山东省IC卡应用技术规范第3部分

山东省质量技术监督局发布2009-××-××实施2009-××-××山东省质量技术监督局发布2009-××-××实施2009-××-××发布集成电路（IC）卡应用技术规范第3部分：终端Applicationtechnicalspecificationforintegratedcircuit（IC）card一Part3：Terminal（送审稿）DB37/T×××.3—2009ICS××.×××L××备案号：山东省地方标准目次前言 I1范围 12规范性引用文件 13术语和定义 14符号和缩略语 15基本性能要求 15.1基本物理配置 15.2交易时间要求 16IC卡终端的一般要求 16.1一般要求说明 16.2IC卡终端的物理特性，逻辑接口，通信协议 16.3终端类型 16.4功能部件的特性 17IC卡终端的多应用要求 27.1基本要求 27.2终端应用的管理 27.3IC卡应用选择 28IC卡终端的功能要求 38.1消费类IC卡终端 38.2服务类终端 39IC卡终端的数据安全要求 39.1一般安全要求 39.2非正常中断数据恢复机制 59.3安全存取模块的物理安全要求 59.4安全存取模块的逻辑安全要求 510黑名单管理 510.1黑名单管理功能 610.2黑名单的记录类型 610.3黑名单检查 610.4黑名单更新 610.5黑名单库的容量要求 611交易流程 611.1消费终端的交易流程 611.2非接触式CPU卡与消费终端的交易流程 812IC卡终端安全要求 1012.1IC卡终端程序的下载 1012.2IC卡终端加载的安全存取模块 1112.3IC卡终端内部应用的安全 1112.4IC卡终端与外部设备通讯的安全 1112.5IC卡终端安全认证流程 1113终端设备软件升级和维护 1313.1底层控制软件的升级和维护 1313.2应用程序的升级和维护 13前言DB37/TXXX-2009《集成电路（IC）卡应用技术规范》分为三个部分：——第1部分：卡片技术；第2部分：卡应用；第3部分：终端。本部分为DB37/TXXX-2009的第3部分，以第1部分和第2部分为基础，根据IC卡的应用，规定了一个能够从技术上保证“卡片通用，设备共享”的终端最基本要求。本标准为推荐性标准。本标准由山东省经济和信息化委员会提出。本标准主要起草单位：XXX、XXX。本标准主要起草人：XXX、XXX、XXX、XXX、XXX。集成电路（IC）卡应用技术规范第3部分卡终端范围DB/Txxx的本部分规定了对终端的基本要求、终端的功能、黑名单管理以及终端应用程序的升级和维护等。DB/Txxx的本部分适用于支持本标准所规定的基本应用的终端设备。使用对象主要是与IC卡应用相关的终端设计、制造以及应用系统研制、开发、集成和维护等组织机构。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T14916识别卡物理特性GB/T16649.1识别卡带触点的集成电路卡-第1部分：物理特性GB/T16649.2识别卡带触点的集成电路卡-第2部分：触点的尺寸与位置GB/T16649.3识别卡带触点的集成电路卡第3部分：电信号和传输协议GB/T17554.1识别卡测试方法第1部分:一般特性测试GB/T17554.3识别卡测试方法第3部分:带触点的集成电路卡及其相关接口设备GB/T18239集成电路(IC)卡读写机通用规范CJ/T166-2006建设事业集成电路(IC)卡应用技术JR/T0025中国金融集成电路(IC)卡规范ISO/IEC14443（所有部分）识别卡无触点集成电路卡近程卡术语和定义下列术语和定义适用于本标准。