CJT166-2002建设事业IC卡应用技术.pdf 46页

'cJ中华人民共和国城镇建设行业标准CJ/T166-2002建设事业IC卡应用技术ApplicationtechnologyforconstructioncauseICcard2002一06一03发布2002门0一01实施中华人民共和国建设部发布 CJ/T166-2002目次前言···············································································。··································⋯⋯v1范围···············································································································⋯⋯12规范性引用文件································································································⋯⋯13术语和定义·····························································，········································⋯⋯24缩略语和符号···································································································⋯⋯45卡片技术要求······················································································。············⋯⋯55.1接触式IC卡··················································································........···..⋯⋯55.1.1接触式IC卡物理特性······································································，··········⋯⋯55.1.2接触式IC卡触点的尺寸和位置·························································⋯⋯‘二”“二“。55.1.3接触式IC卡的电信号和传输协议·················。················································⋯⋯55.2非接触式IC卡························································································.····⋯⋯55.2.1非接触式IC卡物理特性··············································································⋯⋯55.2.2非接触式IC卡射频功率和信号接口·········································，·····················⋯⋯55.2.3非接触式IC卡的初始化和防冲突·.......................................................................55.2.4非接触式IC卡的传输协议···········································································⋯⋯55.3CPU卡的数据元和文件结构··············································································⋯⋯55.3.1CPU卡文件结构·····················································································...·.⋯⋯65.3.2应用数据文件(ADF)··············································································⋯⋯‘二‘二65.3.3应用基本文件(AEF)····················································································⋯⋯65.3.4ISO/IEC7816-4文件结构中文件的映象····························································⋯⋯65.3.5目录结构··························································································....·····⋯⋯65.3.6文件查询···································································································⋯⋯65.3.7卡片结构示例···············································································...·.....·...⋯⋯65.4CPU卡的命令·······························································································⋯⋯75.4.1命令及其响应的APDU的内容及格式·······························································⋯⋯75.4.2命令集······································································································⋯⋯75.4.3PUL工J命令································································································⋯⋯85.4.4CHARGE命令···················································································....·..⋯⋯95.4.5INI丁IALIZEFORCHARGE/PULL命令······················································⋯⋯105.4.6GETSPECIALTRANPROOF命令····························································⋯⋯126终端技术要求···································································································⋯⋯136.1终端的基本性能要求·········································································。·············⋯⋯136.1.1基本物理配置·················································································.···········⋯⋯136.1.2终端交易时间要求····························································⋯⋯”“二”’······⋯⋯‘二”’136.2终端的一般要求·····························································································⋯⋯136.3终端的多应用要求··························································································⋯⋯13 CJ/T166-20026.3.1基本要求···········。·······································。···············································⋯⋯136.3.2终端多应用的管理·········································，·············································⋯⋯136.4终端的功能要求·····························································································⋯⋯136.4.1服务类终端································································································⋯⋯136.4.2消费类/表具类终端·········································。····。························⋯⋯‘·“··⋯⋯146.5终端的数据安全要求·········。··································································一‘二‘二‘··⋯166.5.1一般要求·······························。