第3部分-普通終端規(guī)范

第3部分普通終端規(guī)范目錄TOC\o"1-3"引言 31范圍 32參考資料 33定義 34縮略語和符號表示 45基本要求 55.1終端的電氣機械特性、邏輯接口、通信協(xié)議 55.2加油應用終端 55.3基本物理配置 55.3.1顯示器 65.3.2IC卡讀寫器 65.3.3鍵盤 65.3.4安全存取模塊 65.3.5通信部件 65.3.6時鐘 65.3.7存儲設備 65.4多應用管理 65.5終端的安全要求 65.6終端數(shù)據(jù)元素 85.7意外情況處理 86.終端的功能描述 86.1交易的預處理 86.2圈存/圈提 96.3加油普通消費 116.3.1概述 116.3.2交易流程 126.3.3加油普通消費命令 126.3.4終端數(shù)據(jù)元素 126.3.5安全需求 136.3.6防拔處理 136.4修改透支限額 136.5加油專用消費 156.6補扣交易 176.7補充交易 176.8查詢 186.9應用維護功能 197黑名單管理 197.1黑名單的記錄類型 207.2黑名單檢查 207.3黑名單更新 208灰記錄處理 208.1灰記錄的記錄類型 208.2灰記錄檢查 208.3灰記錄更新 20

第3部分普通終端規(guī)范引言本部分“普通終端規(guī)范”以《中國金融集成電路（IC）卡規(guī)范》的第3部分“終端規(guī)范”和中石化加油卡應用規(guī)范的第1部分“卡片規(guī)范”和第2部分“加油應用規(guī)范”為基礎，規(guī)定了從技術上保證“一卡在手，各地加油”和“卡片通用，設備共享”的終端通用需求。該部分包括以下主要內容：普通終端的基本要求。規(guī)定了終端的電氣機械特性、邏輯接口、傳輸協(xié)議要求，并從應用角度對終端的物理特性進行了描述。同時為保證終端數(shù)據(jù)存儲、處理安全，特別針對安全存取模塊的物理安全及邏輯安全兩方面對終端的安全要求做了比較全面的描述。終端的功能描述。從終端角度對本規(guī)范支持的各種交易的交易流程、交易用命令以及終端數(shù)據(jù)元素的最低需求進行了描述。同時還包括一些與交易相關的安全、意外處理和灰卡處理方面的規(guī)定。黑名單管理。原則性地闡述了黑名單管理必需的查詢檢索方式、檢查的內容以及對黑名單更新的安全性要求。對黑名單的收集、存儲格式、存儲內容等與應用系統(tǒng)設計有關的內容不在本部分范圍內?；矣涗浱幚?。原則性的闡述了灰記錄的收集、分發(fā)、存儲、檢索、更新等工作理。1范圍本部分適用于支持《中國石化加油集成電路（IC）卡應用規(guī)范》所規(guī)定的基本應用的銷售點終端。使用對象主要是與加油IC卡應用相關的終端設計、制造以及應用系統(tǒng)研制、開發(fā)、集成和維護的部分（單位）。2參考資料《中國金融集成電路（IC）卡規(guī)范》的第3部分：“終端規(guī)范”《中國石化加油集成電路（IC）卡應用規(guī)范》第1部分：“卡片規(guī)范”《中國石化加油集成電路（IC）卡應用規(guī)范》第2部分：“加油應用規(guī)范”3定義終端Terminal為完成加油消費交易而在交易點安裝的設備，包括接口設備、其它部件以及與主機通信的接口。命令Command終端向IC卡發(fā)出的一條信息，該信息啟動一個操作或請示一個應答。響應ResponseIC卡處理完畢收到的命令報文后，回送給終端的報文。功能Function由一個或多個命令實現(xiàn)的處理過程，其操作結果用于完成全部或部分交易。集成電路IntegratedCircuit（IC）設計用于完成處理和／或存儲功能的電子器件。集成電路卡（IC卡）IntegratedCircuit(s)Card內部封裝一個或多個集成電路的ID－1型卡。報文Message由終端向卡或卡向終端發(fā)出的，不含傳輸控制字符的字節(jié)串。報文鑒別代碼MessageAuthenticationCode對交易數(shù)據(jù)及其相關參數(shù)進行運算后產生的代碼。主要用于驗證報文的完整性。密鑰Key控制加密轉換操作的符號序列。加密算法CryptographicAlgorithm為了隱藏或揭露信息內容而變換數(shù)據(jù)的算法。數(shù)據(jù)完整性DataIntegrity數(shù)據(jù)未受到非法變更或破壞的屬性。T＝0面向字符的異步半雙工傳輸協(xié)議。T＝1面向塊的異步半雙工傳輸協(xié)議。圈存Load持卡人將其相應帳戶上的資金劃轉到電子油票中。圈存交易必須在終端上聯(lián)機進行。圈提Unload持卡人將電子油票中的部分或全部資金劃回到其相應帳戶上。圈提交易必須在終端上聯(lián)機進行。電子油票ElectronicPetrolTicket同《中國石化加油集成電路（IC）卡應用規(guī)范》第2部分定義?；益iGreyLock同《中國石化加油集成電路（IC）卡應用規(guī)范》第2部分定義。