Q/CUP

中国银联股份有限公司企业标准
Q/CUP 009.3—2011
代替Q/CUP 036-2011

中国银联银联卡受理终端应用规范
第 3 部分 银联卡（IC 卡）脱机受理终端
规范
Application Specification for Terminal Accepting CUP Cards

Part3 Specification for Off-line Terminal Accepting Financial IC Cards

Compliance with PBOC Standard

2011-06-30 发布 2011-06-30 实施

中国银联股份有限公司 发布
 Q/CUP 009.3—2011

目 次

前 言 ............................................................................. II 
1 范围 ................................................................................ 1 
2 规范性引用文件 ...................................................................... 1 
3 术语和定义 .......................................................................... 1 
4 IC 卡脱机终端硬件要求 ................................................................ 4 
5 IC 卡脱机终端软件要求 ................................................................ 5 
6 IC 卡脱机终端安全要求 ................................................................ 5 
7 IC 卡脱机终端管理功能 ................................................................ 5 
8 IC 卡脱机终端交易功能 ................................................................ 7 
9 IC 卡脱机终端参数设置 ................................................................ 7 
10 IC 卡脱机终端交易处理流程 ........................................................... 7 
11 IC 卡脱机终端交易报文及报文域 ....................................................... 7 

I
 Q/CUP 009.3—2011

前 言

本标准对受理PBOC IC卡的脱机终端的硬件安全和应用接口做具体规定。其中硬件安全要求适用全
部接入银联网络的PBOC IC卡脱机终端，应用接口仅适用直接接入银联网络的PBOC IC卡脱机终端。
本标准主要依据《银行卡销售点（POS）终端规范》（JR/T 0001-2009）、《中国集成电路（IC）
卡规范》（JR/T 0025-2010），《银联卡受理终端安全规范 第一部分 销售点（POS）终端安全规范》
（Q/CUP 007.1-2010）、
《银联卡受理终端安全规范 第三部分 自助终端安全规范》（Q/CUP 007.3-2010）
和《银联卡受理终端应用规范 第一部分 销售点（POS）终端应用规范》（Q/CUP 009.1-2010）。
本标准由中国银联提出。
本标准由中国银联技术管理部组织制定。
本标准的主要起草单位：中国银联技术管理部。
本标准的主要起草人：李伟、周皓。

II
 Q/CUP 009.3—2011

中国银联银联卡受理终端应用规范
第 3 部分 银联卡（IC 卡）脱机受理终端规范

1 范围

本标准规定了可以受理各种PBOC标准金融IC卡的脱机终端标准，其中规定了：受理PBOC标准金
融IC卡脱机终端的硬件安全要求和应用接口报文部分。
本标准适用于受理PBOC标准IC卡的各种脱机终端设备，包括已设定金额或根据卡片信息自动计算
金额的自助设备，支持收银员手工输入金额的面对面消费设备等等。

2 规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的
修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究
是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。
GB/T 2312-1980 信息交换用汉字编码字符集基本集
GB/T 4943-1995 信息技术设备（包括电气事务设备）的安全
GB/T 6833.2～6833.6-1987 电子测量仪器的电磁兼容性试验规范
GB/T 9254-1988 信息技术设备的无线电干扰极限值和测量方法
GB/T 14916-1994 识别卡物理特性
GB/T 15120.1-.5-1994 识别卡 记录技术
GB/T 15150-1994 银行卡交换报文规范
GB/T 15150-94 产生报文的银行卡交换报文规范金融交易内容（ISO8583-1987）
GB/T 15694.1-1995 识别卡 发卡者标识编号体系
GB/T 17552-1998 识别卡 金融交易卡
JR/T 0008-2000 银行卡发卡行标识代码及卡号（2001-01-01实施）
JR/T 0001-2009 银行卡POS终端规范
JR/T 0025-2010 中国金融集成电路(IC)卡规范
《银联卡业务运作规章》第二卷《业务规则》
Q/CUP 007.1-2010 银联卡受理终端安全规范 第一部分 销售点（POS）终端安全规范
Q/CUP 007.3-2010 银联卡受理终端安全规范 第三部分 自助终端安全规范
Q/CUP 009.1-2010 银联卡受理终端应用规范 第一部分 销售点（POS）终端应用规范
Q/CUP 006-2010 中国银联银行卡联网联合技术规范V2.1（2010版）
Q/CUP 019-2010 非接触式读写器接口规范
ANSI X9.8 银行业 个人标识码的管理和安全
ISO 7812-2:1993 识别卡 发卡方的标识
ISO 8859 8位单字节编码图形字符集