···································································⋯⋯166.5.2非正常中断数据恢复机制··············································································⋯⋯166.6黑名单管理················································································。··················⋯⋯176.6.1黑名单的记录类型·······················································································⋯⋯176.6.2黑名单检查········，·、···、、···············，、·，，，···，，····、··、··········、······，··‘，···、、·、·、‘····‘二176.6.3黑名单更新································································································⋯⋯176.6.4黑名单库的容量要求·········································································⋯⋯‘····⋯⋯177应用技术要求·····································································。····························⋯⋯187.1交易流程······································································································⋯⋯187.1.1卡片发行流程·····························································································⋯⋯187.1.2消费类IC卡交易流程·····································································⋯⋯‘·“‘·‘··⋯187.1.3表具类IC卡交易流程·····································································⋯⋯‘二“·‘··⋯187.2卡片应用文件结构······························。··························································⋯⋯187.2.1非接触式逻辑加密卡应用文件结构····························································，·····⋯⋯187.2.2接触式、非接触式CPU卡应用文件结构·························································⋯⋯297.3应用系统安全要求··········。···············、·······························································⋯⋯357.3.1安全保密的基本原则···········································································⋯⋯‘··⋯⋯357.3.2主机系统安全要求······················································································⋯⋯357.3.3网络系统安全要求······················、···、···、···········、····，·、·，，，···、·、··、······、·····‘·‘···‘·⋯367.3.4终端安全要求···································································。···················。····⋯.⋯368密钥系统和安全认证技术要求·······························································⋯⋯”·’二‘’·’二“’368.1密钥系统·····································································································⋯⋯368.2城市密钥系统································································································⋯⋯368.2.1密钥的种类··························。·····································································⋯⋯368.2.2密钥的生成和发行·······················································································⋯⋯368.2.3密钥的更新·················································。····················。·························⋯⋯378.3安全存取模块························································································..······⋯⋯378.3.1安全存取模块的物理安全要求········································································⋯⋯378.3.2安全存取模块的逻辑安全要求········································································⋯⋯388.3.3PSAM数据结构·······················································································⋯⋯388.3.4ISAM数据结构·...............................................................................................398.4安全认证流程································································································⋯⋯398.4.飞消费交易安全认证流程··························································、···········⋯⋯’、·’‘二398.4.2充值交易安全认证流程·········································································。·······⋯⋯40 CJ/T166-2002图1卡片内部结构···························。·······························。····································⋯⋯7图2CPU卡充值设备的交易流程···········································。·······························⋯⋯14图3CPU卡消费类/表具类终端基本交易流程·························································⋯⋯15图4非接触式逻辑加密卡消费类终端的基本交易流程16卡片发行流程18图5图6非接触式逻辑加密卡消费交易流程·········。······················································..⋯⋯19图7消费类CPU卡消费交易流程··········································································⋯⋯20图8表具类CPU卡消费交易流程··························。···。·····。·····。·······。···。。·····。·········⋯⋯““21图9接触式、非接触式CPU卡应用文件结构···································。······················⋯⋯29图10PSAM结构拓扑图······················································································⋯⋯38图11ISAM结构拓扑图···················································································⋯⋯”二39图12消费交易安全认证流程·································································，···············⋯⋯40图13充值交易安全认证流程....................................................................................