JT/T 1059.7-2025 交通一卡通移动支付技术规范 第7部分：受理终端

JT/T 1059.7—2025
目　　次
前言………………………………………………………………………………………………………… Ⅲ
引言………………………………………………………………………………………………………… Ⅴ
1　范围……………………………………………………………………………………………………… 1
2　规范性引用文件………………………………………………………………………………………… 1
3　术语和定义……………………………………………………………………………………………… 2
4　缩略语…………………………………………………………………………………………………… 2
5　分类和总体要求………………………………………………………………………………………… 3
6　读写终端………………………………………………………………………………………………… 4
7　移动终端……………………………………………………………………………………………… 21
8　分体终端……………………………………………………………………………………………… 22
9　SE应用管理终端……………………………………………………………………………………… 23
10　扫码终端……………………………………………………………………………………………… 29
11　人脸识别终端………………………………………………………………………………………… 31

前　　言
本文件按照GB/T 1.1—2020《标准化工作导则　第1部分：标准化文件的结构和起草规则》的规定起草。
本文件是JT/T 1059《交通一卡通移动支付技术规范》的第7部分。JT/T 1059已经发布了以下部分：
——第1部分：总则；
——第2部分：安全单元；
——第3部分：近场支付；
——第4部分：远程支付；
——第5部分：客户端软件；
——第6部分：可信服务管理系统；
——第7部分：受理终端
——第8部分：检测项目。
本文件代替JT/T 1059.7—2016《交通一卡通移动支付技术规范　第7 部分：终端设备》，与JT/T
1059.7—2016相比，除结构调整和编辑性改动外，主要技术变化如下：
——更改了术语“移动终端”的定义（见3.3，2016年版的3.3）；
——将“总体要求”更改为“分类和总体要求”，更改了受理终端的分类和总体要求（见第5章，2016
年版的第5章）；
——更改了读写终端的硬件要求（见6.1，2016年版的6.1）；
——更改了读写终端的功能要求（见6.3，2016年版的6.3）；
——删除了读写终端的交易模型要求（见2016年版的6.4）；
——增加了读写终端的交易流程要求（见6.4）；
——增加了移动终端非接触通道的电气特性和传输协议的硬件要求（见7.1.2）；
——增加了电磁兼容性（见8.1.2）；
——增加了扫码终端的技术要求（见第10章）；
——增加了人脸识别终端的技术要求（见第11章）。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由交通运输信息通信及导航标准化技术委员会提出并归口。
本文件起草单位：中国交通通信信息中心、北京中交金卡科技有限公司、北京智慧云测设备技术有
限公司、交联互通数字科技（北京）有限公司、北京中交国通智能交通系统技术有限公司、上海公共交通
卡股份有限公司、广东岭南通股份有限公司、深圳市深圳通有限公司、南京市市民卡有限公司、郑州天
迈科技股份有限公司、北京奥奈克斯科技有限公司、东信和平科技股份有限公司、上海复旦微电子集团
股份有限公司、天津环球磁卡科技有限公司、智达信科技术股份有限公司、大连金德姆电子有限公司、
深圳市雄帝科技股份有限公司、福建索天信息科技股份有限公司、天津通卡智能网络科技股份有限公
司、安徽银通物联有限公司。
本文件主要起草人：张延铭、唐猛、杜磊、张策、安焘、赵娜、张宁、魏巍、梅新明、王立岩、王佳宁、
谢玉、何建兵、王欢、王志峰、蒋浩平、周亮、赵彪、蔡克飞、郑清来、赵莹莹、郑少欢、龚立伟、王春兴、何政、
邹凤、路军、魏业君、程亮、张活林、熊儒亮、洪帆、高祝虎、郭兆印。
本文件及其所代替文件的历次版本发布情况为：
——2016年首次发布为JT/T 1059.7—2016；
——本次为第一次修订。

引　　言
推广普及交通一卡通是发展综合运输服务、落实公交优先发展战略的重要举措，事关人民群众切
身利益，是重要的民生工程。JT/T 1059《交通一卡通移动支付技术规范》旨在规范交通一卡通移动支付
相关产品和系统的设计、研发和建设，由八个部分构成。
——第1部分：总则。目的在于确立交通一卡通移动支付的系统组成及总体技术要求。
——第2部分：安全单元。目的在于规范交通一卡通移动支付安全单元的类型及技术要求。
——第3部分：近场支付。目的在于规范交通一卡通移动支付近场支付的应用模型及交易技术
要求。
——第4部分：远程支付。目的在于规范交通一卡通移动支付远程支付的应用模型及业务处理技
术要求。
——第5部分：客户端软件。目的在于规范交通一卡通移动支付客户端软件的架构及功能、安全
技术要求。
——第6部分：可信服务管理系统。目的在于规范交通一卡通移动支付可信服务管理系统的组成
及安全、管理、接口技术要求。
——第7部分：受理终端。目的在于规范交通一卡通移动支付受理终端的类型及技术要求。
——第8部分：检测。目的在于规范交通一卡通移动支付可信服务管理系统、客户端软件、受理终
端及安全单元的检测要求。

1　范围
本文件规定了交通一卡通移动支付受理终端的分类和总体要求，读写终端、移动终端、分体终端、
SE应用管理终端、扫码终端和人脸识别终端的技术要求。
本文件适用于交通一卡通移动支付受理终端的设计、开发和制造。
2　规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文
件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于
本文件。
GB 4943. 1　音视频、信息技术和通信技术设备　第1部分：安全要求
GB/T 5007. 1　信息技术　汉字编码字符集（基本集）　24点阵字型
GB/T 5199　信息技术　汉字编码字符集（基本集）　15×16点阵字型
GB/T 9254. 1—2021　信息技术设备、多媒体设备和接收机　电磁兼容　第1部分：发射要求
GB/T 9254. 2　信息技术设备、多媒体设备和接收机　电磁兼容　第2部分：抗扰度要求
GB/T 13000　信息技术　通用多八位编码字符集（UCS）
GB/T 16649. 3　识别卡　带触点的集成电路卡　第3部分：电信号和传输协议
GB 17625. 1　电磁兼容　限值　第1部分：谐波电流发射限值（设备每相输入电流≤16A）
GB 18030　信息技术　中文编码字符集
GB/T 23647—2009　自助服务终端通用规范
GA/T 73　机械防盗锁
GM/T 0003（所有部分）　SM2椭圆曲线公钥密码算法
JR/T 0120. 5　银行卡受理终端安全规范　第5部分：PIN输入设备
JT/T 978. 3—2023　城市公共交通IC卡技术规范　第3部分：读写终端
JT/T 978. 5　城市公共交通IC卡技术规范　第5部分：非接触接口通信
JT/T 978. 6—2015　城市公共交通IC卡技术规范　第6部分：安全
JT/T 1059. 1　交通一卡通移动支付技术规范　第1部分：总则
JT/T 1059. 2—2025　交通一卡通移动支付技术规范　第2部分：安全单元
JT/T 1059. 3　交通一卡通移动支付技术规范　第3部分：近场支付
JT/T 1059. 5　交通一卡通移动支付技术规范　第5部分：客户端软件
ISO 9564-2　银行业务　个人识别码（PIN）管理和安全　第2部分：核准的PIN加密算法[Financial
services—Personal Identification Number（PIN） management and security—Part 2：Approved
algorithms for PIN encipherment]