解扣DebitforUnlock同《中國石化加油集成電路（IC）卡應用規(guī)范》第2部分定義灰卡GreyCard同《中國石化加油集成電路（IC）卡應用規(guī)范》第2部分定義補扣ComplementDebit同《中國石化加油集成電路（IC）卡應用規(guī)范》第2部分定義解扣出錯計數(shù)器GMACCounter同《中國石化加油集成電路（IC）卡應用規(guī)范》第2部分定義補充交易ComplementTransactio同《中國石化加油集成電路（IC）卡應用規(guī)范》第2部分定義黑名單BlackList由于持卡人卡掛失等原因而對其進行加油消費止付的IC卡數(shù)據(jù)清單。黑名單中至少應包含電子油票應用序列號?；矣涗汫reyRecord由于前一次加油消費異常結束而產生的灰卡的數(shù)據(jù)清單，作為終端對灰卡進行補扣解鎖的依據(jù)?；矣涗浿袘心軈^(qū)分和處理前一次異常交易的數(shù)據(jù)，如IC卡電子油票應用序列號、交易金額、電子油票脫機交易序號等。4縮略語和符號表示AID應用標識符（ApplicationIdentifier）b二進制（Binary）ET電子油票（ElectronicPetrolTicket）FCI文件控制信息（FileControlInformation）MAC報文驗證碼（MessageAuthenticationCode）PIN個人密碼（PersonalIdentificationNumber）POS銷售點終端（PointofSale）PSAM銷售點終端安全存取模塊（PurchaseSecureAccessModule）PSE支付系統(tǒng)環(huán)境（PaymentSystemEnvironment）SAM安全存取模塊（SecureAccessModule）TAC交易驗證碼（TransactionAuthorizationCryptogram）SW1狀態(tài)碼1(StatusWordOne)SW2狀態(tài)碼2(StatusWordTwo)GMAC解扣報文鑒別代碼(GreyMessageAuthenticationCode）GTAC解扣交易驗證碼(GreytransactionAuthorizationCryptogram)5基本要求5.1終端的電氣機械特性、邏輯接口、通信協(xié)議終端的電氣機械特性、邏輯接口、通信協(xié)議應符合《中國石化加油集成電路（IC）卡應用規(guī)范》第1部分：“卡片規(guī)范”中的有關內容。且終端必須支持T＝0及T＝1兩種傳輸協(xié)議。5.2加油應用終端終端的類型通常根據(jù)用途不同劃分，如售油終端、聯(lián)機充值終端。由于所支持的功能不同，終端對其配備部件的要求也不同。下面根據(jù)終端所支持的交易列出終端對所需配備部件的要求?？蛇x部件可以根據(jù)業(yè)務需求而定。表1支持加油應用的終端部件要求終端部件圈存圈提加油專用消費加油普通消費修改透支限額余額查詢讀交易記錄聯(lián)機解扣補扣交易補充交易顯示MMMMMMMMMMIC卡讀寫器MMMMMMMMMM鍵盤MMMMMMMMMM密碼鍵盤MMMMMMMMMM安全存取模塊MMMM//M//存儲器MMMMMMMMMM打印機OOOOOOOOOO通信MMOO注：注：1)終端應提供通信設備以便聯(lián)機傳輸數(shù)據(jù)。MOOMOO時鐘/MMMMMMMM注：M－必備O－可選/—不需要5.3基本物理配置加油卡卡終端的物理特性與其所支持的功能直接相關。但對于任何類型的終端都必須配備以下部件：顯示器IC卡讀寫器鍵盤安全存取模塊通信設備內存或其它存儲設備密碼鍵盤為方便用戶建議配置：打印機或打印機連接部件5.3.1顯示器用于交易過程顯示及錯誤指示。應能顯示英文及中文。5.3.2IC卡讀寫器對符合卡片規(guī)范的IC卡進行讀寫操作。5.3.3鍵盤用于密碼輸入等操作。5.3.4安全存取模塊用于終端在加油消費交易中，對IC卡進行合法性認證。5.3.5通信部件終端必須配備通信設備以用于數(shù)據(jù)傳輸。5.3.6時鐘用于產生準確的日期/時間，應有防止非授權修改的功能。5.3.7存儲設備終端必須配備足夠的存儲空間，以便存儲交易記錄及黑名單等數(shù)據(jù)。5.4多應用管理5.4.1基本要求IC卡與終端必須配合使用以保證交易安全、有效地運行。為了支持《中國石化加油集成電路（IC）卡應用規(guī)范》第2部分：“加油卡應用規(guī)范”中規(guī)定的應用，本規(guī)范對實現(xiàn)多應用的終端提出一些管理應用和選擇應用的具體原則。一般來講，如果IC卡上有超過一種以上的應用，則支持它的終端應給用戶一個按應用優(yōu)先級排序的列表以供選擇。5.4.2終端應用的管理終端應用的管理應達到如下的目標：應用之間不能互相影響；各應用必須相互獨立運行，相互之間數(shù)據(jù)和程序不可交換。共享數(shù)據(jù)必須保證：各應用的內部數(shù)據(jù)不能被其它應用得到所有的應用可以共享終端中的通用數(shù)據(jù)提供應用選擇的標準界面。