互联互通卡通用技术要求》征求意见稿.doc

CJ/T 中华人民共和国住房和城乡建设部发布-实施-发布城市互联互通卡通用技术要求Requirement For General Technology Of City Union Card（征求意见稿）CJ/T CJ中华人民共和国城镇建设行业标准ICS备案号：ICJ/T 目 次前 言II1 范围32 规范性引用文件33 术语和定义34 缩略语和符号55 城市互联互通系统基本框架56 用户卡技术要求77 终端机具技术要求12附录A （规范性附录） 互联互通标识22II前 言本标准的附录A为规范性附录。本标准由住房和城乡建设部标准定额研究所提出并归口。本标准负责起草单位：住房和城乡建设部IC卡应用服务中心。本标准参加起草单位：中外建设信息有限责任公司、上海华虹集成电路有限责任公司、恩智浦半导体（上海）有限公司、上海复旦微电子股份有限公司、深圳市德卡科技有限公司、深圳市雄帝科技发展有限公司、东信和平智能卡股份有限公司、芯成半导体(上海)有限公司、上海柯斯软件有限公司、上海华腾软件系统有限公司、北京江南科友科技有限公司、广东铭鸿数据处理有限公司、金雅拓科技（上海）有限公司、北京中安特科技有限公司、黄石捷德万达金卡有限公司。本标准主要起草人：王辉、杨辉、杜昊、周欣、马虹、申绯斐、曹子新（以下按姓氏笔画排序）王宝东、邓文豪、孙永战、余新浪、丹明波、刘昕、刘健康、张炜、李强、李伟斌、杨晓晔、赵子渊、贾立强、梁少峰。本标准为首次制定。城市互联互通卡通用技术要求1 范围本标准规定了城市公用事业IC卡城市互联互通的用户卡技术要求、IC卡机具的技术要求和交易数据的清分清算和数据交换接口技术要求及安全机制，以及标准中所涉及的相应术语、定义、符号等。本标准适用于与城市公用事业IC卡互联互通应用相关的卡片、终端和系统的设计、制造和使用。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T 16649.4 识别卡 带触点的集成电路卡 第4部分：用于交换的行业间命令GB/T 16649.5识别卡 带触点的集成电路卡 应用标识符的编号系统和登记规程CJ/T 166建设事业集成电路（IC）卡应用技术CJ/T 304建设事业CPU卡操作系统技术要求CJ/T 306建设事业非接触式CPU卡芯片技术要求3 术语和定义下列术语和定义适用于本标准。3.1接口设备 interface device终端上插入IC卡的部分，包括其中的机械和电气部分。3.2终端 terminal为完成金融交易而在交易点安装的设备，用于同IC卡的连接。它包括接口设备，也可包括其他部件和接口，例如与主机通讯的接口。3.3命令 command终端向IC卡发出的一条信息，该信息启动一个操作或请求一个应答。3.4响应 responseIC卡处理完成收到的命令报文后，返回给终端的报文。3.5电子钱包 electronic purse一种为方便持卡人小额消费而设计的金融IC卡应用。它支持圈存、消费等交易。除圈存交易外，使用电子钱包进行的其它交易均不记录明细，且均无需提交个人密码(PIN)。3.6复合应用 complex application在电子钱包应用基础上，根据行业应用特点引入的新应用模式。在消费交易中增加了卡片记录非金融数据的能力，且数据写入和交易同时完成。复合应用消费主要适用于使用计程、计时、或计次的消费领域。3.7金融交易 financial fransaction由于持卡者和商户之间的商品或服务交换行为而在持卡者、发卡机构、商户和收单行之间产生的信息交换、资金清算和结算行为。3.8功能 function由一个或多个命令实现的处理过程，其操作结果用于完成全部或部分交易。3.9报文 message由终端向卡或卡向终端发出的，不含传输控制字符的字节串。3.10报文认证码 message authentication code对交易数据及其相关参数进行运算后产生的代码。主要用于验证报文的完整性。3.11明文 plaintext没有加密的信息。3.12密文 ciphertext通过密码系统产生的不可理解的文字或信号。3.13密钥 key控制加密转换操作的符号序列。3.14加密算法 cryptographic algorithm为了隐藏或揭露信息内容而变换数据的算法。3.15保密密钥 secret key对称加密技术中仅供指定实体所用的密钥。