交通一卡通移動票卡技術規(guī)范+第2部分：安全單元

1JT/T1059.2—XXXX交通一卡通移動票卡技術規(guī)范第2部分：安全單元本文件規(guī)定了交通一卡通移動票卡安全單元類型及其基本要求、多應用管理、多應用架構、支付賬戶介質(zhì)識別碼、交通一卡通身份認證應用、安全單元基本命令、密鑰要求、安全通信、應用個人化服務、安全單元應用選擇服務以及應用。本文件適用于交通一卡通移動票卡系統(tǒng)涉及到的承載安全單元的載體的設計、生產(chǎn)以及相關應用系統(tǒng)的研發(fā)、集成和維護管理。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T16649.1識別卡帶觸點的集成電路卡第1部分：物理特性GB/T16649.3識別卡帶觸點的集成電路卡第3部分：電信號和傳輸協(xié)議GB/T16649.4識別卡集成電路卡第4部分：用于交換的結構、安全和命令GB/T32918（所有部分）信息安全技術SM2橢圓曲線公鑰密碼算法JT/T978.2—2023城市公共交通IC卡技術規(guī)范第2部分：卡片JT/T978.5城市公共交通IC卡技術規(guī)范第5部分：非接觸接口通信JT/T978.6城市公共交通IC卡技術規(guī)范第6部分：安全JT/T1059.1交通一卡通移動票卡技術規(guī)范第1部分：總則JT/T1059.7交通一卡通移動票卡技術規(guī)范第7部分：終端JT/T1059.8交通一卡通移動支付技術規(guī)范第8部分：檢測項目JR/T0025.15中國金融集成電路（IC）卡規(guī)范第15部分：電子現(xiàn)金雙幣支付應用規(guī)范ISO/IEC7816-4識別卡集成電路卡第4部分：交換的組織、安全和命令（Identificationcards—Integratedcircuitcards—Part4:Organization，securityandcommandsforinterchange）ETSITS102613智能卡UICC-非接觸前端（CLF）接口第1部分：物理層和數(shù)據(jù)鏈路層特性（SmartCards；UICC-ContactlessFront-end（CLF）Interface；Part1：Physicalanddatalinklayercharacteristics）ETSITS102622智能卡UICC-非接觸前端（CLF）接口主機控制器接口（HCISmartCards；UICC-ContactlessFront-end（CLF）Interface；HostControllerInterface（HCI））3術語和定義JT/T1059.1界定的以及下列術語和定義適用于本文件。3.1主安全域issuersecuritydomain安全單元中負責對安全單元管理者（通常是安全單元發(fā)行方）的管理、安全、通信等功能需求進行支持的首要實體。3.2輔助安全域supplementarysecuritydomain除主安全域之外的其他安全域。3.3支付賬戶介質(zhì)識別碼paymentaccountmediaidentifier2JT/T1059.2—XXXX唯一標識支付賬戶介質(zhì)的代碼。3.4非接觸前端contactlessfront-end通過近場非接觸接口實現(xiàn)通訊功能的控制模塊。3.5可執(zhí)行裝載文件executableloadfile實際存在于卡片上的包含一個或多個應用的可執(zhí)行代碼（可執(zhí)行模塊）的容器，它既可以駐留在只讀內(nèi)存中，也可以作為加載文件數(shù)據(jù)塊的映像在可變內(nèi)存中生成。4縮略語下列縮略語適用于本文件。AAC：應用認證密文（ApplicationAuthorizationCryptogram）AC：應用密文（ApplicationCryptogram）ADF：應用專用文件（ApplicationDefinitionFile）AFL：應用文件定位器（ApplicationFileLocator）AID：應用標識符（ApplicationIdentifier）AIP：應用交互特征（ApplicationInterchangeProfile）AMSD：授權管理權限安全域（SecurityDomainwithAuthorizedManagementPrivilege）APDU：應用協(xié)議數(shù)據(jù)單元（ApplicationProtocolDataUnit）API：應用編程接口（ApplicationProgrammingInterface）ARQC：授權請求密文（AuthorizationRequestCryptogram）ATC：應用交易計數(shù)器（ApplicationDefaultAction）BER：基本編碼規(guī)則（BasicEncodingRules）CA：電子商務認證授權機構（CertificateAuthority）CLA：命令報文的類別字節(jié)（ClassByteoftheCommandMessage）CLF：非接觸前端（ContactlessFront-end）COS：片內(nèi)操作系統(tǒng)（ChipOperatingSystem）CVR：卡片驗證結果（CardVerificationResults）DAP：數(shù)據(jù)認證模式（DataAuthenticationPattern）DEK：數(shù)據(jù)加密密鑰（DataEncryptionKey）DF：專用文件（DedicatedFile）DMSD：委托管理權限安全域（SecurityDomainwithDelegatedManagementPrivilege）EF：基本文件（ElementaryFile）eID:公民網(wǎng)絡電子身份標識（electronicIDentity）FASD：最終應用權限安全域（SecurityDomainwithFinalApplicationPrivilege）FCI：文件控制信息（FileControlInformation）FID：文件標識符（FileIdentifier）GP：全球平臺（GlobalPlatform）HTTP：超文本傳輸協(xié)議（HyperTextTransferProtool）ISD：主安全域（IssuerSecurityDomain）INS：命令報文的指令字節(jié)（InstructionByteofCommandMessage）I2C：內(nèi)部集成電路（Inter－IntegratedCircuit）Lc：命令報文數(shù)據(jù)域的長度（LengthoftheCommandDataField）Le：響應報文數(shù)據(jù)域的最大期望長度（MaximumLengthExpectedoftheResponseDataField）MAC：報文鑒別碼（MessageAuthenticationCode）MCU：微控制單元（MicroControllerUnit）NFC：近場通信（NearFieldCommunication）OPEN：全球平臺環(huán)境（GlobalPlatformEnvironment）3JT/T1059.2—XXXXPAN：主賬號（PrimaryAccountNumber）PAMID：支付賬戶介質(zhì)識別碼（PaymentAccountMediaIdentifier）PDOL：處理選項數(shù)據(jù)對象列表（ProcessingOptionsDataObjectList）PPSE：近距離支付系統(tǒng)環(huán)境（ProximityPaymentSystemsEnvironment）P1：參數(shù)1（ParameterOne）P2：參數(shù)2（ParameterTwo）ROM：只讀存儲器（ReadOnlyMemory）SCP：安全通道協(xié)議（SecureChannelProtocol）SD：安全域（SecurityDomain）SE：安全單元（SecureElement）SFI：短文件標識符（ShortFileIdentifier）SM2：SM2橢圓曲線公鑰密碼算法（PublicKeyCryptographicAlgorithmSM2BasedonEllipticCurves）SPI：步串行外設接口（SerialPeripheralInterface）SSD：輔助安全域（SupplementarySecurityDomain）SWP：單線協(xié)議（SingleWireProtocol）SW1：狀態(tài)字1（StatusWordOne）SW2：狀態(tài)字2（StatusWordTwo）S-ENC：安全通道命令和響應加密密鑰（SecureChannelEncryptionKey）S-MAC：安全通道消息鑒別碼會話密鑰（SecureChannelMessageAuthenticationCodeKey）TC：交易證書（TransactionCertificate）TCSD：交通一卡通認證安全域（TransportCertificationSecurityDomain）TLV：表示標簽、長度以及值的組合（TagLengthValue）TSD：交通一卡通輔助安全域（TransportSecurityDomain）TSM：可信服務管理（TrustedServiceManagement）T-MTPS：交通一卡通公共服務（Transport-MobileTrustablePublicService）UART：通用異步收發(fā)器（UniversalAsynchronousReceiver/Transmitter）（U）SIM通用）用戶身份識別模塊Universal）SubscriberIdentityModule）5類型及其基本要求5.1基于SWP接口的（U）SIM卡5.1.1物理特性（U）SIM卡的物理特性應符合GB/T16649.1的規(guī)定。