對應用進行管理（提供應用程序的選擇、激活、禁止、參數(shù)設置等等）。IC卡應用選擇符合《中國石化加油集成電路（IC）卡應用規(guī)范》的IC卡可能實現(xiàn)一個或多個應用，終端應能夠選擇并支持這些應用。應用選擇過程應符合《中國石化加油集成電路（IC）卡應用規(guī)范》第2部分：“加油卡應用規(guī)范”。5.5終端的安全要求本節(jié)規(guī)定了終端數(shù)據(jù)存儲、處理的一般性安全要求。同時也對安全存取模塊（SAM）提出了具體的要求。安全存取模塊（SAM）用于存貯安全密鑰并負責進行安全加密，SAM的類型依賴于終端交易類型，POS中用于支持加油消費交易的SAM稱為PSAM。關于SAM具體的安全要求實現(xiàn)將不屬于本部分規(guī)范范圍。5.5.1一般要求終端一般存在兩種類型的數(shù)據(jù)：通用數(shù)據(jù)：包括時間、終端識別號及終端交易記錄等。外界可以對這些數(shù)據(jù)進行訪問，但不允許進行無授權修改。.敏感數(shù)據(jù)：包括密鑰、應用內部的參數(shù)（如PSAM標識號、密鑰索引號）。在未授權的情況下，外界不允許對這類數(shù)據(jù)進行訪問和修改。5.5.1.1通用數(shù)據(jù)的安全要求通用數(shù)據(jù)一般存放在存儲器中。在更新參數(shù)以及下載新的應用程序時，終端必須做到：驗證更新方的身份，對于應用程序重新下載，只允許終端制造廠商、終端所有者或者經終端所有者或代理方批準的第三方執(zhí)行。校驗下載參數(shù)及應用程序的完整性。對存儲器要求必須做到：在規(guī)范應用環(huán)境下，終端的應用數(shù)據(jù)都不會隨意改變或丟失，并保證數(shù)據(jù)有效。所有與交易相關的數(shù)據(jù)均應以記錄形式存儲于終端存儲器中。終端須保證這些數(shù)據(jù)的完整性。5.5.1.2敏感數(shù)據(jù)的安全要求敏感數(shù)據(jù)一般應存放在安全存取模塊中。安全存取模塊是一種能夠提供必要的安全機制以防止外界對終端所儲存或處理的數(shù)據(jù)進行非法攻擊的硬件加密模塊。此模塊主要負責保存和處理所有的敏感數(shù)據(jù)，這些數(shù)據(jù)包括加油消費密鑰或傳輸密鑰等。對于安全存取模塊的硬件形式在本部分中將不做具體要求。在正常的操作環(huán)境下，對安全存取模塊必須要求：出入模塊的、以及其內部存放的和正在處理的數(shù)據(jù)不會由于模塊自身或其接口造成任何泄露和改變。5.5.2安全存取模塊的物理安全要求安全存取模塊的硬件設計必須能保證在物理上限制對其內部存貯的敏感數(shù)據(jù)的存取與竊取，以及對安全存取模塊的非授權使用和修改。一旦安全存取模塊受到非法的篡改及攻擊，其自身必須能夠立即完成對內部敏感數(shù)據(jù)的刪除。要實現(xiàn)這些目標，安全存取模塊應具有防竊、查竊、竊取顯示或竊取響應機制。同時，安全存取模塊也必須具有足夠的防范特性，能夠發(fā)現(xiàn)是否被篡改過?？傊?，安全存取模塊的設計和構造必須滿足以下要求：只有通過特別的技巧與工具或專用嚴重破壞的的方法，才能對模塊的硬件或軟件進行增加、替換或修改。任何對敏感數(shù)據(jù)的訪問或修改，只有通過對模塊的接觸才能達到。安全存取模塊的任何部分的損壞或失效都不會導致敏感數(shù)據(jù)的泄露。如果安全存取模塊是由多個分離部件組合而成，而處理的數(shù)據(jù)又必須在這些部件之間傳遞，那么各部件必須保持相同的安全級別。5.5.3安全存取模塊的邏輯安全要求一個安全存取模塊的邏輯設計應保證，調用任何單一功能或組合功能，都不會導致敏感數(shù)據(jù)的泄露。對于某些敏感操作，必須有一定的權限限制。安全存取模塊中可存放多組不同版本不同索引的主密鑰。所有的主密鑰通常必須在終端投入使用之前，被下載到安全存取模塊中。如果在終端使用過程中，主密鑰需要修改，必須使用安全報文。實現(xiàn)這一操作通常必須在特殊的授權情況下完成。對外部不能存在任何取得密鑰的機會。為避免偽操作，存放在安全存取模塊中的不同類型的主密鑰必須與不同特定的應用操作相結合。例如，主加油消費密鑰將僅適用于處理“加油消費”應用操作。對于加油消費交易，安全存取模塊應能夠生成符合《中國石化加油集成電路（IC）卡應用規(guī)范》第2部分：應用規(guī)范定義的MAC1、GMAC、SAMTAC，并對MAC2進行認證。在每一個交易結束或超時狀態(tài)下，安全存取模塊應自動清除內部緩存區(qū)中存放的數(shù)據(jù)。安全存取模塊應能執(zhí)行中國石化加油IC卡要求的安全信息的計算、校驗。當符合規(guī)范的IC卡需要以安全報文方式傳遞信息時，安全存取模塊必須能夠實現(xiàn)安全報文傳遞。所有與脫機交易相關的主密鑰和敏感數(shù)據(jù)必須存儲在安全存取模塊中。安全存取模塊必須可以實現(xiàn)對稱密鑰算法（DEA）和符合卡片規(guī)范中定義的主密鑰到子密鑰的分散算法。