1、中国金融集成电路(IC)卡规范(V1.0)第3部分终端规范1998年9月22日目 录引言31、范围42、参考资料53、定义64、缩略语和符号表示85、基本要求95.1 终端的电气机械特性、逻辑接口、通信协议95.2 终端应用分类95.3 基本物理配置105.3.1 显示器115.3.2 IC卡读写器115.3.3 键盘115.3.4 密码输入115.3.5 安全存取模块115.3.6 打印机115.3.7 通信邮件115.3.8 存储设备115.4 多应用管理115.4.1 基本要求115.4.2 终端应用的管理125.4.3 IC卡应用选择125.5 终端的安全要求125.5.1 一般要求1
2、25.5.2 安全存取模块的物理安全要求135.5.3 安全存取模块的逻辑安全要求135.6 终端数据元素145.7 意外情况处理146、终端的功能描述156.1 交易的预处理156.6.1 应用的选择156.1.2 IC卡有效性检查156.1.3 个人密码PIN的检验156.2 圈存/圈提166.2.1 一般描述166.2.2 交易流程176.2.3 圈存/圈提交易命令206.2.4 终端数据元素216.2.5 安全要求216.2.6 防拔处理226.3 消费/取现226.3.1 一般描述226.3.2 交易流程226.3.3 消费/取现命令236.3.4 终端数据元素246.3.5 安全要
3、求246.3.6 防拔处理246.4 修改透支限额256.4.1 一般描述256.4.2 交易流程256.4.3 修改透支限额交易命令276.4.4 终端数据元素276.4.5 安全要求286.4.6 防拔处理286.5 查询286.5.1 一般描述286.5.2 交易流程296.5.3 查询命令306.5.4 安全要求306.6 应用维护功能307、黑名单管理317.1 黑名单的记录类型317.2 黑名单检查317.3 黑名单更新31引言中国金融集成电路(IC)卡规范共包括三个部分,“卡片规范”、“应用规范”及“终端规范”。本部分(“终端规范”)以第1部分和第2部分为基础,规定了从技术上保证
4、“卡片通用,设备共享”的终端通用需求。该部分包括以下主要内容:终端的基本要求。规定了终端的电气机械特性、逻辑接口、传输协议要求,并从功能角度对终端的物理特性进行了描述。也规定了终端实施多应用管理的一般原则。同时为保证终端数据存储、处理安全。特别针对安全存取模块的物理安全及逻辑安全两方面对终端的安全要求做了比较全面的描述。终端的功能描述。从终端角度对中国金融集成电路(IC)卡规范支持的交易的交易流程、交易用命令以及终端数据元素的最低需求进行了描述。同时还包括一些与交易相关的安全、意外处理方面的规定。黑名单管理。原则性地阐述了黑名单管理必需的查询检索方式、检查的内容以及对黑名单更新的安全性要求。对
5、黑名单的收集、存储格式、存储内容等与应用系统设计有关的内容不在本部分范围内。1、范围本部分适用于支持中国金融集成电路(IC)卡规范所规定的基本应用的金融终端、销售点终端以及其他类似的终端设备。使用对象主要是与金融IC卡应用相关的终端设计、制造以及应用系统研制、开发、集成和维护的部门(单位)。2、参考资料ISO/IEC 7813:1990识别卡-金融交易卡ISO 9564-1:1991银行业务-PIN管理与安全-PIN保护原则与技术ISO 9564-2:1991银行业务-PIN管理与安全-批准的PIN加密算法ISO 11568-2:1994银行业务-密钥管理(零售)-第2部分:对称加密算法的密钥