3.1ICC连接器ICCconnectorICC连接器是IFD与ICC电气连接的物理实现部分。在逻辑上，本部分规定用它来标识与它电气上稳定连接的ICC。3.2典型交易时间typebealingtime典型交易时间是指IC卡终端在脱机交易状态下，从IC卡进入设备建立有效连接，经过卡认证，有效性判断，完成有价区有效扣减或增值，卡内存储相关交易信息所需要的时间，不包括发票打印时间，终端内存储交易数据的时间，数据下载和上传的时间等。符号和缩略语IFD接口设备(InterfaceDevice)MAC报文鉴别代码(MessageAuthenticationCode)SAM安全存取模块(SecureAccessModule)VCC电源电压(SupplyVoltage)基本性能要求5.1基本物理配置对于任何类型的IC卡终端一般都应配置以下部件：显示部件，读写部件，至少2个安全存取模块(SAM)插座，数据交换通道，电源，内存或其它存储设备．上述部件应符合国家或行业的相关产品标准．5.2IC卡终端典型交易时间要求非接触CPU卡消费类终端的典型交易时间不大于300ms。非接触式逻辑加密卡消费类终端的典型交易时间不大于300ms。接触式CPU卡消费类终端的典型交易时间不大于850ms。服务类IC卡终端的交易时间不作规定。IC卡终端的一般要求6.1一般要求说明IC卡建设中采用的IC卡终端要求具有联机和脱机功能，同时支持CPU卡与逻辑加密卡的联机和脱机读写操作。消费类IC卡终端和服务类IC卡终端的气候环境，机械环境，可靠性，安全性，电磁兼容性要求应符合产品的行业标准或地方标准。6.2IC卡终端的物理特性，逻辑接口，通信协议a)接触式卡IC卡终端的物理特性应符合GB/T16649.1和GB/T16649.2的要求。b)接触式卡IC卡终端的逻辑接口，通讯协议应符合GB/T16649.3的要求。c)非接触卡IC卡终端的逻辑接口和通信协议应符合ISO/IEC14443.3和ISO/IEC14443.4的要求。6.3终端类型支持IC卡应用的终端根据其工作方式的不同可以分为脱网终端和连网终端。表1给出这二类终端的最低功能部件的配置要求。终端的最低功能部件配置要求终端部件脱网终端连网终端显示器MM读写单元MM键盘OM密码键盘OM安全存取模块MO存储设备OM打印机OO网络通信接口OM实时时钟MM电源MMM──必备O──可选6.4功能部件的特性6.4.1显示器用于交易过程显示及错误指示，本标准要求至少具有数字显示能力，并可显示汉字、字母和符号等。6.4.2IC卡接口设备6.4.2.1基本要求用于实现对符合本标准第1部分IC卡规范的储值卡，进行本标准第2部分应用所规定的各种应用所需的操作，它应符合本部分中的各项要求。6.4.2.2物理链接读写单元通过串行接口或USB接口与宿主进行通信下，读写单元若通过USB接口与宿主交换数据，可采用四种传输方式之一，等时传输方式、中断传输方式、批处理方式、控制传输方式。串行读写单元通信波特率为115200，8，N，1。6.4.3键盘用于输入交易数据及业务信息。至少应配置数字键及确认功能键。6.4.4安全存取模块用于对终端操作IC卡的权限鉴别和认证。6.4.5打印机根据业务需要，终端可配备相应的打印机。6.4.6网络通信设备对于连机交易，终端应配备网络通信设备以用于终端与主机之间的数据传输，通信设备可扩展无线通信模块。6.4.7存储设备终端应配备足够的存储空间，以便存储交易记录、业务数据及黑名单等信息。6.4.8实时时钟用于提供业务处理所需的终端时间。6.4.9电源终端可以采用交流或直流方式供电。6.4.10PSAM插槽终端必须有2个以上的PSAM卡可扩展插槽。