ISO 11568　银行业务　密钥管理（零售）[Financial services—key management（ retail）]
ISO 13491‑1　金融服务　安全加密设备（零售）　第1部分：概念、要求和评价方法[Financial services—
Secure cryptographic devices（ retail）—Part 1：Concepts, requirements and evalua‑
1
JT/T 1059.7—2025
tion methods]
ISO 16609　金融服务　采用对称加密技术进行报文鉴别的要求（Financial services—Requirements
for message authentication using symmetric techniques）
ETSI TS 102 613　智能卡　UICC— 非接触前端（CLF）接口：物理层和数据链路层特性[Smart
Cards—UICC‑Contactless Front‑end（CLF）Interface—Physical and data link layer
characteristics]
ETSI TS 102 622　智能卡　UICC— 非接触前端（CLF）接口 主机控制器接口[Smart Cards—
UICC‑Contactless Front‑end（CLF）Interface—Host Controller Interface（HCI）]
3　术语和定义
JT/T 1059. 1界定的以及下列术语和定义适用于本文件。
3. 1
分体终端　separated mobile payment terminal
使用分体的外部设备完成移动支付功能的受理终端。
注：分体终端按照适用的环境及功能不同，可以分为个人类设备和商户类设备。
3. 2
安全单元应用管理终端　security element application manage terminal
与可信服务管理平台连接的专用于管理客户端安全单元应用的受理终端。
注：安全单元应用管理终端在硬件上可以是销售点终端、自助终端或其他类型设备形态，一般布放在特定的场合，提
供用户对客户端安全单元应用进行个人化、下载、查询、同步等功能。
3. 3
移动终端　mobile terminal
使用包含安全单元的移动设备受理交通一卡通完成移动支付功能的受理终端。
4　缩略语
下列缩略语适用于本文件。
ADF：应用专用文件（Application Definition File）
AID：应用标识符（Application Identifier）
ANSI：美国国家标准学会（American National Standards Institute）
ASCII：美国标准信息交换代码（American Standard Code for Information Interchange）
ATS：选择应答（Answer To Select）
CLF：非接触前端接口（Contactless Front-end）
ESAM：嵌入式安全控制模块（Embedded Secure Access Module）
FCI：文件控制信息（File Control Information）
HID：人体学接口设备（Human Interface Device）
IC：集成电路（Integrated Circuit）
MAC：报文鉴别码（Message Authentication Code）
MODEM：调制解调器（Modulator and Demodulator）
PIN：个人识别码（Personal Identification Number）
POS：销售点终端（Point of Sale terminal）
2
JT/T 1059.7—2025
PPSE：近距离支付系统环境（Proximity Payment Systems Environment）
PSAM：Pin安全控制模块（Pin Secure Access Module）
PSE：支付系统环境（Payment Systems Environment）
P1：参数1(Parameter One）
SE：安全单元（Security Element）
SESPK：会话消费密钥（Session Purchase Key）
SESULK：会话圈存密钥（Session Unload Key）
SFI：短文件标识符（Short File Identifier）
SWP：单线协议（Single Wire Protocol）
TAC：交易鉴别码（Transaction Authentication Cryptogram）
TEE：可信执行环境（Trusted Execution Environment）
TMK：终端主密钥（Terminal Master Key）
TSM：可信服务管理（Trusted Service Management）
USB：通用串行总线（Universal Serial Bus）
VGA：视频图形阵列（Video Graphics Array）
WiFi：无线网（Wireless Fidelity）
WK：工作密钥（Working Key）
XML：扩展标记语言（Extensible Markup Language）
5　分类和总体要求
5. 1　分类
5. 1. 1　按照交通一卡通移动支付受理终端的应用场景，受理终端分为读写终端、移动终端、分体终端、
SE应用管理终端、扫码终端和人脸识别终端。
5. 1. 2　读写终端适用于公共汽电车、城市轨道交通和出租汽车等场景。
5. 1. 3　移动终端适用于个人用户受理城市公共交通IC卡或其他介质的移动支付场景，如充值和查询
交易记录等场景。
5. 1. 4　分体终端应用场景与移动终端类似。出于安全考虑，分体终端在物理形态和整体架构上进行
了分离。此类终端将非接触通信模块、密码输入模块以及关键的逻辑加密等风险等级较高的部分分离
出来并集中放置于分体式终端一侧，而主控端、常规逻辑和与后台的通信模块则放置于手机或其他通
用的移动设备端，两者通过蓝牙、WiFi及有线等方式进行通信和信息交换，共同完成交易处理或SE管
理功能。
5. 1. 5　SE应用管理终端适用于布放在营业网点对SE状态及应用进行管理操作的业务场景，包括POS
形态和自助终端形态两种。
5. 1. 6　扫码终端主要是指适用于交通一卡通移动支付扫码支付的专用读写终端，支持JT/T 1059. 2中
所规定的扫码类相关业务场景。
5. 1. 7　人脸识别终端是指支持人脸生物特征识别的专用读写终端，支持JT/T 1059. 2中所提到的人脸
识别等业务场景。
5. 2　总体要求
5. 2. 1　受理终端的非接触式电气特性和通信协议应符合JT/T 978. 5的要求。
5. 2. 2　若受理终端配备PIN输入设备或模块（如密码键盘），应满足如下要求：
3
JT/T 1059.7—2025
a）　PIN输入设备具备物理、逻辑安全机制，如具备入侵检测机制，防止PIN输入过程被监听、安全
地存储敏感信息、具备完整的密钥体系等；
b）　在PIN输入设备和非接触式读卡器间传输PIN相关信息时，有效地保护所传输的数据。
6　读写终端
6. 1　硬件要求
6. 1. 1　接触通道的电气特性和传输协议
读写终端接触通道用于读写PSAM或ESAM模块，接触通道的电气特性和链路层传输协议应符合
GB/T 16649. 3的规定。
6. 1. 2　非接触通道的电气特性和传输协议
读写终端非接触通道用于读写非接触卡片或不同类型的SE，非接触通道的电气特性和传输协议
应符合JT/T 978. 5的规定。
6. 2　软件要求
6. 2. 1　系统软件
读写终端应具有初始化和对软硬件的自检与报警功能，具备断电保护功能，并方便应用程序的加
载和参数设定。
6. 2. 2　二次开发平台
读写终端应提供高级语言开发环境，提供二次开发专用接口，并提供应用模块，具备应用程序的调
试和测试环境。
6. 2. 3　模块化结构
读写终端应支持模块化结构设计，封装成几个相对独立、性能稳定的模块，供开发者使用。
6. 3　功能要求
读写终端是通过非接触接口读写非接触卡片或不同类型的SE实现移动支付业务的受理终端，其