3 术语和定义

下列术语和定义适用于本标准。
3.1
银行卡 bank card

1
 Q/CUP 009.3—2011
商业银行等金融机构向社会发行的，具有消费信用、转账结算、存取现金等全部或部分功能的信用
支付工具。
3.2
银联标准卡 CUP standard card
银联标准卡就是按照中国银联的业务、技术标准发行，卡面带有惟一的“银联”标识，发卡行识别
码（BIN）经中国银联分配和确认的银行卡。
3.3
IC 卡脱机受理终端 off-line terminal accepting IC card
能够接受IC卡信息，不需具备联机通讯能力或环境，依靠终端和卡片的指令交互完成脱机交易的设
备。
3.4
POS 中心 POS center
接受、处理或转发POS的交易请求信息，并向POS回送交易结果信息的系统。
3.5
特约商户 merchant
与收单行签有商户协议，受理银行卡的零售商、个人、公司或其他组织。
3.6
持卡人 card holder
卡的合法持有人，即与卡对应的银行账户相联系的客户。
3.7
发卡行 issuer
发行银行卡，维护与卡关联的账户，并与持卡人在这两方面具有协议关系的机构。
3.8
收单行 acquirer
与商户签有协议或为持卡人提供服务，直接或间接凭交易单据（包括电子单据或纸单据）参加交换
的清算会员单位。
3.9
主账号 primary account number
标识发卡机构和持卡人信息的数字代码。它由发卡机构标识代码、个人账户标识和校验位组成，是
银行卡金融交易的主要账号，在银行卡金融交易中等同于卡号。
3.10
报文鉴别码 messang authentication code；MAC
MAC是用来完成消息来源正确性鉴别，防止数据被篡改或非法用户窃入的数据。
3.11
安全控制信息 security control related information
与安全相关的控制信息，用于标识密文的类型。
3.12
密钥加密密钥 key encryption key； KEK
POS终端工作时对工作密钥进行加密的密钥，又称为终端主密钥（TMK），由银行人员设置并直
接保存在系统硬件中，只能使用，不能读取，该密钥必须与加密算法放在同一加密芯片里。
3.13
工作密钥 working key；WK
也称为数据密钥，在脱机交易终端中专指MAC计算的密钥。工作密钥必须经常更新。在联机更新
的报文中对工作密钥必须用密钥加密密钥（KEK）加密，形成密文后进行传输。

2
 Q/CUP 009.3—2011
3.14
集成电路卡 integrated circuit card；IC card
内部封装一个或多个集成电路用于执行处理和存储功能的卡片。
3.15
电子现金 electronic cash
基于借记/贷记应用上实现的小额支付功能。在借记应用上可通过预付实现，在贷记应用上可通过
预先授权实现。
3.16
交易批次号 batch number
POS从签到起至对帐完成为止的交易为一批次，交易批次号标识一批交易。
POS中心为每个POS的每个批次分配一个批次号，在签到应答报文中下传给POS终端。POS终端批
结算完成后，POS中心和POS终端的批次号各自加1。
3.17
应用标识 application identifier；AID
由注册的应用提供商标识（RID）以及专用应用标识符扩展（PIX）组成。
3.18
应用标签 application label
根据ISO/IEC 7816-5标准中与应用标识（AID）相关联的名称，用于应用选择。应用标签在应用数
据文件（ADF）的文件控制信息（FCI）中可选（推荐要求），在ADF目录入口中必须存在。
3.19
应用首选名称 application preferred name
与应用标识(AID)相关联的应用名称。如果应用首选名称存在且终端支持发卡行代码表索引指示的
语言，则应用选择过程中显示给持卡人的应用名称应采用应用首选名称，而不是应用标签。
3.20
应用选择指示符 application selection indicator；ASI
指示应用选择时终端上的应用标识（AID）与卡片中的应用标识（AID）是完全匹配（长度和内容
都必须一样）还是部分匹配（卡片AID的前面部分与终端AID相同，长度可以更长）。终端支持的应用
列表中的每个应用标识（AID）仅有一个应用选择指示符。
3.21
交易证书 transaction certificate；TC
在PBOC应用交易流程中，由IC卡生成表示批准交易的交易证书。
3.22
终端校验结果 terminal verification results；TVR
在PBOC应用交易流程中，用于标识终端执行脱机数据认证、处理限制、持卡人验证、终端风险管
理、发卡行认证、发卡行脚本处理等各步骤的结果，终端和卡片将参考TVR的值对当前交易作出脱机拒
绝、联机交易或脱机批准的决定。
3.23
快速借/贷记应用
qPBOC，简化交易流程的PBOC，以保证通过非接触界面进行快速交易。
3.24
挥卡
指持卡人将非接触卡片靠近非接触读写设备实现交互的动作，卡和设备的关系可能是近距离靠近，
可能是卡片平放在设备上，也可能是卡片缓慢经过设备的感应区域等等。

