- PDF 免费下载

Size: px

Start display at page:

Download ""

外供邀房
5 years ago
Views:

1 ICS xxxxxxx X xx 备案号 : JT 中华人民共和国交通运输行业标准 JT/T xxxxx xxxx 公共交通 IC 卡技术规范第 2 部分 : 读写终端 Technical specification on public transport fare system Part 2 :Terminal ( 征求意见稿 ) 20xx-xx-xx 发布 20xx-xx-xx 实施中华人民共和国交通运输部发布

3 目次前言... III 1 范围规范性引用文件术语和定义符号和缩略语数据对象列表数据元数据对象列表终端技术要求功能要求硬件要求终端类型终端应用技术要求电子现金应用终端通用要求电子钱包应用终端通用要求激活非接触界面前的处理要求卡片检测处理要求应用选择要求电子现金终端初始应用处理要求电子现金交易流程电子现金联机交易处理流程电子现金标准快速支付流程电子现金分时分段扣费交易流程电子现金脱机预授权交易流程电子现金单次扣款优惠流程电子钱包交易流程电子钱包圈存交易电子钱包圈提交易电子钱包消费交易电子钱包复合应用消费交易电子钱包查询交易电子钱包应用维护功能附录 A( 规范性附录 ) 终端和受理机构数据元附录 B( 规范性附录 ) 扩展应用 SAM 交易指令 I

4 附录 C( 资料性附录 ) 电子现金闪卡处理流程 II

5 前言 JT/T xxx 公共交通 IC 卡技术规范由 6 个规范组成 : 第 1 部分 : 卡片 ; 第 2 部分 : 读写终端 ; 第 3 部分 : 信息接口 ; 第 4 部分 : 非接触通讯接口 ; 第 5 部分 : 安全 ; 第 6 部分 : 检测 ; 本部分为 JT/T xxx 的第 2 部分本部分按照 GB/T 给出的规则起草本部分由中华人民共和国交通运输部运输司提出本部分由全国城市客运标准化技术委员会 (SAC/TC529) 归口本部分主要起草单位 : 交通运输部公路科学研究院中国交通通信信息中心交通运输部科学研究院北京市政交通一卡通有限公司南京市市民卡有限公司武汉城市一卡通有限公司中钞信用卡产业发展有限公司天津市通卡公用网络系统有限公司天津环球磁卡股份有限公司银行卡检测中心本部分主要起草人 : 杨蕴王立岩梅新明王刚汪宏宇李岚唐猛沈伟彬张永军刘好德谷云辉钱贞国 III

7 公共交通 IC 卡技术规范第 2 部分 : 读写终端 1 范围 JT/Txxx 的本部分规定了公共交通互联互通使用的终端, 其数据对象列表终端技术要求终端应用技术要求电子现金交易流程电子钱包交易流程本部分适用于开展公共交通互联互通业务的地区发卡机构以及收单机构其使用对象主要参与公共交通互联互通的终端, 包括公交地铁出租等公共交通领域所使用的终端 2 规范性引用文件下列文件对于本文件的应用必不可少的凡注日期的引用文件, 仅所注日期的版本适用于本文件凡不注日期的引用文件, 其最新版本 ( 包括所有的修改单 ) 适用于本文件 GB/T 2659 世界各国和地区名称代码 GB/T 表示货币和资金的代码 GB/T 产生报文的银行卡交换报文规范金融交易内容 GB/T 信息处理八位单字节编码图形字符集 GB/T 识别卡带触点的集成电路卡第 5 部分 : 应用标识符的编号系统和注册程序 3 术语和定义下列术语和定义适用于本文件 3.1 终端 terminal 在交易点安装用于与公共交通 IC 卡配合共同完成交易的设备它应包括接口设备, 也可包括其它的部件和接口 ( 如与主机的通讯 ) 3.2 终端随机数 terminal random 终端通过 SAM 卡产生的随机数 3.3 数据完整性 data integrity 数据不受未经许可的方法变更或破坏的属性 3.4 ID 号 identify number 用于区分同一行业在不同地区的应用 1

8 3.5 接口设备 interface device 终端上与公共交通 IC 卡进行通讯处理的部分, 包括其中的机械和电气部分 3.6 圈存 load 上限增加卡中电子现金 / 电子钱包余额的过程, 圈存后的电子现金余额不能超过电子现金 / 电子钱包余额 3.7 圈提 unload 持卡人将电子钱包中的全部金额提取圈提交易应在特定的终端上联机进行 3.8 支付系统环境 payment system environment 当符合本部分的支付系统应用被选择, 或者用于支付系统应用目的的目录定义文件 (DDF) 被选择后, 公共交通 IC 卡中所确立的逻辑条件集合 3.9 脱机预授权交易 offline pre-authorization 脱机预授权交易指受理方将预估的消费金置入交易命令中发送给卡片, 卡片通过风险控制和额度检查, 批准交易, 并冻结卡内对应电子现金额度 3.10 脱机预授权完成交易 offline pre-authorization completion 脱机预授权完成交易指受理方在预授权有效期内以发送交易命令发送给卡片, 卡片通过风险控制和额度检查, 批准交易, 并返还卡内对应的电子现金额度 4 缩略语下列缩略语表示适用于本文件 AAC 应用认证密文 (Application Authentication Cryptogram) AC 应用密文 (Application Cryptogram) ADA 应用缺省行为 (Application Default Action) AFL 应用文件定位器 (Application File Locator) AID 应用标识符 (Application Identifier) AIP 应用交互特征 (Application Interchange Profile) ARPC 授权响应密文 (Authorization Response Cryptogram) ARQC 授权请求密文 (Authorization Request Cryptogram) ATC 应用交易计数器 (Application Transaction Counter) ATI 应用类型标识 (Application Type Identifier) APDU 应用协议数据单元 (Application Protocol Data Unit) AUC 应用用途控制 (Application Usage Control) 2

9 BER C CAPP CAM CDOL CLA CID Cn CVM CVR DDA DDOL DEA DES DF 基本编码规则 (Basic Encoding Rules) 条件 (Condition) 扩展应用 (Comprehensive Application)/ 复合应用 (Complex APPlication) 卡片认证方法 (Card Authentication Method) 卡片风险管理数据对象列表 (Card Risk Management Data Object List) 命令报文的类别字节 (Class Byte of the Command Message) 密文信息数据 (Cryptogram Information Data) 压缩数字型 (Compressed Numeric) 持卡人验证方法 (Cardholder Verification Method) 卡片验证结果 (Card Verification Results) 动态数据认证 (Dynamic Data Authentication) 动态数据认证数据对象列表 (Dynamic Data Authentication Data Object List) 数据加密算法 (Data Encryption Algorithm) 数据加密标准 (Data Encryption Standard) 专用文件 (Dedicated File) EC EF FCI fdda GPO IAC IC ICC 电子现金 (Electronic Cash) 基本文件 (Elementary File) 文件控制信息 (File Control Information) 快速动态数据认证 (Fast DDA) 获取处理选项 (Get Processing Options) 发卡机构行为代码 (Issuer Action Code) 集成电路 (Integrated Circuit) 集成电路卡 (Integrated Circuit Card) IFD 接口设备 (Interface Device) INS 命令报文的指令字节 (Instruction Byte of Command Message) Lc 终端应用层 (TAL) 在情况 3 或情况 4 命令中发出数据的实际长度 (Exact Length of Data Sent by the TAL in a Case 3 or 4 Command) Le 响应数据中的最大期望长度 (Maximum Length of Data Expected) M 必备 (Mandatory) MAC 报文鉴别码 (Message Authentication Code) MDK 主密钥 (Master DEA Key) N 数字型 (Numeric) O 可选 (Optional) P1 参数 1(Parameter 1) P2 参数 2(Parameter 2) PAN 主账号 (Primary Account Number) PDOL 处理选项数据对象列表 (Processing Options Data Object List) PIN 个人识别码 (Personal Identification Number) PPSE RFU 近距离支付系统环境 (Proximity Payment Systems Environment) 3

10 RID R-MAC SAM SFI SW1 SW2 TAC TC TLV TSI TDOL TRAN TTI TVR UDK 注册的应用提供商标识 (Registered Application Provider Identifier) 响应数据的报文鉴别码 (Response Message Authentication Code) 安全认证模块 (Secure Authentication Module) 短文件标示符 (Short File Identifier) 状态字 1(Status Word One) 状态字 2(Status Word Two) 交易验证码 (Transaction Authorization Cryptogram) 交易证书 (Transaction Certificate) 标签长度值 (Tag Length Value) 交易状态信息 (Transaction Status Information) 交易证书数据对象列表 (Transaction Certificate Data Object List) 终端随机数 (Terminal RANdom) 交易类型标识 (Transaction Type Identifier) 终端验证结果 (Terminal Verification Results) 子密钥 (Unique DEA Key) 5 数据对象列表 5.1 数据元定义并解释公共交通 IC 卡电子现金和电子钱包应用数据交换过程中终端所需的相关数据元包括数据元的名称标识及功能等, 见附录 A 5.2 数据对象列表终端处理电子现金应用, 应卡片的要求需要建立可变的数据元列表用来向卡片发送为了减少公共交通 IC 卡内对这些数据的处理, 这个列表不需要进行 TLV 编码, 而只把若干数据单元连接成一个复合域因此, 需要在公共交通 IC 卡内包含一个数据对象列表 (DOL) 来定义复合域中的数据格式本部分用的 DOL 包括 : 卡风险管理数据对象列表 1(CDOL1): 在第一次 GENERATE AC 命令中需要传送给卡片的数据对象列表 CDOL1 终端在读应用记录处理过程中从卡片中读出的 ; 卡风险管理数据对象列表 2(CDOL2): 在第二次 GENERATE AC 命令中需要传送给卡片的数据对象列表 CDOL2 终端在读应用记录处理过程中从卡片中读出的 ; 交易证书数据对象列表 (TDOL): 列出生成交易证书 (TC) 哈希计算的数据对象 ( 标签和长度 ); 动态脱机数据认证对象列表 (DDOL): 指定在 INTERNAL AUTHENTICATE 指令中, 卡片要求终端送入卡片的终端数据标签和长度列表一个 DOL 用一些条目连接而成的列表每个条目代表一个加入复合域的单个数据元每个条目的格式包括 1~2 个字节的标签来表明需要的数据对象, 然后 1 个字节的长度部分, 表明本数据对象在命令数据中占据的字节长度终端应完成下列步骤以建立结构域 : 从公共交通 IC 卡中读取 DOL 连接 DOL 中列出的所有数据单元按照下列规则进行连接 : 1) 如果 DOL 中指出的数据对象的标签无法识别, 终端将提供一个长度为 DOL 指定长度的数据元, 并把该数据元所有的数值部分设置为 16 进制的 0 4

11 2) 如果该列表上的一个数据对象在终端上可以识别, 但属于公共交通 IC 卡上不出现的可选静态数据, 那么在命令区域上代表数据对象的部分应用 16 进制的 0 来填满 3) 如果在 DOL 条目中指出的长度小于实际数据对象的长度, 则需要将实际的数据对象削减至 DOL 指出的长度如果数据对象数字格式 (n) 的, 则从数据单元的的最左端开始削减字节如果数据对象其它格式的, 则从数据单元的最右端开始削减字节如果指出的长度比实际的数据长度大, 需要把实际的数据填充至指定长度 : 如果数据对象数字格式 (n) 的, 则从数据单元头部开始填充 16 进制的 0; 如果数据对象压缩数字型 (cn) 的, 则在数据单元的末尾填充 16 进制的 FF; 如果数据对象其它格式的, 则在数据单元的末尾填充 16 进制的 0 4) 如果 DOL 中某个数据对象在终端可以识别, 但不适用于当前交易, 代表该数据对象的命令域部分将填充 16 进制的 0 数据单元在表上的连接顺序应该与在 DOL 中出现的顺序一一对应 6 终端技术要求 6.1 功能要求通用要求支持电子钱包和 / 或电子现金应用的终端应符合 JT/T XXX.1 和 JT/T XXX.3 的规定它应支持 JT/T XXX.1 和本部分所定义的电子现金和 / 或电子钱包应用的所有文件和命令支持电子现金和 / 或钱包应用的终端应该可以在有人或无人环境中运行的联机终端或脱机终端此处所指的终端也包括其他能够读取电子现金和 / 或电子钱包余额和 / 或交易明细的终端 ( 如手持终端 ) 基本交易类型电子现金应用支持的基本交易类型见表 1 表 2 表 1 字节 1: 交易类型 b8 b7 b6 b5 b4 b3 b2 b1 意义 1 x x x x x x x 现金 X 1 x x x x x x 商品 X x 1 x x x x x 服务 X x x 1 x x x x RFU X x x x 1 x x x 查询 X x x x x 1 x x RFU X x x x x x 1 x 付款 X x x x x x x 1 管理表 2 字节 2: 交易类型 b8 b7 b6 b5 b4 b3 b2 b1 意义 1 x x x x x x x RFU X 0 x x x x x x RFU X x 0 x x x x x RFU X x x 0 x x x x RFU 5

12 X x x x 0 x x x RFU X x x x x 0 x x RFU X x x x x x 0 x RFU X x x x x x x 0 RFU 电子钱包应用支持的基本交易类型定义如下 : 02: 电子钱包圈存 03: 电子钱包圈提 06: 电子钱包消费 07: 电子钱包修改透支限额 09: 复合应用消费快速支付交易类型公共交通 IC 卡应用主要应用于城际客运轮渡轨道交通公共汽电车停车收费咪表城际铁路出租车等与道路运输应用相关的支付场景, 主要包括圈存交易和快速支付交易两种交易大类, 圈存交易为联机交易, 快速支付交易为脱机交易在以上场景中, 快速支付交易又根据扣费方式的不同, 可以分为标准快速支付交易分时分段扣费交易单次扣款优惠交易等不同的扣款交易类型对于电子现金应用, 还可以支持脱机预授权交易这一专用的交易类型标准快速支付交易适用于单一票价的公共汽电车轨道交通轮渡以及单次快速支付的出租车应用场景分时分段扣费交易适用于单笔交易金额较小的分段计价公共汽电车轨道交通城际客运班车轮渡以及分时计价停车场应用场景单次扣款优惠适用于存在换乘优惠等特殊要求的快速支付交易场景脱机预授权交易适用于单笔交易金额较大的分段计价城际客运班车城际铁路和分时计价停车场等应用场景, 预先冻结一部分金额作为预授权的保证金, 确保基本收益具体的交易应用类型标识详见表 3 表 3 快速支付交易应用类型列表应用类型快速支付交易类型标识城际客运应用轮渡应用轨道交通应用公共汽电车应用停车收费咪表应用城际铁路铁路应用出租车应用公共交通 IC 卡联网通用应用 0x01 0x02 0x03 0x04 0x05 0x06 0x07 0x 交易输入方式终端支持非接触式读取芯片卡下载管理终端应支持对应用程序密钥和参数等数据的下载, 更新和删除 6