5.6終端數(shù)據(jù)元素終端除了支持《中國石化加油集成電路（IC）卡應用規(guī)范》第1部分：“卡片規(guī)范”和第2部分：“加油卡應用規(guī)范”中定義的數(shù)據(jù)之外，還應支持一些特殊的數(shù)據(jù)元，詳見附錄A。按照一般規(guī)則，當交易處理數(shù)據(jù)元素未取值時，置為0。5.7意外情況處理終端供應商可以根據(jù)不同的業(yè)務要求處理意外情況，這些意外情況處理將不在本部分中涉及。為了審計的需要，可能需要一些相關數(shù)據(jù)，有關這方面的詳細內容也不在本部分中描述。6.終端的功能描述本部分以“一卡在手，各地加油”為目標，從終端角度對加油的一般功能、交易流程及交易用命令、終端數(shù)據(jù)元素等方面提出了基本需求。有關系統(tǒng)設計及后臺處理的內容不屬于本規(guī)范范圍。6.1交易的預處理交易的預處理將遵循《中國石化加油集成電路(IC)卡應用規(guī)范》第2部分“加油卡應用規(guī)范”中‘交易的預處理’的定義。在交易的預處理過程中，終端對IC卡實現(xiàn)了應用選擇、有效性檢查、密碼校驗、灰鎖檢查。當進行密碼校驗時，如果使用默認個人密碼，終端應自動執(zhí)行對默認個人密碼的校驗。6.1.1交易的預處理流程下圖是交易預處理過程：IC卡終端選擇應用發(fā)送ADF-FCI,SW1||SW2執(zhí)行有效性檢查：-檢查卡片是否是黑名單卡，若是則顯示A，異常結束-檢查是否支持發(fā)卡行識別標志，若否則顯示B，異常結束-檢查終端是否支持此應用，若否則顯示C，異常結束-檢查應用的起始日期是否有效，若否則顯示D，異常結束如果不使用默認密碼，則提示遞交個人密碼（PIN）發(fā)送SW1||SW2發(fā)送校驗PIN如果發(fā)生通訊錯誤、超時或非法應答，終端顯示E，異常結束如果(SW1||SW2==‘63C2’)或者(SW1||SW2==‘63C1’)則顯示F重新提示遞交PIN如果(SW1||SW2==‘63C0’)或者(SW1||SW2==‘6983’)則顯示G，異常結束如果(SW1||SW2==‘9000’)則繼續(xù)進行下一步，否則顯示H，異常結束傳送灰鎖信息和SW1||SW2GETLOCKPROOF如果發(fā)生通訊錯誤、超時或非法應答，終端顯示E，異常結束如果(SW1||SW2)<>‘9000’而且(SW1||SW2)<>‘6985’，終端顯示H，異常結束(SW1||SW2)=‘6985’，正常結束檢查IC卡ET上次交易的TAC是否已被讀取，若否則進行補充交易。檢查是否是灰卡。如果是灰卡，進行補扣交易。傳送余額和SW1||SW2GETBALANCE如果發(fā)生通訊錯誤、超時或非法應答，終端顯示E，異常結束如果(SW1||SW2)<>“9000”，終端顯示H，異常結束圖SEQ圖-\*ARABIC1應用選擇階段交易預處理流程終端顯示信息說明見附錄B。為完成交易預處理，終端應支持以下命令：SELECTVERIFYGETLOCKPROOFGETBALANCE有關這些命令的詳細內容請參見《中國石化加油集成電路(IC)卡應用規(guī)范》第2部分“應用規(guī)范”。6.2圈存/圈提6.2.1一般描述通過圈存交易，持卡人可將其在銀行相應帳戶上的資金劃入電子油票中。圈提交易將IC卡電子油票中的資金劃回到相應帳戶中。圈存/圈提交易必須授權聯(lián)機進行。本部分不對收單銀行與發(fā)卡行之間關于通信和交易結算的有關事項予以規(guī)定。處理交易時，發(fā)卡行應對IC卡予以驗證，同時檢查帳戶狀況及其他交易數(shù)據(jù)。主機產生報文鑒別代碼（MAC），并更新帳戶。如果發(fā)卡行因某種原因不能接受交易，那末終端必須顯示相應的信息告知持卡人和／或終端操作員。6.2.2交易流程本部分從終端角度闡述了圈存/圈提的終端交易流程、終端與IC卡操作以及主機處理的關系。這里假定在終端進入此交易流程前，已通過必要步聚取得圈存/圈提金額。并且對于電子油票圈存/圈提，假設已完成了PIN的輸入及認證。下圖是圈存交易流程。IC卡終端主機發(fā)出MAC1,SW1||SW2INITIALIZEFORLOAD如果發(fā)生通信錯誤或超時或響應格式錯誤，則顯示E，異常結束如果（SW1SW2）＜＞9000則顯示H，異常結束發(fā)送圈存請求及相關數(shù)據(jù)，如果發(fā)送圈存請求失敗，則顯示Q，異常結束如果主機無響應或主機響應格式錯誤，則顯示R，異常結束并保存此次不完整交易的資料，包括交易狀態(tài)和交易細節(jié)等，供主機調整交易用（如沖正交易。）如果主機拒絕交易，則顯示S，異常結束圈存響應,包含MAC2及所需要素發(fā)出TAC,SW1||SW2CREDITFORLOAD如果發(fā)生通信錯誤或超時或響應格式錯誤，則顯示E，異常結束并保存此次不完整交易的資料，包括交易狀態(tài)和交易細節(jié)等，供主機調整交易用（如沖正交易）。