01、《中国金融集成电路(IC)卡规范》介绍

《中国金融集成电路（IC）卡规范》2.0版介绍2019/8/122规范介绍的主要内容•规范的结构与组成•规范各部分的内容介绍•借记贷记规范的主要内容•电子钱包/电子存折的主要内容2019/8/123规范的结构与组成•《中国金融集成电路（IC）卡规范》可分为以下几部分：2019/8/124•第1部分：电子钱包/电子存折卡片规范•第2部分：电子钱包/电子存折应用规范•第3部分：与借记/贷记应用无关的IC卡与终端接口需求•第4部分：借记/贷记应用规范•第5部分：借记/贷记卡片规范•第6部分：借记/贷记终端规范•第7部分：借记/贷记安全规范•第8部分：与应用无关的非接触式规范•第9部分：电子钱包扩展应用指南•第10部分：借记/贷记应用个人化指南电子钱包/电子存折应用借记/贷记应用（EMV应用）非接触式应用配套指南2019/8/125规范的升级演变PBOC1.0电子钱包/电子存折PBOC2.0借记/贷记应用个人化指南电子钱包应用扩展指南与应用无关的非接触式接口借记/贷记应用电子钱包/电子存折2019/8/126规范的结构与组成VISM/CHIPPBOC借记贷记应用EMVLevel2借记贷记支付功能EMVLevel1电气物理特性,逻辑接口和传输协议ISO7816PBOC电子钱包/存折应用借记贷记应用个人化指南电子钱包应用扩展指南ISO14443中国金融集成电路卡非接触式接口ISSUERSIMPLEMENTATIONGUIDE…2019/8/127规范各部分的内容介绍•电子钱包/电子存折应用在《中国金融集成电路（IC）卡规范》1.0版的基础上完善、升级而成包含规范的第一、第二部分定义了电子钱包、电子存折应用，拓宽了支付手段，是传统磁条卡的补充完成圈存、圈提、消费、取现等功能解决了脱机情况下跨行、跨地区的支付问题2019/8/128规范各部分的内容介绍•借记/贷记应用（EMV应用）根据EMV4.1,参考了Visa的VIS标准、MasterCard的M/CHIP标准制定而成包含规范的第三、四、五、六、七部分定义了银行卡的借记/贷记应用，是一种全新的、高安全的支付手段，可以完全取代磁条卡可以实现磁条卡的所有功能，并在满足一定条件下脱机消费的功能2019/8/129规范各部分的内容介绍•非接触式接口应用根据ISO14443标准制定而成包含规范的第八部分定义了与应用无关的非接触式接口可以与电子钱包应用组合，形成非接触式电子钱包，应用于公共交通、快餐等快速交易场合也可以与借记贷记应用组合（该应用Visa和MasterCard已经在做试点）2019/8/1210规范各部分的内容介绍•电子钱包扩展应用指南根据电子钱包应用，结合相关行业特殊需求制定而成包含规范的第九部分定义了基于电子钱包应用的复合应用消费、灰锁消费对标准电子钱包应用进行扩充，以满足相关行业的特殊支付需求，为银行卡进入相关行业做好技术准备2019/8/1211规范各部分的内容介绍•借记贷记应用个人化指南根据《EMV通用个人化规范》制定而成定义了借记贷记应用个人化的过程以及数据格式和分组统一EMV个人化过程，降低银行个人化工作复杂程度2019/8/1212借记/贷记规范的主要内容•借记/贷记规范是本次修订的主要内容•根据最新的EMV4.1制定而成，完全兼容EMV•是国内的EMV标准，是国内EMV迁移的基础•EMV标准在不断的更新，借记/贷记规范也需要不断的升级和维护2019/8/1213借记/贷记规范的主要内容•借记/贷记规范包括以下几部分内容：与应用无关的IC卡和终端接口需求借记/贷记应用规范借记/贷记卡片规范借记/贷记终端规范借记/贷记安全规范2019/8/1214借记/贷记规范的主要内容•与应用无关的IC卡和终端接口需求主要包括以下内容：机电接口、物理特性、传输协议基本文件结构应用选择2019/8/1215借记/贷记规范的主要内容•借记/贷记应用规范应用规范描述了卡片和终端之间处理的技术概述，提出了基于智能卡借记贷记应用的最低要求应用规范适用于商业银行、供应商、开发商以及寻求对支持借记/贷记应用的芯片卡和终端的功能达到技术性了解的读者2019/8/1216借记/贷记规范的主要内容•借记/贷记卡片规范卡片规范从卡片的角度描述了借记/贷记交易流程，包括卡片内部的处理细节、卡片所使用的数据元、卡片所支持的指令集等2019/8/1217借记/贷记规范的主要内容•借记/贷记终端规范终端规范从终端的角度描述了借记/贷记交易流程，包括终端的硬件需求、终端内部的处理细节、终端所使用的数据元、终端所支持的指令集等2019/8/1218借记/贷记规范的主要内容•借记/贷记安全规范安全规范描述了借记/贷记应用安全功能方面的要求以及为实现这些安全功能所涉及的安全机制和获准使用的加密算法2019/8/1219借记/贷记规范的主要内容•借记/贷记规范以交易流程为主线，分别描述了EMV交易过程、在交易中所使用的数据元、命令和安全机制•交易流程概述，如下图：2019/8/1220应用选择初始化应用读取应用数据终端风险管理终端行为分析脱机数据认证处理限制持卡人认证卡片行为分析完成联机处理发卡行认证脚本处理复位应答2019/8/1221借记/贷记规范的主要内容•应用选择确定了终端和卡片所支持的应用，并对两者所支持的应用进行匹配，产生如下结果：没有应用匹配：交易终止有一个应用匹配：该应用即被选择多个应用匹配：有持卡人根据提示选择或按优先级来选择•所使用的命令：SELECT、READRECORD•应用选择－ApplicationSelection2019/8/1222借记/贷记规范的主要内容•应用选择－ApplicationSelection•每一个应用都有一个应用标识符（AID），它由RID(RegisteredApplicationProviderIdentifier)和PIX(ProprietaryApplicationIdentifierextension)组成。