1、ICS 35.240.40 All 备案号:JR 中华人民共和国金融行业标准JR/T 0025.6-2005 中国金融集成电路(I C)卡规范第6部分:借记/贷记终端规范China financial integrated circuit card specifications二Part 6: Debit/credit terminal specification 2005-03-10发布060620000047 2005-03-10实施中国人民银行发布JR厅0025.6-2005目次myJJJJJJJJJJJJJJJJJJJJ四MNMMQmmA幻灯巧码取编卖元的蜘阳端如 . ,终交! 能旦L
2、蜘那和和炖LLih制式刷立ML在州柑2四七酬酬士一一L町且时几黑白且吼叫叫吼叫时黯扭曲时叫如且r如黠耳|范规定符终123456789m一123借123456789口且终123金惊慌阳寻12345555555555566667777777777777788889阳阴阳R厅0025.6-2005刚吕JRff 0025 -否,否是认证中心公钥静态数据认证中用于脱机数据认证的每个公钥都由认证中心公钥索引(PKI)与注册的应用提供商标索引(PKI)识一起唯一标识。发卡行公钥证发卡行公钥证书包含用认证中心私钥签名的发卡行公钥。书发卡行公钥指用于签名恢复算法。数发卡行公钥余包含发卡行公钥中未列入发卡行公钥证
3、书的部分。项注册的应用提AID的一部分(前五个字节),用于标识支付机构。RID与公钥索引一起用来确定交易所要用的公钥。供商标识(RID)22 JR厅25.6-25签名静态应用用发卡行私钥加密的签名,包含卡内重要数据的哈希值。数据(SAD)静态数据认证包含用于脱机数据认证的数据的标签列衰,该数据兀可选,但如果出现,只允许包含AIP(标签82), 标签列表如果包含了其它数据,则SDA失败。需认证的静态用于验证签名静态应用数据(SAD)的卡片数据,包括在AFL指定的用于脱机数据认证的记录数据,以数据及SDA标签列表中的指定的数据。如果SDA标签列表存在,应当只包含AIP的标签(82 ) ,终端检查S
4、DA标签列表中是否只有AIP的标签。7.5.4.2终端数据终端上与SOA相关的数据如下表所示:表12:SDA一终端数据数据描述公钥索引(PKI)用于脱机数据认证中的每个CA公钥由PKI和应用标识符(AID)中的注册应用标识符(RID)一起唯一标识。CA公钥存储在终端中用于恢复发卡行公钥证书的公钥。终端验证结果(TVR)包含一个用于指示SDA失败的标志。注册的应用提供商标识(RID)指示终端中特定支付机构的公钥列表。和PKI一起标识认证中心公钥。7.5.4.3处理流程SOA的执行步骤如下,详细描述请参考EMV规范第二册或中国金融集成电路(lC)卡规范借记/贷记安全规范。1. 取得CA公钥终端使用
5、卡片中的公钥索引和阳D来唯一确定并取得存储在终端中的公钥和相关信息。2. 发卡行公钥的恢复(1)终端检查发卡行公钥证书与认证中心公钥模长度是否相同。(2)终端利用认证中心公钥对发卡行公钥证书恢复,取出证书里的数据。(3)检查恢复数据中的各项是否正确:恢复的数据尾,恢复的数据头,证书格式,发卡行标识,证书有效期和发卡行算法标识。(4)计算静态认证数据的哈希结果,并与从证书里恢复的晗希结果比较是否一致。(5)将恢复数据中的发卡行公钥模部分与余项部分(如果有)组合成发卡行公钥。3. 签名静态应用数据(SAO)的认证终端利用发卡行公钥对签名的静态应用数据恢复,并进行哈希值比较,验证签名是否正确。(1)
6、终端检查签名静态应用数据与发卡行公钥模长度是否相同。(2)终端利用发卡行公钥对签名的静态应用数据进行恢复。(3)检查恢复数据中的各项是否正确:恢复的数据尾,恢复的数据头,数据格式。(4)终端依次连接从签名静态应用数据恢复出的数据、由A且指定的用于脱机数据认证的记录数据、以及由静态数据认证标签列表表示的数据,并计算其晗希结果。(5)将计算出的哈希结果与从签名静态应用数据恢复出的哈希结果比较,如果不一致,则SOA失败。4. SOA结果如果以上所有步骤执行成功,则SOA成功。如果SOA失败,TVR中的脱机静态数据认证失败位须设为1。如果执行了SOA,则交易状态信息(TSI)中的脱机数据认证被执行位设
