第3部分普通终端规范

第3部分普通终端规范

目录

引言..............................................................................3

1范围............................................................................3

2参考资料........................................................................3

3定义...........................................................................3

4缩略语和符号表示..............................................................4

5基本要求.......................................................................5

5.1终端的电气机械特性、逻辑接口、通信协议...................................5

5.2加油应用终端...............................................................5

5.3基本物理配置...............................................................5

5.3.1显示器..............................................................6

5.3.2IC卡读写器.........................................................6

5.3.3键盘................................................................6

5.3.4安全存取模块........................................................6

5.3.5通信部件............................................................6

5.3.6时钟................................................................6

5.3.7存储设备............................................................6

5.4多应用管理.................................................................6

5.5终端的安全要求.............................................................6

5.6终端数据元素...............................................................8

5.7意外情况处理...............................................................8

6.终端的功能描述................................................................8

6.1交易的预处理...............................................................8

6.2圈存/圈提...................................................................9

6.3加油普通消费..............................................................11

6.3.1概述................................................................11

6.3.2交易流程............................................................12

6.3.3加1油普通消费命令...................................................12

6.3.4终端数据元素.......................................................12

6.3.5安全需求............................................................13

6.3.6防拔处理............................................................13

6.4｛务改:秀支限额i.................................................................................................................13

6.5加油专用消费..............................................................15

6.6补扣交易...................................................................17

6.7补充交易...................................................................17

6.8查询.......................................................................18

6.9应用维护功能..............................................................19

7黑名单管理....................................................................19

7.1黑名单的记录类型..........................................................20

7.2黑名单检查................................................................20

7.3黑名单更新................................................................20

8灰记录处理.....................................................................20

8.1灰记录的记录类型..........................................................20

8.2灰记录检查................................................................20

8.3灰记录更新................................................................20

第3部分普通终端规范

引言

本部分“普通终端规范”以《中国金融集成电路（IC）卡规范》的第3部分“终端规范”和中石

化加油卡应用规范的第1部分“卡片规范”和第2部分“加油应用规范”为基础，规定了从技术上保

证”一卡在手，各地加油”和“卡片通用，设备共享”的终端通用需求。该部分包括以下主要内容：

a）普通终端的基本要求。规定了终端的电气机械特性、逻辑接II、传输协议要求，并从应用角

度对终端的物理特性进行了描述。同时为保证终端数据存储、处理安全，特别针对安全存取模块的物理

安全及逻辑安全两方面对终端的安全要求做了比较全面的描述。

b）终端的功能描述。从终端角度对本规范支持的各种交易的交易流程、交易用命令以及终端数据

元素的最低需求进行了描述。同时还包括一些与交易相关的安全、意外处理和灰卡处理方面的规定。

c）黑名单管理。原则性地阐述了黑名单管理必需的查询检索方式、检查的内容以及对黑名单更

新的安全性要求。对黑名单的收集、存储格式、存储内容等与应用系统设计有关的内容不在本部分范围

内。

d）灰记录处理。原则性的阐述了灰记录的收集、分发、存储、检索、更新等工作理。

1范围

本部分适用于支持《中国石化加油集成电路（IC）卡应用规范》所规定的基本应用的销售点终端。

使用对象主要是与加油IC卡应用相关的终端设计、制造以及应用系统研制、开发、集成和维护的部分

（单位）。

2参考资料

《中国金融集成电路（IC）卡规范》的第3部分：“终端规范”

《中国石化加油集成电路（IC）卡应用规范》第1部分：“卡片规范”

《中国石化加油集成电路（IC）卡应用规范》第2部分：“加油应用规范”