IC卡终端的多应用要求7.1基本要求卡与终端应配合使用以保证交易安全、有效地运行。为了支持本标准第2部分的规定，本部分对实现多应用的终端提出一些管理应用和选择应用的具体原则。一般来说，如果IC卡上有超过一种以上的应用，则支持它的终端应给用户一个按应用优先级排序的列表以供选择。7.2终端应用的管理终端应用的管理应达到如下目标：应用之间不能互相影响，应相互独立运行，相互之间数据和程序不可交换。共享数据必须保证：a）各应用的内部数据不能被其它应用得到；b）所有的应用可以共享终端中的通用数据；c)提供应用选择的标准界面；d)对应用进行管理(提供应用程序的选择、激活、禁止、参数设置等)。7.3IC卡应用选择符合本标准第1部分的IC卡可实现一个或多个应用，终端应能够选择并支持这些应用。应用选择过程应符合本标准第2部分应用的规定。IC卡终端的功能要求8.1消费类IC卡终端8.1.1一般要求消费类IC卡终端的消费交易允许持卡人使用电子钱包的余额获取服务，此交易在消费类IC卡终端中记录交易数据，由终端将交易记录数据上传到交易清算中心。注：本标准从IC卡终端角度对充值，消费交易的一般功能，流程等方面提出了基本要求，IC卡终端的个性化功能设计，有关系统设计及后台处理等内容不属于本标准范围。8.1.2安全要求消费交易时，必须使用特定的消费安全存取模块(PSAM)，PSAM是由IC卡发行主管部门或应用主管机构发行的、可以用于对IC卡进行脱机消费交易认证的认证卡，安装在各类消费类IC卡终端中。消费类IC卡终端在IC卡以及PSAM之间建立通信链路，消费类IC卡终端的安全认证由IC卡和PSAM共同完成．终端只是在IC卡和PSAM之间传输安全信息，不参与进行密钥运算过程。敏感数据不得以明码形式存储和通信。8.2服务类终端8.2.1一般要求IC卡充值交易无论在充值设备联机或脱机进行交易时，充值设备应首先对IC卡的合法性予以验证，同时检查账户状况及其他交易数据，如果发卡方因某种原因不能接受交易，那么充值设备必须显示相应的告知信息。8.2.2安全要求联机充值系统应采用“三层体系结构”，即前台客户机系统——中间件应用服务器系统——后台中心数据库系统，通过中间件将前台客户机与后台数据库联系起来，由终端完成对卡片的充值操作，通过认证卡内密钥与ISAM卡是否匹配来确定是否是本系统卡。客户端程序发送给终端读卡指令后，终端将卡内的信息发送给客户端，用来显示给客户。如果继续充值，那么需要根据相应提示来确定充值金额。此时充值交易开始，客户端将充值金额和相关内容组成充值请求报文，发送给中间件。中间件首先判断请求报文是否合法以及有效，然后查询黑名单并进行充值权限和授权充值额度的认证。认证通过后，后台交易流程开始，数据库记录本笔充值交易数据，相应扣减网点的充值额度，并将充值内容通过客户端返回给终端。终端根据发送回来的内容，再利用ISAM卡计算充值密钥，依据充值规则对用户卡进行充值。充值成功后，由客户端向后台返回充值成功报文，充值交易及后台交易流程均结束。如果充值过程中发生意外，无论是网络故障还是读写卡片时出现异常，客户端均进入冲正流程。冲正流程的原则是卡片先冲正，后台再冲正，以保证数据安全性。脱机充值交易时，必须使用特定的充值安全存取模块(ISAM)。ISAM是由IC卡发行主管部门或应用主管机构发行的可以用于对IC卡进行充值安全认证的卡(模块)，安装在充值类终端中．充值类终端在IC卡以及ISAM之间建立通信链路，充值类终端的安全认证由IC卡和ISAM共同完成．充值类终端只是在IC卡和ISAM之间传输安全信息，不参与进行密钥运算过程。充值类终端在设计时应对交易清算中心授权的时间，次数和金额进行限制，防止该类终端在非法被使用时给系统造成重大损失(例如伪充值记录)。