7、为1。23 R厅0025.6-2005支持SDA的卡片数据存在?是是是是计算出的哈希值乓静态认证数据中恢复出的哈希值一致?7.5.5 动态数据认证CDDA)否否否否否是图8:SDA流程固终端在TVR中置IC卡数据缺失位为1 终端在TVR中置脱机静态数据认证失败位为如果要求执行DDA,终端使用公钥算法验证卡片里的静态应用数据,这一步与静态数据认证相似,24 R厅0025.6-25但不完全一样。验证了静态数据后,终端要求卡片用交易动态数据生成一个动态签名,终端验证此签名。从而验证了卡片中的数据未被更改,以及卡片本身是一张真正的卡,而不是用复制真卡数据而伪造的假卡。7.5.5.1卡片数据DDA使用S
8、DA中用到的除了签名静态应用数据外的其它卡片数据,除此之外DDA用到的卡片数据还有:表13:DDA一卡片数据数据冗描述动态数据认证数据对象列表(DDOL)动态数据认证处理中要传递到卡片的终端数据对象的标签列表。IC卡公钥证书IC卡公钥证书包含用发卡行私钥签名的IC卡公钥。IC卡公钥指数用于签名恢复算法。IC卡公钥余项包含IC卡公钥未列入IC卡公钥证书的部分。签名动态应用数据卡片用IC卡私钥对来自卡片和终端的动态交易数据进行加密后的签名数据。7.5.5.2终端数据终端上与DDA相关的数据说明。表14:DDA一终端数据数据兀描述缺省动态数据认证数据对象列表(缺省如果未从卡片中得到DDOL,指明要求
9、终端在动态签名生成中传送给卡片的数DDOL) 据。缺省DDOL仅包含不可预知数的标记和长度(9F 37 04 ) ,不应包含其它的数据对象。终端验证结果(TVR)包含DDA失败的指示位不可预知数由终端产生的四字节长的不可预知的交易唯一数字,用于包含在INTERNALAUTHENTICATE (内部认证指令中。牛一7.5.5.3命令INTERNAL AVTHENTICATE (内部认证)命令在DDA中终端给卡片发送的TERNALAVTHENTICATE (内部认证)命令请求动态签名。命令数据域中包含由DDOL指明的数据。在响应中卡片返回签名的动态应用数据。7.5.5.4处理流程标准DDA的执行步
10、骤如下,详细描述请参考EMV规范第二册或中国金融集成电路(lC)卡规范借记/贷记安全规范。1. 取得CA公钥终端使用卡片中的公钥索引和阳D来唯一确定并取得存储在终端中的公钥和相关信息。2. 恢复发卡行公钥(1)终端检查发卡行公钥证书与认证中心公钥模长度是否相同。(2)终端利用认证中心公钥对发卡行公钥证书恢复,得到发卡行公钥。(3)检查恢复数据中的各项是否正确:恢复的数据尾,恢复的数据头,证书格式,发卡行标识,证书有效期,发卡行算法标识。(4)计算静态认证数据的哈希结果,并与从证书里恢复的晗希结果比较是否一致。(5)将恢复数据中的发卡行公钥模部分与余项部分(如果有)组合成发卡行公钥。3.恢复IC
11、卡公钥(1)终端检查IC卡公钥证书与发卡行公钥模长度是否相同。(2)终端利用发卡行公钥对IC卡公钥证书进行恢复,取出证书里的数据。(3)检查恢复数据中的各项是否正确:恢复的数据尾,恢复的数据头,证书格式,证书有效期,IC卡密钥算法标识,PAN。(4)终端依次连接从IC公钥证书恢复出的数据、由AFL指定的用于脱机数据认证的记录数据、以及由静态数据认证标签列表表示的数据,并计算其晗希结果。25 JR厅25.6-2005(5)将计算出的哈希结果与从IC公钥证书恢复出的哈希结果比较,如果不一致,则DDA失败。(6)将恢复数据中的IC卡公钥模部分与余项部分(如果有)组合成IC卡公钥。4.动态签名生成终端
12、向卡片发送INTE阳ALAUTHENTI CATE命令,该命令包含一串DDOL指定的数据元。如果未从卡片上读到DDOL,则使用来自终端的缺省DDOL。如果所用的DDOL中不包含不可预知数的标签(9F37),则DDA失败。IC卡通过使用卡片上的IC卡私钥对来自INTE阳ALAUTHENTICATE命令的终端动态数据和来自卡片的动态数据进行签名加密产生签名动态应用数据。签名动态应用数据在INTERNALAUT阻NTICATE命令的响应里返回给终端。5.动态签名认证败。终端利用IC卡公钥对签名的动态应用数据恢复,并进行哈希值比较,验证签名是否正确。(1)终端检查签名动态应用数据与IC卡公钥模长度是否
