目 次 前言... IV 引言... V 1 范围 规范性引用文件 术语和定义 符号和缩略语 概述 功能概述 必备与可选功能 应用选择 卡片数据 终端数据..

Transcription

1 ICS A 11 备案号 : JR 中华人民共和国金融行业标准 JR/T 代替 JR/T 中国金融集成电路 (IC) 卡规范第 5 部分 : 借记 / 贷记应用卡片规范 China financial integrated circuit card specifications Part 5:Debit/credit application card specification 发布 实施 中国人民银行发布

2 目 次 前言... IV 引言... V 1 范围 规范性引用文件 术语和定义 符号和缩略语 概述 功能概述 必备与可选功能 应用选择 卡片数据 终端数据 命令 建立候选应用列表 确定和选择应用 流程图 后续相关流程 应用初始化 卡片数据 终端数据 命令 处理流程 前期相关处理 后续相关处理 读应用数据 卡片数据 终端数据 命令 处理流程 前期相关处理 后续相关处理 脱机数据认证 密钥和证书 决定脱机数据认证方法 静态数据认证 动态数据认证 前期相关处理 后续相关处理 处理限制 I

3 10.1 卡片数据 终端数据 处理流程 前期相关处理 后续相关处理 持卡人验证 卡片数据 终端数据 命令 处理流程 前期相关处理 后续相关处理 终端风险管理 卡片数据 终端数据 命令 处理流程 前期相关处理 后续相关处理 终端行为分析 卡片数据 终端数据 命令 处理流程 前期相关处理 后续相关处理 卡片行为分析 卡片数据 终端数据 命令 处理流程 卡片提供响应密文 流程图 前期相关处理 后续相关处理 联机处理 卡片数据 联机响应数据 命令 处理流程 流程图 前期相关处理 后续相关处理 交易结束 II

4 16.1 卡片数据 终端数据 命令 处理流程 收到生成应用密文命令 联机授权的交易 请求联机操作, 但联机授权没有完成 复合动态数据认证 / 生成应用密文响应 流程图 前期相关处理 后续相关处理 发卡行脚本处理 卡片数据 终端数据 发卡行脚本操作中的密钥管理 认证响应数据 命令 处理流程 前期相关处理 后续相关处理 卡片记录交易明细 交易明细记录文件 JR/T 0025 建议 附录 A ( 规范性附录 ) 卡片和终端的数据元定义 附录 B ( 规范性附录 ) 命令规范 - 描述卡片支持的命令 附录 C ( 规范性附录 ) 安全报文 附录 D ( 规范性附录 ) 认证密钥和算法 附录 E ( 规范性附录 ) 支持的密文版本 附录 F ( 规范性附录 ) 算法标识 参考文献 III

5 前 言 JR/T 0025 中国金融集成电路(IC) 卡规范 分为 13 个部分 : 第 1 部分 : 电子钱包 / 电子存折应用卡片规范 ; 第 2 部分 : 电子钱包 / 电子存折应用规范 ; 第 3 部分 : 与应用无关的 IC 卡与终端接口规范 ; 第 4 部分 : 借记 / 贷记应用规范 ; 第 5 部分 : 借记 / 贷记应用卡片规范 ; 第 6 部分 : 借记 / 贷记应用终端规范 ; 第 7 部分 : 借记 / 贷记应用安全规范 ; 第 8 部分 : 与应用无关的非接触式规范 ; 第 9 部分 : 电子钱包扩展应用指南 ; 第 10 部分 : 借记 / 贷记应用个人化指南 ; 第 11 部分 : 非接触式 IC 卡通讯规范 ; 第 12 部分 : 非接触式 IC 卡支付规范 ; 第 13 部分 : 基于借记 / 贷记应用的小额支付规范 本部分为 JR/T 0025 的第 5 部分 本部分代替 JR/T 中国金融集成电路(IC) 卡规范第 5 部分 : 借记 / 贷记卡片规范 本部分与 JR/T 相比主要变化如下 : 标准名称进行修订, 由 中国金融集成电路 (IC) 卡规范第 5 部分 : 借记 / 贷记卡片规范 修订为 中国金融集成电路 (IC) 卡规范第 5 部分 : 借记 / 贷记应用卡片规范 ; 重新起草标准的前言及引言 ; 对 术语和定义 及 符号和缩略语 在正文中的出现的情况做了核对, 对于没有出现的直接予以删除, 对于出现的进行了修改和完善, 并同步修改标准正文 ; 对 规范性引用文件 在正文中的引用情况做了核对, 对正文中引用到的文件根据标准编写要求进行重新编排和规范, 将参考到的文件归集到参考文献, 将没有引用也没有参考的文件予以剔除 ; 根据技术的发展趋势及主流标准的应用情况, 对本部分进行了补充完善 ; 根据中国银行卡产业的实际发展需要, 保证标准的适用性, 针对原标准在使用过程中发现的问题进行修订 本部分的附录 A 附录 B 附录 C 附录 D 附录 E 和附录 F 规范性附录 本部分由中国人民银行提出 本部分由全国金融标准化技术委员会归口 本部分主要起草单位 : 中国人民银行 中国工商银行 中国农业银行 中国银行 中国建设银行 交通银行 招商银行 上海浦东发展银行 中国银联股份有限公司 中国金融电子化公司 中国印钞造币总公司 银行卡检测中心 国家电子计算机质量监督检验中心 本部分主要起草人 : 姜云兵 杜宁 徐晋耀 李春欢 刘志刚 张永峰 张艳 聂舒 韩小西 张栋 回春野 吴蕃 史大鹏 边红丽 黄贵玲 李曙光 刘启滨 赵雷 詹旭波 徐文伟 黄发国 贾树辉 马小琼 赵宏鑫 林铁行 袁红斌 周兆确 向前 苏国经 周继军 赵亚东 本部分于 2005 年 3 月首次发布,2010 年 4 月第一次修订 IV

6 引 言 范 本部分为 JR/T 0025 的第 5 部分, 与 JR/T 0025 的第 4 部分 第 6 部分和第 7 部分一起构成借记 / 贷记规 V

7 中国金融集成电路 (IC) 卡规范 第 5 部分 : 借记 / 贷记卡片规范 1 范围 JR/T 0025 的本部分从卡片的角度描述了借记 / 贷记交易流程, 包括卡片内部的处理细节 卡片所使用的数据元 卡片所支持的指令集等 本部分适用于由银行发行或受理的金融借记 / 贷记 IC 卡 其使用对象主要与金融借记 / 贷记 IC 卡应用相关的卡片设计 制造 管理 发行 受理以及应用系统的研制 开发 集成和维护等相关部门 ( 单位 ) 2 规范性引用文件下列文件中的条款通过 JR/T 0025 的本部分的引用而成为本部分的条款 凡注日期的引用文件, 其随后所有的修改单 ( 不包括勘误的内容 ) 或修订版均不适用于本部分, 然而, 鼓励根据本部分达成协议的各方研究可使用这些文件的最新版本 凡不注日期的引用文件, 其最新版本适用于本部分 GB/T 2659 世界各国和地区名称代码 (GB/T ,ISO :1997,EQV) GB/T 语种名称代码第 1 部分 :2 字母代码 (GB/T ,ISO/IEC 639-1:2002,MOD) GB/T 表示货币和资金的代码 (GB/T l ,ISO 4217:2001,IDT) GB/T 产生报文的银行卡交换报文规范金融交易内容 (GB/T ,ISO 8583:1987,IDT) GB/T 识别卡带触点的集成电路卡第 5 部分 : 应用标识符的编号系统和注册程序 (GB/T ,ISO/IEC :1994,NEQ) GB/T 识别卡金融交易卡 (GB/T ,ISO/IEC 7813:1995,IDT) JR/T 中国金融集成电路 (IC) 卡规范第 3 部分 : 与应用无关的 IC 卡与终端接口规范 JR/T 中国金融集成电路 (IC) 卡规范第 6 部分 : 借记 / 贷记应用终端规范 JR/T 中国金融集成电路 (IC) 卡规范第 7 部分 : 借记 / 贷记应用安全规范 ISO/IEC 识别卡带触点的集成电路卡第 4 部分 : 行业间交换用命令 ISO/IEC ~ISO/IEC 信息处理八位单字节编码图形字符集 3 术语和定义下列术语和定义适用于 JR/T 0025 的本部分 3.1 应用 application 卡片和终端之间的应用协议和相关的数据集 3.2 命令 command 终端向 IC 卡发出的一条报文, 该报文启动一个操作或请求一个响应 3.3 密文 cryptogram 加密运算的结果 1

8 3.4 金融交易 financial transaction 由于持卡者和商户之间的商品或服务交换行为而在持卡者 发卡机构 商户和收单行之间产生的信息交换 资金清算和结算行为 3.5 集成电路 (IC) integrated circuit (IC) 具有处理和 / 或存储功能的电子器件 3.6 集成电路卡 (IC 卡 ) integrated circuit(s) card (ICC) 内部封装一个或多个集成电路用于执行处理和存储功能的卡片 3.7 接口设备 interface device 终端上插入 IC 卡的部分, 包括其中的机械和电气部分 3.8 发卡行行为代码 issuer action code 发卡行根据 TVR 的内容选择的动作 3.9 磁条 magstripe 包括磁编码信息的条状物 3.10 路径 path 没有分隔的文件标识符的连接 3.11 支付系统环境 payment system environment 当符合 JR/T 0025 的支付系统应用被选择, 或者用于支付系统应用目的的目录定义文件 (DDF) 被选择后,IC 卡中所确立的逻辑条件集合 3.12 响应 response IC 卡处理完成收到的命令报文后, 返回给终端的报文 3.13 脚本 script 发卡行向终端发送的命令或命令序列, 目的向 IC 卡连续输入命令 3.14 终端 terminal 在交易点安装 用于与 IC 卡配合共同完成金融交易的设备 它应包括接口设备, 也可包括其它的部件和接口 ( 如与主机的通讯 ) 3.15 终端行为代码 terminal action code 收单行根据 TVR 的内容选择的动作 4 符号和缩略语下列缩略语和符号适用于 JR/T 0025 的本部分 AAC 应用认证密文 (Application Authentication Cryptogram) AAR 应用授权参考 (Application Authorization Referral) 2

9 AC 应用密文 (Application Cryptogram) ADA 应用缺省行为 (Application Default Action) ADF 应用定义文件 (Application Definition File) AEF 应用基本文件 (Application Elementary File) AFL 应用文件定位器 (Application File Locator) AID 应用标识符 (Application Identifier) AIP 应用交互特征 (Application Interchange Profile) APDU 应用协议数据单元 (Application Protocol Data Unit) ARPC 授权响应密文 (Authorization Response Cryptogram) ARQC 授权请求密文 (Authorization Request Cryptogram) ATC 应用交易计数器 (Application Transaction Counter) ATM 自动柜员机 (Automated Teller Machine) AUC 应用用途控制 (Application Usage Control) BER 基本编码规则 (Basic Encoding Rules) CA 认证中心 (Certificate Authority) CAM 卡片认证方法 (Card Authentication Method) CDA 复合动态数据认证 / 应用密文生成 (Combined DDA/AC Generation) CDOL 卡片风险管理数据对象列表 (Card Rish Management Data Object List) CID 密文信息数据 (Cryptogram Information Data) CLA 命令报文的类别字节 (Class Byte of the Command Message) cn 压缩数字型 (Compressed Numeric) CVM 持卡人验证方法 (Cardholder Verification Method) CVR 卡片验证结果 (Card Verification Results) DDA 动态数据认证 (Dynamic Data Authentication) DDF 目录定义文件 (Directory Definition File) DDOL 动态数据认证数据对象列表 (Dynamic Data Authentication Data Object List) DF 专用文件 (Dedicated File) DOL 数据对象列表 (Data Object List) EF 基本文件 (Elementary File) EMV Europay MasterCard 和 VISA FCI 文件控制信息 (File Control Information) GPO 获取处理选项 (Get Processing Options) IAC 发卡行行为代码 (Issuer Action Code) IC 集成电路 (Integrated Circuit) ICC 集成电路卡 (Integrated Circuit Card) M 必备 (Mandatory) MAC 报文鉴别码 (Message Authentication Code) MDK 主密钥 (Master DEA Key) n 数字型 (Numeric) O 可选 (Optional) P1 参数 1(Parameter 1) P2 参数 2(Parameter 2) PAN 主账号 (Primary Account Number) PIN 个人识别码 (Personal Identification Number) 3

10 PIX PKI RFU RID SAD SDA SFI SW1 SW2 TAC TC TDOL TLV TSI TVR UDK 扩展的专用应用标识符 (Proprietary Application Identifier Extension) 公钥基础设施 (Public Key Infrastructure) 预留 (Reserved for Future Use) 注册的应用提供商标识 (Registered Application Provider Identifier) 签名的静态应用数据 (Signed Static Application Data) 静态数据认证 (Static Data Authentication) 短文件标识符 (Short File Identifier) 状态字 1(Status Word One) 状态字 2(Status Word Two) 终端行为代码 (Terminal Action Code) 交易证书 (Transaction Certificate) 交易证书数据对象列表 (Transaction Certificate Data Object List) 标签 长度 值 (Tag Length Value) 交易状态信息 (Transaction Status Information) 终端验证结果 (Terminal Verification Results) 子密钥 (Unique DEA Key) 5 概述本章概述了 JR/T 0025 借记 / 贷记交易 交易流程图画出了交易中各功能的执行顺序 本章最后描述了卡片和终端支持的功能和命令要求 5.1 功能概述下面 JR/T 0025 借记 / 贷记交易处理中用到的功能 有些必备功能中的某些步骤可选 没有标注必备的功能可选, 执行要由卡片或终端中的参数决定 应用选择 ( 必备 ) 面对一张 JR/T 0025 借记 / 贷记卡片, 终端要决定哪些卡片和终端都支持的应用 终端显示所有两方都支持的应用, 由持卡人选择哪一个应用用于支付 如果这些应用不能在终端显示出来, 终端选择由发卡行在卡片个人化时指定的优先级最高的应用 应用初始化 / 读应用数据 ( 必备 ) 在选择了 JR/T 0025 借记 / 贷记应用以后, 终端要求卡片明确应用支持的数据和功能 根据应用的不同情况 ( 国内或国外 ) 卡片确定的数据或者支持的功能可能不同 终端读出卡片指定的数据, 使用支持功能列表决定要执行的处理流程 脱机数据认证 ( 可选 ) 根据终端与卡片的支持情况, 由终端决定使用脱机静态或动态数据认证进行卡片脱机认证 静态数据认证 (SDA) 验证卡片中的重要数据在发卡后被篡改 终端使用卡片中的发卡行公钥验证卡片中的静态 ( 不变 ) 数据, 发卡行公钥保存在卡片中的发卡行公钥证书中 数字签名包括一个重要数据哈希结果, 使用发卡行私钥签名加密 还原出的哈希值与实际应用数据所产生的哈希值匹配证实了数据并未被修改 动态数据认证 (DDA) 验证卡片中的重要数据在发卡后被篡改, 同时验证卡片为伪卡 DDA 有两种形式 : 标准 DDA 和复合动态数据认证 / 应用密文生成 (CDA) 这两种方式中, 终端使用类似 SDA 的方法验证卡片中的静态数据 标准 DDA 为终端请求卡片使用来自卡片和终端的动态数据和 IC 卡私钥生成一个动态签名密文 终端使用从卡片中恢复出来的 IC 卡公钥对动态签名密文解密 恢复的数据和原始数据匹配验证了此卡片不从一张合法卡片通过复制数据而生成的伪卡 4