5.1.2接觸通道（U）SIM卡的接觸通道的接口電氣特性和傳輸協(xié)議應符合GB/T16649.3和GB/T16649.4的規(guī)定。5.1.3非接觸通道非接觸通道的電氣特性和傳輸協(xié)議應符合JT/T978.5的規(guī)定，并應保證SE與讀寫終端的兼容性。CLF和（U）SIM卡之間應采用SWP連接，SWP接口的電氣特性和鏈路層傳輸協(xié)議應符合ETSITS102613V8.0及以上版本的規(guī)定，其傳輸層協(xié)議應符合ETSITS102622V8.0及以上版本的規(guī)定。5.1.4SE邏輯結構基于SWP接口的（U）SIM卡的SE包括接觸通道和非接觸通道，接觸通道和非接觸通道應具有并發(fā)處理能力，且互不影響?；赟WP接口的（U）SIM卡SE邏輯結構應符合圖1的規(guī)定。4JT/T1059.2—XXXX圖1基于SWP接口的（U）SIM卡SE邏輯結構5.1.5硬件方案結構基于SWP接口（U）SIM卡移動票卡方案的核心硬件包括天線、CLF、（U）SIM等模塊，可以在移動票卡終端上實現(xiàn)非接觸IC卡卡片功能?；赟WP接口（U）SIM卡移動票卡硬件方案結構應符合圖2的規(guī)定。圖2基于SWP接口的（U）SIM卡硬件方案結構5.1.6供電要求當移動票卡終端處于開機狀態(tài)，或處于關機狀態(tài)但電池仍能通過電源管理系統(tǒng)正常提供電源能量時U）SIM卡可使用移動票卡終端的電池作為電源能量；當移動票卡終端的電池被取下時，或5JT/T1059.2—XXXX電池無法通過電源管理系統(tǒng)正常提供電源能量時U）SIM卡可選擇使用CLF芯片從受理終端的工作場中感應得到的電源能量。在（U）SIM卡獲得正常工作所需的電源能量時，應能正常運行交通一卡通移動票卡應用。5.2全終端5.2.1物理特性全終端通過內(nèi)置SE模塊模擬非接觸式IC卡，其物理特性、非接觸通道的電氣特性和傳輸協(xié)議應符合JT/T978.5的要求。5.2.2接觸通道CLF與內(nèi)置SE模塊之間的接口應提供主處理器和外部讀寫器設備訪問SE模塊的通路。移動票卡終端具備內(nèi)置SE模塊的情況下，CLF和SE模塊接口是內(nèi)部接口。5.2.3非接觸通道非接觸通道的電氣特性和傳輸協(xié)議應符合JT/T978.5的規(guī)定，并應保證SE與讀寫終端的兼容性。5.2.4SE邏輯結構全終端所用的SE包括接觸通道和非接觸通道，接觸通道和非接觸通道應具有并發(fā)處理能力，且互不影響。全終端SE邏輯結構應符合圖3的規(guī)定。圖3全終端SE邏輯結構5.2.5硬件方案結構全終端移動票卡的核心硬件方案結構應至少包含內(nèi)置SE模塊、CLF和天線等，應符合圖4的規(guī)定。6JT/T1059.2—XXXX圖4全終端硬件方案結構5.2.6供電要求當移動票卡終端處于開機狀態(tài)，或處于關機狀態(tài)但電池仍能通過電源管理系統(tǒng)正常提供電源能量時，內(nèi)置SE模塊可使用移動票卡終端的電池作為電源能量；當移動票卡終端的電池被取下時，或電池無法通過電源管理系統(tǒng)正常提供電源能量時，內(nèi)置SE模塊可選擇使用CLF芯片從受理終端的工作場中感應得到的電源能量。在內(nèi)置SE模塊獲得正常工作所需的電源能量時，應能正常運行交通一卡通移動票卡應用。5.3外置式SE5.3.1接觸通道MCU與SE接口是內(nèi)部接口，宜采用GB/T16649.3、SPI等其他內(nèi)部接口協(xié)議。MCU與SE之間的接口應提供主處理器訪問SE模塊的通路。5.3.2非接觸通道非接觸通道的電氣特性和傳輸協(xié)議應符合JT/T978.5的規(guī)定。5.3.3SE邏輯結構外置式SE模塊所用的SE包括接觸通道和非接觸通道，接觸通道和非接觸通道應具有并發(fā)處理能力，且互不影響。外置式SE邏輯結構應符合圖5的規(guī)定。7JT/T1059.2—XXXX圖5外置式SE邏輯結構5.3.4硬件方案結構外置式SE是通過藍牙等非接觸通訊方式與移動票卡終端相連，能模擬非接觸式IC卡，其非接觸通信功能應符合JT/T978.5的規(guī)定。外置式SE載體（包括可穿戴設備、異型卡等）的內(nèi)部安裝SE芯片和非接觸天線，與移動票卡終端連接后，可實現(xiàn)交通一卡通移動票卡應用下載、個人化、遠程支付、空中充值和余額查詢等功能。外置式SE載體硬件方案結構應符合圖6的規(guī)定。圖6外置式SE載體硬件方案結構5.3.5供電要求外置式SE可使用外置設備的電池作為電源能量。當外置設備的電池電量小于預設閾值時，應主動關機，預留部分電量供SE和非接觸天線部件使用。外置設備關機時，電池應能通過電源管理系統(tǒng)正常提供電量給SE，直至電量不能維持SE正常工作時，電源管理系統(tǒng)應切斷SE的供電。外置式SE也可選擇使用非接觸天線從受理終端的工作場中感應得到的電源能量。在安全芯片SE可獲得正常工作所需的電源能量時，應能正常運行交通一卡通移動票卡應用。5.4雙界面（U）SIM卡8JT/T1059.2—XXXX5.4.1物理特性雙界面（U）SIM卡的物理特性應符合GB/T16649.1的規(guī)定。5.4.2接觸通道雙界面（U）SIM卡的接觸通道的接口電氣特性和傳輸協(xié)議應符合GB/T16649.3和GB/T16649.4的規(guī)5.4.3非接觸通道非接觸通道的電氣特性和傳輸協(xié)議應符合JT/T978.5的規(guī)定。5.4.4SE邏輯結構雙界面（U）SIM卡SE包括接觸通道和非接觸通道，接觸通道和非接觸通道應具有并發(fā)處理能力，且互不影響。雙界面（U）SIM卡SE邏輯結構應符合圖7的規(guī)定。圖7雙界面（U）SIM卡SE邏輯結構5.4.5硬件方案結構基于雙界面（U）SIM卡實現(xiàn)近場支付功能的通訊受理終端的硬件方案結構應至少包含雙界面（U）SIM、天線等模塊，雙界面（U）SIM卡硬件方案結構應符合圖8的規(guī)定。圖8雙界面（U）SIM卡硬件方案結構9JT/T1059.2—XXXX5.4.6供電要求當移動票卡終端處于開機狀態(tài)，或處于關機狀態(tài)但電池仍能通過電源管理系統(tǒng)正常提供電源能量時，雙界面（U）SIM卡可使用移動票卡終端的電池作為電源能量；當移動票卡終端的電池被取下時，或電池無法通過電源管理系統(tǒng)正常提供電源能量時，雙界面（U）SIM卡可選擇使用其通過天線線圈從受理終端的工作場中感應得到的電源能量。在雙界面（U）SIM卡可獲得正常工作所需的電源能量的情況下，應能正常運行交通一卡通移動票卡應用。5.5基于云平臺的SE5.5.1物理特性基于云平臺的SE物理特性是利用遠程服務器來完成SE的應用功能。5.5.2非接觸通道基于云平臺SE的非接觸通道應符合HTTP協(xié)議的規(guī)定。5.5.3硬件方案結構基于云平臺的SE硬件方案結構應至少包含主處理器、NFC控制器等模塊，應符合圖9的規(guī)定。圖9基于云平臺的SE硬件方案結構5.5.4供電要求云平臺依賴服務器的運行，應采用不間斷電源供電。6多應用管理6.1一般要求6.1.1交通一卡通移動票卡應用中，SE作為移動票卡的安全載體，除應對交易關鍵數(shù)據(jù)進行安全存儲和運算，確保進行的敏感交易具有安全認證和不可抵賴性外，還應支持多應用動態(tài)管理，并保證其安全運行。