PBOC借记贷记应用

PBOC 借记贷记应用 沈恺 规范 中国金融集成电路（IC）卡规范 第4部分：借记/贷记应用规范 第5部分：借记/贷记卡片规范 第6部分：借记/贷记终端规范 第7部分：借记/贷记安全规范 第10部分：借记/贷记应用个人化指南 借记/贷记交易处理流程 1. 应用选择（M） 2. 应用初始化（M） 3. 读应用数据（M） 4. 脱机数据认证（O） 5. 处理限制（M） 6. 持卡人验证（M） 7. 终端风险管理（M） 8. 终端行为分析（M） 9. 卡片行为分析（M） 10. 联机处理（O） 11. 完成（M） 12. 发卡行脚本处理（O） 一、应用选择 当卡片插入终端时，终端决定哪些 应用由卡片和终端共同支持，并将终端 和卡片都支持的应用列表显示出来，供 用户选择。 如果没有共同支持的应用，交易 将被终止。 一、应用选择（续） 建立候选应用列表包含两种方法： ●目录选择法 终端读取卡片内应用列表文件的数据，并将卡片应 用列表和终端应用列表里共同支持的所有应用列举 在候选目录中。 ●AID列表选择法 终端按终端应用列表中包含的每个应用都向卡片发 送一个SELECT命令。如果卡片响应表示卡也支持 该应用，终端就将应用添加到候选目录中。 二、应用初始化 应用初始化阶段，终端卡片交易处理开始。 终端将卡片请求的终端数据（处理选项数据对象列 表（PDOL））提供给卡片，并获得卡片响应的应 用数据：应用交互特征（AIP）和应用文件定位器 （AFL） 。 这些数据告知终端，卡片具备的功能以及需要 提供给卡片哪些支持。如：AFL是终端需要从卡片 读取的文件和记录的列表。AIP是处理交易时卡片 所执行功能的列表。 二、应用初始化（续） 应用交互特征（AIP）[TAG: 82, LEN: 02] Y 字节 1: Y bit 8: 1 = Initiate (not supported) Y bit 7: 1 = 支持SDA Y bit 6: 1 = 支持DDA Y bit 5: 1 = 支持持卡人认证 Y bit 4: 1 = 执行终端风险管理 Y bit 3: 1 = 支持发卡行认证 Y bit 2: 1 = 支持CDA Y bit 1: RFU (0) Y 字节2: RFU (“00”) 二、应用初始化（续） Y终端数据元 }终端国家代码 }交易货币代码 三、读应用数据 终端使用读记录命令(READ RECORD) 读出交易处理中使用的卡片数据, 卡片在应用 初始化的响应中提供AFL标记了这些数据所在 的文件与记录号，终端应该存储读出的所有可 以识别的数据对象，不论是必选还是可选数 据，以备将来交易使用。终端无法识别的数据 对象(即终端无法识别它们的标签)不必存储， 但是包含这种数据对象的记录可能仍然要以整 体形式参与脱机数据认证过程，这取决于AFL 的编码。 四、脱机数据认证 终端根据卡片和终端对脱机认证方法的 支持情况来决定是否使用脱机静态或动态数 据认证来脱机认证卡片。 任何交易只执行一种脱机数据认证方 法，复合动态数据认证/应用密文生成优先权 最高，动态数据认证其次，再其次是静 态数据认证。 四、脱机数据认证（续） 脱机静态数据认证（SDA）验证卡片在 个人化以后重要的应用数据是否被非法修改。 终端使用卡片上的发卡行公钥验证卡片静态 数据，同时卡片上还包括发卡行公钥证书以 及数字签名，数字签名中包括一个用发卡行 私钥加密重要应用数据得到的HASH值。如 果用实际数据产生的HASH值与从卡片中恢 复出的HASH值相匹配，则证实了卡片数据 并未被修改。（签名见安全规范5.2节） 四、脱机数据认证（续） 推荐下列数据用来生成签名： Y 应用交互特征AIP（如果支持DDA） Y 应用生效日期 Y 应用失效日期 Y 应用主账号 Y 应用主账号序列号 Y 应用用途控制AUC Y 持卡人验证方法（CVM）列表 Y 发卡行行为代码——缺省 Y 发卡行行为代码——拒绝 Y 发卡行行为代码——联机 Y 发卡行国家代码（“5F28”） 四、脱机数据认证（续） 动态数据认证除了确保卡片数据元自卡片个人 化以来没有受到改变，还要确认卡片是真卡而不是 通过从有效卡复制数据制作的伪卡（非法复制）。 动态数据认证有标准动态数据认证（DDA）和 复合动态数据认证（DDA/AC-CDA）两种。 动态数据认证过程是先进行静态数据处理，其 过程和静态数据认证一样。验证了静态数据后，终 端向卡片申请动态签名。 四、脱机数据认证（续） 标准动态数据认证使用内部认证命令请 求一个动态签名，并由终端验证签名； 复合动态数据认证/应用密文生成使用生 成应用密文命令请求一个包含应用密文的动 态签名，并由终端验证签名。且此认证必须 是在联机处理过程中执行。 如果验证失败，则交易终止。 五、处理限制 终端通过处理限制来检查应用交易是否 允许继续。检查内容包括应用生效期、应用 失效期、应用版本号以及其他发卡行定义的 限制控制条件，发卡行可以使用应用用途控 制来限定卡用于国内还是国际间，或能否用 于现金、购物、服务以及返现。 六、持卡人验证 终端必须具备持卡人身份验证功能。