11 CDA 动态签名密文生成和卡片行为分析处理阶段的生成卡片应用密文组合在一起以确保应用密文来自有效的卡片 处理限制 ( 必备 ) 终端执行交易处理限制判断交易允许进行 终端检查卡片的有效期达到, 卡失效, 卡片和终端的应用版本匹配, 应用用途控制 (AUC) 限制生效 发卡行可以使用 AUC 限制卡片的应用, 包括 : 国内 国外 现金 商品 服务或返现 持卡人验证 ( 可选 ) 持卡人验证可以用来确保持卡人合法而且卡片没有遗失或被盗 终端使用卡片中的持卡人验证方法 (CVM) 列表数据决定验证的执行方法 CVM 列表建立了持卡人验证方法优先级别, 根据终端能力和交易特性提示用户采用特定的持卡人验证方法 如果持卡人验证方法脱机 PIN, 终端提示持卡人输入 PIN 并传送持卡人输入的 PIN 到卡片中, 卡片比较输入的 PIN 和卡片中的 PIN 值 CVM 也可能指定联机 PIN 签名或不需要持卡人验证 终端风险管理 ( 必备 ) 终端风险管理检查交易超过了最低限额, 账号在终端异常文件中, 连续脱机交易次数超过了限制次数, 新卡, 以及商户强制进行联机, 有些交易可能被随机的选择联机处理 终端风险管理也包括可选的频度检查, 终端使用卡片中的数据进行检查 在终端行为分析过程中要考虑终端频度检查的结果 终端行为分析 ( 必备 ) 终端行为分析根据脱机数据认证 交易处理限制和终端风险管理结果, 持卡人验证结果和卡片和终端里设置的规则来决定交易应该接受脱机, 送去联机授权或拒绝 卡片规则在由卡片送给终端的发卡行行为代码 (IAC) 数据域中设置 支付系统的规则在终端行为代码 (TAC) 中设置 在决定了交易的处理结果后, 终端向卡片请求一个应用密文 应用密文的类型取决于交易的处理结果, 见表 1 应用密文类型 终端请求中指明交易执行复合 CDA 表 1 应用密文类型密文类型批准交易 TC 联机交易 ARQC 拒绝交易 AAC 卡片行为分析 ( 必备 ) 收到终端发来的应用密文请求后, 卡片执行卡片行为分析 卡片可以执行卡片风险管理, 以决定改变由终端做出的交易处理结果 可以包括的检查有前次没完成的联机交易, 前次交易中发卡行认证失败或脱机数据认证失败, 频度检查的交易次数和金额总量达到限制数 卡片可以将终端请求的脱机接受改成联机授权或脱机拒绝 卡片不能推翻终端做出的拒绝交易的决定 检查完成后, 卡片使用应用数据和卡片中的一个对称密钥生成应用密文, 返回给终端 对于脱机接受的交易,TC 和用来生成 TC 的数据通过清算报文传送, 用于未来持卡人争议或退单处理 当一个持卡人质疑一笔交易的时候 TC 可以作为一个交易 证据 用来证明商户或收单行没有修改交易数据 对于脱机拒绝交易, 密文类型为 AAC 对于请求联机授权的交易, 密文类型为 ARQC 当卡片作出接受交易的结论 ( 卡片返回 TC) 后, 卡片会记录交易明细 联机处理 ( 可选 ) 如果卡片和终端决定交易需要一个联机授权, 而且终端具有联机能力, 则终端传送一个联机授权报文给发卡行 这个报文包括 ARQC 密文 生成 ARQC 的数据和脱机处理结果指示器 在联机处理阶段, 发卡行使用一个名为卡片认证方法 (CAM) 的处理过程验证 ARQC 来鉴别卡片 发卡行可以在它的授权决定中考虑 CAM 和脱机处理的结果 5

12 传送回终端的授权响应报文包括发卡行生成的授权响应密文 (ARPC)( 由 ARQC, 授权响应码和卡片对称密钥生成 ) 这个响应也可能包括称为发卡行脚本的二次发卡(post-issuance) 更新 如果授权响应包含 ARPC 而且卡支持发卡行认证, 卡片通过验证 ARPC 执行发卡行认证, 验证响应来自真实的发卡行 ( 或其代理 ) 一旦发卡行认证成功, 卡片可以重新设置卡片中一些和风险控制相关的参数 这样阻止了通过模拟联机处理和伪造接受交易来重新设置计数器和指示器攻击卡片的安全特性 如果发卡行认证失败, 卡片的后续交易将联机进行授权直到发卡行认证成功 发卡行可以选择当发卡行认证失败时设置卡片拒绝交易 交易结束 ( 必备 ) 卡片和终端执行最后的交易结束处理 发卡行接受的交易可能因为发卡行认证结果和卡片中的发卡行编码参数而被修改为拒绝 卡片使用交易处理结果 发卡行认证结果和发卡行编码规则决定重新设置基于卡片的计数器和指示器 ( 位 ) 卡片接受交易生成 TC, 拒绝交易生成 AAC 如果终端在授权报文后传送一个清算报文,TC 要在清算报文中 当卡片作出接受交易的结论 ( 卡片返回 TC) 后, 卡片会记录交易明细 发卡行脚本处理 ( 可选 ) 如果发卡行在授权响应报文中包括了更新脚本, 终端传递这些脚本命令给卡片 在处理更新之前, 卡片执行安全验证确保脚本来自认证过的发卡行而且在传输过程中没有被修改 支持的脚本命令允许更新脱机处理参数 锁定和解锁应用 锁卡 重新设置脱机 PIN 尝试计数器以及修改脱机 PIN 值 6

13 卡片 终端 说明 必备处理项 卡片支持应用的列表 SELECT 命令 / 响应 READ RECORD 命令 / 响应 应用选择 必备处理项, 但包括可选 卡片支持的功能 GPO 命令 / 响应 应用初始化 处理步骤 提供应用数据记录 READ RECORD 命令 / 响应 读取应用数据 可选处理项 1. 如果 DDA 生成动态应用密文 INTERNAL AUTHENTICATE 命令 / 响应 1 脱机数据认证 SDA 或 DDA 2. 如果支持脱机 PIN, 则可选 处理限制 3. 如果支持脱机 PIN PIN 尝试计数器 PIN 校验 GET DATA 命令 / 响应 2 VERIFY 命令 / 响应 3 持卡人验证 上次联机交易计 数器值 (ATC) GET DATA 命令 / 响应 终端风险管理 GENERATE AC 命令 终端行为分析 执行卡片行为分析, 并生成应用密文 GENERATE AC 响应 联机交易? N Y 校验 ARPC 密文 EXTERNAL AUTHENTICATE 命令 / 响应 联机处理发卡行认证 进行最终检查以及生成最终应用密文执行脚本 GENERATE AC 命令 / 响应 发卡行脚本命令 / 响应 交易结束发卡行脚本处理 图 1 交易流程实例 5.2 必备与可选功能 卡片功能需求 JR/T 0025 借记 / 贷记卡片应支持表 2 中列出的必备功能 可选功能由发卡行或者市场需求来决定 如果相关条件满足, 有条件的功能也要支持 7

14 表 2 卡片功能需求 功能 卡片支持 应用选择必备 (EMV) 目录选择方式可选 (EMV) 直接选择方式必备 (EMV) 应用初始化必备 (EMV) 读应用记录必备 (EMV) 脱机数据认证可选 (EMV) SDA 可选 (EMV) 有条件 如果支持 DDA(JR/T 0025 借记 / 贷记 ) 标准 DDA 可选 (EMV) 有条件 如果支持 CDA(JR/T 0025 借记 / 贷记 ) 复合 DDA/ 应用密文生成可选 (EMV) 处理限制必备 (EMV) 应用版本号检查必备 (EMV) 应用用途控制检查可选 (EMV) 生效日期检查可选 (EMV) 失效日期检查必备 (EMV) 持卡人验证可选 (EMV) 单独的 CVM 可选 (EMV) 终端风险管理可选 (EMV) 必备 (JR/T 0025 借记 / 贷记 ) 终端异常文件检查 n/a( 卡片没有处理 ) 商户强制联机 n/a( 卡片没有处理 ) 最低限额检查 n/a( 卡片没有处理 ) 交易日志 n/a( 卡片没有处理 ) 随机选择 n/a( 卡片没有处理 ) 频度检查可选 (EMV) 新卡检查可选 (JR/T 0025 借记 / 贷记 ) 终端行为分析 IAC 可选 (EMV)IAC 需要 (JR/T 0025 借记 / 贷记 ) 卡片行为分析必备 (EMV) 联机 / 脱机决定必备 (EMV) 卡片风险管理可选 (EMV) 必备 (JR/T 0025 借记 / 贷记 ) 在卡片风险管理中有些步骤可选的 通知报文可选 (EMV) 应用密文提供算法选择 (EMV) 提供多算法选择 (JR/T 0025 借记 / 贷记 ) 联机处理 联机能力必备 (EMV) 发卡行认证可选 (EMV) 交易结束必备 (EMV) 发卡行到卡片脚本处理可选 (EMV) 安全报文给出两种脚本形式 (EMV) 仅支持一种脚本形式 (JR/T 0025 借记 / 贷记 ) 命令支持需求卡片支持的命令在表 3 中描述 8

15 表 3 命令支持需求 命令应用锁定 APPLICATION BLOCK 应用解锁 APPLICATION UNBLOCK 卡片锁定 CARD BLOCK 外部认证 EXTERNAL AUTHENTICATE 生成应用密文 GENERATE AC 取数据 GET DATA 获取处理选项 GET PROCESSING OPTIONS 内部认证 INTERNAL AUTHENTICATE PIN 修改 / 解锁 PIN CHANGE / UNBLOCK 设置数据 PUT DATA 读记录 READ RECORD 选择 SELECT 修改记录 UPDATE RECORD 验证 VERIFY 卡片支持应用锁定功能可选, 如果支持, 推荐使用应用锁定命令 (JR/T 0025 借记 / 贷记 ) 应用解锁功能可选, 如果支持, 推荐使用应用解锁命令 (JR/T 0025 借记 / 贷记 ) 卡片锁定推荐功能, 可通过卡片锁定命令实现 (JR/T 0025 借记 / 贷记 ) 有条件的 如果支持发卡行认证 (EMV) 必备 (EMV) 可选 (EMV) 必备 (JR/T 0025 借记 / 贷记 ) 必备 (EMV) 有条件的 如果支持 DDA(EMV) 如果支持脱机 PIN 则 PIN 解锁功能必备, 可使用 PIN 修改 / 解锁命令实现 (JR/T 0025 借记 / 贷记 ) PIN 修改功能可选, 如果使用则应在发卡行可控的环境下 (JR/T 0025 借记 / 贷记 ) 可选 (JR/T 0025 借记 / 贷记 ) 必备 (EMV) 必备 (EMV) 可选 (JR/T 0025 借记 / 贷记 ) 有条件的 如果支持脱机 PIN(EMV) 6 应用选择应用选择处理决定了选择哪一个卡片和终端都支持的应用来完成交易 这一处理分为两个步骤 : 步骤 1: 终端建立终端和卡片都支持的应用列表 ; 步骤 2: 从列表中确定一个应用来处理交易 6.1 卡片数据应用选择使用的卡片数据元和简单描述在表 4 中列出 附录 A 卡片和发卡行数据元表中有这些数据元以及他们使用的描述 表 4 应用选择 卡片数据数据元描述 应用标识符 (AID) AID 由注册的应用提供商标识 (RID) 和扩展的专用应用标识符 (PIX) 组成 它标识了在 GB/T 中描述的应用 9

16 数据元 描述 如果一张卡片中有超过一个应用使用相同的 AID, 卡片 AID 应要有一个后缀 如果只有一个应用有这个 AID, 则卡片 AID 不应该有后缀除非在卡片个人化以后另一个有同样 AID 的应用可能加到卡片中应用定义文件 (ADF) 应用基本文件 (AEF) 的入口文件, 应用基本文件 (AEF) 包含应用数据元 FCI 模板 DF 名称 FCI 专有模板应用标签应用优先指示器 ( 有条件 如果卡片包括多个支付账户, 在磁条中有映射的账户优先级应为 1) PDOL( 可选 ) 首选语言 ( 可选 ) 发卡行代码表索引 ( 可选 如果应用首选名称存在 ) 应用首选名称 ( 可选 ) FCI 发卡行自定义数据 ( 可选 ), 如果卡片支持日志, 则日志入口 (9F4D) 数据元在发卡行自定义数据中应用基本文件 (AEF) 应用基本文件, 包括应用处理过程中使用的数据元应用标签用于应用选择 存在于 ADF 的 FCI 中 ( 可选 ) 和 ADF 目录入口中 ( 必备 ) 应用首选名称如果应用首选名称存在而且终端支持发卡行代码表索引入口, 在应用选择的最后, 应用首选名称而不应用标签显示给持卡人应用首选名称应该和应用标签一样, 不过也可以把它留给客户进行定制处理应用优先指示器表明一个目录中指定应用的优先级以及应要持卡人确认才能选择目录定义文件 (DDF) 定义其下目录结构的文件,DDF 的 FCI: FCI 模板 DF 名称 FCI 专有模板目录文件的短文件标识符 SFI FCI 发卡行自定义数据 ( 可选 ) 目录文件一个文件, 列出了目录下的 DDF 和 ADF 在选择后, 使用读记录 (READ RECORD) 命令对它进行访问文件控制信息 (FCI) 选择 (SELECT) 命令的响应信息, 选择不同类型的文件, 响应信息不同发卡行代码表索引按 ISO/IEC 8859, 指明在终端显示应用首选名称时使用的代码表支付系统环境 (PSE) PSE 从名为 1PAY.SYS.DDF01 的 DDF 开始 此 DDF 的相关目录文件叫支付系统目录支付系统目录支付系统目录包括 ADF 和 DDF 的入口, 入口格式见 JR/T 的表 46 和表 47 处理选项数据对象列表 (PDOL) 在应用初始化步骤, 卡片需要的终端数据对象表, 内容包括数据对象的标签和长度短文件标识符 (SFI) 短文件标识符基本文件的指针 1-10 JR/T 0025 定义 支付系统定义 发卡行定义 6.2 终端数据应用选择使用的终端数据在表 5 中描述 终端数据的描述见 JR/T

