中国银联IC卡技术规范——产品规范第7部分金融IC卡通

Q/CUP中国银联股份有限公司企业标准Q/CUP047.7—2012中国银联IC卡技术规范——产品规范第7部分金融IC卡通用应用数据存储规范ChinaUnionPayintegratedcircuitcardspecification—productspecificationFinanceSmartcardCommon-ApplicationDataStoreSpecification2012-11-01发布2012-11-01实施中国银联股份有限公司发布Q/CUP047.7—2012I目次前言................................................................................II引言...............................................................................III1范围..............................................................................12规范性引用文件....................................................................13术语与定义........................................................................14文档约定..........................................................................35符号和缩略语......................................................................36通用存储概述......................................................................47通用存储空间与通用文件定义........................................................68通用存储的安全机制...............................................................159通用存储统一的APDU命令..........................................................2010主要应用实现及指令操作流程......................................................52附录A（规范性附录）快速通用应用数据文件实现要求...................................61附录B（规范性附录）带扩展域的记录文件与计数器绑定规则.............................85附录C（规范性附录）金融IC卡通用应用数据存储指令响应码详解........................86Q/CUP047.7—2012II前言本标准阐述了基于金融IC卡的通用应用概念、安全机制、技术实现和卡片实际应用相关内容。本标准由中国银联股份有限公司提出。本标准由中国银联股份有限公司组织制定。本标准主要起草单位：本标准主要起草人：王丰、丁林润、肖波、海涛、李春欢、回春野、王红剑、蒋焜、张栋、陆东东、王唐方、王雨静Q/CUP047.7—2012III引言金融IC卡通用应用数据存储规范针对IC卡行业多应用需求，定义了多种通用的数据存储及安全控制机制。本规范与金融IC卡规范相互独立，可以配套使用，共同形成对行业多应用的支持。Q/CUP047.7—20121中国银联IC卡技术规范——产品规范第7部分金融IC卡通用应用数据存储规范1范围本规范主要描述了基于金融IC卡的通用应用数据存储概念、安全机制、技术实现和卡片实际应用等相关内容。明确如何在卡片上规划通用应用以及具体的应用实现，以及和终端的交互过程。本规范适用于由金融机构发行的Native或Java平台的智能卡。使用对象主要包括与金融IC卡相关的设计、生产、发行、受理以及应用系统的研制、开发、集成和维护等相关部门。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。Q/CUP045——2012中国银联IC技术卡规范——基础规范CUP003－—2012中国银联入网机构标识码编码规范GB/T16649.5-2002带触点的集成电路卡第5部分：应用标识符的国家编号体系和注册规程3术语与定义3.1集成电路IntegratedCircuit（IC）设计用于完成处理和/或存储功能的电子器件。3.2集成电路卡（IC卡）IntegratedCircuit（s）Card内部封装一个或多个集成电路的ID－1型卡（如ISO7810、ISO7811第1至第5部分、ISO7812和ISO7813中描述）。3.3Native卡（NativeCard）指采用非开放平台的CPU卡，开放平台目前以JAVA为主。3.4终端Terminal为完成金融交易或多应用存储读写流程而在交易点安装的设备，用于同IC卡的连接。它包括接口设备，也可包括其它部件和接口，例如与主机通讯的接口。3.5应用ApplicationQ/CUP047.7—20122卡片和终端之间的应用协议和相关的数据集。3.6命令Command终端向IC卡发出的一条信息，该信息启动一个操作或请求一个应答。3.7响应ResponseIC卡处理完成收到的命令报文后，回送给终端的报文。