AID的举例：PBOCD156000001CUPA000000333VisaA000000003MasterCardA0000000042019/8/1223借记/贷记规范的主要内容•应用初始化－InitiateApplicationProcessing及读取应用数据－ReadApplicationData在初始化应用过程中，终端发送GETPROCESSINGOPTIONS指令给卡片，标志着这次交易开始。卡片对该指令做出回应，确定应用所支持的功能（AIP）、处理过程中所需要的数据位置（AFL）、脱机数据认证中所需要的数据位置(AFL)终端根据文件定位器（AFL）使用READRECORD命令读取并保存数据2019/8/1224借记/贷记规范的主要内容•脱机数据认证－OfflineDataAuthentication脱机数据认证可分为：静态数据认证－StaticDataAuthentication(SDA)动态数据认证－DynamicDataAuthentication(DDA)2019/8/1225借记/贷记规范的主要内容•脱机数据认证－OfflineDataAuthentication•SDA类似于磁条卡中的CVV,使用数字签名技术来保证存放在IC卡上的关键静态数据没有被非法修改，但不能防止卡片被复制，卡片无须具备RSA运算能力，成本较低•DDA使用数字签名技术对来自IC卡和终端的动态数据进行验证，可以有效的防止伪卡交易，安全级别高，卡片必须具备RSA运算能力，成本较高•终端将认证结果记录在终端验证结果中（TerminalVerificationResult-TVR）•所使用的命令有：INTERNALAUTHENTICATION2019/8/1226借记/贷记规范的主要内容•处理限制－ProcessingRestrictions•终端对卡片和终端的数据进行有效性检查：应用版本号检查应用用途检查应用有效期检查应用失效期检查•终端将检查结果记录在终端检查结果(TerminalVerificationResults-TVR)中2019/8/1227借记/贷记规范的主要内容•持卡人验证-CardholderVerification•发卡行可以设置多种持卡人验证方法Cardholderverificationmethods(CVMs)•CVMs可以有：联机PIN脱机PIN签名无CVMs2019/8/1228借记/贷记规范的主要内容•终端风险管理-TerminalRiskManagement终端风险管理为大额交易提供了发卡行认证，并确保芯片交易能够周期性地进行联机以防止在脱机环境中也许无法觉察的风险终端所执行的检查有：终端异常文件检查－TerminalExceptionFile最低限额检查－FloorLimitChecking随机交易选择－RandomTransactionSelection终端频度检查－TerminalVelocityChecking新卡检查－NewCardChecking2019/8/1229借记/贷记规范的主要内容•终端行为分析－TerminalActionAnalysis–终端分别应用发卡行在卡片中的规则－发卡行行为代码（IAC）和收单行在终端中的规则－终端行为代码（TAC），根据脱机处理的结果，以决定交易是否可以脱机批准、脱机拒绝或者联机索取授权–发卡行行为代码（IAC）有三组，每一组都与TVR相对应：IAC－拒绝位设置为“1”反映了交易被脱机拒绝的终端验证结果条件。IAC－联机位设置为“1”代表需要联机授权条件。IAC－缺省位设置为“1”是当联机处理不可行时脱机拒绝所需的条件–终端行为代码（TAC）同样也有三组，含义与IAC一样2019/8/1230借记/贷记规范的主要内容•卡片行为分析－CardActionAnalysis卡片行为分析允许发卡行进行卡片内部的风险管理EMV没有具体规定卡片风险管理的具体内容，借记/贷记规范规定做如下检查：上次交易行为卡片是否新卡脱机交易计数和累计金额结果记录在卡片检查结果中(CardVerificationResults－CVR)使用命令FirstGenerateAC2019/8/1231借记/贷记规范的主要内容•卡片根据卡片行为分析的结果返回一个应用密文给终端,密文的类型有：TransactionCertificate(TC):IC卡生成，用于批准交易AuthorizationRequestCryptogram(ARQC):IC卡生成，用于请求联机交易上送时发卡行对卡片的认证AuthorizationResponseCryptogram(ARPC):发卡行或第三方机构生成，用于联机交易返回时卡片对发卡行的认证AuthorizationAuthenticationCryptogram(AAC):IC卡生成，用于拒绝交易2019/8/1232借记/贷记规范的主要内容•交易结果TerminalRequestsCardReturns终端请求卡片返回批准批准或联机或拒绝拒绝拒绝联机联机或拒绝2019/8/1233借记/贷记规范的主要内容•联机处理－OnlineProcessing联机处理允许发卡行主机根据发卡行设置的主机风险管理参数判断交易是允许或拒绝与传统的联机欺诈检查和信用检查相比，主机授权系统还需额外通过利用卡片产生的动态密文（ARQC）执行联机卡片授权，同时还需考虑脱机处理的结果（TVR和CVR）主机授权后返回应答码和ARPC，卡片可以通过ARPC来验证发卡行使用的命令：ExternalAuthenticate(如果支持发卡行验证)2019/8/1234借记/贷记规范的主要内容•交易结束－Completion如果联机授权没有完成，终端和卡片执行另外的风险管理决定交易是批准还是拒绝卡片可以根据发卡行认证的结果以及卡片内部的一些设置将一个发卡行作