充值类终端在与交易清算中心的双向身份认证，密钥传送，授权，交易记录上传及黑名单下载等通讯过程应采用密文加校验传送。IC卡终端的数据安全要求9.1一般安全要求9.1.1终端存储的数据类型终端一般存在两种类型的数据。通用数据：包括时间、终端识别号及终端业务记录等。外界可以对这些数据进行访问，但不允许进行无授权修改。敏感数据：包括密钥、应用程序内部的参数（如SAM标识号，密钥索引）。在未授权的情况下，外界不允许对这类数据进行访问和修改。注：本节规定了终端数据存储、处理的一般性安全要求。同时也对安全存取模块（SAM）提出了具体的要求。安全存取模块（SAM）用于存贮安全密钥并负责进行安全加密。关于SAM具体的安全要求实现不属于本部分范围。9.1.2通用数据的安全要求通用数据一般存放在存储器中。在更新参数以及下装新的应用程序时，终端应做到：a)验证更新方的身份，对于应用程序重新下载，只允许终端所有者，或者经终端所有者或代理方批准的第三方执行。b)校验下载参数及应用程序的完整性。c)对存储器要求应做到：无论在什么情况下，终端的应用数据都不会随意改变或丢失，并保证数据有效。d)所有与交易相关的数据均应以记录形式存储于终端存储器中。终端应保证这些数据的完整性。9.1.3防拔处理如果终端在处理IC卡交易时，卡被突然拔出或由于终端方面的原因突然停止操作(如发生断电)，则终端应能根据本标准第2部分应用中的规定，当检测到拔卡并重新插入卡或终端恢复供电后对卡实施防拔处理。在以上情况下，终端应进入这样一种状态：即持卡人可重新插入原来的IC卡，并确认最后一次交易已经完成。如果持卡人未插入IC卡，则终端应提示持卡人重新插入原来的IC卡。如果插入的卡不是原来的卡，则终端应提示持卡人重新插入原来的卡。终端还应能够自动(如超时)或以人工方式(如操作员按下取消键)退出这种待插卡状态。在防拔处理结束后，终端应执行以下操作之一：完成IC卡的最后一笔交易，向持卡人显示交易已完成(如果IC卡数据已被更新)。取消最后一笔交易，向持卡人显示交易已被取消(如果IC卡数据没有被更新)。9.1.4敏感数据一般应存放在安全存取模块中。安全存取模块是一种能够提供必要的安全机制以防止外界对终端所储存或处理的数据进行非法攻击的硬件加密模块。此模块主要负责保存和处理所有的敏感数据，这些数据包括消费密钥或传输密钥等。对于安全存取模块的硬件形式在此规范中将不做具体要求。在正常的操作环境下，对安全存取模块要求是出入模块的、以及其内部存放的和正在处理的数据不会由于模块自身或其接口造成任何泄露和改变。9.1.5交易上传数据IC卡终端需要上传的交易记录至少包括如下46字节数据，其格式见表2。IC卡终端交易上传数据格式要求序号数据项（逻辑加密卡）格式长度数据项（CPU卡）长度备注1唯一号HEX4卡号162城市代码BCD23应用代码BCD24发行流水号BCD45卡认证码HEX46卡类BCD1卡类17钱包累计交易次数HEX2消费交易计数器28交易前余额HEX4交易前余额4交易前余额9交易金额HEX3交易金额310交易日期BCD4交易日期4YYYY/MM/DD11交易时间BCD3交易时间3HH/MM/SS12交易类型BCD1交易类型113SAM卡号HEX6卡号614保留HEX2充值交易计数器2保留时以FF填充15TACHEX4TAC4合计46469.2非正常中断数据恢复机制如果IC卡终端在处理IC卡交易时，卡被突然拔出或离开感应区或由于IC卡终端方面的原因突然停止操作（如发生断电），IC卡终端应能监测到卡被拔出又重新插入或重新进入感应区或检测到IC卡终端恢复供电，并对卡非正常交易的错误数据实施恢复处理。