DB11 215.3-2003 市民卡规范第3部分：终端

ICS35.240.15备案号:14318—2003北京市地DB方标准DB11/215.3—2003市民卡规范第3部分:终端SpecificationofcitizencardPart3:Terminal2003-09-20发布2003-12-01实施北京市质量技术监督局发布DB11/215.3—2003前言 2规范性引用文件 3术语和定义 4符号和缩略语 5基本要求 5.1终端的电气机械特性 5.2终端的逻辑接口、通信协议 45.3其它要求 56终端功能 56.1终端类型 56.2功能部件的特性 56.3多应用管理 66.4终端的信息安全需求 67黑名单管理 87.1黑名单的记录类型 87.2黑名单检查 87.3黑名单更新 88终端设备软件升级和维护 88.1底层控制软件的升级和维护 88.2应用程序的升级和维护 8IIDB11/215.3—2003DB11/215-2003《市民卡规范》分为三个部分:——第1部分:IC卡(卡片);——第2部分:应用;本部分为DB11/215-2003的第3部分,是以第1部分和第2部分为基础,根据市民卡的应用,规定了一个能够从技术上保证“卡片通用,设备共享”的终端最基本要求。本部分由北京市信息化工作办公室提出。本部分主要起草单位:北京市民卡管理中心、首都信息发展股份有限公司、国家商用密码研究中心。本部分主要起草人:邹彤、吴钢华、黄建军、苗洋、刘建、吴学军、李进东、胡文明、负洪、马靖、张军、何华康、郑志广、王晓东、刘文革、李岳、李大伟、牛路宏、李志伟。DB11/215.3—2003市民卡规范第3部分:终端本部分规定了对终端的基本要求、终端的功能、黑名单管理以及终端应用程序的升级和维护等。本部分适用于支持本标准所规定的基本应用的终端设备。使用对象主要是与市民卡应用相关的终端设计、制造以及应用系统研制、开发、集成和维护等组织机构。2规范性引用文件下列文件中的条款通过DB11/215-2003的本部分的引用而成为本部分的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部GB/T16649.1识别卡带触点的集成电路卡第1部分:物理特性(IS0/IEC7816-1:1998,M0D)GB/T16649.2识别卡带触点的集成电路卡第2部分:触点的尺寸和位置(idtIS0/IEC7816-2:1999)GB/T16649.3识别卡带触点的集成电路卡第3部分:电信号和传输协议(idtIS0/IEC7816-3)GB/T17554.1识别卡测试方法第1部分:一般特性测试(IS0/IEC10373-1,M0D)GB/T17554.3识别卡测试方法第3部分:带触点的集成电路卡(IS0/IEC10373-3,M0D)GB/T18239-2000集成电路(IC)卡读写机通用规范LB002-2000社会保障(个人)卡规范中国金融集成电路(IC)卡规范(V1.0)3术语和定义DB11/215-2003.1确立的以及以下术语和定义适用于DB11/215-2003的本部分。ICC连接器ICCConnectorICC连接器是IFD与ICC电气连接的物理实现部分。在逻辑上,本部分规定用它来标识与它电气上稳定连接的ICC。4符号和缩略语下列符号和缩略语适用于DB11/215-2003的本部分。