13 下载的通讯端口可灵活扩展, 包括串行通讯口 (RS232 RS485) Modem 通讯口 USB 口红外 GPRS CDMA 和 TCI/IP 网络端口或其它类型的通讯端口等中的一种或几种下载的方式可为本地下载或远程下载等方式终端应保证下载控制的安全只有经过授权或认可的一方才能向终端下载数据, 未经授权, 不得更改终端中的内容终端还应能够确认下载数据的安全, 能验证终端下载程序的完整性和正确性, 确保敏感数据在下载过程中不会泄漏 6.2 硬件要求存储空间终端应当具有足够的存储空间来存放应用程序密钥交易数据和其它参数等, 并确保在掉电后这些数据不会丢失公共交通 IC 卡读卡器终端应提供公共交通 IC 卡读卡器的接口, 用来与公共交通 IC 卡进行命令数据传递通讯该读卡器模块包括机械电气和逻辑协议等部分建议终端的读卡器位置有明显刷卡标识 SAM 卡读写器及卡槽支持电子钱包或分时分段等扩展应用的可脱机终端应提供符合标准 SAM 卡接口的 SAM 卡读写器及卡槽, 用来接受 SAM 卡插入并与 SAM 卡进行命令数据传递通讯该模块包括机械电气和逻辑协议等部分 SAM 卡交易指令见本部分附录 B 互联互通 SAM 卡应用的 AID 为 :0xA D4F542E D 显示有服务员的终端应配置有显示给服务员的显示屏, 可选带有显示给持卡人的显示屏以供监测交易过程输入数据设置选项或确认交易数据终端应支持 GB/T 的基本字符集建议显示屏应具备中文显示能力打印机圈存终端配置有能打印交易单据的打印机, 根据公共交通 IC 卡系统要求可以针式或热敏打印机对每笔批准的交易, 不论脱机联机或语音授权都能打印出交易单据脱机终端打印功能可选打印单据格式由各收单机构自定, 但应包含如下数据 : 卡号应用标识符 AID 交易日期时间金额收单机构代码时钟能处理脱机交易的终端应配有时钟模块, 用来提供当地日期和时间日期用于应用生效日期应用失效日期以及脱机数据认证中的证书有效期检查时间用于确保交易唯一性识别以及作为应用密文生成算法中的输入数据与后台通信模块有联机通讯能力的终端应当配置有与收单机构主机后台通信的模块用于向主机发送交易数据包获取授权, 或由主机对终端进行管理的功能根据收单机构的要求可采用 PSTN Modem 拨号 GSM GPRS CDMA 和 TCP/IP 等方式通信模块与收单机构主机的通信速度应能满足实时传送公共交通 IC 卡交易数据的要求 7

14 6.2.8 键盘终端应带有用于输入交易金额选择命令和执行功能的按键键盘支持数字键字母键命令键和功能键如果采用了带颜色的命令键, 推荐使用下面的颜色分配命令键颜色 : 确认 - 绿色 ; 取消 - 红色 ; 清除 - 黄色硬件协处理器对于支持电子现金应用的终端, 推荐使用支持非对称密码算法签名验证的硬件协处理器蜂鸣器终端应支持能够通过声音提示持卡人的相关操作, 当持卡人刷卡完成或者刷卡失败能有明确提示操作指示灯终端应能够通过操作指示灯提示持卡人本终端的工作状态语音提示功能在必要的条件下, 终端应能支持通过语音提示持卡人进行相关的操作或通过语音反馈操作结果 6.3 终端类型本部分所覆盖的终端类型包括车载终端闸机自助终端等对各种终端类型的硬件要求见表 4 表 4 终端类型的硬件要求项目号硬件设备有服务员无人服务 ( 自助 ) 仅联机联机 / 脱机仅脱机仅联机联机 / 脱机仅脱机 1 存储空间必备必备必备必备必备必备 2 公共交通 IC 卡读卡器必备必备必备必备必备必备 3 SAM 卡读写器及卡槽可选必备必备可选必备必备 4 显示屏推荐推荐必备必备必备必备 5 打印机推荐推荐可选必备推荐可选 6 时钟必备必备必备必备必备必备 7 主机通信模块必备必备推荐必备必备推荐 8 键盘推荐推荐可选必备必备可选 10 硬件协处理器可选可选可选可选可选可选 11 蜂鸣器必备必备必备必备必备必备 12 操作指示灯必备必备必备必备必备必备 13 语音提示功能可选可选可选可选可选可选 7 终端应用技术要求本章讨论所有非接触式终端应用应满足的要求 8

15 7.1 电子现金应用终端通用要求终端通讯要求终端应符合 JT/T XXX.4, 并同时支持 Type A 和 Type B; 对于 Type A 卡, 终端应支持值为 8 的 FWI 和附加的值为 x B 的 ATS TB (1); 对于 Type B 卡, 终端应支持 MBLI=0 和 MBLI= 通用终端要求具有脱机能力的终端应支持 fdda; 终端应支持 5.2 定义的数据对象列表 ; 如果卡片返回拒绝应用认证密文 (AAC) 来拒绝交易, 交易不应再通过其它界面方式进行 ; 终端应明确通知持卡人 : 1) 刷卡 2) 交易过程 3) 交易结果批准拒绝或终止推荐的终端信息有 : 1) 刷卡 2) 读卡成功 3) 处理中 4) 再次刷卡 [ 如果交易未完成 ] 5) 交易批准 6) 交易拒绝 7) 出示单一卡片 [ 防冲突 ] 当提示刷卡时, 终端应显示授权交易金额 ( 标签 9F02 ) 如果卡片提供可用的脱机交易金额时, 终端应显示该金额, 以表示读卡操作成功, 并可打印在交易凭条上 7.2 电子钱包应用终端通用要求终端通讯要求终端应符合 JT/T XXX.4, 并至少支持 Type A, 可选支持 Type B; 对于 Type A 卡, 终端应支持值为 8 的 FWI 和附加的值为 x B 的 ATS TB (1); 对于 Type B 卡, 终端应支持 MBLI=0 和 MBLI= 通用终端要求具有脱机能力的终端应支持 SAM 卡 ; 终端应明确通知持卡人 : 1) 刷卡 2) 交易过程 3) 交易结果批准拒绝或终止推荐的终端信息有 : 1) 刷卡 2) 读卡成功 3) 处理中 9

16 4) 再次刷卡 [ 如果交易未完成 ] 5) 交易批准 6) 交易拒绝 7) 出示单一卡片 [ 防冲突 ] 当提示刷卡时, 终端应显示当前交易金额终端应显示交易后的可用余额, 以表示读卡操作成功 7.3 激活非接触界面前的处理要求为了使卡片保持在感应区的时间最小化, 公共交通 IC 卡应用终端在提示持卡人刷卡和激活非接触界面前, 应执行下列处理预处理前的处理要求具有公共交通 IC 卡应用能力的终端应在交易预处理完成后再将非接触界面上电具有公共交通 IC 卡应用能力终端中的交易预处理除非交易预处理已经完成, 则支持公共交通 IC 卡应用终端的非接触界面不能上电对于交易金额固定的一些设备, 非接触界面可以立即上电在下面的例子中, 全部或部分检查可以省去 : 仅支持脱机的终端可能不需要联机应用密文, 但可以获得授权金额 ( 标签 9F02 )/ 交易金额, 并检查超过最低限额 ; 对于支持电子现金的终端, 如果下面描述的检查被执行, 则应按照要求执行终端采用终端交易属性 ( 标签 9F66 ) 表示其非接触能力和交易对卡片的要求终端交易属性由卡片在 SELECT 命令响应中提出申请, 终端通过 GPO 命令提供终端应获取授权金额 ( 标签 9F02 ); 如果终端配置为支持状态检查, 并且授权金额为一个货币单位 ( 这状态检查要求的 ), 则终端用终端交易属性字节 2 中的第 8 位表示需要联机应用密文支持状态检查应一可配置的选项, 在实施时应打开才能操作这种检查的缺省行为为关闭 ; 如果授权金额为零, 除非终端支持公共交通 IC 卡应用扩展应用, 具有联机能力的终端应在终端交易属性字节 2 的第 8 位表示要求联机应用密文 ; 如果授权金额为零, 除非终端支持公共交通 IC 卡应用扩展应用, 仅支持脱机的终端应终止交易 ; 如果授权金额大于或等于终端非接触交易限额 ( 如果存在 ), 则终端应提示交易终止 ; 如果授权金额大于或等于终端执行 CVM 限额 ( 如果存在 ), 则终端应在终端交易属性中表示要求 CVM( 第 2 字节第 7 位 ) 以及支持的 CVM 种类本部分当前版本支持联机 PIN( 第 1 字节第 3 位 ) 和签名 ( 第 1 字节第 2 位 ); 如果授权金额 ( 标签 9F02 ) 大于非接触终端脱机最低限额或 ( 如果非接触终端脱机最低限额不存在 ) 可用的终端最低限额 ( 标签 9F1B ), 则终端应在终端交易属性第 2 字节第 8 位表示需要联机应用密文 ; 在预交易处理成功完成后, 终端应要求刷卡, 并对非接触界面上电, 开始检测处理上述处理描述 ( 假定支持所有的检查 ) 如图 1 所示 10

17 开始获得授权金额交易终止授权金额终端非接触脱机交易限额授权金额 > 下限注 : 如果存在终端非接触脱机最低限额, 则下限为终端非接触脱机最低限额, 则为终端最低限额终端支持授权金额 =0? 状态检查? 终端交易属性要求联机处理终端仅支持脱机? 授权金额终端执行 CVM 限额交易处理不要求 CVM CVM 交易处理注 : 终端交易属性表明 CVM 要求终止处理终端要求出示卡片图 1 具有公共交通 IC 卡应用能力终端的预交易处理 7.4 卡片检测处理要求当卡片进入终端的感应范围, 终端与卡片进行通信的初始化 ( 公共交通 IC 卡应用终端应按照部分的描述, 在初始化交易前执行公共交通 IC 卡应用预处理 ) 终端可以按照操作员的命令或预定义超时之后, 通过停止检测处理和关闭非接触界面来终止交易如果在应用选择前, 同时检测到多个非接触卡, 则终端应将此情况向持卡人显示, 并且要求只放置一张卡卡片检测处理和应用选择包含在图 2 中 11

18 终端支持标准快速支付功能? 标准快速支付功能预交易处理其他交易流程处理 A 检测 ( 终端与卡片建立联系 ) 应用选择终端选择应用列表中当前优先级最高的应用卡片响应? 失效序列 A 卡片响应状态字为 9000? 为列表中最后一个应用 PDOL 存在且包含 Tag9F66? 初始化应用处理终端交易终止图 2 卡片检测和应用选择流程 7.5 应用选择要求所有非接触卡片应符合下列选择非接触支付应用的要求在初始化应用处理阶段, 确定用于处理交易的方法 ( 非接触式公共交通 IC 卡应用 ) 终端应用选择要求本部分描述了从具有多个非接触应用的列表中进行选择的行为为更好地满足时间要求, 终端支持 12

19 的应用列表中, 建议将公共交通 IC 卡电子现金应用或电子钱包应用作为最高优先级如果要求一个以上的应用, 应用的数量要尽可能少所有终端可以直接通过应用 AID 的进行应用快速直选, 可选支持使用 PPSE 目录选择方法 ; 如果使用 PPSE 目录选择法, 终端采用文件名称 2PAY.SYS.DDF01 来选择 PPSE; 终端应支持最大长度为 16 字节的应用名称 (AID); 终端访问卡片应用中的路径应采用一个公共交通 IC 卡应用的 AID, 访问电子现金应用或者电子钱包应用 ; 如果使用 PPSE 目录选择法, 终端应建立包含在 FCI 中且终端支持的应用列表终端应判断应用优先指示器的 bits 4-1( 表示应用被选择的顺序 ), 并选择优先级最高的应用来处理交易 ; 如果使用 PPSE 目录选择法, 且只有一个应用包含在 FCI 中, 并被终端支持, 则终端应选择该应用, 而不考虑可能出现的应用优先级指示器的设置 ; 如果卡片对 SELECT 命令的响应状态字不 9000, 或终端在 PPSE 存在错误格式的情况下, 不能从 FCI 中取得 AID, 则终端应关闭非接触界面, 并终止交易 ; 如果使用 PPSE 目录选择法, 且 FCI 没有按照本部分进行个人化 ( 例如, 应用优先级不存在 ), 但终端在共同支持的应用列表中至少存在一个应用, 则终端可以从共同支持应用的列表中选择一个应用 ; 如果卡片对终端发出的 SELECT 命令响应失败, 则终端应发起一个失效指令序列, 并且应按照 7.3 的要求返回到卡片检测处理电子现金终端交易属性表 5 描述了终端在 GPO 命令中提供的终端交易属性, 卡片用此数据项表示的终端功能决定处理选择终端交易属性的设置决定了交易的类型 : 公共交通 IC 卡联机处理交易 ( 以下简称联机交易 ) 和公共交通 IC 卡快速支付交易 ( 以下简称快速支付交易 ) 终端支持联机处理或对联机处理的要求终端支持持卡人验证方法的类型或终端对此项的要求字节 2 作为动态数据元, 由终端按照交易条件 [ 例如, 授权金额 ( 标签 9F02 ) 大于最低限额授权金额大于 CVM 要求限制 ] 设置表 5 终端交易属性 ( 标签为 9F66 ) 字节位定义 8 预留支持联机处理功能 0 不支持联机处理功能 1 支持快速支付功能 0 不支持快速支付功能 5 预留终端仅支持脱机 0 终端具有联机能力 1 支持联机 PIN 0 不支持联机 PIN 1 支持签名 0 不支持签名 1 预留 13

