资源描述
XXXXXXXXXXXX 发布2xxx-xx-x实施2xxx-xx-xx发布城市公共交通IC卡业务及技术应用规范(征求意见稿)第3部分:总则 The Application Standards of business and technology of City Public Transportation IC Card Part III:Technical Requirements for Read-Write Terminal of Public Transportation IC CardJT/T xxxxxxxxxJT中华人民共和国XX标准ICS xxxxxxxX xx备案号:JT/T xxxxxxxxx目 次1 范围12 规范性引用文件13 术语和定义24 符号和缩略语35 数据对象列表55.1 数据元55.2 数据对象列表56 终端技术要求56.1 功能要求56.2 硬件要求67 终端应用技术要求77.1 终端通用要求87.2 激活非接触界面前的处理要求87.3 卡片检测处理要求107.4 应用选择要求117.5 终端初始应用处理要求128 交易类型149 交易流程159.1 圈存交易流程159.2 标准扣费交易流程649.3 分时分段扣费交易流程689.4 脱机预授权交易流程739.5 单次扣款优惠流程78附录A (规范性附录) 终端和受理机构数据元81附录B (规范性附录) 扩展应用SAM交易指令85前 言城市公共交通IC卡业务及技术应用规范分为8个部分: 第1部分:总则; 第2部分:公共交通IC卡技术要求; 第3部分:公共交通IC卡读写终端技术要求; 第4部分:业务规则规范; 第5部分:信息技术接口规范; 第6部分:通讯报文接口规范; 第7部分:安全规范(密钥系统); 第8部分:检测规范。本部分为规范的第3部分。本部分按照GB/T 1.1-2009给出的规则起草。本部分由中华人民共和国交通运输部提出。本部分主要起草单位:。本部分主要起草人:。本部分为首次发布。引 言本部分为城市公共交通IC卡业务及技术应用规范的第3部分,与规范的第1部分、第2部分、第4部分、第5部分、第6部、第7部分和第8部分一起构成城市公共交通IC卡业务及技术应用规范。87JT/T xxxxxxxxx城市公共交通IC卡业务及技术应用规范第3部分:公共交通IC卡读写终端技术要求1 范围本部分对应用于道路运输领域基于智能卡支付应用做出了相关要求和规定,主要应用于公共电汽车、出租车、轨道交通、停车场、城际客运、城际铁路、轮渡等应用场景,支持包括圈存、标准扣费、分时分段扣费、脱机预授权、单次扣款优惠等交易。本部分适用于开展基于城市公共交通IC卡应用的地区、发卡机构以及商户。其使用对象主要是与城市公共交通IC卡应用相关的终端设计、制造、管理、发行、受理以及应用系统的研制、开发、集成和维护等相关部门(单位)。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 2659 世界各国和地区名称代码(GB/T 26592000,ISO 3166-1:1997,EQV)GB/T 4880.1 语种名称代码 第1部分:2字母代码(GB/T 4880.12005,ISO/IEC 639-1:2002,MOD)GB/T 12406 表示货币和资金的代码(GB/T l24062008,ISO 4217:2001,IDT)GB/T 15150 产生报文的银行卡 交换报文规范 金融交易内容(GB/T 151501994,ISO 8583:1987,IDT)GB/T 16649.4 识别卡 带触点的集成电路卡 第4部分:用于交换的结构、安全和命令(GB/T 16649.42010,ISO/IEC 7816-4:2005,IDT)GB/T 16649.5 识别卡 带触点的集成电路卡 第5部分:应用标识符的编号系统和注册程序(GB/T 16649.52002,ISO/IEC 7816-5:1994,NEQ)GB/T 16649.6 识别卡 带触点的集成电路卡 第6部分:行业间数据元(GB/T 16649.62001,ISO/IEC 7816-6:1996,IDT)GB/T 21078.1 银行业务 个人识别码的管理与安全 第1部分:ATM和POS系统中联机PIN处理的基本原则和要求(GB/T 21078.12007,ISO 9564-1:2002,MOD)GB/T 17552 识别卡 金融交易卡(GB/T 175521998,ISO/IEC 7813:1995,IDT)JR/T 0025.3 中国金融集成电路(IC)卡规范 第3部分:与应用无关的IC卡与终端接口规范JR/T 0025.4 中国金融集成电路(IC)卡规范 第4部分:借记/贷记应用规范JR/T 0025.5 中国金融集成电路(IC)卡规范 第5部分:借记/贷记应用卡片规范JR/T 0025.6 中国金融集成电路(IC)卡规范 第6部分:借记/贷记应用终端规范JR/T 0025.7 中国金融集成电路(IC)卡规范 第7部分:借记/贷记应用安全规范JR/T 0025.11 中国金融集成电路(IC)卡规范 第11部分:非接触式IC卡通讯规范JR/T 0025.12 中国金融集成电路(IC)卡规范 第12部分:非接触式IC卡支付规范JR/T 0025.13 中国金融集成电路(IC)卡规范 第13部分:基于借记贷记应用的小额支付规范JR/T 0025.14 中国金融集成电路(IC)卡规范 第14部分:非接触式IC卡小额支付扩展应用规范JR/T 0025.15 中国金融集成电路(IC)卡规范 第15部分:电子现金双币支付应用规范JR/T 0025.17 中国金融集成电路(IC)卡规范 第17部分:借记/贷记应用安全增强规范ISO/IEC 7816-4 识别卡 带触点的集成电路卡 第4部分:行业间交换用命令ISO/IEC 8859(所有部分) 信息处理 八位单字节编码图形字符集3 术语和定义下列术语和定义适用于本文件。