IFD接口设备(InterfaceDevice)MAC报文鉴别代码(MessageAuthenticationCode)SAM安全存取模块(SecureAccessModule)VccVcc触点上的测量电压(VoltageMeasuredonVccContact)VCC电源电压(SupplyVoltage)5基本要求5.1终端的电气机械特性5.1.1终端接口的机械特性2DB11/215.3—20035.1.1.1接口设备用于插入IC卡的接口设备应具备接受IC卡的能力,并具有以下特性:——物理特性遵照GB/T16649.1的规定;——触点位置应遵照GB/T16649.2的规定。定位的导轨和弹卡装置等与卡相关的设备不应损坏IC卡,特别不能损坏卡表面的照片、文字等区域的信息。并能够使持卡人在必要时候都能够将IC卡插入和拔出,因而终端设备应能使持卡人在终端设备发生故障时取回IC卡。5.1.1.2触点压力任何接口设备各触点对IC卡各触点的压力应在0.2N到0.6N之间。5.1.1.3触点的分配接口设备上触点的分配遵照GB/T16649.2的规定,如表1所示:表1接口设备触点的分配C1电源电压(VCC)C5地(GND)C2复位信号(RST)C6不使用C3时钟信号(CLK)C7输入/输出(I/0)C4和C8暂不使用,可以不作实际设置。C6在物理上也可不存在,但如果C6存在的话,则应将其同其它触点实行电隔离。5.1.1.4ICC连接器的配置和要求符合本部分的接口设备至少应配置两个ICC连接器,接口设备所使用的ICC连接器应具有至少10万次的插拔寿命。5.1.1.5终端的结构安全终端设备应提供一定的结构上对安全访问模块的安全保护措施。5.1.2终端的电气特性以下描述了在IFD触点上测量出的信号的电气特性。5.1.2.1测量约定所有测量应是在IC卡和接口设备之间的触点上进行,并以GND为参考。环境温度范围为0℃~50所有流出终端的电流均为正值。接口设备的工作电压为5V或3V,容差±10%。5.1.2.2输入/输出(I/0)该触点作为输出端(传输模式)向IC卡传送数据,作为输入端(接收模式)从IC卡接收数据。在操作过程中,终端和IC卡不能同时处于传输模式,若万一发生此情况,I/0触点的状态(电平)将处于不确定状态,但不应损坏终端。当终端和IC卡都处于接收模式时,触点将处于高电平状态。为了达到这种状态,终端应在VCC上或其它装置上连接一个上拉电阻。除非Vcc加电并稳定在5.1.2.6中允许的范围内,终端不应将I/0置于高电平状态。见本部分第1部分IC卡中有关触点激活的内容。在任何情况下,均应将流入或流出I/0触点的电流限定在±5mA以内。5.1.2.2.1传输模式在传输模式下,终端向IC卡传送数据,其特性如表2所示:表2传输模式下I/0的电气特性符号条件最小值最大值单位V0H-20μA<I0H<20μA,Vcc=min.0.8×VccVccVV0L-1mA<I0L<0,Vcc=min.00.3VDB11/215.3—2003表2(续)符号条件最小值最大值单位CIN(ICC)=30PFmax.—0.8μS正负脉冲峰值-0.25Vcc+0.25V除向IC卡传送数据时,终端应将其I/O信号驱动模式设置为接收模式。5.1.2.2.2接收模式在接收模式下,终端应能正确的解释从IC卡发来的具有表3所示特性的信号:表3接收模式下I/O的电气特性最小值最大值单位VIH0.6×VccVccVVIL00.5V μS5.1.2.3编程电压(VPP)不要求终端产生编程电压VPP。5.1.2.4时钟(CLK)终端将产生一个具有表4所示特性的时钟信号:表4CLK的电气特性符号条件最小值最大值单位VOH0<IOH<50μA,Vcc=min.Vcc-0.5VccVVOL-50μA<IOL<000.4V tR和tFCIN(ICC)=3正负脉冲峰值-0.25Vcc+0.25V频率范围在1MHz~5MHz(对A类卡操作时)或1MHz~4MHz(对B类卡操作时)之间,且在整个交易期间,其变化范围不应超过±1%。