20 要求联机密文 0 不要求联机密文 1 要求 CVM 0 不要求 CVM 6-1 预留预留终端支持 01 版本的 fdda 0 终端仅支持 00 版本的 fdda 7-1 预留电子钱包终端有效性检查对于 SELECT 命令回送的数据, 终端将对这些数据进行以下检查 : 该卡在终端存储的黑名单卡之列 ( 使用发卡机构编码和应用主账号 ); 终端支持该发卡机构编码 ; 终端支持 IC 卡上的应用 [ 使用应用类型标识 (ATI) 来检查 ]; 应用在有效期内如果以上任一条件不满足时, 终端所做的处理不属于本部分的范围终端根据应用选择时获得的应用类型标识判别 IC 卡支持电子钱包的情况, 自动选择电子钱包, 进行后续交易如果 IC 卡不支持电子钱包应用, 则该过程终止 7.6 电子现金终端初始应用处理要求在初始应用处理阶段, 终端向卡片发出 GPO 命令, 命令中包括卡片在应用选择时返回 PDOL 中所要求的所有数据初始应用处理见图 3 所示电子现金终端初始化应用处理的通用要求所有终端应按照卡片在 PDOL 中的要求, 在 GPO 命令中提供标签为 9F66 的数据项 ( 终端交易属性 ); 所有终端应支持采用的 GPO 响应报文中, 数据对象一个标签为 77 的基本数据对象数据域可以包含多个 BER-TLV 编码的对象 ; 如果 PDOL 在卡片的响应中不存在或标签为 9F66 的数据项 ( 终端交易属性 ) 在 PDOL 中不存在, 则终端应关闭非接触界面, 并终止交易 GPO 命令无响应如果卡片响应终端发出的 GPO 命令失败, 则终端应初始化失效序列, 并返回到 7.3 的检测处理 GPO 命令响应的错误码如果卡片响应 GPO 命令的状态字不为 9000, 则终端应终止非接触交易, 并终止交易 GPO 命令的成功响应终端通过应用交互特征和卡片响应 GPO 命令提供的数据元决定按照快速支付功能或联机处理功能进行交易如果卡片响应 GPO 命令的状态字为 9000, 假设终端仅支持一种非接触选项 ( 联机处理功能和快速支付功能 ), 则终端应按此选项继续处理, 不必判断 AIP; 14

21 如果卡片响应 GPO 命令的状态字为 9000, 并且 AIP 第 2 字节第 8 位置 0, 假设终端支持快速支付功能, 并且应用密文 ( 标签 9F26 ) 在 GPO 命令响应中出现, 则终端应按照快速支付功能处理交易如果标签为 9F26 的数据项不出现, 则终端应按照联机处理功能处理交易开始终端建立和发送 GPO 命令到卡中, 包括 PDOL 中要求的数据卡片决定采用交易的类型 : 脱机交易流程或联机交易流程卡片执行卡片风险管理 : 联机交易流程脱机交易流程根据结果, 卡片请求交易脱机批准联机或脱机拒绝拒绝卡片响应 GPO? 卡片响应状态字为 9000? 终止失效序列联机交易? 执行脱机交易流程 Tag9F26( 应用密文 ) 在 GPO 中返回检测 7.3 联机交易流程脱机交易流程终端处理要求图 3 初始应用处理流程电子现金非接触交易次序卡片和终端都支持的最适当方法的要求, 决定了处理选择的顺序快速支付功能支持脱机和快速联机交易, 不需要卡片放在卡盘上标准快速支付功能 : 如果卡片支持公共交通 IC 卡应用且终端交易属性第 1 字节第 6 位 = 1 ( 支持快速支付功能 ), 则卡片应使用标准快速支付功能路径, 终端应按照标准快速支付功能处理交易 ; 联机处理功能 : 如果卡片支持联机处理功能且终端交易属性第 1 字节第 7 位 = 1 ( 支持联机处理功能 ), 则卡片应使用联机处理功能路径, 终端应按照联机处理功能处理交易 15

22 交易如果没有匹配的非接触交易路径, 则卡片应在响应中返回一个指示器 ( 状态字 = 6985 ) 来终止 8 电子现金交易流程 8.1 电子现金联机交易处理流程功能概述以下功能在公共交通 IC 卡应用交易处理中得到使用标记为必备 (M) 的功能应该在所有交易中得到执行标记为可选 (O) 的功能可选择的并根据卡或终端的参数决定联机交易包括 : 圈存圈提应用锁定及解锁卡片锁定以及其他的发卡机构脚本下发交易流程实例见图应用选择此为必备项, 当卡片连接终端时, 终端决定哪些应用由卡片和终端共同支持, 终端有两种选择应用的方式 : 终端检测终端和卡片都支持的应用并将这些应用显示, 供用户选择 ; 终端根据发卡机构事先定义的优先级别自动选择卡片上优先级最高的应用终端发送 SELECT 命令选择应用, 卡片返回文件控制信息 (FCI), 则其中应包括 PDOL 应用初始化此为必备项, 在终端选择应用之后, 应读取卡片中的应用数据由这些数据得知卡片具备的功能以及需要提供给卡片哪些支持终端读取卡指示的数据并使用支持的功能列表来决定要执行的处理读应用数据此为必备项, 终端使用读记录命令 (READ RECORD) 读出交易处理中使用的卡片数据, 卡片在应用初始化的响应中提供 AFL 标记了这些数据所在的文件与记录号, 终端应该存储读出的所有可以识别的数据对象, 不论必备还可选数据, 以备将来交易使用终端无法识别的数据对象不必存储, 但包含这种数据对象的记录可能仍然要以整体形式参与脱机数据认证过程, 这取决于 AFL 的编码脱机数据认证此外可选项, 终端根据卡片和终端对这些方法的支持, 决定使用动态数据认证来脱机认证卡片如果终端支持脱机数据认证功能, 并且检测到卡片支持动态数据认证 (DDA), 则终端需进行脱机数据认证动态数据认证 (DDA) 主要用于防止伪造卡片动态数据认证有标准动态数据认证 (DDA) 和复合动态数据认证 (DDA/AC-CDA) 两种终端要求卡片提供由公共交通 IC 卡私钥加密动态交易数据生成的密文, 动态交易数据由终端和卡片为当前交易产生的唯一数据终端用从卡片数据中获取的公共交通 IC 卡公钥来解密动态签名还原的数据与原始数据匹配证实了此卡不由合法卡复制出的赝品卡复合动态数据认证 / 应用密文生成把动态签名生成与卡片的应用密文生成相结合, 确保卡片行为分析时返回的应用密文来自于有效卡处理限制此为必备项, 终端执行交易处理限制判断交易允许进行终端检查卡片的生效日期达到, 卡超过失效日期, 卡片和终端的应用版本匹配, 应用用途控制 (AUC) 限制生效发卡机构可以使用 AUC 限制卡片的应用, 包括 : 国内国外现金商品服务或返现 16

23 持卡人验证终端应具备持卡人身份验证功能持卡人验证可以用来确保持卡人合法而且卡片没有遗失或被盗终端使用卡片中的持卡人验证方法 (CVM) 列表数据决定验证的执行方法 CVM 列表建立了持卡人验证方法优先级别, 根据终端能力和交易特性提示用户采用特定的持卡人验证方法如果持卡人验证方法脱机 PIN, 终端提示持卡人输入 PIN 并传送持卡人输入的 PIN 到卡片中, 卡片比较输入的 PIN 和卡片中的 PIN 值 CVM 也可能指定联机 PIN 签名或不需要持卡人验证终端风险管理此为必备项, 终端应具备风险管理功能终端风险管理检查交易超过了最低限额, 账号在终端异常文件中, 连续脱机交易次数超过了限制次数, 新卡, 以及商户强制进行联机, 有些交易可能被随机的选择联机处理终端风险管理也包括可选的频度检查, 终端使用卡片中的数据进行检查在终端行为分析过程中要考虑终端频度检查的结果终端行为分析此为必备项, 终端应具备终端行为分析功能终端行为分析根据脱机数据认证处理限制持卡人验证终端风险管理的结果以及终端和卡片中设置的风险管理参数决定如何继续交易 ( 脱机批准脱机拒绝和联机授权 ) 再由卡返回给终端的发卡机构行为代码(IAC) 域设立卡片规则, 在终端行为代码 (TAC) 设立终端规则决定交易处理之后, 终端向卡片请求应用密文不同的应用密文对应不同的交易处理 : 以交易证书 (TC) 为批准, 授权请求密文 (ARQC) 为联机请求, 应用认证密文 (AAC) 为拒绝卡片行为分析此为必备项, 公共交通 IC 卡可以执行发卡机构定义的风险管理算法以防止发卡机构被欺诈当卡片收到终端的应用密文请求时, 卡片就执行卡风险管理检查, 来决定要改变终端设定的交易处理, 检查可能包括 : 先前未完成的联机交易上一笔交易发卡机构认证失败或脱机数据认证失败达到了交易笔数或金额的限制等卡片可以将终端请求的脱机接受改成联机授权或脱机拒绝卡片不能推翻终端做出的拒绝交易的决定公共交通 IC 卡可以决定以下方式继续交易 : 同意脱机完成 (TC); 联机授权 (ARQC); 拒绝交易 (AAC) 完成检查后, 卡片使用应用数据及一个存储在卡上的应用密文过程密钥生成应用密文它再将这个密文返回到终端对于脱机批准的交易,TC 以及生成 TC 的数据通过清算消息传送给发卡机构, 以备未来发生持卡人争议或退单时使用当持卡人对交易有争议时,TC 可以作为交易的证据还可验证商户或收单机构 ( ) 未改动交易数据当卡片作出接受交易的结论 ( 卡片返回 TC) 后, 卡片会记录交易日志联机处理此为可选项, 如果卡片或终端决定交易需要进行联机授权, 同时终端具备联机能力, 终端将卡片产生的 ARQC 报文送至发卡机构进行联机授权此报文包括 ARQC 密文, 用来生成 ARQC 的数据以及表示脱机处理结果的指示器在联机处理中, 发卡机构在联机卡片认证方法 (CAM) 过程中验证 ARQC 来认证卡片发卡机构可以在它的授权决定中考虑这些 CAM 结果和脱机处理结果传送回终端的授权响应信息可以包括发卡机构生成的授权响应密文 (ARPC)( 由 ARQC 授权响应码和卡片应用密文过程密钥产生 ) 此响应也可以包括发卡机构脚本, 对卡片进行发卡后更新 17

24 如果授权响应包含 ARPC 而且卡片支持发卡机构认证, 卡片通过确认 ARPC 而执行发卡机构认证, 来校验响应来自真实的发卡机构 ( 或其代理 ) 要在卡片里重新设置某些相关的安全参数必需成功地得到发卡机构认证这阻止了犯罪者通过模拟联机处理来剽窃卡片的安全特性, 以及通过欺诈性地批准交易来重设卡片的计数器和指示器如果发卡机构认证失败, 随后的卡片交易将发送联机授权, 直到发卡机构认证成功如果发卡机构认证失败, 发卡机构有权设置卡片拒绝交易交易结束此为必备项, 除非交易在前几个步骤因处理异常被终止, 则终端应执行此功能用来结束交易卡和终端执行最后处理来完成交易一个经发卡机构认可的交易可能根据卡片中的发卡机构认证结果和发卡机构写入的参数而被拒绝卡片使用交易处理发卡机构校验结果以及发卡机构写入的规则来决定重设基于芯片卡计数器和指示器卡片生成 TC 来认可交易, 生成 AAC 来拒绝交易如果终端在授权消息之后传送清算信息, 则 TC 应包括在该清算信息里对于发卡机构批准而卡片拒绝的交易, 终端应发起冲正当卡片作出接受交易的结论 ( 卡片返回 TC) 后, 卡片会记录交易日志发卡机构脚本处理此为可选项, 如果发卡机构在授权响应报文中包含了脚本, 虽然终端可能对脚本不能理解, 但终端仍需要将这些脚本命令发送给公共交通 IC 卡在使用这些更新之前, 卡片执行安全检查以确保脚本来自有效的发卡机构, 且在传输中未有变动这些命令对当前交易并不产生影响, 主要会影响卡片的后续功能, 如卡片应用解锁卡片锁定修改 PIN 等 18

25 卡片卡片支持的应用列表 SELECT 命令 / 响应 READ RECORD 命令 / 响应终端应用选择说明必须处理项卡片支持的功能 GPO 命令 / 响应应用初始化必备处理项包含可选步骤提供应用数据记录 READ RECORD 命令 / 响应读应用数据可选处理项生成动态签名 INTERNAL AUTHENTICATE 1 命令 / 响应脱机数据认证处理限制 1. 如果 DDA 2. 如果支持脱机 PIN 3. 如果支持脱机 PIN PIN 尝试计数器 PIN 校验 GET DATA 2 命令 / 响应 VERIFY 3 命令 / 响应持卡人认证上次联机交易计数器值 GET DATA 命令 / 响应终端风险管理 GENERATE AC 命令终端行为分析卡片行为分析并生成应用密文 GENERATE AC 响应联机交易联机处理验证 ARPC EXTERNAL AUTHENTICATE 命令 / 响应发卡行认证执行最终检查生成最终应用密文 GENERATE AC 命令 / 响应交易结束执行脚本发卡行脚本命令 / 响应发卡行脚本处理图 4 交易流程实例交易步骤应用选择描述应用选择一个过程, 它决定哪个由卡片和终端共同支持的应用将被用于进行交易这个过程分为两步骤 : 终端建立一个共同支持的应用的候选列表 ; 19

26 列表中的某个应用被选择并确认用来处理交易卡片数据同 6.5 应用选择要求中描述终端数据同 6.5 应用选择要求中描述命令 SELECT 终端发送选择 (SELECT) 命令给卡片获取卡片支持的应用信息应用信息包括发卡机构参数, 例如 : 选择应用的优先级别, 应用名称, 首选语言命令中可以包括支付系统环境目录名称 ( 用于目录选择方式 ), 或者一个被请求的 AID( 用于 AID 列表选择方式 ) 命令的 P1 参数表明应用按照名称方式选择的 P2 参数表明在支持 AID 后缀的情况下有另外使用同样 AID 的应用被请求 ( 当卡片支持多应用使用同样 AID 的时候 ) 命令可以有下列 SW1 SW2 返回状态字 : 9000: 选择 (SELECT) 命令成功返回 ; 6A82: 在命令包含支付系统环境名称情况下, 卡片不支持目录选择方式 ; 在命令包含 AID 的情况下, 表示选择的文件没有找到或已经相同 AID 的最后一个文件而 P2 参数指定还有下一个相同 AID 的应用可选 ; 6A81: 卡片锁定或命令不支持 ; 6283: 选择文件无效如果卡片包括一个 PDOL,PDOL 作为 FCI 的一部分包括在选择 (SELECT) 命令的响应信息中在应用初始化处理中终端将 PDOL 中指定的数据送入卡片在卡片对 SELECT 命令的响应中可能包含交易日志入口 (Log Entry), 如果出现该数据元则表示该卡片支持交易日志 READ RECORD 终端发送 READ RECORD 命令到卡片, 读取 PPSE 中的记录 ( 如果支持目录选择 ) 或其他 AID 选择方法列表中的 DDF 命令包括读取文件的短文件标识(SFI) 以及文件里的记录号卡片在响应信息中返回请求的记录内容 SW1 SW2 可以有下列返回值 : 9000: 成功执行 ; 6A83: 记录号不存在建立候选应用列表终端通过两个途径建立共同支持应用的列表目录选择方式对于终端和卡片都可选要求终端从卡片中读取支付系统环境文件此文件列出卡片支持的所有支付应用终端将卡片列表和终端列表中都有的应用加入候选列表中 ; AID 列表选择方法对于卡片和终端都必备的在 AID 列表选择方法中, 终端对终端应用列表中包含的每个应用都向卡片发送一个 SELECT 命令如果卡片响应表示卡也支持该应用, 终端就将应用添加到候选目录中标识并选出应用如果没有共同支持的应用, 交易将被终止如果至少有一个共同支持的应用, 处理过程将如以下章条所述 20