3.1 应用 application 卡片和终端之间的应用协议和相关的数据集。3.2 CAPP记录 CAPP records扩展应用专用文件的记录,包括扩展应用循环记录文件和扩展应用专用文件的记录。3.3 扩展应用专用文件 comprehensive application specified file扩展应用专用文件用于存储特定的行业应用信息,通常情况下是变长记录结构文件。3.4 扩展应用循环记录文件 comprehensive application cyclic file扩展应用循环记录文件作为一些日志类的数据记录存储,是循环记录结构文件。每次交易,UPDATE CAPP DATACACHE命令只更新第一条记录。3.5 密文 cryptogram 密码加密运算的结果。3.6 电子现金(EC) electronic cash (EC) 基于城市公共交通IC卡应用上实现的小额支付功能。3.7 电子现金余额 electronic cash balance一个计数器,表示卡片上可脱机消费的金额。3.8 电子现金余额上限 electronic cash funds limit持卡人可用来脱机消费的最大金额。3.9 ID号 identify number 用于区分同一行业在不同地区的应用。3.10 接口设备 interface device终端上插入交通IC卡的部分,包括其中的机械和电气部分。3.11 圈存 load增加卡中电子现金余额的过程。圈存有多种实现方式,可以从主账户中划入金额,也可以现金存款,又或者从其它账户转入金额,但圈存后的电子现金余额不能超过电子现金余额上限。3.12 支付系统环境 payment system environment当符合本规范的支付系统应用被选择,或者用于支付系统应用目的的目录定义文件(DDF)被选择后,交通IC卡中所确立的逻辑条件集合。3.13 近距离支付系统环境 proximity payment systems environment支持的应用标识、应用标签和应用优先指示器的一个列表,可以通过非接触界面访问。该列表包括所有目录的入口,由卡片在SELECT PPSE(“2PAY.SYS.DDF01”)响应的FCI中返回。3.14 脱机预授权交易 offline pre-authorization脱机预授权交易是指受理方将预估的消费金置入交易命令中发送给卡片,卡片通过风险控制和额度检查,批准交易,并冻结卡内对应电子现金额度。3.15 脱机预授权完成交易 offline pre-authorization completion脱机预授权完成交易是指受理方在预授权有效期内以发送交易命令发送给卡片,卡片通过风险控制和额度检查,批准交易,并返还卡内对应的电子现金额度。3.16 脚本 script发卡机构向终端发送的命令或命令序列,目的是向交通IC卡连续输入命令。3.17 终端 terminal在交易点安装、用于与交通IC卡配合共同完成金融交易的设备。它应包括接口设备,也可包括其它的部件和接口(如与主机的通讯)。3.18 交易终止 transaction terminated因为一些原因(包括但不仅限于缺少某些必备数据,终端或卡片故障),规范规定的交易流程没有被执行完成,交易无法继续。3.19 交易拒绝 transaction declined规范规定的流程被执行完毕,但卡片、终端或发卡机构处于某些因素的考虑(包括但不仅限于风险管理、业务规则、政策因素)不允许该笔交易的发生。4 符号和缩略语下列符号和缩略语表示适用于本文件。AAC应用认证密文(Application Authentication Cryptogram)AC应用密文(Application Cryptogram)ADA应用缺省行为(Application Default Action)ADF应用定义文件(Application Definition File)AEF应用基本文件(Application Elementary File)AFL应用文件定位器(Application File Locator)AID应用标识符(Application Identifier)AIP应用交互特征(Application Interchange Profile)ARPC授权响应密文(Authorization Response Cryptogram)ARQC授权请求密文(Authorization Request Cryptogram)ATC应用交易计数器(Application Transaction