13、相同。(2)终端利用IC卡公钥对签名动态应用数据进行恢复,取出签名里的数据。(3)检查恢复数据中的各项是否正确:恢复的数据尾,恢复的数据头,数据格式。(4)终端依次连接从签名动态应用数据恢复出的数据、DDOL所表示的数据,并计算其晗希结果。(5)将计算出的哈希结果与从签名动态应用数据恢复出的哈希结果比较,如果不一致,则DDA失6. DDA结果26 如果以上步骤全部执行成功,则DDA执行成功。如果DDA失败,TVR中的脱机动态数据认证失败位须设为1。如果执行了DDA,则交易状态信息(TSI)中的脱机数据认证被执行位设为1。DDA流程图如下图所示。卡片JR厅0025.6-2005终端否是否一一一+
14、是否一一一.1一一否是一一一一杳一一-是否是+是是否27 JR厅0025.6-2005卡片28 终端是是是是o 是否一一-一一一一一. 否一一一一一一一+否一一-一一-一+INTERNAL AUTH剧TICATE命令INTERNAL AUTHENTlCATE 应答,带动态签名7.5.6 复合动态数据认证(CDA)JR厅0025.6-2005终端(仅限标准DDA)否4否否一一. 是否一一. 是图9:DDA流程图CDA的前三个步骤与DDA相间,区别是签名动态应用数据不是通过INTERNALAUTHENTICATE (内部认证)命令进行,而是通过GE阳RATEAC(生成应用密文)命令产生。恢复验证时
15、也应比较应用密文。终端如果判断须执行CDA.则终端作一标记,表明需要执行CDA.在执行完DDA前三个步骤恢复出IC卡公钥后,进行后续交易处理,而CDA的剩下执行过程在对GE阳RATEAC命令的处理中进行。终端在收到了GE阳RATEAC响应之后,如果CDA产生失败,则根据安全部分6.3.6的相关规定,终端必须将TVR的CDA生成失败位置1。如果是发生在第一次GENERAEAC后z一如果卡片返回TC.终端必须拒绝该交易29 JR厅0025.6-2005一如果卡片返回ARQC,终端必须立即执行第二次GENERA四ACCAAC)并结束交易如果是发生在第二次GENERATEAC后,则终端必须拒绝该交易。
16、7.5.7前期相关处理应用初始化从卡片中读取AIP,AIP表明卡片是否支持SDA,DDA或CDA。读取应用数据终端从卡片读取应用数据。其中包括为支持脱机数据认证方法所要求的数据。应用文件定位器CAF1.,)和静态数据认证标签列表指明了脱机数据认证中用于签名加密并进行晗希值验证的静态数据。7.5.8后续相关处理终端行为分析在后续的终端行为分析中用到TVR里的脱机数据认证未执行、SDA失败、DDA失败位来决定交易被脱机拒绝还是联机处理。当要求执行CDA时,终端在GE阳RA四AC命令里设置要求执行CDA指示符。联机处理如果要求执行CDA且卡片在第一个GE阳队lEAC命令中返回ARQC或TC,则终端执
17、行剩下的CDA操作。如果动态续名验证成功,终端继续处理。如果动态签名验证失败且卡片返回的是TC,则终端拒绝交易,并设授权响应码为ZI。交易结束如果执行了CDA并且失败,终端作如下处理:一如果在第一个GE阳队lEAC命令中返回TC,终端脱机拒绝交易。一如果在第一个GENERA:AC命令中返回ARQC,终端发第二个GE阳RA:四AC命令请求AAC(表明脱机拒绝交易)。7. 6处理限制7.6.1 卡片数据卡片上与处理限制相关的数据如下表所示:表15:处理限制一卡片数据数据兀描述应用版本号该数据兀(标签9F08)表示卡片中的应用版本。用于终端进行应用版本号的检查。应用用途控制CAUC)AUC是可选数据
18、兀。表明发卡行设置的有关卡片应用地域以及所允许的交易类型方面的限制。由终端用于应用用途控制检查。发卡行国家代码发卡行国家代码表示发行卡片的国家。由终端用于应用用途控制检查。参见ISO3166,中国的国家代码为0156。应用生效日期应用生效日期是应用被激活使用的日期。应用失效日期应用失效日期过后,应用即被禁止。7.6.2终端数据终端上与处理限制相关的数据说明。表16:处理限制一终端数据数据兀描述应用版本号该数据兀(标签9F09)指明终端上的应用版本。终端国家代码指明终端所处的国家。用于应用用途控制中对终端进行检查。参见ISO3166,中国的国家代码为0156。终端验证结果CrVR)包含根据处理限