3.8功能Function由一个或多个命令实现的处理过程，其操作结果用于完成全部或部分交易。3.9报文Message由终端向卡或卡向终端发出的，不含传输控制字符的字节串。3.10报文鉴别代码MessageAuthenticationCode对交易数据及其相关参数进行运算后产生的代码。主要用于验证报文的完整性。3.11密文Cryptogram通过密码系统产生的不可理解的文字或信号。3.12明文Plaintext没有加密的信息。3.13密钥Key控制加密转换操作的符号序列。3.14加密算法CryptographicAlgorithm为了隐藏或揭露信息内容而变换数据的算法。3.15数据完整性DataIntegrity数据不受未经许可的方法变更或破坏的属性。Q/CUP047.7—201233.16卡片主控密钥（CCK）CardControlKey卡片主控密钥，具备卡片最高的管理权限。3.17通用存储空间CommonDataStoreSpace在IC卡上独立于金融IC卡的存储区域，用于行业应用数据的统一存储。4文档约定4.1术语解释：命令和响应中出现Tag时，采用下列符号：M：强制性Tag—应出现_C：有条件的Tag—在某种条件下出现O：可选的Tag—可出现，也可不出现4.2数值和格式表示——n（数字型）；——cn（压缩数字型）；——b（二进制）；——an（字母数字）；——ans（特殊字母数字）本规范中采用下列数值符号：十进制数值用数字本身表示（例如：数字1）十六进制数值的表示是将数值加上引号，并且前面加上x(例如：数值x’01’)二进制数值的表示是将数值加上引号，并且前面加上b(例如：数值b'00000001'或b'1')Bit1表示低位(0x01)，Bit8表示高位(0x80)5符号和缩略语ADF应用定义文件（ApplicationDefinitionFile）AID应用标识符（ApplicationIdentifier）APDU应用协议数据单元（ApplicationProtocolDataUnit）CLA命令报文的类型字节（Classbyteofthecommandmessage）DDF目录数据文件（DirectoryDefinitionFile）EF基本文件（ElementaryFile）FCI文件控制信息（FileControlInformation）INS命令报文的指令字节（Instructionbyteofcommandmessage）ISO国际标准化组织（InternationalOrganizationforStandardization）Lc终端发出的命令数据的实际长度（ExactLengthofCommanddatasent）Le响应数据中的最大期望长度（MaximumLengthofdataExpected）MAC报文鉴别代码（MessageAuthenticationCode）MF主文件(MasterFile)Q/CUP047.7—20124P1命令参数1（Parameter1）P2命令参数2（Parameter2）PIN个人密码（PersonalIdentificationNumber）POS销售点终端（PointofService）PSAM销售点终端安全存取模块（PurchaseSecureAccessModule）RFU保留为将来使用（ReservedforFutureUse）SFI短文件标识符（ShortFileIdentifier）SW1状态码1（StatusWordOne）SW2状态码2（StatusWordTwo）6通用存储概述6.1基本概念6.1.1通用存储整体结构6.1.1.1通用存储概念通用存储是指在IC卡上预先规划的空间内，在统一的数据文件、统一的APDU指令、统一的应用模板及统一的安全规则下，实现应用或记录的添加、读取或删除。6.1.1.2通用存储应用通用存储应用是指利用IC卡支持多应用的特性，在IC卡上以目录文件的形式，预先划分出一部分空间，并按本规范定义的文件接口或应用模板的要求进行初始化，该部分空间即可支持后续按统一指令要求进行的应用操作。6.1.1.3通用存储应用与PBOC应用关系通用存储是一个独立的应用，它与标准的PBOC2.0借贷记金融应用共存于一张IC卡上。通用存储应用与PBOC金融应用之间相互独立，互不干扰，在应用内部各自遵循自定义的应用流程和安全机制。在卡片上涉及支付方面的功能由金融IC卡借贷记应用完成。通用存储应用所占卡片区域与金融应用区域在IC卡上的存储形式如下图所示Q/CUP047.7—20125图6.1.通用存储空间与金融应用区域在IC卡上的存储形式——持卡人通用信息文件：在通用存储目录中，保存有两个基本文件，用于存储持卡人通用信息。这两个基本文件为：持卡人通用信息文件（EF01）和（EF02）。EF01是保存持卡人敏感信息的文件，在脱机认证PIN认证通过后允许读取，在通用存储空间维护密钥控制下允许修改。EF02是保存持卡人普通信息的文件，读取自由，在通用存储空间维护密钥控制下进行修改。——快速通用应用目录：快速通用应用目录可以为一些数据结构简单、安全性要求较低的行业应用提供存储空间和方法。它在通用存储空间内预先分配特定的应用目录，在应用目录中，相应行业可参考标准行业应用模板文件设计行业应用文件或记录，并在无需验证或简单验证（例如持卡人通用存储密码验证或记录密钥控制验证）通过的情况下写入或读出。——通用应用目录：通用应用目录是采用更高安全机制进行读写控制的目录，其数据内容的控制和管理一般由特定的行业负责。在通用应用内的文件信息格式和逻辑结构由行业自行负责管理，并不受其他应用的影响。但采用的文件类型、通讯指令应符合本规范的要求。——应用列表：应用列表是一个文件，主要包含卡内已添加的应用信息，并由卡片COS进行维护。Q/CUP047.7—201266.1.1.4通用存储文件与通用存储行业应用模板通用存储文件是以ISO7816为基础，