD/CHANGEPIN重装修改个人密码GETMESSAGE读取安全认证识别码注：本表中第1～22条命令的解释参照CJ/T304。6离线IC卡终端设备离线式IC卡终端设备是指在不使用通信线路与结算主机联机的脱机状态下，能直接与用户IC卡6.2离线消费类及服务类IC卡终端设备6.2.1IC卡终端的基本性能要求离线式IC卡终端一般应配置以下部件：b)安全部件：SAM卡插座应至少2个，或应至少支持2个芯片类安全存取模块；d)存储部件：存储不应低于10000笔离线交易数据；a)非接触CPU卡消费类终端的典型交易时间不应大于300ms;b)接触式CPU卡消费类终端的典型交易时间不应大于850ms;c)服务类IC卡终端的交易时间不作规定。6.2.1.3IC卡终端内置PSAM卡要求离线式IC卡终端内置PSAM卡的初始通讯速率为38400bps,支持PPS指令检测。a)激活(上电);6.2.2IC卡终端的一般要求a)接触式IC卡终端的物理特性应符合GB/T16649.1和GB/T16649.2的要求；b)接触式IC卡终端的逻辑接口和通讯协议应符合GB/T16649.3的要求；c)非接触IC卡终端的逻辑接口和通讯协议应符合ISO/IEC14443-3、ISO/IEC14443-4的要求。IC卡终端多应用的管理应达到以下目标：b)共享数据应保证所有的应用可以共享终端中的通用数据，各应用的专用数据不能被其他应用6.2.4IC卡终端的功能要求消费类IC卡终端的消费交易允许持卡人使用电子钱包的余额获取服务。此交易在消费类IC卡终消费交易时，应使用特定的PSAM卡。消费类IC卡终端在IC卡以及PSAM之间建立通信链路.消费类IC卡终端的安全认证由IC卡和PSAM卡共同完成。终端只是在IC卡和PSAM卡之间传输安全信息，不参与密钥运算过程。6.2.5IC卡终端的数据安全要求IC卡终端一般存在两种类型的数据：a)在更新参数或下载应用程序前能够对下载设备进行有效的身份验证；b)在更新参数或下载应用程序后要校验下载数据或程序的完整性。敏感数据一般应存放在终端安全存取模块中。此模块主要负责保存和处理所有的敏感数据，这些数据包括各种密钥和内部参数。该模块还应提供必要的加密功能。对于安全存取模块的硬件形式在此表37交易上传数据数据项数据格式长度说明城市代码HFX2从用户卡内读出的城市代码应用序列号HEX8从用户卡内读出的应用序列号算法标识HEX1标识用户卡本次交易使用的算法交易金额HEX4本次消费金额交易类型标识BCD1交易类型终端机编号HEX6PSAM卡中的终端机编号终端交易序号HEX4PSAM卡维护的终端交易序号或者终端自己维护的交易序号交易日期BCD4YYYYMMDI)交易时间BCI)3HHMMSS交易认证码HEX4CPU卡本次交易产生的TAC校验码当IC卡终端在处理IC卡交易时，卡被突然拔出或离开感应区或由于IC卡终端方面的原因突然停止操作(如发生断电),IC卡终端应能监测到卡被拔出又重新插入或重新进入感应区或检测到IC卡终在以上情况下，IC卡终端应进入这样一种状态：即持卡人应将原来的IC卡重新插入或进入感应寺卡人重新插入IC卡或将卡放入感应区。a)完成IC卡的最后一笔交易，向持卡人显示交易已完成(如果IC卡余额已被更新);b)取消最后一笔交易，向持卡人显示交易已被取消(如果IC卡余额没有被更新)。消费类终端和服务类终端应具有黑名单存储和检索功能，以实现IC卡脱机交黑名单检查操作在IC卡合法性检查过程中进行。卡片开始操作后，向IC卡终端回送包括应用序列号在内的公共数据。IC卡终端根据序列号进行黑名单检查操作，检查该卡是否在IC卡终端存储的a)黑名单下载设备和IC卡终端间通信数据的安全性和完整性；b)IC卡终端对黑名单更新操作的安全认证；c)更新周期要满足应用要求。容量要满足应用的要求，最低不应小于1000条。白名单指由住房和城乡建设部IC卡应用服务中心下发给互联互通城市用于判别城市是否加入互白名单检查操作在IC卡合法性检查过程中进行。