27 终端决定应用如果终端不支持持卡人选择应用或确认应用, 终端会向不要求确认的具有最高优先级的应用发送一个 SELECT 命令如果卡片中有超过一个应用有最高优先级, 终端可以向其中任意一个发布 SELECT 命令如果用目录选择法来建立应用列表,SELECT 命令的响应可能说明该应用已被锁定如果发生此种情况, 而且在可用应用列表上有更多可用的应用, 终端应该向下一个优先级最高的应用发送 SELECT 命令持卡人决定应用 a) 终端支持持卡人确认 1) 若终端不支持显示供持卡人选择的应用列表, 而支持持卡人应用确认, 它首先将优先级最高的应用提供给持卡人确认如果超过一个应用有同样的优先级, 终端可以根据遇到的先后次序或自行选择其中一个应用如果持卡人确认这个选择, 终端就用 SELECT 命令执行选择应用 2) 如果持卡人不确认, 终端会提供下一个优先级最高的应用, 直到持卡人确认或不再有更多的可用应用为止 3) 如果用目录选择法来建立应用列表, 卡片对 SELECT 命令的响应可能说明该应用已被锁定如果发生此种情况, 而且在应用列表上有更多可用的应用, 终端应该将该应用从可用应用列表中移出并选择下一个可用的应用进行持卡人确认 b) 终端支持持卡人选择 1) 支持持卡人选择的终端将向持卡人按优先级顺序给出应用列表以供选择如果超过一个应用有同样的优先级, 终端可以按读出的顺序或自行选择一个处理持卡人从列表中选择应用, 终端用 SELECT 命令选择应用 2) 如果用目录选择法建立应用列表, 卡对 SELECT 命令的响应可能说明应用已被锁定如果发生此种情况, 而且在应用列表上有更多可用的应用, 终端应该显示重试并显示已排除了被拒绝应用的可用应用列表 3) 如果持卡人不选择应用, 终端就终止交易流程图 21

28 卡片终端检查卡片所支持的应用, 并建立应用候选列表 T 终端 B 有双方都支持的应用? 终端终止交易终端支持持卡人选择应用? 终端按照优先级显示应用并要求持卡人选择持卡人选择? 终端支持持卡人确认应用? 终端显示最高级别的应用要求持卡人确认持卡人确认? 应用没有确认, 允许选择? 终端将最高级别应用看作无需持卡人确认的应用卡片返回 F CI 及 9000 ( 成功 ), 或 6283 ( 锁定 ), 或其他 S W1/SW2 SELECT 响应 SELECT 命令 T 终端发出 SELECT 命令返回成功 (9000)? 终端从应用列表中移去此应用终端开始应用初始化处理步骤 B 图 5 应用选择处理流程图后续相关处理初始化应用处理终端发送获取处理选项 (GPO) 命令给卡片, 如果在应用选择时选择 (SELECT) 命令的响应信息中包括 PDOL,GPO 命令中包括 PDOL 中指定的终端数据, 例如交易日志记录里需要的终端数据如果某些限制不允许选择的应用做初始化, 终端终止应用并返回应用选择步骤选择另一个应用读交易明细记录对于需要访问交易明细记录的终端, 可通过发送 GET DATA 命令从卡片获取日志格式 (Log Format) 数据元, 然后发送 READ RECORD 命令到卡片, 逐条读取交易记录应用初始化 22

29 描述本交易前提同 7.6 初始应用处理要求中进入了非接触式公共交通 IC 卡应用流程在应用初始化处理中, 终端向卡片发送 GPO 命令, 表示交易处理开始当发此命令时, 终端向卡提供处理选项数据对象列表 (PDOL) 请求的数据元 PDOL 卡片在应用选择时提供给终端的标签和数据元长度的列表, 处理选项数据对象列表 (PDOL) 可选数据元卡片数据表 6 初始化应用处理卡片数据数据元应用文件定位器 (AFL) 说明说明终端作交易处理要读出的卡片数据存放的文件位置和记录范围对每个要读出的文件,AFL 包括下列信息 : 字节 1 短文件标识符 ( 一个文件的数字标签 ) 字节 2 第 1 个要读出的记录号字节 3 最后一个要读出的记录号字节 4 存放用于脱机数据认证的数据的连续记录个数, 字节 2 指出的第 1 条要读的记录号应用交互特征 (AIP) 指示在此应用中卡片支持特定功能的能力列表, 包括静态数据认证 (SDA) 动态数据认证 ( 标准 DDA) 持卡人验证发卡机构认证以及复合动态数据认证 (DDA/AC) AIP 在个人化时应被写入卡中用来指明支持终端风险管理和持卡人验证应用交易计数器 (ATC) 应用个人化后, 卡片应用交易计数器启动卡片验证结果 (CVR) 专用数据, 表明从卡片角度来看本次和前次交易的脱机处理结果数据存放在卡片中, 作为发卡机构应用数据的一部分联机上送文件控制信息 (FCI) FCI 卡片相关应用的信息, 在终端发送的 SELECT 命令的响应中密文信息数据 (CID) 指明卡片返回的密文类型和终端需要进行的后续处理行为在应用初始化处理时被初始为全 0 处理选项数据对象列表 (PDOL) PDOL 卡片请求的终端数据元的标签和长度的可选列表它终端在 SELECT 命令响应中得到的卡片 FCI 的一部分终端在 GPO 命令中向卡片提供该列表所请求的数据元终端数据终端将卡片需要的数据元通过 PDOL 传送给卡片命令 GPO 终端使用获取处理选项 (GPO) 命令通知卡片交易开始命令中包含卡片在 PDOL 中列出的终端数据元的值部分,PDOL 卡片在应用选择阶段返回的可选数据卡片响应数据内容为 AIP 和 AFL AIP 列出了交易在处理过程中执行的功能 ;AFL 列出交易需要的数据存放的短文件标识符记录号记录个数以及脱机数据认证需要数据的存放位置对应用初始化, 终端 : a) 从 SELECT 命令响应中的文件控制信息 (FCI) 中提取处理选项数据对象列表 ( 若存在 ) b) 向卡片发送 GPO 命令在这个命令中, 终端组织所有卡片在 PDOL 中请求的数据元并传递给卡片 23

30 终端对卡片 GPO 命令响应进行如下处理 : a) 接收卡片对 GPO 命令的响应 b) 如果卡片响应为使用条件不满足, 终端 : 1) 将该应用从可用应用列表里删除 ; 2) 返回应用选择 c) 如果卡片用 AIP 和 AFL 做出响应, 终端开始读取应用数据 24

31 流程图卡片终端终端组织卡片需要的 PDOL 数据卡片决定终端需要读取哪些记录和文件终端发出 Get Process Option 命令数据域包括 PDOL 数据返回 AIP 和 AFL 判断状态字使用条件满足? 终端收到 AIP 和 AFL 终端进行读取应用数据处理流程终端从应用列表中删除此应用并返回至应用选择处理流程图 6 应用初始化处理流程图前期相关处理应用选择卡片在 SELECT 命令响应中将 PDOL( 若存在 ) 作为 FCI 的一部分提供给终端后续相关处理读取应用数据终端使用 GPO 命令响应中由卡片提供的 AFL, 来确定从卡片读取哪些应用数据以及哪些应用数据将要用到脱机数据认证中脱机数据认证终端使用 GPO 命令响应中由卡片提供的 AIP, 来确定卡片支持脱机数据认证的类型持卡人验证终端使用 GPO 命令响应中由卡片提供的 AIP, 来确定卡片支持持卡人验证联机处理终端使用 GPO 命令响应中由卡片提供的 AIP, 来确定卡片支持发卡机构认证 25

32 读应用数据描述读取应用数据时, 终端读取交易处理中必要的卡片数据, 并决定动态数据认证 (DDA) 中使用的数据卡片数据表 7 读应用数据卡片数据数据元说明应用文件定位器 (AFL) 指示包含终端将要读取的用来交易处理的卡片数据的文件和记录范围每个条目指定了要从文件读取的最初记录和最终记录号以及哪些记录要用在脱机数据认证中表 8 读应用数据卡片文件数据元应用基本文件 (AEF) 说明卡片数据文件, 包括应用处理使用的数据一个 AEF 包括一系列用记录号标识的记录每个 AEF 用 SFI 唯一标识终端使用读记录 (READ RECORD) 命令读取记录内容, 命令中包括 SFI 和记录号短文件标识符 (SFI) SFI 用来唯一标识应用定义文件的符号在 AFL 里列出, 终端用它来标识要读取的文件表 9 列出了读记录时, 公共交通 IC 卡中应具备的数据对象本部分中定义的其它公共交通 IC 卡数据对象都可选的表 9 读应用数据 - 卡片必备数据对象标签值存在性 5F24 应用失效日期必备 5A 应用主账号必备 8C 卡片风险管理数据对象列表 1 必备 8D 卡片风险管理数据对象列表 2 必备终端数据读取应用数据功能中不使用终端数据命令 READ RECORD 终端为每个要读取的记录向卡片发送一条 READ RECORD 命令给卡片此命令包括标识文件的一个短文件标识符 (SFI) 以及一个记录号来标识文件里的记录卡片在 READ RECORD 命令的响应提供被请求的记录处理流程终端根据卡片的应用文件定位器 (AFL) 决定从卡片读取哪些记录对于每个 AFL 条目, 终端用 READ RECORD 命令请求读取首条指定的记录当此记录从卡返回, 终端就为随后的处理保留该数据对象如果 AFL 条目指明脱机数据认证时对静态数据的认证需要此记录, 终端将记录数据放入静态数据认证输入列表终端继续读取文件记录直到最后一条指定要读取的记录为止 26

33 流程图卡片终端终端应用初始化处理完成终端从 AFL 中选择第一个文件入口卡片将记录数据传送给终端 READ RECORD 命令 READ RECORD 响应终端通过 Read Record 命令从文件中读取记录记录将用于脱机数据认证? 终端按照 SDA 输入格式连接数据读取记录为 AFL 文件入口中最后一条? 还有其他 AFL 文件入口? 终端选择下一 AFL 文件入口终端开始脱机数据认证处理图 7 读应用数据处理流程图前期相关处理终端使用应用初始化时卡片提供的 AFL, 以读取应用数据后续相关处理脱机数据认证终端使用在读应用数据处理中建立的一个 DDA 中使用的 IC 卡公钥验证其他功能其他功能用读取应用数据时得到的数据进行处理 27

34 脱机数据认证描述脱机数据认证终端使用非对称公钥技术认证来自卡片数据的处理过程在动态数据认证 (DDA) 处理中, 终端不仅认证静态的卡数据, 也认证卡片使用能够唯一标识一笔交易的交易数据生成的签名动态数据认证除了确保发卡机构选择的卡片数据元自卡片个人化以来没有受到改变, 还确认卡片属于伪卡 ( 非法复制 ) 脱机数据认证结果决定了卡片和终端脱机批准交易进行联机认证还脱机拒绝交易联机认证系统在它们的认证响应决定中可以使用脱机数据认证结果所有脱机交易的终端应支持动态数据认证 (DDA), 复合动态数据认证 CDA 可选支持密钥及认证密钥及认证见 JT/T XXX 确定脱机数据认证的方法任何交易只执行一种脱机数据认证方法, 复合动态数据认证 / 应用密文生成优先权最高, 标准动态数据认证其次表 10 表明了根据卡片和终端的共同支持情况决定所要执行的脱机数据认证方法表 10 脱机数据认证处理优先权卡应用交互特征 (AIP) 表明卡支持标准动态数据认证 (DDA) 标准动态数据认证 (DDA) 及复合动态数据认证 / 应用密文生成 (CDA) 标准动态数据认证标准动态数据认证标准动态数据认证标准动态数据认证复合 DDA/ 应用密文生成标准动态数据认证复合动态数据认证 / 应用密文生成动态数据认证如果要执行脱机动态数据认证, 终端用发卡机构公钥和认证中心公钥验证卡片的静态数据, 处理过程和静态数据认证相似验证了静态数据后, 终端向卡片申请动态签名这要求使用内部认证命令实现标准动态数据认证以及使用第一个 AC 生成命令实现复合动态数据认证 / 应用密文生成卡片用公共交通 IC 卡私钥对终端随机数和来自卡片的动态数据进行签名, 生成一个数字签名, 叫做签名动态应用数据用复合动态数据认证 / 应用密文生成方法产生的签名数据包括应用密文卡片把这个动态签名发送给终端终端用已从公共交通 IC 卡公钥证书中恢复的公共交通 IC 卡公钥将卡片的签名解密恢复的数据被用来与实际的数据比较来确定动态数据认证通过成功的动态数据认证意味着卡片数据没有被改变且不伪卡动态数据认证处理的数据元终端将用表 11 中描述的附加动态数据认证数据进行动态数据认证表 11 动态数据认证中使用的终端数据数据元缺省动态数据认证数据对象列表 ( 缺省 DDOL) 不可预知数字说明如果卡片不提供动态数据认证数据对象列表, 则终端使用缺省的动态数据认证数据对象列表, 该列表包含终端不可预知数字的标签由终端生成的不可预知的唯一标识一笔交易的数字, 该数字通过内部认证命令发送到卡片 28