‘二40表1命令APDU的内容及格式··································································⋯⋯‘⋯⋯‘·’二7表2响应APDU的内容及格式·................................................................................’二7表3命令集·····。··································································································⋯⋯7表4PULL命令报文···········，·················································································.·一8表5命令报文数据域···、···，····，，，·，····，、，···‘····‘·····‘····‘······‘····‘···········，.·················....⋯⋯9表6响应报文数据域·····························································································⋯⋯9表7PU曰命令错误状态·······························，···········，············，······························⋯⋯9表8CHARGE命令报文·····························。··········。··········································..·.⋯⋯9表9命令报文数据域·······················，······························。············..···········.......··.⋯⋯10表10响应报文数据域·······················。·································································⋯⋯10表11CHARGE命令错误状态·················································，····························⋯⋯10表12INI丁IAIAZEFORCHARGE命令报文。··························································⋯⋯10表13INITIALIZEFORPULI命令报文·....................................................................11表14命令报文数据域···························································································一n表15充值响应报文数据域·················································································⋯⋯“’11表16消费响应报文数据域····················································································⋯⋯12表17IN工T工ALIZEFORCHARGE/PULL命令错误状态···。················。························⋯⋯12表18GETSPECIALTRANPROOF命令报文··················································，···⋯⋯12表19GETSPECIALTRANPROOF命令错误状态·.....................................................13表20交易上传数据格式要求·················································································⋯⋯17表21应用文件结构··········································································。··················⋯⋯21表22分区编码························································································，··········⋯⋯23表23目录区结构································································································⋯⋯23表24发行区结构······························································································，··⋯23表25卡类别的编码表··························································································⋯⋯24表26卡的发行数据定义···········································。···········································⋯⋯24表27行业代码表···········································································，····················⋯⋯24 CJ/T166-2002表28启用标志·........................................................................................................25表29充值记录数据结构···········。································································。··········⋯⋯25表30钱包文件数据结构·······························。·····················。·································⋯⋯26表31交易记录数据结构···························································，··················⋯⋯‘二‘二“‘27表32交易类型编码··········································。···································、················一27表33交易记录区数据定义···············。······································。··············、··············⋯⋯28表34公共信息区数据结构····················································································⋯⋯28表35交易过程标志编码表································································。····。··············⋯⋯28表36公共信息区数据定义···································。···············································⋯⋯29表37用户卡文件详细信息··············。·····································································⋯⋯30表38KEY文件内容··························································································⋯⋯30表39基本信息文件······································。····················。················。···········⋯⋯‘·“‘31表40KEY文件内容·...............................................................................................31表41公共基本信息文件····，··························································⋯⋯‘················⋯⋯‘31表42卡类型编码·····························································。····································一32表43个人基本信息文件··············································。····················。··················⋯⋯32表44公用电子钱包文件···················。······································。····························⋯⋯32表45交易记录文件·····。·························································。