3定义

3.1终端Terminal

为完成加油消费交易而在交易点安装的设备，包括接II设备、其它部件以及与主机通唁的接II。

3.2命令Command

终端向IC卡发出的一条信息、，该信息启动一个操作或请示一个应答。

3.3响应Response

IC卡处理完毕收到的命令报文后，回送给终端的报文。

3.4功能Function

由一个或多个命令实现的处理过程，其操作结果用于完成全部或部分交易。

3.5集成电路IntegratedCircuit（IC）

设计用于完成处理和/或存储功能的电子器件。

3.6集成电路卡3c卡）IntegratedCircuit（s）Card

内部封装一个或多个集成电路的ID-1型卡。

3.7报文Message

由终端向卡或卡向终端发出的，不含传输控制字符的字节串。

3.8报文鉴别代码MessageAuthenticationCode

对交易数据及其相关参数进行运算后产生的代码。主要用于验证报文的完整性。

3.9密钥Key

控制加密转换操作的符号序列。

3.10加密算法CryptographicAlgorithm

为了隐藏或揭露信息内容而变换数据的算法。

3.11数据完整性DataIntegrity

数据未受到非法变更或破坏的属性。

3.12T=0

面向字符的异步半双工传输协议。

3.13T=1

面向块的异步半双工传输协议。

3.14圈存Load

持卡人将其相应帐户上的资金划转到电子油票中。圈存交易必须在终端上联机进行。

3.15圈提Unload

持卡人将电子油票中的部分或全部资金划回到其相应帐户上。圈提交易必须在终端上联机进行。

3.16电子油票ElectronicPetrolTicket

同《中国石化加油集成电路(IC)卡应用规范》第2部分定义。

3.17灰锁GreyLock

同《中国石化加油集成电路(IC)卡应用规范》第2部分定义。

3.18解扣DebitforUnlock

同《中国石化加油集成电路(IC)卡应用规范》第2部分定义

3.19灰卡GreyCard

同《中国石化加油集成电路(IC)卡应用规范》第2部分定义

3.20补扣ComplementDebit

同《中国石化加油集成电路(IC)卡应用规范》第2部分定义

3.21解扣出错计数器GMACCounter

同《中国石化加油集成电路（IC）卡应用规范》第2部分定义

3.22补充交易ComplementTransactio

同《中国石化加油集成电路（IC）卡应用规范》第2部分定义

3.23黑名单BlackList

由于持卡人卡挂失等原因而对其进行加油消费止付的IC卡数据清单。黑名单中至少应包含电子油

票应用序列号。

3.24灰记录GreyRecord

由「前一次加油消费异常结束而产生的灰卡的数据清单，作为终端对灰卡进行补扣解锁的依据。灰

记录中应包含有能区分和处理前一次异常交易的数据，如IC卡电子油票应用序列号、交易金额、电子

油票脱机交易序号等。

4缩略语和符号表示

AID应用标识符(ApplicationIdentifier)

b二进制(Binary)

ET电子油票(ElectronicPetrolTicket)

FCI文件控制信息(FileControlInformation)

MAC报文验证码(MessageAuthenticationCode)

PIN个人密码(PersonalIdentificationNumber)

POS销售点终端(PointofSale)

PSAM销售点终端安全存取模块(PurchaseSecureAccessModule)

PSE支付系统环境(PaymentSystemEnvironment)

SAM安全存取模块(SecureAccessModule)

TAG交易验证码(TransactionAuthorizationCryptogram)

SW1状态码1(StatusWordOne)

SW2状态码2(StatusWordTwo)

GMAC解扣报文鉴别代码(GreyMessageAuthenticationCode)

GTAC解扣交易验证码(GreytransactionAuthorizationCryptogram)

