分类: 嵌入式
2012-12-18 11:06:11
功能概述
以下功能在借记/贷记交易处理中得到使用。尽管在必备(M)的功能中有些步骤也许是可选择的,但标记为必备的功能还是应该在所有交易中得到执行。标记为可选(O)的功能是可选择的并根据卡或终端的参数,或根据两者的参数共同决定。
应用选择(必备)
当卡片插入终端时,终端决定哪些应用由卡片和终端共同支持,终端有两种选择应用的方式:
1) 终端检测终端和卡片都支持的应用并将这些应用显示,供用户选择;
2) 终端根据发卡行事先定义的优先级别自动选择卡片上优先级最高的应用。
应用初始化(必备)
在终端选择应用之后,必须请求卡片读取该应用的应用数据。由这些数据得知卡片具备的功能以及需要提供给卡片哪些支持。终端读取卡指示的数据并使用支持的功能列表来决定要执行的处理。
读应用数据(必备)
终端使用读记录命令(READ RECORD)读出交易处理中使用的卡片数据,卡片在应用初始化的响应中提供应用文件定位器(AFL)标记了这些数据所在的文件与记录号,终端应该存储读出的所有可以识别的数据对象,不论是必备还是可选数据,以备将来交易使用。终端无法识别的数据对象(即终端无法识别它们的标签)不必存储,但是包含这种数据对象的记录可能仍然要以整体形式参与脱机数据认证过程,这取决于应用文件定位器(AFL)的编码。
脱机数据认证(可选)
终端根据卡片和终端对这些方法的支持,决定是否使用脱机静态或动态数据认证来脱机认证卡片。如果终端支持脱机数据认证功能,并且检测到卡片支持静态数据认证(SDA)或动态数据认证(DDA),则终端需进行脱机数据认证。
静态数据认证(SDA)验证卡片在个人化以后重要的应用数据是否被非法修改。终端使用卡片上的发卡行公钥验证卡片静态数据,同时卡片上还包括发卡行公钥证书以及数字签名,数字签名中包括一个用发卡行私钥加密重要应用数据得到的哈希值。如果用实际数据产生的哈希值与从卡片中恢复出的哈希值相匹配,则证实了卡片数据并未被修改。
动态数据认证(DDA)主要是用于防止伪造卡片。动态数据认证有标准动态数据认证(DDA)和复合动态数据认证(DDA/AC-CDA)两种。终端要求卡片提供由IC卡私钥加密动态交易数据生成的密文,动态交易数据是由终端和卡片为当前交易产生的唯一数据。终端用从卡片数据中获取的IC卡公钥来解密动态签名。还原的数据与原始数据匹配证实了此卡不是由合法卡复制出的赝品卡。复合动态数据认证/应用密文生成把动态签名生成与卡片的应用密文生成相结合,确保卡片行为分析时返回的应用密文来自于有效卡。
处理限制(必备)
终端通过处理限制来检查应用交易是否允许继续。检查内容包括应用生效期、应用失效期、应用版本号以及其他发卡行定义的限制控制条件,发卡行可以使用应用用途控制来限定卡用于国内还是国际间,或能否用于现金、购物或服务。
持卡人验证(可选)
终端必须具备持卡人身份验证功能。持卡人身份验证用来确认持卡人的合法性,以防止丢失或被盗卡片的使用。终端通过检查卡片的持卡人验证方法列表(CVM lists)确定使用何种验证方法。有以下几种方法:
—— 脱机明文PIN验证;
—— 联机PIN验证;
—— 签名;
—— CVM失败;
—— 无需CVM;
—— 签名与脱机明文PIN验证组合;
—— 身份证件验证。
终端风险管理(必备)
终端必须具备风险管理功能,但其中的检查项是可以选择的。终端通过终端和卡片提供的数据可以进行最低限额(Floor Limit)检查、交易频度检查、新卡检查、终端异常文件检查、商户强制交易联机、随机选择联机交易等方式完成风险管理。