19、制结果被设为1的位。交易日期指交易处理所发生的当地(终端中)日期。用于终端进行有效日期和失效日期检查。交易类型该数据指明金融交易的类型。用IS08583一1987中处理代码的前两位表本,用于终端上应用用途控制检查。30 JR厅0025.6-20057.6.3应用版本号检查终端检查终端上的借记/贷记应用版本号与卡片上的应用版本号是否一致。应用版本号由支付系统制定区分遵循不同版本规范的应用。应用版本号为两字节二进制变量。如果终端与卡片上的应用版本号不一样,则终端设置TVR中的IC卡和终端应用版本不一致位为1。7.6.4应用用途控制检查AUC为两字节的二进制变量,定义了卡片上应用的交易能够进行的条件
20、。可以限定卡片在哪些区域(国内、国外)、哪些类型终端(ATM、非ATM)、进行哪些类型(取现、返现、商品、服务)的交易。如果卡片中的AUC和发卡行国家代码存在,则终端必须进行AUC检查,决定交易是否允许进行。1.终端比较发卡行国家代码和终端国家代码。a.如果两者相等,则认为交易是国内交易。终端进而根据当前的交易类型判断AUC中是否允许该类型的国内交易进行,即AUC中相应位是否置为1。例如如果当前交易类型为6商品,则终端检查AUC中的国内商品交易有效位是否设为1。b.如果两者不等,则认为交易是国际交易。终端进而根据当前的交易类型判断AUC中是否允许该类型的国际交易进行,即AUC中相应位是否置为1
21、。例如如果当前交易类型为商品,则终端检查AUC中的国际商品交易有效位是否设为1。2.如果终端为ATM,则ATM有效位应设为1。3.如果终端不是ATM,则在非ATM终端上有效位应设为1。如果上面的检查有一个失败,终端将TVR中的卡片不允许所请求的服务位设为1。表17:应用用途控制字节b8 b7 b6 b5 B4 b3 b2 b1 意义1 X X X X X X X 国内现金交易有效X X X X X X X 国际现金交易有效字X X 1 X X X X X 国内商品有效节X X X 1 X X X X 国际商品有效1 X X X X 1 X X X 国内服务有效X X X X X X X 国际服
22、务有效X X X X X X X ATM有效X X X X X X X l 在非ATM终端上有效l X X X X X X X 允许国内返现字X X X X X X X 允许国际返现节X X 。X X X X X RFU 2 X X X 。X X X X RFU X X X X 。X X X RFU X X X X X 。X X RFU X X X X X X 。X RFU X X X X X X X 。RFU 7.6.5应用生效期检查如果卡片上应用生效期存在,则终端应进行应用生效期检查,通过比较应用生效期与当前日期,判断卡片上的应用是否已开始生效。如果卡片上的应用生效日期晚于终端当前日期,则
23、终端将TVR中的应用尚未生效位设为1。7.6.6应用失效期检查应用失效期是卡片上必须存在的数据,因此终端必须进行应用失效期检查,比较应用失效期与当前日期,判断卡片上的应用是否己过期。如果卡片上的应用失效日期早于终端当前日期,则终端将TVR中的应用已经过期位设为1。31 JR厅0025.6-2005终端是是否是+图10:处理限制流程图7.6.7前期相关处理读取应用数据终端使用阻AD阻CORD命令获得应用版本号以及应用失效日期。如果存在应用用途控制、发卡行国家代码和应用生效日期,则它们也从卡片中被读出。7.6.8后续相关处理终端行为分析终端行为分析中,终端检查发卡行行为代码和终端行为代码以决定如果
24、应用版本不一致、卡未生效、卡己失效、或卡不支持所请求的服务时,必须采取怎样的处理。7. 7持卡人验证持卡人验证用来确保持卡人是卡片合法的所有人,卡片不是遗失的或被盗用的。终端通过处理卡32 JR厅0025.6-2005片提供的持卡人验证方法(CVM)列表,根据卡片和终端对持卡人验证方法的支持能力,执行相应的持卡人验证方法。本规范目前支持的持卡人验证方法有:脱机明文PIN验证联机PIN验证签名.CVM失败无需CVM签名与脱机明文PIN验证组合持卡人证件出示持卡人验证方法列表中的选择准则可包括交易类型(取现或消费)、交易金额、以及终端性能。如果某一CVM失败,持卡人验证方法列表会指示终端下一步的行