5基本要求

5.1终端的电气机械特性、逻辑接口、通信协议

终端的电气机械特性、逻辑接口、通信协议应符合《中国石化加油集成电路(IC)卡应用规范》第

1部分：“卡片规范”中的有关内容。且终端必须支持T=0及T=1两种传输协议。

5.2加油应用终端

终端的类型通常根据用途不同划分，如售油终端、联机充值终端。

由于所支持的功能不问，终端对其配备部件的要求也不向。下面根据终端所支持的交易列出终端对

所需配备部件的要求。可选部件可以根据业务需求而定。

表1支持加油应用的终端部件要求

加油专加油普修改透余额读交易联机补扣补充

终端部件圈存圈提

用消费通消费支限额查询记录解扣交易交易

显示MMMMMMMMMM

IC卡读写器MMMMMMMMMM

键盘MMMMMMMMMM

密码键盘MMMMMMMMMM

安全存取模块MMMM//M//

存储器MMMMMMMMMM

打印机00O0000000

通信MM001)M00M00

时钟/MMMMMMMM

注：M—必备O—可选了一不需要

5.3基本物理配置

加油卡卡终端的物理特性与其所支持的功能直接相关。但对于任何类型的终端都必须配备以下部

件：

a)显示器

b)IC卡读写器

c)键盘

d)安全存取模块

e)通信设备

f)内存或其它存储设备

g)密码键盘

为方便用户建议配置：

注：1)终端应提供通信设备以便联机传输数据。

打印机或打印机连接部件

5.3.1显示器

用于交易过程显示及错误指示。应能显示英文及中文。

5.3.2IC卡读写器

对符合卡片规范的IC卡进行读写操作。

5.3.3键盘

用于密码输入等操作。

5.3.4安全存取模块

用于终端在加油消费交易中，对IC卡进行合法性认证。

5.3.5通信部件

终端必须配备通信设备以用于数据传输。

5.3.6时钟

用于产生准确的日期/时间，应有防止非授权修改的功能。

5.3.7存储设备

终端必须配备足够的存储空间，以便存储交易记录及黑名单等数据。

5.4多应用管理

5.4.1基本要求

IC卡与终端必须配合使用以保证交易安全、有效地运行。为了支持《中国石化加油集成电路（IC）

卡应用规范》第2部分：“加油卡应用规范”中规定的应用，本规范对实现多应用的终端提出一些管理

应用和选择应用的具体原则。一般来讲，如果IC卜上有超过一种以上的应用，则支持它的终端应给用

户一个按应用优先级排序的列表以供选择。

5.4.2终端应用的管理

终端应用的管理应达到如下的目标：

a）应用之间不能互相影响；各应用必须相互独立运行，相互之间数据和程序不可交换。

b）共享数据必须保证：

1）各应用的内部数据不能被其它应用得到

2）所有的应用可以共享终端中的通用数据

c）提供应用选择的标准界面。

d）对应用进行管理（提供应用程序的选择、激活、禁止、参数设置等等）。

5.4.3IC卡应用选择

符合《中国石化加油集成电路（IC）卡应用规范》的IC卡可能实现一个或多个应用，终端应能够

选择并支持这些应用。应用选择过程应符合《中国石化加油舆成电路（IC）卡应用规范》第2部分：“加

油卡应用规范”。

5.5终端的安全要求

本节规定了终端数据存储、处理的一般性安全要求八同时也对安全存取模块（SAM）提出了具体

的要求。安全存取模块（SAM）用于存贮安全密钥并负责进行安全加密，SAM的类型依赖于终端交易

类型，POS中用于支持加油消费交易的SAM称为PSAMc关于SAM具体的安全要求实现将不属于本

部分规范范围。

5.5.1一般要求

终端一般存在两种类型的数据：

a）通用数据：包括时间、终端识别号及终端交易记录等。外界可以对这些数据进行访问，但不

允许进行无授权修改。

b）.敏感数据：包括密钥、应用内部的参数（如PSAM标识号、密钥索引号）。在未授权的情况

下，外界不允许对这类数据进行访问和修改。

5.5.1.1通用数据的安全要求

通用数据一般存放在存储器中。在更新参数以及下载新的应用程序时，终端必须做到：