如果（SW1SW2）＜＞9000則顯示H，異常結束并保存此次不完整交易的資料，包括交易狀態(tài)和交易細節(jié)等,供主機調整交易用（如沖正交易）。更新交易記錄和總額顯示O圖2圈存交易流程圈存交易處理終端顯示說明見附錄B。下圖為圈提交易流程IC卡終端主機發(fā)出MAC1，SW1||SW2INITIALIZEFORUNLOAD如果發(fā)生通信錯誤或超時或響應格式錯誤，則顯示E，異常結束如果(SW1||SW2)<>‘9000’則顯示H，異常結束發(fā)圈提請求及相關數(shù)據(jù)如果發(fā)送圈存請求失敗，則顯示Q，異常結束如果主機無響應或主機響應格式錯誤，則顯示R，異常結束并保存此次不完整交易的資料，包括交易狀態(tài)和交易細節(jié)等，供主機調整交易用(如沖正交易)。如果主機拒絕交易，則顯示S，異常結束圈提響應包含MAC2及所需要素發(fā)出MAC3，SW1||SW2DEBITFORUNLOAD如果發(fā)生通信錯誤或超時或響應格式錯誤，則顯示E，異常結束并保存此次不完整交易的資料，包括交易狀態(tài)和交易細節(jié)等，供主機調整交易用(如沖正交易)。如果(SW1||SW2)<>‘9000’則顯示H，異常結束并保存此次不完整交易的資料，包括交易狀態(tài)和交易細節(jié)等，供主機調整交易用(如沖正交易)。發(fā)送圈提確認及相關數(shù)據(jù)如果發(fā)送圈提確認失敗則顯示T；交易結束。如果主機無響應、返回無效響應或主機拒絕則顯示U；交易結束。圈提完成響應更新交易記錄和總額顯示O圖3圈提交易流程圈提交易處理終端顯示說明見附錄B。6.2.3圈存/圈提交易命令為完成圈存/圈提交易，終端應支持以下命令：INITIALIZEFORLOADCREDITFORLOADINITIALIZEFORUNLOADDEBITFORUNLOAD有關這些命令的詳細內容請參見《中國石化加油集成電路(IC)卡應用規(guī)范》第2部分“應用規(guī)范”。6.2.4終端數(shù)據(jù)元素每次交易成功完成后，終端必須保留以下交易記錄數(shù)據(jù)，并按規(guī)定上傳主機：交易日期（發(fā)卡行）交易時間（發(fā)卡行）ET應用序列號交易類型標識交易金額ET聯(lián)機交易序號ET余額TAC（只用于圈存）還應保留以下總額數(shù)據(jù)供審計使用：成功聯(lián)機圈存總次數(shù)成功聯(lián)機圈提總次數(shù)成功聯(lián)機圈存總額成功聯(lián)機圈提總額每次交易完成后，不論成功與否，可根據(jù)需要保存以下數(shù)據(jù)元素供審計使用：終端交易日期終端交易時間密鑰版本號注：注：1)通常DTK的密鑰版本與DPK的密鑰版本相同。密鑰索引號MAC3(只用于圈提)此外終端還可以保留每筆交易有關的處理狀態(tài)（如完成與否），IC卡更新狀態(tài)（如是否已更新或不肯定），聯(lián)機通信狀態(tài)（如主機響應收到與否）以及最后一次IC卡響應字節(jié)SW1、SW2等，用于交易恢復處理或審計跟蹤。6.2.5安全要求圈存和圈提均為聯(lián)機交易，IC卡及發(fā)卡行應產生有效的MAC交易提供必要的安全保護。終端只是在IC卡和發(fā)卡行之間傳輸安全信息。在這些交易中不要求使用特定的終端／SAM安全密鑰。6.2.6防拔處理交易異常中斷時，終端應能根據(jù)《中國石化加油集成電路(IC)卡應用規(guī)范》第2部分“加油卡應用規(guī)范”中的規(guī)定，當卡拔出又重新插入后或終端恢復對IC卡供電后對IC卡實施防拔處理。在交易異常中斷的情況下，終端應進入這樣一種狀態(tài)：即持卡人可重新插入原來的IC卡，并確認最后一次交易已經完成。如果持卡人未插入IC卡，或插入的不是原來的卡，則終端應提示持卡人重新插入原來的IC卡。終端還應能夠自動(如超時)或以人工方式(如操作員按下取消鍵)退出這種待插卡狀態(tài)。在防拔處理結束后，終端應執(zhí)行以下操作：a)完成IC卡的最后一筆交易，將IC卡恢復，向持卡人顯示交易已完成(如果IC卡余額已被更新)b)向持卡人顯示IC卡交易失敗(如果IC卡余額沒有被更新)6.3加油普通消費6.3.1概述加油普通消費交易允許持卡人使用電子油票中的余額進行加油消費。此交易可以通過銷售點終端(POS)脫機進行。在加油普通消費時，加油消費金額從卡中扣除，并在POS中記錄交易數(shù)據(jù)，由終端將交易數(shù)據(jù)上傳主機。電子油票的加油普通消費交易需提交個人密碼。脫機終端和連機終端都應有充足的非易失性內存用來存儲交易數(shù)據(jù)，以滿足服務提供商戶和銀行的需要。終端不允許對電子油票做取現(xiàn)交易。6.3.2交易流程本部分從終端角度描述了加油普通消費交易的終端交易流程、終端與IC卡操作以及與主機處理的關系。這里假定在終端進入此交易流程前，終端已通過必要步驟獲得了有關的數(shù)據(jù)，并且已完成個人密碼的輸入及驗證。