移動票卡SE多應用管理應包括以下主要功能：a)支持應用動態(tài)下載：支持在SE發(fā)行后，SE發(fā)行者或服務提供者根據(jù)業(yè)務擴充的需求，在SE上動態(tài)加載新的應用供用戶使用；JT/T1059.2—XXXXb)支持多應用共存：通過將SE上不同的應用關聯(lián)至相應的安全域，確保不同應用間的獨立安全運行，互不影響；c)支持與應用相匹配的安全策略：通過為不同的安全域實現(xiàn)其對應的安全通道，確保不同應用采取與之匹配的安全策略與SE外部實體進行鑒權及安全會話。6.1.2SE應實現(xiàn)多應用的平臺管理功能。SE多應用平臺由安全域、全局服務應用、運行時環(huán)境、平臺環(huán)境等系列組件構成。SE多應用平臺應為SE上的應用和卡外TSM系統(tǒng)提供獨立于硬件和廠商的接口。6.2安全域6.2.1安全域應提供各類安全服務，包括密鑰管理、加密解密、針對其所有者（發(fā)卡機構、應用提供方、授權管理者）的應用進行數(shù)字簽名的生成與驗證等。當發(fā)卡機構、應用提供方、授權管理者等卡外實體要將用到的安全服務進行隔離時，應通過安全域實現(xiàn)。6.2.2根據(jù)授權機構不同，SE安全域可劃分為ISD和SSD兩種主要類型。ISD是SE上強制性存在的安全域，是SE管理者（通常是發(fā)行方）在SE內(nèi)的代表；SSD是SE上可選擇存在的輔助安全域，是應用提供方或發(fā)行方以及它們的代理方在SE內(nèi)的代表。6.3全局服務應用SE上可存在一個或多個全局服務應用，負責向其他應用提供者（如SE持有者）提供驗證方法等的服6.4運行時環(huán)境SE多應用平臺運行在一個安全的多應用運行時環(huán)境之上。運行時環(huán)境負責向所有應用提供硬件中立API，確保各個應用的代碼和數(shù)據(jù)能相互區(qū)隔及安全存儲，負責執(zhí)行空間分配機制，并提供服務，用以完成SE和SE外部實體之間的通信。6.5平臺環(huán)境SE平臺環(huán)境的主要功能包括向應用提供API、命令轉發(fā)、應用選擇、邏輯通道管理及SE內(nèi)容管理。SE平臺環(huán)境應擁有一個內(nèi)部的全局平臺注冊表，用作信息資源進行SE的內(nèi)容管理。全局平臺注冊表包含管理SE、可執(zhí)行裝載文件、應用、安全域關聯(lián)及權限所需信息。6.6平臺APISE可通過平臺API向應用提供各種服務（如持卡方驗證服務、個人化服務和安全服務等），也可通過平臺API提供SE內(nèi)容管理服務（如SE鎖定或應用生命周期狀態(tài)更新服務等）。6.7SE應用管理6.7.1SE負責管理其內(nèi)部的安全域和各類應用，各類應用在通過平臺指令下載至SE上后，應以可執(zhí)行裝載文件的形式定義并存在。可執(zhí)行裝載文件保存在下列位置中。a)SE內(nèi)不可改變的存儲區(qū)（ROM）中，在這種情況下，可執(zhí)行裝載文件在SE生產(chǎn)過程中就被裝載到SE中，且不可被改變（可以被禁止）。b)SE內(nèi)可變存儲區(qū)中，在這種情況下，可執(zhí)行裝載文件可以在發(fā)行前階段或發(fā)行后階段被裝載或刪除。6.7.2已下載并保存至SE的每一個可執(zhí)行裝載文件可包含一個或多個可執(zhí)行模塊，即應用代碼。應用的安裝過程為：從一個可執(zhí)行模塊里創(chuàng)建一個應用實例，并連同該應用相關的數(shù)據(jù)一起放入SE的可變存儲區(qū)中，同時此應用生命周期狀態(tài)轉化為已安裝狀態(tài)。此后此應用的生命周期狀態(tài)轉換可參見6.8.3中應用生命周期管理。6.7.3任何應用的實例及其相關的數(shù)據(jù)都可以被移除。一個SE應支持多個可執(zhí)行裝載文件、多個可執(zhí)行模塊及多個應用同時存在。6.8生命周期模型6.8.1SE生命周期管理JT/T1059.2—XXXXSE生命周期包含平臺就緒、初始化、安全狀態(tài)、SE鎖定和SE終止五個狀態(tài)，圖10中各狀態(tài)符合下列要求。a)平臺就緒：SE處于OP_READY狀態(tài)時，發(fā)行方安全域應用選擇就緒；命令處理模塊應做好接收、處理、響應APDU指令的準備。b)初始化：SE從生產(chǎn)機構切換至發(fā)行機構正式發(fā)行的中間產(chǎn)品管理狀態(tài)，從平臺就緒狀態(tài)到初始化狀態(tài)的切換應為不可逆操作。初始化狀態(tài)應使某些初始化信息（如發(fā)行方安全域的密鑰及數(shù)據(jù)）已經(jīng)駐留至SE。c)安全狀態(tài)：標示SE生命周期處于正式發(fā)行后，產(chǎn)品已經(jīng)發(fā)行到最終用戶并正式啟動、使用已裝載業(yè)務。安全狀態(tài)下，SE安全域和應用可完全貫徹各自的安全策略。從初始化狀態(tài)到安全狀態(tài)的切換應為不可逆操作。d)SE鎖定：SE鎖定狀態(tài)下，應禁止對載體上的安全域和應用進行選擇。從安全狀態(tài)到SE鎖定狀態(tài)的切換應為可逆操作。e)SE終止：標示SE生命周期完結。SE終止狀態(tài)應永久性禁止載體的任何功能以及任何內(nèi)容管理和生命周期的改變。從任何其他狀態(tài)都可直接切換到SE終止狀態(tài)，且狀態(tài)切換應均為不可逆操作。注：此圖中實線箭頭表示SE安全域策略，虛線箭頭表示SE應用策略。圖10SE生命周期狀態(tài)6.8.2可執(zhí)行裝載文件和可執(zhí)行模塊生命周期管理可執(zhí)行裝載文件生命周期應只有一個狀態(tài)。所有存放在SE內(nèi)的可執(zhí)行裝載文件應處于LOADED狀態(tài)。可執(zhí)行模塊生命周期應與可執(zhí)行裝載文件的生命周期相匹配。JT/T1059.2—XXXX6.8.3安全域和應用生命周期管理安全域生命周期包含已安裝、可選擇、已個人化及已鎖定四個狀態(tài)，圖11中各狀態(tài)符合以下要求。a)已安裝狀態(tài)：標示安全域已完成注冊表條目注冊。該狀態(tài)下，安全域服務不應被應用使用，安全域不可選定，不應與可執(zhí)行裝載文件或應用關聯(lián)。b)可選擇狀態(tài)：標示安全域可被選擇，可接收相關個人化指令。該狀態(tài)下未裝載應用密鑰，不應和可執(zhí)行裝載文件或應用進行關聯(lián)。從已安裝狀態(tài)到可選擇狀態(tài)的切換應為不可逆操作。c)已個人化狀態(tài)：標示安全域已完成運行所需個人化數(shù)據(jù)與密鑰數(shù)據(jù)的裝載。該狀態(tài)下，安全域與應用已建立關聯(lián)。從可選狀態(tài)到已個人化狀態(tài)的切換應為不可逆操作。d)已鎖定狀態(tài)：OPEN或經(jīng)過發(fā)行者安全域認證后的卡外實體應能將安全域的生命周期狀態(tài)設置為已鎖定狀態(tài)，并能阻止該安全域進一步被選擇。處于鎖定狀態(tài)的安全域應被禁止用于委托管理操作。應僅發(fā)行方可對安全域鎖定狀態(tài)進行解鎖。OPEN保證該安全域生命周期在解鎖后恢復至鎖定前狀態(tài)。標引序號說明：1——具有驗證管理功能的安全域；2——具有托管功能的安全域；3——關聯(lián)安全域；4——具有鎖定功能的安全域或應用；5——安全域本身。圖11安全域生命周期狀態(tài)SE應用生命周期包含已安裝、可選擇、已鎖定及應用自定義四個狀態(tài)，圖12中各狀態(tài)應符合下列規(guī)定。a)已安裝狀態(tài)：標示應用已完成SE注冊表條目注冊。該狀態(tài)下，該應用應為不可選。JT/T1059.2—XXXXb)可選擇狀態(tài)：標示應用可被成功選擇，可接收相關指令。從已安裝狀態(tài)到可選擇狀態(tài)的切換應為不可逆操作。c)已鎖定狀態(tài)：標示OPEN或經(jīng)過發(fā)行者安全域認證后的SE外實體應將應用的生命周期狀態(tài)設置為已鎖定狀態(tài)，以阻止該應用被成功選擇或執(zhí)行。應僅發(fā)行方可對應用鎖定狀態(tài)進行解鎖。OPEN確保該應用生命周期在解鎖后應恢復至鎖定前狀態(tài)。d)應用自定義狀態(tài)：可為應用本身自定義狀態(tài)。標引序號說明：1——具有驗證管理功能的安全域；2——具有托管功能的安全域；3——關聯(lián)安全域；4——具有鎖定功能的安全域或應用；5——安全域本身。圖12SE應用生命周期狀態(tài)7多應用架構7.1一般要求SE多應用架構包括多應用架構A和多應用架構B兩種形式，每種應用架構由一系列的SE多應用組件構成。