a)验证更新方的身份，对于应用程序重新下载，只允许终端制造厂商、终端所有者或者经终端

所有者或代理方批准的第三方执行。

b)校验下载参数及应序程序的完整性。对存储器要求必须做到：在规范应用环境下，终端的应

用数据都不会随意改变或丢失，并保证数据有效。

所有与交易相关的数据均应以记录形式存储于终端存储器中。终端须保证这些数据的完整性。

5.5.1.2敏感数据的安全要求

敏感数据一般应存放在安全存取模块中。

安全存取模块是一种能够提供必要的安全机制以防止外界对终端所储存或处理的数据进行非法攻

击的硬件加密模块。

此模块主要负责保存和处理所有的敏感数据，这些数据包括加油消费密钥或传输密钥等。对于安全

存取模块的硬件形式在本部分中将不做具体要求。

在正常的操作环境下，对安全存取模块必须要求：出入模块的、以及其内部存放的和正在处理的数

据不会由于模块自身或其接口造成任何泄露和改变。

5.5.2安全存取模块的物理安全要求

安全存取模块的硬件设计必须能保证在物理上限制时其内部存贮的敏感数据的存取与窈取，以及对

安全存取模块的非授权使用和修改。一旦安全存取模块受到非法的篡改及攻击，其自身必须能够立即完

成对内部敏感数据的删除。要实现这些目标，安全存取模块应具有防窃、查窃、窃取、显示或窃取响应机

制。

同时，安全存取模块也必须具有足够的防范特性，能够发现是否被篡改过。

总之，安全存取模块的设计和构造必须满足以下要求：

a)只有通过特别的技巧与工具或专用严重破坏的的方法，才能对模块的硬件或软件进行增加、

替换或修改。

b)任何对敏感数据的访问或修改，只有通过对模块的接触才能达到。

c)安全存取模块的任何部分的损坏或失效都不会导致敏感数据的泄露。

d)如果安全存取模块是由多个分离部件组合而成，而处理的数据乂必须在这些部件之间传递，

那么各部件必须保持相同的安全级别。

5.5.3安全存取模块的逻辑安全要求

一个安全存取模块的逻辑设计应保证，调用任何单一功能或组合功能，都不会导致敏感数据的泄露。

对•于某些敏感操作，必须有一定的权限限制。

安全存取模块中可存放多组不同版本不同索引的主密钥。所有的主密钥通常必须在终端投入使用之

前，被下载到安全存取模块中。如果在终端使用过程中，主密钥需要修改，必须使用安全报文。实现这

一操作通常必须在特殊的授权情况下完成。对外部不能存在任何取得密钥的机会。

为避免伪操作,存放和安全存取模块中的不同类型的主密钥必须与不同特定的应用操作相结合.例

如，主加油消致密钥将仅适用于处理“加油消费”应用操作。

对于加油消费交易，安全存取模块应能够生成符合《中国石化加油集成电路(IC)卡应用规范》第

2部分：应用规范定义的MAC1、GMAC、SAMTAC,并对MAC2进行认证。

在每一个交易结束或超时状态下，安全存取模块应自动清除内部缓存区中存放的数据。

安全存取模块应能执行中国石化加油IC卡要求的安全信息的计算、校验。

当符合规范的IC卡需要以安全报文方式传递信息时，安全存取模块必须能够实现安全报文传递。

所有与脱机交易相关的主密钥和敏感数据必须存储在安全存取模块中。

安全存取模块必须可以实现对称密钥算法(DEA)和符合卡片规范中定义的主密钥到子密钥的分

散算法。

5.6终端数据元索

终端除了支持《中国石化加油集成电路(IC)卡应用规范》第1部分：“卡片规范”和第2部分:

“加油卡应用规范”中定义的数据之外，还应支持一些特殊(I勺数据元，详见附录A。按照一般规则，当

交易处理数据元素未取值时，置为0。

5.7意外情况处理

终端供应商可以根据不同的业务要求处理意外情况，这些意外情况处理将不在本部分中涉及。为了

审计的需要，可能需要一些相关数据，有关这方面的详细内容也不在本部分中描述。

6.终端的功能描述

本部分以“一卡在手，各地加油”为目标，从终端角度对加油的一般功能、交易流程及交易用命令、

终端数据元素等方面提出了基本需求。有关系统设计及后台处理的内容不属于本规范范围.