卡片开始操作后，向IC卡终端回送包括互通标识在内的公共数据。IC卡终端根据互通标识进行白名单检查操作，检查该卡是否允许在该IC卡终端a)白名单下载设备和IC卡终端间通信数据的安全性和完整性；b)IC卡终端对白名单更新操作的安全认证；e)白名单可采用多种能与离线式终端进行安全数据交换的方式下载。6.2.8离线式IC卡终端交易流程IC卡终端的交易流程是IC卡应用的基本技术要求。在CPU用户卡交易流程中，本地与异地交易应统一采用卡内互联互通应用下的电子钱包。详细的交易流程应按附录B的规定进行。6.2.9离线式IC卡终端安全要求d)编码规则：城市代码(2字节)+应用代码(1字节)+序列号(3字节)。6.2.9.2离线式IC卡终端加载的安全存取模块b)受到非法攻击和篡改会自动删除内部的所有敏感数据；6.2.9.3离线式IC卡终端内部应用的安全a)终端对输出的关键报文产生MAC,随报文一起传送，以防伪造的报文；b)终端对输入的关键报文验证MAC,以防伪造的报文；c)终端与PIN的输入设备密码键盘：如果需要持卡人输入密码，那么应从密码键盘得到密码的本标准只涉及CPU卡在离线式IC卡消费终端上交易的安全认证流程。CPU卡消费交易安全认终端消费6.3离线门禁用IC卡终端设备非接触CPU卡门禁终端离线方式的典型响应时间应不大于300ms。离线门禁用IC卡终端设备的应用性能应符合下列要求：a)应采用CPU卡作为建筑及居住区门禁终端智能卡的载体；f)在脱机状态下，门禁控制系统应保存最近一周或4000条以上的使用记录，以备事后调用和追g)开门超时报警功能：开门时间超过设置的超时报警时间时，实时监控界面就会出现报警画面a)在更新参数或下载应用程序前能够对下载设备进行有效的身份验证；b)在更新参数或下载应用程序后要校验下载数据或程序的完整性。终端中的数据不应随意改变，并保证数据有效。所有与操作相关的数据均以记录的形式存储在终敏感数据一般应存放在终端安全存取模块(SAM)中。此模块主要负责保存和处理所有的敏感数据，这些数据包括各种密钥和内部参数。该模块还应提供必要的加密功能。对于安全存取模块的硬件终端应具有黑名单存储和检索功能，以实现IC卡脱机操作的安全处理。黑名单管理包括黑名单的黑名单检查操作在IC卡合法性检查过程中进行。卡片开始操作后，IC卡终端根据安全认证码进a)黑名单下载设备和IC卡终端间通信数据的安全性和完整性；b)IC卡终端对黑名单更新操作的安全认证；c)更新周期要满足应用要求。黑名单库的容量要满足应用的要求，最低不应小于1000条。门禁IC卡终端的操作流程是IC卡应用的基本技术要求。软件开发商和系统集成商在开发和实施门禁IC卡终端有密钥认证和读CPU卡安全认证码两种认证方式：b)读CPU卡安全认证码方式仅应用于在线方式。选择门禁应用读取卡片信息安全模块认证卡片合法性查黑名单N门禁权限合法其他功能处理发出开门信息到门禁执行机构结束黑名单卡处理退出提示错误退出提示错误退出NNY图6门禁IC卡终端密钥认证操作流程图门禁IC卡终端密钥认证的操作过程应按下列顺序进行：b)卡的合法性与有效性判别：门禁IC卡终端检测到IC卡后首先要对卡的合法性与有效性进行门禁IC卡终端读CPU卡安全认证码操作流开始开始识别码码的合法性Y安全认证码送后台合法性Y结束图7门禁IC卡终端读CPU卡安全认证码操作流程门禁IC卡终端读CPU卡安全认证码的操作过程应按下列顺序进行：b)卡的合法性与有效性判别：门禁用IC卡终端检测到IC卡后首先要对卡的合法性与有效性进6.3.7安全要求a)开发终端程序的软件包应严格控制；终端与主机或前置机的通信安全应符合下列要求：b)终端对输入的关键报文验证MAC,以防伪造的报文；门禁IC卡终端密钥认证方式的安全认证流程，见图8。读卡到Rb",发出Rb"要求认证图8门禁IC卡终端密钥认证方式的安全认证流程门禁IC卡终端读CPU卡安全认证识别码的安全认证流程，见图9。