·····························⋯⋯33表46KEY文件···。····························································································⋯⋯33表47行业的基本数据文件·····································。··············································⋯⋯33表48卡类型编码表·····························································。·······························⋯⋯34表49表具设置文件·························································································⋯⋯“二34表5。统计文件···················。···································。···········································⋯⋯34表51计量文件···································································································⋯⋯34表52行业应用交易记录文件······················································。··························⋯⋯35表53PSAM文件洋细信息···················，·················································，···········⋯⋯‘二38表54ISAM文件详细信息···································································。。·········⋯⋯“·’二39 CJ/T166-2002前言随着我国社会、经济的发展和城镇建设规模的不断扩大，IC卡技术及产品在城市建设事业中的应用越来越广泛。根据国办发[1997]22号《国务院办公厅关于加强集成电路卡管理有关问题的通知》及建设部建计仁1997]169号《关于做好建设系统IC卡应用管理工作的通知》、建办「1998口131号《关于开展建设事业IC卡应用试点工作的通知》、建办[1999]65号《关于建设事业IC卡应用管理工作的通知》等文件精神和要求，为提高城市管理水平、促进应用行业社会效益、经济效益的增长，规范建设事业IC卡应用市场，贯彻落实国家对金卡工程提出的统一规划、统一标准、统一发卡、统一管理的原则，特制定本标准。本标准的主要内容包括卡片技术要求:卡片的物理特性、逻辑接口、传输协议和命令集等内容。终端技术要求:终端的物理特性、功能描述、数据安全要求、黑名单管理等内容。应用技术要求:应用文件结构、交易流程和系统安全等内容。密钥系统和安全认证技术要求:密钥机制和安全认证等内容。本标准由建设部标准定额研究所提出并归口。本标准由建设部IC卡应用管理领导小组办公室负责起草。本标准参编单位:建设部IC卡应用服务中心、上海强生科技有限公司、上海华虹集团、北京握奇数据系统有限公司、中信技术公司、北京华民智能卡系统制造有限公司、北京公交华迅电子科技有限责任公司、北京同创恒远科技发展有限公司、北京捷德智能卡系统有限公司、航天金卡有限公司、天津环球磁卡有限公司、深圳华旭科技开发公司、深圳明华澳汉科技有限公司、丹东思凯电子发展有限责任公司、大连现代高技术发展有限公司、成都前锋电子仪器厂、南京同创交通信息技术有限公司、杭州先锋电子技术公司、中智建设技术工程有限责任公司、中外建设信息有限责任公司、重庆市智能水表有限责任公司。本标准主要起草人:于成钢、孙一成、赵安民、(以下按姓氏笔划排列)丁敏、王毅、宋铁军、白雪晶、史健君、卢义明、孙敏、刘威、刘坚、何玉琼、严洪范、陈宇、陈志平、沈晓东、吴天文、吴健、张永华、邹驰、杨会平、杨明恕、金宽、金光辉、林立峰、欧勇强、徐明、谢晓光、曾维、魏庆华。 Cd/T166-2002建设事业IC卡应用技术范围本标准规定了建设事业应用Ic卡的卡片技术要求、终端技术要求、应用技术要求、密钥系统和安全认证技术要求和相应的定义、符号等本标准适用于由建设行业发行或接受的Ic扮。其使用对象主要是与建设事业IC卡应用相关的卡片和终端设计、制造、管理、发行以及应用系统的研制、开发、集成和维护的部门〔单位)2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准GB/T2260-1999中华人民共和国行政区划代码GB/丁2828---1987逐批检查计数抽样程序及抽样表(适用于连续批的检查)GB/T4754--1994国民经济行业分类与代码GB/T7408-1994数据元和交换格式信息交换日期和时间表T方法GB/T14916--1994识别卡物理特性GB/T18239--2000集成电路(IC)卡读写机通用规范GB/T18336.1-2001信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型GB/T18336.2-2001信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求GB/I"18336.32001信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求ISO/IEC7811-1:1995识别卡记录技术第1部分:凸印ISO/IEC7811-3:1995识别卡记录技术第3部分:在In-1卡r_凸印字符定位ISO/IEC7812-1:2000识别卡发行者标识第1部分:编号系统ISO/IEC7816-1:1998信息技术识别k带触点的集成电路卡第1部分:物理特性ISO/IEC7816-2:1999信息技术识别r带触点的集成电路P第2部分:触点的尺寸和位置ISO/工EC7816-3:1997信息技术识别卡带触点的集成电路卡第3部分:电信号和传输协议ISO/IEC7816-4:1995信息技术识别卡带触点的集成电路卡第4部分:用于交换的行业间命令ISO/IEC7816-5:1994识别卡带触点的集成电路卡第5部分:应用标识符的编号系统和登记规程ISO/IEC10373-1:1998识别卡7A(试方法第1部分:通用性能测试ISO/IEC14443-1:2000识别卡无接触点集成电路卜近程卡第I部分:物理特性ISO/IEC14443-2:2001识别卡无触点集成电路k近程K第2部分:祸合区域的尺寸和位置 CJ/T166-2002ISO/IEC14443-3:2001识别卡无触点集成电路卡近程卡第3部分:电信号和复位规程ISO/IEC14443-4:2001识别卡无接触点集成电路卡近程卡第4部分:传输协议《中国金融集成电路(IC)卡规范》3术语和定义下列术语和定义适用于本标准3.1块block包含两个或三个域(头域、信息域、尾域)的字符组3.2集成电路卡(IC卡)integratedcircuit(s)card内部封装一个或多个集成电路的ID-1型卡。3.3SAM模块secureaccessmodule一种能认证持卡人所持卡有效性的安全授权模块。3.4终端terminal为完成交易而在交易点安装的设备，用于同IC卡的连接。它包括接口设备，也可包括其他部件和接口.例如与主机通讯的接口。3.5命令command终端向IC卡发出的一条信息，该信息启动一个操作或一个应答。3.6响应responseIC卡处理完成收到的命令报文后，返回给终端的报文。3.7报文message由终端向卡或卡向终端发出的，不含传输控制字符的字节串。3.8密文。iphertext通过密码系统产生的不可理解的文字或信号3.9密钥key控制加密转换操作的符号序列。3.10充值charge利用终端设备，在安全的条件下，根据一定的操作权限，增加IC卡中服务计量值的过程。3.11消费pull在指定应用的电子收费终端，对IC卡进行相应扣款写卡的过程。消费分专用消费和普通消费两种。3.12读写器可与IC卡进行数据交换的终端设备。 CJ/T166-20023.13充值终端chargeterminal可以增加IC卡中服务计量值的终端设备。3.14初始化initialization在卡发行前，由卡的发行机构对1C卡进行格式化，并在卡中写人卡的发行信息的过程。3.15应用文件applicationfile按照一定的数据格式产生的具有不同功能的数据文件。IC卡的应用文件包括卡的文件标识、发行文件、钱包文件、月票钱包文件、交易记录文件和过程文件等。3.16电子钱包electronicpurse一种为方便持卡人进行小额消费而设计的IC卡应用，它支持充值、消费等交易。3.17口令passward当一方能向另一方提交出预先约定的密码时，递交一方的合法性才得以承认。3.18非接触式IC卡contactlessICcard使用时通过卡内的天线将卡内集成电路与外部接口设备进行连接的IC卡3.19接触式IC卡contactICcard使用时通过有型的电极触点将卡内集成电路与外部接口设备进行连接的IC卡。3.20报文鉴别代码messageauthenticationcode对交易数据及其相关参数进行运算产生的代码。主要用于验证报文的完整性。3.21T=0异步半双工字符传输协议3.22T=1异步半双工块传输协议。3.23黑名单lawlesslist由于结算、对帐不符、非法交易、非法卡交易等产生的非法列表清单3.24CPU卡centralprocessingunitcard是一种具有微处理器芯片的IC卡。3.25逻辑加密卡logicencryptcard具有防止对卡中信息随意改写功能的存储IC卡。3.26消费类终端purchasetypeterminal该类终端包括车载机、IC卡计价器、通道闸机等机具。该类终端支持在公共汽车、出租汽车、地铁、a cJ/T166-2002轻轨、轮渡、索道、公园、停车场等公共场所完成对IC卡的消费交易。3.27表具类终端gaugetypeterminal该类终端包括IC卡水表、IC卡燃气表、IC卡热力表等表具。该类表具支持对预付费的水、燃气和热力给予正常的供应。3.28服务类终端servicetypeterminal该类终端包括充值机、自动售卡机、验卡机、自动圈存机等设备。该类终端支持在公共场所对公众完成售卡、充值、验卡、圈存等服务。