6.1交易的预处理

交易的预处理将遵循《中国石化加油集成电路(IC)卡应用规范》第2部分“加油卡应用规范”中

'交易的预处理'的定义。

在交易的预处理过程中，终端对IC卡实现了应用选择、有效性检查、密码校验、灰锁检查。

当进行密码校验时，如果使用默认个人密码，终端应自动执行对默认个人密码的校验。

6.1.1交易的预处理流程

下图是交易预处理过程：

|IC卡||终端

a选择应用

执行有效性检查：

发送ADF-FCI,SW1||SW2-检查卡片是否是黑名单卡，若是则显示A,异常结束

-检查是否支持发卡行识别标志，若否则显示B,异常结束

•检查终端是否支持此应用，若否则显示C,异常结束

•检查应用的起始口期是否有效，若否则显示D,异常结束

如果不使用默认密码，则提示递交个人密码(PIN)

发送校验PIN

发送SW1||SW2如果发牛.通讯错误、超时或非法应答，终端显示E,异常结束

如果(SW1||SW2=='63C2')或者(SW1||SW2==63C1’)她显示F重新

提示递交PIN

如果(SW1||SW2=='63C0')或者(SW1||SW2=='6983')则显示G,异常

结束

如果(SW1||SW2==5000’)则继续进行下一步，否则显示H,异常结

束

aGETLOCKPROOF

传送灰锁信息和SW1||SW2如果发生通讯错误、超时或非法应答，终端显示E,异常结束

如果(SW1||SW2)<>9000'而且(SW1||SW2)<>6985',终端显示H,

异常结束

(SW1||SW2)=,6985',正常结束

检查IC卡ET上次交易的TAC是否己被读取，若否则进行补充交易。

检查是否是灰卡。如果是灰卡，进行补扣交易。

aGETBALANCE

传送余额和SW1||SW2如果发生通讯错误、超时或非法应答，终端显示E,异营结束

如果(SW1||SW2)<>“9000”，终端显示H,异常结束

图1应用选择阶段交易预处理流程

终端显示信息说明见附录B.

为完成交易预处理，终端应支持以下命令：

a)SELECT

b)VERIFY

c)GETLOCKPROOF

d)GETBALANCE

有关这些命令的详细内容请参见《中国石化加油集成电珞(IC)卡应用规范》第2部分“应用规范”。

6.2圈存/圈提

6.2.1一般描述

通过圈存交易，持卡人可将其在银行相应帐户上的资金划入电子油票中。圈提交易将IC卡电子油

票中的资金划回到相应帐户中。

圈存/圈提交易必须授权联机进行。

本部分不对收单银行与发卡行之间关于通信和交易结算的有关事项予以规定。

处理交易时，发卡行应对IC卡予以验证，同时检查帐户状况及其他交易数据。主机产生报文鉴别

代码(MAC),并更新帐户。如果发卡行因某种原因不能接受交易，那末终端必须显示相应的信息告知

持卡人和/或终端操作员。

6.2.2交易流程

本部分从终端角度阐述J'圈存/圈提的终端交易流程、终端与IC卡操作以及主机处理的关系。这里

假定在终端进入此交易流程前，已通过必要步聚取得圈存/催提金额。并且对于电子油票圈存/圈提，假

设已完成了PIN的输入及认证。

下图是圈存交易流程。

IC卡终端主机

INITIALIZEFORLOAD

发出MAC1,如果发生通信错误或超时或响应格式错误，则显

SW1||SW2示E,异常结束

如果(SW1SW2)VA9000则显示H,异常结

束

发送圈存请求及相关数据，如果发送圈存请求失

败，贝!显示Q,异常结束

如果主机无响应或主机响应格式错误,则显示R,圈存响应，包含MAC2及

异常结束并保存此次不完整交易的资料，包括交易状所需要素

态和交易细节等，供主机调整交易用(如冲正交易。)