基础功能要求应符合JT/T 978. 3的规定。读写终端所使用的PSAM或ESAM模块的交易命令要求应符
合JT/T 978. 3—2023中附录B的规定。
6. 4　交易流程
6. 4. 1　电子钱包应用交易流程
6. 4. 1. 1　交易预处理
6. 4. 1. 1. 1　读写终端寻卡
读写终端应发送命令字为0x26或0x52的命令对放置天线区的非接触票卡进行寻卡。如果非接触
卡片有正常的ATS响应，终端应进入电子钱包交易预处理流程，电子钱包交易预处理流程应符合图1的
规定。
4
JT/T 1059.7—2025
图1　电子钱包交易预处理流程
6. 4. 1. 1. 2　选择PPSE
选择PPSE（SELECT PPSE）命令的执行过程应符合JT/T 1059. 2—2025的规定。
6. 4. 1. 1. 3　选择ADF
选择ADF（SELECT ADF）命令的执行过程应满足JT/T 1059. 2—2025第15章的命令要求。成功地
选择了电子钱包应用后，卡片应回送符合JT/T 1059. 2—2025中15. 1. 2. 2规定的包含发卡机构自定义
数据在内的FCI、标签为9F51的卡片支持的第一票种货币代码、标签为DF71的卡片支持的第二票种货
币代码、标签为DF00的卡片应用算法标识等信息。
5
JT/T 1059.7—2025
6. 4. 1. 1. 4　选择应用响应有效性检查
6. 4. 1. 1. 4. 1　对于SELECT ADF命令回送的数据信息标签值为9F08和9F0C的数据，读写终端应进
行下列检查。
a）　根据9F08标签中的应用版本号来确定终端使用的密钥分散规则：
1）　01表示采用分散规则1；
2）　02表示采用分散规则2；
3）　如未返回9F08标签的数据则默认采用分散规则1。
b）　根据9F0C标签中的应用序列号判定该卡是否不在终端存储的“黑名单”卡之列。
c）　根据9F0C标签中的发卡机构代码判定该卡是否在终端存储的“白名单”卡之列。
d）　根据9F0C标签中的应用类型标识来检查卡片支持的票种：
1）　1表示仅支持第二票种；
2）　2表示仅支持第一票种；
3）　3表示支持双票种。
e）　根据9F0C标签中的启用日期和有效日期来判定应用是否在有效期内。
6. 4. 1. 1. 4. 2　对于SELECT ADF 命令回送的信息标签为9F51 或DF71 的数据，读写终端应在
6. 4. 1. 1. 6选择票种过程中进行匹配和使用。
6. 4. 1. 1. 4. 3　对于SELECT ADF命令回送的信息标签为DF00的数据，读写终端应进行下列判断和
处理：
a）　00表示卡片仅支持国际算法，终端使用国际算法进行后续的交易；
b）　01表示卡片仅支持国密算法，终端使用国密算法进行后续的交易；
c）　02表示卡片支持双算法，终端优先使用国密算法进行后续的交易。
6. 4. 1. 1. 5　错误处理
6. 4. 1. 1. 4中有效性检查失败时终端应拒绝交易，显示相应的出错码。
6. 4. 1. 1. 6　选择票种
读写终端应根据应用选择时获得的应用类型标识，判别IC卡和读写终端支持第一票种或第二票种
的情况。若IC卡和读写终端同时支持第一票种或同时支持第二票种，则读写终端应自动地选择到第一
票种或第二票种。若IC卡和读写终端同时支持第一票种和第二票种，则读写终端应能通过配置的默认
票种进行交易或者向持卡人提供选择第一票种或第二票种的过程。若IC卡仅支持一种票种并且该票
种不被读写终端支持，则该过程终止。
6. 4. 1. 2　圈存交易流程
6. 4. 1. 2. 1　一般要求
圈存交易是钱包应用持卡人在交通一卡通卡片应用上增加票种余额计数器的交易过程，通常在圈
存终端上联机进行。卡片应成功地完成6. 4. 1. 2. 2～6. 4. 1. 2. 9所有操作或者一个也不完成。圈存交
易流程应符合图2的规定。
6. 4. 1. 2. 2　发出初始化圈存命令
读写终端应按JT/T 1059. 2—2025第15章的规定，发出初始化圈存（INITIALIZE FOR LOAD）命令，
启动圈存交易流程。
6
JT/T 1059.7—2025
图2　圈存交易处理流程
6. 4. 1. 2. 3　处理初始化圈存命令
卡片收到INITIALIZE FOR LOAD命令后，应按照下列步骤操作：
a）　检查是否支持命令中包含的密钥索引号。若不支持，则回送状态字9403，且不回送任何其他
数据，同时终止命令的处理过程。
b）　检查指定票种圈存命令中交易金额的有效性。补偿已透支金额后的交易金额，不超过钱包应
用余额上限，若超过，则回送状态字6985，不回送任何其他数据，同时终止命令的处理过程。
c）　在通过以上检查后，卡片产生一个伪随机数、过程密钥和MAC1，供主机验证圈存交易及卡片
的合法性。输入“伪随机数+电子钱包联机交易序号+8000”产生过程密钥，过程密钥对“交易
前的电子钱包可用余额+交易金额+交易类型标识+终端机编号”的数据加密产生MAC1。
d）　卡片按JT/T 1059. 2—2025第15章中规定的INITIALIZE FOR LOAD 响应报文回送给终端处
理。若卡片回送的状态字不是9000，则交易终止。
6. 4. 1. 2. 4　验证MAC1
收到INITIALIZE FOR LOAD命令响应报文后，终端应将JT/T 1059. 2—2025第15章中规定的数据
传给发卡机构主机，并由发卡机构主机生成过程密钥，确认MAC1是否有效。如果MAC1有效，应执行
7
JT/T 1059.7—2025
6. 4. 1. 2. 6；否则应执行6. 4. 1. 2. 5。
6. 4. 1. 2. 5　回送错误状态
若不接受圈存交易，则主机应通知终端。
6. 4. 1. 2. 6　主机圈存交易处理
发卡机构主机产生MAC2，用于卡片对主机进行合法性检查。MAC2的计算应采用过程密钥并按
顺序对下列数据加密产生：
a）　交易金额；
b）　交易类型标识，第1票种数值为02，第2票种数值为12；
c）　终端机编号；
d）　主机端的交易日期；
e）　主机端的交易时间。
主机成功地进行了圈存交易步骤后，将联机交易序号加1，并向终端发送一个圈存交易接受报文，
其中包括MAC2、主机端的交易日期和主机端的交易时间。
6. 4. 1. 2. 7　发出圈存命令
终端收到主机发来的圈存交易接受报文后，发出圈存（CREDIT FOR LOAD）命令更新卡片上电子
钱包余额。CREDIT FOR LOAD命令应符合JT/T 1059. 2—2025第15章的规定。
6. 4. 1. 2. 8　验证MAC2
收到CREDIT FOR LOAD命令后，卡片应确认MAC2的有效性。如果MAC2有效，应交易处理执行
6. 4. 1. 2. 9；否则应向终端回送状态字9302，表示MAC无效。
6. 4. 1. 2. 9　卡片圈存交易确认处理
6. 4. 1. 2. 9. 1　记录交易明细处理
卡片应将电子钱包联机交易序号加1，并且把交易金额加在电子钱包的余额上。在电子钱包圈存
交易中，卡片应使用下列数据组成的一个记录自动更新交易明细0x18记录文件：
a）　电子钱包联机交易序号；
b）　交易金额；
c）　交易类型标识；
d）　终端机编号；
e）　主机端的交易日期；
f　）　主机端的交易时间。
6. 4. 1. 2. 9. 2　TAC 计算
TAC的计算不应采用过程密钥方式，应按照JT/T 978. 6—2015的6. 2对下列顺序组合的数据进行
加密运算：
a）　交易后的电子钱包可用余额；
b）　顺序加1前的电子钱包交易序号；
c）　交易金额；
d）　交易类型标识；
8
JT/T 1059.7—2025
e）　终端机编号；
f　）　主机端的交易日期；
g）　主机端的交易时间。
6. 4. 1. 2. 10　返回确认
在成功完成6. 4. 1. 2. 9后，卡片应通过CREDIT FOR LOAD命令的响应报文将TAC回送给终端。
发卡机构主机在必要时验证TAC。
6. 4. 1. 3　圈提交易流程
6. 4. 1. 3. 1　一般要求
圈提交易是钱包应用持卡人在交通一卡通卡片应用上减少票种余额计数器的交易过程，通常在圈