3.16数据完整性data integrity数据不受未经许可的方法变更或破坏的属性。3.17集成电路 integrated circuit(s)（IC）用于执行处理和/或存储功能的电子器件。3.18字节 byte由指明的8位数据b1到b8组成，从最高有效位（MSB，b8）到最低有效位（LSB，b1）。3.19冲突 collision在同一PCD激励场中并且在同一时间周期内两个PICC的传输，使得PCD不能辨别数据是从哪一个PICC发出的。4 缩略语和符号ADF 应用定义文件(Application Definition File)AEF 应用基本文件(Application Elementary File)AID 应用标识符(Application Identifier)An 字母数字型(Alphanumeric)Ans 字母数字及特殊字符型(Alphanumeric Special)B 二进制(Binary)cn 压缩数字(Compressed numeric)DDF 目录定义文件(Directory Definition File)DF 专用文件(Dedicated File)DIR 目录(Directory)EF 基本文件(Elementary File)FCI 文件控制信息(File Control Information)Hex. 十六进制数(Hexadecimal)HHMM 时、分(Hours, Minutes)HHMMSS 时、分、秒(Hours, Minutes, Seconds)IC 集成电路(Integrated Circuit)ICC 集成电路卡(Integrated Circuit Card)IEC 国际电工委员会(International Electrotechnical Commission)ISO 国际标准化组织(International Organization for Standardization)KM 主控密钥(Master Key)LEN 长度(Length)M 必备型(Mandatory)MAC 报文认证码(Message Authentication Code)MF 主控文件(Mater File)N 数字型(Numeric)O 可选型(Optional)PIN 个人密码(Personal Identification Number)PIX 专用应用标识符扩展码(Proprietary Application Identifier Extension)PSAM 消费安全存取模块(Purchase Secure Access Module)RFU 保留为将来使用(Reserved for Future Use)SFI 短文件标识符(Short File Identifier)YYYYMMDD 年、月、日(Year, Month, Day)0F 16进制数字5 城市互联互通系统基本框架5.1 全国互联互通系统基本框架全国互联互通系统基本框架见图1。图1 全国互联互通系统框架5.2 系统基本结构组成基本的全国互联互通系统主要由密钥系统、清算系统和营运系统组成。5.2.1 密钥系统密钥体系由中心级和地方级组成，中心级密钥系统生成全国互联互通的消费根密钥、维护根密钥和TAC根密钥，地方级密钥系统生成自己的充值密钥和经过城市标识分散后生成的二级消费根密钥、二级维护根密钥和二级TAC根密钥。中心级密钥管理系统生成和保存全国互通密钥（消费、维护、TAC），并负责把互通密钥（消费、维护）经城市代码分散后下发给授权的区域中心或者城市一卡通。区域中心内互通的城市使用密钥也必须是经过中心授权的。5.2.2 清算系统清算系统由全国数据清算中心和区域清算中心（城市清算中心）组成，区域清算中心（城市清算中心）主要负责异地消费数据的采集上传，全国清算中心主要负责异地数据的清分清算。包括充值数据和消费数据的清算。充值产生的数据目前由于异地充值还没有很好的解决方式，暂只描述本地充值产生的数据的清算。本地产生的充值数据和消费数据由本地的区域清算中心或者城市清算中心负责。异地消费产生的数据经由各地的区域清算中心或城市清算中心上传给数据中心，数据中心负责异地消费数据的清算清算。5.2.3 营运系统营运系统主要包括各个区域中心或者城市一卡通的卡片发行、充值、消费等功能。5.2.3.1 卡片发行经城市代码分散后的互通密钥由授权的区域中心或者城市一卡通负责管理，并且他们负责全国互通CPU卡的初始化、退卡和充值等工作。5.2.3.2 卡片消费分为本地消费和异地消费。