移動票卡SE多應用組件應符合圖13的規(guī)定，組件應滿足以下要求：a)PAMID應是SE的唯一身份標識符，滿足第8章的要求；JT/T1059.2—XXXXb)交通安全域組件用于支持移動票卡的一系列特定安全域，以實現(xiàn)移動票卡的SE安全可信和開放共享服務；c)PPSE用于管理非接觸應用列表；d)交通一卡通移動票卡應用是在SE上安全地提供支付功能的系列應用。圖13移動票卡SE多應用組件7.2SE多應用架構A7.2.1一般要求SE多應用架構A包括ISD、TSD、應用提供方SSD、交通一卡通支付應用和身份認證應用，應符合圖14的規(guī)定。圖14SE多應用架構A在架構A中，ISD由SE發(fā)行方持有，提供TSD的生命周期管理和應用管理授權，TSD采用委托管理模式。交通一卡通移動票卡應用關聯(lián)到應用提供方SSD或TSD，并由ISD管理授權。應用提供方不具備交通一卡通移動票卡應用的個人化能力時，可委托T-MTPS平臺進行應用個人化操作。如圖14所示，將交通一卡通移動票卡應用A安裝在TSD下，由T-MTPS平臺負責完成應用個人化。應用提供方具備交通一卡通移動票卡應用個人化能力時，由應用提供方自行完成應用個人化操作。如圖14所示，交通一卡通支付應用A下載、安裝到TSD后，被遷移到應用提供方SSD下，由應用提供方負責應用個人化。7.2.2輔助安全域安全要求JT/T1059.2—XXXXTSD及TSD下輔助安全域負責存儲其所有方的通訊密鑰和DAP驗證密鑰（DAP驗證密鑰為可選）。交通一卡通移動票卡應用個人化時，應可借助其關聯(lián)安全域的安全通訊功能，保護個人化數(shù)據(jù)的安全性。安全域在創(chuàng)建時，其安全通道協(xié)議要求應設置為SCP02并采用i=15或i=55實現(xiàn)方式，并至少注入一組初始密鑰。SCP02每組密鑰應包含S-ENC、S-MAC和DEK三種密鑰，應符合表1的規(guī)定。表1SCP02密鑰信息是是是7.2.3輔助安全域權限要求TSD應至少具備的權限應符合表2的規(guī)定。表2TSD權限12委托管理權限（DelegatedMana3應用提供方SSD應至少具備的權限應符合表3的規(guī)定。表3應用提供方SSD權限127.2.4輔助安全域功能要求輔助安全域應具備應用遷移、應用個人化和應用服務的能力。在安裝輔助安全域時，安裝標簽C9支持的參數(shù)應符合表4的規(guī)定，其中82和87標簽編碼規(guī)則應符合表5的規(guī)定。表4安裝標簽C9支持的參數(shù)長度（hex）如果未出現(xiàn)該項標簽，則在個人化結束后默認設置為個人簽，則在個人化結束后通過setstatus表582和87標簽編碼規(guī)則00000---SSD不接受遷入、遷出。如果安裝參數(shù)不帶82、87標10-0----SSD接受從上一級具有授權管理權限的SSD遷入、遷出11-0----SSD接受從同一層次體系的任何具有授權管理權限的--10--------1---1111---- xxx7.3SE多應用架構BJT/T1059.2—XXXX7.3.1一般要求SE多應用架構B包括ISD、TSD、TCSD、應用提供方SSD和交通一卡通移動票卡應用，應符合圖15SE多應用架構BTCSD主要功能是進行SE及其持有人實名身份的驗證和獲取，應滿足以下要求：a)是T-MTPS平臺在SE內(nèi)的代表，由T-MTPS平臺持有；b)具備安全域權限；c)提供SCP02安全通道；d)存儲的數(shù)據(jù)包括SE持有人的私鑰和公鑰證書、交通一卡通移動票卡平臺公鑰證書及其他私有數(shù)據(jù)。除SE持有人私鑰以外的數(shù)據(jù)可以通過GETDATA命令獲得。7.3.2輔助安全域安全要求SE多應用架構B的輔助安全域安全要求應符合7.2.2的規(guī)定。7.3.3輔助安全域權限要求TSD和TCSD的權限TSD和TCSD支持的權限應至少包括表6中的內(nèi)容。表6TSD和TCSD支持的權限12授權管理權限（AuthorizedMan3應用提供方SSD的權限應用提供方SSD具備的權限應符合7.2.3中的表3規(guī)定。7.3.4輔助安全域功能要求SE多應用架構B的輔助安全域功能要求應符合7.2.4的規(guī)定。8PAMID8.1PAMID應在TSD創(chuàng)建過程中作為其屬性寫入SE中，且PAMID應一次寫入，之后只能讀取不能更改。JT/T1059.2—XXXX8.2存儲PAMID的標識符（Tag）設置為0x74，用STOREDATA指令寫入，用GETDATA指令讀取。8.3PAMID應由T-MTPS統(tǒng)一管理，其編碼格式應符合表7的規(guī)定。表7PAMID編碼格式注：介質(zhì)類型參數(shù)00-SWP（U）SIM卡、01-全終端、02-雙界面（U）SIM卡、03-外置設備9交通一卡通身份認證應用9.1交通一卡通身份認證應用應能提供SE及其持有人實名身份的驗證和獲取服務，應用內(nèi)容包括存儲經(jīng)加密的卡片持有人實名身份信息（或信息的索引）。無特殊權限，應安裝在TSD或SSD下，通過TSD或SSD的安全服務進行個人化，提供私有指令方式驗證（或獲?。┛ㄆ钟腥藢嵜矸菪畔⒒蛩接袛?shù)據(jù)的服務。9.2身份認證應用包括人臉識別和身份信息的識別。其中人臉識別應符合附錄A的規(guī)定。身份信息的識別可以將身份信息存儲在eID文件中。10安全單元基本命令SE基本命令應符合表8的規(guī)定。表8SE基本命令□□■□□■□□■■■■■□□■□□■□□■■■■■√√■√√■√√■■■■■□□□□□□□□□■■■■√√√√√√√√√√■√■√□□√□□√□□√■■■□□■□□■□□■■■■■□□■□□■□□■■■■■□□■□□■□□■■■■■√√■√√■√√■■■■■□□■□□■□□■■■■■□□■□□■□□■■■■■□□■□□■□□■■■■■□□□□□□□□□■■■■□□■□□■□□■■■■■√□□√□□√■■■■√√√√√√√√√√■■■√□□√□□√√■■■JT/T1059.2—XXXX表8SE基本命令（續(xù)）√□□√□□√□□■■■■11密鑰要求11.1密鑰種類11.1.1令牌和收條密鑰若SE支持委托管理，則應具有令牌驗證權限和生成收條權限的安全域，該安全域應當具有表9所示的密鑰，并滿足表9的規(guī)定。表中RSA密鑰的長度應大于等于上述最短長度，且是32位的倍數(shù)。表9令牌和收條密鑰），），11.1.2DAP驗證密鑰若安全域支持DAP驗證，則安全域應當有一個RSA公鑰或一個DES密鑰來驗證加載文件數(shù)據(jù)塊簽名，并應滿足表10的規(guī)定。表中RSA密鑰的長度應大于等于上述最短長度，且是32位的倍數(shù)。表10DAP驗證密鑰11.2密鑰算法交通一卡通移動票卡業(yè)務使用的密鑰算法應符合JT/T978.6的規(guī)定。12安全通信SE安全通信采用SCP02安全通道協(xié)議，在SECURED狀態(tài)后，所需的APDU命令的最低安全級別要求應符合表11的規(guī)定。表11所需的APDU命令的最低安全級別要求無13應用個人化服務13.1一般要求13.1.1應用安裝后，應加載其個人化數(shù)據(jù)，包括密鑰、發(fā)卡機構應用數(shù)據(jù)和持卡人數(shù)據(jù)。該應用通過JT/T1059.2—XXXX安全通信及相關安全域提供的密鑰解密服務來管理個人化數(shù)據(jù)的安全下載。13.1.2SE應支持以下兩種方式實現(xiàn)個人化服務：a)使用運行時消息流；b)使用安全域訪問。13.2運行時的消息流安全域可以為其直接關聯(lián)的應用提供運行時支持。應用可以通過關聯(lián)的安全域服務實現(xiàn)安全通道的建立和數(shù)據(jù)的安全傳遞，以實現(xiàn)應用的個人化。運行時消息流實現(xiàn)應用個人化流程應符合圖16的規(guī)定。圖16運行時消息流實現(xiàn)應用個人化流程13.3安全域訪問安全域應有能力接收一個STOREDATA指令并發(fā)送給與其相關聯(lián)的應用。安全域將指令轉發(fā)給應用之前，應能根據(jù)安全通道的級別對指令進行驗證并解包。解包后的指令結構應保持跟封包之前的格式一致安全域訪問實現(xiàn)應用個人化流程應符合圖17的規(guī)定。JT/T1059.2—XXXX圖17安全域訪問實現(xiàn)應用個人化流程14SE應用選擇服務SE應用選擇服務應包括以下兩種：a)受理環(huán)境選擇交通一卡通移動票卡應用，非接觸途徑要求僅提供PPSE選擇，符合JT/T978.2中相關PPSE選擇流程的要求，通過FCI模板返回應用AID列表；b)移動票卡終端上的應用管理客戶端直接使用SELECTAID方式，選擇交通一卡通移動票卡應用。15交通一卡通移動票卡應用15.1電子錢包15.1.1文件結構電子錢包的文件結構應符合圖18的規(guī)定。