提终端上联机进行。卡片应成功地完成6. 4. 1. 3. 2～6. 4. 1. 3. 8所有步骤或者一个也不完成。圈提交
易流程应符合图3的规定。
图3　圈提交易处理流程
9
JT/T 1059.7—2025
6. 4. 1. 3. 2　发出初始化圈提命令
终端发出初始化圈提（INITIALIZE FOR UNLOAD）命令启动圈提交易。
6. 4. 1. 3. 3　处理初始化圈提命令
卡片收到INITIALIZE FOR UNLOAD命令后，应按照下列步骤操作：
a）　检查是否支持命令中提供的密钥索引号。若不支持，则回送状态字9403，不回送任何其他数
据，同时终止命令的处理过程。
b）　检查命令中包含的交易金额是否超过电子钱包实际余额。若超过，则回送状态字9401，不回
送其他数据。
c）　在通过以上检查后，卡片将产生一个伪随机数、过程密钥SESULK和MAC1，供主机验证圈提交
易及卡片的合法性。输入“伪随机数+电子钱包联机交易序号+8000”产生过程密钥，过程密钥对
“交易前的电子钱包可用余额+交易金额+交易类型标识+终端机编号”的数据加密产生MAC1。
d）　卡片按JT/T 1059. 2—2025第15章中规定的INITIALIZE FOR UNLOAD响应报文回送给终端
处理。若卡片回送的状态字不是9000，则交易终止。
6. 4. 1. 3. 4　验证MAC1
在收到INITIALIZE FOR UNLOAD的响应报文后，终端应将JT/T 1059. 2—2025第15章中规定的数
据传给发卡机构主机，并由发卡机构主机生成过程密钥，确认MAC1是否有效。如果MAC1有效，应执
行6. 4. 1. 3. 6中的步骤。否则应执行6. 4. 1. 3. 5。
6. 4. 1. 3. 5　回送错误状态
如果不接受圈提交易，主机应通知终端。
6. 4. 1. 3. 6　主机圈提交易处理
发卡机构主机产生MAC2，用于卡片对主机进行合法性检查。MAC2的计算应采用过程密钥并按
顺序对下列数据加密产生：
a）　交易金额；
b）　交易类型标识，第1票种数值为03，第2票种数值为13；
c）　终端机编号；
d）　主机端的交易日期；
e）　主机端的交易时间。
主机成功地进行圈提交易步骤后，将向终端发送一个圈提交易接受报文，其中，包括MAC2、主机端
的交易日期和主机端的交易时间。
6. 4. 1. 3. 7　发出圈提命令
终端收到主机的圈提交易接受报文后，发出圈提（DEBIT FOR UNLOAD）命令以更新卡片上电子钱
包余额。DEBIT FOR UNLOAD命令应符合JT/T 1059. 2—2025第15章的规定。
6. 4. 1. 3. 8　验证MAC2
收到DEBIT FOR UNLOAD命令后，卡片应确认MAC2的有效性。如果MAC2有效，交易处理应执
行6. 4. 1. 3. 9；否则应向终端回送状态字9302，表示MAC无效。
10
JT/T 1059.7—2025
6. 4. 1. 3. 9　卡片圈提交易确认处理
6. 4. 1. 3. 9. 1　卡片将电子钱包联机交易序号加1，并从卡片上的电子钱包余额中扣减交易金额。
6. 4. 1. 3. 9. 2　卡片将产生MAC3，并通过圈提（DEBIT FOR UNLOAD）命令的响应报文将下列数据经
终端送往主机。
a）　使用SESULK按顺序对下列数据加密产生MAC3：
1）　交易后的电子钱包可用余额；
2）　顺序加1前的电子钱包联机交易序号；
3）　交易金额；
4）　交易类型标识；
5）　终端机编号；
6）　主机端的交易日期；
7）　主机端的交易时间。
b）　卡片用下列数据组成的一个记录更新交易明细：
1）　顺序加1后的电子钱包联机交易序号；
2）　交易金额；
3）　交易类型标识；
4）　终端机编号；
5）　主机端的交易日期；
6）　主机端的交易时间。
6. 4. 1. 3. 10　验证MAC3
主机收到卡片回送的MAC3后，应确认MAC3是否有效。如果MAC3有效，交易处理应继续执行交
易步骤；否则应向终端回送一个错误状态字。
6. 4. 1. 3. 11　主机圈提交易确认处理
发卡机构主机将交易金额从电子钱包余额计数器上扣减，并将主机的电子钱包联机交易序号加1。
主机将向终端回送一个完成报文，表示持卡人的账户已更新。
6. 4. 1. 3. 12　显示完成
在收到主机的完成报文后，终端将向持卡人显示交易完成信息。如果需要，终端应能向持卡人提
供纸质交易凭证。
6. 4. 1. 4　消费交易流程
6. 4. 1. 4. 1　一般要求
消费交易是允许钱包应用持卡人在交通一卡通读写终端上通过一次交易完成的交易过程，通常在
交通一卡通读写终端上脱机进行。卡片应成功地完成6. 4. 1. 4. 2～6. 4. 1. 4. 6所有步骤或者一个也不
完成。消费交易流程应符合图4的规定。
6. 4. 1. 4. 2　发出初始化消费命令
终端发出初始化消费（INITIALIZE FOR PURCHASE）命令启动消费交易。INITIALIZE FOR PURCHASE
命令应符合JT/T 1059. 2—2025第15章命令的规定，P1为01时交易为第1票种，P1为11时交易为第2
11
JT/T 1059.7—2025
票种，票种的货币代码应符合JT/T 1059. 2—2025中第15章选择ADF 命令返回FCI数据中数据标签
9F51和DF71的规定。
图4　消费交易流程
6. 4. 1. 4. 3　处理初始化消费命令
卡片收到INITIALIZE FOR PURCHASE命令后，应按照下列步骤操作：
a）　检查是否支持命令中提供的密钥索引号。若不支持，则回送状态字9403，表示不支持的密钥索引。
b）　检查电子钱包余额是否大于或等于交易金额。若小于交易金额，则回送状态字9401，表示金
额不足。
c）　在通过以上检查之后，卡片将产生一个伪随机数并连同电子钱包交易序号进行响应。终端的
安全存取模块（PSAM或ESAM）产生过程密钥SESPK和MAC1供卡片来验证PSAM或ESAM的
12
JT/T 1059.7—2025
合法性。输入“伪随机数+电子钱包脱机交易序号+终端交易序号的最右两个字节”产生过程
密钥，过程密钥对“交易金额+交易类型标识+终端机编号+终端的交易日期+终端的交易时间+
交易货币代码”的数据加密产生MAC1。
6. 4. 1. 4. 4　发出消费命令
终端发出消费（DEBIT FOR PURCHASE）命令，DEBIT FOR PURCHASE命令应符合JT/T 1059. 2—
2025第15章的规定。
6. 4. 1. 4. 5　验证MAC1
收到DEBIT FOR PURCHASE命令后，卡片应验证MAC1的有效性。若MAC1有效，交易处理应执
行6. 4. 1. 4. 6；否则向终端回送错误状态字9302表示MAC无效。
6. 4. 1. 4. 6　卡片消费交易确认处理
6. 4. 1. 4. 6. 1　卡片应自动从电子钱包余额中扣减消费的金额，并将电子钱包交易序号加1。只有余
额和序号的更新均成功后，交易明细0x18记录文件才能更新。
6. 4. 1. 4. 6. 2　卡片产生MAC2 供PSAM 或ESAM 对其进行合法性检查，并通过DEBIT FOR
PURCHASE命令的响应报文回送终端。MAC2的计算采用SESPK对交易金额进行加密产生。
6. 4. 1. 4. 6. 3　卡片按照JT/T 978. 6—2015的6. 2产生TAC。TAC将被写入终端交易明细，以便于主
机进行交易验证。TAC以明文形式通过DEBIT FOR PURCHASE命令的响应报文从卡片传送到终端。
卡片应使用下列数据生成TAC，并更新交易明细。
a）　生成TAC的数据包括下列内容：
1）　交易金额；
2）　交易类型标识，第1票种数值为06，第2票种数值为16；
3）　终端机编号；
4）　终端交易序号；
5）　终端的交易日期；
6）　终端的交易时间。
b）　更新交易明细的记录数据包括下列内容：
1）　电子钱包脱机交易序号；
2）　交易金额；
3）　交易类型标识；
4）　终端机编号；
5）　终端的交易日期；
6）　终端的交易时间。
6. 4. 1. 4. 7　验证MAC2
在收到卡片传来的MAC2后，PSAM或ESAM应验证MAC2的有效性。MAC2验证的结果被传送到