下圖為加油普通消費交易流程：IC卡終端發(fā)送...SW1||SW2INTIALIZEFORPURCHASE如果SW1||SW2＝＝'9401'則顯示L;返回應用選擇如果SW1||SW2<>'9000'則顯示H，異常結束終端/SAM生成MAC1發(fā)送MAC2||TAC,SW1||SW2DEBITFORPURCHASE如果SW1||SW2<>'9000'則顯示H，異常結束校驗MAC2如果MAC2的校驗不成功,則顯示H，異常結束注：1)注：1)如果MAC2未返回或返回錯誤,交易應結束。將交易明細寫入終端的存儲區(qū)2)交易數(shù)據(jù)必須立即記錄到內存。顯示O圖4加油普通消費交易流程加油普通交易處理終端顯示說明見附錄B。6.3.3加油普通消費命令為完成加油普通消費交易，終端應支持以下指令。有關這些指令的詳細介紹請參見《中國石化加油集成電路(IC)卡應用規(guī)范》第2部分：應用規(guī)范。a）INITIALIZEFORPURCHASEb）DEBITFORPURCHASE6.3.4終端數(shù)據(jù)元素每次交易成功完成后，終端必須保留以下交易記錄數(shù)據(jù)，并按規(guī)定上傳主機：a）交易日期(終端)b）交易時間(終端)c）ET應用序列號d）交易類型標識e）ET余額f）交易金額g）ET脫機交易序號h）終端機編號I）終端交易序號j）TACk）本次加油量l）本次加油單價m）本次加油油品n）本次加油槍號o）加油機加油量總累計數(shù)還應保留以下總額數(shù)據(jù)供對帳使用：a）加油普通消費總金額b）加油普通消費總筆數(shù)也可以根據(jù)需要保存以下數(shù)據(jù)元素供審計跟蹤使用：a）密鑰版本號3)3)通常DTK的密鑰版本與DPK的密鑰版本相同。6.3.5安全需求出于安全方面的考慮，如果一個加油普通消費交易在一個非安全性的POS終端/金融終端或類似的非安全性設備進行，那么此設備應配備安全存取模塊，算法以及消費交易密鑰將存放于PSAM中，加密過程將由PSAM以安全的方式進行。本規(guī)范不包括對密鑰的詳細描述。6.3.6防拔處理加油普通消費交易的防拔處理同圈存交易的防拔處理。6.4修改透支限額6.4.1一般描述修改透支限額交易允許發(fā)卡行修改IC卡上電子油票的透支限額。修改透支限額交易必須在金融終端上聯(lián)機完成，且必須提交個人密碼（PIN）。需要說明的是，如果需要，支持該交易的終端必須能夠接受其他銀行發(fā)行的IC卡，6.2節(jié)中的所有描述均適用于此類情況。本部分不對收單行和發(fā)卡行間的通信和交易結算等有關事項予以規(guī)定。在修改透支限額交易中，發(fā)卡行將認證IC卡、檢驗相應帳戶狀態(tài)和交易數(shù)據(jù)。主機產生報文鑒別代碼（MAC），并更新相應記錄。如果發(fā)卡行因某種原因不能接受此交易，則終端必須顯示相應的信息告知持卡人和／或終端操作員。6.4.2交易流程本節(jié)從終端角度描述了修改透支限額交易流程和終端與IC卡以及主機處理的關系。這里假設終端在進入此交易流程前，已通過必要步驟獲得了有關數(shù)據(jù)，并已完成個人密碼的輸入和驗證。下圖是修改透支限額交易流程。IC卡終端主機發(fā)送MAC1,SW1||SW2INITIALIZEFORUPDATE如果發(fā)生通信錯誤或超時或響應格式錯誤，則顯示E，異常結束如果（SW1SW2）＜＞9000則顯示H，異常結束發(fā)送修改透支限額請求及相應數(shù)據(jù)元素。如果傳輸失敗，終端則顯示Q，異常結束如果主機無響應或主機應答無效，則顯示R，異常結束并保存此次不完整交易的資料，包括交易狀態(tài)和交易細節(jié)等，供主機調整交易用（如沖正交易。）如果主機拒絕交易，終端則顯示Ｓ，異常結束驗證MAC1返回修改透支限額命令的響應信息,發(fā)回MAC2。發(fā)送TAC,SW1||SW2UPDATEOVERDRAWLIMIT如果發(fā)生通信錯誤或超時或非法應答，終端則顯示Ｅ，異常結束并保存此次不完整交易的資料，包括交易狀態(tài)和交易細節(jié)等，供主機調整交易用（如沖正交易）。如果（SW1SW2）＜＞9000則顯示H，然后退出，在這種情況下，終端保留未完成交易的信息，包括交易狀態(tài)和一些主機進行錯誤處理所必須的交易信息。修改交易記錄和交易總額顯示Ｏ圖5修改透支限額交易流程修改透支限額交易處理顯示說明見附錄B。6.4.3修改透支限額交易命令為完成修改透支限額交易，終端應支持以下命令：INITIALIZEFORUPDATEUPDATEOVERDRAWLIMIT有關這些命令的詳細內容請參見《中國石化加油集成電路(IC)卡應用規(guī)范》第2部分“應用規(guī)范”。6.4.4終端數(shù)據(jù)元素每次交易成功完成后，終端必須保留以下交易記錄數(shù)據(jù)，并按規(guī)定上傳主機：交易日期（發(fā)卡行）交易時間（發(fā)卡行）ET應用序列號交易類型標識透支限額聯(lián)機交易序號ET余額TAC還應保留以下總額數(shù)據(jù)供對帳使用：成功聯(lián)機修改透支限額交易累計次數(shù)。