17 表 5 应用选择 终端数据 数据元 描述 AID AID 由注册的应用提供商标识 (RID) 和扩展的专用应用标识符 (PIX) 组成 它标识了在 GB/T 中描述的应用 见表 4 中的描述应用选择指示器表明终端支持部分 AID 选择终端支持的应用列表终端维护的一个表包括支持的应用和它们各自的 AID 6.3 命令选择 (SELECT) 选择命令见附录 B 中描述 终端发送选择 (SELECT) 命令给卡片获取卡片支持的应用信息 应用信息包括发卡行参数, 例如 : 选择应用的优先级别, 应用名称, 首选语言 命令中既可以包括支付系统环境目录名称 ( 用于目录选择方式 ), 一个目录名, 或者一个被请求的 AID( 用于 AID 列表选择方式 ) 命令的 P1 参数表明应用按照名称方式选择的 P2 参数表明在支持 AID 后缀的情况下有另外使用同样 AID 的应用被请求 ( 当卡片支持多应用使用同样 AID 的时候 ) 命令可以有下列 SW1 SW2 返回状态字 : 9000 选择 (SELECT) 命令成功返回 ; 6A82 在命令包含支付系统环境名称情况下, 卡片不支持目录选择方式 ; 在命令包含 AID 的情况下, 表示选择的文件没有找到或已经相同 AID 的最后一个文件而 P2 参数指定还有下一个相同 AID 的应用可选 ; 6A81 卡片锁定或命令不支持 ; 6283 选择文件无效 如果卡片包括一个 PDOL,PDOL 作为 FCI 的一部分包括在选择 (SELECT) 命令的响应信息中 在应用初始化处理中终端将 PDOL 中指定的数据送入卡片 读记录 (READ RECORD) 读记录 (READ RECORD) 命令见附录 B 中描述 当使用目录选择方式时, 读记录 (READ RECORD) 命令用来读取支付系统环境目录中的记录 只有在一个 ADF 或 DDF 选择以后使用 命令包括要读取文件的短文件标识符 (SFI) 和文件中的记录号 卡片在响应信息中返回请求的记录内容 SW1 SW2 可以有下列返回值 : 9000 成功执行 ; 6A83 记录号不存在 6.4 建立候选应用列表终端使用两种方法建立卡片和终端都支持的应用列表 目录选择方式对于终端必备要求, 对于卡片可选的 终端应优先选择此方式 终端从卡片中读取支付系统环境文件 此文件列出卡片支持的所有支付应用 终端将卡片列表和终端列表中都有的应用加入候选列表中 ; AID 列表选择方式卡片和终端都必备要求的 终端为每一个终端支持的应用发送一个选择 (SELECT) 命令给卡片 如果卡片响应指出卡片支持此应用, 终端加此应用到候选列表 目录选择方式从卡片角度来看, 目录选择方式处理包括下列步骤 : 步骤 1: 卡片接收一个来自终端的选择 (SELECT) 命令, 请求选择 PSE( 文件名 1PAY.SYS.DDF01 ); 如果卡片锁定或者选择 (SELECT) 命令不支持, 卡片响应 SW1 SW2= 6A81 ; 如果卡片中没有 PSE, 卡片响应选择 (SELECT) 命令指出文件不存在 (SW1 SW2= 6A82 ); 如果 PSE 锁定, 卡片响应 6283 ; 如果 PSE 找到, 卡片响应 9000 返回 PSE 的 FCI 11

18 步骤 2: 如果 PSE 找到, 卡片接受终端发出的表明短文件标识和记录号的读记录 (READ RECORD) 命令, 卡片对每一个读记录 (READ RECORD) 命令响应请求的记录内容和返回状态字 SW1 SW2= 9000 当请求的记录不存在, 卡片返回 SW1 SW2= 6A83 ; 步骤 3: 终端处理记录中的每一个入口 如果入口表明一个 DDF, 终端发一个有此 DDF 名字的选择 (SELECT) 命令, 卡片响应 DDF 的 FCI FCI 包括一个目录文件的 SFI 终端读取属于此 DDF 的目录文件中的所有记录, 卡片对每个读记录 (READ RECORD) 命令返回请求的记录和状态字 9000 当请求的记录不存在, 卡片响应 6A83, 终端返回步骤 2 继续读 PSE 下的目录文件 终端执行的步骤显示在图 2 所示 : 步骤 1: 从支付系统目录读记录 1; 步骤 2: 检查 ADF 入口 1 或 2 中的 AID 和终端 AID 匹配 如果匹配, 加入候选列表 ; 步骤 3: 从支付系统目录读记录 2; 步骤 4: 选择记录 2 中入口 1 指出的 DDF 目录 ; 步骤 5: 读 DDF 目录文件中的记录 1; 步骤 6: 检查记录 1 中 ADF 入口 1 或 2 中的 AID 和终端 AID 匹配 如果匹配, 加入候选列表 ; 步骤 7: 当卡片响应目录中没有其它记录时, 返回前一个目录的处理入口和记录 ; 步骤 8: 检查支付系统目录文件中记录 2 内入口 2 和终端 AID 匹配 如果匹配, 加入候选列表 ; 步骤 9: 当卡片响应支付系统目录中没有其它记录, 建立候选列表结束 PSE 支付系统目录 记录 1 记录 2 ADF 入口 1 ADF 入口 2 DDF 入口 1 ADF 入口 2 DDF DDF 目录 记录 1 ADF 入口 1 ADF 入口 2 图 2 卡片目录结构例子 AID 列表选择方式从卡片的角度来看,AID 列表选择方式包括下列步骤 : 12

19 步骤 1: 卡片收到终端发来选择 (SELECT) 命令, 命令包括终端支持的应用列表中的 AID 卡片检查卡片中有匹配的 AID 应用 ( 卡片 AID 长度可以长于终端 AID, 但仍然认为匹配 ) AID 匹配的例子在表 6 中显示 表 6 AID 匹配例子终端 AID 终端应用卡片 AID 卡片应用 A JR/T 0025 借记 / 贷记 A JR/T 0025 借记 A JR/T 0025 借记 / 贷记 A JR/T 0025 贷记 如果 AID 匹配, 卡片响应选择 (SELECT) 命令指明卡片支持此应用 (SW1 SW2= 9000 ); 如果卡片找不到匹配的 AID, 卡片响应状态字 SW1 SW2= 6A82 指明应用没找到 ; 如果卡片锁定或不支持选择 (SELECT) 命令, 卡片响应状态字 SW1 SW2= 6A81 指明交易应被中止 步骤 2: 如果匹配的卡片 AID 长度比终端 AID 长, 卡片在选择 (SELECT) 命令响应信息中返回完整的 AID 给终端 卡片接收终端发来的第 2 个选择 (SELECT) 命令, 参数 P2 设置为 02 表明卡片要选择有同样 AID 的下一个应用 ; 卡片选择下一个应用并在选择 (SELECT) 命令响应中提供这一应用给终端 ; 当卡片不再有应用有此 AID, 卡片响应 6A82 表明所有匹配的应用都已经选择 6.5 确定和选择应用如果候选列表中至少有一个双方都支持的应用, 终端和持卡人决定选择哪个应用 终端发一个选择 (SELECT) 命令给卡片指出此应用确认用来处理交易 如果卡片决定此应用可以处理交易, 响应 9000 如果应用锁定, 卡片响应 流程图 13

20 终端支持目录选择? 终端 选择命令文件名称 PSE 卡片 卡片锁定? 终端中止交易 SW1/2=6A81 SW1/2=6A8 2 PSE 在卡片中? 终端进行 AID 列表方式 记录号加 1 A B C 还有入口? 根据 FCI 中的目录文件 SFI 读目录文件 目录文件中所有记录都处理了? 处理记录中入口 读记录命令 SW1/2=628 3 响应 9000 和 PSE 的 FCI SW1/2=6A8 3 SW1/2=900 0 PSE 锁定? 请求的记录找到? 终端支持此应用? 加入候选列表 请求 DDF 的下一入口 FCI 获得 ADF ADF 或 DDF 选择 DDF DDF 目录文 DDF? 件 A B SW1/2 =9000 返回 DDF 的 FCI C 终端决定使用的应用 请求被选择的应用的 FCI 选择应用命令, 使用应用 AID 响应 ADF 的 FCI 和 SW1/2=9000 图 3 使用目录方式进行应用选择 14

21 卡片 终端 终端处理自己的 AID 列表 选择终端列表中 AID 列表中多个 AID? 卡片锁定? P2=02 选择下一个? 卡片 AID 和终端的匹配? SW1/2=6A81 应用锁定 SW1/2=90 00 A 终端中止交易 加入到候选列表 SW1/2=6283 SW1/2=6A82 下一个匹配的应用? 应用锁定? SW1/2=628 3 响应 AID, SW1/2=9000 加入到候选列表 SW1/2=6A82 最终选择 A 相应 ADF 的 FCI,SW1/2 =9000 用 AID 选择 ADF 终端决定使用的应用 请求应用的 FCI 图 4 使用 AID 列表选择方式进行应用选择 15

22 6.7 后续相关流程应用初始化终端发送获取处理选项 (GPO) 命令给卡片, 如果在应用选择时选择 (SELECT) 命令的响应信息中包括 PDOL,GPO 命令中包括 PDOL 中指定的终端数据, 例如交易日志记录里需要的终端数据 如果某些限制不允许选择的应用做初始化, 终端中止应用并返回应用选择步骤选择另一个应用 7 应用初始化在应用初始化处理中, 终端通过发送获取处理选项 (GPO) 命令给卡片通知卡片交易处理开始 在命令中, 终端提供给卡片在处理选项数据对象列表 (PDOL) 中请求的数据元 PDOL( 一个数据元标签和长度的列表 ) 在应用选择处理中由卡片返回给终端的可选数据项 卡片对 GPO 命令的响应信息包括 :AIP 和 AFL AIP 列出了交易在处理过程中执行的功能 ;AFL 列出交易需要读出的数据存放的短文件标识符 记录号 记录个数以及脱机数据认证需要的静态签名数据的存放位置 7.1 卡片数据应用初始化处理使用的卡片数据在表 7 中列出 表 7 应用初始化 卡片数据数据元描述应用文件定位器 (AFL) 说明终端作交易处理要读出的卡片数据存放的文件位置和记录范围 对每个要读出的文件,AFL 包括下列信息 : 字节 1 短文件标识符 ( 一个文件的数字标签 ) 字节 2 第 1 个要读出的记录号 字节 3 最后一个要读出的记录号 字节 4 存放用于脱机数据认证的数据的连续记录个数, 字节 2 指出的第 1 条要读的记录号应用交互特征 (AIP) 一个列表, 说明此应用中卡片支持指定功能的能力 (SDA 标准 DDA CDA 终端风险管理 持卡人验证和发卡行认证 ) AIP 在个人化时应被写入卡中用来指明支持终端风险管理和持卡人验证应用交易计数器 (ATC) 应用个人化后, 卡片应用交易计数器启动卡片验证结果 (CVR) JR/T 0025 专用数据, 表明从卡片角度来看本次和前次交易的脱机处理结果 数据存放在卡片中, 作为发卡行应用数据的一部分联机上送密文信息数据 (CID) 指明卡片返回的密文类型和终端需要进行的后续处理行为 在应用初始化处理时被初始为全 0 处理选项数据对象列表 (PDOL) 在应用初始化步骤, 卡片在处理 GPO 命令时需要由终端提供的数据元的标识和长度列表 7.2 终端数据在应用初始化处理中使用的终端数据在表 8 中列出 表 8 应用初始化 终端数据数据元描述 PDOL 中定义的其它数据 PDOL 中指定的来自终端的其它数据, 例如交易日志记录里需要的终端数据 7.3 命令获取处理选项 (GPO) 终端使用获取处理选项 (GPO) 命令通知卡片交易开始 16

23 命令中包含卡片在 PDOL 中列出的终端数据元的值部分,PDOL 卡片在应用选择阶段返回的可选数据 卡片响应数据内容为 AIP 和 AFL AIP 列出了交易在处理过程中执行的功能 ;AFL 列出交易需要的数据存放的短文件标识符 记录号 记录个数以及脱机数据认证需要的静态签名数据的存放位置 命令编码见附录 B 7.4 处理流程卡片收到终端发送的获取处理选项 (GPO) 命令后, 卡片 : 步骤 1: 如果卡片支持自定义限制检查并且处理选项命令中包括 PDOL 中指定的终端数据, 卡片执行自定义的限制检查 如果限制检查不通过, 卡片响应 使用条件不满足 (SW1 SW2= 6985 ) 提示终端将当前应用从候选列表中删除并返回应用选择步骤选择另一个应用 ; 步骤 2: 决定要读取的文件记录, 文件位置, 建立 AFL 针对交易的不同情况可以返回不同 AFL 和 AIP; 步骤 3: 如果自定义限制检查通过, 卡片 : a) ATC 加 1, 如果此时 ATC 达到 65535, 则卡片应永久锁定应用 ; b) 密文信息数据 (CID) 置零 ; c) 卡片验证结果 (CVR) 置零 ( 长度指示位除外 ); d) 卡片返回 AIP 和 AFL 图 5 显示了应用初始化处理流程图 17

24 卡片收到获取处理选项 (GPO) 命令 包括 PDOL 中指定的终端数据 卡片 终端 PDOL 处理没有异常? 获取处理选项命令响应 6985 终端将交易从候选列表中删除, 返回应用选择步骤 ATC 加 1 并且检查 ATC 达到 卡片永久锁定应用,GPO 命令响应 6985 设置 CID 为 00 设置 CVR 字节 2-4 为 00 卡片返回 AFL 获取处理选项命令响应 AFL 和 AIP 终端执行读应用数据步骤 图 5 应用初始化流程图 18

25 7.5 前期相关处理应用选择在选择 (SELECT) 命令响应的 FCI 中卡片提供 PDOL( 如果存在 ) 给终端 7.6 后续相关处理应用选择如果卡片使用限制生效, 交易返回应用选择阶段, 此应用从候选列表中删除, 选择另一个应用 读应用数据在获取处理选项 (GPO) 命令的响应数据中, 卡片返回 AFL 给终端, 终端使用 AFL 决定要从卡片中读取的应用数据和哪些数据用于脱机数据认证 脱机数据认证终端使用卡片在获取处理选项 (GPO) 命令的响应信息中的 AIP 决定卡片支持的脱机数据认证的类型 持卡人验证终端使用卡片在获取处理选项 (GPO) 命令的响应信息中的 AIP 决定卡片支持持卡人验证 联机操作终端使用卡片在获取处理选项 (GPO) 命令的响应信息中的 AIP 决定卡片支持发卡行认证 8 读应用数据在读应用数据处理中, 终端读出卡片中处理交易和执行 SDA 或 DDA 的必要数据 8.1 卡片数据表 9 列出在读应用数据处理中使用, 在前一步应用初始化处理中卡片返回的数据 表 9 读应用数据 卡片数据数据元描述应用文件定位器 (AFL) 在应用初始化处理中, 卡片返回给终端的数据, 包含了一组要求读取的记录入口, 每一个入口包含 : 文件的短文件标识符 (SFI) 第 1 个和最后一个要读取记录的记录号 用于保存 SDA 和 DDA 数据的记录个数 从文件中第 1 个开始读取的记录号开始计算表 10 中列出读取卡片中应用基本文件记录的数据 表 10 读应用数据 卡片文件数据元描述应用基本文件 (AEF) 卡片数据文件, 包括应用处理使用的数据 一个 AEF 包括一系列用记录号标识的记录 每个 AEF 用 SFI 唯一标识 终端使用读记录 (READ RECORD) 命令读取记录内容, 命令中包括 SFI 和记录号短文件标识符 (SFI) 用来唯一标识应用数据文件 在 AFL 中列出, 终端可以用来标识要读的文件 8.2 终端数据卡片在此步骤中不使用终端数据 8.3 命令读记录 (READ RECORD) 读记录 (READ RECORD) 命令编码见附录 B 卡片收到的命令中包括短文件标识符 (SFI) 和记录号 卡片响应数据文件中的记录内容 19