全国互通CPU卡除了可以在本地消费外，还可以在异地进行消费。本地消费产生的数据由本地清算，异地消费产生的数据只能由全国或者区域数据中心清算。5.2.3.3 卡片充值分为本地充值和异地充值。本地充值由区域中心或者城市通卡进行卡片的充值，异地充值目前由于充值密钥的安全问题目前还没有很好的解决方式，但不排除以后会出现很好的解决方式。6 用户卡技术要求6.1 基本技术要求用户卡的基本技术要求主要包括卡面印刷、芯片技术要求、COS技术要求、卡片技术要求和算法要求。6.1.1 卡片印刷参与全国互联互通的用户卡界面应有互联互通标识。互通标志的具体使用应遵循规范性附录A。6.1.2 芯片技术要求芯片应遵循标准CJ/T 306。6.1.3 COS技术要求COS技术要求应遵循标准CJ/T 304。6.1.4 卡片技术要求卡片技术要求应遵循标准 CJ/T 243。6.1.5 算法要求支持的算法应遵循 CJ/T 166及国家密码管理局认可的算法。6.2 应用技术要求本条规定了城市互联互通用户卡的文件结构和数据元。6.2.1 文件结构城市互联互通用户卡的文件结构是按照GB/T 16649.4中的要求定义的，在本规范中只针对涉及互联互通的应用部分进行了定义。用户卡的文件结构见图2。MF目录数据文件（SFI=Ox01）发行基本信息文件（SFI=0x5）互联互通应用（AID = A00000000386980701）公共应用基本信息文件（SFI=0x15）复合交易记录文件（SFI=0x17）交易明细文件（SFI=0x18）图2 用户卡文件结构6.2.2 数据元数据元是信息的最小单位，用名称、逻辑内容说、格式及代码来标识。6.2.2.1 MF6.2.2.1.1 MF下密钥MF下密钥主要包括卡片主控子密钥和卡片维护子密钥，在卡片初始化过程中写入卡片。具体定义见表1。表1 MF下密钥密钥名称密钥代码密钥类型密钥标识分散级别分散因子密钥作用卡片主控子密钥DCCK主控密钥002L1：城市代码L2：应用序列号(可自定义)控制MF下文件添加卡片维护子密钥DCMK维护密钥002L1：城市代码L2：应用序列号(可自定义)MF下有关信息文件的更新保护6.2.2.1.2 目录数据文件目录数据文件见表2。表2 目录数据文件文件标识（SFI）0x01文件类型变长记录文件文件大小0050H文件存取控制读 = 自由改写 = DCMK线路保护标志长度值70Var.结构数据对象标签61Var.应用模板4F0x05-0x10DDF名称500x01-0x10应用标签6.2.2.1.3 发行基本信息文件发行基本信息文件见表3。表3 发行基本信息文件文件标识（SFI）0x05文件类型二进制文件文件大小001EH文件存取控制读 = 自由改写 = DCMK线路保护字节数据元长度格式0102发卡方代码2BCD（8698）0304城市代码2HEX0506行业代码2BCD0708RFU2BCD（FFFF）0916应用序列号8HEX1718卡类型2HEX1922发行日期4YYYYMMDD2328发行设备信息6HEX2930应用版本号2HEX6.2.2.2 互联互通应用互联互通应用的AID= A00000000386980701。6.2.2.2.1 互联互通应用密钥互联互通应用密钥的定义见表4。表4 互联互通应用密钥密钥名称密钥代码密钥类型密钥索引分散级别分散因子密钥作用应用主控子密钥DACK主控密钥002L1：城市代码L2：应用序列号(可自定义)控制应用区内结构添加和删除应用维护子密钥DAMK维护密钥002L1：城市代码L2：应用序列号应用区内有关信息文件的更新保护消费子密钥DPK消费密钥01-042L1：城市代码L2：应用序列号共4组密钥圈存子密钥DLK圈存密钥01-022L1：城市代码L2：应用序列号共2组密钥TAC子密钥DTKTAC密钥002L1：城市代码L2：应用序列号交易验证注： 互通CPU卡应支持的算法以及密钥版本、密钥索引的定义见表5、表6、表7。表5 密钥版本密钥版本算法名称01DES 3DES 81SM1表6 算法标识算法标识算法名称003DES01DES03SM1表7 密钥索引密钥索引算法名称00-043DES DES80-84SM16.2.2.2.2 公共应用基本信息文件公共应用基本信息文件见表8。