发回给卡片要求认证内部认证。若Rb′和Rb"到Rb",发出Rb"要求认证图9门禁IC卡终端读CPU卡安全认证识别码的安全认证流程7在线IC卡终端设备7.1在线消费类及服务类IC卡终端设备在线(联机)交易是指IC卡终端设备通过有线或无线通讯方式，实时与交易清算中心相关设备(网在线多应用IC卡终端应给用户提供一个按优先级排序的应用列表以供选择。在线IC卡终端多应用的管理应达到以下目标：7.1.5在线IC卡充值终端的功能要求在线IC卡充值类终端在IC卡与加密机之间建立通信链路，安全认证由IC卡和加密机共同完成，a)根据IC卡ID号分散卡片应用密钥信息；b)计算并认证IC卡安全认证码；c)验证交易数据信息MAC和交易认证码TAC。7.1.6在线IC卡终端的数据安全要求在线IC卡终端一般存在两种类型的数据：安全存取模块主要负责保存和处理所有的敏感数据，这些数据包括各种内部参数。该模块还应提供必要的加密功能。对于安全存取模块的硬件形式在此规范中将不做具体要求。在线IC卡终端需要实时上传的交易记录至少包括如下46字节数据，IC卡终端交易上传数据格表38IC卡终端交易上传数据格式数据项(CPU卡)格式长度说明卡号HEX4BCD2BCD2BCD4HEX4卡类BCD1消费交易计数器HEX2交易前余额HEX4交易前余额表38(续)数据项(CPU卡)格式长度说明交易金额HEX3交易日期BCD4YYYY/MM/DD交易时间BCD3HH/MM/SS交易类型BCD1SAM卡号HEX6充值交易计数器HEX2保留时以FF填充TACHEX4合计在线IC卡终端在处理IC卡交易时如果出现以下情况时：c)IC卡终端的原因突然停止操作(如发生断电)。IC卡终端应能监测到卡被拔出又重新插入或重新进入感应区或检测到IC卡终端恢复供电，并对卡非正常交易的错误数据实施恢复处理。如果持卡人未将原来的IC卡插入或未进入感应区，则IC卡终端应提示持卡人重新插入IC卡或将卡放入感应区。a)完成IC卡的最后一笔交易，向持卡人显示交易已完成(如果IC卡余额已被更新);b)取消最后一笔交易，向持卡人显示交易已经取消(如果IC卡余额没7.1.7在线IC卡终端安全要求a)开发IC卡终端软件包程序应严格控制；e)编码规则：城市代码(2字节)+应用代码(1字节)+序列号(3字节)。7.1.7.2在线IC卡终端内部应用的安全如果在线IC卡终端上有多个应用，在应用程序上应做到公用数据可以在线IC卡终端与交易清算中心前置机及加密机的通信安全应包括：42CJ/T166—2014b)IC卡终端对输入的关键报文验证MAC,以防伪造的报文；c)IC卡终端与PIN的输入设备密码键盘：如果需要持卡人输入密码，应该从密码键盘得到密码7.1.7.4在线IC卡终端安全认证流程IC卡发出发卡方标识、应用发出随机数、用户卡交易序号、密钥版本、算法标识、余额、MAC1发出TAC选择应用选择用户卡应用验证卡片口令验证MACI计算MAC2充值交易中心发出充值密钥索引发出MAC1图10在线充值交易安全认证流程7.2在线门禁用IC卡终端设备非接触CPU卡门禁终端在线方式的典型响应时间不应大于500ms。在线门禁用IC卡终端设备的基本要求应符合6.3.1的要求。在线门禁用IC卡终端设备的物理特性、逻辑接口、通信协议要求应符合6.2.2.2的要求。在线门禁用IC卡终端设备的功能要求应符合6.3.3的要求。在线门禁用IC卡终端设备的数据安全要求应符合6.3.4的要求。在线门禁用IC卡终端设备的黑名单管理应符合6.3.5的要求。在线门禁用IC卡终端设备的操作流程应符合6.3.6的要求。在线门禁用IC卡终端设备的安全要求应符合6.3.7的要求。8表具类IC卡终端设备8.1表具类IC卡终端的定义和分类用于建设事业的IC卡表具类终端是指包含有计量仪表的一类IC卡机具。这类IC卡机具中的计a)按照所包含的计量仪表类型和用途划分为：1)预付费IC卡表具类终端；2)后付费IC卡表具类终端。