3
 Q/CUP 009.3—2011
4 IC 卡脱机终端硬件要求

4.1 读写器性能要求
终端应具备非接触式IC卡读写器，接触式IC卡读写器可选。
非接触式IC卡读写器参见《非接触式读写器接口规范》（Q/CUP 019-2010）中“6 读写器性能要
求”，包括基本要求、交易时间、磁场强度要求、非接触处理芯片、显示屏（可选）、状态指示灯（强
制）和蜂鸣器（强制）、PIN输入设备（可选）、支持语言、CVM（可选）、读写器软件、协议兼容性
和轮询处理等。
接触式IC卡读写器用来接受用户IC卡插入并与IC卡进行命令数据传递通讯，该读写器模块包括机
械、电气和逻辑协议等部分，见JR/T 0025.3-2010。
如果读写器有锁卡功能，则应保证在掉电、设备异常或交易取消时能释放卡。
4.2 键盘（可选）
对于支持收银员手工输入金额的终端应配备键盘。
若具备键盘，应有10个数字键，宜包括若干功能键。键盘使用寿命应达到每键可敲击300,000次以
上。如果采用了带颜色的命令键，推荐适用下面的颜色分配，命令键颜色：确认－绿色；取消－红色；
清除－黄色。
4.3 交易存储
应在保证完成交易功能的前提下，具有在单一批次内能够保存500笔交易（含）以上的存储量。在
掉电或者摔落（指从1米高处做自由落体运动跌落到水泥地面）以后，应有物理流水备份机制，确保存
储中的流水不丢失。
对于终端对卡片发出扣款指令（即qPBOC流程中的GPO指令），但是终端认为该笔交易失败的情
况（专指终端发出最后一条读应用指令后没有收到卡片的确认、终端读取应用记录后校验数据失败等两
种情况），终端应存储该两类交易并分别进行标记，至少保存一个月时间以上。允许人工删除操作，可
不受该时间限制。
对于交易完成后执行联机上送和流水导出等两种不同的操作，有关存储的要求不同：
1、对于终端联机发起上送的交易，上送后终端应自动删除已成功上送（收到应答码为“00”）的
交易流水；对于没有上送成功（没有收到应答码）或收到失败应答码（收到应答码非“00”）的交易应
备份在存储中，并进行标记，直至人工删除。联机上送后被终端标记的交易流水可以通过导出的方式获
得。
2、对于已执行导出操作的交易，终端应提示商户确认后执行删除该类交易的操作。若商户选择暂
不删除该类交易，为防止交易重复上送，终端中的该类交易不能再次联机发起上送；如需再次导出，需
要输入收单机构设置的口令密码，存储卡校验该口令密码后可以执行再次导出操作。
3、终端应完整保护未上送和未导出的交易，如在不输入口令密码的情况下，人工对未进行上送或
导出的交易流水直接在存储中进行删除，终端应当拒绝操作。如果存储是一张可插拔的存储卡，应为智
能IC卡。
4.4 通讯（可选）
通讯端口可支持以下全部或部分类型的通讯方式：
—— 串口通讯；
—— USB 通讯；
—— MODEM 通讯；
—— 无线通讯；
—— 以太网通讯；
4.5 打印机（可选）
可另配，具体参见《银联卡受理终端安全规范 第一部分 销售点（POS）终端安全规范》(Q/CUP
007.1-2010)中4.8节。
4
 Q/CUP 009.3—2011
4.6 计算器（可选）
可以内置一个计算器模块，属于扩展功能，复用键盘上的数字键和功能键共同实现加减乘除等基本
数学运算。
4.7 对工作环境温湿度的要求
一般应能在温度为0°C～40°C，相对湿度为20%～93%（40°C）的环境下稳定工作，在特殊环境下
工作的IC卡脱机终端应能满足特殊环境的特殊要求，如特殊的湿度要求。
4.8 抗跌落能力
宜采用达到如下抗跌落能力的IC卡脱机终端，即在初速度为0的条件下，终端从1m高处做自由落体
运动跌落到水泥地面，外壳无明显破损，各部分可正常工作。
4.9 可靠性
除非特殊部件另有规定，无故障工作时间不低于50,000小时。