JT/T1059.2—XXXX圖18電子錢包的文件結構二進制文件公共應用信息文件、持卡人基本信息文件、管理信息文件、交易明細文件、eID標識文件、照片密文信息文件，應符合JT/T978.2—2023中B.2.2的規(guī)定。公共應用信息文件中的“應用啟用標識”在卡片側不做判斷，由終端側進行判斷。記錄文件.1公共交通過程信息變長記錄文件公共交通過程變長記錄文件應符合JT/T978.2—2023中B.2.4的規(guī)定，每個記錄文件中的“應用鎖定標志”在卡片側不做判斷，由終端側進行判斷。.2公共交通過程信息循環(huán)記錄文件公共交通過程信息循環(huán)記錄文件應符合JT/T978.2—2023中B.2.5的規(guī)定。照片信息文件照片信息文件（SFI=0X1B）應符合附錄A的規(guī)定。余額說明.1第一票種余額卡片應具備電子錢包脫機實際余額計數(shù)器1和電子錢包脫機已透支金額計數(shù)器2，計數(shù)器上限為3個字節(jié)FF。第一票種余額由9F51識別，包括：可用余額、透支限額、已透支金額、實際余額、實際余額上限。.2第二票種余額JT/T1059.2—XXXX卡片應具備電子錢包脫機實際余額計數(shù)器3和電子錢包脫機已透支金額計數(shù)器4，計數(shù)器上限為3個字節(jié)FF。第二票種余額由DF71識別，包括：可用余額、透支限額、已透支金額、實際余額、實際余額上限。15.1.2指令選擇PPSE命令選擇PPSE（SELECTPPSE）命令應符合JT/T978.2—2023中C.1.1的規(guī)定。選擇ADF命令.1概述選擇ADF（SELECTADF）命令屬于ISO/IEC7816-4規(guī)定的指令模式4，通過選擇AID來選擇卡片中ADF。成功執(zhí)行該命令設定ADF的路徑。從卡片返回的響應報文包含回送FCI。.2命令報文編碼SELECTADF命令報文編碼應符合表12的規(guī)定。表12SELECTADF命令報文編碼.3命令報文數(shù)據(jù)域命令報文數(shù)據(jù)域應包括DF名、AID。.4響應報文數(shù)據(jù)域SELECTADF命令響應報文數(shù)據(jù)應符合表13的規(guī)定，發(fā)卡機構自定義數(shù)據(jù)應符合表14的規(guī)定。表13SELECTADF命令響應報文數(shù)據(jù)MMFCI數(shù)據(jù)專用模板MMMOOMMMJT/T1059.2—XXXX表13SELECTADF響應報文數(shù)據(jù)（續(xù)）注2：9F08的值為02；9F08為可選項，如果無此Tag，則應注4：DF00用于指示當前卡片支持的算法為一字節(jié)（00：國際算法，01：國密算法注5：DF0A為兩字節(jié)，第一字節(jié)bit0為1時表示支持eID標識，其他b表14發(fā)卡機構自定義數(shù)據(jù)81144發(fā)卡機構自定義FCI數(shù)據(jù).5響應報文狀態(tài)字SELECTADF命令響應報文狀態(tài)字應符合表15的規(guī)定。表15SELECTADF命令響應報文狀態(tài)字國際/國密算法操作命令應符合JT/T978.2—2023的C.3.22的規(guī)定。應用鎖定命令.1概述應用鎖定（APPLICATIONBLOCK）命令屬于ISO/IEC7816-4規(guī)定的指令模式3，使當前選擇的應用失效，該指令只能在特殊終端上使用。當APPLICATIONBLOCK命令成功完成應用臨時鎖定后，用SELECT命令選擇已臨時鎖定的應用（電子錢包、電子現(xiàn)金應用），將回送狀態(tài)字“選擇文件無效”（SW1SW2=6283），同時回送FCI。當APPLICATIONBLOCK命令成功完成應用永久鎖定后，電子錢包、電子現(xiàn)金應用執(zhí)行所有命令，卡片將回送狀態(tài)字“應用永久鎖定”（SW1SW2=9303）。對其他命令的影響根據(jù)不同應用而定。.2命令報文編碼APPLICATIONBLOCK命令報文編碼應符合表16的規(guī)定。表16APPLICATIONBLOCK命令報文編碼JT/T1059.2—XXXX表16APPLICATIONBLOCK命令報文編碼（續(xù)）注1：P2-00，此命令執(zhí)行成功后可鎖定應用，但該應用可用APPLICATION.3命令報文數(shù)據(jù)域MAC數(shù)據(jù)元是根據(jù)JT/T978.6，由應用鎖定密鑰計算。.4響應報文數(shù)據(jù)域響應報文數(shù)據(jù)域不存在。.5響應報文狀態(tài)字此命令執(zhí)行成功的狀態(tài)字是9000；如果卡片為表17中的狀態(tài)，則應按表17的規(guī)定返回相應的狀態(tài)字。表17APPLICATIONBLOCK命令響應報文狀態(tài)字應用解鎖命令.1概述應用解鎖（APPLICATIONUNBLOCK）命令屬于ISO/IEC7816-4規(guī)定的指令模式3，用于恢復卡片應用，該指令只能在解鎖終端上使用。當APPLICATIONUNBLOCK命令成功完成后，自動取消由APPLICATIONBLOCK命令產(chǎn)生的對卡片命令響應的限制，并將消費、圈存、圈提、復合消費和修改透支限額命令中的MAC錯誤計數(shù)器清零。.2命令報文編碼APPLICATIONUNBLOCK命令報文編碼應符合表18的規(guī)定。表18APPLICATIONUNBLOCK命令報文編碼JT/T1059.2—XXXX.3命令報文數(shù)據(jù)域MAC數(shù)據(jù)元由應用解鎖密鑰計算。.4響應報文數(shù)據(jù)域響應報文數(shù)據(jù)域不存在。.5響應報文狀態(tài)字當應用被臨時鎖定時，此命令執(zhí)行成功的狀態(tài)字是9000。當應用未被臨時鎖定，此命令執(zhí)行返回的狀態(tài)字是使用條件不滿足（SW1SW2=6985）。如果卡片為表19中的狀態(tài)，則應按表19的規(guī)定返回相應的狀態(tài)字。表19APPLICATIONUNBLOCK響應報文狀態(tài)字外部認證命令應符合JT/T978.2—2023的C.3.3的規(guī)定。取隨機數(shù)命令應符合JT/T978.2—2023的C.3.4的規(guī)定。讀二進制文件命令應符合JT/T978.2—2023的C.3.6的規(guī)定，如果卡片為表20中的狀態(tài)，則應按表20的規(guī)定返回相應的狀態(tài)字。表20READBINARY響應報文狀態(tài)字不滿足命令執(zhí)行的條件（非當前EF）參數(shù)錯誤（偏移地址超出了EF）更新二進制文件命令應符合JT/T978.2-2023的C.3.7的規(guī)定。0初始化圈存命令0.1概述JT/T1059.2—XXXX初始化圈存（INITIALIZEFORLOAD）命令屬于ISO/IEC7816-4規(guī)定的指令模式4，用于初始化圈存交易。0.2命令報文編碼INITIALIZEFORLOAD命令報文編碼應符合表21的規(guī)定。表21INITIALIZEFORLOAD命令報文編碼0.3命令報文數(shù)據(jù)域INITIALIZEFORLOAD命令報文數(shù)據(jù)域應符合表22的規(guī)定。表22INITIALIZEFORLOAD命令報文數(shù)據(jù)域1460.4響應報文數(shù)據(jù)域此命令執(zhí)行成功的響應報文數(shù)據(jù)域應符合表23的規(guī)定；如果命令執(zhí)行不成功，則只在響應報文中回送SW1和SW2。表23INITIALIZEFORLOAD響應報文數(shù)據(jù)域4211440.5響應報文狀態(tài)字此命令執(zhí)行成功的狀態(tài)字是9000；如果卡片為表24中的狀態(tài)，則應按表24的規(guī)定返回相應的狀態(tài)字。表24INITIALIZEFORLOAD響應報文狀態(tài)字1圈存命令JT/T1059.2—XXXX1.1概述圈存（CREDITFORLOAD）命令屬于ISO/IEC7816-4規(guī)定的指令模式4，用于圈存交易。1.2命令報文編碼CREDITFORLOAD命令報文編碼應符合表25的規(guī)定。表25CREDITFORLOAD命令報文編碼1.3命令報文數(shù)據(jù)域CREDITFORLOAD命令報文數(shù)據(jù)域應符合表26的規(guī)定。表26CREDITFORLOAD命令報文數(shù)據(jù)域4341.4響應報文數(shù)據(jù)域CREDITFORLOAD響應報文數(shù)據(jù)域應符合表27的規(guī)定；如果命令執(zhí)行不成功，則只在響應報文中回送SW1和SW2。