《社会保障卡读写终端规范
时间: 2024-07-04 12:01:37 | 作者: 行业资讯
1 范围 本标准规定了社会保障卡读写终端的基础要求、功能特性和黑名单管理。 本标准适用于社会保障卡应用相关的读写终端设计、制造和管理以及应用系统的研发、集成和维护。
3 术语和定义 下列术语和定义适用于本文件。 3.1 冷复位 cold reset 当卡的电源电压和其他信号从静止状态中复苏且申请复位信号时,卡产生的复位。 3.2 热复位 warm reset 在时钟(CLK)和电源电压(VCC)处于激活状态的前提下,卡收到复位信号时产生的复位。 3.3 接口设备 interface device 终端上插入卡的部分,包括其中的机械、电气和逻辑控制部分。 3.4 终端 terminal 为处理卡业务而在服务网点安装的设备,用于同卡的连接。它包括接口设备,也可包含别的部件和接口。 LD/T 33—2015 3.5 命令command 终端向卡发出的一条信息,该信息启动一个操作或请求一个应答。 3.6 触点contact 在集成电路卡(IC卡)和外部接口设备之间保持电演连续性的导电元件。 响应 response 卡处理完成收到的命令报文后,返回同给终端的报文。 3.8 交易 transaction 持卡人和业务、管理部门之间根据卡所支持的应用接受、,提供服务的行为。 3.9 功能function 由一个或多个命令实现的处理过程,其操作结果用于完成全部或部分交易。 3.10 静止状态 inactive 当卡上的电源电压(VCC)和其他信号相对于地的电压值小于或等于0.4V时的状态。 3.11 集成电路(IC)integrated circuit 设计用于完成处理和/或存储功能的电子器件。 3.12 集成电路卡(IC卡) integrated cireuit(s)card 内部封装一个或多个集成电路的ID-1型卡。 3.13 ICC类型标识符 identifier of ICC type 用于向终端表明需要它处理的ICC 的类型的一个字符串。 3.14 ICC 连接器 ICC conector IFD与ICC电气连接的物理实现部分。在逻辑上,本标准规定用它来标识与它电气上稳定连接的ICC. 3.15 报文 message 由终端向卡或卡向终端发出的,不含传输控制字符的字节串。 3.16 报文鉴别代码 message authentication code 对交易数据及其相关参数进行运算后产生的代码。大多数都用在验证报文的完整性。 3.17 半字节 nibble 一个字节的高四位或低四位。 LD/T 33-2015 密钥 key 控制加密转换操作的符号序列。 3.19 密码算法 crptographicalgorithm 为了隐藏或揭露内容信息而变换数据的算法。 3.20 数据完整性 dat integrity 数据不受未经许可的方法变更或破坏的属性。 3.21 T=0 面向字符的异步半双工传输协议。 3.22 T=15 不是传输协议,而是特指其后所传输字符的属性为全局接口字符。
5 终端的机电特性、逻辑接口、通信(传输)协议 5.1 通则 终端的逻辑接口、通信协议应符合LD/T 32.2-2015中的相关规定,且终端应支持T=0传输协议。 本章规定了终端的机电特性、逻辑接口及通信协议有关标准。终端所提供的高级应用编程接口参 5.2 机械特性 5.2.1 接口设备 用于插入卡的接口设备应具备接收卡的能力,并具有以下特性: —物理特性应符合GB/T16649.1——2006的规定。 定位的导轨和甲板(若使用)不应损坏卡,特别是对印制在卡表面的相片、文字信息等区域。作为一个根本原则,持卡人应在任何一个时间里都能将卡插人或拔出,因而接口设备上插人卡位置处,应配有一种机械设备,从而使得持卡人能够在设备出现故障(如掉电)时取回卡。 5.2.2触点压力 任何一个接口设备触点对相应的卡触点所施加的压力应在0.2N~0.6N之间。 5.2.3 触点分配 接口设备触点分配见表1. 