Counter)ATM自动柜员机(Automated Teller Machine)APDU应用协议数据单元(Application Protocol Data Unit)ATC应用交易计数器(Application Transaction Counter)AUC应用用途控制(Application Usage Control)BER基本编码规则(Basic Encoding Rules)C条件(Condition)CAPP扩展应用(Comprehensive Application)CAM卡片认证方法(Card Authentication Method)CDA复合动态数据认证/应用密文生成(Combined DDA/AC Generation)CDOL卡片风险管理数据对象列表(Card Rish Management Data Object List)CLA命令报文的类别字节(Class Byte of the Command Message)CID密文信息数据(Cryptogram Information Data)cn压缩数字型(Compressed Numeric)CVM持卡人验证方法(Cardholder Verification Method)CVR卡片验证结果(Card Verification Results)DDA动态数据认证(Dynamic Data Authentication)DDOL动态数据认证数据对象列表(Dynamic Data Authentication Data Object List)DF专用文件(Dedicated File)DIR目录(Directory)DOL数据对象列表(Data Object List)EC电子现金(Electronic Cash)EF基本文件(Elementary File)EMVEuropay、MasterCard和VISAFCI文件控制信息(File Control Information)fDDA快速动态数据认证(Fast DDA)GPO获取处理选项(Get Processing Options)IAC发卡机构行为代码(Issuer Action Code)IC集成电路(Integrated Circuit)ICC集成电路卡(Integrated Circuit Card)IDD发卡机构自定义数据(Issuer Defined Data)INS命令报文的指令字节(Instruction Byte of Command Message)Lc终端应用层(TAL)在情况3或情况4命令中发出数据的实际长度(Exact Length of Data Sent by the TAL in a Case 3 or 4 Command)Le响应数据中的最大期望长度(Maximum Length of Data Expected)M必备(Mandatory)MAC报文鉴别码(Message Authentication Code)MDK主密钥(Master DEA Key)MF主文件(Master File)n数字型(Numeric)O可选(Optional)P1参数1(Parameter 1)P2参数2(Parameter 2)PAN主账号(Primary Account Number)PDOL处理选项数据对象列表(Processing Options Data Object List) PIN个人识别码(Personal Identification Number)PIX扩展的专用应用标识符(Proprietary Application Identifier Extension)PPSE近距离支付系统环境(Proximity Payment Systems Environment)RFU预留(Reserved f or Future Use)RID注册的应用提供商标识(Registered Application Provider Identifier)R-MAC响应数据的报文鉴别码(Response Message Authentication Code)SAD签名的静态应用数据(Signed Static Application Data)SAM安全认证模块(Secure Authentication Module)SDA静态数据认证(Static Data Authentication)SFI短文件标示符(Short File Identifier)SW1状态字1(Status Word One)SW2状态字2(Status Word Two)TAC交易验证码(Transaction Authorization Cryptogram)TC交易证书(Transaction Certificate)TLV标签、长度、值(Tag Length Value)TSI交易状态信息(Transaction Status Information)TDOL交易证书数据对象列表(Transaction Certificate Data Object List)TVR终端验证结果(Terminal Verification Results)UDK子密钥(Unique DEA Key)YYYYMMDD年、月、日(Year, Month, Day)5 数据对象列表5.1 数据元定义并解释城市公共交通IC卡应用数据交换过程中终端所需的相关数据元。