26 8.4 处理流程卡片收到终端发送的读记录 (READ RECORD) 命令, 返回终端请求的记录内容给终端 AFL 中指定的每一条记录都用一个读记录 (READ RECORD) 命令读出 终端连续发读记录 (READ RECORD) 命令, 直到 AFL 中指定的所有记录都读出 用于脱机数据认证的记录数据标识为 70 的 TLV 编码格式 使用读记录 (READ RECORD) 命令读出的数据见附录 A 前期相关处理应用初始化在应用初始化处理中, 卡片返回 AFL 给终端指出终端要读出的数据记录 8.6 后续相关处理脱机数据认证终端使用在读应用数据处理中建立的一个静态数据列表做 SDA 验证或 DDA 中使用的 IC 卡公钥验证 9 脱机数据认证脱机数据认证终端使用公钥技术认证卡片中的数据的操作 脱机数据认证有两种类型 : 静态数据认证 (SDA); 动态数据认证 (DDA) SDA 终端认证卡片中静态 ( 不变 ) 数据 SDA 可以确保卡片在个人化之后, 发卡行选定的数据不会被篡改 DDA 包括标准 DDA 和复合 DDA/ 应用密文生成 (CDA) 两种认证方式 在 DDA 的处理过程中, 终端认证卡片中静态数据和卡片用交易唯一数据生成的密文 DDA 可以确保卡片在个人化之后, 发卡行选定的数据不会被篡改 ;DDA 还可以防止伪卡 ( 复制 ) 脱机数据认证的结果卡片和终端决定交易脱机 联机或拒绝的参考条件之一 联机授权系统在作出认证响应决定时同样可能要参考脱机数据认证结果 具有脱机能力的终端应支持脱机数据认证, 卡片支持可选的 9.1 密钥和证书在 JR/T 的 5.1 中描述 9.2 决定脱机数据认证方法终端使用卡片的应用交互特征 (AIP) 以及根据终端本身支持的脱机数据认证来决定执行 SDA,DDA 还 CDA 卡片数据终端用来决定执行 SDA 或 DDA 的卡片数据在表 11 中列出 表 11 脱机数据认证 卡片数据数据元描述应用交互特征 (AIP) 包括指明 : 卡片支持静态数据认证 SDA 卡片支持动态数据认证 DDA 卡片支持复合数据认证 CDA 处理流程一次交易中只进行一种脱机数据认证 CDA 优先级高于 DDA,DDA 的优先级高于 SDA 如果卡片和终端一种脱机数据认证都不支持, 脱机数据认证不执行 如果终端测定卡片和终端都支持 CDA, 执行 CDA; 则, 如果都支持 DDA, 执行 DDA; 则, 如果都支持 SDA, 则执行 SDA 20

27 用于脱机数据认证的记录数据标识为 70 的 TLV 编码格式, 对于文件的 SFI 分别在 1-10 和 的这两类文件, 在脱机数据认证处理过程中的数据处理不同, 见 JR/T 的定义 如果用于脱机数据认证的记录数据不标识为 70 的 TLV 编码格式, 终端会认为脱机数据认证执行但失败 终端将设置 TSI 中 脱机数据认证执行 位为 1, 同时设置 TVR 中相应的 SDA 失败 或 DDA 失败 或 CDA 失败 位为 静态数据认证在 SDA 处理中, 终端使用公钥技术验证卡片中的关键数据自发卡后没有被改动 卡片数据终端在 SDA 处理中使用的卡片数据在表 12 中列出 表 12 SDA 中使用的卡片数据数据元描述 CA 公钥索引 (PKI) 和发卡行公钥证书一起由 CA 提供 指明了终端里用于认证发卡行公钥证书的 CA 公钥发卡行公钥证书证书中包括了使用 CA 私钥签名的发卡行公钥发卡行公钥指数用于 RSA 算法中恢复签名静态应用数据 值为 3 或 发卡行公钥余项发卡行公钥没有包含在发卡行公钥证书中的部分 ( 如果有 ) AID 中的注册应用标识部分 (RID) 和 CA 公钥索引一起用来标识终端中的公钥签名的静态应用数据 (SAD) 一个用来验证卡片静态数据的签名 在卡片个人化阶段, 使用发卡行私钥签名的 SAD 保存在卡片中 推荐下列数据用来生成签名 : 应用交互特征 AIP( 如果支持 DDA) 应用生效日期 应用失效日期 应用主账号 应用主账号序列号 应用用途控制 AUC 持卡人验证方法 (CVM) 列表 IAC 缺省 IAC 拒绝 IAC 联机 发卡行国家代码 ( 5F28 ) 如果应用中签名的数据不唯一, 卡片应支持多个 SAD 举例来说, 卡片给国内和国际交易分别设置 CVM 列表, 而 CVM 列表签名数据如果发行后的卡片有修改签名数据的能力, 则卡片应支持修改 SAD 的能力 SDA 标签列表如果 AIP 也要签名,SDA 标签列表包括 AIP 的标签, 如果支持 DDA 则建议将 AIP 做签名 除了 AIP 不能有其它数据标签表 13 中和 SDA 相关的卡片内部数据 表 13 和 SDA 相关的卡片数据数据元描述 卡片验证结果 (CVR) SDA 失败指示位 包括一个给后续交易参考的指示位, 指示位在卡片行为分析时设置表明上次脱机拒绝交易的 SDA 失败如果 SDA 失败并且交易脱机拒绝, 在卡片行为分析过程中设置此位 根据发卡行认证的条件, 在下一次联机交易的交易结束步骤中, 此指示位复位 21

28 9.3.2 终端数据在 SDA 过程中, 卡片不需要终端数据 命令 SDA 操作没有使用命令 处理流程在 SDA 处理中, 终端使用公钥验证技术恢复和验证发卡行公钥, 并且验证卡片中的 SAD 见 JR/T 的 5.2 中的描述 概括的描述如下 : 步骤 1: 检索 CA 公钥终端使用卡片中的 PKI 和 RID 确定使用哪一个 CA 公钥 ; 步骤 2: 恢复发卡行公钥终端使用 CA 公钥验证卡片中的发卡行证书并恢复证书中的发卡行公钥 ; 步骤 3: 验证签名的静态应用数据 a) 恢复哈希结果 ; b) 计算哈希 ; c) 比较哈希结果 如果所有的 SDA 步骤都成功,SDA 通过 9.4 动态数据认证在 DDA 处理中, 终端使用公钥技术验证卡片中关键数据自发卡后没有被改动, 同时验证卡片伪卡 JR/T 0025 支持两种 DDA 形式 : 标准 DDA 和 CDA 在这两种方式里, 终端验证卡片中的静态数据没有修改, 同时验证卡片生成的动态密文 在标准 DDA 中, 卡片在执行卡片行为分析之前, 响应内部认证命令时使用卡片 终端和交易的动态数据生成动态签名 在 CDA 中, 卡片在响应生成应用密文命令时生成动态签名, 签名中包括应用密文 密文信息数据以及和标准 DDA 一样的终端 卡片和交易的动态数据 卡片数据除了 SAD,SDA 使用的所有数据 DDA 中都使用, 表 14 中列出的数据仅用于 DDA 表 14 脱机数据认证 DDA 卡片数据数据元描述动态数据认证数据对象列表 (DDOL) 指定在内部认证 (INTERNAL AUTHENTICATE) 命令中, 卡片要求终端送入卡片的终端数据标签和长度列表 至少 DDOL 中要有终端不可预知数据的标签 ( 9F37 ) IC 卡动态数据发卡行指定的包括在签名的动态应用数据中 JR/T 0025 里规定 :1 字节为 IC 卡动态数长度 ;2,3 字节为 ATC IC 卡动态数 IC 卡动态数据的一部分, 卡片生成的随时间变化的数 JR/T 0025 建议为 ATC IC 卡公钥证书包含发卡行私钥签名的 IC 卡公钥, 在卡片个人化时放入卡中 证书中有使用发卡行私钥作签名加密的静态应用数据 IC 卡公钥指数用来恢复签名的动态应用数据, 值为 3 或 IC 卡公钥余项没有包含在 IC 卡公钥证书内的 IC 卡公钥部分 ( 如果存在 ) 签名的动态应用数据卡片收到内部认证 (INTERNAL AUTHENTICATE) 命令生成的签名在 DDA 处理中, 卡片内部使用的数据元在表 15 中列出 表 15 脱机数据认证 DDA 处理中卡片内部数据元数据元描述卡片验证结果 (CVR) 包括和 DDA 相关的下列指示位 : 上次交易脱机动态数据认证失败并且交易脱机拒绝脱机数据认证执行 22

29 数据元 描述 IC 卡私钥用来给动态应用数据签名加密的密钥 DDA 失败指示位指示上次脱机拒绝交易的 DDA 认证失败 根据发卡行认证的条件, 在下一次联机交易的交易结束步骤中, 此指示位复位 终端数据表 16 列出 DDA 处理中卡片使用的来自终端的数据 表 16 脱机数据认证 终端数据数据元描述 DDOL 中列出的不可预知数据和其它在内部认证 (INTERNAL AUTHENTICATION) 命令中的数据数据元缺省 DDOL 如果卡片中没有 DDOL, 使用终端中缺省 DDOL 命令 内部认证命令在标准 DDA 处理过程中, 终端发送内部认证 (INTERNAL AUTHENTICATE) 命令 命令包括了 DDOL 或缺省 DDOL 中指明的终端动态数据 为了确保内部认证 (INTERNAL AUTHENTICATE) 命令返回数据在 256 字节限制内, 签名的动态应用数据加上可选的 TLV 格式编码的长度应该限制在 JR/T 中定义的范围内 当卡片收到内部认证 (INTERNAL AUTHENTICATE) 命令, 使用 IC 卡私钥生成签名的动态应用数据 在内部认证 (INTERNAL AUTHENTICATE) 命令的返回中包含此动态签名 具体的命令编码格式在附录 B 生成应用密文命令终端在卡片行为分析处理步骤中发送第 1 次生成应用密文 (GENERATE AC) 命令, 下面条件满足时, 交易执行 CDA: 当生成应用密文命令中参数 P1 的第 5 位为 1, 表明终端请求执行 CDA 且卡片 AIP 数据表明也支持 CDA, 当卡片返回一个 TC 或 ARQC 时,TC 或 ARQC 要包括在 DDA 密文中 具体的描述在安全规范部分 编码格式见附录 B 处理流程在 DDA 处理步骤中, 终端使用公钥技术验证卡片中的发卡行公钥证书 IC 卡公钥证书和签名的动态应用数据 ( 动态签名 ) 在 DDA 处理过程中, 卡片的唯一操作生成动态签名 DDA 处理的描述见 JR/T 的 5.3 下面一个概括性的描述 标准动态数据认证标准 DDA 的处理有以下步骤 : 步骤 1: 检索 CA 公钥终端使用卡片中的 PKI 和 RID 确定使用哪一个 CA 公钥 ; 步骤 2: 恢复发卡行公钥终端使用 CA 公钥验证卡片中的发卡行证书并恢复证书中的发卡行公钥 ; 步骤 3: 恢复 IC 卡公钥终端使用发卡行公钥验证卡片中的 IC 卡公钥证书并恢复证书中的 IC 卡公钥和静态数据哈希结果 IC 卡公钥证书确保 IC 卡公钥的合法性 终端用卡片中的实际数据元重新计算哈希值检查和恢复的哈希值匹配 ; 步骤 4: 生成动态签名 ( 仅用于标准 DDA) 终端发送内部认证命令请求一个动态签名 命令中包括了 DDOL 中指定的数据 23

30 收到内部认证命令后, 卡片 : a) 设置 CVR 中脱机动态数据认证执行位为 1 ; b) 连接内部认证命令中的终端数据和在 IC 卡动态数据中指定的卡片数据 见 JR/T 部分 5.3.5; c) 用上一步连接的数据做哈希 ; d) 将哈希包括在签名的动态应用数据中 ; e) 使用 IC 卡私钥给签名的动态应用数据做签名 ; f) 在内部认证命令的响应信息中返回签名的动态应用数据 步骤 5: 动态签名验证 ( 仅用于标准 DDA) 终端执行下列步骤验证动态签名 : 使用 IC 卡公钥解密动态签名恢复数据元哈希值 ; 使用动态数据元重新计算哈希 ; 比较两个哈希匹配 如果所有上述步骤成功, 标准 DDA 通过 复合动态数据认证 / 应用密文生成 CDA 处理包括下列步骤 : 终端在读取应用数据后终端行为分析之前, 执行标准 DDA 中步骤 1 到 3; CDA 剩下的卡片步骤生成一个包括应用密文的动态签名 这一步在卡片收到生成应用密文命令时执行 只有当交易符合 CDA 的执行条件, 而且应用密文类型 TC 或 ARQC 时发生 ; CDA 剩下的终端步骤验证卡片生成动态签名 这一步在联机处理过程中执行 如果验证失败, 交易拒绝 9.5 前期相关处理读应用数据终端从卡片中读数据 如果卡片支持 SDA, 数据中包括发卡行公钥证书, 其它和密钥相关的数据和签名的静态应用数据 (SAD) 如果卡片支持 DDA, 那数据中也要有 DDOL,IC 卡公钥证书和其它和密钥相关数据 9.6 后续相关处理终端行为分析终端使用 SDA 或 DDA 的结果和卡片与终端的参数决定交易拒绝 上送联机或接受脱机交易 卡片行为分析如果交易符合 CDA 执行要求, 卡片在响应终端之前, 将 ARQC 或 TC 放到签名的动态应用数据中用 IC 卡私钥签名 如果动态数据认证失败指示位 1, 卡片设置 CVR 中上次交易动态数据认证失败, 交易拒绝位为 1 如果静态数据认证失败指示位 1, 卡片设置 CVR 中一个类似的位 如果当前交易拒绝而且终端送来的 TVR 中的动态数据认证失败指示位为 1, 卡片设置卡片中动态数据认证失败指示位为 1 SDA 也有类似处理 联机操作如果执行了 CDA 而且卡片返回的应用密文 ARQC 或 TC, 终端在卡片响应生成应用密文命令后恢复并验证签名数据 结束当交易联机处理而且发卡行认证 : 执行并通过 ; 支持但可选并且没有执行, 或 ; 不支持 24