1)一体化IC卡表具类终端；2)分体式IC卡表具类终端。d)按照IC卡接口形式划分为：1)接触式IC卡表具类终端；2)非接触式IC卡表具类终端。8.2表具类IC卡终端的基本性能要求典型交易时间是指IC卡表具类终端在使用状态下，从IC卡表具类终端感知到IC卡进入IC卡接8.2.2.2表具类IC卡终端典型交易时间要求非接触式CPU卡表具类终端的典型交易时间不应大于1500ms。接触式CPU卡表具类终端的典型交易时间不应大于1050ms。8.3表具类IC卡终端的一般要求表具类IC卡终端的电源应保证IC卡的读写正确和运行正常。8.4表具类IC卡终端的功能要求表具类IC卡终端应具有如下功能：a)应能安全获取作为用户预存金额或付费信息载体的IC卡中的付费数据，并按发卡管理部门制b)应能从载有付费信息的IC卡中获取各种必要的运行参数、计量消费规则及控制信息等数据，表具类IC卡终端应至少能显示电池状态、阀门开关状态和影响设备完成基本功能的外部影响的状态。表具类IC卡终端应能显示用户操作错误类型、IC卡与设备之间数据交换错误类型及设备自检发出有效提示，使用户有充分时间采取规避措施，不致影响用户正常消费。用户接收提示并给设备回复电池容量下降到接近下限值时或电源电压下降到接近不足以维持设备可靠工作的下限值时，表具电池容量下降到下限值时或电源电压下降到维持设备可靠工作的下限值时，表具类IC卡终端应对有连结导线外露的表具类IC卡终端，当外表具类IC卡终端在电源突然中断后，终端应对用户正表具类IC卡终端应安装ESAM模块，用于完成对IC卡进行安全认证、数据存取和线路加密等表具类IC卡终端一般存在两种类型的数据：b)在更新参数或下载应用程序后要校验下载数据或程序的完整性。所有与交易相关的数据均以记录的形式存储在终端的存储器中.终端应保证这些数据的完整性。敏感数据一般应存放在终端ESAM模块中。ESAM模块主要负责保存和处理所有的敏感数据，这些数据包括各种密钥和内部参数。该模块还应提供必要的加密功能。对于安全存取模块的硬件形式在此规范中将不做具体要求。ESAM模块应做到：出入模块的、以及其内部存放的和正在处理的数据不会由于模块自身或其接如果表具类IC卡终端在处理IC卡交易时，卡被突然拔出或离开感应区或由于IC卡终端方面的原因突然停止操作(如发生断电),IC卡终端应能监测到卡被拔出又重新插入或重新进入感应区或检测到在以上情况下，IC卡终端应进入这样一种状态：即持卡人应将原来的IC卡重新插入或进入感应持卡人重新插入IC卡或将卡放入感应区。a)完成IC卡的最后一笔交易，向持卡人显示交易已完成(如果IC卡余额已被更新);b)取消最后一笔交易.向持卡人显示交易已被取消(如果IC卡余额没有被更新)。8.6表具类IC卡终端交易流程表具类IC卡终端交易流程参照6.2.8.并符合下列要求：a)表具使用的CPU卡.如支持一卡多用.各应用分区要有独立的安全要求：序列号等信息法标识终端选择文件MAC1计算消费9.2密钥系统IC卡应用的一卡多用和互联互通。中心级密钥管理系统将生成的密钥通过密钥母卡或硬件密码机的b)密钥生成的环境应保证绝对安全；d)密钥生成过程应按照严格的操作规程进行。a)明文存储c)密文存储a)从物理或逻辑上防止对密钥存储区的非授权访问；b)根据不同的使用目的将密钥加密后存储；c)确保不能同时知道明文数据及其密文数据。a)根据不同的使用目的对密钥进行物理隔离存储；b)子密钥的泄露不会导致根密钥和由同一过程分散出的其他子密钥的泄露；密钥分发注入是将密钥采用安全的方式导入安全密码设备的过程，导入过程不应导致被分发注入a)对密钥的分发注入应满足下列要求：1)密钥分发注入过程中不得泄露密钥明文的任何组成部分；3)安全密码设备需鉴别操作人员身份；4)只有安全密码设备才能负责密钥传输。b)对密钥组件分发注入应满足下列要求：1)密钥组件的分发过程不得泄露密钥组件的任何组成部分；2)安全密码设备的接口和传输信道应保证密钥组件不被泄露、替换和篡改；3)密钥组件的分发注入过程应按照双重控制的原则进行。