6、管理技术ISO 11568-36:1994银行业务-密钥管理(零售)-第3部分:对称加密算法密钥的生命周期ISO 11568-4:1994银行业务-密钥管理(零售)-第4部分:非对称加密算法的密钥管理技术(委员会草案)ISO 11568-5:1994银行业务-密钥管理(零售)-第5部分:非对称加密算法密钥的生命周期(委员会草案)ISO 13491:1995银行业务-安全加密设备(零售)(委员会草案)ISO/IEC 7816-4:1995识别卡 带触点的集成电路卡 第4部分 行业间交换用命令ISO/IEC 7816-5:1994识别卡 带触点的集成电路卡 第5部分 应用标识符的编号系统和注册程序
7、EMV96:1996支付系统的集成电路卡规范PrEN 1546-1:1994识别卡系统 电子钱包 第1部分 定义、概念和结构(委员会草案)PrEN 1546-2:1996识别卡系统 电子钱包 第2部分 安全机制(委员会草案)PrEN 1546-3:1996识别卡系统 电子钱包 第3部分 数据元及交换PrEN 1546-4:1996识别卡系统 电子钱包 第4部分 设备(委员会草案)VIS:1996VISA集成电路卡规范(版本1.3)ISO 8731-1:1987银行业 认可的报文鉴别算法 第1部分:DEA中国人民银行银行IC卡规范需求说明书(1997.1)中国金融集成电路(IC)卡规范第1部分:
8、卡片规范(1997.12)中国金融集成电路(IC)卡规范第2部分:应用规范(1997.12)3、定义以下定义适用于本规范:3.1 终端Terminal为完成金融交易而在交易点安装的设备,包括接口设备、其它部件以及与主机通信的接口。3.2 命令Command终端向IC卡发出的一条信息,该信息启动一个操作或请示一个应答。3.3 响应ResponseIC卡处理完收到的命令报文后,回送给终端的报文。3.4 金融交易Financial Transaction持卡者、商户和收单行之间基于收、付款方式的商品或服务交换行为。3.5 功能Function由一个或多个命令实现的处理过程,其操作结果用于完成全部或部
9、分交易。3.6 集成电路Integrated Circuit(IC)设计用于完成处理和/或存储功能的电子器件。3.7 集成电路卡(IC卡)Integrated Circuit(s) Card内部封装一个或多个集成电路的ID-1型卡(如ISO7810、ISO7811第1至第5部分、ISO7812和ISO7813中描述的)。3.8 报文Message由终端向卡或卡向终端发出的,不含传输控制字符的字节串。3.9 报文鉴别代码Message Authentication Code对交易数据及其相关参数进行运算后产生的代码。主要用于验证报文的完整性。3.10 密钥Key控制加密转换操作的符号序列。3.1
10、1 加密算法Cryptographic Algorithm为了隐藏或揭露信息内容而变换数据的算法。3.12 数据完整性Data Integrity数据未受到非法变更或破坏的属性。3.13 T=0面向字符的异步半双工传输协议。3.14 T=1面向块的异步半双工传输协议。3.15 电子存折Electronic Deposit一种为持卡人进行消费、取现等交易而设计的,使用个人密码(PIN)保护的金融IC卡应用。它支持圈存、圈提、消费、取现等交易。3.16 电子钱包Electronic Purse一种为方便持卡人小额消费而设计的金融IC卡应用。它支持圈存、消费等交易。使用电子钱包进行的任何交易均不记录
11、明细。并且除圈存交易外,其他任何交易均无需提交个人密码(PIN)。3.17 圈存Load持卡将其在银行相应帐户上的资金划转到电子存折或电子钱包中,圈存交易必须必须在金融终端上联机进行。 一般情况下,圈存致电子存折中的资金仍计付活期利息,圈存到电子钱包中的资金不计付利息。但具体作法由发卡行自行决定。3.18 圈提Unload持卡人将电子存折中的部分或全部资金划回到其在银行的相应帐户上。圈提交易必须在金融终端上联机进行。4、缩略语和符号表示以下缩略语和符号表示适用于本规范:AID应用标识符(Application Identifier)b二进制(Binary)ED电子存折(Electronic D