31 卡片中静态数据认证失败和动态数据认证失败指示位设为 0 如果交易拒绝而且终端送入的 TVR 中 CDA 失败 位为 1, 卡片设置动态数据认证失败指示器为 1 10 处理限制终端使用终端和卡片数据执行处理限制功能 包括检查应用版本 生效和失效日期等 10.1 卡片数据在处理限制过程中使用的卡片数据在表 17 中列出 表 17 处理限制 卡片数据数据元描述应用生效日期应用可以有效使用的开始日期应用失效日期应用使用的截止日期应用版本号此数据元 ( 卡片标签 9F08 ) 表明卡片中应用的版本 在终端执行应用版本检查时使用应用用途控制 (AUC) 可选数据元 指明发卡行设置的卡片应用限制, 包括国内 国际 交易种类 使用的终端设备等发卡行国家代码 JR/T 0025 定义数据 (5F28) 指明卡片发行者的国家 在终端执行应用用途控制检查时使用 10.2 终端数据在处理限制过程中使用的终端数据在表 18 中列出 表 18 处理限制 终端数据数据元描述应用版本号终端标签 9F09 表明终端中应用的版本号交易类型此数据元表明应用类型 在终端执行应用用途控制检查时使用终端国家代码此数据元表明终端所处国家 在终端执行应用用途控制检查时使用交易日期交易发生时的终端当地日期 在终端执行生效和失效日期检查时使用 10.3 处理流程在处理限制过程中卡片不执行任何操作 下面描述了终端在处理限制过程中如何使用卡片数据 应用版本号检查终端比较卡片和终端中的应用版本号一样 应用用途控制检查在应用用途控制处理中, 终端检查交易发生地的不同情况, 决定交易继续进行 如果在读应用数据步骤中终端读取到应用用途控制 (AUC) 和发卡行国家代码数据, 终端检查下列应用限制 : 步骤 1: 国内和国际检查国内终端比较发卡行国家代码和终端国家代码 如果相同, 认为国内交易 如果国内交易,AUC 中对应的国内交易类型指示位应为 1 表明请求的服务允许进行 示例 : 如果一个现金交易,AUC 中 国内现金交易有效 指示位应为 1 国际如果国家代码不同, 认为国际交易 如果国际交易,AUC 中对应的国际交易类型指示位应为 1 表明请求的服务允许进行 示例 : 如果一个现金交易,AUC 中 国际现金交易有效 指示位应为 1 步骤 2:ATM 检查 25

32 如果终端设备为 ATM,AUC 中 ATM 有效位应为 1 如果终端设备不 ATM,AUC 中 除 ATM 外的终端有效 位应为 1 如果上述任何终端执行的检查失败, 终端在 TVR 中标明 卡片产品不允许请求的服务 表 19 AUC 的编码格式, 如果指示位的值为 1 说明支持此用途 表 19 应用用途控制 (AUC) 字节 b8 b7 b6 b5 b4 b3 b2 b1 用途 1 1 x x x x x x x 国内现金交易有效 1 x 1 x x x x x x 国际现金交易有效 1 x x 1 x x x x x 国内商品有效 1 x x x 1 x x x x 国际商品有效 1 x x x x 1 x x x 国内服务有效 1 x x x x x 1 x x 国际服务有效 1 x x x x x x 1 x ATM 有效 1 x x x x x x x 1 除 ATM 外的终端有效 2 1 x x x x x x x 允许国内返现 2 x 1 x x x x x x 允许国际返现 应用生效日期检查当卡片应用数据中包括应用生效日期时, 终端执行应用生效日期检查 检查确保应用有效的 如果应用生效日期大于交易日期, 终端要在 TVR 中标明应用还未生效 应用失效日期检查应用失效日期检查必备的 检查确保应用没有过期 如果应用失效日期小于交易日期, 终端要在 TVR 中标明应用已经过期 10.4 前期相关处理读应用数据终端使用读记录 (READ RECORD) 命令取得卡片中记录数据 这些数据包括发卡行国家代码, 应用版本号, 应用失效日期和可选的 AUC 和应用生效日期 10.5 后续相关处理终端行为分析在终端行为分析阶段, 终端检查发卡行行为代码 (IAC) 和终端行为代码 (TAC) 决定交易结果 11 持卡人验证持卡人验证用于确保持卡人身份合法以及卡片没有丢失 在持卡人验证处理中, 终端决定要使用的持卡人验证方法 (CVM) 并执行选定的持卡人验证 CVM 处理允许增加其它持卡人验证方法, 例如生物识别等 如果使用脱机 PIN 方式, 卡片要验证卡片内部的脱机 PIN 脱机 PIN 验证结果包括在联机授权信息中, 发卡行作授权决定的时候要考虑其验证结果 终端使用卡片中的 CVM 列表规则选择持卡人验证方式 选择原则包括交易类型 ( 现金或消费 ), 交易金额, 终端能力等 CVM 列表还给终端指明如果持卡人验证失败要如何处理 11.1 卡片数据表 20 描述了 CVM 列表处理过程中终端使用的卡片数据 表 20 CVM 列表处理 卡片数据数据元描述 应用货币代码 用来决定交易使用卡片中的指定货币 如果 CVM 列表存在而且 CVM 列表中金额 X 或金额 Y 不为零, 卡片中应用货币代码数据要存在 26

33 应用交互特征 (AIP) 标明卡片支持持卡人验证持卡人验证方法列表 (CVM 一个有优先顺序的持卡人验证方式列表 一张卡包括一个 CVM 列表, 如果要实现不同的应 List) 用类型例如国内或国际使用不同的验证方式, 卡片中要有多个 CVM 列表 一个 CVM 列表包括下列内容 : 金额 X 金额 Y CVM 入口 CVM 列表可以包括多个入口, 每个入口包括下列子集 : 子集描述 CVM 代码指出如果这个 CVM 失败, 执行下一 CVM 还认为 CVM 失败 CVM 类型 CVM 的类型有 : 脱机明文 PIN 验证 联机加密 PIN 验证 脱机明文 PIN 验证加签名 签名 无需 CVM( 认为 CVM 通过 ) CVM 处理失败 ( 认为 CVM 失败 ) 出示证件 CVM 条件此 CVM 的使用条件, 包括 : 总执行 如果现金或返现交易 如果不现金或返现交易 如果终端支持此 CVM 如果交易金额小于金额 X 如果交易金额大于金额 X 如果交易金额小于金额 Y 如果交易金额大于金额 Y 注 : 后四个条件要求交易使用的卡片指定货币 ( 卡片应用货币 ) 下面一个发卡行如何定义 CVM 的例子 : 例子 CVM 列表一个发卡行以下列方式验证持卡人 : 所有 ATM 交易和返现交易使用联机 PIN; 如果终端支持脱机 PIN, 所有 POS 交易使用脱机 PIN; 如果终端不支持脱机 PIN,POS 交易使用签名 ; 如果终端不支持脱机 PIN 或签名, 不需要签名 CVM 列表内容见表 21 表 21 CVM 列表例子入口值 / 含义注释金额 X 0 CVM 列表中不检查金额金额 Y 0 CVM 列表中不检查金额 CVM 入口 1 CVM 条件 CVM 类型 01- 如果现金或返现 b- 联机加密 PIN 验证 ATM 交易使用此 CVM 入口 27

34 入口 值 / 含义 注释 CVM 代码 1b- 如果失败持卡人验证失败 CVM 入口 2 CVM 条件 03- 如果终端支持 POS 交易使用此入口如果终端支持脱机明文 PIN 核对, 执行 CVM 类型 b- 脱机明文 PIN 验证 此 CVM CVM 代码 1b- 如果失败持卡人验证失败 CVM 入口 3 CVM 条件 03- 如果终端支持 如果终端不支持脱机明文 PIN 核对, 执行此入口 CVM 类型 b- 签名 如果终端支持收集签名, 执行此 CVM CVM 代码 0b- 如果失败执行下一个 CVM CVM 入口 4 CVM 条件 00- 总 如果终端不支持脱机明文 PIN 核对和签名, 执行此入口 CVM 类型 b- 无需 CVM CVM 不可能失败 CVM 代码 1b- 如果失败持卡人验证失败 卡片使用的卡片数据在表 22 中描述 表 22 脱机 PIN 处理 卡片数据 PIN 尝试限制数 发卡行指定的 PIN 连续错误的最大次数 PIN 尝试计数器 指明 PIN 的剩余尝试次数 卡片使用取数据 (GET DATA) 命令返回 PIN 尝试计数 器 ( 可选 ) 在验证命令中返回给终端 当 PIN 验证不成功, 计数器减一, 直到验证成功或发重置计数器的脚本命令, 计 数器复位成最大尝试次数 当卡片支持脱机 PIN 验证时, 此计数器应存在卡片中 这一数据不一定可读 当发卡行希望终端在持卡人最后一次输入 PIN 前获得提示 信息, 此数据应可以由取数据 (GET DATA) 命令读出 则此数据不应由终端通 过取数据 (GET DATA) 命令读取 脱机 PIN 卡片脱机 PIN 被安全的保存在卡片中 卡片验证结果 (CVR) 包括下列内容的指示位 : 脱机 PIN 认证已执行 脱机 PIN 认证失败 超过 PIN 尝试次数 因为超过 PIN 尝试次数应用锁定 持卡人证件号 用于证件验证 持卡人证件类型 用于标识证件类型 11.2 终端数据 表 23 列出了终端使用的数据 表 23 PIN 处理 终端数据 数据元 描述 交易 PIN 持卡人输入的 PIN 11.3 命令 脱机 PIN 处理中使用下列命令 : 取数据 (GET DATA) 终端用来从卡片中取得 PIN 尝试计数器的值, 可选 如果卡片不支持用取数据 (GET DATA) 命令返回 PIN 尝试计数器, 卡片返回 6A88 ; 验证 (VERIFY) 用于脱机明文 PIN 校验 如果卡片支持脱机 PIN 处理就要支持验证 (VERIFY) 命令 ; 28

35 命令的响应状态字 SW1 SW2 可能有如下返回值 : 9000 验证成功 ; 63Cx PIN 不匹配, x 表明剩余的次数 ; 6984 当在上次交易中尝试次数限制数已经超过, 本次交易第 1 次处理验证 (VERIFY) 命令时返回 ; 6983 当在本次交易中尝试次数限制数超过, 卡片再次收到验证 (VERIFY) 命令时返回 11.4 处理流程下面描述了在处理 CVM 列表中不同 CVM 时的卡片规则 CVM 列表处理除了在读应用数据处理过程中提供给终端 CVM 列表外, 卡片不作操作 脱机明文 PIN 处理当一个 PIN 传送给卡片后, 卡片的处理 : 步骤 1: 检查 PIN 尝试计数器在终端决定要输入一个脱机 PIN 以后, 终端可以发送一个取数据 (GET DATA) 命令获取 PIN 尝试计数器值 a) 如果卡片支持使用取数据命令返回 PIN 尝试计数器, 卡片 : 如果 PIN 尝试计数器为 0, 设置 CVR 中 PIN 尝试限制数超过 位为 1 ; 在取数据 (GET DATA) 命令的响应信息中返回 PIN 尝试计数器 如果为 0, 终端不再允许持卡人输入 PIN b) 如果卡片不支持使用取数据 (GET DATA) 命令返回 PIN 尝试计数器, 卡片要返回 6A88 终端 GET DATA 命令 卡片支持返回 PIN 尝试计数器? PIN 尝试计数器 =0? 卡片 取数据命令响应错误 设置 CVR 中 PIN 尝试限制数超过位 卡片将 PIN 尝试计数器放到响应信息中 GET DATA 响应 卡片返回响应 图 6 检查 PIN 尝试计数器步骤 2: 接收验证 (VERIFY) 命令持卡人输入交易 PIN 以后, 终端发送一个包含此被输入的交易 PIN 的验证 (VERIFY) 命令 当卡片收到验证 (VERIFY) 命令, 卡片要设置 CVR 中 脱机 PIN 验证执行 位为 1 29

36 步骤 3:PIN 验证卡片执行下列 PIN 验证步骤 : a) PIN 尝试限制数已经超过, 卡片应该采取以下措施 : 设置 CVR 中 PIN 尝试限制数超过 位为 1 ; 设置 CVR 中 脱机 PIN 验证失败 位为 1 ; 如果 PIN 尝试限制数在上次交易中超过的, 返回 SW1 SW2= 6984 ; 如果 PIN 尝试限制数在本次交易中超过的, 返回 SW1 SW2= 6983 b) PIN 匹配如果 PIN 尝试功能没有锁定, 卡片进行 PIN 验证 如果匹配, 卡片 : 将 PIN 尝试计数器设置为最大值 (PIN 尝试限制数 ); 设置 CVR 中 脱机 PIN 验证失败 位为 0 ; 验证 (VERIFY) 命令响应 9000 c) PIN 不匹配如果交易 PIN 和卡片内脱机 PIN 不匹配, 卡片 : PIN 尝试计数器减 1; 设置 CVR 中 脱机 PIN 验证失败 位为 1 卡片判断 PIN 尝试限制数超过 没有 PIN 尝试机会 ; 如果 PIN 尝试计数器为 0, 卡片 : 设置 CVR 中 PIN 尝试限制数超过 位为 1 ; 如果有应用缺省行为 (ADA) 数据, 而且 ADA 中 PIN 尝试限制数在本次交易中超过, 应用锁定 位为 1, 设置 CVR 中 因为 PIN 尝试次数超过卡片锁应用 位为 1 并且锁应用 卡片将允许当前交易执行到结束步骤 这里描述的应用锁定不会使应用或卡片永久无效 ; 验证 (VERIFY) 命令响应 63C0 还有尝试机会如果 PIN 尝试计数器不为零, 卡片响应验证 (VERIFY) 命令 63Cx,x 表示剩余的尝试次数 30