在以上情况下，IC卡终端应进入这样一种状态：即持卡人应将原来的IC卡重新插入或进入感应区，并等待最后一次交易完成。如果持卡人未将原来的IC卡插入或未进入感应区，则IC卡终端应提示持卡人重新插入IC卡或将卡放入感应区。在上述操作后，IC卡终端应执行以下操作之一：a)完成IC卡的最后一笔交易，向持卡人显示交易已完成（如果IC卡余额已被更新）；b)取消最后一笔交易，向持卡人显示交易已被取消（如果IC卡余额没有被更新）。9.3安全存取模块的物理安全要求安全存取模块的硬件设计应能保证在物理上限制对其内部存贮的敏感数据的存取与窃取，以及对安全存取模块的非授权使用和修改。一旦安全存取模块受到非法的篡改及攻击，其自身应能够立即完成对内部敏感数据的删除。要实现这些目标，安全存取模块应具有防窃、查窃、窃取显示或窃取响应机制，同时，安全存取模块也应具有足够的防范特性，能够发现是否被篡改过。总之，安全存取模块的设计和构造应遵照以下要求：只有通过特别的技术与工具，或严重破坏的方法，才能对模块的硬件或软件进行增加、替换或修改；任何对敏感数据的访问或修改，只有通过对模块的接触才能达到：a)安全存取模块的任何部分的损坏或失效都不会导致敏感数据的泄露。b)如果安全存取模块是由多个分离部件组合而成，而处理的数据又必须在这些部件之间传递，那么各部件须保持相同的安全级别。9.4安全存取模块的逻辑安全要求一个安全存取模块的逻辑设计应保证，调用任何单一功能或组合功能，都不会导致敏感数据的泄露。对于某些敏感操作，应有一定的权限限制。安全存取模块中可存放多组不同版本不同索引的主密钥。所有的主密钥通常应在终端投入使用之前被下载到安全模块中。如果在终端使用过程中，主密钥需要修改，应使用安全报文。实现这一操作通常应在特殊的授权情况下完成。对外部不能存在任何取得密钥的机会。为避免伪操作，存放在安全模块中的任何类型的主密钥应与某个特定的操作相结合。例如，主消费密钥将仅适用于处理“消费及取现”应用操作。在每一个交易结束或超时状态下，安全模块应自动清除内部缓存区中存放的数据。安全存取模块应能执行金融IC卡要求的安全信息的计算、校验。当符合标准的IC卡需要以安全报文方式传递信息时，安全存取模块应能够实现安全报文传递。所有与脱机交易相关的主密钥和敏感数据应存储在安全存取模块中。安全存取模块应可以实现规定的加密算法和符合卡片规范中定义的主密钥到子密钥的分散算法。黑名单管理10.1黑名单管理功能消费类终端和服务类终端应具有黑名单存储和检索功能，以实现IC卡脱机交易的安全处理．黑名单管理包括黑名单的收集，分发，存储，检索，更新等原则性的定义，黑名单的收集，IC卡终端中黑名单的存储格式和内容的细节将不在本标准之内。10.2黑名单的记录类型黑名单文件应该能够存储两种格式的黑名单记录：a)序列号。b)序列号的区间。10.3黑名单检查黑名单检查操作在IC卡合法性检查过程中进行。卡片开始操作后，向IC卡终端回送包括应用序列号在内的公共数据，IC卡终端根据序列号进行黑名单检查操作，检查该卡是否在IC卡终端存储的黑名单卡之列。10.4黑名单更新黑名单文件更新包括增加，删除和重新下载等操作，具体的安全要求应包括：a)黑名单下载设备和IC卡终端间通信数据的安全性和完整性。b)IC卡终端对黑名单更新操作的安全认证。c)更新周期要满足应用要求。10.5黑名单库的容量要求容量要满足应用的要求，最低不小于1000条。交易流程11.1消费终端的交易流程11.1.1消费终端的交易流程要求说明IC卡终端的交易流程，是IC卡应用的基本技术要求。软件开发商和系统集成商在开发和实施IC卡应用系统项目时，应遵循本标准所规定的基本技术要求。