成功聯(lián)機修改透支限額交易累計金額。每次交易完成后，不論成功與否，可以根據(jù)需要保存以下數(shù)據(jù)元素供跟蹤使用：終端交易日期終端交易時間密鑰版本號注：注：1)通常DTK的密鑰版本與DPK的密鑰版本相同。此外，終端還可以保留每筆交易有關的處理狀態(tài)（如完成與否），IC卡更新狀態(tài)（如是否更新或不肯定），主機通信狀態(tài)（如響應與否），以及最后一次IC卡狀態(tài)碼SW1、SW2等，用于交易恢復或審計。6.4.5安全要求修改透支限額交易是聯(lián)機交易，IC卡及發(fā)卡行應產生有效的MAC為交易提供必要的安全保護。終端只是在IC卡和發(fā)卡行之間傳輸安全信息。在這些交易中不要求使用特定的終端／SAM安全密鑰。6.4.6防拔處理修改透支限額交易的防拔處理同圈存交易的防拔處理。6.5加油專用消費加油專用消費允許持卡人在終端上進行加油專用消費交易。這里假定在終端進入此交易流程前，終端已通過了交易預處理過程。6.5.1交易流程下圖是加油消費交易過程：IC卡終端PSAM卡輸入加油消費金額，如果加油消費金額大于卡中余額，則顯示L，并顯示加油消費允許的最大額，提示輸入正確金額。如果超時，異常結束發(fā)送余額、脫機交易序號、透支限額、版本、算法標識、隨機數(shù)等，SW1||SW2INITIALIZEFORGREYLOCK如果SW1||SW2<>'9000'則顯示I，異常結束INIT_SAM_GREY_LOCK如果SW1||SW2<>'9000'則顯示J，異常結束發(fā)送終端交易序號、終端隨機數(shù)、MAC1，SW1||SW2發(fā)送MAC2，SW1||SW2GREYLOCK如果SW1||SW2<>'9000'則顯示H，異常結束CERTIFICATE_SAM_GREY_LOCK如果SW1||SW2<>'9000'則顯示K，將交易明細寫入終端的存儲區(qū)，異常結束發(fā)送SW1||SW2CREDIT_SAM_FOR_GREY_DEBIT如果SW1||SW2<>'9000'則顯示J，將交易明細寫入終端的存儲區(qū)，異常結束如果IC卡從讀卡器中意外脫出，將交易明細寫入終端的存儲區(qū)，異常結束。發(fā)送GMAC、SAMTAC，SW1||SW2發(fā)送TAC，SW1||SW2DEBITFORUNLOCK如果SW1||SW2＝'9401'則顯示L；將交易明細寫入終端的存儲區(qū)，異常結束如果SW1||SW2<>'9000'則顯示N，將交易明細寫入終端的存儲區(qū)，異常結束發(fā)送SW1||SW2GETLOCKPROOF（P1=1）交易正常結束將交易明細寫入終端的存儲區(qū)顯示O圖6加油專用消費交易流程加油專用消費交易處理終端顯示說明見附錄B。為完成加油專用消費交易，終端應支持以下命令：a)INITIALIZEFORGREYLOCKb)GREYLOCKc)DEBITFORUNLOCKd)GETLOCKPROOF有關這些命令的詳細內容請參見《中國石化加油集成電路(IC)卡應用規(guī)范》第2部分“應用規(guī)范”。6.5.2終端數(shù)據(jù)元素每次交易成功完成后，終端應保留以下交易記錄數(shù)據(jù)，并按規(guī)定上傳主機：交易日期(終端)交易時間(終端)ET應用序列號交易類型標識ET余額交易金額ET脫機交易序號終端機編號終端交易序號TAC本次加油量本次加油單價本次加油油品本次加油槍號加油機加油量總累計數(shù)還應保留以下總額數(shù)據(jù)供對帳使用：IC卡加油專用消費總金額IC卡加油專用消費總筆數(shù)也可以根據(jù)需要保存以下數(shù)據(jù)元素供審計跟蹤使用：a)密鑰版本號注：注：1)通常DTK的密鑰版本與DPK的密鑰版本相同。每次異常中斷的交易，終端必須保留以下交易記錄數(shù)據(jù)，并按規(guī)定上傳主機：交易日期(終端)交易時間(終端)ET應用序列號交易類型標識ET余額交易金額ET脫機交易序號終端機編號終端交易序號GTACGMACSAMTAC本次加油量本次加油單價本次加油油品本次加油槍號加油機加油量總累計數(shù)可以根據(jù)需要保存以下數(shù)據(jù)元素供審計跟蹤使用：密鑰版本號6.5.3安全需求出于安全方面的考慮，如果加油專用消費交易在一個非安全性的終端或類似的非安全性設備進行，那么此設備應配備安全存取模塊，算法以及加油消費交易密鑰存放于安全存取模塊中，加密過程將由安全存取模塊以安全的方式進行。本部分不包括對密鑰的詳細描述。6.5.4防拔處理加油專用消費交易的防拔處理同圈存交易的防拔處理。6.6補扣交易補扣交易允許持卡人在保存有加油卡前次異常交易灰記錄的終端上進行加油卡的解鎖操作。這里假定在終端進入此交易流程前，終端已通過了交易預處理過程。