35 表 12 中描述的数据也用于动态数据认证表 12 动态数据认证中使用的卡片数据数据元动态数据认证失败指示器说明内部指示器, 如果标准动态数据认证失败且交易被脱机拒绝, 则它由卡片设置并保存动态数据认证数据对象列表 (DDOL) 动态数据认证处理中, 要传递给卡片的终端数据对象的标签列表公共交通 IC 卡动态数字公共交通 IC 卡私钥公共交通 IC 卡公钥证书公共交通 IC 卡公钥指数卡片生成的唯一数字, 并作为复合动态数据认证 / 应用密文生成中动态签名的部分由终端验证卡片用它生成动态签名公共交通 IC 卡公钥证书包含用发卡机构私钥签名的公共交通 IC 卡公钥在非对称算法中使用该指数来恢复签名动态应用数据如果有必要, 公共交通 IC 卡公钥余项包含公共交通 IC 卡公钥未列入公共交通 IC 公共交通 IC 卡公钥余项卡公钥证书的部分所有在标准动态数据认证中使用的数据元, 除动态数据认证数据对象列表以外, 都用于复合动态数据认证 / 应用密文生成此外, 表 13 中描述的数据也被使用表 13 复合动态数据认证 / 应用密文生成中使用的卡片数据应用密文数据元说明卡片在 GENERATE AC 命令响应里返回的加密密文如果复合动态数据认证 / 应用密文生成在 ARQC 或 TC 中返回,ARQC 或 TC 动态签名验证的一部分密文信息数据卡片提供密文类型信息, 终端在复合动态数据认证 / 应用密文生成中验证标准动态数据认证处理流程这个处理过程, 除了动态签名由卡片生成以外, 其他都由终端执行的以下概述了这个处理过程 1) 认证中心公钥的获取终端用认证中心公钥索引 (PKI) 以及卡中的注册的应用提供商标识来获取储存在终端中的认证中心公钥以及相关信息 2) 发卡机构公钥的获取终端用认证中心公钥从发卡机构公钥证书中将发卡机构公钥恢复发卡机构公钥证书的格式经过验证的 3) 公共交通 IC 卡公钥的获取终端用发卡机构公钥解密包含公共交通 IC 卡公钥和静态应用数据哈希值的公共交通 IC 卡公钥证书终端把此哈希值与被恢复数据的哈希值相比较来验证它如果这些哈希值不相等, 则动态数据认证失败 4) 动态签名生成 ( 仅标准动态数据认证 ) 终端传送包括动态随机数的 INTERNAL AUTHENTICATE 命令到卡一收到 INTERNAL AUTHENTICATE 命令, 卡片使用公共交通 IC 卡私钥加密终端卡片动态数据的哈希值来生成一个动态签名卡片再把此动态签名传递给终端 5) 动态签名校验 ( 仅标准动态数据认证 ) 终端用从公共交通 IC 卡公钥证书恢复的公共交通 IC 卡公钥并解密动态签名如果终端生成的实际动态数据哈希值与恢复的哈希值不一致, 则动态数据认证失败处理流程 29

36 对于复合动态数据认证 / 应用密文生成, 终端执行标准动态数据认证的步骤 a) 到 c) 终端要求使用第一个 GENERATE AC 命令生成的动态密文不使用 INTERNAL AUTHENTICATE 命令对此密文的要求和认证包括以下步骤 : 动态签名生成 ( 仅复合动态数据认证 / 应用密文生成 ) 终端行为分析中, 如果终端要求一个联机密文 ( 授权请求密文 ) 或脱机批准密文 ( 交易证书 ), 第一个 GENERATE AC 命令表明复合动态数据认证 / 应用密文生成即将被执行如果卡片决定的应用密文一个交易证书或授权请求密文, 卡片就用公共交通 IC 卡私钥签名应用密文及相关数据, 并在 GENERATE AC 命令响应中把动态签名返回给终端动态签名校验 ( 仅复合动态数据认证 / 应用密文生成 ) 卡片行为分析中, 如果最初的 GENERATE AC 响应包含一个交易证书或授权请求密文, 终端使用恢复公共交通 IC 卡公钥将动态签名解密如果签名成功地恢复了, 处理就根据所收到的密文的类型继续下去如果签名恢复失败, 则交易就脱机拒绝流程图 30

37 卡片终端通过使用 RID 和公钥索引恢复出 CA 公钥使用 CA 公钥从发卡机公钥证书恢复出发卡机构公钥使用发卡机构公钥从 IC 卡公钥证书恢复出哈希值与 IC 卡公钥使用用静态数据计算出的哈希值, 并与恢复出的数据比较标准动态数据认证 (DDA) 用 IC 卡私钥计算动态签名 INTERNAL AUTHENTICATE 命令向卡片发出内部认证 (INTERNAL AUTHENTICATE) 命令 INTERNAL AUTHENTICATE 响应用 IC 卡公钥验证动态签名的正确性如果 DDA 失败, 则在 TVR 中设置 DDA 失败位为 1 图 8 脱机数据认证处理流程图前期相关处理读取应用数据终端从卡片读取应用数据, 此数据包括为支持脱机数据认证方法所要求的数据应用文件定位器和动态数据认证中认证公共交通 IC 卡公钥证书的数据后续相关处理终端行为分析 31

38 终端用脱机数据认证结果, 卡片和终端参数来决定交易要被脱机拒绝, 还进行联机认证, 或脱机批准当要执行复合动态数据认证 / 应用密文生成且交易要被发送联机或脱机批准时, 终端在 GENERATE AC 命令里设置了复合动态数据认证 / 应用密文生成指示器卡片行为分析如果上笔交易动态数据认证失败且交易被脱机拒绝, 卡片也在 CVR 设置一个类似的指示器如果动态数据认证失败了, 且要脱机拒绝交易, 就动态数据认证失败指示器复合动态数据认证 / 应用密文生成如果从终端收到 GENERATE AC 命令表明将要执行复合动态数据认证 / 应用密文生成, 卡片就返回授权请求密文和交易证书应用密文, 该密文用公共交通 IC 卡私钥签名联机处理复合动态数据认证 / 应用密文生成当返回的应用密文动态签名, 终端用公共交通 IC 卡公钥解密此签名如果解密成功, 终端就根据应用密文把处理继续下去如果解密失败, 则交易就脱机拒绝交易结束联机认证后, 卡片允许根据发卡机构认证选项和结果来重设动态数据认证失败指示器如果动态数据认证失败了, 且因联机认证不能完成, 交易要被脱机拒绝, 就设置动态数据认证失败指示器复合动态数据认证 / 应用密文生成如果复合动态数据认证 / 应用密文生成失败且返回的应用密文 ARQC, 则终端发送第二个 GENERATE AC 命令请求 AAC 如果复合动态数据认证/ 应用密文生成失败且返回的应用密文 TC, 则交易被脱机拒绝并不要求第二个 GENERATE AC 命令了处理限制描述终端使用终端和卡片的数据元执行处理限制功能, 终端应支持对应用版本生效日期和失效日期以及交易点条件的有关检查卡片数据表 14 列出并描述了处理限制中用到的卡数据元表 14 处理限制卡片数据数据元应用版本号应用用途控制 (AUC) 发卡机构国家代码应用生效日期应用失效日期说明该数据元 ( 标签 9F08 ) 显示了卡片的应用版本终端将其用于应用版本号的检查 AUC 可选数据元, 它表明了发卡机构有关卡片应用在地域以及所允许的服务方面的所有限制, 由终端用于应用用途控制检查发卡机构国家代码本部分的数据元, 表明发卡的国家, 由终端用于应用用途控制检查应用生效日期应用开始使用的日期应用失效日期过后, 应用即被禁止终端数据表 15 列出并描述了处理限制中用到的终端数据元表 15 处理限制终端数据 32

39 数据元应用版本号终端性能终端国家代码交易日期交易类型说明该数据元 ( 终端标签 9F09 ) 表明了终端的应用版本, 它被终端用于应用版本号的检查, 遵循此规范的卡应用版本号待定表明终端关于卡片数据输入, 持卡人验证和安全的性能由终端用于应用用途控制的检查该数据元表明终端所在的国家, 由终端用于应用用途控制检查这终端提供的交易发生的当地日期, 由终端用于应用生效期和失效日期检查该数据元表明交易的类型, 由终端用于应用用途控制检查应用版本号检查终端把卡片的应用版本号和终端的应用版本号相比较, 看它们相同如果不相同, 终端在终端验证结果 (TVR) 里显示出应用版本不一致应用用途控制检查在应用用途控制处理中, 终端检查交易发生地的不同情况, 决定交易继续进行如果在读应用数据步骤中终端读取到应用用途控制 (AUC) 和发卡机构国家代码数据, 终端检查下列应用限制 : 步骤 1: 国内和国际检查 : 国内终端比较发卡机构国家代码和终端国家代码如果相同, 认为国内交易如果国内交易,AUC 中对应的国内交易类型指示位应为 1 表明请求的服务允许进行示例 : 如果一个现金交易,AUC 中国内现金交易有效指示位应为 1 国际如果国家代码不同, 认为国际交易如果国际交易,AUC 中对应的国际交易类型指示位应为 1 表明请求的服务允许进行示例 : 如果一个现金交易,AUC 中国际现金交易有效指示位应为 1 如果上述任何终端执行的检查失败, 终端在 TVR 中标明卡片产品不允许请求的服务有效期检查应用生效日期检查应用生效日期检查通过验证卡片的应用生效日期 ( 如果存在 ) 早于等于终端的当前交易日期, 确认应用已经生效如果生效日期晚于交易日期, 终端就在终端验证结果中指示应用还未生效应用失效日期检查应用失效日期检查必备的检查确保应用没有过期如果应用失效日期小于交易日期, 终端要在 TVR 中标明应用已经过期流程图 33

40 卡片终端卡片和终端提供了应用版本号? 应用版本号一致? 终端将 TVR 中 IC 卡与终端应用版本不同位置为 1 提供了应用用途控制和发卡机构国家代码? 有相关限制? 终端将 TVR 中不支持该服务为 1 卡片位置卡片生效日期当前日期? 终端将 TVR 中应用还未生效位置为 1 卡片失效日期日期? 当前终端将 TVR 中应用已过期位置为 1 终端开始持卡人验证处理步骤图 9 处理限制流程图前期相关处理读取应用数据终端使用 READ RECORD 命令获得应用版本号以及卡片的应用失效日期如果存在, 应用用途控制发卡机构国家代码和应用生效日期, 则它们也被从卡中读取出来后续相关处理终端行为分析终端行为分析中, 终端检查发卡机构行为代码和终端行为代码以决定如果应用版本不一致卡未生效或卡已失效或卡不支持所请求的服务时, 应采取怎样的处理持卡人验证 34

41 持卡人验证功能为可选项描述持卡人验证用来确保持卡人合法的, 卡片不丢失的或被盗的在持卡人验证处理中, 终端决定要使用的持卡人验证方法 (CVM) 并执行选定的持卡人验证 CVM 处理允许增加其它持卡人验证方法, 例如生物识别等如果使用脱机 PIN 方式, 卡片要验证卡片内部的脱机 PIN 脱机 PIN 验证结果包括在联机授权信息中, 发卡机构作授权决定的时候要考虑其验证结果支持的持卡人验证方法有 : 脱机明文 PIN 验证 ; 联机 PIN 验证 ; 签名 ; CVM 失败 ; 无需 CVM; 签名与脱机明文 PIN 验证组合 ; 身份证件验证签名身份证件验证可以和脱机 PIN 验证方式结合起来持卡人验证方法处理被设计为可支持附加的持卡人验证, 比如被采用的生物识别技术用脱机 PIN 方式在卡片内部完成了 PIN 的确认脱机 PIN 验证结果包括在联机授权报文中, 在发卡机构的授权决定里应予以考虑卡片数据终端将表 16 和表 17 中描述的卡片数据用于持卡人验证方法列表处理表 16 持卡人验证方法列表处理卡片数据数据元说明应用交互特征 (AIP) 包含一个指示器, 标明卡片支持持卡人验证此指示器应设置为 1 持卡人验证方法 (CVM) 列表卡片应用持卡人验证方法列表先后顺序卡片可以包含多种的持卡人验证方法列表以用于不同的环境, 比如国际和国内交易持卡人验证方法列表包含以下部分 : 金额 X 可能在持卡人验证方法使用条件中用到的金额 ; 金额 Y 可能在持卡人验证方法用法条件中用到的第二个金额持卡人验证方法条目持卡人验证方法列表可能包括不止一个条目, 每个条目包含以下子域 : 持卡人验证方法代码子域 : 如果持卡人验证失败, 即指定要采取的行动可以选择处理下一个持卡人验证方法或中止持卡人验证处理持卡人验证方法类型子域 : 持卡人验证方法要执行的类型, 例如脱机 PIN 验证持卡人验证方法条件子域 : 当要用到持卡人验证方法条目时的条件, 例如, 如果终端支持该持卡人验证方法类型 ( 脱机 PIN) 表 17 脱机 PIN 验证处理卡片数据 35

42 数据元应用缺省行为 (ADA) 说明如果脱机 PIN 重试次数超限, 卡片用该数据元来决定要采取怎样的行动卡片验证结果 (CVR) 包含卡片为下列情况设置的指示器 : 执行了脱机 PIN 验证 ; 脱机 PIN 验证失败 ; PIN 重试次数超限 ; 因 PIN 重试次数超限, 应用锁定 PIN 重试次数计数器剩余的脱机 PIN 重试次数每次持卡人脱机 PIN 验证失败时,PIN 重试次数计数器都减 1 如果持卡人输入与存储在卡中参考 PIN 一致的 PIN 或重置 PIN 重试次数计数器的脚本命令执行成功,PIN 重试次数计数器被重置为 PIN 重试次数上限卡片使用取数据 (GET DATA) 命令返回 PIN 尝试计数器 ( 可选 ) 在验证命令中返回给终端 PIN 重试次数上限参考 PIN 持卡人证件号持卡人证件类型针对某一应用, 发卡机构指定的所能允许的连续输入错误 PIN 的最大次数持卡人 PIN, 储存在卡片的安全位置用于证件验证用于标识证件类型终端数据表 18 中描述的终端数据用于持卡人验证处理表 18 持卡人验证处理终端数据数据元说明加密个人识别码 (PIN) 数据密码键盘保密密钥终端性能在密码键盘加密交易 PIN 用于联机验证密码键盘使用加密输入的脱机 PIN 的保密密钥, 且读卡器用此密钥来给加密 PIN 解密当密码键盘和读卡器没有集成为一个不受外界干预的一体设备, 这个密钥必需的此密钥和用于脱机加密 PIN 的密钥不同标明了终端支持的持卡人验证方法终端验证结果 (TVR) 在终端验证结果里为下列情况设置指示器 : 持卡人验证不成功 ; 不可识别的持卡人验证方法 ; PIN 输入次数超限 ; 需要 PIN 输入而没有密码键盘或密码键盘不能工作 ; 需要 PIN 输入, 有密码键盘但 PIN 没有输入 ; 输入联机 PIN 交易个人识别码 (PIN) 包含持卡人为 PIN 验证输入的数据命令以下命令用于脱机 PIN 处理 : GET DATA 终端用这条命令从卡片获取 PIN 重试计数器以便决定在先前的交易中 PIN 输入次数超限, 或接近超限可选如果卡片不支持用取数据 (GET DATA) 命令返回 PIN 尝试计数器, 卡片返回 6A88 ; VERIFY 用于脱机明文 PIN 验证 36