3.29安全存取模块secureaccessmodule一种能够提供必要的安全机制以防止外界对终端所储存或处理的数据进行非法攻击的硬件加密模块。3.30控制位accessbit逻辑加密卡中控制数据块读写权限的标志位4缩略语和符号ADF应用数据文件(applicationdefinitionfile)AEF应用基本文件(applicationelementaryfile)AID应用标识符(applicationidentifier)APDU应用协议数据单元(applicationprotocoldataunit)BLOCK块非接触卡数据存贮单元CLA命令报文的类别字节(classbyteofthecommandmessage)CPU中央处理器(centralprocessingunit)CSN卡片唯一号(cardsinglenumber)DDF目录数据文件(directorydefinitionfile)DF专用文件(dedicatedfile)DIR目录(directory)EF基本文件(elementaryfile)FCI文件控制信息(filecontrolinformation)IC集成电路(integratedcircuit)IEC国际电S委员会(internationalelectrotechnicaIcommission)INS命令报文的指令字节(instructionbyteofcommandmessage)IP网络协议(internetprotocol)ISAM充值安全存取模块(inputsecureaccessmodule)ISO国际标准化组织(internationalorganizationforstandardization)Lc终端发出的命令数据的实际长度(exactlengthofdatasentbytheTAI.inAcase3or4command)响应数据的最大期望长度(maximumlengthofdataexpectedbytheTAI.inresponsetoacase2or4command)响应数据域的长度(lengthofresponsedatafield)LMrAC报文鉴别代码(messageauthenticationcode) CJ/T166-2002MF主控文件(masterfile)P1参数1(parameter1)P2参数2(parameter2)PCD接近祸合设备(proximitycouplingdevice)PICC接近式卡(proximitycard)PIN个人密码(personalidentificationnumber)PSAM消费安全存取模块(purchasesecureaccessmodule)SAM安全存取模块(secureaccessmodule)SECTOR扇区，非接触式IC卡数据存贮单位。本标准规定的卡的数据存贮单位分16个扇区，每个扇区分4个块SFI短文件标识符(shortfileidentifier)SW1状态字1(statuswordone)SW2状态字2(statuswordtwo)TAC交易验证码(transactionauthorizationcryptogram)VLAN虚拟局域网(virtuallocalareanetwork)5卡片技术要求5.1接触式IC卡接触式IC卡的物理特性、逻辑接口与传输协议应符合ISO/IEC7816系列标准。5.1.1接触式IC卡物理特性接触式IC卡应符合ISO/IEC7816-1中有关物理特性的要求(如紫外线、X一射线、触点的表面断面、机械强度、电磁特性、抗静电特性等)。5.1.2接触式IC卡触点的尺寸和位1t接触式IC卡的每个触点的尺寸、数量和位置、分配以及表面接触电阻等应符合ISO/IEC7816-2的要求。5.1.3接触式IC卡的电信号和传输协议接触式IC卡触点的电特性、操作过程、复位应答、协议类型选择、T=。异步半双工字符传输协议、T=1异步半双工块传输协议应符合ISO/IEC7816-3的要求。5.2非接触式IC卡本标准所定义的非接触式IC卡的物理特性、初始化、防冲突及传输协议应符合ISO/IEC14443系列标准。5.2.1非接触式IC卡物理特性非接触式IC卡物理特性应符合ISO/IEC14443-1中有关物理特性的要求(如一般特性、尺寸、紫外线、X射线、动态弯曲应力、动态扭曲应力、交变磁场、交变电场、静电、静电磁场、工作温度等)。5.2.2非接触式IC卡射频功率和信号接口非接触式IC卡的射频功率和信号接口应符合ISO/IEC14443-2中的要求(如功率传送、从PCD到PICC的通信、从PICC到PCD的通信等)5.2.3非接触式IC卡的初始化和防冲突非接触式IC卡的初始化和防冲突应符合ISO/IEC14443-3中有关初始化、防冲突等要求5.2.4非接触式IC卡的传输协议非接触式IC卡应符合ISO/IEC14443-4中有关激活协议和半双工块传输协议等要求。5.3CPU卡的数据元和文件结构CPU卡中的每一个应用都包括一系列信息项，在终端成功地完成应用选择后可以对这些信息进行 CJ/T166--2002访问(参见本标准应用选择部分)。一个信息项称为一个数据元。数据元是信息的最小单位，它用名称、逻辑内容说明、格式及代码来标识5.3.1CPU卡文件结构CPU卡的文件结构应符合ISO/IEC7816-4中的要求。从终端角度来看，各应用与根目录呈一种可通过目录结构访问的树形结构。树的每一分支是一个应用数据文件(ADF)。一个ADF是一个或多个应用基本文件(AEF)的人口点。一个ADF及其相关数据文件处于树的同一分支上。5.3.2应用数据文件(ADF)ADF的树形结构(见图l:a)能够将数据文件与应用联系起来;b)确保应用之间的独立性;c)可以通过应用选择实现对其逻辑结构的访问。从终端角度来看，ADF是一个只包含其文件控制信息(FCI)中纯数据对象的文件。5.3.3应用基本文件(AEF)一个AEF包含一个或多个原始基本编码规则—标签、长度、值(BER-TLV)数据对象。但在选择了某一个应用后，其查询方式见5.3.65.3.4ISO/IEC7816-4文件结构中文件的映象ISO/IEC7816-4中使用下列映象表:a)包含一个FC工的专用文件(DF)(ISO/IEC7816-4中定义)被映象为ADF，可以通过它来访问EF和DF。在卡中处于最高层的DF称为主控文件(MF),b)包含一组记录中的基本文件(EF)(ISO/IEC7816-4中定义)被映象为AEF.EF不能作为进人另一个不同DF文件的人口点。在本标准中，DF中相连的EF的访问是透明的。5.3.5目录结构IC卡支持用于MF下各应用列表的目录结构。目录结构必备的文件是目录文件(DIR文件)和一些可选的由目录数据文件(DDF)引用的附加目录。目录结构采用以其应用标识符(AID)的方式进人一个应用，或以AID的前N个字节作为DDF名的方式进人一组应用。DIR文件是一个AEF(一个记录结构的EF)，它包含ISO/IEC7816-5中定义的数据对象:a)本标准中描述的一个或多个应用模板(标签为‘61");b)可能在目录自由模板中出现的其他数据对象(标签为‘73").这些模板中包含的数据对象不在本标准中定义。在IC卡中的应用目录都是可选的.且不限制它们存在的数量。其中每个目录的位置由包括在每个DDF中的FCI的目录SFI数据对象指定。5.3.6文件查询依照其类型，文件可以通过文件名或SFI进行查询。a)卡中的任何ADF或DDF可通过其DF名查询，ADF的DF名对应其AID，每个DF名在给定的卡中应是唯一的。b)SFI用于选择AEF。对给定应用中的任何AEF，可以通过SFI(5位代码，取值范围从1^-30)查询SFI的编码在每个用到它的命令中描述。在一个给定的应用中应是唯一的。专用SFI的使用由应用决定。5.3.7卡片结构示例 CJ/T166-2002本标准给出了一个卡片的内部结构见图1，该卡片支持电子钱包以及一个没有定义的发卡方应用。图1卡片内部结构5.4CPU卡的命令5.4.1命令及其晌应的APDU的内容及格式命令的APDU的内容及格式见表1，响应的APDU的内容及格式见表2.表1命令APDU的内容及格式代码描述长度/byteCLA命令类别1INS指令代码1PI命令参数11P2命令参数21Lc命令数据域中存在的字节数0或1Data命令发送的数据位串-LcLe响应数据域中期望的最大数据字节数0或1表2响应APDU的内容及格式代码描述长度/byteData响应中接受的数据位申=LeSW1命令处理状态1SW2命令处理限定15.4.2命令集命令集见表3,表3命令集编号指令名称CLAINS功能描述1APPENDRECORD00/04E2增加记录2VERIFY00/0420验证口令3EXTERNALAUTHENTICATE0082外部认证4GETCHALLENGE0084取随机数5INTERNALAUTHENTICATE0088内部认证 CJ/T166-2002表3(续)编号指令名称C,AINS功能描述6SELECTFILE00A4选择文件l7READBINARY00/04B0读二进制文件8READRECORD00/04B2一读记录文件9GETRESPONSE00CO取响应数据10UPDATEBINARY00/04D6/DO写二进制文件11UPDATERECORD00/04】)C/D2写记录文件12CARDBLOCK8416卡片锁定13APPLICATIONUNBLOCK8418应用解锁14APPLICATIONBLOCK84IF应用锁定15PINUNBLOCK80/8424个人密码解锁16INITIALIZE8050初始化交易17CREDITFORLOAD8052圈存DEBITFORPURCHASE/CASH188054消费/取现/圈提WITHDRAW/UNLOAD19UPDATEOVERDRAWLIMI"I8058修改透支限额20GETTRANSCATIONPROVE8O5A取交易认证21GETBALANCE805C读余额22RELOAD/CHANGEPIN805E重装/修改个人密码23PULL8030专用消费24CHARGE8032专用充值25INITIALIZEFORCHARGE/PULL8050专用充值/消费初始化26GETSPECIALTRANPROOF805A专用充值/消费取认证说明:本表中第1-11条命令的解释参照ISOAEC7816系列标准:本表中第12^22条命令的解释参照《中国金融集成电路(IC)卡规范》。5.4.3PULL命令5.4.3.1范围本命令用于专用消费。5.4.3.2命令报文命令报文见表40表4PULL命令报文代码含义CLA"80"INS"30"Pi"oo"r2，00，Lc，OF，Data见表5Le"OS" CJ/T166一20025.4.3.3命令报文数据域命令报文数据域见表5。