终端行为分析(必备)
终端必须具备终端行为分析功能。终端行为分析根据脱机数据认证、处理限制、持卡人验证、终端风险管理的结果以及终端和卡片中设置的风险管理参数决定如何继续交易(脱机批准、脱机拒绝和联机授权)。再由卡返回给终端的发卡行行为代码(IAC)域设立卡片规则,在终端行为代码(TAC)设立终端规则。决定交易处理之后,终端向卡片请求应用密文。不同的应用密文对应不同的交易处理:以交易证书(TC)为批准,授权请求密文(ARQC)为联机请求,应用认证密文(AAC)为拒绝。
卡片行为分析(必备)
IC卡可以执行发卡行定义的风险管理算法以防止发卡行被欺诈。当卡片收到终端的应用密文请求时,卡片就执行卡风险管理检查,来决定是否要改变终端设定的交易处理,检查可能包括:先前未完成的联机交易、上一笔交易发卡行认证失败或脱机数据认证失败、达到了交易笔数或金额的限制等。IC卡可以决定以下方式继续交易:
—— 同意脱机完成;
—— 联机授权;
—— 拒绝交易。
完成检查后,卡片使用应用数据及一个存储在卡上的应用密文过程密钥生成应用密文。它再将这个密文返回到终端。对于脱机批准的交易,TC以及生成TC的数据通过清算消息传送给发卡行,以备未来发生持卡人争议或退单时使用。当持卡人对交易有争议时,TC可以作为交易的证据还可验证商户或收单行(是否)未改动交易数据。
联机处理(可选)
如果卡片或终端决定交易需要进行联机授权,同时终端具备联机能力,终端将卡片产生的ARQC报文送至发卡行进行联机授权。此报文包括ARQC密文,用来生成ARQC的数据以及表示脱机处理结果的指示器。
在联机处理中,发卡行在联机卡片认证方法(CAM)过程中验证ARQC来认证卡片。发卡行可以在它的授权决定中考虑这些CAM结果和脱机处理结果。 传送回终端的授权响应信息可以包括发卡行生成的授权响应密文(ARPC)(由ARQC、授权响应码和卡片应用密文过程密钥产生)。此响应也可以包括发卡行脚本,对卡片进行发卡后更新。发卡行可能返回的响应数据具体参见4.2.10.4 。
如果授权响应包含ARPC而且卡片支持发卡行认证,卡片通过确认ARPC而执行发卡行认证,来校验响应是否是来自真实的发卡行(或其代理)。要在卡片里重新设置某些相关的安全参数必需成功地得到发卡行认证。这阻止了犯罪者通过模拟联机处理来剽窃卡片的安全特性,以及通过欺诈性地批准交易来重设卡片的计数器和指示器。如果发卡行认证失败,随后的卡片交易将发送联机授权,直到发卡行认证成功。如果发卡行认证失败,发卡行有权设置卡片拒绝交易。
发卡行脚本处理(可选)
如果发卡行在授权响应报文中包含了脚本,不论该授权响应报文应答是否成功,或终端对脚本是否理解,终端都需要将这些脚本命令发送给IC卡。在使用这些更新之前,卡片执行安全检查以确保脚本来自有效的发卡行,且在传输中未有变动。这些命令对当前交易并不产生影响,主要会影响卡片的后续功能,如卡片应用解锁、卡片锁定、修改PIN等。
交易结束(必备)
除非交易在前几个步骤因处理异常被终止,否则终端必须执行此功能用来结束交易。
卡和终端执行最后处理来完成交易。一个经发卡行认可的交易可能根据卡片中的发卡行认证结果和发卡行写入的参数而被拒绝。卡片使用交易处理、发卡行校验结果、以及发卡行写入的规则来决定是否重设基于芯片卡计数器和指示器。卡片生成TC来认可交易,生成AAC来拒绝交易。
如果终端在授权消息之后传送清算信息,则TC应包括在该清算信息里。对于发卡行批准而卡片拒绝的交易,终端必须发起冲正。