包括数据元的名称、标识及功能等,见附录A。5.2 数据对象列表终端应卡片的要求需要建立可变的数据元列表用来向卡片发送。为了减少交通IC卡内对这些数据的处理,这个列表不需要进行TLV编码,而只是把若干数据单元连接成一个复合域。因为复合域中的数据单元不是TLV编码的,所以当交通IC卡收到数据时,交通IC卡必须知道该复合域的格式。因此,需要在交通IC卡内包含一个数据对象列表(DOL)来定义复合域中的数据格式。本规范用的DOL包括: 卡风险管理数据对象列表1(CDOL1):在第一次GENERATE AC命令中需要传送给卡片的数据对象列表。CDOL1是终端在读应用记录处理过程中从卡片中读出的; 卡风险管理数据对象列表2(CDOL2):在第二次GENERATE AC命令中需要传送给卡片的数据对象列表。CDOL2是终端在读应用记录处理过程中从卡片中读出的; 交易证书数据对象列表(TDOL):列出生成交易证书(TC)哈希计算的数据对象(标签和长度); 动态脱机数据认证对象列表(DDOL):指定在INTERNAL AUTHENTICATE指令中,卡片要求终端送入卡片的终端数据标签和长度列表。一个DOL是用一些条目连接而成的列表。每个条目代表一个加入复合域的单个数据元。每个条目的格式包括12个字节的标签来表明需要的数据对象,然后是1个字节的长度部分,表明本数据对象在命令数据中占据的字节长度。只有那些在附录A中定义为基本数据对象的标签才可以在DOL中使用。终端必须完成下列步骤以建立结构域:1) 从交通IC卡读取DOL。2) 连接DOL中列出的所有数据单元。按照下列规则进行连接:a) 如果DOL中指出的数据对象的标签无法被终端识别,或这个标签代表了一个结构数据对象,终端将提供一个长度为DOL指定长度的数据元,并必须把该数据元所有的数值部分设置为16进制的0。b) 如果该列表上的一个数据对象在终端上可以识别,但是表现为交通IC卡上不出现的可选静态数据,那么在命令区域上代表数据对象的部分必须用16进制的0来填满。c) 如果在DOL条目中指出的长度小于实际数据对象的长度,则需要将实际的数据对象削减至DOL指出的长度。如果数据对象是数字格式(n)的,则从数据单元的的最左端开始削减字节。如果数据对象是其它格式的,则从数据单元的最右端开始削减字节。如果指出的长度比实际的数据长度大,需要把实际的数据填充至指定长度: 如果数据对象是数字格式(n)的,则从数据单元头部开始填充16进制的0; 如果数据对象是压缩数字型(cn)的,则在数据单元的末尾填充16进制的FF; 如果数据对象是其它格式的,则在数据单元的末尾填充16进制的0。d )如果表上的一个数据对象在终端可以识别,但不代表在当前交易中适用的数据,代表该数据对象的命令域部分将填充16进制的0。数据单元在表上的连接顺序应该与相应的数据对象在DOL中出现的顺序一一对应。6 终端技术要求6.1 功能要求6.1.1 交易类型应用支持的交易类型见下表。字节1:交易类型性能b8b7b6b5b4b3b2b1意义1xxxxxxx现金x1xxxxxx商品xx1xxxxx服务xxx1xxxxRFUxxxx1xxx查询xxxxx1xxRFUxxxxxx1x付款xxxxxxx1管理字节2:交易类型性能b8b7b6b5b4b3b2b1意义1xxxxxxxRFUx0xxxxxxRFUxx0xxxxxRFUxxx0xxxxRFUxxxx0xxxRFUxxxxx0xxRFUxxxxxx0xRFUxxxxxxx0RFU6.1.2 交易输入方式终端支持非接触式/接触式读取芯片卡。6.1.3 下载管理终端应能提供对应用程序、密钥和参数等数据的下载,更新和删除。下载的通讯端口可以是串行通讯口(RS232、RS485)、Modem通讯口、USB口、红外、GPRS、CDMA和TCI/IP网络端口或其它类型的通讯端口等中的一种或几种。下载方式也可为本地下载或远程下载等方式。终端应保证下载控制的安全。只有经过授权或认可的一方才能向终端下载数据,未经授权,不得更改终端中的内容。终端还应能够确认下载数据的安全,能验证终端下载程序的完整性和正确性,确保敏感关键的密钥数据在下载过程中不会泄漏。6.2 硬件要求6.2.1 内存终端应当具有足够的内存容量来存放应用程序、密钥、交易数据和其它参数等,并确保在掉电后这些数据不会丢失。6.2.2 交通IC卡读卡器终端应提供用户卡接口的交通IC卡读卡器,用来接受用户交通IC卡插入并与交通IC卡进行命令数据传递通讯。该读卡器模块包括机械、电气和逻辑协议等部分。建议终端的用户卡交通IC卡读卡器插槽附近有一明显标记指示如何插入交通IC卡。如果终端有锁卡或吞卡功能,则应保证在掉电、设备异常或交易取消时能释放或退出卡。6.2.3 SAM卡读写器及卡槽(条件)终端应提供符合标准SAM卡接口的SAM卡读写器及卡槽,用来接受SAM卡插入并与SAM卡进行命令数据传递通讯。该模块包括机械、电气和逻辑协议等部分。建议终端的SAM卡读卡器插槽附近有一明显标记指示如何插入SAM卡。6.2.4 显示有服务员的终端必须配置有显示给服务员的显示屏,可选带有显示给持卡人的显示屏。以供监测交易过程、输入数据、设置选项或确认交易数据。