25、为。7.7.1 终端要求终端为支持持卡人验证必须满足下面的需求:密码键盘如果终端支持联机或脱机PIN验证,则终端应带有内置或外置的密码键盘,以便在交易需要时输入用户密码(PIN).并确保密码键盘到加密或验证设备之间密码传输和存储的安全。具体要求请参考中国金融集成电路(lC)卡规范借记/贷记安全规范。.CVM列表处理如果卡片支持持卡人验证方法的处理.POS终端应使用CVM列表决定交易所采用的持卡人验证方法。对于ATM.不管在CVM列表里是否支持.ATM应总是能支持联机PIN输入。如果卡片不支持CVM处理,终端应按磁条卡借记/贷记应用中的持卡人验证方法进行处理。终端显示消息当PIN输入次数只剩下一
26、次时,终端应显示最后一次PIN输入消息,提示持卡人只剩最后一次PIN输入机会,以便持卡人选择退出交易或确认密码正确后再输,避免因误输密码导致锁卡或吞卡。7.7.2卡片数据卡片上与持卡人验证相关的数据见下表:表18:持卡人验证一卡片数据数据兀描述应用货币代码用于决定带有金额的CVM条件是否满足。应用交互特征(AIP)包含一个指示位表明卡片是否支持持卡人验证。持卡人验证方法(CVM)定义了一组有先后处理顺序的持卡人验证方法列表。持卡人验证方法列表包含以下部分:列表金额X一可能在持卡人验证方法使用条件中用到的金额金额Y一可能在持卡人验证方法用法条件中用到的第二个金额持卡人验证方法条目一持卡人验证方法
27、列表可能包括不止一个条目,每个条目包含以下子域:子域说明33 JR厅0025.6-2005持卡人验证方法代码指定如果CVM失败,要采取的行动。可以选择处理下一个持卡人验证方法或持卡人验证处理失败。持卡人验证方法类型持卡人验证方法要执行的类型,有:脱机明文PIN验证联机PIN验证.签名 CVM失败无需CVM.签名与脱机明文PIN验证组合持卡人证件出示持卡人验证方法条件执行持卡人验证方法的条件,有2总是执行如果交易类型是现金或返现如果终端支持该CVM如果交易金额小于X如果交易金额大于X如果交易金额小于Y如果交易金额大于Y注:最后四个条件要求交易货币与卡片中的应用货币相同。7.7.3终端数据终端上与
28、持卡人验证相关的数据说明。表19:持卡人验证一终端数据数据兀描述授权金额以交易币种为单位的交易金额。持卡人验证方法CCVM)结果指出最后一个CVM执行的结果。加密的PIN数据在联机PIN验证时由密码键盘加密的交易PIN;或在脱机PIN验证且密码键盘和读卡器不在同一个防篡改设备中时加密传送的PIN。密码键盘密钥用于在脱机明文PIN处理过程中通过密码键盘加密键入的PIN,和用于通过终端解密加密的PIN。如果终端和密码键盘不在同一个防篡改设备中,该密钥是必须的。终端性能包含终端对持卡人验证方法支持的指示位。终端验证结果CrVR)在下面条件下设置在rVR中的指示位z. 持卡人验证不成功. 无法识别的C
29、VM. PIN尝试限制超过(在当前和以前的交易. PIN要求输入,但密码键盘没有提供或损坏. PIN要求输入,且提供了密码键盘,但是没有输入PIN. 联机PIN输入交易货币代码交易使用的货币。交易PIN由持卡人键入用于PIN验证的数字密码。交易状态信息crSI)包含一个指不位,当持卡人验证执行后该指不位被置为1。7.7.4命令以下命令用于脱机PIN处理zGETDATA 在脱机PIN验证时终端用这条命令从卡片获取PIN重试计数器以便决定在先前的交易中PIN重试上限是否超过或即将超过。在GETDATA命令的P1、P2参数包含PIN重试计数器的标签(9F17)。如果卡片返回9000, 则在响应数据域
30、里包含TLV格式的PIN重试计数器值(1字节长)。例如9F17 01 03,表明还有三次PIN重试机会。如果PIN重试计数器不可读,例如在一个私有数据文件内,卡片就返回非34 JR厅0025.6-20059000的状态码。这种情况下,终端跳过PIN重试计数器检查,继续脱机PIN验证处理。VERIFY 该命令用于脱机明文PIN校验。卡片比较交易输入PIN与卡片内部存储的参考PIN是否一致。支持持卡人验证的终端应当支持该命令。命令中的P2参数应设为80,表明是脱机明文PIN校验。有效的卡片返回状态有: 9000,交易输入PIN与参考PIN一致。 63Cx,交易输入凹N与参考凹N不致。其中、表示还剩