表27CREDITFORLOAD響應報文數(shù)據(jù)域41.5響應報文狀態(tài)字此命令執(zhí)行成功的狀態(tài)字是9000；如果卡片為表28中的狀態(tài)，則應按表28的規(guī)定返回相應的狀態(tài)字。表28CREDITFORLOAD響應報文狀態(tài)字2初始化消費命令2.1概述初始化消費（INITIALIZEFORPURCHASE）命令屬于ISO/IEC7816-4規(guī)定的指令模式4，用于初始化消費交易。2.2命令報文編碼JT/T1059.2—XXXXINITIALIZEFORPURCHASE命令報文編碼見表29。表29INITIALIZEFORPURCHASE命令報文編碼2.3命令報文數(shù)據(jù)域INITIALIZEFORPURCHASE命令報文數(shù)據(jù)域應符合表30的規(guī)定。表30INITIALIZEFORPURCHASE命令報文數(shù)據(jù)域1462.4響應報文數(shù)據(jù)域此命令執(zhí)行成功的響應報文數(shù)據(jù)域應符合表31的規(guī)定；如果命令執(zhí)行不成功，則只在響應報文中回送SW1和SW2。表31INITIALIZEFORPURCHASE響應報文數(shù)據(jù)域4231142.5響應報文狀態(tài)字此命令執(zhí)行成功的狀態(tài)字是9000；如果卡片為表32中的狀態(tài)，則應按表32的規(guī)定返回相應的狀態(tài)字。表32INITIALIZEFORPURCHASE響應報文狀態(tài)字3消費命令3.1概述消費（DEBITFORPURCHASE）命令屬于ISO/IEC7816-4規(guī)定的指令模式4，用于消費交易。3.2命令報文編碼JT/T1059.2—XXXXDEBITFORPURCHASE命令報文編碼應符合表33的規(guī)定；執(zhí)行INITIALIZEFORPURCHASE后即選擇消費交易。表33DEBITFORPURCHASE命令報文編碼3.3命令報文數(shù)據(jù)域DEBITFORPURCHASE命令報文數(shù)據(jù)域應符合表34的規(guī)定。表34DEBITFORPURCHASE命令報文數(shù)據(jù)域44343.4響應報文數(shù)據(jù)域此命令執(zhí)行成功的響應報文數(shù)據(jù)域應符合表35的規(guī)定；如果命令執(zhí)行不成功，則只在響應報文中回送SW1和SW2。表35DEBITFORPURCHASE響應報文數(shù)據(jù)域443.5響應報文狀態(tài)字此命令執(zhí)行成功的狀態(tài)字是9000；如果卡片為表36中的狀態(tài)，則應按表36的規(guī)定返回相應的狀態(tài)字。表36DEBITFORPURCHASE響應報文狀態(tài)字4初始化圈提命令4.1概述初始化圈提（INITIALIZEFORUNLOAD）命令屬于ISO/IEC7816-4規(guī)定指令模式4，用于初始化圈提交易。4.22命令報文編碼INITIALIZEFORUNLOAD命令報文編碼應符合表37的規(guī)定。JT/T1059.2—XXXX表37INITIALIZEFORUNLOAD命令報文編碼4.3命令報文數(shù)據(jù)域INITIALIZEFORUNLOAD命令報文數(shù)據(jù)域應符合表38的規(guī)定。表38INITIALIZEFORUNLOAD命令報文數(shù)據(jù)域1464.4響應報文數(shù)據(jù)域此命令執(zhí)行成功的響應報文數(shù)據(jù)域應符合表39的規(guī)定；如果命令執(zhí)行不成功，則只在響應報文中回送SW1和SW2。表39INITIALIZEFORUNLOAD響應報文數(shù)據(jù)域4211444.5響應報文狀態(tài)字此命令執(zhí)行成功的狀態(tài)字是9000；如果卡片為表40中的狀態(tài)，則應按表40的規(guī)定返回相應的狀態(tài)字。表40INITIALIZEFORUNLOAD響應報文狀態(tài)字5圈提命令5.11概述圈提（DEBITFORUNLOAD）命令屬于ISO/IEC7816-4規(guī)定的指令模式4，用于圈提交易。該指令只能在支持圈提業(yè)務的終端上使用。5.2命令報文編碼DEBITFORUNLOAD命令報文編碼應符合表41的規(guī)定。JT/T1059.2—XXXX表41DEBITFORUNLOAD命令報文編碼5.3命令報文數(shù)據(jù)域DEBITFORPURCHASE命令報文數(shù)據(jù)域應符合表42的規(guī)定。表42DEBITFORUNLOAD命令報文數(shù)據(jù)域4345.4響應報文數(shù)據(jù)域此命令執(zhí)行成功的響應報文數(shù)據(jù)域應符合表43的規(guī)定；如果命令執(zhí)行不成功，則只在響應報文中回送SW1和SW2。表43DEBITFORUNLOAD響應報文數(shù)據(jù)域5.5響應報文狀態(tài)字此命令執(zhí)行成功的狀態(tài)字是9000；如果卡片為表44中的狀態(tài)，則應按表44的規(guī)定返回相應的狀態(tài)字。表44DEBITFORUNLOAD錯誤狀態(tài)字6查詢余額命令6.1概述查詢余額（GETBALANCE）命令屬于ISO/IEC7816-4規(guī)定的指令模式2，用于讀取電子錢包第1票種或第2票種脫機余額，實現(xiàn)查詢余額交易。6.2命令報文編碼GETBALANCE命令報文編碼應符合表45的規(guī)定。表45GETBALANCE命令報文編碼JT/T1059.2—XXXX表45GETBALANCE命令報文編碼（續(xù)）6.3響應報文數(shù)據(jù)域6.3.1響應報文的數(shù)據(jù)域應符合下列規(guī)定：a)如果P1=00/06，則響應報文數(shù)據(jù)域為4字節(jié)（第一票種/第二票種）電子錢包可用余額（實際余額+透支限額-已透支金額）；b)如果P1=01/07，則響應報文數(shù)據(jù)域為4字節(jié)（第一票種/第二票種）透支限額；c)如果P1=02/08，則響應報文數(shù)據(jù)域為4字節(jié)（第一票種/第二票種）已透支金額；d)如果P1=03/09，則響應報文數(shù)據(jù)域為4字節(jié)（第一票種/第二票種）電子錢包實際余額；e)如果P1=04/0A，則響應報文數(shù)據(jù)域為4字節(jié)（第一票種/第二票種）實際余額上限；f)如果P1=05/0B，則響應報文數(shù)據(jù)域為4字節(jié)（第一票種/第二票種）電子錢包實際余額加4字節(jié)（第一票種/第二票種）實際余額上限加4字節(jié)（第一票種/第二票種）已透支金額加4字節(jié)（第一票種/第二票種）透支限額，總共16字節(jié)。6.3.2命令執(zhí)行成功的響應報文數(shù)據(jù)域應符合表46的規(guī)定。如果命令執(zhí)行不成功，則只在響應報文中回送SW1和SW2。表46GETBALANCE響應報文數(shù)據(jù)域6.4響應報文狀態(tài)字此命令執(zhí)行成功的狀態(tài)字是9000；如果卡片為表47中的狀態(tài)，則應按表47的規(guī)定返回相應的狀態(tài)字。表47GETBALANCE錯誤狀態(tài)字7取交易認證命令7.1概述取交易認證（GETTRANSACTIONPROVE）命令屬于ISO/IEC7816-4規(guī)定的指令模式4，提供了一種在交易處理過程中卡片離場并重新進場的恢復機制。7.2命令報文編碼GETTRANSACTIONPROVE命令報文編碼應符合表48的規(guī)定。JT/T1059.2—XXXX表48GETTRANSACTIONPROVE命令報文編碼7.3命令報文數(shù)據(jù)域GETTRANSACTIONPROVE命令報文數(shù)據(jù)域應符合表49的規(guī)定。如果命令中指定的交易類型標識和聯(lián)機或者脫機交易序號對應的MAC或TAC可用，則響應報文數(shù)據(jù)域應符合表50的規(guī)定。表49GETTRANSACTIONPROVE命令報文數(shù)據(jù)域2表50GETTRANSACTIONPROVE響應報文數(shù)據(jù)域447.4響應報文狀態(tài)字此命令執(zhí)行成功的狀態(tài)字是9000；如果卡片為表51中的狀態(tài)，則應按表51的規(guī)定返回相應的狀態(tài)字。