终端以便采取必要的措施。
6. 4. 1. 5　复合应用消费交易流程
6. 4. 1. 5. 1　一般要求
复合应用消费交易是持卡人使用电子钱包的余额，根据卡片上记录的分时分段信息，进行支付或
13
JT/T 1059.7—2025
获取服务的交易过程。此交易通常在受理终端或其他读卡设备上脱机进行。复合应用消费交易允许
消费金额为0。卡片应成功地完成6. 4. 1. 5. 2～6. 4. 1. 5. 8步骤或者一个也不完成。复合应用消费交
易流程应符合图5的规定。
图5　复合应用消费交易流程
14
JT/T 1059.7—2025
6. 4. 1. 5. 2　发出初始化复合应用消费命令
终端发出初始化复合应用消费（INITIALIZE FOR CAPP PURCHASE）命令启动复合应用消费交易。
6. 4. 1. 5. 3　处理初始化复合应用消费命令
卡片收到INITIALIZE FOR CAPP PURCHASE命令后，应按照下列步骤操作：
a）　检查是否支持命令中提供的密钥索引号。若不支持，则回送状态字9403，不回送其他数据。
b）　检查电子钱包余额是否大于或等于交易金额。若小于交易金额，则回送状态字9401，不回送
其他数据。
c）　在通过以上检查之后，卡片将产生一个伪随机数并连同电子钱包交易序号进行响应。终端的
安全存取模块（PSAM或ESAM）产生过程密钥SESPK和MAC1供卡片来验证PSAM或ESAM的
合法性。输入“伪随机数+电子钱包脱机交易序号+终端交易序号的最右两个字节”产生过程
密钥，过程密钥对“交易金额+交易类型标识+终端机编号+终端的交易日期+终端的交易时间+
交易货币代码”的数据加密产生MAC1。
6. 4. 1. 5. 4　发出更新复合应用数据缓存命令
终端发出更新复合应用数据缓存（UPDATE CAPP DATA CACHE）命令，交易流程应符合图5的规
定。对卡种类型值为0x96的巡检卡片，应更新相应行业应用信息记录文件、记录标识为2712的行业巡
检信息记录文件和循环记录文件。对非卡种类型值为0x96的卡片，应更新相应行业应用信息记录文件
和循环记录。
6. 4. 1. 5. 5　处理更新复合应用数据缓存命令
卡片在收到UPDATE CAPP DATA CACHE命令后，应按照下列步骤操作：
a）　如果命令中存在SFI域，检查卡片当前应用下是否存在与命令中SFI值相同的文件。若不存
在，则回送状态字6A82，不回送其他数据。终端应终止此次复合应用消费交易。
b）　根据命令中的复合应用类型标识符，查询复合应用消费专用文件中是否存在相同标识符的
记录。若不存在，则回送状态字6A83，不回送其他数据。终端应终止此次复合应用消费
交易。
c）　检查复合应用消费专用文件中相应记录中的应用锁定标志字节。若应用锁定标志为设置，则
回送状态字9407，不回送其他数据。终端应终止此次复合应用消费交易。
d）　检查命令中的数据域长度是否大于复合应用消费专用文件中相应记录的长度。若大于，则回
送状态字6A84，不回送其他数据。终端应终止此次复合应用消费交易。
e）　在通过以上检查后，卡片应暂存命令中的SFI、记录号、复合应用类型标识符和数据域。复合
应用消费专用文件中相应记录中的数据不应通过此命令更新。
6. 4. 1. 5. 6　发出复合应用消费命令
终端发出复合应用消费（DEBIT FOR CAPP PURCHASE）命令，DEBIT FOR CAPP PURCHASE 命
令应符合JT/T 1059. 2—2025 第15 章的规定，P1 为01 时，交易为第1 票种；P1 为11 时，交易为第2
票种。
6. 4. 1. 5. 7　验证MAC1
卡片在收到DEBIT FOR CAPP PURCHASE命令后，将验证MAC1的有效性。如果MAC1有效，交易
15
JT/T 1059.7—2025
处理应继续执行交易流程。否则应向终端回送错误状态字9302表示MAC无效。
6. 4. 1. 5. 8　卡片复合消费交易确认处理
6. 4. 1. 5. 8. 1　卡片从电子钱包余额中扣减消费的金额，电子钱包交易序号加1，并更新复合应用消费
专用文件，更新电子钱包消费交易记录。暂存的数据更新复合应用消费专用文件时，如果更新数据长
度小于记录长度，卡片应在数据后自动填充00至记录尾。
6. 4. 1. 5. 8. 2　卡片产生MAC2 供PSAM 或ESAM 对其进行合法性检查，并通过DEBIT FOR CAPP
PURCHASE命令响应报文回送。MAC2的计算采用SESPK对交易金额进行加密产生。
6. 4. 1. 5. 8. 3　卡片按照JT/T 978. 6—2015的6. 2产生TAC。TAC将被写入终端交易明细，用于主机
进行交易验证，它以明文形式通过命令报文从终端传送到卡片。卡片应使用下列数据生成TAC，并更
新交易明细。
a）　生成TAC的数据包括下列内容：
1）　交易金额；
2）　交易类型标识，第1票种数值为09，第2票种数值为19；
3）　终端机编号；
4）　终端交易序号；
5）　终端的交易日期；
6）　终端的交易时间。
b）　更新交易明细的记录数据包括下列内容：
1）　电子钱包脱机交易序号；
2）　交易金额；
3）　交易类型标识；
4）　终端机编号；
5）　终端的交易日期；
6）　终端的交易时间。
6. 4. 1. 5. 9　验证MAC2
在收到卡片传来的MAC2后，PSAM或ESAM应验证MAC2的有效性。MAC2验证的结果被传送到
终端以便采取必要的措施。
6. 4. 1. 5. 10　不完整交易处理
在多票制的公交和地铁行业，当卡片发生不完整交易时候，终端应做不完整交易处理。
6. 4. 1. 6　修改透支限额交易流程
6. 4. 1. 6. 1　一般要求
修改透支限额交易允许持卡人修改卡片上的透支限额信息。此交易通常在受理终端或其他读卡
设备上联机进行，卡片应成功地完成6. 4. 1. 6. 2～6. 4. 1. 6. 7所有步骤或者一个也不完成。修改透支
限额交易流程应符合图6的规定。
6. 4. 1. 6. 2　发出初始化修改命令
终端发出初始化修改（INITIALIZE FOR UPDATE）命令启动修改透支限额交易。
16
JT/T 1059.7—2025
图6　修改透支限额交易流程
6. 4. 1. 6. 3　处理初始化修改命令
卡片收到INITIALIZE FOR UPDATE命令后，应按照下列步骤操作：
a）　检查是否支持命令中包含的密钥索引号。若不支持，则回送状态字9403，但不回送任何其他
数据，同时终止命令的处理过程。
b）　卡片将产生一个伪随机数、过程密钥和MAC1，供主机验证修改透支限额交易及卡片的合法性。
过程密钥用于电子钱包修改透支限额交易。输入“伪随机数+电子钱包联机交易序号+8000”产
生过程密钥，过程密钥对“交易前的电子钱包可用余额+电子钱包原透支限额+交易类型标识+
终端机编号”的数据加密产生MAC1。
c）　卡片按JT/T 1059. 2—2025第15章中规定的修改初始化（INITIALIZE FOR UPDATE）命令响应
报文回送给终端处理。若卡片回送的状态字不是9000，则交易终止。
6. 4. 1. 6. 4　验证MAC1
收到INITIALIZE FOR UPDATE命令响应数据后，终端应将JT/T 1059. 2—2025第15章中规定的数
据传给发卡机构主机，并由发卡机构主机生成过程密钥，确认MAC1是否有效。如果MAC1有效，应执
17
JT/T 1059.7—2025
行6. 4. 1. 6. 6；否则应执行6. 4. 1. 6. 5。
6. 4. 1. 6. 5　回送错误状态
如果不接受修改透支限额交易，主机应通知终端。
6. 4. 1. 6. 6　主机修改透支限额交易处理
6. 4. 1. 6. 6. 1　发卡机构主机产生MAC2，用于卡片对主机进行合法性检查。MAC2的计算应采用过程
密钥并按顺序对下列数据加密产生：
a）　新透支限额；
b）　交易类型标识，第1票种数值为07，第2票种数值为17；
c）　终端机编号；
d）　主机端的交易日期；
e）　主机端的交易时间。
6. 4. 1. 6. 6. 2　主机成功地进行修改透支限额交易步骤后，将联机交易序号加1，并向终端发送一个修