表5命令报文数据域说明长度/byte终端交易序号4交易日期4交易时间3MACI45.4.3.4响应报文数据域响应报文数据域见表6。表6响应报文数据域说明长度儿yteTAC刁MACZ45.4.3.5响应报文状态本命令执行成功的状态码是’9OO0’IC卡可能回送的错误状态码见表7。表了PULL命令错误状态SWISWZ含义6581内存失败6700Lc不正确6981不是钱包文件.6982安全状态不满足6986命令不允许6A80数据域的参数不正确6A8l功能不支持杭A86参数PIPZ不正确93O2MAC错误94Ol金额溢出或本次金额为。5.4.4CHARGE命令5.4.4.1范围本命令用于向对应电子钱包中充值。54.4.2命令报文命令报文见表8表SCHARGE命令报文代码含义"{CIAINS，32，Pl，00，P2，00，工_c0B CJ/T166-2002表8(续)代码含义Data见表9Le045.4-4.3命令报文数据域命令报文数据域见表9,表9命令报文数据域说明长度儿yte交易日期4交易时间3MAC245.4-4.4响应报文数据域响应报文数据域见表10表10响应报文数据域说明长度儿yteTAC44.4.5响应报文状态本命令执行成功的状态码是’9000"0IC卡可能回送的错误状态码见表11,表11CHARGE命令错误状态SW1SW2含义6581内存失败6700Lc不正确6981不是钱包文件6982安全状态不满足6986命令不允许6A80数据域的参数不正确6A81功能不支持6A86参数I"1P2不正确9302MAC错误9401金额溢出或本次金额为。5.4.5INITIALIZEFORCHARGE/PULL命令5.4.5门范围本命令用于电子钱包初始化充值/消费交易。5.4.5.2命令报文命令报文见表12和表13,表12INITIALIZENORCHARGE命令报文代码含义CLA"80"INS"50"P1"Al"=充值 CJ/T166-2002表12(续)代码含义P2lo"Ix"OsDa之a见表14I.e"IO"表13INITIALIZEFORPULL命令报文代码含义CLA"AO"INS"50"Pl"A2"-消费P2"00"Lc，OB，Data见表14Le，OC"5.4.5.3命令报文数据域命令报文数据域见表14,表14命令报文数据域说明长度儿yte密钥索引号1交易金额1终端机编号64.5.4响应报文数据域P1=A1时，充值命令执行成功的响应报文数据域见表150表15充值响应报文数据域说明长度/byte余额4IC卡充值交易序号2密钥版本1算法标识工伪随机数4MACI4P1-A2时，消费命令执行成功的响应报文数据域见表16 CJ/T166-2002表16消费响应报文数据域说明长度/byte余额4IC卡消费交易序号2密钥版本1算法标识I伪随机数45.4.5.5响应报文状态本命令执行成功的状态码是’9000"0IC卡可能回送的错误状态码见表170表17INITIALIZEFORCHARGE/PULL命令错误状态SW1SW2含义6581内存错误6700Lc不正确6985使用条件不满足6A81功能不支持6A86P1,P2参数不正确9403密钥索引号不支持5.4.6GETSPECIALTRANPROOF命令5.4.6.1范围本命令提供了一种在充值/消费交易处理过程中拔出/离开并重新插人/进人感应区后卡片的恢复机制。5.4.6.2命令报文命令报文见表18.表18GETSPECIALTRANPROOF命令报文代码含义CLA，8o"INS，5八，P1"A1"=充值，"Al"-消费P2"00"Ic"02"Data当前的充值/消费交易序号Ie，08，5.4-6.3命令报文数据域命令报文数据域为当前的充值/消费交易序号(加1前)。5.4.6.4响应报文数据域4字节MAC2.4字节TACO5.4-6.5响应报文状态本命令执行成功的状态码是’9000"0IC卡可能回送的错误状态码见表19 CJ/T166-2002表19GETSPECIALTRANPROOF命令错误状态SW1SW2含义6581内存错误6700L。不正确6985使用条件不满足6A81功能不支持9406所需TAC/MAC2不可用6终端技术要求6.1终端的基本性能要求6.1.1基本物理配置对于任何类型的终端一般都应配置以下部件:显示器、读写部件、安全存取模块(SAM)、数据交换通道、电源、内存或其他存储设备。上述部件应符合国家或行业的相关产品标准。6.1.2终端交易时间要求在脱机交易状态下:非接触CPU卡消费类终端的交易时间不大于250ms.非接触逻辑加密卡消费类终端的交易时间不大于300ms.一一接触式CPU卡消费类终端的交易时间不大于850ms(不包括发票打印时间)。—接触式CPU卡表具类终端的交易时间不大于1050ms(数据下载和上传的时间不计算在内)。服务类终端的交易时间不作规定。6.2终端的一般要求6.2门消费类终端和表具类终端的气候环境、机械环境、可靠性、安全性、电磁兼容性要求应符合产品的行业标准。没有行业标准的可以根据需要制定自己的产品标准，但关于产品的气候环境、机械环境、可靠性、安全性、电磁兼容性的要求至少应符合GB/T18239-200。的相应条款6.2.2终端的1C卡读写端口的物理特性、逻辑接口、通信协议6.2.2.1接触式终端的IC卡读写端口的物理特性应符合ISO/IEC7816-1和ISOAEC7816-2的要求6.2.2.2接触式终端的1C卡读写端口的逻辑接口、通讯协议应符合ISO/IEC7816-3的要求。6.2.2.3非接触式终端的1C卡读写端口的逻辑接口和通信协议应符合ISO/IEC14443-3,ISO/IEC14443-4的要求。6.3终端的多应用要求6.3.1基本要求多应用终端应给用户提供一个按优先级排序的列表以供选择。6.3.2终端多应用的管理终端多应用的管理应达到以下目标:a)各个应用之间不能互相影响各应用必须相互独立运行。b)共享数据必须保证:所有的应用可以共享终端中的通用数据，各应用的专用数据不能被其他应用得到。6.4终端的功能要求本节从终端角度对充值、消费交易的一般功能、流程等方面提出了基本要求。终端的个性化功能设计、有关系统设计及后台处理等内容不属于本标准范围6.4.1服务类终端 CJ/T166-2002充值设备是服务类终端中安全技术要求最高的设备，本标准仅对充值设备提出要求。6.4.1.1充值设备一般要求充值交易无论在充值设备联机或脱机进行交易时，充值设备应首先对IC卡的合法性予以验证，同时检查账户状况及其他交易数据。如果发卡方因某种原因不能接受交易，那么充值设备必须显示相应的告知信息。6.4.1.2安全要求充值交易时，必须使用特定的充值安全存取模块(ISAM),ISAM是由IC卡发行主管部门发行的可以用于对各种IC卡进行充值安全认证的卡(模块)，安装在各充值点的充值设备中充值设备在IC卡以及ISAM之间建立通信链路，充值设备的安全认证由IC卡和ISAM共同完成。充值设备只是在IC卡和]SAM之间传输安全信息，不参与进行密钥加密计算的过程。充值设备在充值时与IC卡交易清算中心有联机方式、半脱机方式和脱机方式三种类型。该类设备在设计时应对交易清算中心授权的时间、次数和金额进行限制，防止该类设备在非法被使用时给系统造成重大损失(例如伪充值记录)。充值设备在与交易清算中心的双向身份认证、密钥传送、授权、交易记录上传及黑名单下载等的通讯过程应采用密文加校验传送。6.4.1.3CPU卡充值设备的交易流程本交易流程采用专用充值命令，CPU卡充值设备的充值交易流程见图20开始发出充值初始化命令Initializeforcharge处理亮值初始化命令IC卡处理否终端/ISAM处理验证MAC1返回错误条件图2CPU卡充值设备的交易流程6.4.2消费类/表具类终端6.4.2.1一般要求消费类终端的消费交易允许持卡人使用电子钱包的余额获取服务。此交易在消费类终端中记录交易数据。由终端将交易记录数据上传到交易清算中心。 CJ/T166-2002表具类终端允许持卡人使用计量文件中的预付值对终端充值以获取服务，并实现计量功能。此交易允许通过IC卡完成管理部门对终端的设置功能，同时通过IC卡将统计数据上传至管理部门。6.4.2.2安全要求消费交易时.必须使用特定的消费安全存取模块(PSAM),PSAM是由IC卡发行主管部门发行的可以用于对各种IC卡进行消费安全认证的卡(模块)，安装在各类消费机具/表具中。消费机具/表具在IC卡以及PSAM之间建立通信链路，消费机具/表具的安全认证由IC卡和PSAM共同完成。6.4.2.3交易流程消费类终端的消费交易分为单一票价消费、计程收费消费和月票消费等。单一票价消费和计程收费消费可以归纳为是在小钱包扣款，而月票消费也是在月票小钱包扣次。表具类终端的消费交易一般为计量值的消费，计量值与金额的对应关系由管理部门规定。由表具的实际使用值去自动扣除表具的预付值.实现消费交易。无论各种功能的消费类终端还是表具类终端在完成消费的基本交易流程都是在钱包内扣减数量，为了保证在一个大的系统内各类终端能在规定的技术规范下统一进行消费交易和非正常中断的数据恢复机制，本标准只规定消费有关的消费的基本交易流程。6.4.2.3.1CPU卡消费机具/表具的基本交易流程本交易流程采用专用消费命令，适用于CPU卡消费类终端和表具类终端的基本消费交易流程见图3图3CPU卡消费类/表具类终端基本交易流程 CJ/T166-20026.4.2.3.2非接触式逻辑加密卡消费类终端的基本交易流程非接触式逻辑加密卡消费类终端的基本交易流程见图4.图4非接触式逻辑加密卡消费类终端的基本交易流程非接触逻辑加密卡消费类终端的基本交易流程和非正常中断的数据恢复流程都由终端的程序来完成(细节见参考件)。6.5终端的数据安全要求6.5.1一般要求各类终端一般存在两种类型的数据:a)通用数据:包括时间、终端识别号以及终端存储的交易记录等数据，外界可以对这些数据进行访问，但不允许进行无授权的修改;b)敏感数据:包括密钥、应用内部的参数(如PSAM标识号，密钥索引等)，在未授权的情况下，外界不允许对这类数据进行访问和修改6.5.1.1通用数据安全要求通用数据一般存储在终端的存储器中。在更新参数和下装新的应用程序时，终端必须做到:a)只允许终端所有者或终端所有者授权的服务方验证身份并下载应用程序。b)校验下载数据的完整性。对存储器要求必须做到:无论在什么情况下，终端中的数据都不会随意改变和丢失，并保证数据有效。所有与交易相关的数据均以记录的形式存储在终端的存储器中，终端必须保证这些数据的完整性。6.5.1.2敏感数据安全要求所有敏感数据都存储在安全存取模块中。对于安全模块的硬件形式在本标准中不作具体要求。