37 终端 卡片 VERIFY 命令 PIN 尝试限制数超过? 设置 CVR 中 脱机 PIN 验证失败 位 设置 CVR 中 PIN 尝试限制超过 位 交易 PIN 和参考 PIN 匹配? PIN 尝试计数器复位成最大值 PIN 尝试计数器减 1 设置 CVR 中 脱机 PIN 验证失败 位 交易中第 1 个验证命令? 置 CVR 中 脱机 PIN 验证失败 位为 0 PIN 尝试限制数超过? SW1 SW2=6984 SW1 SW2=6983 SW1 SW2 = 9000 SW1 SW2=63Cx 设置 CVR 中 PIN 尝试限制数超过 位 ADA 中 如果 PIN 尝试限制数超过, 锁应用 位为 1? 设置 CVR 中 脱机 PIN 验证执行 位 设置 CVR 中 因为 PIN 尝试限制数超过, 锁应用 位 返回验证命令响应码 锁应用 SW1 SW2=63C0 图 7 脱机明文 PIN 处理步骤 4: 下一步处理如果 PIN 核对失败而且 PIN 还有尝试次数, 终端会提示持卡人再次输入交易 PIN, 并发送另一个验证 (VERIFY) 命令 如果在 PIN 尝试次数减为零之前 PIN 验证成功, 卡片 : a) PIN 尝试计数器重置为最大值 (PIN 尝试限制数 ); b) 设置 CVR 中 脱机 PIN 验证失败 位为 0 持卡人可以连续输入错误的 PIN, 直到尝试计数器为零 此时, 终端不再给卡片发送验证 (VERIFY) 命令 其它 CVM 处理联机 PIN 或签名的持卡人验证处理过程中, 卡片不执行操作 11.5 前期相关处理应用初始化在获取处理选项 (GPO) 命令响应中返回的应用交互特征 (AIP) 中指明卡片支持持卡人验证 读应用数据终端读出持卡认证件号 持卡人证件类型 CVM 列表和其它处理 CVM 列表需要的卡片数据 11.6 后续相关处理终端行为分析 31

38 终端使用持卡人验证结果以及卡片和终端的参数决定交易拒绝 联机上送或接受交易 卡片行为分析卡片使用 ADA 中的参数决定当 PIN 尝试限制数超过生成通知 卡片使用 ADA 参数决定当 PIN 尝试限制数在以前的交易中超过, 交易拒绝或联机上送 联机操作 CVM 结果包括脱机 PIN 的验证结果, 此数据包括在授权请求中, 发卡行在作出授权决定的时候要考虑脱机 PIN 的验证结果 如果 CVM 联机 PIN, 联机请求中有加密的联机 PIN 如果 CVM 脱机 PIN, 联机授权请求中不包括此 PIN 值 结束如果终端尝试为一笔 PIN 尝试限制数超过的交易进行联机授权, 而且尝试失败, 卡片使用 ADA 参数决定交易拒绝或接受 发卡行脚本操作 PIN 修改 / 解锁命令用来重置 PIN 尝试计数器为最大值 (PIN 尝试限制数 ), 也用来修改卡片中的脱机 PIN 值 应用解锁命令可以用来解锁 CVM 处理过程中锁掉的应用 12 终端风险管理终端风险管理为大额交易提供了发卡行授权, 确保芯片交易可以周期性的进行联机处理, 防止过度欠款和在脱机环境中不易察觉的攻击 发卡行需要支持终端风险管理 无论卡片支持, 终端都需要支持终端风险管理 12.1 卡片数据终端在终端风险管理处理中使用的卡片数据在表 24 中列出 表 24 终端风险管理 卡片数据数据元描述应用主账号 (PAN) 此应用中的持卡人账号应用交易计数器 (ATC) 当卡片中建立应用时被初始化, 由应用维护上次联机应用交易计数器 (ATC) 寄上次联机授权成功时的 ATC 值存器如果卡片必备要求发卡行认证, 在结束处理阶段, 当发卡行认证执行并通过, 设置寄存器的值用于终端风险管理和新卡检查连续脱机交易下限 9F14 发卡行指定的, 有联机能力的终端允许交易连续脱机的最大次数 终端频度检查中和终端新卡检查时使用连续脱机交易上限 9F23 发卡行指定的, 终端允许交易连续脱机的限制数, 如果联机授权没有执行, 交易拒绝 终端频度检查中和终端新卡检查时使用 12.2 终端数据终端风险管理中使用的终端数据在表 25 中列出 表 25 终端风险管理 终端数据数据元描述 授权金额用于偏置随机选择的最大目标百分数用于随机选择的目标百分数 数字数据对象 ( 标签 9F02 ) 存放当前交易的金额 用于最低限额检查用于随机选择交易联机的数据 用于随机选择交易联机的数据 32

39 终端最低限额标明应用的终端最低限额 用于最低限额检查和交易随机选择联机处理终端验证结果 (TVR) 一组指示位, 用来记录所有终端风险管理的处理结果偏置随机选择的阈值用于随机选择交易联机的数据交易日志终端上存储的被接受的交易的交易日志, 用来防止使用分次消费的方法企图躲过最低限额检查 这个日志至少包含了应用的主账号和交易金额, 并可选包含应用主账号序列号和交易日期 而交易数量的储存和日志的维护由具体应用定义 如果该日志存在, 则终端最低限额检查将可能使用到这个日志交易状态信息 (TSI) 概述了交易过程中终端执行的功能 在联机授权和清算报文中, 这个数据元不被提供, 但终端用这个数据元标明终端风险管理已被执行 12.3 命令取数据 (GET DATA) 命令如果终端尚未获取上次联机 ATC 寄存器和应用交易计数器, 则发送取数据 (GET DATA) 命令从卡片中读取 这些数据在终端频度检查和新卡检查时使用 如果卡片支持终端频度检查或新卡检查, 卡片要返回这些数据给终端 如果卡片不支持终端频度检查或新卡检查, 这些数据要存储为 JR/T 0025 专用数据元并不能返回给终端 此时卡片响应 SW1 SW2= 6A88 有关取数据 (GET DATA) 命令, 见附录 B 12.4 处理流程在终端频度检查和新卡检查中, 除了响应取数据命令, 卡片不做操作 下面描述了终端在终端风险管理处理过程中如何使用卡片数据 终端异常文件检查如果有终端异常文件, 终端要检查卡片中的应用主账号 (PAN) 在其中 商户强制交易联机在有联机能力的终端上, 商户可以指示终端进行联机交易 在此步骤中不需要卡片数据 最低限额检查进行最低限额检查, 当交易金额超过终端最低限额, 交易联机上送 此步骤中不需要卡片数据 随机交易选择有脱机和联机能力的终端要执行随机选择交易联机处理 此步骤不需要卡片数据 频度检查在连续脱机次数达到一个特定的次数后, 频度检查允许发卡行请求交易联机处理 发卡行可以选择不支持终端频度检查, 则在个人化时, 连续脱机交易的上限和下限 ( 标签 9F14 和标签 9F23 ) 数据不写入卡中 在频度检查处理中, 终端发送取数据 (GET DATA) 命令读取卡片中的上次联机 ATC 寄存器和 ATC 值 卡片返回数据 连续脱机交易的次数 ATC 和上次联机 ATC 寄存器的差值 注 : 卡片在卡片行为分析处理时可以执行类似的处理 新卡检查如果终端执行新卡检查, 终端检查上次联机 ATC 寄存器值为零 ( 如果存在 ) 终端发取数据 (GET DATA) 命令给卡片读出上次联机 ATC 寄存器值 注 : 卡片在卡片行为分析处理时可以执行类似的处理 12.5 前期相关处理读应用数据下列数据从卡片中读出 : 应用主账号, 用于终端异常文件检查 ; 33

40 连续脱机交易上限 / 下限, 用于终端频度检查 ( 可选 ) 12.6 后续相关处理终端行为分析根据卡片和终端的设置, 如果出现下列情况, 终端作出处理决定 : 卡片在终端异常文件中 ; 商户强制交易联机 ; 超过最低限额 ; 交易被随机选择联机 ; 频度检查中金额或计数器超过限制数 ; 卡片新卡 13 终端行为分析在终端行为分析过程中, 终端对脱机处理结果使用发卡行在卡片中设置的规则和支付系统在终端中设置的规则来决定交易接受 拒绝还上送联机授权 终端行为分析包括下面两个步骤 : 步骤 1: 检查脱机处理结果 终端通过检查脱机处理结果, 决定交易联机上送 接受脱机或拒绝 这个处理过程中要考虑发卡行在卡片中定义的发卡行行为代码 (IAC) 以及终端中定义的终端行为代码 (TAC) 步骤 2: 请求密文 终端请求卡片生成密文 终端行为分析过程中做出的交易联机或接受并不一个最终的结果 卡片进行卡片行为分析处理时, 卡片可能会推翻终端的决定 但卡片不能推翻终端做出的交易拒绝的决定 13.1 卡片数据在终端行为分析处理过程中, 终端使用的卡片数据在表 26 中列出 表 26 终端行为分析 卡片数据数据元描述卡片行为代码 (IAC) IAC 三个数据元, 每个数据元都和终端验证结果 (TVR) 中的每一位对应 这三个卡片行为代码 : IAC- 拒绝和对应的 TVR 中的条件如果满足, 则交易拒绝 IAC- 联机和对应的 TVR 中的条件如果满足, 则交易联机 IAC- 缺省当交易申请联机但无法执行时, 对应的 TVR 中的条件如果满足, 则交易拒绝 IAC 数据建议作为静态脱机数据认证用数据 表 27 列出的数据终端在之前的步骤中得到, 在请求密文时使用的 表 27 请求密文处理 卡片数据数据元描述卡片风险管理数据对象列表 CDOL1 列出卡片在生成应用密文时需要终端提供的数据的标签和长度交易证书数据对象列表 TDOL 列出生成交易证书 (TC) 哈希计算的数据对象 ( 标签和长度 ) 13.2 终端数据在终端行为分析处理过程中, 终端使用的终端数据在表 28 中列出 34

41 表 28 检查脱机处理结果 终端数据 数据元 描述 终端行为代码 (TAC) TAC 有 3 个数据元, 它们都由一系列的位组成的, 这些位对应于 TVR 中的数据位 分别为 : TAC- 拒绝收单行设置能够导致脱机拒绝的 TVR 条件位 TAC- 联机收单行设置能够导致交易联机的 TVR 条件位 TAC- 缺省收单行设置在交易联机无法进行的情况下能够导致脱机拒绝的 TVR 条件位终端在请求应用密文时使用的终端数据元在表 29 中列出 表 29 请求密文处理 终端数据数据元描述终端数据元在 CDOL1 或 TDOL 中指定的终端数据, 在生成应用密文 (GENERATE AC) 命令中使用交易证书 (TC) 哈希结果可选 作为输入数据使用生成应用密文 (GENERATE AC) 命令送入卡片 13.3 命令生成应用密文 (GENERATE AC) 命令终端使用生成应用密文 (GENERATE AC) 命令请求卡片生成一个应用密文 命令中的 P1 参数标明了密文类型以及执行 CDA 命令的数据部分包括卡片在 CDOL1 中要求的终端数据元 CDOL1 终端在读应用记录处理过程中从卡片中读出的 卡片处理生成应用密文 (GENERATE AC) 命令并响应 具体的命令编码见附录 B 13.4 处理流程 检查脱机处理结果终端行为分析中检查脱机处理结果步骤完全由终端执行的, 终端使用卡片中的 IAC 和终端中的 TAC 卡片在此步骤中没有操作 请求密文处理在请求密文处理过程中, 终端发送一个生成应用密文 (GENERATE AC) 命令给卡片请求卡片生成一个应用密文 命令中包含 CDOL1 中指定的终端数据元 当卡片收到命令后, 卡片进行卡片行为分析处理, 见第 14 章 13.5 前期相关处理读应用数据在读应用数据处理中, 卡片返回应用数据记录给终端, 这些数据包括 IAC,CDOL1 等 13.6 后续相关处理卡片行为分析在卡片行为分析阶段, 卡片执行风险管理确定同意终端作出的交易拒绝 交易接受或联机上送的决定 14 卡片行为分析卡片行为分析允许发卡行设置在卡片内部执行频度检查和其它风险管理 本部分描述 JR/T 0025 自定义的卡片风险管理, 包括的检查有 : 35

42 上次交易行为 ; 卡片新卡 ; 脱机交易计数和累计脱机金额 卡片行为分析结束后, 卡片返回一个应用密文给终端 AAC 表示交易拒绝,ARQC 表示请求联机授权, TC 表示脱机交易接受 如果卡片和终端都支持 CDA, 卡片返回的 ARQC 或 TC 要作为签名的动态应用数据的一部分 14.1 卡片数据表 30 列出了在卡片行为分析处理过程中使用的卡片数据 表 30 卡片行为分析 卡片数据数据元描述 应用密文应用货币代码应用缺省行为 (ADA) 应用交互特征 (AIP) 卡片风险管理数据对象列表 1 (CDOL1) 生成应用密文 (GENERATE AC) 命令的响应信息 AAC 表示交易拒绝 TC 表示接受交易 ARQC 表示请求联机授权指明和应用有关的国内货币, 卡片指定货币发卡行定义的指示器, 指定在一些特殊条件下的卡片行为 如果卡片中没有则缺省认为为零包括表明卡片支持 CDA 和发卡行认证能力的指示器列出在第 1 个生成应用密文 (GENERATE AC) 命令中, 卡片要求终端传送的数据对象 ( 标签和长度 ) 下列在 CDOL1 中的数据用于卡片风险管理检查 : 交易货币代码 连续国际脱机交易次数频度检查 ( 基于货币 ), 本地货币累计脱机交易金额频度检查, 本地货币加第 2 货币累计脱机交易金额频度检查 终端国家代码 连续国际脱机交易次数频度检查 ( 基于国家 ) 授权金额 本地货币累计脱机交易金额频度检查, 本地货币加第 2 货币累计脱机交易金额频度检查 终端验证结果 (TVR) 包括 SDA 和 DDA 失败的指示位 CDOL1 中包含的数据不能重复 卡片验证结果 (CVR) JR/T 0025 专有数据 表明当前和上次交易的脱机处理结果 此数据作为发卡行应用数据的一部分联机上送密文信息数据 (CID) 在生成应用密文 (GENERATE AC) 命令中返回给终端,CID 指出了卡片返回的密文的类型 CID 还包括了要生成通知的标识位, 以及生成通知的原因的代码连续脱机交易计数器 ( 国际 - 货币 ) JR/T 0025 专有数据 每次使用非卡片指定货币的脱机交易, 计数器加 1 连续脱机交易限制次数 ( 国际 - 货币 ) JR/T 0025 专有数据 使用卡片非指定货币的脱机交易的限制次数, 超过则请求联机处理连续脱机交易计数器 ( 国际 - 国家 ) JR/T 0025 专有数据 每次发卡行国家代码和终端国家代码不同的脱机交易, 计数器加 1 连续脱机交易限制次数 ( 国际 - 国家 ) JR/T 0025 专有数据 发卡行国家代码和终端国家代码不同的脱机交易的限制次数, 超过请求联机处理累计脱机交易金额 JR/T 0025 专有数据 记录自从上次联机处理以来, 使用卡片指定货币的脱机交易总金额累计脱机交易金额限制 JR/T 0025 专有数据 累计脱机交易金额的限制数 如果超过请求联机处理累计脱机交易金额 ( 双货币 ) JR/T 0025 专有数据 记录自从上次联机处理以来, 使用卡片指定货币和第 2 货 36