表1 接口设备触点分配 分配 VCC C5s GND c RST 不使用C6 C2 CLK vo C3 注:C4和C8不使用,在物理上可以不存在。C6应是电隔离的。 LD/T33-—2015 5.2.4 ICC 连接器的配置和要求 符合本标准的接口设备至少应配置两个ICC连接器,其中一个用作与社会保障卡连接的应用ICC 连接器,另一个用作与PSAM卡连接的安全 ICC连接器。 接口设备所使用的应用ICC连接器应具有至少30万次的插拔寿命。 5.2.5终端的结构安全 终端应提供一定的结构上对安全存取模块的安全保护的方法。 5.3 电特性 5.3.1测量约定 所有测量应是在卡和接口设备之间的触点上进行,并以GND为参考。环境和温度范围为0℃~50 C. 所有流出终端的电流均为正值。 接口设备的工作电压为5V或3V,允差士5%。 5.3.2 输入/输出(I/O) 5.3.2.1通则 该触点作为输出端(传输模式)向卡传送数据,作为输入端(接收模式)从卡接收数据。在操作的流程中,终端和卡不能同时处于传输模式,若万一发生此情况,I/O触点的状态(电平)将处于不确定状态,但不应损坏终端。 当终端和卡都处于接收模式时,触点将处于高电平状态。为了达到这种状态,终端应在 VCC上或其他装置上连接一个上拉电阻,除非Vc加电并稳定在5.3.6中允许的范围内,终端不应将I/O置于高电平状态。参见LD/T 32.2-2015中有关触点激活的规定。 在任何情况下,均应将流入或流出/O触点的电流限定在土15mA以内。 5.3.2.2传输横式 在传输模式下,终端向卡传送数据,其特性见表2. 表2 传输模式下 I/0的电特性 最大值 最小值条件 符号Va 0.8XVe Vm -20 μAlm20 pA,Vc=最小值 0.3v vn -1 mAla0mA.V~=最小值 0.8= Cvxo=30 pF 最大 t:和t: -0.2s v Vc+0.25 v 正负脉冲蜂值 除向卡传送数据时,终端应将其I/O信号驱动模式设置为接收模式。 5.3.2.3 接收模式 在接收模式下,终端应能正确解释从卡发来的信号,其特性见表3。 LB/T 33-—2015 班3 接敬惧式下I/0的电特性 量大值 最小值符号 0.5 v 0 V V 1. es t:和t 与创方立鸡 5.3.3 编醒电压(VP)y以18cm 不要求终端产生Vpp文—致下载高清无水印 5.3.4 时钟(CLK) 终端将产生一个CLK信号,其特性见表4。 表4 CLK的电特性 示已力销目 符号 条件最大值 o pAIm50 A,Vv~=最外值pOy~马每VT Vom V V -50 uAla0 pA.Vc=最小值 0.4V 0V Cwioy=30 pF最大8%的时钟周期(μs) tx 和ty 正负脉冲峰值 频率范围在1MHz~5 MHa(对A类卡操作时)或1MHz~4MHz(对B类卡操作时)之间,且在 整个交易期同,其变化范围不应和食别ry气史立D业2-2015中的第6章)。时钟占空因数应在其【线 cOm )定与原文档一致下甚离无从 5.3.5 氯位(Rsr) 终城产生一个 RST信号,其特性见表5. 表5 RST的电特性 最小值转号 京窃y文对下 0pAIa0 pA.Vt-量朴值 -50;AIaOμA.V-=最小值 Vn 0.4v Casm-0pF最大 0sp产 t和tr ⑥sV Vc+0.四V 正负脉冲嗨值 5.3.6 电源电压(VCC) 终端摄供一个 VCC信号,其特性见表6. 终端应带有保护电路以防止在误操作(如对地或 VCC 短路)时所造成的纵坏。误操作既可能来毒于内部,也可能来自外部接口如电露干扰、通讯链路故障等。 在卡的正常操作中,电演脉冲可在卡触点上引起Vc激动。电源应能中和小于40nA-s且持续时 LD/T33-2015 间不超过400as的电源波动,并在此时间内承受卡上100 mA的电源消耗。 