12、eposit)EP电子钱包(Electronic Purse)FCI文件控制信息(File Control Information)ICC集成电路卡(Integrated Circuit Card)ISO国际标准化组织(International Standardization Organization)MAC报文鉴别代码(Message Authentication Code)PIN个人密码(Personal Identification Number)POS销售点终端(Point of Sale)PSAM消费安全存取模块(Purchase Secure Access Module)SAM安
13、全存取模块(Secure Access Module)SW1状态码1(Status Word One)SW2状态码2(Status Word Two)TAC交易验证码(Transaction Authorization Cryptogram)5、基本要求5.1 终端的电气机械特性、逻辑接口、通信协议终端的电气机械特性、逻辑接口、通信协议应符合中国金融集成电路(IC)卡规范第1部分:卡片规范中的有关内容。且终端必须支持T=0及T=1两种传输协议。5.2 终端应用分类终端的类型通常根据用途不同划分,如售货终端、售票终端和付费电话终端等。本规范不讨论通常意义上的终端类型,而是从功能支持角度将其划分成
14、支持某种交易的终端。由于所支持的功能不同,终端对其配备部件的要求也不同。下面根据终端所支持的交易列出终端对所需配备的部件要求。可选部件可以根据业务需求而定。表中未提及维护交易,有关支持维护交易的终端要求将不在此节讨论。表-1 支持电子存折应用的终端部件要求终端部件圈存圈提消费取现修改透支限额余额查询读交易记录显示MMMMMMMIC读写器MMMMMMM键盘MMMMMMM密码输入MMMMMMM安全存取模块MM存储器MMMMM打印机00000通信MM01)0M时钟MM表-2 支持电子钱包应用的终端部件要求终端部件圈存消费余额查询显示MMMIC读写器MMM键盘MM0密码输入M安全存取模块M存储器MM打
15、印机00通信M02)时钟M 注:M必备0可选5.3 基本物理配置IC卡终端的物理特性与其所支持的功能直接相关。但对于任何类型的终端都必须配备以下部件:1、显示器2、IC卡读写器由于所支持的交易不同,不同类型的终端,可根据业务需要选择配备如下附加设备:1、键盘2、密码键盘3、安全存取模块4、打印机或打印机连接设备5、通信设备6、内存或其它存储设备注:1)终端应提供通讯设备以便联机传输数据。2)终端应提供通讯设备以便联机传输数据。5.3.1 显示器用于交易过程显示及错误指示。5.3.2 IC卡读写器实现对符合卡片规范的IC卡进行读写操作。5.3.3 键盘用于输入交易数据及信息。如输入交易额或对交易
16、额进行确认。5.3.4 密码输入用于个人密码输入。5.3.5 安全存取模块终端在完成交易时,如需要对IC卡中存储的密钥进行认证,则必须配备安全存取模块。5.3.6 打印机根据业务需要,终端可配备相应的票据打印机。5.3.7 通信邮件对于联机交易,终端必须配备通信设备以用于数据传输;脱机交易根据需要而定。5.3.8 存储设备终端必须配备有足够存储容量的存储设备,以便存储交易记录及黑名单等。5.4 多应用管理5.4.1 基本要求IC卡与终端必须配合使用以保证交易安全、有效地运行。为了支持中国金融集成电路(IC)卡规范第2部分;应用规范中规定的应用,本规范对实现多应用的终端提出一些管理应用和选择应用