如果主机拒绝交易，则显示S,异常结束

CREDITFORLOAD

发出TAC,力果发生通信错误或超时或响应格式错误，则显

SW1||SW2示E,异常结束并保存此次不完整交易的资料•，包括

交易状态和交易细节等，供主机调整交易用(如冲正

交易

如果(SW1SW2)<>9000则显示H,异常结

束并保存此次不完整交易的资料，包括交易状态和交

易细节等，供主机调整交易用(如冲正交易)。

更新交易记录和总额

显示0

图2圈存交易流程

圈存交易处理终端显示说明见附录B。

下图为圈提交易流^

主机

INITIALIZEFORUNLOAD

如果发生通信借误或超时或响应格式

错误，则显示E,异常结束

如果（SW1||SW2）v＞'9000'则显示H,

发出MAC1,SW1||SW2异常结束

发圈提请求及相关数据

如果发送圈存请求失败，则显示C,异

常结束

如果主机无响应或主机响应格式错误，圈提响应包含MAC2及

所需要素

则显示R，异常结束并保存此次不完整

交易的资料，包括交易状态和交易细节

等，供主机调整交易用（如冲正交易）。

如果主机拒绝交易，则显示S,异常结

束

DEBITFORUNLOAD

如果发牛.通信错误或超时或响应格式

错误，则显示E,异常结束并保存此次

不完整交易的资料，包括交易状态和交

易细节等，供主机调整交易用（如冲正交

易）。

发出MAC3,SW1||SW2今如果（SW1||SW2）＜＞，9000'则显示H,

异常结束并保存此次不完整交易的资

料，包括交易状态和交易细节等，供主

机调整交易用（如冲正交易）。

发送圈提确认及相关数据

如果发送圈提确认失败则显示T：交易

结束。

如果主机无响应、返网无效响应或主机圈提完成响应

拒绝则显示U；交易结束。

更新交易记录和总额

显示0

图3圈提交易流程

圈提交易处理终端显示说明见附录Bo

6.2,3圈存/圈提交易命令

为完成圈存/圈提交易，终端应支持以下命令：

a）INITIALIZEFORLOAD

b）CREDITFORLOAD

c）INITIALIZEFORUNLOAD

d）DEBITFORUNLOAD

有关这些命令的详细内容请参见《中国石化加油集成电珞（IC）卡应用规范》第2部分“应用规范，

6.2.4终端数据元素

每次交易成功完成后，终端必须保留以下交易记录数据，并按规定上传主机：

a）交易日期（发卡行）

b）交易时间（发卡行）

c）ET应用序列号

d）交易类型标识

e）交易金额

f）ET联机交易序号

g）ET余额

h）TAG（只用于圈存）

还应保留以下总额数据供审计使用：

a）成功联机圈存总次数

b）成功联机圈提总次数

O成功联机圈存总额

d）成功联机圈提总额

每次交易完成后，不论成功与否，可根据需要保存以下数据元素供审计使用：

a）终端交易日期

b）终端交易时间

c）密钥版本号1）

d）密钥索引号

e）MAC3（只用于圈提）

此外终端还可以保留每笔交易有关的处理状态（如完成与否），IC卡更新状态（如是否已更新或不

肯定），联机通信状态（如主机响应收到与否）以及最后一次IC卡响应字节SW1、SW2笔，用于交易

恢复处理或审计跟踪。

6.2.5安全要求

圈存和圈提均为联机交易，IC卡及发卡行应产生有效的MAC交易提供必要的安全保护,终端只

是在IC卡和发卡行之间传输安全信息。在这些交易中不要求使用特定的终端/SAM安全密钥。

6.2.6防拔处理

交易异常中断时，终端应能根据《中国石化加油集成电路（IC）卡应用规范》第2部分“加油卡应用

规范”中的规定，当卡拔出又重新插入后或终端恢复对IC卡供电后对IC卡实施防拔处理.