表6 VCC的电特性 符号 最小值条例 最大值 4.6 Y 5.4 V A类 2.8 V 3.2V B类 A类,酡定输出 55 mA e 45 mA B类,稳定输出 注;若需要,终端应能够具有大于55 mA的传输能力,但建议终端将稳定电流限制在200mA以内. 5.3.7 触点电阻 在终端的整个设计寿命期间,触点电阻(在清洁的接口设备和清洁的标准卡触点间测量时)应小于500 mΩ(参见GB/T17554.3—2006的测试方法)。 注:标准的卡触点可以看作是在5.00μm的镍表面上的1.25 μm键金触点。 5.3.8 短路保护 当任何两个触点之间发生短路时,无论时间长短,终端都不应被损坏或功能失常。例如:插人一块金属板或插人一块带有金属性表面的卡。 接口设备所有的 ICC 连接器都应具有短路保护功能。 5.3.9 插入卡后,终渊的加电和断电 插入卡后,当对终端进行加电或断电时,触点的接口界面不应出现杂乱信号或电源干扰,触点激活和释放的时序应分别符合LD/T32.2—2015 中的规定。 5.4 接口设备在复位应答期间的操作 5.4.1 通则 本章规定了接口设备在复位应答期间接收到卡回送字符后的相关操作。有关的字符定义在 LD/T 32.2—2015中规定。 5.4.2 IS-初始字符 终端应能够同时支持反向和正向逻辑约定,并接收卡回送的值为3B或3F的TS,但应拒绝接收其他 TS 值。 5.4.3 O-格式字符 To 回送值正确且包含了所需的接口字符(TA1到TDI)和历史字符时,终端不应拒绝卡回送任何值。 5.4.4 接口字符TAI到 TC3 5.4.4.1接口字符TA1 终端不应拒绝卡回送TA1=0l或1(如果 TO的b5位为1),并在整个后续交易过程中继续 LB/T 33-2015 使用缺省值F=372和 D=1。 注;如果回送TA1,终端应能对其低半字节正确译码,并得出D的有效值1.2、4或8。本标准以后的版本可能支持其他的D值,以提高 TTL.和卡之间的数据传送速*和选择其他协议类型。 5.4.4.2 接口字符 TB1 如果 To的b6位为1,终端不应拒绝回送任何TBI 的卡:如果 T 的b6 位为0,则卡不回送TB1,此时终端仍应继续卡片操作的流程,且不提供 VPP,就像回送了 TB1=00一样。 挂:终端能保持 VPP为静止状态(见.5.3.3). 5.4.4.3 接口字符 TC1 如果 TO的b7位为0,终端不应拒绝不回送 TCI的卡,但如果终端接受了这样的卡,应能够继续卡片操作的流程,就像回送了TCl=00一样。 注:应将TCI设置为卡可接受的最小值。TCI取值过大将导致终编与卡之间的通讯缓慢,这样将延长交易时间. 5.4.4.4 接口字符 TD1 如果回送值正确且包含了所需的接口字符TA2到TD2,终端不应拒绝这样的卡,即:其所回送TDI的高半字节为任意值且低半字节的值为0或1。终端应不拒绝回送其他 TDI值的卡。 5.4.5 接口字符TA2 如果终端在复位应答期间能够支持由卡通过TA2 所指明的额外条件,它不应拒绝这样的卡,并应能立即使用这一些条件。 5.4.4.6 接口字符TH2 终端不应拒绝卡回送TB2。但不论 TB2是否回送、回送何值,终端均不应提供VPP。 注;终端能保持VPP为静止状态(见5.3.3)。 终端不应拒绝回送 TC2=10的卡。 5.4.4.8接口字符TD2 如果回送值正确且包含了所需的接口字符TA3到TD3,终端不应拒绝这样的卡,即:其所回送TD2的高半字节为任意值且低半字节的值为1、E或F。终端应拒绝卡回送其他的TD2值。 5.4.4.9 接口字符TA3 如果此前T=15已存在,TD2的b5位为0,终端不应拒绝不回送TA3的卡。但如果终端接受了这样的卡,则应令TA3=01来继续卡片操作的流程。终端应拒绝那些回送的 TA3值不满足 LD/T 32.2—2015要求的卡。 如果此前 T=15不存在,终端不应拒绝正确回送接口字符 TA3的卡。 5.4.4.10接口字符TB3和 TC3 尽管LD/T 32.2-2015规定了社会保障卡只使用T=0的卡,但终端不应拒绝正确回送接口字符 TB3和TC3的卡。 