b)拆分成密钥组件后备份。密钥应被用于指定的目的和限定的用途。密钥在使用过程中不应泄露任何密钥信息，并防止被替当密钥的生命周期结束或系统密钥泄露后，需要进行密钥更新。密钥更新的基本原则是保护持卡人的利益不受损害，不影响持卡人的正常交易。密钥更新的全过程应保证系统的安全性能和系统的可b)更换密钥组。a)安装多组紧急密钥备份组；a)密钥销毁可采用下列一种或多种方式：2)以新密钥或非保密数据覆盖原密钥；4)其他可被证明的有效方式。1)在销毁密钥前，应进行检查以确保由这些密钥保护的已归档材料不再需要它们；2)密钥在销毁后.不应有任何信息可以用来恢复已销毁的密钥。在非对称密钥管理系统中一般私钥用于解密或产生数字签名，公钥用于加密或验证签名。非对称非对称密钥采用集中方式生成。非对称密钥的生成是产生私钥和公钥的过程.密钥生成应采用随9.4.3.2公钥的传输公钥可以通过手工分发或通过通信信道自动分发。公钥的传输没有机密性要求，但应确保其真实b)在对公钥来源可信的情况下，可以通过为公钥和相关数据产生校验码的方式来保证公钥的完9.4.4密钥存储存储方法应符合9.3.3的规定。9.4.4.2公钥存储形式公钥的存储要求保证真实性和完整性。公钥应以下列形b)存储于其他可信环境中。非对称密钥备份的要求应符合9.3.6的规定。a)公钥超出有效期应不再使用并自动撤销；b)私钥泄露时对应公钥应被撤销。私钥和公钥销毁应符合9.3.9的规定。10.1.3RA机构RA机构负责所有证书申请者的信息录入、审核等工作，同时协助CA中心分担部分证书管理密钥管理中心负责为CA中心提供密钥对的产生，负责对密钥对进行管理，支持密钥的备份和恢随机选取的一段信息及签名等其他CA中心要求的辅助信息。a)根证书和CA证书的签发：根证书是一张自签名证书，使用证书中的公钥即可验证证书的签名。在系统初始化时，首先要签发一张根证书。下级CA的数字证书由上级CA签发。在证息为用户签发两张数字证书并将两张数字证书发布到目录服务器上，然后将数字证书以及加a)发布的时间策略：可以采取实时发布和定时发布两种策略。实时发布是指签发系统接到注销b)证书注销列表发布的形式：可以采用完全的注销列表、增量证书注销列表以及证书分布点技a)根证书和CA证书更新根证书和CA证书密钥更新根据证书密钥更新的策略进行。1)新私钥签名的包含新公钥的证书；在过渡期中，系统中存在着的四个证书，保证所有实体能够在各种情况下对所接到的证书进行验b)用户证书更新用户证书的更新包括签名证书的更新和加密证书的更新。用户证书更新应向RA提出申请。证a)卡中每一个应用和其他应用使用规则不应发生冲突；b)非开放平台CPU卡中的每一个应用应放在一个单独的ADF中，以防止跨过应用进行非法用于一种特定功能的加密/解密密钥不能被任何其他功能所使用，包括保存在IC卡中的密钥和用IC卡应该能够保证非对称私有密钥或对称加密密钥在没有授权的情况下，不会被泄露出来。如果送方的认证通过使用MAC来实现。数据的可靠性和机密性通过对数据域的加密来得到保证。安全计算应按附录C的规定进行。安全存取模块的硬件设计应能够保证在物理上限制对其内部存储的敏感数据的认证与窃取，以及对安全存取模块的非授权使用和修改。一旦安全存取模块受到非法的篡改及攻击，其自身应能够立即a)即使通过特别的工具或专用严重破坏的方法，也不能对模块的硬件或软件进行增加、替换或c)安全存取模块的任何部分的损坏或失效都不会导致敏感数据的泄露；d)如果安全存取模块是由多个分离的部分组合而成，而处理的数据也应在这些部件之间传递，一个安全存取模块的逻辑设计应保证，调用任何单一功能或组合功能，都不会导致敏感数据的泄安全存取模块中可以存放多组不同版本不同索引的主密钥和证书。所有的主密钥和证书通常应在而要实现这一过程通常应在特殊的授权情况下完成。对外部不能存在任何取得密钥的机会。为避免伪操作，存放在安全存取模块中的不同类型的主密钥应与不同特定的应用操作相结合。