43 数据元 描述 币的脱机交易总金额累计脱机交易金额限额 ( 双货币 ) JR/T 0025 专有数据 累计脱机交易金额 ( 双货币 ) 的限制数 如果超过请求联机处理货币转换因子用来将第 2 应用货币转换成应用指定货币的汇率值 此数据元有四个字节, 第 1 个高半字节表示小数点的位置, 后面 7 个半字节表示汇率值 DDA 失败指示位当上次交易 DDA 失败而且交易拒绝时设置的卡片内部应用指示位发卡行认证失败指示位当上次联机交易出现下面两种情况之一时设置的卡片内部应用指示位 : 发卡行认证执行并失败 发卡行认证必备但没执行发卡行认证指示位指明卡片支持的发卡行认证必备还可选的指示位发卡行国家代码 ( 9F57 ) JR/T 0025 专有数据 表明发卡行的国家发卡行脚本命令计数器记录上次联机交易中, 有安全报文的发卡行脚本命令的个数发卡行脚本失败指示位在上次联机交易中, 发卡行脚本处理失败时设置连续脱机交易下限 ( 9F58 ) JR/T 0025 专有数据 在申请联机授权之前, 卡片允许的最大连续脱机交易限制数卡片请求脱机拒绝指示位当卡片风险管理检查决定交易拒绝时设置的卡片内部应用指示位联机授权指示位当申请联机的交易无法联机或联机授权被中止时设置的内部应用指示位卡片请求联机指示位当卡片风险管理检查决定交易要联机上送时设置的卡片内部应用指示位 PIN 尝试计数器记录 PIN 剩余的尝试次数第 2 应用货币代码用于双货币频度检查 可以使用货币转换因子转换为本地货币 ( 卡片指定货币 ) SDA 失败指示位当上次交易 SDA 失败而且交易拒绝时设置的卡片内部应用指示位交易明细文件短文件标识符当卡片作出接受交易的决定后, 卡片内部自动记录交易明细, 交易明细文件的短文件标识符标识此文件 14.2 终端数据表 31 列出在卡片风险管理处理中使用的终端数据 表 31 卡片行为分析 终端数据数据元描述授权金额交易的金额交易货币代码表明交易的货币类型, 在 CDOL1 中终端国家代码表明终端的国家, 在 CDOL1 中终端验证结果 (TVR) 终端记录脱机处理结果的一系列指示位 14.3 命令生成应用密文 (GENERATE AC) 命令终端使用生成应用密文 (GENERATE AC) 命令请求卡片提供一个应用密文 命令中的 P1 参数表明了密文类型以及执行 CDA 命令的数据部分包括 CDOL1 中指定的终端数据 命令的响应信息包括应用密文和密文信息数据 如果卡片执行 CDA, 而且密文类型为 ARQC 或 TC, 密文要作为签名的动态应用数据使用 IC 卡私钥签名 具体描述在 JR/T 中 14.4 处理流程 卡片收到密文请求卡片收到终端发来的生成应用密文 (GENERATE AC) 命令 命令的数据部分包括 CDOL1 中卡片指定的终端数据 表 32 列出了 CDOL1 中支持卡片风险管理需要的数据 37

44 卡片风险管理 表 32 总结了所有卡片风险管理检查, 并标明这些检查必备或可选, 同时描述了检查的结果 如果发卡行选择执行任意一个可选的卡片风险管理检查, 发卡行需要确保执行检查的数据在卡片个 人化时被写入卡中, 同时确保在 CDOL1 中列出了需要的终端数据的标签和长度 如果指定的终端数据无效 ( 即在生成应用密文 (GENERATE AC) 命令中, 数据部分用零占位 ) 卡片 将跳过去处理下一个卡片风险管理检查 如果卡片中没有应用缺省行为 (ADA), 卡片认为该值缺省全 零 表 32 卡片风险管理检查 风险管理检查 执行条件 结果 ( 如果条件满足 ) 联机授权没有完成 ( 上次交易 ) 有条件 如果支持发卡行脚本命令 请求联机处理, 设置 CVR 指示位 或发卡行认证则执行 上次交易发卡行认证失败 ( 或上次交易 有条件 如果支持发卡行认证则执 设置 CVR 指示位 发卡行认证必备但没有执行 ) 行 检查 ADA 如果指明则请求联机处理 上次交易 SDA 失败 有条件 如果支持 SDA 则执行 设置 CVR 指示位 上次交易 DDA 失败 有条件 如果支持 DDA 则执行 设置 CVR 指示位 上次联机交易发卡行脚本处理 有条件 如果支持二次发卡 在 CVR 中保存脚本命令的个数 (post-issuance) 则执行 如果脚本处理失败 ( 使用卡片内的发卡 行脚本失败指示位 ), 设置 CVR 指示位 ADA 中的设置决定交易联机处理 连续脱机交易下限频度检查 可选 如果限制数超过, 请求联机处理 设置 CVR 中指示位 连续国际脱机交易 ( 基于货币 ) 频度检 可选 如果限制数超过, 请求联机处理 查 设置 CVR 中指示位 连续国际脱机交易 ( 基于国家 ) 频度检 可选 如果限制数超过, 请求联机处理 查 设置 CVR 中指示位 使用指定货币的累计脱机交易金额频 可选 如果限制数超过, 请求联机处理 度检查 设置 CVR 中指示位 累计脱机交易金额 ( 双货币 ) 频度检查可选 如果限制数超过, 请求联机处理 设置 CVR 中指示位 如果使用的货币第 2 货币, 需要先进 行货币转换 新卡检查 可选 如果以前没有请求过联机本次可以申 请联机 设置 CVR 中指示位 脱机 PIN 验证没有执行 (PIN 尝试限制 可选 设置 CVR 中如果本次交易脱机 PIN 验证 数超过 ) 没有执行而且 PIN 尝试限制数在之前 已经超过指示位 ADA 中设置这种情况下交易拒绝或请 求联机 卡片风险管理流程 卡片执行每一个卡片风险管理检查确定预设的情况发生, 看有情况满足, 然后执行下一个 如果有检查不被支持, 卡片继续执行下一个检查 38

45 联机授权没有完成检查如果支持发卡行认证或发卡行脚本命令, 需要执行此检查 检查在上次交易中, 在卡片请求一个联机授权之后, 在终端接收到联机响应进行处理之前或无法联机的终端处理之前, 卡片离开了终端设备 卡片中的联机授权指示位在上次交易请求联机授权的时候置 1 如果指示位设置了, 卡片将请求联机处理, 直到交易联机并且下面中的一个条件满足 : 发卡行认证成功 ; 发卡行认证可选并且没执行 ; 不支持发卡行认证 注 : 这些指示位在结束阶段根据发卡行认证的状态和卡片参数被重新设置 如果联机授权指示位设为 1, 卡片 : 设置卡片请求联机指示位置 1 ; 设置 CVR 中 上次联机交易没完成 位为 上次交易发卡行认证失败 ( 或必备未执行 ) 检查如果卡片 AIP 中表明支持发卡行认证, 则应执行此检查 如果上次交易发卡行认证 (1) 失败或 (2) 必备 ( 发卡行认证指示位表示 ) 但没有执行, 卡片请求联机处理 如果发卡行认证失败指示位设为 1, 卡片 : 设置 CVR 中 上次联机交易发卡行认证失败 位为 1 ; 如果应用缺省行为 (ADA) 中 发卡行认证失败, 下次交易联机上送 位为 1, 设置卡片请求联机指示位置 上次交易静态数据认证 (SDA) 失败检查如果支持 SDA, 此检查必备执行 检查上次脱机拒绝的交易中 SDA 失败 如果 SDA 失败指示位为 1, 卡片设置 CVR 中 上次交易 SDA 失败而且交易拒绝 位为 上次交易动态数据认证 (DDA) 失败检查如果支持 DDA, 此检查强制执行 检查上次脱机拒绝的交易中 DDA 失败 如果 DDA 失败指示位为 1, 卡片设置 CVR 中 上次交易 DDA 失败而且交易拒绝 位为 上次联机交易发卡行脚本处理检查如果支持发卡行脚本处理, 此检查强制执行 使用上次联机交易处理的发卡行脚本命令计数器和脚本处理失败指示位数据元 卡片设置 CVR 中第 4 字节的第 8-5 位为发卡行脚本命令计数器的值 如果发卡行脚本失败指示位为 1, 卡片设置 CVR 中 上次交易发卡行脚本处理失败 位为 1 如果发卡行脚本失败指示位为 1, 如果 ADA 中 如果上次交易发卡行脚本失败, 交易联机上送 位 1, 设置卡片请求联机指示位为 连续脱机交易下限频度检查此检查可选 如果连续脱机交易次数超过此下限, 卡片请求联机授权 如果上次联机 ATC 寄存器和 JR/T 0025 专有数据 : 连续脱机交易下限 ( 标签 9F58 ) 存在, 卡片可以执行此检查 如果 ATC 和上次联机 ATC 寄存器的差值大于连续脱机交易下限, 卡片 : 设置 CVR 中 频度检查超过 位为 1 ; 设置卡片请求联机指示位为 1 在卡片风险管理结束时, 卡片返回联机请求 连续国际脱机交易 ( 基于货币 ) 限制数频度检查此检查可选 如果连续脱机交易计数器 ( 国际 - 货币 ) 超过连续脱机交易限制数 ( 国际 - 货币 ), 卡片请求联机授权 此检查定义的国际脱机交易终端发送的交易货币代码和卡片中的应用货币代码不同的交易 39

46 如果数据应用货币代码 连续脱机交易计数器 ( 国际 - 货币 ) 连续脱机交易限制次数( 国际 - 货币 ) 存在, 卡片执行此检查 卡片比较交易货币代码和应用货币代码, 如果不等, 而且连续脱机交易计数器 ( 国际 - 货币 ) 加 1 的值大于连续脱机交易限制次数 ( 国际 - 货币 ), 卡片 : 设置 CVR 中 频度检查超过 位为 1 ; 设置卡片请求联机指示位为 连续国际脱机交易 ( 基于国家 ) 限制数频度检查此检查可选 如果连续脱机交易计数器 ( 国际 - 国家 ) 超过连续脱机交易限制数 ( 国际 - 国家 ), 卡片请求联机授权 此检查定义的国际脱机交易终端送进的终端国家代码和卡片中的发卡行国家代码不同的交易 如果数据发卡行国家代码 连续脱机交易计数器 ( 国际 - 国家 ) 连续脱机交易限制次数( 国际 - 国家 ) 存在, 卡片执行此检查 如果下面两个条件都满足 : 终端国家代码和发卡行国家代码不同 ; 连续脱机交易计数器 ( 国际 - 国家 ) 加 1 的值大于连续脱机交易限制次数 ( 国际 - 国家 ) 卡片 : 设置 CVR 中 频度检查超过 位为 1 ; 设置卡片请求联机指示位为 使用指定货币的脱机交易累计金额频度检查此检查可选 如果使用应用指定货币的累计脱机交易金额超过累计脱机交易金额限制, 卡片请求联机授权 如果数据应用货币代码 累计脱机交易金额 累计脱机交易金额限制存在, 卡片执行此检查 如果下面两个条件都满足 : 交易货币代码等于应用货币代码 ; 累计脱机交易金额加本次授权金额大于累计脱机交易金额限制 卡片 : 设置 CVR 中 频度检查超过 位为 1 ; 设置卡片请求联机指示位为 交易累计金额 ( 双货币 ) 频度检查此检查可选 如果使用应用指定货币和第 2 应用货币并接受脱机的累计脱机交易金额超过累计脱机交易金额限制 ( 双货币 ), 卡片请求联机授权 如果数据应用货币代码 第 2 应用货币代码 货币转换因子 累计脱机交易金额 ( 双货币 ) 累计脱机交易金额限制 ( 双货币 ) 存在, 卡片执行此检查 如果交易货币代码等于应用货币代码, 累计脱机交易金额 ( 双货币 ) 加本次授权金额和累计脱机交易金额限制 ( 双货币 ) 进行比较 ; 如果交易货币代码等于第 2 应用货币代码, 使用货币转换因子将授权金额转换为近似的应用货币代码金额 累计脱机交易金额 ( 双货币 ) 加这个近似的授权金额和累计脱机交易金额限制 ( 双货币 ) 进行比较 ; 如果比较的结果大于了限制数, 卡片应该采取以下措施 : 设置 CVR 中 频度检查超过 位为 1 ; 设置卡片请求联机指示位为 新卡检查此检查可选 如果卡片新卡, 交易请求联机 新卡指从来没有联机接受过的卡片 如果数据上次联机 ATC 寄存器 应用缺省行为存在, 卡片执行此检查 40

47 如果上次联机 ATC 寄存器值为零, 卡片应该采取以下措施 : 设置 CVR 中 新卡 位为 1 ; 如果 ADA 中 如果新卡, 交易联机 位为 1, 设置卡片请求联机指示位为 1 注 : 如果卡片要求发卡行认证必备执行, 除非发卡行认证成功, 则上次联机 ATC 寄存器值一直为零 脱机 PIN 验证没有执行 (PIN 尝试限制数超过 ) 检查当卡片支持脱机 PIN 验证, 此检查可选 如果 PIN 尝试限制数在上次交易中就已超过, 交易请求联机或拒绝交易 如果执行此检查, 卡片中要有应用缺省行为 (ADA) 数据 如果下列所有条件成立 : 卡片支持脱机 PIN 验证 ; 卡片没有收到过验证命令 ; PIN 尝试计数器已经为零 卡片要执行下列操作 : 设置 CVR 中 PIN 尝试限制数超过 位为 1 ; 如果 ADA 中 如果上次交易 PIN 尝试限制数超过, 交易拒绝 位为 1, 设置卡片请求拒绝指示位为 1 ; 如果 ADA 中 如果上次交易 PIN 尝试限制数超过, 交易联机 位为 1, 设置卡片请求联机指示位为 1 ; 如果 ADA 中 如果上次交易 PIN 尝试限制数超过, 交易拒绝并锁应用 位为 1, 拒绝交易并锁应用 14.5 卡片提供响应密文根据卡片风险管理的结果, 卡片响应生成应用密文 (GENERATE AC) 命令 卡片的响应可能会修改终端在生成应用密文 (GENERATE AC) 命令中参数 P1 指定的密文类型 修改要遵循下列原则 : 卡片可以把终端做出的接受交易决定改为交易联机上送或交易拒绝 ; 卡片可以把终端做出的交易联机决定改为交易拒绝 表 33 列出了修改原则 表 33 卡片响应第 1 个生成应用密文命令卡片响应 AAC ARQC TC AAC 拒绝 - - 终端请求 ARQC 拒绝联机上送 - TC 拒绝联机上送接受卡片中的卡片请求脱机拒绝指示位为 1 表明卡片决定交易拒绝 卡片中的卡片请求联机指示位为 1 表明卡片决定交易联机上送 卡片设置 CVR 中第 1 个生成应用密文响应 TC,AAC 或 ARQC 指示位, 卡片还设置 CVR 中 还没有请求第 2 个生成应用密文 指示位 卡片使用终端提供的数据和卡片内部数据生成一个基于对称密钥算法的密文, 需要的具体数据和算法在附录 D 中描述 卡片脱机拒绝交易当交易被脱机拒绝, 卡片用 AAC 响应生成应用密文 (GENERATE AC) 命令, 在响应之前, 卡片 : 步骤 1: 检查应用缺省行为 (ADA): 在 ADA 中 如果交易脱机拒绝, 生成通知 位为 1, 设置 CID 中需要通知位为 1 ; 如果 PIN 尝试限制数超过, 而且 ADA 中标明需要通知 : 设置 CID 中 需要通知 位为 1 ; 41