表8 公共应用基本信息文件文件标识（SFI）0x15文件类型二进制文件文件大小001EH文件存取控制读 = 自由改写 = DAMK线路保护字节数据元长度格式0102发卡方代码2BCD（8698）0304城市代码2HEX0506行业代码2BCD07-08RFU2BCD（FF）0909应用类型标识（启用标志）1BCD00：未启用其它值：启用1010应用版本1BCD1112互通标识（参与互通的城市代码）2HEX1320应用序列号8HEX2124应用启动日期4YYYYMMDD启用时更新2528应用有效日期4YYYYMMDD启用时更新2930RFU2BCD(FFFF)注：应用序列号是参与密钥分散的二级分散因子，一般由CPU卡的ATS的后8字节得到。 6.2.2.2.3 复合交易记录文件复合交易记录文件定义见表9。表9 复合交易记录文件文件标识（SFI）0x17文件类型变长记录文件文件大小00A0H文件存取控制读 = 自由改写 = 非交易情况下 - 禁止改写 /交易情况下 - DCPK记录标识字节数据元长度格式091复合消费标志1BCD01：公交02：轻轨09：全国互联互通消费2复合消费数据长度1HEX3复合消费锁定标志1BCD00：允许01：禁止4复合消费记录版本号1HEX(0x01)5交易类型1HEX00：标识完成611终端机编号（城市代码）6HEX1215金额（用于补扣）4HEX(0x00)1619交易日期4BCD-YYYYMMDD2022交易时间3BCD-HHMMSS23-26通用复合消费记录MAC4HEX2748自定义数据22VAR021复合消费标志1BCD01：公交02：轻轨09：全国互联互通消费2复合消费数据长度1HEX3复合消费锁定标志1BCD00：允许01：禁止416复合应用数据13VAR03总长度32字节（0x20），前三字节定义同记录2剩余空间可根据需求自定义6.2.2.2.4 电子钱包交易明细记录文件电子钱包交易明细记录文件定义见表10。表10 电子钱包交易明细记录文件文件标识（SFI）0x18文件类型循环记录文件记录长度/个数0017000AH文件存取控制读 = 自由改写 = COS内部操作字节数据元长度格式0102电子钱包消费、充资交易序号2HEX0305RFU（预留）3HEX000609交易金额4HEX1010交易类型1BCD02：充资06：消费09：复合消费1116交易终端编号6BCD1720交易日期4YYYYMMDD2123交易时间3HHMMSS7 终端机具技术要求7.1 基本要求IC卡终端机具的基本要求应遵循标准CJ/T 243和标准CJ/T 166。7.2 应用要求终端机具的应用要求主要规范互联互通基本消费交易、复合应用消费交易和异地锁卡交易流程。7.2.1 基本消费交易规定终端机具程序在用户卡进行异地消费流程中应满足的要求。基本消费交易模型见图3。图3 基本消费交易模型7.2.1.1 读取终端机编号终端机具一上电就对PSAM卡进行操作，把终端机编号读出并保存，除非中途报错或者断电，终端不需要再取终端机编号。7.2.1.2 读取密钥索引终端机具上电后就对PSAM卡进行应用选择，应用标识为“建设部”的ASCII码字符读出密钥索引并保存到终端内存中，除非中途报错或者断电，终端不需要再取PSAM卡的密钥索引号。通过不同的密钥索引号来标识选择使用哪种算法进行交易处理。7.2.1.3 防碰撞处理终端机具对用户卡进行防碰撞处理后与卡片建立通信信道并进行询卡操作。询卡成功后进入下一步操作，否则退出交易。7.2.1.4 选择应用（用户卡）终端机具对用户卡通过应用目录进行应用选择；用户卡返回基本信息文件的内容。7.2.1.5 卡片有效性检查终端机具根据0015文件的信息进行卡合法性判断，主要包括卡片启动状态判定、卡有效期判断、黑名单判断、互联互通判断。卡片启动状态判断主要是对应用类型标识进行判断，在消费和充值时判断卡片是否为已启动状态。卡有效期判断主要是对应用有效期进行判断。黑名单判断主要对卡片应用序列号与终端黑名单信息进行比对。互联互通判断主要是对互通标识与终端中的互通城市代码信息进行比对。在进行卡合法性判断过程中有一项不满足时，交易应中止（黑名单直接锁卡）。7.2.1.6 交易金额交易金额的定义应根据具体情况城市自己定义。本规范不对交易金额进行定义。7.2.1.7 获取安全认证识别码终端机具对用户卡发送GET MESSAGE命令进行获取安全识别码操作，并取得返回值。如果获得失败则结束操作。GET MESSAGE命令参照标准CJ/T 304。7.2.1.8 消费初始化（用户卡）终端机具对用户卡发送INITIALIZE FOR PURCHASE命令进行消费初始化操作，发送的数据中密钥索引城市根据自己实际应用情况，自己定义。