43 VERIFY 命令包括持卡人输入的 PIN 并开始卡片对这个 PIN 与储存在卡上的参考 PIN 的比较如果卡片和终端支持脱机 PIN 处理, 则它们支持 VERIFY 命令卡片的响应指出下列情况中的一种, 命令的响应状态字 SW1 SW2 可能有如下返回值 : 1) 9000 验证成功 ; 2) 63Cx PIN 不匹配, x 表明剩余的次数 ; 3) 6984 当在上次交易中尝试次数限制数已经超过, 本次交易第 1 次处理验证 (VERIFY) 命令时返回 4) 6983 当在本次交易中尝试次数限制数超过, 卡片再次收到验证 (VERIFY) 命令时返回处理流程持卡人验证处理分成两部分, 为卡片的持卡人验证方法列表处理与执行持卡人验证持卡人验证方法列表处理卡片在持卡人验证方法列表处理中, 提供给终端持卡人验证方法列表以及其他必需数据终端执行下列步骤 : a) 决定执行持卡人验证如果卡片支持持卡人验证 ( 如应用交互特征所说明 ), 且读取应用数据时, 卡片提供一个持卡人验证方法列表, 那么终端就继续持卡人验证反之, 终端就进行终端风险管理 b) 处理持卡人验证列表条目由持卡人验证方法列表中的第一个条目开始, 终端执行以下行为 : 1) 检查持卡人验证条件符合如果不符合, 终端进行下一个持卡人验证方法列表条目 2) 如果持卡人验证条件符合, 终端将进一步检查此 CVM 代码可以识别如果可以识别, 终端判断支持此 CVM, 如果支持, 则进入步骤 4); 如果终端不支持此 CVM 代码, 则进行判断, 此 CVM 和 PIN 验证相关, 如果为 PIN 验证则终端设置 TVR 要求输入 PIN, 但密码键盘不存在或不工作位为 1, 进入步骤 3) 如果此 CVM 代码无法被终端识别, 终端将在 TVR 中设置未识别 CVM 位为 1, 进入步骤 3) 3) 终端检查 CVM 代码 bit7 位如果为 1, 则继续处理下一个 CVM 条目 ; 如果 CVM 列表中无未处理的 CVM 条目, 则持卡人验证失败, 终端结束持卡人验证如果为 0, 则持卡人验证失败, 终端设置持卡人验证不成功标志为 1, 结束持卡人验证 4) 执行指定的持卡人验证方法如果持卡人验证不成功 ( 例如脱机 PIN 验证失败 ), 终端进入步骤 3) 如果持卡人验证成功, 终端进行终端风险管理 c) 如果终端到达了持卡人验证方法列表的末端还没有一个成功的持卡人验证, 则持卡人验证处理失败终端在终端验证结果里设置持卡人验证不成功标志 1 并进行终端风险管理持卡人验证处理 a) 联机 PIN 验证在联机 PIN 验证处理过程中, 输入后的 PIN 被加密, 并包含在联机授权报文里, 由发卡机构的联机系统加以验证联机 PIN 处理流程不在本部分中描述 b) 签名当选择签名作为持卡人验证方法时, 终端打印一张附有给持卡人签名档的收据 c) 无需 CVM 当持卡人验证方法无需 CVM 时, 持卡人验证成功 d) 持卡人验证失败当持卡人验证方法持卡人验证失败时, 认为持卡人验证处理失败 37

44 e) 持卡人证件验证终端提示持卡人出示身份证件, 并将卡片中得到的证件类型和证件号码显示给服务员, 进行持卡人身份比对验证图 11 和图 12 概述了 PIN 验证处理流程流程图终端 C 卡片支持持卡人验证? 持卡人验证成功 CVM= 无需 CVM? 卡片提供 CVM 列表? 终端在 TVR 中设置缺少卡片数据 D 终端从 CVM 列表中选择第一个 CVM A CVM= 失败的 CVM? B CVM 编码 Bit7=1? CVM 满足验证条件? 有其他 CVM 入口? CVM 校验签名, 终端打印带签名栏的凭条终端识别该 CVM? 终端在 TVR 中设置无法识别 CVM 终端从 CVM 列表中选择下一个 CVM 终端在 TVR 中设置持卡人验证失败 A 终端支持该 CVM? B D 终端进入终端风险管理处理 CVM=PIN? 终端在 TVR 设置要求 PIN 输入设备, 但密码键盘不存在 A A CVM=PIN? 进行 PIN 验证处理 C 图 10 持卡人验证方法列表处理流程图 38

45 进行 PIN 处理卡片终端 CVM 联机 PIN 或脱机 PIN PINPAD 可用? 进行 CVM 编码动作 ( 见上图 -A) PIN 类型? 脱机 PIN 卡片允许 Get Data 返回 PIN 计数器? 向卡片发出 Get Data 命令请求 PI N 尝试计数器 ( 此步骤可选 ) 联机 PIN 返回不支持 GE T DATA 命令返回 PIN 尝试计数器值返回 PIN 尝试计数器, 并且为 0 进行 CVM 编码动作 ( 见上图 -A) 从下图的 A 返回至此处提示输入 PIN 输入 PIN? 进行 CVM 编码动作 ( 见上图 -A) 联机 PIN? 脱机 PIN? 脱机 PIN 脱机 PIN 处理加密 PIN 并且加入授权请求中联机 PIN 终端进行终端分险管理处理图 11 PIN 验证处理流程图 (1) 39

46 卡片终端明文 PIN 输入 PIN 正确? PIN 尝试次数超限? 向卡片发起 VERIFY 命令 PIN 可尝试次数减 1 重置 PIN 尝试计数器将 Verify 返回码置为成功完成 B 将 Verify 返回码置为失败, 并返回已无尝试机会 Verify 返回正确? PIN 尝试次数超限? PIN 尝试次数超限? 将 Verify 返回码置为失败将 Verify 响应数据返回给终端 ADA 中若 PI N 尝试超限则锁应用 =1? 卡片锁定应用终端进行终端风险管理处理 B 图 12 PIN 验证处理流程图 (2) 前期相关处理初始化应用处理从卡片中获取应用交互特征 (AIP), 指示卡片支持持卡人验证读取应用数据终端从卡片中读取持卡人验证方法列表以及其他持卡人验证处理中使用的数据 40

47 后续相关处理终端行为分析终端使用持卡人验证结果, 以及发卡机构行为代码和终端行为代码来决定交易被脱机拒绝联机发送授权请求还脱机批准卡片行为分析当 PIN 尝试次数超限时, 卡片使用持卡人验证结果与应用缺省行为中的参数来决定拒绝交易, 还进行联机授权请求联机处理授权请求报文中不包括脱机 PIN, 但包括脱机 PIN 验证结果在内的持卡人验证结果, 发卡机构的授权决定中应该考虑这些结果交易结束联机获取授权的尝试失败后, 卡使用持卡人验证结果和应用缺省行为中的参数来决定拒绝交易发卡机构脚本命令处理 PIN CHANGE/UNBLOCK 命令可以用于重新设置 PIN 重试次数计数器, 使其与 PIN 重试次数上限相等 APPLICATION UNBLOCK 命令可用来解锁在持卡人验证处理中锁定的应用终端风险管理描述终端风险管理使大额交易联机授权, 并确保芯片交易能够周期性地进行联机以防止在脱机环境中也许无法觉察的风险发卡机构需要支持终端风险管理无论卡片支持, 终端都需要支持终端风险管理卡片数据表 19 列出并描述了终端风险管理中使用的卡片数据元表 19 终端风险管理卡数据数据元应用主账号 (PAN) 应用交易计数器 (ATC) 上次联机 ATC 寄存器连续脱机交易下限连续脱机交易上限说明终端异常文件检查时使用的有效的持卡人账号自卡片个人化以后处理的交易数量, 在终端频度检查中使用上次联机 ATC 的值如果卡片要求终端进行终端频度检查或新卡检查, 则这个数据元以及下面所列出的数据元都应提供如果终端可以联机, 该数据元 ( 标签 9F14 ) 发卡机构定义的在交易应联机之前所允许的最大连续脱机交易笔数, 它用于终端频度检查该数据元 ( 标签 9F23 ) 发卡机构定义的在脱机交易应被拒绝之前所允许的最大连续脱机交易笔数它用于终端频度检查终端数据表 20 列出并描述了终端风险管理中使用的终端数据元表 20 终端风险管理终端数据 41

48 数据元授权金额说明该数值型数据元 ( 标签 9F02 ) 存储了当前交易金额 ( 不包括调账交易 ) 用于最低限额检查用于偏置随机选择的最大目标百分数用来随机选择的目标百分数终端最低限额终端验证结果 (TVR) 偏置随机选择与阈值交易日志交易状态信息 (TSI) 用于随机选择交易联机处理用于随机选择交易联机处理该数据元 ( 标签 9F1B ) 表示与应用标识符相关联的终端最低限额用于最低限额检查和随机选择交易联机处理记录终端脱机处理结果的一系列指示器它们用来记录终端风险管理检查的结果用于随机选择交易联机处理的数值终端上存储的被接受的交易的交易日志, 用来防止使用分次消费的方法企图躲过最低限额检查这个日志至少包含了应用的主账号和交易金额, 并可选包含应用主账号序列号和交易日期而交易数量的储存和日志的维护由具体应用定义如果该日志存在, 则终端最低限额检查将可能使用到这个日志标明终端执行的功能, 联机授权和清算报文中不提供此数据元, 终端用它来表示已经执行了终端风险管理命令 GET DATA 如果终端尚未获取上次联机 ATC 寄存器和应用交易计数器, 则发送取数据 (GET DATA) 命令从卡片中读取这些数据在终端频度检查和新卡检查时使用如果卡片支持终端频度检查或新卡检查, 卡片要返回这些数据给终端如果卡片不支持终端频度检查或新卡检查, 这些数据要存储为专用数据元并不能返回给终端此时卡片响应 SW1 SW2= 6A 终端异常文件检查如果终端异常文件存在, 终端应检查应用主账号 (PAN) 列在终端异常文件中如果卡号列在终端异常文件中, 终端在终端验证结果 (TVR) 中设置卡号出现在终端异常文件中的位为商户强制交易联机在可以联机的终端, 商户可以将终端设置为交易应该联机处理如果商户强制交易联机, 终端将终端验证结果 (TVR) 中商户强制交易联机的位设置成最低限额检查执行最低限额检查, 可以使超过终端最低限额的交易执行联机授权终端将授权金额和终端最低限额进行比较, 如果交易额大于等于最低限额, 终端将终端验证结果 (TVR) 中交易金额超过最低限额的位设置成 1 即使终端最低限额为 0, 终端也应执行最低限额检查, 并将终端验证结果中交易金额超过最低限额的位设置成 1 如果终端包含一个交易日志, 终端就检查同一张卡片先前的交易金额加上现在的交易金额超过了最低限额 42

49 随机交易选择可以支持脱机和联机交易的终端会随机选择交易进行联机处理如果随机选择了一个交易, 终端会标注在终端验证结果中终端频度检查频度检查允许发卡机构在一个预先设定的连续脱机交易的数量之后要求进行联机处理允许脱机的终端应支持终端频度检查发卡机构可以选择终端不支持频度检查如果卡片在读取应用数据处理时提供连续脱机交易下限 ( 标签 9F14 ) 和连续脱机交易上限 ( 标签 9F23 ), 终端将执行终端频度检查如果这些数据中的任意一个都没有出现在卡里, 终端将避开这个处理终端发送 GET DATA 命令向卡读取上次联机 ATC 寄存器与交易计数器 (ATC) 卡在命令响应中返回这些数据元终端将 ATC 与上次联机 ATC 寄存器对比 : 如果 ATC 减去上次联机 ATC 寄存器大于连续脱机交易下限值, 终端将终端验证结果中超过连续脱机交易下限的位设置成 1 如果 ATC 减去上次联机 ATC 寄存器大于连续脱机交易上限值, 终端将终端验证结果中超过连续脱机交易上限的位设置成 1 注 : 卡片行为分析中, 卡片可执行相似的频度检查卡的频度检查不会影响终端验证结果新卡检查在终端所做的新卡检查中, 如果存在连续脱机交易上限值和连续脱机交易下限值, 终端就检查上次联机 ATC 寄存器 ( 如果卡提供的话 ) 根据发卡机构认证结果和卡片参数, 交易被联机批准后, 该寄存器被重新复位终端发送 GET DATA 命令向卡片读取上次联机 ATC 寄存器 ( 如果该数据元并未出现在终端里 ) 卡片用上次联机 ATC 寄存器作为对 GET DATA 命令的响应终端检查上次联机 ATC 寄存器, 如果序号为 0, 终端将 TVR 中的新卡位置设为 1 注 : 卡片行为分析中, 卡片可执行相似的新卡检查流程图 43

50 终端终端存在异常文件? 终端存在交易流水日志? 卡片出现? 流水日志中有该卡的交易? 授权金额 + 日志中金额终端最低限额? 终端将 TVR 中卡出现在异常文件中位置为 1 授权金额终端最低限额? 终端将 TVR 中交易金额超限位置为 1 商户要求强制联机? 终端随机交易选择为联机处理? 终端将 TVR 中随机选择联机处理位置为 1 终端将 TVR 中商户强制联机交易位置为 1 B 图 13 终端风险管理处理流程图 (1) 44

51 卡片终端终端读取了连续脱机交易上限和下限? 卡片响应 GET DATA 命令, 返回 AT C 和上次联机 A TC 寄存器值终端发出 GET DATA 命令得到 ATC 和上次联机 ATC 寄存器值 ATC 和上次联机 ATC 寄存器值都返回? ATC- 上次联机 ATC 寄存器值 > 脱机连续交易下限? 终端将 TVR 中超过脱机连续交易下限位置为 1 终端将 TVR 中缺少卡片数据位置为 1 终端将 TVR 中超过脱机连续交易下限和超过脱机连续交易上限位都置为 1 ATC- 上次联机 ATC 寄存器值 > 脱机连续交易上限? 终端将 TVR 中超过脱机连续交易上限位置为 1 上次联机 ATC 寄存器 =0? 终端将 TVR 中新卡位置为 1 终端进行终端行为分析处理图 14 终端风险管理处理流程图 (2) 45