5.4.5 校验字符TCK 在使用T=0协议且T=15不存在时终端应拒绝回送了TCK的卡。如果卡回送了TCK,终端应能对 TCK进行计算。 LD/T32.2—2015对TCK的描述仅适用于那些支持T=0协议的卡。如果出于特殊原因,卡支持 T=14 协议,TCK 所遵循的条件应由该协议的规范确定。 5.5 接口设备在协商模式中的操作 在协商模式中,接口设备应发起 PPS请求,与卡协商后确定F和D的参数值。 5.6 终端与接口设备之间的数据交换 终端设备应能够接收卡一次返回256字节的数据及后续的状态码。
6 终端功能 6.1 终端类型 支持社会保障应用的终端根据其使用环境的不同可大致分为移动式终端和固定式终端两大类。这两大类终端的最低功能部件的配置要求见表7。 表7终端的最低功能部件配置要求 终端部件 固定式终端移动式终端显示器 必备型(Mandatory) 必备型(Mandatory)卡接口设备 必备型(Mandatory)必备型(Mandatory) 健盘 必备型(Mandatry) 必备型(Mandatory) 密码键盘 可选型(Optional) 可选型(Optional) PSAM卡 必备型(Mandator) 必备型(Mandatory) 存储设备 可选型((Optional) 打印机 可选型(Optional)可选型((Optional)网络通信接口 可选型(Optionalb 可选型(Optional) 实时时钟 必备型(Mandatory)必备型(Mandatory)必备型(Mandatory)汉字扩展字符集 必备型(Mandatory) 必备型(Mandtor) 6.2 功能部件的特性 6.2.1显示器 用于交易过程显示及错误指示。本规定要求显示器具有显示汉字、字母、数字和符号的能力。 6.2.2 卡接口设备 用于实现对符合LD/T32.2-2015的社会保障卡进行LD/T 32.6-2015所规定的各种应用所需 LD/T 33-2015 的操作,它应符合本标准中的各项要求。 6.2.3 键盘 用于输入交易数据(如进行确认)、业务信息。它应至少配置数字字母键及确认功能键。 6.2.4 密码键盘 用于输入PIN,并对 PIN有基本防护。它应至少配置数字键及确认功能键。 6.2.5 PSAM卡 用于对终端操作社会保障卡的权限鉴别,包括权限控制密钥的存储、鉴别数据的计算等功能。 6.2.6 打印机 依据业务需要,终端可配备相应的打印机。 6.2.7 网络通信接口 用于联机交易或终端与主机之间的数据传输。 6.2.8 存储设备 用于存储交易记录、黑名单、特殊的业务数据和(或)扩展中文字符集等信息,建议根据其用途为终端配备有足够存储容量的存储设备。 6.2.9 实时时钟 用于提供业务处理所需的终端时间,如交易时间。 6.2.10 汉字扩展字符集 用于持卡人姓名中GBK字符集之外的汉字字符处理。它可以以存储设备中的软件形式存在,也可以是专用的硬件部件。 6.211 电源 移动式终端应保证可持续工作4h,待机时间不小于24 h。 固定式终端的工作电压为220V,允差士10%。 6.3多应用管理 6.3.1 基本要求 卡与终端应配合使用以保证交易安全、有效地运行。为了支持LD/T32.6—2015中规定的应用, 本标准对实现多应用的终端提出一些管理应用和选择应用的具体原则。一般来说,支持超过一种以上的社会保障卡中应用的终端应给用户一个按应用优先级排序的列表以供选择。 6.3.2终端应用的管理 终端应用的管理应达到如下目标: a)应用之间不能互相影响:各应用应相互独立运行,相互之间数据和程序不可交换。 b)共享数据应保证: LD/T 33-2015 一各应用的内部数据不能被其他应用得到; —所有的应用可以共享终端中的通用数据。 c)提供应用选择的标准界面。 d)对应用来管理(提供应用程序的选择、激活、禁止、参数设置等)。 6.3.3 卡应用选择 符合LD/T32.2-2015的社会保障卡将实现多个应用,终端应可选择并支持这些应用。