终端应支持ISO 8859的基本字符集。建议显示屏应具备中文显示能力。6.2.5 打印机圈存终端配置有能打印交易单据的打印机,根据支付系统要求可以是针式或热敏打印机。对每笔批准的交易,不论是脱机、联机或语音授权都能打印出交易单据。脱机终端打印功能可选。打印单据格式由各收单机构自定,但应包含如下数据:卡号、应用标识符AID、交易日期时间、签名栏。6.2.6 时钟能处理脱机交易的终端应配有时钟模块,用来提供当地日期和时间。日期用于应用有效期、失效日期以及脱机数据认证中的证书有效期检查。时间也可用于确保交易唯一性识别以及作为应用密文生成算法中的输入数据。6.2.7 与后台通信模块有联机通讯能力的终端应当配置有与收单机构主机后台通信的模块。用于向主机发送交易数据包获取授权,或由主机对终端进行管理的功能。根据收单机构的要求可采用PSTN Modem拨号、GSM、GPRS、CDMA和TCP/IP等方式。通信模块与收单机构主机的通信速度应能满足实时传送交通IC卡交易数据的要求。6.2.8 键盘终端应带有用于输入交易金额、选择命令和执行功能的按键键盘。支持EMV规范中描述的数字键、字母键、命令键和功能键。命令键的颜色和布局参考EMV规范。如果采用了带颜色的命令键,推荐使用下面的颜色分配。命令键颜色:确认绿色;取消红色;清除黄色。6.2.9 密码键盘提供输入个人识别码(PIN)验证的终端应配有密码键盘,允许持卡人输入412位的PIN。可以是与终端键盘集成在一起的内置式密码键盘,也可以是与终端通过通讯线连接的外置式密码键盘。密码键盘的设计应当符合EMV的要求。6.2.10 硬件协处理器终端应支持用于非对称密码算法签名验证的硬件协处理器。终端类型本部分所覆盖的终端类型包括POS终端、自动柜员机(ATM)和自动售货机等。对各种终端类型的硬件要求见下表。表1 终端类型的硬件要求项目号硬件设备有服务员无人服务(自助)仅联机联机/脱机仅脱机仅联机联机/脱机仅脱机联机ATM1键盘必备必备必备推荐推荐推荐必备2密码键盘必备必备必备必备可选可选必备3显示屏必备必备必备推荐推荐推荐必备4时钟推荐必备必备推荐必备必备推荐5打印机必备必备必备推荐推荐推荐推荐6交通IC卡读卡器必备必备必备必备必备必备必备7主机通信模块必备必备必备必备必备必备必备7 终端应用技术要求本章讨论所有非接触式应用应满足的要求。7.1 终端通用要求快速城市公共交通IC卡应用是基于城市公共交通IC卡应用终端应用规范的。7.1.1 Level1终端要求 终端应符合本规范第4部分,并同时支持 Type A和Type B; 对于Type B卡,终端应支持MBLI0 和MBLI1; 对于Type A卡,终端应支持值为8的FWI和附加的值为x“B”的ATS TB (1)。7.1.2 通用终端要求 终端应支持快速城市公共交通IC卡应用和非接触式城市公共交通IC卡应用之一,或同时支持两者; 具有脱机能力的终端应DDA。如果卡片支持DDA,则终端应执行DDA; 终端应支持5.3定义的数据对象列表; 终端应通知收单机构交易是通过非接触界面完成的信息,该信息应区别是非接触式城市公共交通IC卡应用还是快速城市公共交通IC卡应用交易,并且应包含在授权和清算报文中。注: 终端如何表示上述信息依赖于终端与收单机构之间的报文格式,本部分未对该格式进行定义。收单机构可正确的填写联机报文中的必备项(POS输入点方式域)来提供信息。 如果卡片返回拒绝应用认证密文(AAC)来拒绝交易,交易不应再通过其它界面方式进行; 对于非接触交易,终端应明确通知持卡人和商户:l 出卡;l 交易过程;l 交易结果批准、拒绝或终止。推荐的终端信息有:l 出卡;l 读卡成功;l 处理中;l 再次出卡如果交易未完成;l 交易批准;l 交易拒绝;l 出示单一卡片防冲突;l 挥卡。当提示出卡时,终端应显示授权交易金额(标签“9F02”)。如果卡片提供可用的脱机交易金额时,终端应显示该金额,以表示读卡操作成功,并可打印在交易凭条上。7.1.3 通用终端选项终端可以按照本部分的要求,支持读卡、显示或打印交易明细。7.1.4 收单机构要求收单机构应在给发卡机构授权报文中表明交易是非接触的。域22(POS输入方式)用于标识交易采用非接触式界面。7.2 激活非接触界面前的处理要求为了使卡片保持在感应区的时间最小化,快速城市公共交通IC卡应用终端在提示持卡人出卡和激活非接触界面前,应执行下列处理。7.2.1 预处理前的处理要求具有快速城市公共交通IC卡应用能力的终端使用非接触界面,直到快速城市公共交通IC卡应用交易预处理完成后才可以上电。7.2.2 具有快速城市公共交通IC卡应用能力终端中的交易预处理除非交易预处理已经完成,否则支持快速城市公共交通IC卡应用设备的非接触界面不能上电。对于交易金额固定的一些设备,非接触界面可以立即上电。在下面的例子中,全部或部分检查可以省去: 自动售货机可能不支持任何的检查; 仅支持脱机的终端可能不需要联机应用密文,但可以获得授权金额(标签“9F02”),并检查是否超过最低限额; 支持状态检查的售货机可能不支持非接触方式。如果下面描述的检查被执行,则应按照要求执行。终端采用终端交易属性(标签“9F66”)表示其非接触能力和交易对卡片的要求。终端交易属性由卡片在SELECT命令响应中提出申请,终端通过GPO命令提供。