在正常的操作环境下，对安全存取模块必须要求:出入模块的、以及其内部存放和正在处理的数据不会由于模块自身或其接口造成任何泄露和改变。安全存取模块的使用细节见参考件。6.5.1.3交易上传数据终端需要上传的交易记录至少包括如下40字节数据，其格式见表206.5.2非正常中断数据恢复机制如果终端在处理IC卡交易时，卡被突然拔出、非接触IC卡离开感应区或由于终端方面的原因突然停止操作(如发生断电)，终端应能监测到卡被拔出又重新插入、非接触卡重新进人感应区或检测到终端恢复供电后应对卡非正常交易的错误数据实施恢复处理。在以上情况下，终端应进人这样一种状态:即持卡人应将原来的IC卡重新插人或进人感应区，并等16 CJ/T166-2002待最后一次交易完成。如果持卡人未插人IC卡或未进人感应区，则终端应提示持卡人重新插人或进人原来的IC卡。终端还应能够自动(插人超时)或以人工方式(如操作员按下取消键)退出这种待插卡状态。在上述操作后，终端应执行以下操作之一:a)完成IC.卡的最后一笔交易.向持卡人显示交易已完成(如果IC卡余额已被更新)b)取消最后一笔交易.向持卡人显示交易已被取消(如果IC卡余额没有被更新)表20交易上传数据格式要求序号数据项(逻辑加密卡)格式长度/byte数据项(CPU卡)长度/byte备注1唯一代码HEX42城市代码BCD23行业代码BCD2卡号164交易流水号BCD4HEX4J卡认证码6卡类BCD1卡类17钱包累计交易次数HEX2消费交易计数器2R原额HEX4原额4交易前余额9交易金额HEX3交易金额310交易日期BCD4交易日期4YYYY/MM/DDI1交易时间BCD3交易时间3HH/MM/SS12交易类型BCD1交易类型113保留HEX2充值交易计数器2保留时以FF填充1礴TACHEX4TAC4合计40406.6黑名单管理消费类终端和服务类终端应具有黑名单存储和检索功能，以实现IC卡脱机交易的安全处理。黑名单管理包括黑名单的收集、分发、存储、检索、更新等原则性的定义，黑名单的收集、黑名单的存储格式和内容的细节将不在本标准之内。6.6门黑名单的记录类型黑名单文件应该能够存储两种格式的黑名单记录:a)应用序列号;b)应用序列号的区间。6.6.2黑名单检查黑名单检查操作在IC卡有效性检查过程中进行。卡片开始操作后。回送包括应用序列号在内的公共数据。终端根据序列号进行黑名单检查操作，检查该卡是否在终端存储的黑名单卡之列。6.6.3黑名单更新黑名单文件更新包括增加、删除和重新下载等操作，需要在安全环境下进行。安全要求应包括:a)主机和终端间通信数据的安全性和完整性;b)终端对黑名单更新操作的安全认证;c)更新周期要满足应用要求。6.6.4黑名单库的容fm求17 CJ/T166-2002容量要满足应用的要求，最低不小于100。条。7应用技术要求本节所涉及的技术要求是IC卡应用的基本要求，软件开发商和系统集成商在开发和实施建设事业IC卡应用系统项目时，应遵循本标准所规定的基本技术要求。在具体实施过程中，终端交易流程是基本技术要求。对于卡片应用文件结构，根据目前国内的实际情况.本标准规定了用于消费类的非接触式逻辑加密卡的应用文件结构要求及用于表具类和消费类领域的接触式、非接触式CPU卡的应用文件结构要求。本标准从系统安全角度出发，规定了主机系统、网络系统、卡片介质和卡片终端的安全基本原则和要求。7.1交易流程了.1.，卡片发行流程卡片发行是指对生产商提供的空白的IC卡进行初始化.创建文件结构，写人初始化数据和发行商信息的过程。卡片发行必须在具有安全保障和严格控制的专用场所统一进行。卡片发行流程示意见图57.1.2消费类Ic卡交易流程非接触式逻辑加密卡单一票制消费交易流程见图6(典型的公交消费终端交易流程图)。CPU卡消费交易流程见图7.7.1.3表具类Ic卡交易流程表具类CPU卡消费交易流程见图8.7.2卡片应用文件结构7.2.1非接触式逻辑加密卡应用文件结构本节规定了非接触逻辑加密Ic卡的文件数据结构卡片应用分区必须设置目录区、应用发行区、电子钱包区、交易记录区、公共信息区。也可根据需要设置其他应用分区。7.2门1应用文件结构应用文件结构见表210图5卡片发行流程 CJ/T166-2002开始读应用分区表和用户基本信息矗二矗、星非正常卡处理寺否唯一代码、城市代码、卡号、卡认证码、文件标识送安全模块安全模块认证卡非正常卡处理的合法性{是安全模块计算出钱包区、公共信息区、交易记录区等的KEY读公共信息区的内容判黑名单标志非正常卡处理判月票区的合法性月票桑次扣减判钱包区的合法性扣交易金顺认证交易记录区、写卡交易记录认证公共信息区写交易指钦皿计交易次致写交易类取写钱包副本把交易时间、交易金额、交易次数送安全存取镇块计算TAC组谏图6非接触式逻辑加密卡消费交易流程 CJ/T166-2002开始读公共基本信息文件读个人基本信息文件得到卡号、卡类查黑名单判应用类型标识非正常卡处理和有效日期安全模块认证卜的合法性根据卡类计算扣欲金额到钱包余倾)交易金顺返回扣交易金额写交易指针、戮计交易次数空易时间、交易金倾、交易次盆等安全模块计算MAC写POS机交易记录结束图7消费类CPU卡消费交易流程20 CJ/T166-2002圈8表具类CPU卡消费交易流程表21应用文件结构SectorBlock01234567R9ABCDE口00唯一代码(CSN)0应用标1100011003030306FFFFFFFFFFFFFFFFFF识目录22区33KeyAO(读)AccessKeyBO(写)城市行业启用04发行流水号卡认证码卡类押金校验代码代码标识15发行日期有效日期启用日期保留校脸发1区充值时间本次加26原额1操作员号校验年月日时款值37KeyA1(读)AccessBitKeyBl(写) CJ/T166-2002表21(续)7.2.1.2分区说明7.2.1.2.1目录区由于各个城市的应用各不相同，为了使终端能识别在iC卡上存在哪些应用，设立目录区，以便对应用的文件进行编码，见表22. CJ/T166-2002表22分区编码应用文件文件标识(HEX)目录区00发行区01交易记录区03公共信息区06公共钱包区10未使用扇区FF目录区建立在目录扇区的1块，其每个字节代表相应的文件所在的区例题:应用标志目录区所有的内容代表:目录区0扇区发行区1扇区公用钱包2扇区交易记录区3,4,5扇区公共信息区6扇区目录区文件结构见表23,表23目录区结构SectorBlock0123456789ABCDEF0唯一代码(CSN)0100011003030306FFFFFFFFFFFFFFFFFF应用标识目录2区3KeyAO(读)AccessB"tKeyBO(写)交易记录区的扇区要连续使用访问条件:目录区固定在扇区。，目录区的KeyA为“AOAIA2A3A4八5",认证目录区文件的KeyA可以对目录区实现读操作。认证目录区文件的KeyB可以对目录区实现写操作目录区文件的KeyB由安全模块计算。7.2.1.2.2发行区文件卡的发行信息包括卡的卡号、卡的发行日期、有效日期、启用日期、启用标志、卡类和卡押金。同时又包含卡的充值信息:充值时间(年/月/日/时)、原额、本次充值额、充值设备编号和操作员工号只有发行机构的初始化系统和充值系统具有读、写发行区的功能，其他系统只具有读的功能。发行区文件结构见表24.表24发行区结构城市行业0-4发行流水号卡认证码J4f卡类押金校验代码代码9D厄卜5发行日期有效日期启用日期保留校验发117区充值时间本次充2-6原额1操作员号校验年月日时值金额3-7KeyAl(读)AccessBitKeyBO(写) Q/T166-2002a)卡号卡号由城市代码、行业代码、发行流水号和卡的认证码构成。卡的认证码由卡的唯一代码(CSN)、城市代码和发行流水号与内部的Key，经过加密运算得到，用以认证IC卡的合法性。b)卡的类别根据持卡人的不同，可分为普通卡、优惠卡等。卡的类别的编码表见表25,表25卡类别的编码表类别代码普通卡00其他不规定c)发行日期、有效日期和启用日期卡的发行日期/有效日期和启用日期的年、月、日表示方法应符合GB/T7405规定。卡的发行数据定义见表260表26卡的发行数据定义名称长度内容数据格式1城市代号2邮政城市代码前圣位BCD2行业代码2按本标准规定BCD3发行流水号4发卡机构在发行时生成的发行序号BCD4卡认证码4用以认证用户卡的合法性HEX5启用标志1卡的发行机构初始化后的标志位HEX6卡类1卡类代码HEX/BCD7押金1用户购卡时付的卡的价值的押金HEX8校验1用于校验发行数据区数据的正确性HEX9发行日期4年、月、日BCD10有效日期吐年、月、日BCD11发行流水号4年、月、日BCD城市代码应用城市代码按邮政的城市代码的前4位确定行业代码按建设部的规定，记录行业代码。行业代码见表27发行流水号发卡机构在对卡进行初始化时给出的流水号。卡的认证码由卡的唯一代码(CSN)、用户卡的城市代码和发行流水号与内部的Key，经过加密运算得到，用以认证用户卡的合法性。表27行业代码表序号行业代码1城市通用00z公交013出租汽车024地铁03 CJ/T166-2002表27(续)序号行业代码5轻轨046轮渡0s7园林068道路079旅游大巴0810停车场0921预付费表具2022自来水2123煤气2224热能23d)启用标志表示卡初始化后的使用标志，其定义见表28,表28启用标志编码意义01未启用02启用03停用04黑名单卡e)充值记录充值记录包括充值日期、充值前钱包原额、本次充值金额、充值后钱包余额、充值设备编号、操作员工号。充值日期记录当前充值的日期，J钊卜、月、日，表示方法应符合GB/T7408规定。原额记录本次充值前卡内钱包的剩余金额。本次充值额记录当次充值数额余额记录本次充值后卡内钱包的金额。充值设备编号记录完成当次充值的终端设备编号。操作员工号记录完成当次充值的操作员工号。充值记录的数据结构见表290表29充值记录数据结构名称长度儿yce内容数据格式充值日期4年、月、日BCD原额14RMB兀、角、分HEX本次充值金额2RMB元BCD C)/T166-2002表29(续)名称长度/byte内容数据格式累计加款值4RMB元、角、分HEX余额4RMB元、角、分HEX充值设备编号4BCD操作员工号2BCDf)访问条件发行区的KeyA二前6字节12文件存取控制读=自由写=需要安全信息字节数据元长度/bytel年12月13=6月用量4表具类终端每次对用户IC卡操作时，把各月的统计数据写回统计文件，发卡方通过统计文件中的内容对用户的使用情况进行查询和统计，统计文件至少应能存储12个月的使用量。—计量文件见表510表51计A文件字段名长度/byte购买量消费交易序号(次数)充值交易序号(次数)计量文件中存储的购买量是指用户购买的预付值。发卡方对IC卡进行充值操作时应根据价格对用户收取相应的资金。