17、的具体原则。一般来说,如果IC卡上有超过一种以上的应用,则支持它的终端应给用户一个按应用优先级排序的列表以供选择。5.4.2 终端应用的管理终端应用的管理应达到如下目标:1、应用之间不能互相影响:各应用必须相互独立运行,相互之间数据和程序不可交换。2、共享数据必须保证:各应用的内部数据不能被其它应用得到所有的应用可以共享终端中的通用数据3、提供应用选择的标准界面4、对应用进行管理(提供应用程序的选择、激活、禁止、参数设置等等)5.4.3 IC卡应用选择符合中国金融集成电路(IC)卡规范的IC卡可能实现一个或多个应用,终端应能够选择并支持这些应用。应用选择过程应符合中国金融集成电路(IC)卡规范
18、第2部分:应用规范。5.5 终端的安全要求本节规定了终端数据存储、处理的一般性安全要求。同时也地安全存取模块(SAM)提出了具体的要求。安全存取模块(SAM)用于存贮安全密钥并负责进行安全加密,SAM的类型依赖于终端交易类型,POS中用于支持消费交易的SAM称为PSAM。关于SAM具体的安全要求实现将不属于本规范范围。5.5.1 一般要求终端一般存在两种类型的数据:1、通用数据:包括时间、终端识别号及终端交易记录等。外界可以对这些数据进行访问,但不允许进行无授权修改。2、敏感数据:包括密钥、应用内部的参数(如PSAM标识号,密钥索引)。在未授权的情况下,外界不允许对对这类数据进行访问和修改。5
19、.5.1.1 通用数据的安全要求通用数据一般存放在存储器中。在更新参数以及下装新的应用程序时,终端必须做到:1、验证更新方的身份,对于应用程序重新下载,只允许终端制造厂商。终端所有者或者经终端所有者或代理方批准的第三方执行。2、校验下载参数及应用程序的完整性。对存储器要求必须做到:无论在什么情况下,终端的应用数据都不会随意改变或丢失,并保证数据有效。所有与交易相关的数据均应以记录形式存储于终端存储器中。终端须保证这些数据的完整性。5.5.1.2 敏感数据的安全要求敏感数据一般应存放在安全存取模块中。安全存取模块是一种能够提供必要的安全机制以防止外界对终端所储存或处理的数据进行非法攻击的硬件加密
20、模块。此模块主要负责保存和处理所有的敏感数据,这些数据包括消费密钥或传输密钥等。对于安全存取模块的硬件形式在此规范中将不做具体要求。 操作环境下,对安全存取模块必须要求:出入模块的、以及其内部存放的和正在处理的数据不会由于模块自身或其接口造成任何泄露和改变。5.5.2 安全存取模块的物理安全要求安全存取模块的硬件设计必须能保证在物理上限制对其内部存贮的敏感数据的存取与窃取,以及对安全存取模块的非授权使用和修改。一旦安全存取模块受到非法的篡改及攻击,其自身必须能够立即完成对内部敏感数据的删除。要实现这些目标,安全存取模块应具有防窃、查窃、窃取显示或窃取响应机制。同时,安全存取模块也必须具有足够的
21、防范特性,能够发现是否被篡改过。总之,安全存取模块的设计和构造必须满足以下要求:1、只有通过特别的技巧与专用严重破坏的方法,才能对模块的硬件或软件进行增加、替换或修改。2、任何对敏感数据的访问或修改,只有通过对模块的接触才能达到。3、安全存取模块的任何部分的损坏或失效都不会导致敏感数据的泄露。4、如果安全存取模块是由多个分离部件组合而成,而处理的数据又必须在这些部件之间传递,那么各部件须保持相同的安全级别。5.5.3 安全存取模块的逻辑安全要求一个安全存取模块的逻辑设计应保证,调用任何单一功能或组合功能,都不会导致敏感数据的泄露。对于某些敏感操作,必须有一定的权限限制。安全存取模块中可存放多组