5 IC 卡脱机终端软件要求

5.1 系统软件
应具有系统初始化，对软件、硬件的自检及报警功能，具备断电保护功能，并方便应用程序的加载
和参数设定。
5.2 二次开发平台
提供高级语言（如C语言）开发环境，提供二次开发专用接口，并提供应用模块，具备应用程序的
调试和测试环境。
5.3 IC 卡脱机终端和外界设备通讯接口（可选）
用于实现IC卡脱机终端与其他外界设备相连，实现报文的上送等功能。
详见《非接触式读写器接口规范》（Q/CUP 019-2010）中第7章“读写器和终端协议”、8.4“认证
报文”。

6 IC 卡脱机终端安全要求

6.1 二级密钥体系
同POS终端密钥，分为二级：终端主密钥(TMK)和工作密钥(WK)。
6.1.1 终端主密钥(TMK)
用于对工作密钥(WK)进行加密保护，POS中心为每台IC卡脱机终端分配唯一的TMK，TMK应至少
采用双倍长密钥。
TMK必须要有安全保护措施，只能写入并参与运算，不能被读取。密钥的灌装方式宜采用母POS
方式，终端应开辟安全介质（芯片）存储终端主密钥，负责对数据加密。
6.1.2 工作密钥（WK）
专指进行报文鉴别(MAC)的MAK，对于平台下发的其他工作密钥，暂不涉及使用。
工作密钥（WK）由POS前置机的加密机产生，在IC卡脱机终端每次联机签到时从POS中心利用TMK
加密后下载，并由TMK加密存储。在终端中存储在6.1.1中所述安全介质（芯片）中。
POS终端工作密钥在下载时必须以密文传送，严禁明文传送。

7 IC 卡脱机终端管理功能

7.1自检
开机后对硬件状态进行检测和报警。
开机后，先进行自检，自检结束后自动进入工作状态。在工作状态中，操作员也可以通过选择功能
设置对IC卡脱机终端进行自检。自检完毕返回工作状态。
测试的内容如下：