用户在预付费终端消费时.计量文件中的购买量一次性或分次被扣除，同时终端存储的剩余量相应增加。一一行业应用交易记录文件见表520 cJ/T166-2002表52行业应用交易记录文件文件标识(SFD18H文件类型循环记录文件大小18H文件存取控制读=自由写=需要安全信息字节数据元长度/byte1一6终端机编号6备注:行业代码(2)+序号(4)7-13交易日期时间714-17交易金额418交易类型1备注02=消费19-22现有余额42324交易序号2以上数据格式中未经特殊指出的均为BCD码。7.3应用系统安全要求7.3.1安全保密的基本原则根据目前我国建设部所辖行业的实际情况，建设事业IC卡应用安全保密的基本原则是:a)安全服从于国家利益:任何部门或机构在实施安全管理时应遵循国家有关法律、法规，并接受国家相关部门的指导、监督和检查。b)独立自主:在建设事业IC卡应用中，凡涉及安全保密的重要环节，所用技术与产品应遵守国家有关管理部门的规定。c)选用成熟技术:建设事业IC卡应用系统应尽量采用成熟的技术和产品。7.3.2主机系统安全要求7.3.2.1主机系统安全要求要点为保证主机系统的安全，应采取以下措施:a)关键数据不以明码的形式出现在系统与网络上的任何地方;b)发现受到攻击时，能够马上进行封闭;c)任何操作和数据存取在系统中留下记录;d)禁止使用者接触与之无关的数据和进行无权进行的操作，防止无意的误操作。7.3-2.2主机系统安全措施要点a)主机用户管理主机操作系统提供了用户登录注册、口令和权限等控制措施;系统管理员在进人应用系统控制平台维护系统时须再次通过新的登录和密码检验，从而保证系统的安全。b)主机文档管理主机操作系统提供完善的文档及周边设备的使用权限管理，系统管理和维护人员可以分别针对每个人或工作组设定不同的文档读写及执行权限。)安全规范主机系统安全管理符合GB/T18336所规定的等级安全规范要求。d)系统审计在主机系统中通过设置审计功能，可以对主机系统中关键数据文件和代码存取进行记录，以文件形式保留备查。35 CJ/T166--20027.3.3网络系统安全要求a)采用可按端口级和MAC地址级划分VLAN的以太交换机，具有MAC地址过滤功能保证局域网络的安全;b)利用路由器IP地址过滤功能，防止非法IP节点的侵人;c)利用网管工作站实时网络自动发现功能，一旦在网络拓扑图中出现新的IP节点，自动产生报警或执行自动操作进行断链;d)对于分组交换网，建议采用闭合用户群的方式加强网络的安全;e)尽可能选用本系统专用网;f)对于拨号方式，利用路由器的Chat协议进行身份认证;S)双机备份、交易日志、非正常中断的恢复功能、信息传输过程的加密和MAC校验、定时对帐、通信中断后的身份认证程序等。7.3.4终端安全要求终端能够识别操作IC卡，终端的安全是IC卡应用系统安全的重要条件。终端的管理要遵循以下原则:7.3.4.1终端程序的下载建设事业IC卡使用的终端必须统一编号，统一管理:a)开发终端程序的软件包必须严格控制;b)终端对程序的下载必须有口令控制，以防止非法下载;c)终端程序的下载由专人执行，并做记录。7.34.2终端的加密安全存取模块(ISAM,PSAM)具备以下功能:a)保护所有敏感数据不会泄漏;b)受到非法攻击和篡改会自动删除内部的所有敏感数据;c)批准交易时可进行黑名单查找;d)完成安全报文传送和密钥算法。7.14.3终端内部应用的安全如果终端上有多个应用.在应用程序上做到:公用数据可以共享，各应用的内部数据要相互独立。8密钥系统和安全认证技术要求本节规定了建设事业IC卡应用项目中密钥系统和服务中的互操作性建立的需求和指南。阐明了各类密钥的生成、发行、更新和使用办法，各类安全存取模块的数据结构.用户卡和各类消费终端的安全认证流程，各类数据安全报文的传送方式等安全方面的要求。本节规定了密钥系统的最低要求，一个城市的密钥系统，无论是在一台计算机或一台终端上实现.不能以比本标准规定的安全、保护或控制要求还要低的方式来实现或控制。8.1密钥系统密钥系统分为部级密钥系统和城市级密钥系统两级。8.2城市密钥系统城市密钥系统的作用是生成城市的充值根密钥和产生城市各行业的充值主密钥以及发行ISAM和用户卡。8.2.1密钥的种类公共充值密钥、行业充值密钥、PIN解锁主密钥,PIN重装主密钥、ISAM维护密钥。8.2.2密钥的生成和发行36 CJ/T166-20028.2.2.1密钥生成的基本安全要求为保证密钥的安全和防止密钥的泄露，在密钥生成时，应采取以下措施:a)密钥生成采用多人生成或硬件加密的方式;b)密钥生成的环境应保证绝对安全;。)参加密钥生成的特殊人员的安全管理规定;d)密钥生成过程必须按照严格的操作规程进行8.22.2密钥生成方式密钥一般采用集中方式生成，即由项目最高管理机构生成相应的各种主密钥组，其他密钥由该组密钥分散生成。密钥生成的两种基本方法:a)不重复的密钥生成:随机过程，生成不可恢复的密钥.每次的数值不相同;b)可重复的密钥生成:密钥变换、密钥衍生;而且密钥的生成是可以重复的，在需要的情况下能够重新得到与原来相同的密钥值。8.2.2.3密钥生成的安全技术不需重复生成的密钥采用随机产生的办法生成，由系统随机产生这些密钥，写人安全存取模块中保存，可重复生成的密钥采用密钥交换或密钥衍生的办法生成，确保密钥变换或密钥衍生的过程绝对安全。8.2.2.4密钥发行方式密钥的发行采用梯级生成、下发方式。即由上一级生成下一级所需的各种子密钥，并以卡片的形式传递给下一级。8.2.2.5密钥发行的安全技术使用传输密钥控制业务主密钥的加密装载、直接加密导出、分散加密导出。8.2.3密钥的更新8.2.3.1密钥更新的基本安全要求当密钥的生命周期结束或系统密钥泄露后。需要进行密钥更新。密钥更新的基本原则是保护持卡人的利益不受损害，不影响持卡人的正常交易;密钥更新的全过程必须保证系统的安全性能不受影响。8.2-3.2正常密钥更新正常密钥更新的两种方法:a)密钥替换;b)更换密钥组8.2-3.3紧急密钥更新一旦密钥泄露，必须立即进行紧急密钥更新。紧急密钥更新的主要方法有:a)安装多组紧急密钥备份组;b>停止现有密钥的使用，重新生成密钥。8.3安全存取模块8.3.1安全存取模块的物理安全要求安全存取模块的硬件设计必须能够保证在物理上限制对其内部存储的敏感数据的认证与窃取，以及对安全存取模块的非授权使用和修改一旦安全存取模块受到非法的篡改及攻击，其自身必须能够立即完成对内部敏感数据的有效保护，要实现这些目标.安全存取模块应具有防窃等相应机制。对安全存取模块的构造必须满足下列要求:a)即使通过特别的工具或专用严重破坏的方法，也不能对模块的硬件或软件进行增加、替换或修改;b)任何对敏感数据的访问或修改，只有通过对模块的授权才能达到;37 cJ/T166-2002c)安全存取模块的任何部分的损坏或失效都不会导致敏感数据的泄露;d)如果安全存取模块是由多个分离的部分组合而成，而处理的数据又必须在这些部件之间传递、那么各部件须保持相同的安全级别。8.3.2安全存取模块的逻辑安全要求一个安全存取模块的逻辑设计应保证，调用任何单一功能或组合功能，都不会导致敏感数据的泄露。对于某些敏感数据操作，必须有一定的权限限制安全存取模块中可以存放多组不同版本不同索引的主密钥。所有的主密钥通常必须在终端机使用之前被下装到安全存取模块中。如果在使用过程中，主密钥需要修改.则必须使用安全报文。而要实现这一过程通常必须在特殊的授权情况下完成。对外部不能存在任何取得密钥的机会。为避免伪操作，存放在安全存取模块中的不同类型的主密钥必须与不同特定的应用操作相结合。所有脱机交易相关的主密钥和敏感数据必须存储在安全存取模块中。安全存取模块必须可以实现对称密钥算法。8.3.3PSAM数据结构PSAM数据结构见图10,密钥歌据元文件0015(公共信息文件)0016(终端信息文件)匕黔mic德〕UAf4iAic4)匕&黑RA森公共信息kfO匕黔0017(mADicF羲3g#f公共信。件)匕一一-密钥数据元文件圈10PSAM结构拓扑图PSAM文件详细信息见表530表53PSAM文件详细信息文件名称文件类型文件标识符卜件长度(HEX)操作权限MF3F00满足一定条件可建立文件密钥数据元文件DIR文件记录文件0001读=自由写=需要安全信息公共信息文件二进制文件0015OEH终端信息文件二进制文件001606HADF11001密钥数据元文件应用公共信息文件二进制文件001719H读二自由写=需要安全信息ADF21002密钥数据元文件二进制文件应用公共信息文件001719H读=自由写二需要安全信息ADF31003 cJ/T166-2002表53(续)文件名称文件类型文件标识符阵件长度(HEX)操作权限密钥数据元文件应用公共信息001719H读二自由写=需要安全信息ADF41004密钥数据元文件说明:短文件标识符为文件标识符的低字节的后5位(bit)8.3.4ISAM数据结构ISAM数据结构见图11,ISAM文件详细信息见表54.MF(3F00)密钥效据元文件0015(公共信息文件)0016终端信息文件)ADFl(1001)(公用钱包充值目录)密钥致据元文件0017(ADFI应用墓本数据文件)ADF2(1002)密钥数据元文件0017(ADF2应用基本教据文件)圈11ISAM结构拓#F圈表54ISAM文件详细信息文件名称文件类型文件表示符阵件长度‘HEX)操作权限一lMF3F00密钥数据元文件公共信息文件二进制文件0015000E读=自由写=需要安全信息终端信息文件二进制文件00160006ADF11001密钥数据元文件应用公共信息文件二进制文件00170029读=自由写=需要安全信息ADF21002密钥数据元文件应用公共信息文件二迸制文件00170019读=自由写=需要安全信息8.4安全认证流程8.4.1消费交易安全认证流程消费交易安全认证流程见图12. CJ/T166-2002读取终端信息文料l_发出终端机编号发出渭费密钥索引选择用户卜应用发出发卡方标识、应用序列号等信息发出随机数、用户卡消费初始化交易序号、密例版本、算法标识发出MACI、终端脱机MACI计算交易序号发出MACZ,TAC渭费MAC2校脸发出校脸结果图12消费交易安全认证流程8.4.2充值交易安全认证流程充值交易安全认证流程见图13,读取终端桔息文件}_}发出终端机编号选择AUF匕}发山充值密钥索引发出发卡方标识、应选择用户卡应用并发用序列号等信息厂万送充值初始化命令核对口令返回核对结果{一_}验证卡片口令计算MACI口令核对成功则进行校验MAC1匕}MACI送出充值初始化送响应数据计算MAC2}_一{验证MAC2的IT.确性充值命令更新余额计算TAC码发出IAC终端接收到IAC码确认交易成功图13充值交易安全认证流程'