详细内容见8.4.4关于终端交易属性的部分。 终端应获取授权金额(标签“9F02”); 如果终端配置为支持状态检查,并且授权金额为一个货币单位(这是状态检查要求的),则终端用终端交易属性字节2中的第8位表示需要联机应用密文。支持状态检查应是一可配置的选项,在实施时应打开才能操作。这种检查的缺省行为为关闭; 如果授权金额为零,除非终端支持快速城市公共交通IC卡应用扩展应用,具有联机能力的终端应在终端交易属性字节2的第8位表示要求联机应用密文; 如果授权金额为零,除非终端支持快速城市公共交通IC卡应用扩展应用,仅支持脱机的终端应终止交易,提示持卡人使用另一种界面(如果存在); 如果授权金额大于或等于终端非接触交易限额(如果存在),则终端应提示交易终止; 如果授权金额大于或等于终端执行CVM限额(如果存在),则终端应在终端交易属性中表示要求CVM(第2字节第7位)以及支持的CVM种类。本部分当前版本支持联机PIN(第1字节第3位)和签名(第1字节第2位);l 与这些指示器对应的卡片行为的详细描述见7.7.3。 如果授权金额(标签“9F02”)大于非接触终端脱机最低限额或(如果非接触终端脱机最低限额不存在)可用的终端最低限额(标签“9F1B”),则终端应在终端交易属性第2字节第8位表示需要联机应用密文; 在预交易处理成功完成后,终端应要求出卡,并对非接触界面上电,开始检测处理。上述处理描述(假定支持所有的检查)如图1所示。图1. 具有快速城市公共交通IC卡应用能力终端的预交易处理7.3 卡片检测处理要求当非接触式卡进入终端的感应范围,终端与卡片进行通信的初始化(快速城市公共交通IC卡应用终端应按照6.2.2部分的描述,在初始化交易前执行快速城市公共交通IC卡应用预处理)。终端可以按照商户的命令或预定义超时之后,通过停止检测处理和关闭非接触界面来终止交易。如果在应用选择前,同时检测到多个非接触卡,则终端应将此情况向持卡人显示,并且要求只放置一张卡。卡片检测处理和应用选择包含在图2中。图2. 卡片检测和应用选择流程7.4 应用选择要求所有非接触卡片应符合下列选择非接触支付应用的要求。在初始化应用处理阶段,确定用于处理交易的方法(快速城市公共交通IC卡应用或非接触式城市公共交通IC卡应用)。7.4.1 终端应用选择要求下列的终端要求允许选择非接触应用。本部分描述了从具有多个非接触应用的列表中进行选择的行为。为满足时间要求,在FCI中尽可能只列出一个应用。如果要求一个以上的应用,应用的数量要尽可能少。 所有非接触终端应使用PPSE目录选择方法; 终端采用文件名称“2PAY.SYS.DDF01”来选择PPSE; 终端应支持最大长度为16字节的DF文件名(AID); 终端访问卡片应用中的路径应采用一个城市公共交通IC卡应用的AID。路径不能被直接访问; 终端应建立包含在FCI中,并且终端支持的应用列表。终端应判断应用优先指示器的bits 4-1(表示应用被选择的顺序),并选择优先级最高的应用来处理交易; 如果只有一个应用包含在FCI中,并被终端支持,则终端应选择该应用,而不考虑可能出现的应用优先级指示器的设置; 如果卡片对SELECT命令的响应状态字不是“9000”,或终端在PPSE存在错误格式的情况下,不能从FCI中取得AID,则终端应关闭非接触界面,并终止交易; 如果FCI没有按照本部分进行个人化(例如,应用优先级不存在),但终端在共同支持的应用列表中至少存在一个应用,则终端可以从共同支持应用的列表中选择任意一个应用; 如果卡片对终端发出的SELECT命令响应失败,则终端应发起一个失效指令序列,并且应按照8.3的要求返回到卡片检测处理。7.4.2 终端交易属性表2描述了终端在GPO命令中提供的“终端交易属性”,卡片用此数据项表示的终端功能决定处理选择。“终端交易属性”的设置决定了交易的类型(快速城市公共交通IC卡应用和非接触式城市公共交通IC卡应用)、终端是否支持联机处理或对联机处理的要求、终端支持持卡人验证方法的类型或终端对此项的要求。字节2作为动态数据元,由终端按照交易条件例如,授权金额(标签“9F02”)大于最低限额、授权金额大于CVM要求限制设置。详细内容见8.2.2。表2 终端交易属性(标签为“9F66”)字节位定义18预留71 支持非接触式城市公共交通IC卡应用0 不支持非接触式城市公共交通IC卡应用61 支持快速城市公共交通IC卡应用0 不支持快速城市公共交通IC卡应用51 支持接触式城市公共交通IC卡应用0 不支持接触式城市公共交通IC卡应用41 终端仅支持脱机0 终端具有联机能力31 支持联机PIN0 不支持联机PIN21 支持签名0 不支持签名1预留 281 要求联机密文0 不要求联机密文71 要求CVM0 不要求CVM6-1预留38-1预留481 终端支持“01”版本的fDDA0 终端仅支持“00”版本的fDDA7-1预留7.5 终端初始应用处理要求在初始应用处理阶段,终端向卡片发出GPO命令,命令中包括卡片在应用选择时返回PDOL中所要求的所有数据。初始应用处理见图3所示。7.5.1 终端初始化应用处理的通用要求 所有终端应按照卡片在PDOL中的要求,在GPO命令中提供标签为“9F66”的数据项(终端交易属性); 所有终端应支持采用的GPO响应报文中,数据对象是一个标签为77的基本数据对象。