22、不同版本不同索引的主密钥。所有的主密钥通常必须在终端投入使用之前,被下载到安全存取模块中。如果在终端使用过程中,主密钥需要修改,必须使用安全报文。实现这一操作通常必须在特殊的授权情况下完成。对外部不能存在任何取得密钥的机会。为避免伪操作,存放在安全存取模块中的不同类型的主密钥必须与不同特定的应用操作相结合。例如,主消费密钥将仅适用于处理“消费及取现”应用操作。对于消费交易,安全存取模块应能够生成符合中国金融集成电路(IC)卡规范第2部分:应用规范定义的MAC1,并对MAC2进行认证。在每一个交易结束或超时状态下,安全存取模块应自动清除内部缓存区中存放的数据。安全存取模块应能执行金融IC卡要求的
23、安全信息的计算、检验。当符合规范的IC卡需要以安全报文方式传递信息时,安全存取模块必须能够实现安全报文传递。所有与脱机交易相关的主密钥和敏感数据必须存储在安全存取模块中。安全存取模块必须可以实现对称密钥算法(DEA)和符合卡片规范中定义的主密钥到子密钥的分散算法。5.6 终端数据元素终端除了支持中国金融集成电路(IC)卡规范第1部分:卡片规范和第2部分:应用规范中定义的数据之外,还应支持一些特定的数据元,详见附录A。按照一般规则,当交易处理数据元素未取值时,置为0。5.7 意外情况处理终端供应商可以根据不同的业务要求处理意外情况,这些意外情况处理将不在本规范中涉及。为了审计的需要,可能需要一些
24、相关数据,有关这方面的详细内容也不在本规范中描述。6、终端的功能描述本部分以“卡片通用,设备共享”为目标,从终端角度对交易的一般功能、交易流程及交易用命令、终端数据元素等方面提出了最小需求。有关系统设计及后台处理的内容不属于本规范范围。6.1 交易的预处理李节主要描述电子存折/电子钱包应用的交易过程的通用,交易的预处理将遵循另金融集成电路(IC)卡规范第2部分:应用规范中5.5.1节的定义。6.6.1 应用的选择下图显示的是应用选择阶段的交易预处理过程:IC卡终端选择应用发送ADF-FCI, SW1|SW2执行有限性检查:-检查卡片是否是黑名单卡,若是则显示A,异常结束-检查是否支持发卡行识别
25、标志,若否则显示B,异常结束-检查终端是否支持此子应用,若否则显示C,异常结束-检查应用的起始日期是否有效,若否则显示D,异常结束-显示所有支持的应用程序列表选择子应用选择交易类型图-1 应用选择阶段交易预处理流程6.1.2 IC卡有效性检查终端应根据中国金融集成电路(IC)卡规范第2部分:应用规范中5.5.1.3节的定义检查IC卡的有效性。6.1.3 个人密码PIN的检验终端应遵循中国金融集成电路(IC)卡规范第2部分:应用规范中5.5.1.7节的定义对输入的个人密码进行检验。下图描述检验个人密码的流程。所有的电子存折交易以及电子钱包的圈存交易都必须校验个人密码。IC卡终端提示递交发送SW1
26、|SW2发送校验POS如果(SW1|SW2=63C2)或者(SW1|SW2=63C1)显示显示E并重新提示递交PIN如果(SW1|SW2=63C0)或者 (SW1|SW2= 6983)则显示F,异常结束图-2 PIN校验交易流程以下列出显示信息的说明:状态含义A此卡已被列入黑韵文件中B终端不支持该卡的发卡行C终端不支持该子应用D应用已经过期E错误密码输入F个人密码已经锁定6.2 圈存/圈提6.2.1 一般描述通过圈存交易,持卡人可将其在银行相应帐户上的资金划入电子存折或电子钱包中。圈提交易将IC卡电子存折中的资金划回到银行相应帐户中。只有电子存折同时支持圈存和圈提交易,电子钱包只支持圈存交易。