通过命令返回的余额与交易金额进行比较，如果余额不足则结束操作。7.2.1.9 安全认证（PSAM卡）终端机具对PSAM卡发送AUTHENRICATION MESSAGE命令打开互通消费密钥消费权限；如果认证失败，则结束操作。7.2.1.10 计算MAC1终端机具对PSAM卡发送INIT_SAM_PURCHASE命令计算出MAC1（计算MAC1的数据域中的消费密钥版本号和算法标识由INITIALIZE FOR PURCHASE返回得到）；7.2.1.11 校验MAC1产生MAC2终端机具对用户卡发送DIBIT FOR PURCHASE命令对MAC1进行校验，校验成功后对卡片进行交易处理，并产生MAC2和TAC；交易处理主要是完成卡片的扣款和更新交易记录。7.2.1.12 校验MAC2和生成交易记录终端机具对PSAM卡发送DIBIT_SAM_PURCHASE命令校验MAC2，验证正确后终端把算法标识、交易金额、交易类型标识、终端机编号、终端交易序号、交易日期、交易时间等信息组成一条交易记录进行保存。如果校验MAC2错误，终端也记录本次交易数据，以供后台查错。7.2.2 基本复合消费交易规定了终端机具程序在用户卡进行异地复合消费流程中应满足的要求。一个完整的基本复合交易消费流程应该包括消费开始流程和消费结束流程两部分。消费开始阶段终端把全程要扣的金额和相关计算消费金额信息更新到复合交易信息中；消费结束时终端根据复合交易信息中的信息来确定实际要进行扣款的金额，最后保存实际的扣款金额交易记录。基本复合交易流程图模型见图4。图4 基本复合消费流程模型7.2.2.1 消费开始消费开始采用交易方式，需要完成一次完整的消费交易。消费开始见图4。7.2.2.1.1 读取终端机编终端机具一上电就对PSAM卡进行操作，把终端机编号读出并保存到终端内存中，除非中途报错或者断电，终端不需要再取终端机编号。7.2.2.1.2 读取密钥索引终端机具上电后就对PSAM卡进行应用选择，应用标识为“建设部”的ASCII码字符读出密钥索引并保存到终端内存中，除非中途报错或者断电，终端不需要再取PSAM卡的密钥索引号。通过不同的密钥索引号来标识选择使用哪种算法进行交易处理。7.2.2.1.3 防碰撞处理终端机具对用户卡进行防碰撞处理后与卡片建立通信信道并进行询卡操作。询卡成功后进入下一步操作，否则退出交易。7.2.2.1.4 选择应用（用户卡）终端机具对用户卡通过应用目录进行应用选择；用户卡返回基本信息文件0015的内容。7.2.2.1.5 卡片有效性检查终端机具根据0015文件的信息进行卡合法性判断，主要包括卡片启动状态判定、卡有效期判断、黑名单判断、互联互通判断。卡片启动状态判断主要是对应用类型标识进行判断，在消费和充值时判断卡片是否为已启动状态。卡有效期判断主要是对应用有效期进行判断。黑名单判断主要对卡片应用序列号与终端黑名单信息进行比对。互联互通判断主要是对互通标识与终端中的互通城市代码信息进行比对。在进行卡合法性判断过程中有一项不满足时，交易应中止（黑名单直接锁卡）。7.2.2.1.6 读取复合交易记录信息终端发送READ RECORD命令，用户卡返回复合消费记录信息。7.2.2.1.7 复合应用判断终端根据复合交易记录文件中的信息进行以下复合应用判断：复合消费锁定标志判断是否支持互联互通复合消费；如果不支持则结束操作；终端机具判断交易类型是否为00，如果是则开始进行复合消费交易，其中交易金额为0；如果不是直接退出交易。7.2.2.1.8 获取安全认证识别码终端机具对用户卡发送GET MESSAGE命令进行获取安全识别码操作，并取得返回值。如果获得失败则结束操作。GET MESSAGE命令参照标准CJ/T 304-2008。7.2.2.1.9 消费初始化（用户卡）终端机具对用户卡发送INITIALIZE FOR CAPP PURCHASE命令进行消费初始化操作，发送的数据中密钥索引城市根据自己实际应用情况，自己定义。通过命令返回的余额与终端规定的最大交易金额进行比较，如果余额不足则结束操作。7.2.2.1.10 安全认证（PSAM卡）终端机具对PSAM卡发送AUTHENRICATION MESSAGE命令打开互通消费密钥消费权限；如果认证失败，则结束操作。