数据域可以包含多个BER-TLV编码的对象; 如果PDOL在卡片的响应中不存在或标签为“9F66”的数据项(终端交易属性)在PDOL中不存在,则终端应关闭非接触界面,并终止交易。7.5.2 GPO命令无响应如果卡片响应终端发出的GPO命令失败,则终端应按本规范第4部分的描述初始化失效序列,并返回到8.3的检测处理。7.5.3 GPO命令响应的错误码如果卡片响应GPO命令的状态字不为“9000”,则终端应终止非接触交易,并终止交易。7.5.4 GPO命令的成功响应终端通过应用交互特征(见附录C)和卡片响应GPO命令提供的数据元决定是否按照非接触式城市公共交通IC卡应用或快速城市公共交通IC卡应用进行交易。 如果卡片响应GPO命令的状态字为“9000”,假设终端仅支持一种非接触选项(快速城市公共交通IC卡应用或非接触式城市公共交通IC卡应用),则终端应按此选项继续处理,不必判断AIP; 如果卡片响应GPO命令的状态字为“9000”,并且AIP第2字节第8位置0,假设终端支持快速城市公共交通IC卡应用,并且应用密文(标签“9F26”)在GPO命令响应中出现,则终端应按照快速城市公共交通IC卡应用处理交易。如果标签为“9F26”的数据项不出现,则终端应按照非接触式城市公共交通IC卡应用处理交易。图3. 初始应用处理流程7.5.5 非接触交易次序卡片和终端都支持的最适当方法的要求,决定了处理选择的顺序。快速城市公共交通IC卡应用支持快速联机和脱机交易,不需要卡片插入插槽或放在卡盘上。 快速城市公共交通IC卡应用:如果卡片支持快速城市公共交通IC卡应用且“终端交易属性”第1字节第6位1(支持非接触快速城市公共交通IC卡应用),则卡片应使用快速城市公共交通IC卡应用路径,终端应按照快速城市公共交通IC卡应用处理交易; 非接触式城市公共交通IC卡应用:如果卡片支持非接触式城市公共交通IC卡应用且“终端交易属性”第1字节第7位1(支持非接触式城市公共交通IC卡应用),则卡片应使用非接触式城市公共交通IC卡应用路径,终端应按照非接触式城市公共交通IC卡应用处理交易; 如果没有匹配的非接触交易路径,则卡片应在响应中返回一个指示器(状态字=“6985”)来终止交易。8 交易类型城市公共交通IC卡应用主要应用于公共汽电车/出租车/轨道交通/停车场/城际客运班车/城际铁路/轮渡等与道路运输应用相关的支付场景,主要包括圈存交易和扣费交易两种交易大类,圈存交易为联机交易,扣费交易为脱机交易。在以上场景中,扣费交易又根据扣费方式的不同,可以分为标准扣费交易、分时分段扣费交易、脱机预授权交易、单次扣款优惠交易等不同的扣款交易类型。标准扣费交易适用于单一票价的公共汽电车/轨道交通/轮渡以及单次扣费的出租车应用场景。分时分段扣费交易适用于单笔交易金额较小的分段计价公共汽电车/轨道交通/城际客运班车/轮渡以及分时计价停车场应用场景。脱机预授权交易适用于单笔交易金额较大的分段计价城际客运班车/城际铁路和分时计价停车场等应用场景。单次扣款优惠适用于存在换乘优惠等特殊要求的扣费交易场景。9 交易流程9.1 圈存交易流程9.1.1 功能概述以下功能在城市公共交通IC卡应用交易处理中得到使用。尽管在必备(M)的功能中有些步骤也许是可选择的,但标记为必备的功能还是应该在所有交易中得到执行。标记为可选(O)的功能是可选择的并根据卡或终端的参数,或根据两者的参数共同决定。交易流程实例见图4.9.1.1.1 应用选择(必备)当卡片连接终端时,终端决定哪些应用由卡片和终端共同支持,终端有两种选择应用的方式:1) 终端检测终端和卡片都支持的应用并将这些应用显示,供用户选择;2) 终端根据发卡机构事先定义的优先级别自动选择卡片上优先级最高的应用。终端发送SELECT命令选择应用,卡片返回文件控制信息(FCI),则其中应包括PDOL。9.1.1.2 应用初始化(必备)在终端选择应用之后,必须请求卡片读取该应用的应用数据。由这些数据得知卡片具备的功能以及需要提供给卡片哪些支持。终端读取卡指示的数据并使用支持的功能列表来决定要执行的处理。9.1.1.3 读应用数据(必备)终端使用读记录命令(READ RECORD)读出交易处理中使用的卡片数据,卡片在应用初始化的响应中提供AFL标记了这些数据所在的文件与记录号,终端应该存储读出的所有可以识别的数据对象,不论是必备还是可选数据,以备将来交易使用。终端无法识别的数据对象(即终端无法识别它们的标签)不必存储,但是包含这种数据对象的记录可能仍然要以整体形式参与脱机数据认证过程,这取决于AFL的编码。9.1.1.4 脱机数据认证(必备)终端根据卡片和终端对这些方法的支持,决定是否使用动态数据认证来脱机认证卡片。如果终端支持脱机数据认证功能,并且检测到卡片支持动态数据认证(DDA),则终端需进行脱机数据认证。动态数据认证(DDA)主要是用于防止伪造卡片。动态数据认证有标准动态数据认证(DDA)和复合动态数据认证(DDA/AC-CDA)两种。终端要求卡片提供由交通IC卡私钥加密动态交易数据生成的密文,动态交易数据是由终端和卡片为当前交易产生的唯一数据。终端用从卡片数据中获取的交通IC卡公钥来解密动态签名。还原的数据与原始数据匹配证实了此卡不是由合法卡复制出的赝品卡。