时钟占空因数应在其稳定运行周期的45%~55%之间。5.1.2.5复位(RST)终端产生一个具有表5所示特性的复位信号:表5RST的电气特性符号条件最小值最大值单位VOH0<IOH<50μA,Vcc=min.Vcc-0.5VccVVOL-50μA<IOL<0,Vcc=min.00.4VCIN(ICC)=30PFmax.—0.8μS正负脉冲峰值-0.25Vcc+0.25V5.1.2.6电源电压(VCC)终端提供一个5V±0.4V(对A类卡操作时)或3V±0.2V(对B类卡操作时)的直流电压,并能稳定输出0~55mA(对A类卡操作时)或0~45mA(对B类卡操作时)的电流。终端应带有保护电路以防止在误操作如对地或VCC短路时所造成的损坏。误操作既可能来源于内部,也可能来自外部接口如电源干扰、通信链路故障等。在IC卡的正常操作中,电流脉冲可在IC卡触点上引起Vcc波动。电源应能中和小于40nAS且持续时间不超过400nS的电源波动,并能承受IC卡上100mA的电流消耗。注:如果需要,终端应能够具有大于55mA的传输能力,但建议终端将稳定电流限制在200mA以内。5.1.2.7触点电阻4DB11/215.3—2003在终端的整个设计寿命期间,触点电阻(在清洁的接口设备和清洁的标准IC卡触点间测量时)应小于500mΩ。(见GB/T17554.3的测试方法)注:标准的IC卡触点可以看作是在5.00µm的镍表面上的1.25µm镀金触点。5.1.2.8短路保护当任何两个触点之间发生短路时,无论时间长短,终端都不应被损坏或功能失常,例如:插入一块金属板或插入一块带有金属性表面的IC卡。5.1.2.9插入IC卡后,终端的加电和断电插入IC卡后,当对终端进行加电或断电时,触点的接口界面不应出现杂乱信号或电源干扰,触点激活和释放的时序应符合本标准第1部分IC卡中有关章节中的规定。5.2终端的逻辑接口、通信协议终端的逻辑接口、通信协议应符合本标准第1部分卡片规范中的有关内容。且终端应支持T=0传输协议和(或)T=1传输协议。5.2.1接口设备在复位应答期间的操作以下规定了接口设备在复位应答期间接受到IC卡回送字符后的相关操作。有关的字符定义在本标准第1部分IC卡中规定。5.2.1.1TS-初始字符终端应能够支持反向和正向逻辑约定,并接收IC卡回送的值为‘3B’和‘3F’的TS,但应拒绝接收其它5.2.1.2T0-格式字符在T0回送值正确且包含了所需的接口字符(TA1到TD1)和历史字符时,终端不应拒绝IC卡回送任何5.2.1.3接口字符TA1到TC35.2.1.3.1TA1终端不应拒绝IC卡回送TA1=‘01’或‘11’(如果T0的b5位为‘1’),并在整个后续交易过程中继续使用缺省值F=372和D=1。5.2.1.3.2TB1如果T0的b6位为‘1’,终端不应拒绝回送任何TB1的IC卡;如果T0的b6位为‘0’,则IC卡不回送TB1,此时终端仍应继续卡片操作过程,且不提供编程电压VPP,就象回送了TB1=‘00’一样。注:终端可以保持Vpp为静止状态5.2.1.3.3TC1如果T0的b7位为‘0’,终端不应拒绝不回送TC1的IC卡,但如果终端接受了这样的IC卡,应能够继续卡片操作过程,就像回送了TB1=‘00’一样。注:应将TC1设置为IC卡可接受的最小值。TC1取值过大将导致终端与IC卡之间的通信缓慢,这样将延长交易时间。5.2.1.3.4TD1如果回送值正确且包含了所需的接口字符TA2到TD2,终端不应拒绝这样的IC卡,即其所回送TD1的高半字节为任意值且低半字节的值为‘0’或‘1’。终端应拒绝回送其他TD1值的IC卡。5.2.1.3.5TA2如果终端在复位应答期间能够支持由IC卡通过TA2所指明的额外条件,它不应拒绝这样的IC卡,并应能立即使用这些条件。