27、圈存和圈提交易必须在金融终端上联机进行。如果需要,联机终端应能处理其他银行发行的IC卡的圈存和/或圈提交易。第6.1节的所有描述均适用于此类情况。本部分不对收单银行与发卡行之间关于通信和交易结算的有关事项予以规定。处理交易时,发卡行应对IC卡予以验证,同时检查帐户状况及其他交易数据。主机产生报文鉴别代码(MAC),并更新帐户。如果发卡行因某种原因不能接受交易,那么终端必须显示相应的信息告知持卡人和/或终端操作员。6.2.2 交易流程本部分从终端角度阐述了圈存和圈提交易的终端交易流程、终端与IC卡操作以及主机处理的关系。这里假定在终端进入此交易流程前,已通过必要得圈存或圈提金额。并且对于电子存折
28、圈存/圈提及电子钱包圈,假设已根据5.7部分完成了PIN的输入及认证。6.2.2.1 圈存交易流程IC卡终端主机发出MAC1,SW1|SW2INITIALIZE FOR LOAD如果发生通信错误或超时或响应格式错误,则显示G,异常结束如果(SW1|SW2)9000则显示H,异常结束发送圈存请求及相关数据如果发送圈存请示失败,则显示1,异常结束如果主机无响应或主机响应模式错误,则显示J,异常结束并保存此次不完整交易的资料,包括交易状态和交易细节等,供主机调整交易用(如冲正交易)。如果主机拒绝交易,则显示K,异常结束圈存响应,包含MAC2及所需要要素发出TAM,SW1|SW2CREDIT FOR
29、LOAD如果发生通信错误或超时或响应模式错误,则显示G,异常结束并保存此次不完整交易的资料,包括交易状态和交易细节等,供主机调整交易用(如冲正交易)。如果(SW1|SW2)9000则显示H,异常结束并保存此次不完整交易的资料,包括交易状态和交易细节等,供主机调整交易用(如冲正交易)。更新交易记录和总额显示Q图-3 圈存交易流程以下为圈存交易处理显示说明:状态含义G终端与卡的通信发生错误H返回的SW1|SW2显示卡有错误I向主机发送请示失败J从主机得到响应失败K交易被发卡行拒绝Q交易成功完成6.2.2.2 圈提交易流程IC卡终端主机发出MAC1,SW1|SW2INITIALIZE FOR LOA
30、D如果发生通信错误或超时或响应格式错误,则显示G,异常结束如果(SW1|SW2)9000则显示H,异常结束发送圈存请求及相关数据如果发送圈存请示失败,则显示I,异常结束如果主机无响应或主机响应模式错误,则显示J,异常结束并保存此次不完整交易的资料,包括交易状态和交易细节等,供主机调整交易用(如冲正交易)。如果主机拒绝交易,则显示K,异常结束圈存响应,包含MAC2及所需要要素DEBIT FOR UNLOAD发出MAC3,SW1|SW2如果发生通信错误或超时或响应模式错误,则显示G,异常结束并保存此次不完整交易的资料,包括交易状态和交易细节等,供主机调整交易用(如冲正交易)。如果(SW1|SW2)
31、9000则显示H,异常结束并保存此次不完整交易的资料,包括交易状态和交易细节等,供主机调整交易用(如冲正交易)。发送圈提确认及相关数据如果发送圈提确认失败则显示L;交易结束。如果主机无响应、返回无效响应或主机拒绝则显示M;交易结束。圈提完成响应更新交易记录和总额显示Q图-4 圈提交易流程以下为圈提交易处理终端显示说明:状态含义G终端与卡的通信发生错误H返回的SW1|SW2显示卡有错误I向主机发送请求失败J从主机得到响应失败K主机返回错误结果代码,表示交易被发卡行拒绝L圈提认可不能发送给主机M圈提确认无效或没有从主机收到圈提确认或圈提确认有错误Q交易成功完成6.2.3 圈存/圈提交易命令为完成圈
32、存/圈提交易,终端应支持以下命令。有关这些命令的详细介绍请参见中国金融集成电路(IC)卡规范第2部分:应用规范。1、INITIALIZE FOR LOAD2、CREDIT FOR LOAD3、INITIALIZE FOR UNLOAD4、DEBIT FOR UNLOAD6.2.4 终端数据元素每次交易成功后,终端必须保留以下交易记录数据,并按规定上传主机:1、交易日期(发卡行)2、交易时间(发卡行)3、应用序列号4、交易类型标识5、交易金额6、ED或EP联机交易序号7、EP/EP余额8、TAC(只用于圈存)还应保留以下总额数据供审计使用:1、成功联机圈存总次数2、成功联机圈提总次数3、成功联机
