PBOC3.0介绍—PBOC2.0与3.0区别、及国密相关广东楚天龙智能卡有限公司大纲PBOC3.0介绍◦PBOC规范历史及现状◦PBOC规范内容◦PBOC3.0对于2.0的修订大纲PBOC3.0介绍◦PBOC规范历史及现状◦PBOC规范内容◦PBOC3.0对于2.0的修订PBOC规范历史及现状PBOC规范变更年表1997年1.0电子钱包/电子存折2005年2.0保留电子钱包/电子存折,增补借记/贷记、电子钱包扩展2010年2.0对2005修订,增补电子现金、非接触支付2013年3.0对2.0修订,增补内容见下面PBOC2.0规范体系JR/T0025-2010•第1部分电子钱包/电子存折应用卡片规范•第2部分电子钱包/电子存折应用规范•第3部分与应用无关的IC卡与终端接口规范•第4部分借记/贷记应用规范•第5部分借记/贷记应用卡片规范•第6部分借记/贷记应用终端规范•第7部分借记/贷记应用安全规范•第8部分与应用无关的非接触式规范•第9部分电子钱包扩展应用指南•第10部分借记/贷记应用个人化指南•第11部分非接触式IC卡通讯规范•第12部分非接触式IC卡支付规范•第13部分基于借记/贷记应用的小额支付规范PBOC3.0规范体系JR/T0025-2013废止:•第1部分电子钱包/电子存折应用卡片规范•第2部分电子钱包/电子存折应用规范•第9部分电子钱包扩展应用指南增补:•第14部分非接触式IC卡小额支付扩展应用规范•第15部分电子现金双币支付应用规范•第16部分IC卡互联网终端规范•第17部分借记/贷记应用安全增强规范勘误、修订:第3~13部分PBOC3.0规范内容规范架构第3部分与应用无关IC卡与终端接口规范第8部分与应用无关的非接触式规范第11部分非接触式IC卡通讯规范第7部分借记/贷记应用安全规范第17部分借记/贷记应用安全增强规范第4、5、6部分借记/贷记应用(卡片、终端)规范第13部分基于借记/贷记应用的小额支付规范第15部分电子现金双币应用规范第12部分非接触式IC卡支付规范第14部分非接触式IC卡小额支付扩展应用规范第16部分IC卡互联网终端规范规范层次电器特性、通讯协议(Level1)第3、8、11部分命令格式、交易流程(Level2)第4、5、6、7、12、13、14、15、17部分应用类型密钥体系指令数量风险交易速度应用架构电子钱包/电子存折对称依赖PSAM中中中简单、被动借记贷记/电子现金对称+非对称多小慢复杂、主动qPBOC对称+非对称少小快复杂、主动qPBOC扩展对称+非对称中小中复杂、主动类型钱包/存折借记贷记电子现金qPBOCqPBOC扩展应用流程应用选择IC卡合法性检查应用初始化应用初始化复合消费处理认证PIN(有条件)读记录终端交易请求脱机认证持卡人验证风险管理行为分析脱机认证行为分析卡片响应GAC1联机授权是否允许脱机GAC2PBOC3.0增补内容1——qPBOC扩展应用功能分段计费预授权适合的应用场景计时、计程、计次等特殊的行业应用如地铁、出租、停车咪表、高速收费等。PBOC3.0增补内容1——qPBOC扩展新增命令命令名称说明功能定义READCAPPDATA读取复合应用数据终端判断卡片是否支持相应行业应用,同时获得上笔扩展应用交易信息UPDATECAPPDATACACHE更新数据缓存更新应用数据缓存APPENDRECORD新增记录1)扩展应用开通时,向扩展应用文件中增加行业应用记录2)像循环记录文件中添加记录或者初始化第一条记录GETTRANSPROVE取脱机交易应用密文通过制定的ATC获得交易对应的TCPBOC3.0增补内容1——qPBOC扩展扩展应用文件上述文件均为变长记录文件扩展应用类型文件SFI地铁应用0x15公交应用0x16高速公路不停车收费0x17停车咪表应用0x18铁路(高铁)应用0x19银行自定义应用0x1A、0x1B保留应用0x13、0x14、0x1C、0x1DPBOC3.0增补内容2——双币电子现金单币和双币电子现金数据元单币电子现金双币电子现金——第一货币第二货币应用货币代码9F519F51DF71电子现金余额9F799F79DF79电子现金余额上限9F779F77DF77电子现金发卡行授权码9F749F74—电子现金单笔交易限额9F789