7.2.2.1.11 计算MAC1终端机具对PSAM卡发送INIT_SAM_PURCHASE命令计算出MAC1（计算MAC1的数据域中的消费密钥版本号和算法标识由INITIALIZE FOR PURCHASE返回得到）；7.2.2.1.12 更新复合交易记录信息终端机具更新复合交易记录信息的交易金额为本次终端规定的全程票价，交易时间为本次交易的终端时间，交易类型置为01。7.2.2.1.13 校验MAC1产生MAC2终端机具对用户卡发送DIBIT FOR PURCHASE命令对MAC1进行校验，校验成功后对卡片进行交易处理，并产生MAC2和TAC；交易处理主要是完成卡片的扣款和更新交易记录。7.2.2.1.14 校验MAC2和生成交易记录终端机具对PSAM卡发送DIBIT_SAM_PURCHASE命令校验MAC2，验证正确后终端把算法标识、交易金额、交易类型标识、终端机编号、终端交易序号、交易日期、交易时间等信息组成一条交易记录进行保存。如果校验MAC2错误，终端也记录本次交易数据，以供后台查错。（0消费交易记录是否需要保存？）7.2.2.2 消费结束消费结束见图4。7.2.2.2.1 读取终端机编号终端机具一上电就对PSAM卡进行操作，把终端机编号读出并保存到终端内存中，除非中途报错或者断电，终端不需要再取终端机编号。7.2.2.2.2 读取密钥索引终端机具上电后就对PSAM卡进行应用选择，应用标识为“建设部”的ASCII码字符读出密钥索引并保存到终端内存中，除非中途报错或者断电，终端不需要再取PSAM卡的密钥索引号。通过不同的密钥索引号来标识选择使用哪种算法进行交易处理。7.2.2.2.3 防碰撞处理终端机具对用户卡进行防碰撞处理后与卡片建立通信信道并进行询卡操作。询卡成功后进入下一步操作，否则退出交易。7.2.2.2.4 选择应用（用户卡）终端机具对用户卡通过应用目录进行应用选择；用户卡返回基本信息文件0015的内容。7.2.2.2.5 卡片有效性检查终端机具根据0015文件的信息进行卡合法性判断，主要包括卡片启动状态判定、卡有效期判断、黑名单判断、互联互通判断。卡片启动状态判断主要是对应用类型标识进行判断，在消费和充值时判断卡片是否为已启动状态。卡有效期判断主要是对应用有效期进行判断。黑名单判断主要对卡片应用序列号与终端黑名单信息进行比对。互联互通判断主要是对互通标识与终端中的互通城市代码信息进行比对。在进行卡合法性判断过程中有一项不满足时，交易应中止（黑名单直接锁卡）。7.2.2.2.6 读取复合交易记录信息终端发送READ RECORD命令，用户卡返回复合消费记录信息。7.2.2.2.7 复合应用判断终端根据复合交易记录文件中的信息进行以下判断：复合消费锁定标志判断是否支持互联互通复合消费，如果不支持则结束操作；终端机具判断交易类型是否为01，如果为01则可以根据复合交易记录中相关信息计算的金额作为消费金额进行交易。如果为00则退出交易。7.2.2.2.8 获取安全认证识别码终端机具对用户卡发送GET MESSAGE命令进行获取安全识别码操作，并取得返回值。如果获得失败则结束操作。GET MESSAGE命令参照标准CJ/T 304-2008。7.2.2.2.9 消费初始化（用户卡）终端机具对用户卡发送INITIALIZE FOR CAPP PURCHASE命令进行消费初始化操作，发送的数据中密钥索引城市根据自己实际应用情况，自己定义。通过命令返回的余额与终端计算的交易金额进行比较，如果余额不足则结束操作，否则继续下面的步骤。7.2.2.2.10 安全认证（PSAM卡）终端机具对PSAM卡发送AUTHENRICATION MESSAGE命令打开互通消费密钥消费权限；如果认证失败，则结束操作。7.2.2.2.11 计算MAC1终端机具对PSAM卡发送INIT_SAM_PURCHASE命令计算出MAC1（计算MAC1的数据域中的消费密钥版本号和算法标识由INITIALIZE FOR PURCHASE返回得到）；7.2.2.2.12 更新复合交易记录信息终端机具更新复合交易记录信息的交易金额为本次终端计算的金额，交易时间为本次交易的终端时间，交易类型置为00。7.2.2.2.13 校验MAC1产生MAC2终端机具对用户卡发送DIBIT FOR PURCHASE命令对MAC1进行校验，校验成功后对卡片进行交易处理，并产生MAC2和TAC；交易处理主要是完成卡片的扣款和更新交易记录。7.2.2.2.14 校验MAC2和生成交易记录终端机具对PSAM卡发送DIBIT_SAM_PURCHASE命令校