33、圈存总额4、成功联机圈提总额每次交易完成后,不论成功与否,可根据需要保存以下数据元素供审计使用:1、终端交易日期2、终端交易时间3、密钥版本号1)4、密钥索引号5、MAC3(只用于圈提)此外,终端还可以保留每笔交易有关的处理状态(如完成与否),IC卡更新状态(如是否已更新或不肯定),联机通信状态(如主机响应收到与否)以及最后一次IC卡响应字节SW1、SW2等,用于交易恢复处理或审计跟踪。6.2.5 安全要求圈存和圈提均为联机交易,IC卡及发卡行应产生有效的MAC为交易提供必要的安全保护。终端只是在IC卡和发卡行之间传输安全信息。在这些交易中不要求使用特定的终端/SAM安全密钥。6.2.6 防拔
34、处理如果终端在处理IC卡交易时,卡被突然拨出或由于终端方面的原因突然停止操作(如发生断电),则终端应能根据中国金融集成电路(IC)卡规范第2部分:应用规范中的规定,当终端检测到卡被拨出又重新被插入或检测到终端恢复供电后应对卡实施防拔处理。在以上情况下,终端应进入这样的种状态:即持卡人应重新插入原来的IC卡,并确认最后一次交易已经完成。如果持卡未插入IC卡,则终端应提示持卡人重新插入原来的IC卡。如果插入的卡不是原来的卡,则终端应提示持卡人重新插入原来的卡。终端还应能够自动(如超时)或以人工方式(如操作员按下取消键)退出这种待插卡状态。在防拔处理结束后,终端应执行以下操作之一:1、完成IC卡的最
35、后一笔交易,向持卡人显示交易已完成(如果IC卡余额已被更新)2、取消最后一笔交易,向持卡人显示交易已被取消(如果IC卡余额没有被更新)6.3 消费/取现6.3.1 一般描述消费交易允许持卡人使用电子存折或电子钱包的余额进行购物或获取服务。此交易可以通过销售点终端(POS)脱机进行。在消费时,消费金融从卡中扣除,并在POS中记录交易数据,由终端将交易上传主机。电子存折的消费交易需提交个人密码,电子钱包则不需要。取现交易允许持卡人从电子存折中提取现金。此交易必须在金融终端上进行,可以脱机处理。只有电子存折应用支持取现交易,且必须提交个人密码(PIN)。脱机终端和连机终端都应有充足的非易失性内存来储
36、交易数据,以满足服务提供商和银行的需要。6.3.2 交易流程本部分从终端角度描述了消费和取现交易的终端交易流程、终端与IC卡操作以及与主机处理的关系。这里假定在终端进入此交易流程前,终端已通过必要步骤获得了有关的数据,并且已完成个人密码的输入及验证。下列交易流程既适合消费交易,也适合取现交易。IC卡终端发出SW1|SW2INITIALIZE FOR PURCHASE/CASH WITHRAEAL如果SW1|SW2=9410则显示N;返回应用选择如果SW1|SW29000则显示0,异常结束终端/SAM生成MAC1发送MAC2|TAG,SW1|SW2DEBIT FOR PURCHASE/CASH
37、WITHDRAWAL如果SW1|SW29000则显示0,异常结束检验MAC2如果MAC2的校验不成功,则显示P,异常结束1)将交易明细写入终端的存储区2)显示Q图-5 消费/取现交易流程以下为消费/取现交易处理终端显示说明:状态含义N交易余额不足O 由于条件不满足而放弃交易P由于缺少MAC2或MAC2错误而放弃交易Q交易成功完成注:1)如果MAC2未返回或返回错误,交易应结束。2)交易数据必须立即记录到内存。6.3.3 消费/取现命令为完成消费/取现交易,终端应支持以下命令。有关这些命令的详细介绍请参见中国金融集成电路(IC)卡规范第2部分:应用规范。1、INITIALIZE FOR PURC