表51GETTRANSACTIONPROVE錯誤狀態(tài)字8初始化修改命令8.1概述初始化修改（INITIALIZEFORUPDATE）命令屬于ISO/IEC7816-4規(guī)定的指令模式4，用于初始化修改透支限額交易。8.2命令報文編碼INITIALIZEFORUPDATE命令報文編碼應符合表52的規(guī)定。JT/T1059.2—XXXX表52INITIALIZEFORUPDATE命令報文編碼8.3命令報文數(shù)據(jù)域INITIALIZEFORUPDATE命令報文數(shù)據(jù)域應符合表53的規(guī)定。表53INITIALIZEFORUPDATE命令報文數(shù)據(jù)域168.4響應報文數(shù)據(jù)域命令執(zhí)行成功的響應報文數(shù)據(jù)域應符合表54的規(guī)定，如果命令執(zhí)行不成功，則只在響應報文中回送SW1和SW2。表54INITIALIZEFORUPDATE響應報文數(shù)據(jù)域42311448.5響應報文狀態(tài)字此命令執(zhí)行成功的狀態(tài)字是9000；如果卡片為表55中的狀態(tài)，則應按表55的規(guī)定返回相應的狀態(tài)字。表55INITIALIZEFORUPDATE錯誤狀態(tài)字9修改透支限額命令9.1概述修改透支限額（UPDATEOVERDRAWLIMIT）命令屬于ISO/IEC7816-4規(guī)定的指令模式4，用于修改透支限額交易。9.2命令報文編碼UPDATEOVERDRAWLIMIT命令報文編碼應符合表56的規(guī)定。JT/T1059.2—XXXX表56UPDATEOVERDRAWLIMIT命令報文編碼9.3命令報文數(shù)據(jù)域命令報文數(shù)據(jù)域應符合表57的規(guī)定。表57UPDATEOVERDRAWLIMIT命令報文數(shù)據(jù)域34349.4響應報文數(shù)據(jù)域如果命令執(zhí)行成功，應符合表58的規(guī)定；如果命令執(zhí)行不成功，則只在響應報文中回送SW1和SW2。表58UPDATEOVERDRAWLIMIT響應報文數(shù)據(jù)域49.5響應報文狀態(tài)字此命令執(zhí)行成功的狀態(tài)字是9000；如果卡片為表59中的狀態(tài)，則應按表59的規(guī)定返回相應的狀態(tài)字。表59UPDATEOVERDRAWLIMIT錯誤狀態(tài)字交易金額超限（小于已透支金額；大于FFFFFF新透支限額+實際余額）>FFFFFF）0初始化復合應用消費命令0.1概述初始化復合應用消費（INITIALIZEFORCAPPPURCHASE）命令屬于ISO/IEC7816-4規(guī)定的指令模式4，用于初始化復合應用消費交易。0.2命令報文編碼INITIALIZEFORCAPPPURCHASE命令報文編碼應符合表60的規(guī)定。JT/T1059.2—XXXX表60INITIALIZEFORCAPPPURCHASE命令報文編碼0.3命令報文數(shù)據(jù)域此命令報文數(shù)據(jù)域定義應符合表61的規(guī)定。表61INITIALIZEFORCAPPPURCHASE命令報文數(shù)據(jù)域定義1460.4響應報文數(shù)據(jù)域此命令執(zhí)行成功的響應報文數(shù)據(jù)域應符合表62的規(guī)定，如果命令執(zhí)行不成功，則只在響應報文中回送SW1和SW2。表62INITIALIZEFORCAPPPURCHASE命令響應報文數(shù)據(jù)域4231140.5響應報文狀態(tài)字此命令執(zhí)行成功的狀態(tài)字是9000；如果卡片為表63中的狀態(tài)，則應按表63的規(guī)定返回相應的狀態(tài)字。表63INITIALIZEFORCAPPPURCHASE命令錯誤狀態(tài)字1更新復合應用數(shù)據(jù)緩存命令1.1概述更新復合應用數(shù)據(jù)緩存（UPDATECAPPDATACACHE）命令屬于ISO/IEC7816-4規(guī)定的指令模式3，用于復合應用消費交易中更新復合應用數(shù)據(jù)緩存，緩存數(shù)據(jù)將被DEBITFORCAPPPURCHASE命令用于改寫復合ADF中相關記錄。JT/T1059.2—XXXX1.2命令報文編碼命令報文編碼應符合表64的規(guī)定，命令報文中的引用控制參數(shù)P2應符合表65的規(guī)定。表64UPDATECAPPDATACACHE命令報文編碼表65UPDATECAPPDATACACHE命令報文中的引用控制參數(shù)P200000———xxxxx———11111————————0001.3命令報文數(shù)據(jù)域此命令報文數(shù)據(jù)域由更新原有記錄的新記錄組成。1.4響應報文數(shù)據(jù)域響應報文的數(shù)據(jù)域不存在。1.5響應報文狀態(tài)字此命令執(zhí)行成功的狀態(tài)字是9000；如果卡片為表66中的狀態(tài)，則應按表66的規(guī)定返回相應的狀態(tài)字。表66UPDATECAPPDATACACHE命令錯誤狀態(tài)字不滿足命令執(zhí)行的條件（不是當前的EF）2復合應用消費命令2.1概述復合應用消費（DEBITFORCAPPPURCHASE）命令屬于ISO/IEC7816-4規(guī)定的指令模式4，用于復合應用消費交易。2.2命令報文編碼此命令報文編碼應符合表67的規(guī)定。JT/T1059.2—XXXX表67DEBITFORCAPPPURCHASE命令報文編碼2.3命令報文數(shù)據(jù)域此命令報文數(shù)據(jù)域定義應符合表68的規(guī)定。表68DEBITFORCAPPPURCHASE命令報文數(shù)據(jù)域44342.4響應報文數(shù)據(jù)域此命令執(zhí)行成功的響應報文數(shù)據(jù)域應符合表69的規(guī)定。如果命令執(zhí)行不成功，則只在響應報文中回送SW1和SW2。表69DEBITFORCAPPPURCHASE命令響應報文數(shù)據(jù)域442.5響應報文狀態(tài)字此命令執(zhí)行成功的狀態(tài)字是9000；如果卡片為表70中的狀態(tài)，則應按表70的規(guī)定返回相應的狀態(tài)字。表70DEBITFORCAPPPURCHASE命令錯誤狀態(tài)字3增加記錄命令3.1概述增加記錄（APPENDRECORD）命令屬于ISO/IEC7816-4規(guī)定的指令模式3，用于對變長記錄文件追加新記錄。3.2命令報文編碼增加記錄命名報文編碼應符合表71的規(guī)定；命令報文中的引用控制參數(shù)應符合表72的規(guī)定。JT/T1059.2—XXXX表71APPENDRECORD命令報文編碼表72APPENDRECORD命令引用控制參數(shù)xxxxx--- 0003.3命令報文數(shù)據(jù)域命令報文數(shù)據(jù)域由追加的新記錄和MAC組成。3.4響應報文數(shù)據(jù)域響應報文的數(shù)據(jù)域不存在。3.5響應報文狀態(tài)字此命令執(zhí)行成功的狀態(tài)字是9000；如果卡片為表73中的狀態(tài)，則應按表73的規(guī)定返回相應的狀態(tài)字。表73APPENDRECORD錯誤狀態(tài)字4讀記錄命令應符合JT/T978.2—2023的C.1.3的規(guī)定。5修改記錄命令應符合JT/T978.2—2023的C.1.4的規(guī)定。6消費命令擴展6.1概述消費（DEBITFORPURCHASE）命令屬于ISO/IEC7816-4規(guī)定的指令模式4，用于消費交易。該條指令僅用于AID為A000000632101004的應用，根據(jù)狀態(tài)機需求修正。6.2命令報文編碼DEBITFORPURCHASE命令報文編碼應符合表74的規(guī)定；執(zhí)行INITIALIZEFORPURCHASE后即選擇消費交易。JT/T1059.2—XXXX表74DEBITFORPURCHASE命令報文編碼6.3命令報文數(shù)據(jù)域命令報文數(shù)據(jù)域應符合表75的規(guī)定。表75DEBITFORPURCHASE命令報文數(shù)據(jù)域44346.4響應報文數(shù)據(jù)域此命令執(zhí)行成功的響應報文數(shù)據(jù)域應符合表76的規(guī)定；如果命令執(zhí)行不成功，則只在響應報文中回送SW1和SW2。