所有脱机交易相关的主密钥和敏感数据应存储在安全存取模块中。安全存取模块应可以实现对称密钥算安全加密设备的物理安全应符合ISO13491-2中的安全要求，即密码机应该具有当侵害时自动销采用硬件的物理噪声发生器产生随机数。b)密码机内主密钥不能直接或间接导出并保存在机外其他非自主控制的介质中；e)支持IC卡的密钥管理和身份鉴别机制，确保只为b)提供SCPO2和SCP10安全通道；g)应至少支持X509格式证书。智能卡TSM-发送安装SSD指令(指定SSD权限)安装SSD返回响应值一11.7.3CA证书应用图13CA证书应用人化后可根据需要切换为SCP10通道。IC卡应用系统采用层次式体系结构，第一层为中央清算系统和发卡系统，负责完成IC卡的发行、应用管理系统2充值终端第一层第二层第三层第四层n服务终端1消费终端图14IC卡应用系统总体架构发卡系统负责管理和发行IC卡。发卡系统在IC卡应用系统中相对独立，并与中央清算系统相连。发卡系统应为每张成功发行的卡片生成一条发卡记录，并将发卡记录传送到中央清算系统。中央发卡系统应有相关的安全措施保证发卡过程的安全。执行发卡操作的操作人员应经过身份认证后充值系统在应用系统中相对独立.并与中央清算系统相连。充值系统负责对所有提出充值的请求a)与密码机前置系统实现物理连接；b)对自行设置或合作建设的充值点的充值请求进行响应管理。充值系统应为每张成功充值的卡片生成一条充值记录，并将充值记录传送到中央清算系统。中央中央清算系统的主要职能是建立并维护IC卡内资金账户信息、处理IC卡交易数据、管理IC卡应计发卡数量确定，交易处理能力以每天可以处理远期预计发卡数量的2倍的交易量确定。中央清算系b)通信接入处理模块；中央清算系统应提供友好的图形化的界面显示相关的监控信息。对非法操作、有可能影响系统正a)历史交易明细联机保存时间：不应小于90d;b)统计数据联机保存时间：不应小于1年；中央清算系统应配置合适容量的不间断电源，至少可以保证清算系统在失电后可以运行30min.证系统满足24h不停机运行的要求。在电源、设备或系统出现故障时.应保证清算系统的数据不会IC卡应用系统中可以采用联机数据采集和脱机数脱机数据采集的时间周期根据行业应用的要求确定。数据采集的过程应保证数据的完整性和可靠性。在数据采集的过程中不能对数据进行删除或使用脱机方式采集数据时，在采集过程中意外中断.不应造成数据丢失。在故障排除后重新采集b)终端消费流程要求符合本标准；c)采用的消费终端要求支持多种类型的用户卡；d)生成的交易记录格式要求符合本标准；互联互通卡卡片结构要求应符合5.7的要求。a)受理互联互通卡消费终端消费流程应符合6.2和7.1的要求；c)互联互通白名单的下载应与数据采集及传输一并实施。a)生成的交易记录格式应符合CJ/T332的要求；b)应实现从消费终端采集的消费数据中自动分离异地卡交易数据；e)密钥安全体系应符合9.2的规定。IC卡应用系统应具有防止外部及内部攻击破坏能力c)系统在有条件时应采用专用网络，或使用虚拟专用网络。系统应有专门管理工作站负责系统g)任何操作都在访问控制机制下进行，受控信息只有在得到权限后才可以操作，同时建立完善系统产生的所有数据都应附有经SAM运算产生的验证码以及校验码。除充分保证数据在应用环a)未经验证的数据不得存入主数据库；d)为防止意外灾害，定期应将数据备份保存在不同的地理位置(可采用磁带或安装在其他地点CJ/T166—2014a)网络设置的防火墙应具有以下功能：1)保护那些易受攻击的服务；2)拒绝未经批准的服务；3)控制对特殊站点的访问；4)集中化的安全管理；5)对网络存取访问进行记录和统计，可提供是否遭受攻击的报告。b)网络防病毒软件应具有以下功能：1)检测和定位已侵入系统的计算机病毒；2)防止病毒在系统中的传染；3)清除或隔离系统中已发现的计算机病毒；4)可自动或定期升级。