应用选择过程应符合LD/T 32.6—2015的规定。 6.4 终端的安全要求 6.4.1 一般要求 6.4.1.1 通则 终端中一般存在两种类型的数据: a)通用数据:包括时间、终端识别号及终端业务记录等。外界可以对这一些数据进行访问,但不允许进行无授权修改。 b)敏感数据:包括密钥、应用程序内部的参数。在未授权的情况下,外界不允许对这类数据主 访问和修改。 6.4.1.2 通用数据的安全要求 通用数据一般存放在存储器中。在更新参数以及下载新的应用程序时,终端应做到: a)验证更新方的身份,对于应用程序重新下载,只允许终端制造厂商、终端所有者或者经终端所有者或代理方批准的第三方执行。 b)校验下载参数及应用程序的完整性。 对存储器要求应做到:无论在啥状况下,终端的应用数据都不会随意改变或丢失,并保证其有效。 所有与交易相关的数据均应以记录形式存储于终端存储器中。终端应保证这一些数据的完整性。 6.1.3 敏感数据的安全要求 敏感数据一般应存放在安全存取模块中。 此模块主要负责保存和处理所有的敏感数据,这一些数据包括LD/T32.4-2015中定义的各种密钥及其他相关的与安全有关的信息。 在正常的操作环境下,安全存取模块应保证;出入模块的、以及其内部存放的和正在处理的数据不会出于模块自身或其接口造成任何泄露和改变。 6.4.2安全存取模块的物理安全要求 安全存取模块应内嵌、封闭于读写终端内部的卡槽当中使用。安全存取模块的硬件设计应能保证在物理上限制对其内部存贮的敏感数据的存取与窃取,以及对安全存取模块的非授权使用和修改。一旦安全存取模块受到非法的篡改及攻击,其自身应能够立即完成对内部敏感数据的删除。要实现这些目标,安全存取模块应具有防窃、查窃、窃取显示或窃取响应机制。 同时,安全存取模块也应有充足的防范特性,能发现自身是不是被算改过。 总之,安全存取模块的设计和构造应满足以下要求: a) 只有通过特别的技术与工具或严重破坏的方法,才能对模块的硬件或软件进行增加、替换或修改。 b)任何对敏感数据的访问或修改,只有通过对模块的有效接触才可以做到。c) 安全存取模块的任何部分的损坏或失效都不会导致敏感数据的泄露。 d) 如果安全存取模块是由多个分离部件组合而成,而处理的数据又应在这些部件之间传递,那么各部件应保持相同的安全级别。 6.4.3 安全存取模块的逻辑安全要求 一个安全存取模块的逻辑设计应保证,调用任何单一功能或组合功能,都不会导致敏感数据的泄露。对某些敏感操作,应有一定的权限限制。 安全存取模块中可存放多组不同版本的主密钥。所有的主密钥通常应在终端投人使用之前被下载到安全存取模块中。如果在终端使用的过程中,主密钥需要修改,应使用安全报文。实现这一操作通常应在特殊的授权情况下完成,对外部不能存在任何取得存放在安全存取模块中密钥的机会。 为避免伪操作,存放在安全存取模块中的任何类型的主密钥应与某个特定的操作相结合,面不适用于其他操作。 对需要报文鉴别码的交易,安全存取模块应能够生成并传递符合LD/T 32.4-2015 定义的 MAC. 在每次交易结束或超时状态下,安全存取模块应自动清除内部缓存区中存放的数据。 安全存取模块应可以在一定程度上完成规定的密码算法和主密钥到子密钥的分散算法。
7 黑名单管理 7.1 通则 终端应具有黑名单存储和检索功能,以实现社会保障卡交易的安全处理。本标准对黑名单的记录 格式、检查和更新作了规定。 7.2 黑名单的记录格式 黑名单文件应能够存储两种格式的黑名单记录: ————卡识别码和卡号; ——卡号区段。 7.3 黑名单检查 黑名单检查在卡有效性检查(见LD/T32.7-2015.6.5)过程中进行。根据卡识别码和卡号进行黑名单检查,包括: —该卡包含在黑名单区段范围内的情况; ————该卡在黑名单之列的情况。 7.4 黑名单更新 黑名单更新包括增加、删除等操作,且应在安全环境下进行。安全要求包括: —主机与终端间通信数据的安全性和完整性; ——终端对黑名单更新的安全认证。