11.1.2非接触式逻辑加密卡与消费终端的交易流程图(以电子钱包消费交易为例)非接触式逻辑加密卡电子钱包消费交易流程见图1。否否否否否是是是是读应用分区表和用户基本信息开始唯一代码、城市代码、卡号、卡认证码、文件表识送安全模块安全模块计算出钱包区、公共信息区、交易记录区等的KEY读公共信息区的内容断点卡的判断及恢复处理改写公共信息区正本进程、记录指针、卡交易计数器及文件标识认证交易记录区、写卡交易记录认证钱包区、扣减正本交易金额认证公共信息区、改写正本进程标志认证钱包区、拷贝钱包副本认证公共信息区、拷贝信息区副本把交易时间、交易金额、交易次数送安全存储模块计算TAC存储消费记录结束安全模块认证卡的合法性判断黑名单标志查黑名单判断包区的合法性警告提示，退出交易警告提示，退出交易写卡内黑名单标志，存储黑名单交易记录，警告提示，退出交易警告提示，退出交易图1非接触式逻辑加密卡电子钱包消费交易流程11.1.3非接触式逻辑加密卡与消费终端的交易流程图说明非接触式逻辑加密卡在消费终端上的交易过程应按下列顺序进行：a)卡的合法性认证：消费终端检测到IC卡后首先要认证卡的合法性，避免系统受到非法卡、非系统卡、伪卡的侵害，IC卡和发行的认证应由PSAM负责；b)判黑名单标志：消费终端检查卡内黑名单标志，如卡内已作黑名单标志，应退出交易；c)查黑名单：中断检查该卡是否列入终端存储的黑名单中，如该卡列入黑名单，应将黑名单标志写入该卡，存储黑名单交易记录，并退出交易；d)断点卡的判断及恢复处理：正式交易前，应对该卡上一次交易的完整性进行确认，如该卡上一次交易不完整，应进行恢复处理，恢复流程应根据本消费流程进行设计；e)判钱包区的合法性：消费终端应对钱包正副本进行检查，如发现两者不一致，应将正确的数据拷贝到不正确的数据块，同时对卡内钱包余额的有效性进行判断，如拷贝不成功或卡内钱包余额不足以支付本次消费，应退出交易；f)改写公共信息去正本进程标志：标识钱包消费交易开始；g)写卡内交易记录：记载钱包消费交易前的原额、本次交易额等信息；h)扣减钱包正本交易金额：按消费额对钱包去正本进行减值操作；i)改写公共信息去正本进程标志：标识钱包消费交易完成；j)拷贝钱包区副本：将公共信息正本的数据传输给公共信息副本；k)拷贝公共信息区副本：将公共信息正本的数据传输给公共信息副本；l)安全存储模块计算TAC：消费终端把消费的相关数据(包括交易时间、交易金额、卡号等)送安全模块，计算TAC；m)存储消费交易记录：完成本次交易。上述交易过程中，如果出现卡片异常、通讯异常等错误，必须根据是否进行钱包的正本操作进行容错处理，进入冲正流程。11.2非接触式CPU卡与消费终端的交易流程11.2.1CPU卡与消费终端的交易流程图CPU卡与消费终端的交易流程图见图2。是是否否否否否是是是是选择应用开始读取卡片信息得到卡号、卡类别安全模块计算出钱包区、公共信息区、交易记录区等的KEY电子钱包消费初始化PSAM计算MAC1电子钱包消费生成TAC和MAC2PSAM验证MAC2存储交易记录结束PSAM认证卡合法性判断黑名单标志查黑名单初始化成功？警告提示，退出交易警告提示，退出交易黑名单卡处理，并退出交易警告提示，退出交易钱包有效性判断终止交易图2CPU卡与消费终端的交易流程图11.2.2CPU卡与消费终端的交易流程图说明CPU卡在消费终端上的交易过程应按下列顺序进行：a)卡的合法性与有效性判别：消费终端检测到IC卡后首先要对卡的合法性与有效性进行判断，避免非法卡、伪卡、无效卡等在系统内使用；b)判黑名单标志：消费终端检查卡内黑名单标志，如卡内已作黑名单标志，应退出交易；c)查黑名单：消费中断检查该卡是否列入终端存储的黑名单中，如该卡列入黑名单，应将黑名单标志写入该卡，存储黑名单交易记录，并退出交易；d)钱包有效性判断：消费终端应对卡内钱包余额的有效性进行判断，如卡内钱包余额不足以支付本次消费，应退出交易；e)向卡片发出消费初始化命令，并接受卡片回送数据；f)PSAM生成过程密钥并计算MAC1；g)从电子钱包中扣除本次交易金额；h)生成TAC和MAC2，送PSAM校验MAC2；i)存储消费交易记录，完成本次交易。