31、下的PIN输入允许次数。63CO表明在VE阳FY命令的处理中超过了PIN重试上限。 6983或6984,前-次交易或前一次VERIFY命令中超过了PIN重试上限。7.7.5处理7.7.5.1 CVM列表处理CVM列表处理的目的是终端基于发卡行制定的持卡人验证规则(CVM列表)、终端性能和交易特点来决定交易中使用的CVM。如果AIP指示卡片不支持CVM处理,终端应按磁条卡交易的方法执行持卡人验证。如果AIP指示卡片支持CVM处理,但卡片中没有CVM列表数据元,终端设置TVR中的IC卡数据缺少位为1,不设置TSI中的持卡人验证己执行位,并中止持卡人验证过程。如果卡片应用数据文件中包含CVM列表并且
32、AIP显示卡片支持CVM处理,则终端将执行CVM列表处理。终端按显示在CVM列表中的顺序来处理每个CVM列表入口。1. 选择CVM从CVM列表中的第一个CVM开始,逐个判断CVM执行条件是否成立。如果下面这些条件都成立,则执行该CVM:-CVM条件代码是终端可理解的。一条件要求的卡片数据存在。例如CVM条件中包含金额检查时应用货币代码存在。一CVM条件代码规定的条件满足。例如如果CVM条件代码为终端支持该CVM,则终端性能中应指示支持CVM处理。如果条件包括金额判断则交易货币代码应与应用货币代码相同。如果上面有一个条件不满足,终端根据持卡人验证方法代码决定是否继续下一个CVM处理。2. 处理C
33、VM如果CVM执行的条件满足,终端就处理该CVM。每种CVM的详细处理过程见后面几节的描述。如果终端无法识别该CVM,则在TVR中将无法识别的CVM位设为1,并根据CVM代码描述的动作进行下一步处理。3. CVM成功如果CVM执行成功,则持卡人验证完成并成功。4. CVM失败如果CVM失败,则终端将检查CVM代码来确认终端是认为持卡人验证失败或继续下一个CVM处理。一如果CVM代码指示CVM失败,终端设置TVR中的6持卡人验证失败位为,1 ,完成持卡人验证处理。一如果CVM代码指示6应用下一个CVM,终端处理下一个CVM。35 JR厅0025.6-20055. CVM列表处理完毕如果终端处理到
34、达CVM列表的结尾,则持卡人验证已经失败并且终端设置TVR中持卡人验证失败位为1。6. 持卡人验证完成下面的条件有一个满足,则认为持卡人验证完成:一有一个CVM处理成功。一某一CVM处理失败且CVM代码指示CVM失败。-CVM列表处理完毕如果CVM是无需CVM,则终端按PBOC规范规定的对该终端类型的默认持卡人验证处理方法进行。例如如果默认方法是签名,则终端打印带有签名行的凭据。当CVM列表处理完成时,终端将在交易状态信息CTSI)中设置持卡人验证已经执行位为1。CVM列表处理流程图如下图所示:否是司主否是仨否否幸是图11:CVM列表处理流程固7.7.5.2脱机明文PIN验证当CVM是脱机明文
35、PIN时,交易PIN用脱机明文PIN直接发送给卡片。当IC卡读卡器和密码键36 JR厅0025.6-2005盘分离时,为了PIN安全,终端应该在密码键盘上加密PIN,并且在将PIN发送IC卡读卡器时将PIN解密,然后通过VERIFY(验证)命令送给卡片进行核对比较。如果终端不支持脱机PIN验证或密码键盘无法正常工作,终端应当2设置TVR中的要求输入PIN,密码键盘没有提供或工作不正常位为1。该CVM失败,按CVM代码定义的行为继续处理。带密码键盘的有服务员终端可以允许在几次不成功的P剧输入验证之前或之后跳过PIN输入,以免一个合法的持卡人在忘记密码的情况下不得不重复输入错误的PIN密码而导致卡
36、片PIN锁住。如果商户或持卡人指示跳过PIN输入,终端应当:设置TVR中的要求输入PIN,有密码键盘,但因N未输入位为1。该CVM失败,按CVM代码定义的行为继续处理。不设置TVR中的PIN重试上限超过位。当终端决定要求输入脱机P剧,终端应当提示PIN输入,或检查卡片上的PIN重试计数器。1. 检查PIN重试计数器终端向卡片发送GETDATA命令读取PIN重试计数器。卡片返回PIN重试计数器的值或错误响应码。a. 返回错误响应码如果返回码不是90,表明PIN重试计数器是卡片私有数据,终端无法读取。终端应跳过PIN重试计数器检查,提示PIN输入。b. PIN重试计数器为0如果PIN重试计数器为0