52 前期相关处理读取应用数据下列数据从卡片中读取 : 1) 主账号用于检查终端异常文件 ; 2) 如果卡上存在连续脱机交易上限值和下限值, 它们用于终端频度检查后续相关处理终端行为分析终端根据卡片和终端的设置来决定采取怎样的行动, 如果 : 1) 卡片在终端异常文件上 ; 2) 商户强制交易联机 ; 3) 超过了最低限额 ; 4) 交易被随机选择进行联机处理 ; 5) 频度检查金额或笔数超限 ; 6) 新卡终端行为分析描述终端行为分析中, 终端把发卡机构设置在卡片里及收单机构设置在终端里的规则应用于脱机处理结果, 以决定交易应该被脱机批准应该被脱机拒绝, 还请求联机授权终端行为分析牵涉到两个步骤 : 检查脱机处理结果终端检查由终端记录在终端验证结果里的脱机处理结果, 决定交易要请求联机授权脱机批准, 还脱机拒绝此过程考虑了卡片中发卡机构定义的规则, 即发卡机构行为代码 (IAC) 以及终端定义的规则, 即终端行为代码 (TAC) 请求密文处理终端要求一个来自卡片的密文终端行为分析中, 脱机批准或申请联机处理的决定并不最终的卡片可以不考虑终端的决定, 但脱机拒绝的决定不可以忽略的卡片数据表 21 和表 22 所描述先前从卡片收到并在终端行为分析中使用的卡片数据元这些数据元及其用法的详细说明见 JT/T XXX.1 附录 C 表 21 检查脱机处理结果卡片数据数据元发卡机构行为代码 (IAC) 说明发卡机构行为代码三种数据元, 即发卡机构行为代码 - 拒绝, 发卡机构行为代码 - 联机, 发卡机构行为代码 - 缺省每个发卡机构行为代码由一系列与终端验证结果 (TVR) 中的比特位相对应的比特位组成 : 发卡机构行为代码 - 拒绝位设置为 1 反映了交易被脱机拒绝的终端验证结果条件 ; 发卡机构行为代码 - 联机位设置为 1 代表需要联机授权条件 ; 发卡机构行为代码 - 缺省位设置为 1 当联机处理不可行时脱机拒绝所需的条件类似的终端行为代码 (TAC) 在终端里定义 IAC 数据建议作为静态脱机数据认证用数据表 22 要求密文处理卡片数据 46

53 数据元卡片风险管理数据对象列表 1 (CDOL1) 说明卡片风险管理数据对象列表 1 包含了终端数据对象的标签和长度, 卡片需要用它们来生成第一个应用密文, 以及进行其他处理交易证书数据对象列表 TDOL 列出生成交易证书 (TC) 哈希计算的数据对象 ( 标签和长度 ) 终端数据终端数据元及其用法的详细说明见附录 A 表 23 检查脱机处理结果终端数据数据元终端行为代码 (TAC) 说明终端行为代码三种数据元, 即终端行为代码 - 拒绝, 终端行为代码 - 联机, 终端行为代码 - 缺省和发卡机构行为代码相似, 每个终端行为代码由一系列与终端验证结果 (TVR) 中的比特位相对应的比特位组成 : 终端行为代码 - 拒绝比特位设置为 1 反映了交易被脱机拒绝的终端验证结果条件 ; 终端验证结果 (TVR) 终端行为代码 - 联机比特位设置为 1 代表了联机授权条件 ; 终端行为代码 - 缺省比特位设置为 1 当联机处理不可行时脱机拒绝所需的条件终端验证结果在交易处理期间被用来代表脱机处理结果而设置的一系列比特位表 24 要求密文处理终端数据终端数据元数据元交易证书 (TC) 哈希结果说明在卡片风险管理数据对象列表 1 中得以详细说明的终端数据元包括在 GENERATE AC 命令中可选作为输入数据使用生成应用密文 (GENERATE AC) 命令送入卡片命令 GENERATE AC 终端发送 GENERATE AC 命令向卡申请一个应用密文命令中的 P1 参数标明了密文类型以及执行 CDA 命令的数据部分包括卡片在 CDOL1 中要求的终端数据元 CDOL1 终端在读应用记录处理过程中从卡片中读出的如果执行复合动态数据验证 / 应用密文生成, 终端也会出现此命令该命令指明了下列应用密文中的一种 : 1) 交易证书 (TC) 用于批准 ; 2) 应用认证密文 (AAC) 用于拒绝 ; 3) 授权请求密文 (ARQC) 进行联机此命令也包括卡在卡风险管理数据对象列表 1 里要求的终端数据对象当卡片接到 GENERATE AC 命令, 它进行卡片行为分析终端行为分析期间不返回对此命令的响应处理流程终端行为分析处理有两个步骤 : 脱机处理结果的检查终端检查脱机处理的结果以决定交易需要联机被脱机批准, 或被脱机拒绝这个过程中使用了卡片中发卡机构定义的规则 ( 发卡机构行为代码 ) 以及本部分定义的规则 ( 终端行为代码 ) 请求密文处理 47

54 终端行为分析的第二阶段包括向卡片申请一个应用密文检查脱机处理结果的步骤决定了将申请的密文类型 : 1) 脱机批准 TC( 交易证书 ); 2) 进行联机授权 ARQC( 授权请求密文 ); 3) 脱机拒绝 AAC( 应用认证密文 ) 如果执行复合动态数据验证 / 应用密文生成, 终端也会出现此命令 48

55 流程图卡片终端卡片或终端将交易设置为拒绝? 终端具备联机能力? 如果不能联机, 卡片或终端将交易设置为拒绝? 卡片或终端将交易设置为联机授权? 密文类型 =ARQC ( 需要联机 ) 密文类型 =ARQC ( 需要联机 ) 密文类型 =ARQC ( 需要联机 ) 进行卡片行为分析处理 GENERATE AC 向卡片请求应用密文图 15 终端行为分析处理流程图前期相关处理读取应用数据终端从卡片读取应用数据此数据包括卡片风险管理数据对象列表 1 和发卡机构行为代码脱机数据认证, 处理限制, 持卡人验证及终端风险管理根据处理结果, 这些脱机功能在终端验证结果设置比特位终端行为分析中, 这些比特位设置与发卡机构行为代码和终端行为代码共同使用来决定交易处理后续相关处理卡片行为分析卡片行为分析中, 卡片执行附加的风险管理来决定定终端行为分析中脱机批准或请求联机的决定卡片行为分析描述 49

56 卡行为分析允许发卡机构执行频度检查以及其他的卡片内部的风险管理本条描述的所专有的卡片风险管理特性包括如下检查 : 上次交易的行为 ; 新卡 ; 脱机交易计数和累计脱机金额卡片行为分析结束后, 卡片返回一个应用密文给终端 AAC 表示交易拒绝,ARQC 表示请求联机授权, TC 表示脱机交易接受如果卡片和终端都支持 CDA, 卡片返回的 ARQC 或 TC 要作为签名的动态应用数据的一部分卡片数据表 25 列出并描述了卡行为分析中用到的卡数据元表 25 卡片行为分析 - 卡片数据数据元说明应用密文应用货币代码应用缺省行为 (ADA) 应用交互特征 (AIP) 卡风险管理数据对象列表中要求的数据 (CDOL1) 卡片验证结果 (CVR) 密文信息数据 (CID) 卡响应 GENERATE AC 命令而返回的密文返回请求拒绝的应用认证密文称为 AAC 返回请求批准的交易证书称为 TC 联机处理申请的授权请求密文称为 ARQC 指明和应用有关的国内货币, 卡片指定货币发卡机构定义的指示器, 指定在一些特殊条件下的卡片行为如果卡片中没有则缺省认为为零包括表明卡片支持 CDA 和发卡机构认证能力的指示器卡风险管理数据对象列表 1 中要求的数据见 JT/T XXX.1 附录 C 表明当前和上次交易的脱机处理结果此数据作为发卡机构应用数据的一部分联机上送在生成应用密文 (GENERATE AC) 命令中返回给终端,CID 指出了卡片返回的密文的类型 CID 还包括了要生成通知的标识位, 以及生成通知的原因的代码连续脱机交易计数器 ( 国际 - 货币 ) 每次使用非卡片指定货币的脱机交易, 计数器加 1 连续脱机交易限制次数 ( 国际 - 货币 ) 使用卡片非指定货币的脱机交易的限制次数, 超过则请求联机处理连续脱机交易计数器 ( 国际 - 国家 ) 每次发卡机构国家代码和终端国家代码不同的脱机交易, 计数器加 1 连续脱机交易限制次数 ( 国际 - 国家 ) 发卡机构国家代码和终端国家代码不同的脱机交易的限制次数, 超过请求联机处理累计脱机交易金额累计脱机交易金额限制累计脱机交易金额 ( 双货币 ) 累计脱机交易金额限额 ( 双货币 ) 货币转换因子 DDA 失败指示位记录自从上次联机处理以来, 使用卡片指定货币的脱机交易总金额累计脱机交易金额的限制数如果超过请求联机处理记录自从上次联机处理以来, 使用卡片指定货币和第 2 货币的脱机交易总金额累计脱机交易金额 ( 双货币 ) 的限制数如果超过请求联机处理用来将第二应用货币转换成应用指定货币的汇率值此数据元有四个字节, 第一个高半字节表示小数点的位置, 后面 7 个半字节表示汇率值当上次交易 DDA 失败而且交易拒绝时设置的卡片内部应用指示位发卡机构认证失败指示位当上次联机交易出现下面两种情况之一时设置的卡片内部应用指示位 : 发卡机构认证执行并失败 ; 50

57 发卡机构认证强制但没执行发卡机构认证指示位发卡机构国家代码 ( 9F57 ) 发卡机构脚本命令计数器发卡机构脚本失败指示位连续脱机交易下限 ( 9F58 ) 卡片请求脱机拒绝指示位联机授权指示位卡片请求联机指示位 PIN 尝试次数计数器指明卡片支持的发卡机构认证强制还可选的指示位表明发卡机构的国家记录上次联机交易中, 有安全报文的发卡机构脚本命令的个数在上次联机交易中, 发卡机构脚本处理失败时设置在申请联机授权之前, 卡片允许的最大连续脱机交易限制数当卡片风险管理检查决定交易拒绝时设置的卡片内部应用指示位当申请联机的交易无法联机或联机授权被中止时设置的内部应用指示位当卡片风险管理检查决定交易要联机上送时设置的卡片内部应用指示位记录 PIN 剩余的尝试次数第二应用货币代码用于双货币频度检查可以使用货币转换因子转换为本地货币 ( 卡片指定货币 ) SDA 失败指示位交易日志文件短文件标识符当上次交易 SDA 失败而且交易拒绝时设置的卡片内部应用指示位当卡片作出接受交易的决定后, 卡片内部自动记录交易日志, 交易日志文件的短文件标识符标识此文件终端数据表 26 列出在卡片风险管理处理中使用的终端数据表 26 卡片行为分析终端数据数据元描述授权金额交易的金额交易货币代码表明交易的货币类型, 在 CDOL1 中终端国家代码表明终端的国家, 在 CDOL1 中终端认证结果 (TVR) 终端记录脱机处理结果的一系列指示器命令 GENERATE AC 终端使用生成应用密文 (GENERATE AC) 命令请求卡片提供一个应用密文命令中的 P1 参数表明了密文类型以及执行 CDA 命令的数据部分包括 CDOL1 中指定的终端数据命令的响应信息包括应用密文和密文信息数据如果卡片执行 CDA, 而且密文类型为 ARQC 或 TC, 密文要作为签名的动态应用数据使用 IC 卡私钥签名处理流程终端行为分析之后, 终端向卡发送 GENERATE AC 命令, 向卡片提供在卡片风险管理数据对象列表 (CDOL1) 中要求的数据并请求一个应用密文在阐述了终端行为分析处理过程卡片收到终端发来的生成应用密文 (GENERATE AC) 命令命令的数据部分包括 CDOL1 中卡片指定的终端数据如果 CDOL1 和 PDOL 中均含有某个标签 ( 这些标签包括但不仅限于交易货币代码 5F2A 授权金额 9F02, 但不包括终端验证结果 95, 交易状态信息 9B 和不可预知数 9F37 ), 但终端在生成应用密文 (GENERATE AC) 命令中给出的标签的值与取处理选项 (GPO) 命令中给出的标签的值不一致, 卡片应当以生成应用密文 (GENERATE AC) 命令中收到的该值为准, 在该笔交易的后续所有流程中均应使用该值卡片不应因生成应用密文 (GENERATE AC) 命令中某个标签的值与取处理选项 (GPO) 命令中某个标签的值不一致而以非 9000 响应生成应用密文 (GENERATE AC) 命令 ) 卡片风险管理 51

58 如果卡片支持并且要求的数据可用, 则卡片执行下列卡片风险管理行为 : a) 上次交易行为 : 1) 联机授权未完成 2) 上次联机交易时, 发卡机构认证失败 3) 上次交易静态数据认证失败 4) 上次交易动态数据认证失败 5) 上次交易发卡机构脚本命令执行情况 6) 上次交易 PIN 重试次数超限 b) 新卡检查 c) 频度检查查看以下项目的脱机处理次数超限 : 7) 全部连续脱机交易笔数 8) 根据货币种类统计的全部连续脱机国际交易笔数 9) 根据国家统计的全部连续脱机国际交易笔数 10) 指定货币的全部脱机交易累计金额 11) 指定货币和第二货币的全部脱机交易金额卡片响应决定根据卡片风险管理的结果, 卡片决定交易响应卡片返回的密文可以与终端请求密文类型不同 : a) 卡片可以不考虑终端已批准脱机的决定, 而申请联机授权或拒绝脱机 b) 卡片可以不考虑终端申请联机授权的决定, 而拒绝交易表 27 卡片行为分析 - 卡片对 GENERATE AC 命令的响应终端请求类型卡片响应类型 AAC ARQC TC AAC 拒绝 ARQC 拒绝申请联机 TC 拒绝申请联机批准标准 GENERATE AC 的响应卡片利用终端和卡片提供的数据生成一个基于对称算法的密文 JT/T XXX.1 附录 C 中详述了所要求的数据,JT/T XXX.5 中详述了密文生成过程中所需的对称密钥和算法卡片在 GENERATE AC 响应中将此密文返回给终端这个响应中的密文类型表明了卡片对于此交易的处理决定 ( 脱机批准脱机拒绝申请联机授权 ) 复合动态数据认证 / 应用密文生成的 GENERATE AC 响应如果终端在 GENERATE AC 命令中表明将执行 CDA, 并且卡片在 GENERATE AC 响应中返回的密文类型批准 (TC) 或请求联机 (ARQC), 则卡片用公共交通 IC 卡私钥将应用密文密文信息数据以及其他的数据加密在 GENERATE AC 响应中, 卡片将这签名数据返回给终端 52