48 如果 CID 中的原因代码不 服务不允许, 设置为 PIN 尝试限制数超过 注 : 在 CID 中, 服务不被允许 原因代码比其它原因代码优先 步骤 2: 检查在生成应用密文 (GENERATE AC) 命令中提供的数据 TVR 如果 SDA 失败位为 1, 设置卡片中 SDA 失败指示位为 1 ; 如果 DDA 失败位为 1 或者 CDA 失败位为 1, 设置卡片中 DDA 失败指示位为 1 步骤 3: 计数器加 1: 如果终端国家代码和发卡行国家代码不同, 连续脱机交易计数器 ( 国际 - 国家 ) 加 1; 如果交易货币代码和应用货币代码不同, 连续脱机交易计数器 ( 国际 - 货币 ) 加 卡片请求联机操作当交易联机上送做授权, 卡片用 ARQC 响应生成应用密文 (GENERATE AC) 命令 在响应之前, 卡片设置卡片内联机授权指示位为 1 注 : 此时下面的计数器不增加 : 连续脱机交易计数器 ( 国际 - 货币 ), 连续脱机交易计数器 ( 国际 - 国家 ), 累计脱机交易金额, 累计脱机交易金额 ( 双货币 ) 卡片脱机接受交易当脱机接受交易, 卡片使用 TC 响应生成应用密文 (GENERATE AC) 命令 在响应之前, 卡片内相关计数器加 1: 如果终端国家代码不等于发卡行国家代码, 连续脱机交易计数器 ( 国际 - 国家 ) 加 1; 如果交易货币代码等于应用货币代码 : 累计脱机交易金额累加授权金额 ; 累计脱机交易金额 ( 双货币 ) 累加授权金额 如果交易货币代码不等于应用货币代码, 连续脱机交易计数器 ( 国际 - 货币 ) 加 1; 如果交易货币代码等于第 2 应用货币代码, 使用货币转换因子将授权金额转换为指定应用货币的近似授权金额后累加到累计脱机交易金额 ( 双货币 ); 卡片记录交易明细, 明细的内容在交易初始化阶段, 通过获取处理选项 (GPO) 命令传送到卡片中 关于卡片交易明细的内容见本部分 18 章 复合动态数据认证 / 生成应用密文请求当终端发送的生成应用密文命令中的 P1 参数中 CDA 位为 1 且卡片 AIP 标明卡片支持 CDA 时, 卡片执行 CDA 卡片 : 步骤 1: 按照上面的描述执行卡片风险管理, 生成应用密文 ; 步骤 2: 如果卡片响应 AAC, 没有特殊处理 ; 步骤 3: 如果卡片响应 ARQC 或 TC, 卡片响应的应用密文作为签名动态应用数据用 IC 卡私钥签名, 步骤如下 : a) 设置 CVR 中 DDA 执行 位为 1 此步骤在步骤 1 生成应用密文之前执行 ; b) 使用应用密文生成一个动态签名密文, 详见 JR/T 中的 归纳为下面 4 个步骤 : 按照 JR/T 中的 中描述的方法组织数据 ; 用上述数据做一个哈希计算 ; 将哈希包括到签名的动态应用数据中 ; 使用 IC 卡私钥对签名的动态应用数据作签名 c) 在生成应用密文 (GENERATE AC) 命令响应中包括签名的动态应用数据 42

49 14.6 流程图 GENERAT E AC 命令 A B P1 表明请求密文类型 卡片支持 SDA? 卡片支持脚本处理? 联机授权指示位 =1? 设置 CVR 中 上次联机交易没完成 位 设置卡片请求联机指示位 =1 SDA 失败指示位 =1? 设置 CVR 中 上次交易 SDA 失败, 交易拒绝 位 =1 卡片支持 DDA? CVR 中字节 4 的高半字节为发卡行脚本命令计数器值 发卡行脚本失败指示位 =1? 设置 CVR 中 上次联机交易发卡行脚本处理失败 位 =1 支持发卡行认证? 发卡行认证失败指示位 =1? 设置 CVR 中 上次联机交易发卡行认证失败 位 =1 DDA 失败指示位 =1? 设置 CVR 中 上次交易 DDA 失败, 交易拒绝 位 =1 B C ADA 指出上次联机交易发卡行认证失败, 交易联机上送? 设置卡片请求联机指示位 =1 A 图 8 卡片行为分析处理流程图 (1) 43

50 C D E 卡片检查连续脱机交易? 卡片执行国际 - 货币频度检查? 卡片执行国际 - 国家频度检查? ATC- 上次联机 ATC 寄存器 连续脱机交易下限? 交易货币 = 应用货币? 终端国家代码 = 发卡行国家代码? 设置 CVR 中 频度检查超过 位 =1 连续脱机交易计数器 ( 国际 - 货币 )+1 连续脱机交易限制数 ( 国际 - 货币 )? 连续脱机交易计数器 ( 国际 - 国家 )+1 连续脱机交易限制数 ( 国际 - 国家 )? 卡片请求联机指示位 =1 设置 CVR 中 频度检查超过 位 =1 设置 CVR 中 频度检查超过 位 =1 D 卡片请求联机指示位 =1 卡片请求联机指示位 =1 E F 图 9 卡片行为分析处理流程图 (2) 44

51 F G 卡片执行指定货币交易金额检查? 卡片执行交易金额 ( 双货币 ) 检查? 交易货币 = 应用货币? 交易货币 = 应用货币? 交易货币 = 第 2 应用货币? 累计脱机交易金额 + 授权金额 累计脱机交易金额限制数? 设置 CVR 中 频度检查超过 位 =1 累计脱机交易金额 ( 双货币 )+ 授权金额 累计脱机交易金额限制数 ( 双货币 )? 设置 CVR 中 频度检查超过 位 =1 使用货币转换因子转换为指定货币的授权金额 累计脱机交易金额 ( 双货币 )+ 授权金额 累计脱机交易金额限制数 ( 双货币 )? 设置卡片请求联机指示位 =1 设置卡片请求联机指示位 =1 G H 图 10 卡片行为分析处理流程图 (3) 45

52 H I 卡片执行新卡检 查? 卡片执行脱机 PIN 验证没执行检查? 上次联机 ATC 寄存器 =0? 支持脱机 PIN? 设置 CVR 中 新 卡 位 =1 卡片收到过验证命令? PIN 尝试计数器 =0? ADA 标明 如果新卡, 交易联机? 设置 CVR 中 PIN 尝试限制数超过 位 设置卡片请求联机指示位 =1 ADA 标明 如果上次交易 PIN 尝试限制数超过, 交易拒绝? 设置卡片请求脱机拒绝指示位 I ADA 标明 如果上次交易 PIN 尝试限制数超过, 交易联机? 设置卡片请求联机指示位 ADA 标明 如果上次交易 PIN 尝试限制数超过, 交易拒绝并锁应用? 拒绝交易并锁应用 J 图 11 卡片行为分析处理流程图 (4) 46

53 J 终端请求 AAC 或卡片请求脱机拒绝指示位 =1 请求 AAC 设置 CVR 中 第 1 个生成应用密文命令返回 AAC 第 2 个生成应用密文命令没请求 终端请求 ARQC 或卡片请求联机指示位 =1 请求 ARQC 设置 CVR 中 第 1 个生成应用密文命令返回 ARQC 第 2 个生成应用密文命令没请求 请求 TC 设置 CVR 中 第 1 个生成应用密文命令返回 TC 第 2 个生成应用密文命令没请求 生成应用密文 生成应用密文 生成应用密文 设置 CID 中密文类型为 AAC 设置 CID 中密文类型为 ARQC 设置 CID 中密文类型为 TC ADA 标明 如果脱机拒绝, 生成通知? 设置联机授权指示位 =1 联机授权指示位复位 设置 CID 中 需要通知 终端请求 CDA? 终端请求 CDA? 本次交易 PIN 尝试限制数超过? 用 IC 卡私钥对应用密文和 CID 生成动态签名 用 IC 卡私钥对应用密文和 CID 生成动态签名 ADA 标明 本次交易 PIN 尝试限制数超过, 交易拒绝, 生成通知? 响应第 1 个生成应用密文命令 GENERATE AC 响应 L 设置 CID 中 需要通知 位 =1, 原因码为 PIN 尝试限制数超过 K 图 12 卡片行为分析处理流程图 (5) 47

54 K 脱机拒绝 L 脱机接受 TVR 中 SDA 失败? 设置 SDA 失败指示位 交易货币代码 = 应用货币代码? 交易货币代码 = 第 2 应用货币代码? 累计脱机交易金额累加授权金额 用货币转换因子计算授权金额近似值 TVR 中 DDA 或 CDA 失败? 设置 DDA 失败指示位 累计脱机交易金额 ( 双货币 ) 累加授权金额 累计脱机交易金额 ( 双货币 ) 累加近似授权金额 交易货币代码 = 应用货币代码? 连续脱机交易计数器 ( 国际 - 货币 ) 加 1 终端国家代码 = 发卡行国家代码? 连续脱机交易计数器 ( 国际 - 国家 ) 加 1 返回第 1 个生成应用密文命令响应 GENERATE AC 响应 图 13 卡片行为分析处理流程图 (6) 14.7 前期相关处理读应用数据终端从卡片中读取 CDOL1 数据, 和交易明细文件短文件标识符 (SFI) 卡片行为分析终端发送第 1 个生成应用密文 (GENERATE AC) 命令给卡片请求密文 命令包括 CDOL1 中指定的终端数据, 这些数据用来生成应用密文和进行卡片风险管理 48

55 14.8 后续相关处理联机处理终端根据生成应用密文 (GENERATE AC) 命令返回的密文类型决定执行联机授权 结束如果请求交易联机授权但终端没有联机能力, 卡片执行另外的风险管理 根据发卡行认证的状态和发卡行认证的卡片设置, 卡片中的一些计数器和指示位会被复位 15 联机处理联机处理允许发卡行使用发卡行主机系统中的风险管理参数对交易进行检查, 作出批准或拒绝交易的决定 除了执行传统的联机检查以外, 主机授权系统可以使用由卡片生成的动态密文执行联机卡片认证, 并且在作出授权决定时可以考虑交易脱机处理的结果 发卡行的响应可以包括给卡片的二次发卡更新和一个发卡行生成的密文 卡片验证密文确保响应来自一个有效的发卡行 此验证叫发卡行认证 本章描述卡片联机处理功能 15.1 卡片数据表 34 列出了在联机处理过程中终端使用的卡片数据 表 34 生成应用密文响应 卡片数据数据元描述密文信息数据包括表示密文类型的指示位应用交易计数器 (ATC) 卡片建立应用时初始化的交易计数器应用密文卡片返回联机密文 ARQC 发卡行应用数据发卡行应用数据 JR/T 0025 必备数据, 用来把 JR/T 0025 定义的数据传送给终端, 然后被放到联机请求报文或清算报文中 此数据中包括的数据元有 : 长度指针 分散密钥索引 密文版本信息 卡片验证结果 (CVR) 算法标识 发卡行自定义数据 ( 可选 ) 表 35 列出了在收到联机请求后, 终端使用的卡片数据 表 35 决定发卡行认证 卡片数据数据元描述应用交互特征 (AIP) AIP 数据在应用初始化步骤由卡片送给终端 如果卡片支持发卡行认证,AIP 中 发卡行认证 位为 1 表 36 列出了在发卡行认证处理中卡片用到的数据 表 36 联机处理, 发卡行认证 卡片数据数据元描述授权请求密文卡片在卡片行为分析处理时生成的应用密文, 用来验证授权响应密文 (ARPC) 卡片验证结果 CVR 包括了下列和发卡行认证相关的标记 : 发卡行认证执行并失败 上次联机交易发卡行认证失败 联机交易后发卡行认证没有执行发卡行认证失败指示位如果发卡行认证失败, 卡片设置此指示位 49

56 应用密文 (AC) 密钥卡片认证 ARPC 使用的对称密钥 15.2 联机响应数据从发卡行到终端的联机响应信息中包括的数据在表 37 列出 终端用外部认证命令将此数据送入卡片中用于发卡行认证 除了下面的数据, 联机响应中可以包括发卡行脚本数据 表 37 联机处理 终端数据数据元描述发卡行认证数据在外部认证 (EXTERNAL AUTHENTICATE) 命令的数据域中的数据 包括内容 : 授权响应密文 (8 字节 ) 发卡行主机 ( 或代理 ) 生成授权响应码 (2 字节 ) 用来计算 ARPC 的数据 15.3 命令外部认证 (EXTERNAL AUTHENTICATE) 命令如果执行发卡行认证, 终端发送外部认证命令给卡片 外部认证命令里包括发卡行认证数据 外部认证命令的响应码说明发卡行认证数据验证通过 如果验证通过,SW1 SW2= 9000, 如果失败, 返回 6300 一次交易中, 卡片允许处理一次外部认证命令, 后续的外部认证命令卡片一律返回 6985 命令编码见附录 B 15.4 处理流程联机处理由联机请求处理, 联机响应处理和发卡行认证三部分组成 卡片只在发卡行认证过程中有操作 联机请求当终端收到卡片返回的 ARQC 而且具有联机能力, 终端发起一个联机请求 联机请求中包括终端之前从卡片取得的数据 在此步骤中, 卡片不进行操作 联机响应在联机响应处理中, 卡片不进行操作 发卡行认证如果卡片中的 AIP 数据表明卡片支持发卡行认证, 而且终端收到的联机响应中包括发卡行认证数据, 终端发送一个外部认证命令给卡片 当卡片收到外部认证命令, 卡片执行发卡行认证, 步骤如下 : 步骤 1: 如果在当前交易里, 收到过外部认证命令 : 设置发卡行认证失败指示位为 1 ; 返回状态字 SW1 SW2= 6985 步骤 2: 将发卡行认证数据中的授权响应码分离出来保存, 将来在交易结束阶段使用 ; 步骤 3: 使用第 1 次生成应用密文 (GENERATE AC) 命令响应时生成的 ARQC 和授权响应码生成一个授权响应密文 (ARPC) 附录 D 中描述密文生成用的密钥和算法 ; 步骤 4: 新生成的 ARPC 和外部认证命令里送进来的 ARPC 进行比较, 如果相同, 发卡行认证成功 如果发卡行认证成功, 卡片 : 步骤 1: 设置发卡行认证失败指示位为 0 ; 步骤 2: 外部认证命令响应 9000 如果发卡行认证失败, 卡片 : 步骤 1: 设置发卡行认证失败指示位为 1 ; 步骤 2: 设置 CVR 中 发卡行认证执行但失败 位为 1 ; 步骤 3: 外部认证命令响应