在交易异常中断的情况下，终端应进入这样一种状态：即持卡人可重新插入原来的IC并确认

最后一次交易已经完成。如果持卡人未插入IC卡，或插入的不是原来的卡，则终端应提示持卡人重新

插入原来的IC卡。终端还应能够自动（如超时）或以人工方式（如操作员按下取消键）退出这种待插卡状

态。

在防拔处理结束后，终端应执行以下操作：

a）完成IC卡的最后一笔交易，将IC卡恢复，向持卡人显示交易已完成（如果IC卡余额已被更新）

b）向持卡人显示IC卡交易失败（如果IC卡余额没有被更新）

6.3加油普通消费

6.3.1概述

加油普通消费交易允许持卡人使用电子油票中的余额进行加油消费。此交易可以通过销售点终端

（POS）脱机进行。在加油普通消费时，加油消费金额从卡中扣除，并在POS中记录交易数据，由终端将

交易数据上传主机。电子油票的加油普通消费交易需提交个人密码。

脱机终端和连机终端都应有充足的非易失性内存用来存储交易数据，以满足服务提供商户和银行的

需要。

终端不允许对电子油票做取现交易。

注：“通常DTK的密钥版本与DPK的密钥版本相同。

632交易流程

本部分从终端角度描述了加油普通消费交易的终端交易流程、终端与IC卡操作以及与主机处理的

关系。这里假定在终端进入此交易流程前，终端已通过必要步骤获得了有关的数据，并且已完成个人密

码的输入及验证。

下图为加油普通消费交易流程:

INTIALIZEFORPURCHASE

发送...SW1||SW2如果SW1||SW2==,9407则

显示L；返回应用选择

如果SW1||SW2<>'9000'