上述交易过程中，如尚未开始钱包正本交易金额扣减操作，消费终端应终止交易；如钱包正本交易金额扣减(第h步)成功，则应计算TAC和存储消费交易记录；如钱包正本交易金额扣减操作已经开始但无成功回应，则应要求持卡人重新刷卡的相应提示或存储相关交易记录供后台处理。11.2.3CPU卡消费的详细交易流程图CPU卡消费的详细交易安全认证流程图见图3。IC卡←→←→←→终端→←→←PSAM卡设置当前应用标志并送出应用序列号选择山东IC卡应用SelectFile接收应用序列号并保存卡片产生过程密钥SK.将原余额、脱机交易序号、透支限额、密钥版本号、算法标志、4字节伪随机数送卡外。发送消费初始化密令InitializeForPurchase将收到的有关数据作为MAC1计算命令的DATA域，送MAC1计算命令给PSAM卡PSAM卡按指定的密钥版本号，使用相应的消费主密钥对应用序列号分散得到消费子密钥。按卡片相同方法产生相同的国彻骨那密钥SK，并计算产生MAC1IC卡用过程密钥SK验证MAC1的正确性。如果验证通过，则将从余额中扣除消费的金额：将卡片脱机交易序号加1；更新交易明细记录。用SK对相应数据计算得到4字节的MAC2；用内部密钥左右8字节异或运算的结果对相应数据计算得到4字节的TAC码。终端将终端号、交易日期和时间以及MAC1作为消费命令的DATA域，发送消费命令DebitForPurchase给IC卡将MAC1回送给终端将MAC2和TAC码回送给终端终端接收到TAC码，确认交易成功，并将MAC2送PSAM卡校验。终端接受确认信息如果MAC2校验成功，则终端应记录该笔交易并发送确认消息给终端，否则，PSAM卡应用错误计数器减1，当计数器值为0时，PSAM卡将锁死。图3CPU卡消费的详细交易流程图IC卡终端安全要求12.1IC卡终端程序的下载IC卡终端应统一编号，统一管理：a)开发终端程序的软件包应严格控制；b)终端对程序的下载应有相应安全机制控制，以防止非法下载；c)终端程序的下载应有专人执行，并作记录；d)编码规则：城市代码(2字节)+应用代码(2字节)+序列号(2字节)。12.2IC卡终端加载的安全存取模块安全存取模块(PSAM、ISAM、ESAM)应具备以下功能：a)保护所有敏感数据不会泄漏；b)受到非法攻击和篡改会自动删除内部的所有敏感数据；c)完成安全报文传送和密钥算法。12.3IC卡终端内部应用的安全如果终端上有多个应用，在应用程序上应做到：公用数据可以共享，各应用的内部数据要相互独立。12.4IC卡终端与外部设备通讯的安全终端与主机或前置机的通信安全：a)终端对输出的关键报文产生MAC，随报文一起传送，以防伪造的报文；b)终端对输入的关键报文验证MAC，以防伪造的报文；c)终端与PIN的输入设备密码键盘：如果需要持卡人输入密码，那么应从密码键盘得到密码的密文。12.5IC卡终端安全认证流程12.5.1消费终端交易安全认证流程消费终端的交易安全认证涉及到CPU卡交易和逻辑加密卡交易两种流程。a)CPU卡消费交易安全认证流程；消费交易流程见图4。IC卡POS机PSAM卡POS上电、PSAM卡上电PSAM卡初始化→初始化…←PSAM标识符卡片插入……交易预处理←交易预处理发卡商标识（8