改透支限额交易接受报文，其中，包括MAC2、主机端的交易日期和主机端的交易时间。
6. 4. 1. 6. 7　发出修改透支限额命令
终端收到主机发来的修改透支限额交易接受报文后，发出修改透支限额（UPDATE OVERDRAW
LIMIT）命令更新卡片上电子钱包修改透支限额。UPDATE OVERDRAW LIMIT 命令应符合JT/T
1059. 2—2025第15章的规定。
6. 4. 1. 6. 8　验证MAC2
收到UPDATE OVERDRAW LIMIT命令后，卡片应确认MAC2是有效的。如果MAC2有效，交易处
理应执行交易6. 4. 1. 6. 9；否则应向终端回送状态字9302表示MAC无效。
6. 4. 1. 6. 9　卡片修改透支限额确认交易处理
卡片将电子钱包联机交易序号加1，并从卡片上的电子钱包余额中增加或扣减交易金额。卡片将
产生一个交易TAC，并通过UPDATE OVERDRAW LIMIT命令的响应报文将下列数据经终端送往主机。
a）　用SESULK对下列数据按顺序组合并加密产生TAC：
1）　交易后的电子钱包可用余额；
2）　顺序加1前的电子钱包联机交易序号；
3）　新透支限额；
4）　交易类型标识；
5）　终端机编号；
6）　主机端的交易日期；
7）　主机端的交易时间。
b）　卡片用下列数据组成的一个记录更新交易明细：
1）　电子钱包联机交易序号；
2）　交易金额；
3）　交易类型标识；
4）　终端机编号；
5）　主机端的交易日期；
18
JT/T 1059.7—2025
6）　主机端的交易时间。
6. 4. 1. 6. 10　验证TAC
主机收到卡片回送的TAC后，应确认TAC是否有效。如果TAC有效，终端将向持卡人显示修改卡
片透支限额交易成功。终端应能向持卡人提供纸质交易凭证。否则将向终端回送一个错误状态字。
6. 4. 1. 7　交易后处理
6. 4. 1. 7. 1　一般要求
当交易发生闪卡时，读写终端应执行交易后处理。电子钱包交易后处理流程应符合图7的规定。
图7　电子钱包交易后处理流程
19
JT/T 1059.7—2025
6. 4. 1. 7. 2　初始化和防冲突
读写终端同时检测到多个非接触卡片，应向持卡人显示并提示只放置一张卡片。
6. 4. 1. 7. 3　读取0x18 记录
终端应发送READ RECORD命令，读取钱包应用0x18交易明细文件，获取最近的关联交易明细。
6. 4. 1. 7. 4　发送取交易认证命令
终端应发送取交易认证（GET TRANSACTION PROVE）命令，读取卡片MAC2和TAC。
6. 4. 1. 7. 5　交易确认处理
若卡片返回所需MAC2不可用等错误状态，则终端确认上笔交易失败，重新进入交易流程。若卡片
正常返回MAC2和TAC，终端则将MAC2送给PSAM或ESAM进行验证，若验证通过，则上笔闪卡交易确
认交易成功，生成正常交易记录并完成交易；若认证不通过，则确认卡片交易失败，结束闪卡交易流程。
6. 4. 2　电子现金应用交易流程
6. 4. 2. 1　交易预处理
6. 4. 2. 1. 1　读写终端寻卡
终端应发送命令字为0x26或0x52的命令对放置天线区的非接触卡片进行寻卡。如果非接触卡片
有正常的ATS响应，终端应进入交易预处理流程。电子现金交易预处理流程应符合图8的规定。
图8　电子现金交易预处理流程
20
JT/T 1059.7—2025
6. 4. 2. 1. 2　应用选择
应用选择的执行过程应符合JT/T 1059. 2—2025中第14章的规定。成功地选择电子现金应用后，
卡片回送应符合JT/T 1059. 2—2025中15. 2. 2. 2规定的标签DF11、标签9F51、标签DF71和标签9F38。
其中包含发卡机构专用数据在内的FCI标签为DF11、卡片支持的第一票种货币代码标签为9F51和卡
片支持的第二票种货币代码信息标签为DF71、交易处理数据列表PDOL的标签为9F38。
6. 4. 2. 1. 3　PPSE 选择
PPSE选择的执行过程应符合JT/T 1059. 2—2025的规定。
6. 4. 2. 1. 4　应用有效性检查
6. 4. 2. 1. 4. 1　对于SELECT ADF命令回送的数据标签为9F38的数据，终端将对这些数据进行下列
检查。
a）　标签为9F38的数据应包含DF69的数据内容，表示卡片支持算法选择，终端应使用卡片支持算
法进行后续的交易。
b）　后续终端发送命令中DF69的值确定了本次交易所使用的算法：
1）　00，表示使用国际算法进行后续的交易；
2）　01，表示使用国密算法进行后续的交易。
6. 4. 2. 1. 4. 2　对于SELECT ADF命令回送的数据标签DF11，终端将对这些数据进行以下检查：
a）　使用标签DF11中的应用序列号判定该卡是否在终端存储的“黑名单”卡之列；
b）　使用标签DF11中的发卡机构代码判定该卡是否在终端存储的“白名单”卡之列。
6. 4. 2. 1. 5　错误处理
6. 4. 2. 1. 4中有效性检查失败时终端应拒绝交易，显示相应的出错码。
6. 4. 2. 2　电子现金联机交易
电子现金联机交易应符合JT/T 978. 3—2023中8. 1的规定。
6. 4. 2. 3　电子现金快速交易
电子现金快速交易应符合JT/T 978. 3—2023中8. 2的规定。
6. 4. 2. 4　电子现金快速扩展交易
电子现金快速扩展交易应符合JT/T 978. 3—2023中8. 3、8. 4的规定。
6. 4. 2. 5　电子现金快速第二票种交易
电子现金快速第二票种交易应符合JT/T 978. 3—2023中8. 5的规定。
7　移动终端
7. 1　硬件要求
7. 1. 1　接触通道的电气特性和传输协议
移动终端在内置SE的情况下，CLF和SE接口是内部接口，宜采用SWP及其他内部接口协议。SWP
21
JT/T 1059.7—2025
接口的电气特性和链路层传输协议应符合ETSI TS 102 613的规定；其传输层协议应符合ETSI TS 102
622的规定。
7. 1. 2　非接触通道的电气特性和传输协议
非接触通道的电气特性和传输协议应符合JT/T 978. 5的规定。
7. 2　软件要求
移动终端软件要求应符合6. 2的规定。
7. 3　功能要求
移动终端具备的功能应符合JT/T 1059. 5的规定。
7. 4　交易模型要求
移动终端支持的交易模型应符合JT/T 1059. 3的规定。
7. 5　安全要求
移动终端应满足JT/T 1059. 5规定的安全要求。
8　分体终端
8. 1　硬件要求
8. 1. 1　硬件模块
8. 1. 1. 1　非接触式读卡器
分体终端应具备内置非接触式读卡器，并以明显的标识标明非接触读卡区域。非接触式读卡器应
满足第6章的要求。
8. 1. 1. 2　通信端口
分体终端应提供与外部设备的通信端口。通信端口宜支持下列全部或部分类型的通信方式：
a）　蓝牙通信；
b）　串口通信；
c）　USB；
d）　WiFi；
e）　音频接口。
8. 1. 1. 3　存储器
分体终端应具有足够的存储容量存放应用程序、密钥、交易数据和其他参数等，并确保在掉电后数
据不丢失。存储器保存的交易记录应不少于500条。
8. 1. 2　电磁兼容性
无线电干扰极限值应符合GB/T 9254. 1—2021中B级ITE的规定。产品的抗扰度限值应符合GB/T
9254. 2的规定。
22
JT/T 1059.7—2025
8. 2　软件要求
分体终端软件要求应符合6. 2的规定。
8. 3　安全要求
分体终端在操作员管理、密钥体系、密钥管理、加密及存储等安全方面应满足JT/T 978. 6的要求。
9　SE 应用管理终端
9. 1　硬件要求
9. 1. 1　POS 形态
9. 1. 1. 1　基本要求
POS形态SE应用管理终端作为一类使用广泛的小型SE管理终端，其基础硬件及性能应符合JT/T
978. 3的规定。
9. 1. 1. 2　显示屏
显示屏应显示ASCII可视字符，汉字应按照GB/T 5007. 1、GB/T 5199、GB/T 13000或GB 18030的要
求显示。屏幕大小应具有显示4行或4行以上英文和中文功能，其中，每行显示不少于16个英文字母、