则显示H,异常结束

终端/SAM生成MAC1

£DEBITFORPURCHASE

发送MAC2||TAC,SW1||SW2如果SW1||SW2<>'9000'则

显示H,异常结束

校验MAC2

如果MAC2的校验不成功，则

显示H,异常结束1）

将交易明细写入终端的存储区2）

显示O

图4加油普通消费交易流程

加油普通交易处理终端显示说明见附录Bo

6.3.3加油普通消费命令

为完成加油普通消费交易，终端应支持以下指令。有关这些指令的详细介绍请参见《中国石化加油

集成电路（IC）卡应用规范》第2部分：应用规范。

a）INITIALIZEFORPURCHASE

b）DEBITFORPURCHASE

6.3.4终端数据元素

每次交易成功完成后，终端必须保留以下交易记录数据，并按规定上传主机：

a）交易日期（终端）

b）交易时间（终端）

c）ET应用序列号

d）交易类型标识

e）ET余额

f）交易金额

g）ET脱机交易序号

h）终端机编号

I）终端交易序号

j）TAC

k）本次加油量

注：“如果MAC2未返回或返回错误、交易应结束。

■J）交易数据必须立即记录到内存。

I）本次加油单价

m）本次加油油品

n）本次加油枪号

o）加油机加油量总累计数

还应保留以下总额数据供对帐使用：

a）加油普通消费总金额

b）加油普通消费总笔数

也可以根据需要保存以下数据元素供审计跟踪使用：

a）密钥版本号6

6.3.5安全需求

出于安全方面的考虑，如果一个加油普通消费交易在一个非安全性的POS终端/金融终端或类似的

非安全性设备进行，那么此设备应配备安全存取模块，算法以及消费交易密钥将存放于PSAM中，加

密过程将由PSAM以安全的方式进行。本规范不包括对密钥的详细描述。

6.3.6防拔处理

加油普通消费交易的防拔处理同圈存交易的防拔处理。

6.4修改透支限额

6.4.1一般描述

修改透支限额交易允许发卡行修改IC卡上电子油票的透支限额。修改透支限额交易必须在金融终

端上联机完成，且必须提交个人密码（PIN）。

需要说明的是，如果需要，支持该交易的终端必须能够接受其他银行发行的ICk,6.2节中的所有

描述均适用于此类情况。

本部分不对收单行和发卡行间的通信和交易结算等有关事项予以规定。

在修改透支限额交易中，发卡行将认证IC卡、检验相应帐户状态和交易数据。主机产生报文鉴别

代码（MAC）,并更新相应记录。

如果发卡行因某种原因不能接受此交易，则终端必须显示相应的信息告知持卡人和/或终端操作

员。

6.4.2交易流程

本节从终端角度描述了修改透支限额交易流程和终端与IC卡以及主机处理的关系。

这里假设终端在进入此交易流程前，已通过必要步骤获得了有关数据，并已完成个人密码的输入和

验证。

下图是修改透支限额交易流程。

终端

INITIALIZEFORUPDATE

如昊发生通信错误或超时或响应格式错误，则显

示E,异常结束

如果（SW1SW2）<>9000则显示H,异常结

束

发送修改透支限额请求及相应数据元素。

如果传输失败，终端则显示Q，异常结束

如臭主机无响应或主机应答无效，则显示R.异

常结束并保存此次不完整交易的资料，包括交易状态

“通常DTK的需钥版本与DPK的密钥版本相同。

和交易细节等，供主机调整交易用（如冲正交易

如果主机拒绝交易，终端则显示S,异常结束

UPDATEOVERDRAWLIMIT

发送TAC,如只发生通信错误或超时或非法应答，终端则显

SW1||SW2示E,异常结束并保存此次不完整交易的资料，包括

交易状态和交易细节等，供主机调整交易用（如冲正

交易）。

如果（SW1SW2）<>9000则显示H,然后退

出，在这种情况下，终端保留未完成交易的信息，包

括交易状态和一些主机进行错误处理所必须的交易信

息。

修改交易记录和交易总额一

显不0

图5修改透支限额交易流程

修改透支限额交易处理显示说明见附录B.

6.4.3修改透支限额交易命令

为完成修改透支限额交易，终端应支持以下命令:

a）INITIALIZEFORUPDATE

b）UPDATEOVERDRAWLIMIT

有关这些命令的详细内容请参见《中国石化加油集成电格（IC）卡应用规范》第2部分“应用规范”。

6.4.4终端数据元素

每次交易成功完成后，终端必须保留以下交易记录数据，并按规定上传主机：

a）交易日期（发卡行）

b）交易时间（发卡行）

c）ET应用序列号

d）交易类型标识

e）透支限额

f）联机交易序号

g）ET余额

h）TAC

还应保留以下总额数据供对帐使用：

a）成功联机修改透支限额交易累计次数。

b）成功联机修改透支限额交易累计金额。

每次交易完成后，不论成功与否，可以根据需要保存以下数据元素供跟踪使用：

a）终端交易日期

b）终端交易时间

c）密钥版本号1）

此外，终端还可以保留每笔交易有关的处理状态（如完成与否），IC卡更新状态（如是含更新或小

肯定），主机通信状态（如响应与否），以及最后一次IC卡状态码SW1、SW2等，用于交易诙复或审计。

6.4.5安全要求

修改透支限额交易是联机交易，IC卡及发卡行应产生有效的MAC为交易提供必要的安全保护。

终端只是在IC卡和发卡行之间传输安全信息。在这些交易中不要求使用特定的终端/SAM安全密钥。

6.4.6防拔处理

修改透支限额交易的防拔处理同圈存交易的防拔处理。

注：“通常DTK的密钥版本与DPK的密钥版本相同。

6.5加油专用消费

加油专用消费允许持卡人在终端上进行加油专用消费交易。这里假定在终端进入此交易流程前，终

端已通过了交易预处理过程。

6.5.1交易流程

下图是加油消费交易过程：

IC卡终端PSAM卡

输入加油消费金额,如果加油消费金额大于卡

中余额，则显示L,并显示加油消费允许的最

大额，提示输入正确金额。如果超时，异常结

束

INITIALIZEFORGREYLOCK

发送余额、脱机交易序号、如果SW1||SW2<>'9000’

透支限额、版本、算法标识、则显示I,异常结束

随机数等，SW1IISW2

INIT_SAM_GREY_LOCK

如果SW1||SW2<>'9000'发送终端交易序号、终端随

则显示J,异常结束机数、MACbSW1||SW2

GREYLOCK

发送MAC2,SW1||SW2如果SW1||SW2<>'900CT

则显示H,异常结束

CERTIFICATESAMGREY_LOCK