59 流程图检查上次交易处理结果 : 联机授权没有完成 ; 发卡行认证失败 ;SDA 或 DDA 失败 ; 发卡行脚本处理情况根据以上结果设置相应指示新卡检查频度检查 : 连续脱机交易总数 ; 根据货币种类统计的全部连续脱机国际交易笔数 ; 根据国家统计的连续脱机国际交易总笔数 ; 指定货币的全部脱机交易累计金额 ; 指定货币和第二货币的 D 卡片第一个 GENERATE AC 命令根据以上结果决定卡片返回 ( 批准 / 拒绝 / 联机 ) 终端请求拒绝终端终端在终端行为分析处理过程中第一次请求密文 (ARQC AAC TC) 卡片返回拒绝终端请求联机终端请求批准交易 D 卡片返回拒绝 GENERATE AC 响应 = 联机卡片返回联机为为 ARQC 或 TC 产生动态签名 D GENERATE AC 终端进行联响应 = 批准 (TC) 机处理步骤 GENERATE AC 命令响应 GENERATE AC 命令图 16 卡片行为分析处理流程图前期相关处理读取应用数据终端从卡片读取卡片风险管理数据对象列表 1(CDOL1) 53

60 后继相关处理交易结束如果要求联机处理, 但终端无法将交易联机发送, 则卡片和终端执行其他的处理来决定脱机批准或拒绝交易终端在执行另外的分析 ( 类似于终端行为分析 ) 中使用发卡机构行为代码 (IAC)- 拒绝和终端行为码 (TAC)- 拒绝来以决定在最终 GENERATE AC 命令中要请求的密文类型 (AAC 或 TC) 卡也执行下列的卡风险管理检查, 以决定最终的交易处理结果 : 1) 对于全部连续脱机交易 ( 上限 ) 的频度检查 2) 新卡 3) 没有执行脱机 PIN 验证联机处理描述联机处理允许发卡机构主机根据发卡机构设置的主机风险管理参数判断交易允许或拒绝与传统的联机欺诈检查和信用检查相比, 主机授权系统还需额外通过利用卡片产生的动态密文执行联机卡片授权, 同时还需在决定授权时考虑脱机处理的结果发卡机构返回的数据可以包括发卡机构生成的密文和给卡片的更新数据其中发卡机构产生的密文用于卡片认证返回数据真实性卡片数据终端所用到的卡片数据见表 28 表 28 联机处理 - 终端使用的卡片数据数据元描述 GENERATE AC 命令返回数据返回数据中包括 : 密文类型 ( 如果交易需要联机授权, 则授权请求密文 ARQC); 应用密文 (AC); 应用交易计数器 (ATC); 发卡机构应用数据应用交互特征 (AIP) 终端在应用初始化处理时从卡片得到 AIP, 其中一位指明卡片支持发卡机构认证在发卡机构授权过程中卡片内部使用的数据见表 29 表 29 联机处理 - 卡片内部使用数据数据元授权请求密文 (ARQC) 应用密文过程密钥 (UDK) 描述由卡片在此交易的较早步骤产生 ARQC 和授权响应码将在授权响应密文 (ARPC) 确认处理中作为输入数据 ARPC 确认处理中使用的 DES 密钥, 与产生 ARQC 使用的同一密钥卡片验证结果 (CVR) 如果发卡机构认证失败, 相应位将置为 1 发卡机构认证失败指示器如果发卡机构认证失败该位将置为终端数据根据发卡机构认证状态, 终端需改变的数据元见表 30 54

61 表 30 联机处理 - 终端需改变数据数据元描述终端验证结果 (TVR) 当发卡机构认证失败时, 其中相应位将置为 1 交易状态信息 (TSI) 当发卡机构认证执行过后, 其中相应位置为联机响应数据表 31 发卡机构可能返回给收单机构的响应数据, 如果存在的话, 收单机构应将数据传送给终端表 31 联机处理 - 发卡机构可能返回的响应数据数据元描述发卡机构认证数据包括以下子项 : 授权响应密文 (ARPC): 由发卡机构主机系统产生的密文 ; 授权响应码 : 在产生 ARPC 时用到的响应码发卡机构脚本由发卡机构发送给卡片的一些命令数据, 用于更新卡片数据命令联机处理过程使用外部认证 (EXTERNAL AUTHENTICATE) 命令如果执行了发卡机构认证, 终端应使用从发卡机构请求到的发卡机构认证数据通过外部认证 (EXTERNAL AUTHENTICATE) 命令验证授权响应密文 (ARPC) 的正确性通过命令的返回可以知道认证通过外部认证命令的响应码说明发卡机构认证数据验证通过如果验证通过,SW1 SW2= 9000, 如果失败, 返回 6300 一次交易中, 卡片允许处理一次外部认证命令, 后续的外部认证命令卡片一律返回处理流程标准的联机处理包括联机请求联机响应, 如果需要, 可以执行发卡机构认证联机请求如果卡片在 GENERATE AC 向终端返回 ARQC, 同时终端具备联机能力, 则终端发出联机授权报文如果卡片没有返回 ARQC 或终端不具备联机能力, 则转至完成处理步骤联机响应联机请求报文成功发送给发卡机构后, 终端接受发卡机构返回的响应报文, 其中可以包括用于更改卡片信息的发卡机构命令脚本或密文, 也可以两者皆有, 用于确认响应报文确实从合法的发卡机构返回的如果联机响应中包括发卡机构认证数据, 同时卡片支持发卡机构认证, 则执行发卡机构认证则, 转至完成处理步骤发卡机构认证终端向卡片发出外部认证 (EXTERNAL AUTHENTICATE) 命令用于执行发卡机构认证, 卡片用先前生成的 ARQC, 发卡机构授权响应码以及存储在卡片特定安全区域的子密钥 (UDK) 验证 ARPC 的合法性卡片和终端都要记录发卡机构认证结果 : 1) 卡片在卡片验证结 (CVR) 中设置发卡机构认证结果以及发卡机构认证失败标识, 并且在外部认证命令 (EXTERNAL AUTHENTICATE) 响应报文中将结果返回给终端 2) 终端在进行完成处理之前, 将在终端验证结果 (TVR) 中设置发卡机构认证结果和交易状态信息 (TSI) 55

62 流程图卡片终端发卡行主机系统卡片行为分析结果 ( 请求联机脱机批准通过脱机拒绝 ) GENER ATE AC 命令返回数据返回 AAC? 执行 CDA? A 终端转至完成处理步骤 A 返回 ARQC? 合法的动态签名? 终端在 TVR 中标识 CDA 联机授权处理失败联机请求报文执行联机授权处理, 并返回结果卡片执行发卡行认证, 联机响应报文设置发卡行结果指示器并且返回结果外部认证命令发卡行认证执行? 外部认证命令返回终端设置发卡行认证结果指示器终端转至完成处理步骤图 17 联机处理流程图 56

63 前期相关操作卡片行为分析如果经过卡片分析后需要联机授权, 则卡片返回的密文类型为 ARQC 后续相关操作交易结束在完成处理过程中, 卡片参考发卡机构认证结果和卡片参数交易如何处理以及重置相关指示器和计数器发卡机构脚本处理如果联机处理范围报文中包括发卡机构命令脚本, 终端需要将这些命令脚本发给卡片执行交易结束描述终端和卡片执行完成来结束交易处理, 主要包括以下动作 : 如果要求联机处理, 但终端并不支持联机处理或联机授权无法完成, 则终端和卡片通过其他的分析决定交易可以脱机完成或拒绝如果终端执行 CDA 失败, 则终端按照以下方式处理 : 1) 如果卡片请求 ARQC, 则终端在第二次产生应用密文 (GENERATE AC) 时请求 AAC( 拒绝密文 ); 2) 如果卡片请求 TC 并且 CDA 执行失败, 终端拒绝交易并返回响应码发卡机构的联机确认结果有可能会因为发卡机构认证结果和卡片的一些选项而变成拒绝交易交易处理过程中指示器和计数器会反应发生情况联机授权后, 指示器和计数器可能会根据发卡机构认证结果和卡片选项重置终端可以执行其他一些附加的功能以完成整个交易例如打印凭条记录交易数据等与终端部分不冲突的功能卡片数据完成处理时卡片内部使用到的部分数据见表 32 表 32 交易结束 - 卡片使用数据元数据元描述应用货币代码 (9F51) 应用缺省行为 (ADA) 应用交互特征 (AIP) 连续脱机交易计数器 ( 国际 - 货币 ) 连续脱机交易计数器 ( 国际 - 国家 ) 累计脱机交易金额指明和应用有关的国内货币发卡机构定义的指示器, 指定在一些特殊条件下的卡片行为包括表明卡片支持发卡机构认证能力的指示位记录自从上次联机授权以来, 使用非指定货币的脱机交易的次数记录自从上次联机授权以来, 终端国家代码和发卡机构国家代码不同的脱机交易的次数此检查使用发卡机构国家代码决定交易国内还国际记录自从上次联机处理以来, 使用应用指定货币的脱机交易总金额累计脱机交易金额 ( 双货币 ) 记录自从上次联机处理以来, 使用应用指定货币 ( 应用货币代码 ) 和第二应用货币的脱机交易总金额如果第二应用货币, 在累加之前要先使用货币转换因子将授权金额进行转换 57

64 累计脱机交易金额上限累计脱机交易金额和累计脱机交易金额 ( 双货币 ) 的最大累计值限制数货币转换因子用来将第二应用货币转换成应用指定货币的汇率值第二应用货币金额乘以转换因子转换为应用指定货币金额 DDA 失败指示位标明本次或上次交易 DDA 失败发卡机构认证失败指示位标明本次或上次交易发卡机构认证失败, 在后续交易的卡片行为分析步骤中使用发卡机构认证指示位标明发卡机构认证强制还可选如果发卡机构认证强制的, 卡片应收到并成功处理一个 ARPC( 即通过发卡机构认证 ) 来对上次联机 ATC 寄存器和脱机计数器进行复位发卡机构国家代码 (9F57) 表明发卡机构的国家发卡机构脚本命令计数器记录上次联机交易中, 有安全报文的发卡机构脚本命令的个数发卡机构脚本失败指示位在上次联机交易中, 发卡机构脚本处理失败时设置上次联机 ATC 寄存器上次联机授权并满足发卡机构验证需要的交易的 ATC 值联机授权指示位当申请联机的交易无法联机或联机授权被中止时设置的内部应用指示位第二应用货币代码用于双货币频度检查可以使用货币转换因子转换为应用货币 SDA 失败指示位标明本次或上次交易 SDA 失败连续脱机交易上限如果交易无法联机, 接受交易脱机的最大连续脱机交易次数卡片对产生应用密文 (GENERATE AC) 命令响应数据见表 33 表 33 交易结束 -GENERATE AC 命令卡片响应数据数据元应用密文 (AC) 由卡片产生的密文应用交易计数器 (ATC) 卡片记录交易次数的计数器密文信息数据包括下列指示位 : 描述密文类型 : - 拒绝 AAC; - 接受 TC; - 联机上送 ARQC 其他状态信息发卡机构应用数据发卡机构定义的应用数据, 包括 CVR 卡片验证结果 (CVR) 表明当前和上次交易的脱机处理结果表 34 终端使用交易结束终端使用的卡片数据数据元卡片风险管理数据对象列表 2 (CDOL2) 描述列出在第二个 GENERATE AC 命令中, 卡片要求终端传送的数据对象 ( 标签和长度 ) 除了密文算法中要求的数据标签外, 下面列出的数据应在 CDOL2 中用于交易结束处理 : 授权金额 ( 如果支持使用金额的频度检查 ); 授权响应码 ; 终端验证结果 (TVR); 交易货币代码 ( 如果支持使用货币代码的检查 ); 终端国家代码 ( 如果支持使用国家代码的检查 ) CDOL 中的数据元不能重复终端数据 58

65 在完成处理过程中终端使用到的数据元见表 35 表 35 交易结束 - 终端使用数据数据元描述授权响应码终端验证结果 (TVR) 授权金额终端国家代码交易货币代码表明交易处理结果, 提交给卡片用来记录脱机处理结果, 例如 SDA 执行情况等当前交易金额标明终端所在国家标明本次交易使用的货币命令 GENERATE AC 终端发出第二次 GENERATE AC 命令向卡片请求最终的应用密文, 此处的 GENERATE AC 命令也可标识成需要执行复合动态数据认证 / 生成应用密文 (CDA) 执行 GENERATE AC 指令包含在卡片的 CDOL2 中详细描述的终端数据元, 终端通过读取应用数据取得这些数据元 CDOL2 数据包括发卡机构联机返回的授权响应码或在联机授权无法完成的情况下由终端返回的授权响应码 GENERATE AC 指令的响应信息包括卡片交易计数器指明卡片授权决定的密文类型应用密文和 CVR 指定的处理结果, 发卡机构自定义的数据也可以被返回处理流程根据先前的交易处理中所发生的情况, 完成处理期间终端可能处理不同的情况 : 卡片行为分析结束后, 卡片可能已经 : 请求脱机批准 (TC) 或拒绝交易 (AAC); 请求联机授权 (ARQC); 在联机处理时, 联机授权可能已经 : 成功完成 ; 由于终端或通讯原因未完成 ; 当卡片行为分析执行第一个 GENERATE AC 命令返回 TC 或 AAC 时, 则交易脱机接受或拒绝终端应根据第一个 GENERATE AC 命令响应返回的 CID 以及 TVR 中显示的复合动态数据认证 (CDA) 结果决定交易最终结果表 36 交易结束 - 终端处理结果 ( 脱机 ) 第一次 GENERATE AC 返回结果 CDA 处理结果最终交易结果 TC CDA 不执行或成功脱机批准通过 TC CDA 失败拒绝 ARQC CDA 失败在第二次 GENERATE AC 命令中请求 AAC AAC -- 拒绝当卡片行为分析执时第一个 GENERATE AC 命令返回 ARQC( 要求联机 ) 时 : a) 由于终端不支持或其他原因造成联机授权没有完成, 终端向卡片发出第二个 GENERATE AC 命令请求产生 AAC 或 TC; b) 当联机授权完成, 根据联机授权结果, 终端向卡片发出第二个 GENERATE AC 命令请求 TC( 批准 ) 或 AAC( 拒绝 ) 终端根据表 37 和表 38 情况处理交易 : 59

展开

目次前言... IV 引言... V 1 范围规范性引用文件术语和定义符号和缩略语概述功能概述必备与可选功能应用选择卡片数据终端数据..

目次前言... IV 引言... V 1 范围规范性引用文件术语和定义符号和缩略语概述功能概述必备与可选功能应用选择卡片数据终端数据.. ICS 35.240.40 A 11 备案号 : JR 中华人民共和国金融行业标准 JR/T 0025.5 2010 代替 JR/T 0025.5 2005 中国金融集成电路 (IC) 卡规范第 5 部分 : 借记 / 贷记应用卡片规范 China financial integrated circuit card specifications Part 5:Debit/credit application