数字和符号，或不少于8个汉字。终端的液晶显示屏对比度宜可调节或带背光功能，且具备图形显示
能力。
9. 1. 1. 3　键盘
键盘应提供0～9的十进制数字型字符及若干功能键的输入，应能输入字母。键盘使用寿命应达
到每键可敲击300000次以上。
若采用了带颜色的命令键，宜使用下列颜色分配：
a）　确认：绿色；
b）　取消：红色；
c）　清除：黄色。
9. 1. 1. 4　密码键盘
9. 1. 1. 4. 1　POS形态的SE应用管理终端应配有密码键盘，连接方式有两种：与终端集成在一起的内
置密码键盘；与终端通过通信线连接的外置密码键盘。
9. 1. 1. 4. 2　密码键盘内部应包含具有加密运算处理功能的专用器件，能完成报文加密、解密、MAC计
算和验证。密码键盘应能安全地存储密钥，防止被读取。应支持可存储及选用多组密钥。
9. 1. 1. 4. 3　密码键盘应至少具有10个数字键和若干功能键。功能键应至少包括“清除”和“确认”两种
功能；独立密码键盘至少应具有一行数字或字母显示屏。键盘使用寿命应达到每键敲击300 000次以上。
9. 1. 1. 4. 4　交易金额应显示在密码键盘的显示屏上。用户键入密码时，密码键盘的显示屏上不应显
示明文，应显示“*”。密码键盘与POS之间的关键数据传送应以密文的形式进行，如下载主密钥。
9. 1. 1. 5　非接触式读卡器
非接触式读卡器应具备明显的标识，标明非接触读卡区域。如果读卡区域在显示屏下方，在交易
23
JT/T 1059.7—2025
时应在显示屏上显示非接触读卡标识。非接触式读卡器包括下列两种类型：
a）　与终端集成在一起的内置非接触式读卡器。
b）　与终端通过通信线连接的外置非接触式读卡器，外置非接触式读卡器包括下列两种类型：
1）　独立非接触式读卡器；
2）　与密码键盘集成在一起的非接触式读卡器。
9. 1. 1. 6　打印机
打印机选用点阵击打式或热敏纸记录式打印机，能内置或外接。打印机应满足下列要求：
a）　打印支持ASCII 可视字符，汉字满足GB/T 5007. 1、GB/T 5199、GB/T 13000 或GB 18030 的
要求；
b）　无故障打印凭证张数不少于50 000张；
c）　走纸定位准确，点阵击打式打印机至少能打印三联压感复写凭证；
d）　具有过热保护功能；
e）　打印字迹清晰均匀、字体饱满无形变。
9. 1. 1. 7　存储器
终端应具有足够的存储容量来存放应用程序、密钥、交易数据和其他参数等，并确保在掉电后数据
不丢失。要求在保证完成交易功能的前提下，单一批次内，终端能够保存300笔以上的交易流水。
9. 1. 1. 8　通信端口
POS形态SE应用管理终端应以联机方式与TSM平台进行通信，通信端口应支持下列全部或部分
类型的通信方式：
a）　串口通信；
b）　MODEM通信；
c）　红外通信；
d）　无线通信；
e）　以太网通信；
f ）　其他。
9. 1. 2　自助终端形态
9. 1. 2. 1　基本要求
自助终端形态SE应用管理终端硬件应符合GB/T 23647—2009第4章的规定。
9. 1. 2. 2　硬件设计要求
硬件设计应满足下列要求：
a）　具备防火、防盗、防尘、防淋、防震、防暴等要求，保证人身安全；
b）　配置的密封装置及门锁耐久、安全、可靠，符合GA/T 73的规定，对异常情况有报警及日志记录
功能；
c）　硬件系统和各模块单元的逻辑设计尽量采用统一校验等技术，并留有适当的逻辑余量；
d）　硬件系统具备自检功能；
e）　框架和机柜有一定的刚度和强度，以防止由于空间变动、部件变松或移位造成的全部或部分
损坏，并防止和减少部件发生火灾、电冲击和人身伤害的可能性；
24
JT/T 1059.7—2025
f ）　外形具备人性化特点，客户操作应感到舒适方便；
g） 　安全模块应符合严格的密钥机制，保证用户个人信息及PIN等账户信息的安全。
9. 1. 2. 3　外观和结构
自助终端形态SE应用管理终端的外观和结构应满足下列要求：
a）　表面没有明显的凹痕、划伤、裂缝、变形和污染等，表面涂镀层应均匀，不起泡、龟裂、脱落和磨
损，金属零部件没有锈蚀及其他机械损伤；
b）　零部件紧固无松动，键盘、开关及其他活动部件的动作灵活可靠。
9. 1. 2. 4　触摸屏输入
正常使用情况下，触摸屏的触摸反应时间不应大于20 ms；透光率不应小于95%；单点触摸的使用
寿命不小于3 500万次。
9. 1. 2. 5　密码键盘
自助终端形态SE应用管理终端的密码键盘采用加密PIN键盘实现。PIN键盘包含一个内嵌的密
码模块，完成PIN加密和密钥管理的任务。为了用户方便，加密PIN键盘的密码模块还应提供其他密码
加密服务，比如报文加密和报文鉴别。密码键盘应符合ISO 16609、ISO 13491‑1、ISO 9564‑2、ISO 11568
的规定。
9. 1. 2. 6　非接触式读卡模块
非接触式读卡模块应满足第6章的要求，宜采用内嵌式模块。
非接触式读卡模块应具备明显的标识，标明非接触读卡区域。
9. 1. 2. 7　通信端口
自助终端形态SE应用管理终端应以联机方式与TSM平台进行通信。通信端口应支持下列全部或
部分类型的通信方式：
——串口通信；
——MODEM通信；
——红外通信；
——无线通信；
——以太网通信；
——其他。
9. 1. 2. 8　电气安全
自助终端形态SE应用管理终端的电气安全要求应符合GB 4943. 1的规定。
9. 1. 2. 9　电磁兼容性
9. 1. 2. 9. 1　无线电骚扰限值
自助终端形态SE应用管理终端的无线电骚扰限值应符合GB/T 9254. 1的规定。
9. 1. 2. 9. 2　抗扰度限值
自助终端形态SE应用管理终端的抗扰度限值应符合GB/T 9254. 2的规定。
25
JT/T 1059.7—2025
9. 1. 2. 9. 3　谐波电流限值
自助终端形态SE应用管理终端的谐波电流限值应符合GB 17625. 1的有关规定。
9. 1. 2. 10　其他
自助终端形态SE应用管理终端其他部件性能应确保SE应用管理终端功能的实现。
9. 2　软件要求
自助终端形态SE应用管理终端软件要求应符合6. 2的规定。
9. 3　功能要求
自助终端形态SE应用管理终端应包括下列全部或部分功能：
a）　自检：SE应用管理终端开机后对硬件状态进行检测和报警；
b）　操作员签到：操作员开机后，键入操作员代码和密码，SE应用管理终端验证操作员的合法性，
签到成功后操作员对SE应用管理终端进行操作；
c）　终端签到：SE应用管理终端与管理平台签到采用联机方式，签到成功后才允许做其他交易；
d）　终端签退：SE应用管理终端具备签退功能，签退后的终端显示签退提示；
e）　应用下载：通过TSM平台将应用程序通过SE应用管理终端发送并安装到移动终端SE内；
f ）　应用个人化：通过SE应用管理终端进行移动终端SE应用个人化；
g）　应用列表查询：通过SE应用管理终端查询移动终端SE应用列表；
h）　应用详细查询：通过SE应用管理终端查询移动终端SE应用信息；
i ）　应用同步：通过SE应用管理终端将移动终端上的SE应用和相关状态上传到系统；
j ）　应用删除：通过SE应用管理终端删除移动终端上的指定SE应用；
k）　应用锁定：通过SE应用管理终端对移动终端的SE应用进行锁定；
l ）　应用解锁：通过SE应用管理终端对移动终端锁定的SE应用进行解锁；
m） 　应用远程管理同步：通过SE应用管理终端对移动终端远程设定的SE应用进行同步；
n）　SE激活：通过SE应用管理终端对移动终端的SE进行激活；
o） 　SE锁定：通过SE应用管理终端对移动终端的SE进行锁定；
p）　SE终止：通过SE应用管理终端对移动终端的SE进行终止使用；
q）　安全域锁定：通过SE应用管理终端对移动终端的安全域进行锁定；
r ）　安全域解锁：通过SE应用管理终端对移动终端锁定的安全域进行解锁；
s ）　安全域终止：通过SE应用管理终端对移动终端的安全域进行终止使用。
9. 4　安全要求
9. 4. 1　安全管理
SE应用管理终端开机后应对硬件状态进行检测和报警。自检结束后自动进入工作状态。在工作
状态中，操作员也可通过选择功能设置对SE应用管理终端进行自检。自检完毕返回工作状态。