37、,表明没有剩余的PIN输入次数,终端应当:不允许脱机PIN输入。设置TVR中的PIN重试上限超过位为1。不显示任何有关PIN的消息。按CVM代码中定义的行为继续处理。c. PIN重试计数器不为0如果PIN重试计数器不为0,表明允许PIN输入,终端提示持卡人输入凹N。如果该值为l, 终端还应显示最后一次机会。37 JR厅0025.6-2005终端是否是固12:PIN重试计数器检查2. 加密PIN如果读卡器和密码键盘集成在一个安全的防篡改设备中,且脱机明文P则是被直接从密码键盘传到读卡器。则当CVM是脱机明文PIN验证方法时,不要求对交易PIN加密,明文PIN可直接从密码键盘传送给读卡器。如果读卡
38、器和密码键盘是分离的两个设备(例如通过RS232串行通讯线连接),或者明文PIN不是直接从密码键盘传到读卡器,则密码键盘必须按IS09564-1(或相当的被支付系统批准的其它方式)中要求用保密密钥对交易PIN加密,然后传给读卡器,在读卡器端再用同样的密钥解密,再以明文形式将PIN传给卡片。3. 用VE阳FY命令校验PIN输入了脱机PIN后,终端通过VERIFY命令将交易P剧送给卡片验证。命令中的P2应设为80, 表明是脱机明文PIN验证。a. PIN验证(卡片执行如果卡片的?剧重试计数器为0,卡片不进行PIN核对,在VE阳FY命令响应中返回SW1SW2为6983或6984。如果交易PIN和卡片
39、中的参考PIN不一致,卡片将PIN重试计数器减1,并返回SWlSW2 为63Cx,其中x为剩余的PIN重试次数。如果两个PIN一致,卡片复位PIN重试计数器为PIN重试上限,并返回SWlSW2为90。38 眼厅25.6-2005b. PIN匹配如果交易PIN与参考PIN一致(SWlSW2为90),终端可以显示密码正确。c. 上次交易回N重试上限超过如果上次交易中PIN重试上限超过(SWlSW2为6983或6984),终端应:设置TVR中的PIN重试上限超过位为1。按CVM代码定义的行为继续处理。d. PIN不匹配如果PIN不匹配(SWlSW2为63Cx竹,终端应根据x的值分别处理:如果PIN重
40、试次数为0,终端应:一显示密码不对消息一设置TVR中的PIN重试上限超过位为1。一不再发送VE阳FY命令给卡片。如果回N重试次数为不为0,终端应:一显示密码不对消息后再显示输入密码消息提示输入凹N。一如Pll剧叮重试剩余次数为1,终端应在上面的两个消息中间显示最后一次机会一输入Pll剧唔后,应向卡片再次发VERIFY命令,重复脱机PIN处理。终端可以允许持卡人或服务员通过按键退出PIN输入,并在终端上显示未输入PIN消息,且脱机明文PIN验证失败。如果在PIN重试计数器减为0之前PIN验证成功,终端应显示密码正确消息。脱机PIN验证处理流程图见下图所示。39 JR厅0025.6-25卡片终端否
41、上次PIN输入次数超限是是应响法F斗的1ld+一一命一一问一易一阳一交mm一束一一结一是是本次交易PIN输入次数超限是否尚余PIN尝试机会是也图13:脱机PIN验证处理流程图7.7.5.3联机PIN验证联机Pll叫验证按如下过程处理:如果终端不支持联机PIN验证或密码键盘无法正常工作,终端应当:一设置TVR中的要求输入阳,密码键盘不存在或无法正常工作位为1。一按CVM代码定义的行为继续处理。如果商户或持卡人指示终端跳过PIN输入,终端应当z一设置TVR中的要求输入P剧,密码键盘存在,但未输入PIN位为1。一按CVM代码定义的行为继续处理。4。JR/f 0025.6-2005 即使卡片的PIN重
42、试上限超过,终端也应允许输入PIN进行联机PIN验证。如果联机PIN成功输入,终端应设置TVR中的输入了联机PIN位为1。并认为该CVM执行成功。联机PIN固14:联机PIN验证处理7.7.5.4签名当CVM是签名并且终端支持签名操作时,CVM被认为已经执行成功并且持卡人验证完成。在交易结束时,终端将打印带有签名行的凭单,用于给持卡人签名。如果终端不支持签名处理,应按照CVM代码定义的行为继续CVM处理。签名处理是图15:签名处理7.7.5.5签名与脱机PIN结合验证否终端执行CVM列表条目中设定的CVM如果持卡人校验方式(CVM)由签名和脱机PIN两种方式相结合,则只有这两种方式都成功时该C