F78DF78电子现金重置阈值9F6D9F6DDF76卡片CVM限额9F6B9F6BDF72PBOC3.0增补内容2——双币电子现金双币电子现金应用流程选择应用GPO读记录风险管理行为分析生成应用密文货币匹配PBOC3.0增补内容3——安全增强规范国密与国际算法对比卡和终端类型◦单国际◦单国密◦双算法国际国密对称密钥算法3DESSM4非对称密钥算法RSASM2哈希SHA-1SM3PBOC3.0增补内容3——安全增强规范借贷记/电子现金终端卡片匹配情况单国际算法卡单国密算法卡双算法卡单国际算法终端接受脱机失败,可尝试联机接受国际算法流程单国密算法终端脱机失败,可尝试联机接受接受国密算法流程双算法终端接受国际算法流程接受国密算法流程接受国密算法流程PBOC3.0增补内容3——安全增强规范qPBOC终端卡片匹配情况单国际算法卡单国密算法卡双算法卡单国际算法终端接受拒绝接受国际算法流程单国密算法终端拒绝接受接受国密算法流程双算法终端接受国际算法流程接受国密算法流程接受国密算法流程PBOC3.0增补内容3——安全增强规范如何识别支持算法◦PDOL中的DF69算法标识符◦发卡行应用数据(9F10)一字节表示算法9F10格式定义:长度(07)1byte分散密钥索引1byte密文版本号1byte卡片验证结果(CVR)1byte算法标识1byte发卡行自定义数据XbytePBOC3.0增补内容4——IC卡互联网终端特点◦低成本、便携、由持卡人控制◦持卡人在即可家中进行支付、圈存等操作◦仅针对IC卡对PBOC2.0的修订删除电子钱包/电子存折、电子钱包扩展应用即2.0规范中的1、2、9部分。电子钱包/存折为PBOC1.0中的内容无论是安全还是功能上均已经不能满足金融行业的要求。对PBOC2.0的修订删除非接触支付规范中的MSD应用MSD作为磁条卡向智能卡过度阶段的产物已经不适合当前要求,并且它的替代应用——qPBOC已经比较成熟,故不再采用。对PBOC2.0的修订不再支持DDF对数据元TAG作了保留以备将来使用重新定义了AID编码规则和保留规则对PBOC2.0的修订持卡人姓名存放方式PBOC版本说明2.0不超长的部分放入“持卡人姓名”——5F20超长的部分放入“持卡人姓名扩展”——9F0B3.0不超长,全部放入“持卡人姓名——5F20超长,全部放入“持卡人姓名扩展”——9F0B对PBOC2.0的修订FDDA版本◦FDDA是fastDDA——快速动态数据认证◦用于终端验证卡片◦PBOC2.0使用FDDA-00PBOC3.0使用FDDA-01对PBOC2.0的修订FDDA-00和FDDA-01的区别参与哈希计算的动态数据不同。FDDA-00FDDA-01标签数据元素长度来源9F37不可预知数4终端标签数据元素长度来源9F37不可预知数4终端9F02授权金额6终端5F2A交易货币代码2终端9F69卡认证相关数据8-16卡片对PBOC2.0的修订TAG9F69组成◦字节1:FDDA版本(2.0为00,3.0为01)◦字节2-5:卡片不可预知数◦字节6-7:卡片交易属性◦字节8:扩展应用使用(填充分段扣费应用标识DF61)对PBOC2.0的修订新老终端和卡对于FDDA版本的处理新终端新卡GPO9F66BYTE4BIT8=1READRECORD9F08=0030READRECORD9F69BYTE1=01对PBOC2.0的修订新老终端和卡对于FDDA版本的处理新终端老卡GPO9F66BYTE4BIT8=1不识别,按原有流程处理对PBOC2.0的修订新老终端和卡对于FDDA版本的处理老终端新卡GPO9F66BYTE4BIT8=0识别为老终端,按原有流程处理对PBOC2.0的修订明确了发卡行认证和发卡行脚本关系◦发卡行认证:卡片验证数据是否真实合法◦发卡行脚本:更新卡片中的数据◦处理规则发卡行认证执行并成功未执行执行但失败发卡行脚本允许允许不允许对PBOC2.0的修订闪卡问题◦交易时,持卡人在移开卡片。终端认为交易失败,但卡片认为交易已经成功。◦解决方法是增加两个日志:圈存日志+交易日志对PBOC2.0的修订连续MAC错◦明确规定当卡片执行一个MAC错的发卡行脚本命令,则不允许再执行后续脚本命令,即时后续命令的MAC是正确的。