复合动态数据认证/应用密文生成把动态签名生成与卡片的应用密文生成相结合,确保卡片行为分析时返回的应用密文来自于有效卡。9.1.1.5 处理限制(必备)终端执行交易处理限制判断交易是否允许进行。终端检查卡片的有效期是否达到,卡是否失效,卡片和终端的应用版本是否匹配,应用用途控制(AUC)限制是否生效。发卡行可以使用AUC限制卡片的应用,包括:国内、国外、现金、商品、服务或返现。9.1.1.6 持卡人验证(可选)终端必须具备磁卡人身份验证功能。持卡人验证可以用来确保持卡人是合法而且卡片没有遗失或被盗。终端使用卡片中的持卡人验证方法(CVM)列表数据决定验证的执行方法。CVM列表建立了持卡人验证方法优先级别,根据终端能力和交易特性提示用户采用特定的持卡人验证方法。如果持卡人验证方法是脱机PIN,终端提示持卡人输入PIN并传送持卡人输入的PIN到卡片中,卡片比较输入的PIN和卡片中的PIN值。CVM也可能指定联机PIN、签名或不需要持卡人验证。9.1.1.7 终端风险管理(必备)终端必须具备风险管理功能。终端风险管理检查交易是否超过了最低限额,账号是否在终端异常文件中,连续脱机交易次数是否超过了限制次数,是否新卡,以及商户是否强制进行联机,有些交易可能被随机的选择联机处理。 终端风险管理也包括可选的频度检查,终端使用卡片中的数据进行检查。在终端行为分析过程中要考虑终端频度检查的结果。9.1.1.8 终端行为分析(必备)终端必须具备终端行为分析功能。终端行为分析根据脱机数据认证、处理限制、持卡人验证、终端风险管理的结果以及终端和卡片中设置的风险管理参数决定如何继续交易(脱机批准、脱机拒绝和联机授权)。再由卡返回给终端的发卡机构行为代码(IAC)域设立卡片规则,在终端行为代码(TAC)设立终端规则。决定交易处理之后,终端向卡片请求应用密文。不同的应用密文对应不同的交易处理:以交易证书(TC)为批准,授权请求密文(ARQC)为联机请求,应用认证密文(AAC)为拒绝。9.1.1.9 卡片行为分析(必备)交通IC卡可以执行发卡机构定义的风险管理算法以防止发卡机构被欺诈。当卡片收到终端的应用密文请求时,卡片就执行卡风险管理检查,来决定是否要改变终端设定的交易处理,检查可能包括:先前未完成的联机交易、上一笔交易发卡机构认证失败或脱机数据认证失败、达到了交易笔数或金额的限制等。卡片可以将终端请求的脱机接受改成联机授权或脱机拒绝。卡片不能推翻终端做出的拒绝交易的决定。交通IC卡可以决定以下方式继续交易: 同意脱机完成(TC); 联机授权(ARQC); 拒绝交易(AAC)。完成检查后,卡片使用应用数据及一个存储在卡上的应用密文过程密钥生成应用密文。它再将这个密文返回到终端。对于脱机批准的交易,TC以及生成TC的数据通过清算消息传送给发卡机构,以备未来发生持卡人争议或退单时使用。当持卡人对交易有争议时,TC可以作为交易的证据还可验证商户或收单机构(是否)未改动交易数据。当卡片作出接受交易的结论(卡片返回TC)后,卡片会记录交易日志。9.1.1.10 联机处理(可选)如果卡片或终端决定交易需要进行联机授权,同时终端具备联机能力,终端将卡片产生的ARQC报文送至发卡机构进行联机授权。此报文包括ARQC密文,用来生成ARQC的数据以及表示脱机处理结果的指示器。在联机处理中,发卡机构在联机卡片认证方法(CAM)过程中验证ARQC来认证卡片。发卡机构可以在它的授权决定中考虑这些CAM结果和脱机处理结果。传送回终端的授权响应信息可以包括发卡机构生成的授权响应密文(ARPC)(由ARQC、授权响应码和卡片应用密文过程密钥产生)。此响应也可以包括发卡机构脚本,对卡片进行发卡后更新。如果授权响应包含ARPC而且卡片支持发卡机构认证,卡片通过确认ARPC而执行发卡机构认证,来校验响应是否是来自真实的发卡机构(或其代理)。要在卡片里重新设置某些相关的安全参数必需成功地得到发卡机构认证。这阻止了犯罪者通过模拟联机处理来剽窃卡片的安全特性,以及通过欺诈性地批准交易来重设卡片的计数器和指示器。如果发卡机构认证失败,随后的卡片交易将发送联机授权,直到发卡机构认证成功。如果发卡机构认证失败,发卡机构有权设置卡片拒绝交易。9.1.1.11 交易结束(必备)除非交易在前几个步骤因处理异常被终止,否则终端必须执行此功能用来结束交易。卡和终端执行最后处理来完成交易。一个经发卡机构认可的交易可能根据卡片中的发卡机构认证结果和发卡机构写入的参数而被拒绝。卡片使用交易处理、发卡机构校验结果、以及发卡机构写入的规则来决定是否重设基于芯片卡计数器和指示器。卡片生成TC来认可交易,生成AAC来拒绝交易。如果终端在授权消息之后传送清算信息,则TC应包括在该清算信息里。对于发卡机构批准而卡片拒绝的交易,终端必须发起冲正。当卡片作出接受交易的结论(卡片返回TC)后,卡片会记录交易日志。9.1.1.12 发卡机构脚本处理(可选)如果发卡机构在授权响应报文中包含了脚本,虽然终端可能对脚本不能理解,但终端仍需要将这些脚本命令发送给交通IC卡。在使用这些更新之前,卡片执行安全检查以确保脚本来自有效的发卡机构,且在传输中未有变动。这些命令对当前交易并不产生影响,主要会影响卡片的后续功能,如卡片应用解锁、卡片锁定、修改PIN等。图4. 交易流程实例9.1.2 交易步骤9.1.2.1
展开阅读全文