c)敏感数据在传输过程中应打包和加密，不得以明文形式传送。有条件时可考虑使用加密机b)机房应铺设防静电地板；d)机房应安装有防盗报警装置和视频监控装置；f)机房所有电源插座应带有接地极；g)机房应安装有空调设备；h)关键设备应有备份，保证系统可在最短时间内恢复工作。多应用开放平台为开放平台CPU卡提供安全域及应用管理服务。多应用开放平台采用层次式体系结构，包含多应用管理系统、客户端软件及SE卡三层。多应用开第一层第二层CJ/T166—2014多应用开放平台的技术框架应符合以下要求：a)SE卡片构架及系统构架应符合GP2.2(GlobalPlatform2.2)规范；b)多应用开放平台与应用客户端的通信应使用安全信道，保证数据安全；c)多应用开放平台与各应用系统的通信应使用安全信道，保证数据安全；d)多应用开放平台应具备与其他第三方多应用开放平台互联的能力。多应用开放平台的基本功能模块包括：及测试管理等；e)SE卡操作：多应用管理平台可通过客户端对SE卡进行操作，操作内容包括应用下载及个人多应用开放平台的基本技术指标应包括：a)系统并发连接数：不应小于100个；b)单笔业务处理时间：不应大于2min;f)故障恢复时间：恢复业务工作不应大于24h。多应用开放平台的运维要求应包括：a)至少保证清算系统在失电后可以运行30min;b)应具备可靠的热备份机制；c)保证关键设备没有单点故障；d)确保系统满足7×24h不停机运行的要求；密钥安全体系应符合9.2的规定。系统安全体系符合11.7的规定。b)建设方提供系统(试)运行报告。b)投标书；h)隐蔽工程检查记录(需监理签字);j)竣工图纸(蓝图);1)随机资料(文种不变);n)用户使用报告；o)需有关主管部门审批的系统的许可证；p)需有关主管部门验收的验收合格证明。以上文档可根据应用系统建设的实际情况增减。技术文件和相关资料应做到内容齐全，数据准确b)验收组进行验收测试；a)产品合格证明；d)产品质量保证书或保修证明；e)产品符合现行国家或行业标准的证明；g)全国工业生产许可证(针对国家有要求的IC卡产品);h)国家IC卡注册证书。如果在系统内使用的专用IC卡产品没有符合国家或行业标准的证明，供应商还应当提供以下c)用户单位和验收组确认的设备功能的测试报告。a)产品的设计文件；b)产品的安装维护手册。承建方应在验收前1个月向建设方或验收组提交软件测试方案和软件测试报告，由建设方或验收b)测试范围和覆盖程度是否包括系统的各个方面。对验收测试中的错误和不合格处，验收组提出整改意见或预防措施。建设方和验收组对整改结果e)数据库设计说明(数据库管理员手册);CJ/T166—2014j)应用软件的安装媒体；k)合同中规定的其他应当提供的资料。在系统进行验收之前，承建方应提供系统的培训计划和培训教材，在用户确认后对使用单位提供培不仅限于此。a)质量保证期内维修养护工作内容、次数和持续时间的常规维修养护计划；b)正确安装和维修养护所需的专用工具和测试设备；承建方的质量保证体系对用户的系统提供技术支持及系统故障时在约定的时间内提供维修服务的在完成培训和验收测试后，承建方向建设方提交移交方案。建设方认可后可实施移交。承建方按IC卡应用系统验收时应具备以下条件：a)IC卡应用系统使用了符合本标准要求的密钥管理系统；b)承建方已完成了所有的培训工作，运营单位已可以独立操作所有的设备和系统；c)承建方已将所有的系统用户名和密码移交给运营单位，并且运营单位已修改这些密码；d)运营单位已指定专人负责与安全有关的各项工作，并制订安全管理规章制度。应用系统能够提供多层次、多方面的安全控制手段，建立完善的安全管理体系，防止系统受攻击和(资料性附录)卡片天线类型A.1概述本部分介绍接近式卡天线尺寸，接近式卡应符合ISO/IEC14443-1要求。按照接近式卡天线线圈的区域大小，一般将其划分为六种类型，以下分别进行介绍。A.2接近式卡类型类型1接近式卡天线线圈应布置在81mm×49mm到64mm×34mm之间区域，矩形内拐角半径3mm。