5.2.1.3.6TB2终端不应拒绝IC卡回送TB2。但不论TB2是否回送、回送何值,终端均不应提供Vpp。注:终端可以保持Vpp为静止状态。5.2.1.3.7TC2终端不应拒绝回送TC2=‘10’的IC卡。5DB11/215.3—20035.2.1.3.8TD2如果回送值正确且包含了所需的接口字符TA3到TD3,终端不应拒绝这样的IC卡,即其所回送TD2的高半字节为任意值且低半字节的值为‘1’或‘F’。终端应拒绝回送其他TD2值的IC卡。5.2.1.3.9TA3如果此前T=15已存在,TD2的b5位为‘0’,终端不应拒绝不回送TA3的IC卡,但如果终端接受了这样的IC卡,则应令TA3=‘01’来继续卡片操作过程。终端应拒绝那些回送的TA3值不遵照本标准第1部分IC卡规范的IC卡。5.2.1.3.10TB3和TC3不应拒绝正确回送接口字符TB3和TC3。5.2.1.4TCK-校验字符TCK是一个在ATR中保证发送数据的完整并加以校验的值。TCK的值应是使它与T0至TCK的所有字节(包括T0和TCK)的异或运算结果为0。如果采用T=0,IC卡将不返回TCK,在其它情况下,TCK由IC卡返回。如果采用T=0,终端将拒绝IC卡返回TCK,在其它情况下,IC卡不返回TCK。如果返回了,终端将对TCK进行校验。5.2.2终端与IC卡之间的数据交换终端设备应能够接收IC卡一次返回256字节的数据及后续的状态码。5.3其它要求终端的硬件安全、电磁兼容、环境要求等内容应符合GB/T18239规定。6终端功能6.1终端类型支持市民卡应用的终端根据其工作方式的不同可以分为脱网终端和连网终端。表6给出这二类终端的最低功能部件的配置要求。表6终端的最低功能部件配置要求终端部件脱网终端连网终端显示器MMIC卡接口设备MM键盘0M密码键盘0M安全存取模块M0存储设备0M打印机00网络通信接口0M0M实时时钟MMM——必备0——可选6.2功能部件的特性6.2.1显示器用于交易过程显示及错误指示。本标准要求至少具有数字显示能力,并可显示汉字、字母和符号等。。6.2.2IC卡接口设备6DB11/215.3—2003用于实现对符合本标准第1部分IC规范的市民卡进行本标准第2部分应用所规定的各种应用所需的操作,它应符合本部分中的各项要求。6.2.3键盘用于输入交易数据及业务信息。至少应配置数字键及确认功能键。6.2.4安全存取模块用于对终端操作IC卡的权限鉴别和认证。6.2.5打印机根据业务需要,终端可配备相应的打印机。6.2.6网络通信设备对于连机交易,终端应配备网络通信设备以用于终端与主机之间的数据传输。6.2.7存储设备终端应配备足够的存储空间,以便存储交易记录、业务数据及黑名单等信息。6.2.8实时时钟用于提供业务处理所需的终端时间。6.2.9电源终端可以采用交流或直流方式供电。6.3多应用管理6.3.1基本要求卡与终端应配合使用以保证交易安全、有效地运行。为了支持本标准第2部分应用中规定的应用,本部分对实现多应用的终端提出一些管理应用和选择应用的具体原则。一般来说,如果IC卡上有超过一种以上的应用,则支持它的终端应给用户一个按应用优先级排序的列表以供选择。6.3.2终端应用的管理终端应用的管理应达到如下目标:a)应用之间不能互相影响:各应用应相互独立运行,相互之间数据和程序不可交换;b)共享数据必须保证:1)各应用的内部数据不能被其它应用得到;2)所有的应用可以共享终端中的通用数据。c)提供应用选择的标准界面;d)对应用进行管理(提供应用程序的选择、激活、禁止、参数设置等)。6.3.3IC卡应用选择符合本标准第1部分的IC卡可实现一个或多个应用,终端应能够选择并支持这些应用。