EMV流程部分说明
当终端向卡发送GenerateAC命令时,IC卡执行卡片行为分析,然后IC卡返回应用密文
应用密文ApplicationCryptogram(AC)
对于脱机批准交易,卡片返回交易证书(TC);
对于联机处理交易,卡片返回授权请求密文(ARQC);
对于脱机拒绝交易,卡片返回应用认证密文(AAC)。
TC可以作为脱机批准交易的凭据,以及确保交易数据未被商户或收单行改 动。
出自Pboc3.0 第七部分,IC卡密钥参考pboc3.0第十部分 8.32节
PBOC完整流程
(以下流程详情参考pboc3.0第五部分:借记贷记应用卡片规范)
应用选择
处理决定了选择哪一个卡片和终端都支持的应用来完成交易。这一处理分为两个步骤:
步骤1:终端建立终端和卡片都支持的应用列表;
步骤2:从列表中确定一个应用来处理交易。
具体见 JR/T 0025.17 10.3.2。
应用初始化
在应用初始化处理中,终端通过发送获取处理选项( GPO)命令给卡片通知卡片交易处理开始。在命令中,终端提供给卡片在处理选项数据对象列表( PDOL)中请求的数据元。 PDOL(一个数据元标签和长度的列表)是在应用选择处理中由卡片返回给终端的可选数据项。
卡片对GPO命令的响应信息包括: AIP和AFL。 AIP列出了交易在处理过程中执行的功能; AFL列出交易需要读出的数据存放的短文件标识符、记录号、记录个数以及脱机数据认证需要的静态签名数据的存放位置。
读应用数据
在读应用数据处理中,终端读出卡片中处理交易和执行SDA或DDA的必要数据。
脱机数据认证
脱机数据认证是终端使用公钥技术认证卡片中的数据的操作。脱机数据认证有两种类型:
静态数据认证(SDA)
动态数据认证(DDA)
SDA是终端认证卡片中静态(不变)数据。 SDA可以确保卡片在个人化之后,发卡行选定的数据不会被篡改。
DDA包括标准DDA和复合DDA/应用密文生成(CDA)两种认证方式。在DDA的处理过程中,终端认证卡片中静态数据和卡片用交易唯一数据生成的密文。 DDA可以确保卡片在个人化之后发卡行选定的数据不会被篡改; DDA还可以防止伪卡(复制)。
脱机数据认证的结果是卡片和终端决定交易脱机、联机或拒绝的参考条件之一。联机授权系统在作出认证响应决定时同样可能要参考脱机数据认证结果。
具有脱机能力的终端应支持脱机数据认证,卡片是否支持是可选的。
处理限制
终端使用终端和卡片数据执行处理限制功能。包括检查应用版本、生效和失效日期等。
持卡人验证
持卡人验证用于确保持卡人身份合法以及卡片没有丢失。
在持卡人验证处理中,终端决定要使用的持卡人验证方法( CVM)并执行选定的持卡人验证。 CVM
处理允许增加其它持卡人验证方法,例如生物识别等。如果使用脱机PIN方式,卡片要验证卡片内部的脱机PIN。脱机PIN验证结果包括在联机授权信息中,发卡行作授权决定的时候要考虑其验证结果。终端使用卡片中的CVM列表规则选择持卡人验证方式。选择原则包括交易类型(现金或消费),交易金额,终端能力等。 CVM列表还给终端指明如果持卡人验证失败要如何处理。
终端风险管理
为大额交易提供了发卡行授权,确保芯片交易可以周期性的进行联机处理,防止过度
欠款和在脱机环境中不易察觉的攻击。
发卡行需要支持终端风险管理。无论卡片是否支持,终端都需要支持终端风险管理。
终端行为分析
在终端行为分析过程中,终端对脱机处理结果使用发卡行在卡片中设置的规则和支付系统在终端中设置的规则来决定交易是接受、拒绝还是上送联机授权。终端行为分析包括下面两个步骤:
步骤 1:检查脱机处理结果——终端通过检查脱机处理结果,决定交易是联机上送、接受脱机或拒绝。这个处理过程中要考虑发卡行在卡片中定义的发卡行行为代码( IAC)以及终端中定
义的终端行为代码( TAC)。
步骤2:请求密文——终端请求卡片生成密文。
终端行为分析过程中做出的交易联机或接受并不是一个最终的结果。卡片进行卡片行为分
析处理时,卡片可能会推翻终端的决定。但是卡片不能推翻终端做出的交易拒绝的决定。
卡片行为分析
卡片行为分析允许发卡行设置在卡片内部执行频度检查和其它风险管理。本部分描述JR/T 0025自定义的卡片风险管理,包括的检查有:
——上次交易行为;
——卡片是否新卡;
——脱机交易计数器和累计脱机金额。
卡片行为分析结束后,卡片返回一个应用密文给终端。 AAC表示交易拒绝, ARQC表示请求联机授权,TC表示脱机交易接受。如果卡片和终端都支持CDA,卡片返回的ARQC或TC要作为签名的动态应用数据的一部分。
联机处理
联机处理允许发卡行使用发卡行主机系统中的风险管理参数对交易进行检查,作出批准或拒绝交易的决定。除了执行传统的联机检查以外,主机授权系统可以使用由卡片生成的动态密文执行联机卡片认证,并且在作出授权决定时可以考虑交易脱机处理的结果。
发卡行的响应可以包括给卡片的二次发卡更新和一个发卡行生成的密文。卡片验证密文确保响应来自一个有效的发卡行。此验证叫发卡行认证。
交易结束
终端和卡片执行交易结束步骤决定交易处理结果。包括下列步骤:
——如果请求了联机处理但是终端不支持联机或者联机授权没有完成,终端和卡片执行另外的风险管理决定交易是接受还是拒绝;
——卡片可以根据发卡行认证的结果以及卡片内部的一些设置将一个发卡行作出的联机接受交易改为拒绝;
——一些计数器和指示位要被设置用来记录交易过程中发生的各种情况;
——联机授权结束后,根据授权结果和卡片内部的一些设置,一些计数器和指示位复位。
发卡行脚本处理
发卡行可以不用重新发卡而是通过发卡行脚本处理来修改卡片中的个人化数据。发卡行将脚本命令放在授权响应报文中传送给终端,终端将命令转发给卡片。当满足安全要求以后,卡片执行命令。
支持的命令有:
——修改卡片参数;
——锁定或解锁应用;
——锁卡;
——重置 PIN 尝试计数器;
——修改脱机 PIN值。
脚本处理通过锁定恶意透支和失窃的卡片来限制信用和伪卡风险。卡片参数可以在不需要重新发卡的情况下根据持卡人情况的变化而修改。
卡片记录交易日志
在卡片风险分析和交易结束这两个处理过程中,当卡片决定接受交易返回TC之前,卡片要进行记录交易日志步骤。
检测插片,检测卡片存在后:
(1)选择支付环境pse:1PAY.SYS.DDF01
(2)选择与PSE相关联的一个基本文件,该文件会列出所支持的支付应用
(3)根据读取的记录的应用标识符加入AID列表,然后根据用户按键进行选择应用或者根据优先级选择应用
(4)获取处理选项(GPO) 通知卡片交易开始。根据PDOL选项进行组包
(5)Generate AC(获取应用密文)80 AE xx(控制参数) 00