43、VM才被认为成功。7.7.5.6CVM失败当持卡人校验方式(CVM)是持卡人校验方式(CVM)失败处理时,持卡人校验方式(CVM)可以被确认为己经失败。7.7.5.7无需CVM如果持卡人校验处理(CVM)是不需要CVM,则认为CVM已经执行成功,且CVM完成。7.7.5.8持卡人证件出示终端可通过要求由服务员核对身份证件的方式进行持卡人身份验证。终端在读应用数据时从卡片中读取持卡人证件类型及号码,然后将证件类型及号码显示在屏幕上,并提示服务员要求持卡人出示相应证件,并比较证件号码与终端显示的号码是否一致,以及证件与持卡人本人是否一致。如果都符合,则持卡人证件验证成功。7. 7. 6前期相关处理
44、应用初始化从卡中获取应用交互特征(AIP),表明卡片是否支持持卡人验证。读取应用数据终端从卡中读取持卡人验证方法(CVM)列表以及其它持卡人验证处理中使用的数据。7. 7. 7 后续相关处理终端行为分析终端使用持卡人验证结果,以及发卡行行为代码和终端行为代码来决定交易是被脱机拒绝、联机发送授权请求、还是脱机批准。41 JR厅0025.6-2005卡行为分析当密码尝试次数超限时,卡片使用持卡人验证结果与应用缺省行为中的参数来决定是拒绝交易,还是进行请求联机授权。联机处理授权请求报文中含有包括脱机PIN校验结果在内的持卡人验证结果,发卡行的授权决定里应该考虑这些结果。联机授权报文里不包括脱机PIN
45、。如果所执行的CVM是联机PIN,则授权请求报文中会包含加密的联机PIN。发卡行脚本命令处理PIN CHANGEJl肘BLOCK命令可以用于重新设置密码重试次数计数器,使其与密码重试次数上限相等,并改变参考PIN。APPLICATION UNBLOCK命令可用来解锁在持卡人验证处理中锁定的应用。交易结束联机获取授权的尝试失败后,卡片使用持卡人验证结果和应用缺省行为中的参数来决定是否拒绝交易。7.8终端风险管理7.8.1 卡片数据卡片上与终端风险管理相关的数据说明。表20:终端风险管理一卡片数据数据兀描述应用主帐号(PAN)终端异常文件检查时使用的有效的持卡人帐号。应用交易序号(ATC)自应用被
46、放到卡片后卡片对该应用交易的计数,在终端频度检查中用到。上次联机交易序号寄存器上次联机交易的交易序号值。如果卡要求终端进行终端频度检查或新卡检查,则该数据兀必须提供。连续脱机交易下限如果终端可以联机,该数据兀(标签9F14)是发卡行定义的在(有联机能力的终端上)进行交易必须联机之前所允许的最大连续脱机交易笔数。它用于终端频度检查。连续脱机交易上限该数据兀(标签9F23)是发卡行定义的在交易必须被拒绝脱机之前所允许的最大连续脱机交易笔数。它用于终端频度检查。7.8.2终端数据终端上与终端风险管理相关的数据如下表所示:表21:终端风险管理一终端数据数据兀描述授权金额数值型数据兀(标签9F02) ,
47、用来存储当前交易的金额(不包括调整);在最低限额检查中用到。用于偏置随机选择的最大目标在终端风险管理的随机交易选择联机处理过程中使用到。百分比随机选择的目标百分比在终端风险管理的随机交易选择联机处理过程中使用到。终端最低限额该数据兀(标签9F2B)描述了终端中对应于应用AID的最低限额。这个值在最低限额检查和随机交易选择过程中都将使用到。终端验证结果(TVR)包含用来记录所有终端风险管理的处理结果的一组指示位。偏置随机选择的阀值在终端风险管理的随机交易选择联机处理过程中使用到。交易日志终端上保存已被批准的交易的日志文件,用来防止使用分次消费的方法企图躲过最低限额检查。这个日志至少包含了应用的主帐号和交易金额,并可选包含应用主帐号顺序号和交易日期。而交易数量的储存和日志的维护由具体应用定义。如果该日志存在,则终|端最低限额检查将使用到这个日志。交易状态信息(TS1)概述了交易过程中终端执行的功能。在联机授权和清算报文中,这个数据兀不被提供,但是终端用这个数据元说明终端风险管理己被执行。7.8.3命令终端用GETDATA (取数据)命令从卡片中获取上次联机应用交易序号寄存器(标签9F13)和42 JR!f 0025.6-25 应用交易序号(ATC)(标签9F36)。命令的Pl和P2参数设置为所要读取的数据的标签。如果成功得到所要读取的数据,卡片返回90。响应数据中包含TLV格式的所要