表76DEBITFORPURCHASE響應報文數(shù)據(jù)域446.5響應報文狀態(tài)字此命令執(zhí)行成功的狀態(tài)字是9000；如果卡片為表77中的狀態(tài)，則應按表77的規(guī)定返回相應的狀態(tài)字。表77DEBITFORPURCHASE錯誤狀態(tài)字15.1.3應用AID電子錢包應用的AID列表情況說明應符合表78的規(guī)定。表78AID列表情況說明A000000632010105+發(fā)卡A000000632010107+發(fā)卡A000000632101004+發(fā)卡JT/T1059.2—XXXX15.1.4應用說明狀態(tài)機的應用應符合JT/T1059.8的規(guī)定。15.1.5交易流程包含第二票種的電子錢包應用和國密脫機第一票種的電子錢包應用（國密升級）交易流程包括圈存交易、圈提交易、消費交易、復合消費交易、查詢交易、應用維護功能，功能要求應符合JT/T1059.7的規(guī)定。僅國際或雙算法脫機第一票種的電子錢包應用交易流程應符合JT/T978的規(guī)定。15.1.6交易時間電子錢包脫機交易時間為從終端尋獲卡片并上電成功至終端接收到卡片返回最后1Byte的時間，應不超過300ms。15.2電子現(xiàn)金15.2.1文件結構電子現(xiàn)金應用的文件結構應符合圖19的規(guī)定。圖19電子現(xiàn)金應用的文件結構專用文件票卡應用專用文件應符合JT/T978.2—2023中B.2.1的規(guī)定。余額說明電子現(xiàn)金余額包括第一票種余額和第二票種余額，具體票種余額標簽應符合JR/T0025.15的規(guī)定。15.2.2指令選擇PPSE命令應符合JT/T978.2—2023的C.1.1的規(guī)定。選擇ADF命令JT/T1059.2—XXXX.1概述選擇ADF（SELECTADF）命令通過選擇AID來選擇卡片中ADF。成功執(zhí)行該命令設定ADF的路徑。從卡片返回的響應報文包含回送FCI。.2命令報文編碼SELECTADF命令報文編碼應符合表79的規(guī)定。表79SELECTADF命令報文編碼.3命令報文數(shù)據(jù)域命令報文數(shù)據(jù)域應包括所選擇DF名或AID。.4響應報文數(shù)據(jù)域對于多應用卡片，應在響應報文中包含“應用標簽”數(shù)據(jù)元，使得在終端用AID列表方法進行應用選擇時，能方便持卡人選擇/確認應用。響應報文數(shù)據(jù)域應符合表80的規(guī)定，其中響應報文中的PDOL應符合表81的規(guī)定。表80SELECTADF響應報文數(shù)據(jù)域MMMMOOOMOOOMMOO注1：當AID=A000000632101002時，DF11的字節(jié)10～注2：當AID=A000000632101002時，9注3：當AID=A000000632010108和A000000632010106時，JT/T1059.2—XXXX表81PDOL的數(shù)據(jù)114662523134.5響應報文狀態(tài)字SELECT命令響應報文狀態(tài)字見表82。表82SELECTADF命令響應報文狀態(tài)字電子現(xiàn)金應用指令電子現(xiàn)金應用指令應符合JT/T978.2—2023中C.2和C.1的規(guī)定。15.2.3應用AID電子現(xiàn)金應用的AID列表情況說明應符合表83的規(guī)定。表83AID列表情況說明A000000632010106+發(fā)卡機構A000000632010108+發(fā)卡機構A000000632101002+發(fā)卡機構15.2.4應用說明讀取擴展應用數(shù)據(jù)命令說明R-MAC的說明：響應報文數(shù)據(jù)中的R-MAC，由卡片根據(jù)JT/T978.6中的MAC，使用行業(yè)應用管理密鑰對響應數(shù)據(jù)進行加密生成。國際算法時，其初始向量為命令報文數(shù)據(jù)域中的終端隨機數(shù)；國密算法時，其初始向量為00||00||00||00||00||00||00||00||命令報文數(shù)據(jù)域中的終端隨機數(shù)。更新擴展應用數(shù)據(jù)緩存命令說明.1命令報文數(shù)據(jù)域JT/T1059.2—XXXX命令報文數(shù)據(jù)域包含記錄內(nèi)容和安全報文。若當前文件為變長記錄文件，記錄內(nèi)容包含ID號、記錄長度等擴展應用信息和擴展應用數(shù)據(jù)；若當前文件是循環(huán)記錄文件，命令報文數(shù)據(jù)域包含擴展應用數(shù)據(jù)。國際算法時，安全報文初始向量值為00||00||00||00||00||00||+ATC；國密算法時，安全報文初始向量值為00||00||00||00||00||00||00||00||00||00||00||00||00||00+ATC。.2響應報文數(shù)據(jù)域當卡片不具備擴展應用記錄的R-MAC保護時，響應報文數(shù)據(jù)域不存在；當卡片具備擴展應用記錄的R-MAC保護時，響應報文數(shù)據(jù)為4字節(jié)的MAC值。響應報文數(shù)據(jù)中的R-MAC，由卡片根據(jù)JT/T978.6中關于MAC的描述，使用行業(yè)應用管理密鑰對響應報文的狀態(tài)字進行加密生成。國際算法時，初始向量為00||00||00||00||命令報文數(shù)據(jù)域中的MAC；國密算法時，初始向量為00||00||00||00||00||00||00||00||00||00||00||00||00||00||命令報文數(shù)據(jù)域中的MAC。在執(zhí)行該命令時，命令報文MAC、響應報文R-MAC的算法應和終端在GPO指令中指定的算法保持一致。15.2.5交易流程具體交易流程應符合JT/T1059.7的規(guī)定。15.2.6交易時間電子現(xiàn)金交易時間為從終端尋獲卡片并上電成功至終端接收到卡片返回最后1Byte的時間，應不超過300ms。15.3NFCQrcode應用15.3.1文件結構NFCQrcode應用卡號為16位，NFCQrcode應用文件結構應符合圖20的規(guī)定。圖20NFCQrcode應用文件結構Qrcode文件Qrcode文件內(nèi)容數(shù)據(jù)應符合表84的規(guī)定，Qrcode文件內(nèi)容數(shù)據(jù)中的發(fā)卡機構公鑰證書應符合表85的規(guī)定。表84Qrcode文件內(nèi)容數(shù)據(jù)11BM22BM3BM4M8BM2BMJT/T1059.2—XXXX表84Qrcode文件內(nèi)容數(shù)據(jù)（續(xù)）64BM74BM81BM用戶賬戶的類型。見JT/T978.2-2023中表A.1中發(fā)卡機構特殊數(shù)據(jù)元第20字節(jié)卡種類型9單次消費金額（信用支3BM在單次消費交易時可作為能否乘車的判斷BM支付賬戶系統(tǒng)授權過期4BM數(shù)2BM1BMBCBM4BMBM注：字段16，如果應用在安全單元中，則采用GPO指令中的時間計算生成表85發(fā)卡機構公鑰證書1b1M2b4M3b1M4b1M16進制“12”4M62M7b3M8b1M9b1Mb1M用于標識橢圓曲線參數(shù)。默認為16進制“00”b1MbMbM15.3.2指令選擇PPSE命令選擇PPSE（SELECTPPSE）命令應符合JT/T978.2—2023中C.1.1的規(guī)定。JT/T1059.2—XXXX選擇ADF指令.1概述選擇（SELECTADF）命令屬于ISO/IEC7816-4規(guī)定的指令模式4，通過選擇AID來選擇卡片中ADF。成功執(zhí)行該命令設定ADF的路徑。從卡片返回的響應報文包含回送FCI。.2命令報文編碼SELECTADF命令報文編碼應符合表86的規(guī)定。表86SELECTADF命令報文編碼.3命令報文數(shù)據(jù)域命令報文數(shù)據(jù)域應包括所選擇DF名或AID。.4響應報文數(shù)據(jù)域SELECTADF響應報文應符合表87的規(guī)定，響應報文中的PDOL應符合表88的規(guī)定。表87SELECTADF命令響應報文數(shù)據(jù)MMFCI數(shù)據(jù)專用模板MMMMMMO表88PDOL的數(shù)據(jù)114662523134JT/T1059.2—XXXX表88PDOL的數(shù)據(jù)（續(xù)）qrcode聯(lián)機扣費；05-N