5
 Q/CUP 009.3—2011

表1 自检的内容
序号 参数名称 序号 参数名称
01 IC 卡读写器测试 02 键盘（如有）测试

7.2 签到管理
对于具备通信能力的 IC 卡脱机终端签到同普通 POS 终端签到；
对于不具备通信能力的 IC 卡脱机终端签到宜借助其他设备的通讯能力或环境，采用同 POS 签到的
方式，直联 IC 卡脱机终端见《银联卡受理终端应用规范 第一部分 销售点（POS）终端应用规范》 （Q/CUP
009.1-2010）4.3.1.2。
7.3 批结算管理
直联 IC 卡脱机终端的批结算管理遵循下列要求：
批结算之前，先将终端内该批次尚未上送的脱机交易全部联机上送，然后统计出总笔数和总金额（按
成功上送的交易和没有成功上送的交易分别进行统计）。
不需要和 POS 中心对帐，也不需要根据批结算结果（对帐平或者对帐不平）考虑重新上送所有交
易（即批上送）。
如果终端可以实时接收 POS 中心返回的应答码，对于无法完成上送和上送后收到失败应答码（应
答码见《银联卡受理终端应用规范 第一部分 销售点（POS）终端应用规范》（Q/CUP 009.1-2010）中
附录 C 应答码）的终端流水应要备份保存，直至人工删除。
对于通过导出流水的方式，实现流水清算的 IC 卡脱机终端不需要具备该功能。
如存储区已满或达到设定的笔数限制，应提示“马上进行批结算”后再进行后续交易。
7.4 脱机交易上送
直联IC卡脱机受理终端终端脱机交易上送同普通POS终端的脱机交易上送，见《银联卡受理终端应
用规范 第一部分 销售点（POS）终端应用规范》（Q/CUP 009.1-2010）4.3.12。
脱机交易上送适用于可以借助外部设备获得联机能力或环境的脱机终端。
7.5 脱机交易导出
对于无法进行脱机交易上送的终端，脱机交易流水可以通过固定的接口或存储卡导出的方式进行导
出，然后参加清算。
如果通过固定的接口导出，通过特定的数据线连接后导出，数据自动设置为“已导出”状态，并提
示客户确认是否删除已导出的数据；对于无法通过固定接口导出数据的IC卡脱机终端，可以拔出存储卡
导出数据。一旦存储卡被拔出，存储卡中的数据自动设置为“已导出”状态，当存储卡再次插入终端时，
提示“卡中数据已导出，是否删除数据”字样。
如存储区已满或达到设定的笔数限制，应提示脱机交易导出（删除数据）后再进行后续交易。
直联IC卡脱机终端具体的格式参见第11章交易报文格式。
7.6 参数传递（0800/0810）
在IC卡脱机终端签到之后的每次联机时，如有必要，可由POS中心引发向IC卡脱机终端下载某些参
数的操作，也可由IC卡脱机终端主动向POS中心发起下载某些参数的操作。IC卡脱机终端收到POS中心
的参数传递要求后，在下次联机交易时向POS中心发送参数传递请求报文，并接收应答。下载过程如有
中断，则在POS终端下一次联机时，由POS终端重新发送参数传递请求报文。
直联IC卡脱机终端可以支持电子现金有关公钥、参数信息的下载、卡BIN黑名单的下载。若支持，
有关电子现金公钥参数下载参见《银联卡受理终端应用规范 第一部分 销售点（POS）终端应用规范》
8.3.32中用法四；有关卡BIN黑名单的下载，参见《银联卡受理终端应用规范 第一部分 销售点（POS）
终端应用规范》8.3.32中用法十五。
7.7 交易查阅功能

6
 Q/CUP 009.3—2011
查阅IC卡脱机终端上存储的当批次交易情况和统计情况，包括成功笔数、成功金额、失败笔数、失
败金额。
7.7.1 查询交易记录
在IC卡脱机终端上从最近一笔交易开始，逐笔查询本批次交易明细。只有未结算的交易方可查询。
7.7.2 查询交易总额
查询当批次所做交易的总金额和总笔数，人民币卡和外币卡分开统计。

8 IC 卡脱机终端交易功能

以下内容仅适用于直联IC卡脱机终端。
8.1 电子现金余额查询（可选）
根据业务规定可以支持，电子现金余额查询命令允许终端直接读取IC卡中电子现金资金余额。
8.2 电子现金明细查询（可选）
根据业务规定可以支持，脱机查询电子现金交易明细信息。
8.3 电子现金消费交易（0200/0210）
必选，持卡人使用电子现金IC卡进行购物或获取服务，该交易为脱机类交易，经批准的交易金额实
时地反映在卡片的电子现金余额中。本交易在批结前做为脱机类交易上送。该交易不能撤销。此交易在
消费终端上脱机进行，不需要提交个人密码。
根据《银联卡业务运作规章》第七卷（三）《IC卡（电子现金）业务规则（试行）》（2011年1月
修订版）要求，不具备打印交易凭证能力的消费终端应能显示交易后IC卡电子现金资金余额。

9 IC 卡脱机终端参数设置

应允许对IC卡脱机终端进行参数设置，包括但不限于商户号、终端号、拨号号码（可选）、TPDU
（可选）、超时时间（可选）、交易笔数提醒阀值、单笔交易金额设定、批次号等。
直联IC卡脱机终端以上要素具体参见《银联卡受理终端应用规范 第一部分 销售点（POS）终端应
用规范》（Q/CUP 009.1-2010）相关内容。

10 IC 卡脱机终端交易处理流程

应支持PBOC借贷记小额支付对应流程（必须支持qPBOC流程）、电子现金明细查询流程（可选），
直联IC卡脱机终端见《银联卡受理终端应用规范 第一部分 销售点（POS）终端应用规范》（Q/CUP
009.1-2010）相关内容。

11 IC 卡脱机终端交易报文及报文域

直联IC卡脱机终端详见《银联卡受理终端应用规范 第一部分 销售点（POS）终端应用规范》 （Q/CUP

009.1-2010）9.3.3和9.3.4的有关内容，和第8章的全部内容；有关打印的格式参见第10章的内容。