应用选择过程应符合本标准第2部分应用的规定。6.4终端的信息安全需求本节规定了终端数据存储、处理的一般性安全要求。同时也对安全存取模块(SAM)提出了具体的要求。安全存取模块(SAM)用于存贮安全密钥并负责进行安全加密。关于SAM具体的安全要求实现不属于本部分范围。6.4.1一般要求终端一般存在两种类型的数据:——通用数据:包括时间、终端识别号及终端业务记录等。外界可以对这些数据进行访问,但不允许进行无授权修改;——敏感数据:包括密钥、应用程序内部的参数(如SAM标识号,密钥索引)。在未授权的情况下,外界不允许对这类数据进行访问和修改。6.4.1.1通用数据的安全要求通用数据一般存放在存储器中。在更新参数以及下装新的应用程序时,终端应做到:7DB11/215.3—2003——验证更新方的身份,对于应用程序重新下载,只允许终端所有者,或者经终端所有者或代理方批准的第三方执行;——校验下载参数及应用程序的完整性。对存储器要求应做到:无论在什么情况下,终端的应用数据都不会随意改变或丢失,并保证数据有所有与交易相关的数据均应以记录形式存储于终端存储器中。终端应保证这些数据的完整性。6.4.1.2防拔处理如果终端在处理IC卡交易时,卡被突然拔出或由于终端方面的原因突然停止操作(如发生断电),则终端应能根据本标准第2部分应用中的规定,当检测到拔卡并重新插入卡或终端恢复供电后对卡实施防在以上情况下,终端应进入这样一种状态:即持卡人可重新插入原来的IC卡,并确认最后一次交易已经完成。如果持卡人未插入IC卡,则终端应提示持卡人重新插入原来的IC卡。如果插入的卡不是原来的卡,则终端应提示持卡人重新插入原来的卡。终端还应能够自动(如超时)或以人工方式(如操作员按下取消键)退出这种待插卡状态。在防拔处理结束后,终端应执行以下操作之一:——完成IC卡的最后一笔交易,向持卡人显示交易已完成(如果IC卡数据已被更新);——取消最后一笔交易,向持卡人显示交易已被取消(如果IC卡数据没有被更新)。6.4.1.3敏感数据的安全要求敏感数据一般应存放在安全存取模块中。安全存取模块是一种能够提供必要的安全机制以防止外界对终端所储存或处理的数据进行非法攻击的硬件加密模块。此模块主要负责保存和处理所有的敏感数据,这些数据包括消费密钥或传输密钥等。对于安全存取模块的硬件形式在此规范中将不做具体要求。在正常的操作环境下,对安全存取模块要求是出入模块的、以及其内部存放的和正在处理的数据不会由于模块自身或其接口造成任何泄露和改变。6.4.2安全存取模块的物理安全要求安全存取模块的硬件设计应能保证在物理上限制对其内部存贮的敏感数据的存取与窃取,以及对安全存取模块的非授权使用和修改。一旦安全存取模块受到非法的篡改及攻击,其自身应能够立即完成对内部敏感数据的删除。要实现这些目标,安全存取模块应具有防窃、查窃、窃取显示或窃取响应机制,同时,安全存取模块也应具有足够的防范特性,能够发现是否被篡改过。总之,安全存取模块的设计和构造应遵照以下要求:——只有通过特别的技术与工具,或严重破坏的方法,才能对模块的硬件或软件进行增加、替换或——任何对敏感数据的访问或修改,只有通过对模块的接触才能达到;——安全存取模块的任何部分的损坏或失效都不会导致敏感数据的泄露;——如果安全存取模块是由多个分离部件组合而成,而处理的数据又必须在这些部件之间传递,那么各部件须保持相同的安全级别。6.4.3安全存取模块的逻辑安全要求一个安全存取模块的逻辑设计应保证,调用任何单一功能或组合功能,都不会导致敏感数据的泄露。对于某些敏感操作,应有一定的权限限制。安全存取模块中可存放多组不同版本不同索引的主密钥。所有的主密钥通常应在终端投入使用之前被下载到安全模块中。如果在终端使用过程中,主密