异形卡天线线圈围成的面积不应小于300mm²。类型1天线尺寸，见图A.1。64mm天线区域—R3mm图A.1类型1天线尺寸类型2接近式卡天线线圈应布置在81mm×27mm到51mm×13mm之间区域，矩形内拐角半径3mm。天线线圈围成的面积不应小于300mm²。类型2天线尺寸，见图A.2。四图A.2类型2天线尺寸类型3接近式卡天线线圈应布置在50mm×40mm到35mm×24mm之间区域，a)矩形内拐角mmmm天线区域图A.3类型3天线尺寸线尺寸，见图A.4。天线区域图A.4类型4天线尺寸A.2.5类型5类型5接近式卡天线线圈应布置在40.5mm×24.5mm到25mm×10mm之间区域，a)矩形内拐角半径3mm;b)直径35mm与直径18mm的圆环。天线线圈围成的面积不应小于300mm²。类型5天线区域图A.5类型5天线尺寸A.2.6类型6类型6接近式卡天线线圈应布置在a)25mm×20mm矩形区域内，或者在b)直径25mm圆环区域内。天线线圈围成的面积不应小于300mm²。类型6天线尺寸，见图A.6。a)b)图A.6类型6天线尺寸CJ/T166—2014离线式IC卡终端交易流程消费开始消费开始开始消费结束结束失败失败1)取PSAM卡终端机编号成功2)取PSAM卡版本号成功失败成功4)取PSAM卡密钥索引成功无应用6)选用户卡互联互通应用有应用失败7)取用户卡安全认证识别码成功8PSAM卡验安全认证识别码通过失败9)读用户卡公共应用基本信息报错退出异常处理报错退出一致图B.2预处理流程图预处理流程图中各步骤说明如下，其中1)～4)只在PSAM卡复位或终端重启后才需要2)取PSAM卡版本号：终端向PSAM卡发送取PSAM卡版本号指令，指令返回值第11字节即3)选PSAM卡互联互通应用：终端向PSAM卡发送选PSAM卡互联互通应用指令；与SM1算法分别对应的密钥索引，第一字节代表DES算法索引，第二字节代表SM1算法索引；5)用户卡防碰撞：终端对进入场强范围内的用户卡进行防碰撞处理，最终成功锁定一张标准的6)选用户卡互联互通应用：终端向用户卡发送选择互联互通应用指令；7)取用户卡安全认证识别码：终端向用户卡发送取用户卡安全认证识别码指令，指令返回结果即为9字节安全认证识别码；9)读用户卡公共应用基本信息：终端向用户卡发送读互联互通应用下公共应用基本信息文件(以10)城市代码判断：终端将用户卡返回的15文件内容拆分出城市代码(03-04字段，HEX格式)与本城市城市代码进行比对，如不一致则进入异地卡预处理流程，如一致则进入本地卡预处理1)互联互通判断1)互联互通判断2)判断启用状态非003)判断有效期有效期内4)黑名单判断黑名单卡应用锁定报错退出异地预处理流程中各步骤说明如下，其中各步骤判断的内容数据均来源于预处理10)所返回的151)互联互通判断：终端将用户卡返回的15文件内容拆分出互通标识(11-12字段，HEX格式)与白名单中的代码进行比对，如白名单中存在此互通标识则发卡方已加入全国城市一卡通互联2)判断启用状态：终端将用户卡返回的15文件内容拆分出应用类型标识(09-09字段，BCD格式),标识为非00则代表卡片已启用，为00则代表卡片未启用；3)判断有效期：终端将用户卡返回的15文件内容拆分出应用有效日期(25-28字段，BCD格式)日期则卡片在有效期外；4)黑名单判断：终端将用户卡返回的15文件内容拆分出城市代码(03-04字段，HEX格式)以及应用序列号(13-20字段，HEX格式)与黑名单中的城市代码及应用序列号进行比对，如黑名单中未存在此城市代码与应用序列号则此卡为非黑名单卡，反之则为黑名单卡。由于目前互CJ/T166—2014B.4本地预处理流程本地预处理流程各步骤由应用方自行定义。本地预处理流程，见图B.4。本地消费交易/复合应用消费报错退出图B.4本地预处理流程B.5异地与本地消费交易流程成功3)用户卡扣款报错退出图