持 卡人身份验证用来确认持卡人的合法性，以 防止丢失或被盗卡片的使用。 终端通过检查卡片的卡片验证方法列表 （CVMs）确定使用何种验证方法。如果卡 片没有定义卡片验证方法列表（CVMs）， 则使用终端指定的持卡人验证方法。 六、持卡人验证（续） 卡片验证方法列表（CVMs） CVM内包含多个条目，每个条目都包含一个验证条 件和一个验证方法。 验证方法有以下几种： ●脱机明文PIN验证 ●联机PIN验证 ●签名 ● CVM失败 ●无需CVM ●签名与脱机明文PIN验证组 合 ●身份证件验证 六、持卡人验证（续） 脱机明文PIN验证 卡片将持卡人输入的交易密码与卡里储存的 参考密码对比以做检查。如果匹配，卡片将返回 一个指示器，显示脱机密码已被验证，持卡人验 证完成。如果不相配，卡片密码重输次数计数器 递减并返回一个显示剩余密码重输次数的指示器。 如果没有剩余密码重输次数，脱机密码验证失败。 如果还有密码重输次数剩余，终端要求持卡人重 新输入密码，重复校验过程。 七、终端风险管理 终端必须具备风险管理功能，其目的是为大额 交易提供了发卡行认证，并确保交易能够周期性地 进行联机以防止在脱机环境中无法觉察的风险。 终端通过终端和卡片提供的数据可以进行最低 限额（Floor Limit）检查、交易频度检查、新卡检 查、终端异常文件检查、商户强制交易联机、随机 选择联机交易等方式完成风险管理。 八、终端行为分析 终端必须具备终端行为分析功能。终端行为分析根 据脱机数据认证、处理限制、持卡人身份验证、终端风 险管理的结果以及终端和卡片中设置的风险管理参数决 定如何继续交易（核准脱机、脱机拒绝、联机授权）。 在由卡发送到终端的发卡行行为代码（IACs）域设立卡 片规则，在终端行为代码（TACs）设立终端规则。决 定交易处理之后，终端向卡片请求应用密文。不同的应 用密文对应不同的交易处理：以交易证书（TC）为核 准，授权请求码（ARQC）为联机请求，应用验证密文 （AAC）为拒绝。 九、卡片行为分析 IC卡可以执行发卡行定义的风险管理算法以防止发卡 行被欺诈。当卡片收到终端的应用密文请求时，卡片就执行 卡风险管理检查，来决定是否要改变终端设定的交易处理。 IC卡可以决定以下方式继续交易： ●同意脱机完成 ●联机授权 ●拒绝交易 完成检查后，卡片使用应用数据及一个存储在卡上的应 用密文过程密钥生成应用密文。它再将这个密文返回到终端。 对于脱机确认的交易，TC以及生成TC的数据通过清算消息 传送给发卡行，以备未来发生持卡人争议或退单时使用。当 持卡人对交易有争议时，TC可以作为交易的证据还可验证 商户或收单行（是否）未改动交易数据。 九、卡片行为分析（续） 卡片风险管理 Y 上次交易行为： � 联机授权未完成 � 上次联机交易时，发卡行认证失败 � 上次交易静态数据认证失败 � 上次交易动态数据认证失败 � 上次交易发卡行脚本命令执行情况 � 上次交易密码重试次数超限 Y 新卡检查 Y 频度检查查看以下项目的脱机处理次数是否超限： � 全部连续脱机交易笔数 � 根据货币种类统计的全部连续脱机国际交易笔数 � 根据国家统计的全部连续脱机国际交易笔数 � 指定货币的全部脱机交易累计金额 � 指定货币和第二货币的全部脱机交易金额 九、卡片行为分析（续） 十、联机处理 联机处理允许发卡行主机根据发卡行设置 的主机风险管理参数判断交易是允许或拒绝。 如果卡片或终端决定交易需要进行联机授 权，同时终端具备联机能力，终端将卡片产生的 ARQC报文送至发卡行进行联机授权。 发卡行返回的数据可以包括发卡行生成的密 文和给卡片的更新数据。其中发卡行产生的密文 用于卡片认证返回数据真实性。 十、联机处理（续） 发卡行认证用于确认响应报文确实是从 合法的发卡行返回的。 如果支持发卡行认证，终端应使用从发 卡行请求到的发卡行认证数据通过外部认证 （External Authenticate）命令验证授权响 应密文（ARPC）的正确性。 十一、完成 卡和终端执行最后处理来完成交易。一个经 发卡行认可的交易可能根据卡片中的发卡行认证 结果和发卡行写入的参数而被拒绝。卡片使用交 易处理、发卡行校验结果、以及发卡行写入的规 则来决定是否重设基于芯片卡计数器和指示器。 卡片生成TC来认可交易，生成AAC来拒绝交易。 如果终端在授权消息之后传送清算信息，则 TC应包括在该清算信息里。对于发卡行批准而卡 片拒绝的交易，终端必须发起冲正。 十二、发卡行脚本处理 如果发卡行在授权响应报文中包含了脚 本，虽然终端可能对脚本不能理解，但终端 仍需要将这些脚本命令发送给IC卡。在使用 这些更新之前，卡片执行安全检查以确保脚 本来自有效的发卡行，且在传输中未有变动。 发卡行脚本处理通过可以锁定被盗或恶 意透支卡来防止信用和欺诈风险。另外也可 以根据持卡人的具体情况改变卡片参数。 十二、发卡行脚本处理（续） 发卡行脚本命令对当前交易并不产生影响， 主要会影响卡片的后续功能，如卡片解锁、锁卡、 改卡密码等。 Y更改卡片参数 Y锁定/解锁应用 Y锁卡 Y重置PIN计数器 Y修改脱机PIN