38、HASE2、INITIALIZE FOR CASH WITHDRAWAL3、DEBIT FOR PURCHASE / CASH WITHDRAWAL6.3.4 终端数据元素每次交易成功完成后,终端必须保留以下交易记录数据,并按规定上传主机:1、交易日期(终端)2、交易时间(终端)3、应用序列号4、交易类型标识5、交易金额6、终端机编号7、终端交易序号8、TAC还应保留以下总额数据供对帐使用:1、消费总金额/取现总金融2、消费总笔数/取现总笔数也可以根据需要保存以下数据元素供审计跟踪使用:密钥版本号1)6.3.5 安全要求由于安全方面的考虑,如果一个消费或取现交易在一个非安全性的POS终端/金融
39、终端或类似的非安全性设备进行,那么此设备应配备安全存取模块,算法以及消费/取现交易密钥将存放于PSAM中,加密过程将由PSAM以安全的方式进行。本规范不包括对密钥的详细描述。6.3.6 防拔处理如果终端在处理IC卡交易时,卡被突然拨出或由于终端方面的原因突然停止操作(如发生停电),则终端应能根据中国金融集成电路(IC)卡规范第2部分:应用规范中的规定,当终端检测到卡被拨出又被重新插入或检测到终端恢复供电后应对卡实施防拔处理。在以上情况下,终端应进行这样一种状态:即持卡人应重新插入原来的IC卡,并确认最后一次交易已经完成。如果持卡插入IC卡,则终端应提示持卡人重新插入原来的IC卡。如果插入不是原
40、来的卡,则终端应提示持卡人重新插入原来的卡。终端还应能够自动(如超时)或以人工方式(如操作员按下取消键)退出这种待插卡状态。在防拔处理结束后,终端应执行以下操作之一:1、完成IC卡的最后一笔,向持卡人显示交易已完成(如果IC卡余额已被子更新)。2、取消最后一笔交易,向持卡人显示交易已取消(如果IC卡余额没有被更新)。6.4 修改透支限额6.4.1 一般描述修改透支限额交易允许发卡行修改IC卡上电子存折的透支限额。修改透支限额交易必须在金融终端上联机完成,且必须提交个人密码(PIN)。需要说明的是,如果需要,支持该交易的联机金融终端必须能够接受其他银行发卡的IC卡,6.3节中的所有描述均适用于此
41、类情况。本部分不对收单行和发卡行间的通信和交易结算等有关事项予以规定。在修改透支限额交易中,发卡行将认证IC卡、检验相应帐户状态和交易数据。主机产生报文鉴别代码(MAC),并更新相应记录。如果发卡行因某种原因不能接受此交易,则终端必须显示相应的信息告知持卡和/或终端操作员。6.4.2 交易流程本节从终端角度描述了修改透支限额交易流程和终端与IC瞳以及主机处理的关系。这里假设终端在进入此交易流程前,已通过必要步骤获得了有关数据,并已完成个人密码的输入和验证。注:1)通常DTK的密钥版本与DPK的密钥版本相同。IC卡终端主机发出MAC1,SW1|SW2INITIALIZE FOR UPDATE如果
42、发生通信错误或超时或响应格式错误,则显示G,异常结束如果(SW1|SW2)9000则显示H,异常结束发送修改透支限额请求及相应数据元素。如果传输失败,终端显示I,异常结束。如果主机没有响应,或主机应答无效,终端显示J,异常结束并保存此次不完整交易的资料,包括交易状态和交易细节等,供主机调整交易使用(如冲正交易)。如果交易被主机拒绝,终端显示K,异常结束。验证MAC1返回修改透支限额命令的响应信息,发回MAC2。发送TAC,SW1|SW2UPDATE OVERDRAW LIMIT如果发生通信错误、超时或非法应答,终端显示G,异常结束并保存此次不完整交易的资料,包括交易状态和交易细节等,供主机调整交易使用(如冲正交易)。如果(SW1|SW2)9000,终端显示H,然后退出。在这种情况下,终端保留未完成交易的信息,包括交易状态和一些主机进行错误处理所必须的交易信息。修改交易记录和交易总额终端显示Q图-6 修改