9. 4. 2　POS 形态SE 应用管理终端集成安全要求
9. 4. 2. 1　配置管理
对设备集成到密码输入终端进行安全性评估时，应明确定义其物理和逻辑安全界定，如PIN输入
26
JT/T 1059.7—2025
和读卡器各自的功能。
9. 4. 2. 2　PIN 输入功能集成
PIN输入功能集成应满足下列要求：
a）　保证通过认证的安全器件在集成到PIN输入设备时，不降低整个设备的保护等级。
b）　对密码输入器的密码输入区域和其周围区域进行设计或改造时，保证不会增加密码输入器受
攻击的风险。
c）　终端在调用密码键盘执行PIN输入操作的时候，符合下列规定：
1）　终端上如有消费金额的提示及输入PIN的提示，两个提示有明显区别；
2）　终端进入到输入PIN的界面后不再允许输入其他非PIN数据；
3）　终端进入到输入PIN的界面后，之前输入的金额部分不允许修改，以防止用户在输入PIN
的过程中误操作到修改金额部分而泄露PIN；
4）　终端进入到输入PIN操作阶段，不允许在终端上进行其他和PIN输入无关的人机交互的
操作，若此时发生应用切换操作，或者显示屏的焦点从PIN输入界面移开，终端强制退出
当前的PIN输入操作，且将本次PIN输入操作按失败处理；
5）　进行PIN输入提示时，终端只接受诸如“Yes,‖―OK,‖―Cancel,‖or―No”等控制字符。
9. 4. 2. 3　POS 形态SE 应用管理终端的集成
POS形态SE应用管理终端的集成应满足下列要求：
a）　密码输入终端将已认证的安全设备进行物理和逻辑集成时，确保不引入新的攻击途径。
b）　保证在同一个设备中，安全组件与非安全组件之间有比较清晰的逻辑和物理隔离。
c）　应用执行过程中，显示给用户的动态信息和终端操作状态保持一致性。如果接收到来自外部
设备更改用户动态显示信息和操作状态的命令，保证该命令已被密码授权校验通过。
d）　PIN输入设备保证只有一个支付密码输入接口，如一个键盘等。如果有其他可用于PIN输入
的接口，则通过无有效数字键、输入的数字不可用等方式限制该端口密码输入的使用。
9. 4. 2. 4　设备移除的安全要求
设备移除的安全要求应符合下列规定：
a）　终端符合9. 4. 6中PIN输入设备的规定；
b）　供应商对文档持续的维护更新，以保证终端集成使用者了解如何保护系统，对非法移除加以
防止；
c）　对于嵌入式设备，准确按照嵌入设备厂商提供的文档对系统加以保护，防止非法移除。
9. 4. 3　自助终端形态SE 应用管理终端逻辑安全
9. 4. 3. 1　非PIN 数据输入
如自助终端形态SE 应用管理终端的密码键盘需要输入非PIN 数据，至少满足下列条件中的
一个：
a）　提示信息由加密单元控制：应满足5. 2. 2中PIN输入设备的要求；
b）　改变用户界面提示攻击可能性分析：在未授权情况下，改变非PIN数据输入时显示的提示内
容危及PIN安全；
c）　安全模式：SE应用管理终端应确保用户可见信息与操作状态之间的关联关系。
27
JT/T 1059.7—2025
9. 4. 3. 2　多应用
自助终端形态SE应用管理终端支持多个应用程序，应能将不同程序分离出来。每个应用程序不
应干扰或篡改其他应用程序或SE应用管理终端的操作系统，包括修改属于其他程序的数据对象。
9. 4. 3. 3　操作系统
自助终端形态SE应用管理终端操作系统只能包含设计应用所必需的零部件和服务。应以最少的
特权配置和运行。
9. 4. 3. 4　单一的PIN 数据接口
自助终端形态SE应用管理终端仅能通过指定的接口接收PIN数据，如果另设有键盘，应阻止通过
这个接口接收PIN数据。
9. 4. 4　传输报文加密
自助终端形态SE应用管理终端与TSM之间的报文应采用对称密钥的方式进行加密传输或进行数
字签名。
9. 4. 5　交易密钥管理
9. 4. 5. 1　二级密钥体系
终端密钥分为二级：TMK和WK。
9. 4. 5. 2　TMK
用于对WK进行加密保护，每台终端与TSM平台共享唯一的TMK。
TMK应有安全保护措施，只能写入并参与运算，不能被读取。
9. 4. 5. 3　WK
分为用于对PIN加密的密钥以及进行报文鉴别的密钥。
由TSM平台的加密机产生，在终端每次签到时从TSM平台利用TMK加密后下载，并由TMK加密
存储。
终端WK在下载时应以密文传送，不应明文传送。
9. 4. 5. 4　终端MAC 的算法
当SE 应用管理终端采用8583 协议报文格式时，从报文消息类型到63 域之间的部分构成MAC
ELEMEMENT BLOCK，采用CBC加密模式，根据报文的具体类型从最终的加密结果中选择相应的数据
形成MAC。如采用XML报文格式，由TSM平台自行定义。
注：8583协议为ISO 8583协议国际标准的包格式的通信协议。
9. 4. 5. 5　PIN 加密
PIN加密采用ANSI X9. 8 Format（带主账号信息），加密算法密钥长度至少为128 bit以上。
9. 4. 6　PIN 输入安全
PIN输入安全应满足5. 2. 2的规定。
28
JT/T 1059.7—2025
10　扫码终端
10. 1　通用要求
二维码扫码模块与刷卡模块应分开，同时用户在使用过程中应实现扫码和刷卡模块独立、高效且
无干扰地操作。应保证在二维码数据图像旋转、不规则变形、图像亮度变化、局部污损等情况下，能准
确识读，并具有较强的自动纠错能力。
10. 2　存储
扫码终端至少应能存储1 000张机构证书和5 000条二维码交易记录。终端应安全存放自身应用
程序、发卡机构证书、交易数据、黑白名单等信息，且在断电情况下信息不丢失。
10. 3　通信
扫码终端应具备无线通信模块如2G/3G/4G 或其他实时联网功能，若是地铁闸机应具备接入
局域网功能，并支持二维码机构密钥更新下载。终端应能够准实时将用户扫码行为同步到服务
器端。
10. 4　时钟
扫码终端应具备高精度时钟模块，并能进行精确授时。正常使用时，两次授时期间误差不应大
于2 s。
10. 5　算法要求
证书、密钥等的算法应符合GM/T 0003（所有部分）的规定。
10. 6　二维码读取器
10. 6. 1　识别和读取要求
扫码终端应支持识别二进制编码格式的二维码，并通过USB‑HID 或串口方式对二维码进行
读取。
10. 6. 2　读取与验证时间
扫码终端应在200 ms内完成二维码读取与验证。
10. 6. 3　编码方式
扫码终端应支持识别二维码等常用码制。
10. 6. 4　读取精确度
扫码终端应支持识别旋转、倾斜、偏转的二维码。
10. 7　操作系统要求
扫码终端宜支持Linux、Android或其他国产操作系统。若支持Linux系统，则其glibc版本应在2. 18
及以上。
29
JT/T 1059.7—2025
10. 8　终端监控与管理
扫码终端应具备远程管理能力，包括远程监测终端心跳、终端远程进行软件升级、机构证书下载与
更新、黑白名单下载与更新、能远程识别终端问题。
10. 9　安全要求
10. 9. 1　存储安全
应对二维码支付交易中涉及的关键、敏感数据进行存储性安全保护，防止信息泄露和篡改。
10. 9. 2　通信安全
10. 9. 2. 1　传输通道安全
二维码支付交易各系统之间进行信息传输时，应建立安全通信信道，应对交易数据采用数字签名
和加密等安全方式进行传输，确保数据不被监听和篡改。在公网环境下，二维码信息不应以明文形式
传输。
10. 9. 2. 2　传输数据的完整性鉴别
应具备对传输数据的鉴别机制，确保发出数据的完整性和接收数据完整性的校验。
10. 9. 2. 3　传输数据的保密性保护
应对传输的数据进行保密性保护，不应引起信息泄露。
10. 9. 3　应用软件安全
10. 9. 3. 1　合法性检查和风险控制
应用软件与后台系统应具备合法性检查，通过签名验签等密码技术与后台系统进行双向认证，确
保后台系统和应用软件的合法性，并启用设置超时时间等风险控制措施。
10. 9. 3. 2　密钥更新要求
应用软件涉及的存储通信、数据加密的安全密钥应定期更新。
10. 9. 3. 3　代码及数据安全
应用软件应满足下列代码及数据安全要求：
a）　确保应用程序源代码存储的安全性，即应用程