6.6.1補扣交易流程下圖是補扣交易流程：IC卡終端查詢匹配的灰記錄，如果沒有找到，則顯示P，異常結束發(fā)送TAC，SW1||SW2DEBITFORUNLOCK如果SW1||SW2＝'9401'則顯示L；將交易明細寫入終端的存儲區(qū)，異常結束如果SW1||SW2<>'9000'則顯示N，將交易明細寫入終端的存儲區(qū)，異常結束發(fā)送SW1||SW2GETLOCKPROOF（P1=1）交易正常結束將交易明細寫入終端的存儲區(qū)顯示O圖7補扣交易流程補扣交易處理終端顯示說明見附錄B。6.6.2終端數(shù)據(jù)元素每次交易成功完成后，終端應保留以下交易記錄數(shù)據(jù)，并按規(guī)定上傳主機：a)交易日期(終端)交易時間(終端)ET應用序列號交易類型標識ET余額交易金額ET脫機交易序號終端機編號終端交易序號TAC也可以根據(jù)需要保存以下數(shù)據(jù)元素供審計跟蹤使用：密鑰版本號注：注：1)通常DTK的密鑰版本與DPK的密鑰版本相同。6.6.3防拔處理補扣交易的防拔處理同圈存交易中的防拔處理。6.7補充交易補充交易允許持卡人在卡機聯(lián)動加油機上將上次交易沒有讀取的IC卡交易簽名（TAC）讀出，供主機對帳使用。這里假定在終端進入此交易流程前，終端已通過了交易預處理過程。6.7.1交易流程下圖是補充交易流程：IC卡終端發(fā)送SW1||SW2GETLOCKPROOF（P1=1）交易正常結束將交易明細寫入終端的存儲區(qū)顯示O圖8補充交易流程補充交易處理終端顯示說明見附錄B。6.7.2終端數(shù)據(jù)元素每次交易成功完成后，終端應保留以下交易記錄數(shù)據(jù)，并按規(guī)定上傳主機：交易日期(終端)交易時間(終端)ET應用序列號交易類型標識ET余額交易金額ET脫機交易序號終端機編號終端交易序號TAC6.7.3防拔處理補充交易的防拔處理同圈存交易中的防拔處理。6.8查詢6.8.1一般描述查詢交易可用以查詢IC卡電子油票余額和讀取IC卡中電子油票的交易記錄，它一般在脫機狀態(tài)下進行。終端使用GETBALANCE命令從IC卡中獲取電子油票的余額。在查詢電子油票余額時要求驗證持卡人個人密碼PIN。終端通過執(zhí)行READRECORD命令讀取IC卡電子油票交易記錄。查看IC卡電子油票交易記錄文件要求驗證持卡人個人密碼PIN。6.8.2交易流程本節(jié)描述了終端查詢交易流程，以及終端與IC卡及主機之間的關系和處理過程。這里假設終端在此前已經通過必要步驟獲得了有關數(shù)據(jù)，對于電子油票個人密碼已經輸入并得到驗證。下圖是查詢IC卡電子油票余額交易及查詢IC卡電子油票交易明細流程。IC卡終端主機傳送余額和SW1||SW2GETBALANCE如果發(fā)生通信錯誤或超時或非法應答,終端顯示E，異常結束如果（SW1SW2）＜＞9000終端則顯示H，異常結束顯示余額顯示信息O圖9查詢IC卡余額交易流程

IC卡終端主機傳送讀取結果和SW1||SW2READRECORD如果發(fā)生通信錯誤或超時或非法應答,終端顯示E，異常結束如果（SW1SW2）＜＞9000終端則顯示H，異常結束）顯示交易記錄顯示信息O圖10查詢IC卡交易明細流程查詢余額和交易記錄終端顯示說明見附錄B。6.8.3查詢命令為完成查詢IC卡電子油票余額，終端應支持以下命令：GETBALANCE為完成查詢IC卡電子油票交易記錄，終端應支持以下命令：READRECORD有關這些命令的詳細介紹請參見《中國石化加油集成電路（IC）卡應用規(guī)范》第2部分：“應用規(guī)范”。6.8.4安全要求查詢IC卡電子油票余額和查詢IC卡電子油票交易明細都是脫機交易，在對電子油票進行處理時，只要求驗證IC卡的人個密碼PIN。在這些交易中并不要求特別的終端/SAM安全密鑰。6.9應用維護功能應用維護包括卡片鎖定、應用鎖定、應用解鎖、PIN解鎖、二進制形式修改、更改PIN、重裝PIN等功能，所有這些功能均需在擁有相應密鑰的設備上進行。根據(jù)發(fā)卡行的需要，應用維護功能可以在聯(lián)機或脫機、有人值守或無人值守的終端設備上實現(xiàn)。CARDBLOCK命令用于鎖定卡片。被鎖定的卡片將不再支持任何應用，執(zhí)行SELECT命令將返回“功能不支持”的狀態(tài)字。APPLICATIONBLOCK命令用于鎖定指定的電子油票應用。根據(jù)命令參數(shù)P2的不同設置，可以指定暫時鎖定或永久鎖定，如果是永久鎖定，不允許通過APPLICATIONUNBLOCK命令執(zhí)行應用解鎖操作。APPLICATIONUNBLOCK命令用于解鎖暫時鎖定的應用。當PIN被鎖定時，可以用PINUNBLOCK命令實現(xiàn)解鎖操作。如果PIN解鎖連續(xù)三次失敗，IC卡將永久鎖定該電子油票應用。當發(fā)生二進制文件更新要求時，終端發(fā)出UPDATEBINARY命令來執(zhí)行更新請求。持卡人PIN更新請求可通過CHANGEPIN命令實現(xiàn)，該命令需要輸入持卡人的現(xiàn)有PIN以供校驗。RELOADPIN命令用于實現(xiàn)PIN的重裝功能，它不需要校驗持卡人現(xiàn)有的PIN。應用維護功能的具體使用由發(fā)卡行依據(jù)業(yè)務需