《中国金融集成电路IC卡规范》介绍.ppt

1、 中国金融集成电路（中国金融集成电路（ICIC）卡规范）卡规范2.02.0版介绍版介绍5/24/20241规范介绍的主要内容规范介绍的主要内容规范的结构与组成规范各部分的内容介绍借记贷记规范的主要内容电子钱包/电子存折的主要内容5/24/20242规范的结构与组成规范的结构与组成中国金融集成电路（IC）卡规范可分为以下几部分：5/24/20243第第1部分：电子钱包部分：电子钱包/电子存折卡片规范电子存折卡片规范第第2部分：电子钱包部分：电子钱包/电子存折应用规范电子存折应用规范第第3部分：与借记部分：与借记/贷记应用无关的贷记应用无关的IC卡与终端接口需卡与终端接口需求求第第4部分：借记部分

2、：借记/贷记应用规范贷记应用规范第第5部分：借记部分：借记/贷记卡片规范贷记卡片规范第第6部分：借记部分：借记/贷记终端规范贷记终端规范第第7部分：借记部分：借记/贷记安全规范贷记安全规范第第8部分：与应用无关的非接触式规范部分：与应用无关的非接触式规范第第9部分：电子钱包扩展应用指南部分：电子钱包扩展应用指南第第10部分：借记部分：借记/贷记应用个人化指南贷记应用个人化指南电子钱包电子钱包/电子存折应用电子存折应用借记借记/贷记应用贷记应用（EMV应用）应用）非接触式应用非接触式应用配套指南配套指南5/24/20244规范的升级演变规范的升级演变5/24/20245规范的结构与组成规范的结构

3、与组成5/24/20246规范各部分的内容介绍规范各部分的内容介绍非接触式接口应用v根据ISO14443标准制定而成v包含规范的第八部分v定义了与应用无关的非接触式接口v可以与电子钱包应用组合，形成非接触式电子钱包，应用于公共交通、快餐等快速交易场合v也可以与借记贷记应用组合（该应用Visa和MasterCard已经在做试点）5/24/20249规范各部分的内容介绍规范各部分的内容介绍电子钱包扩展应用指南v根据电子钱包应用，结合相关行业特殊需求制定而成v包含规范的第九部分v定义了基于电子钱包应用的复合应用消费、灰锁消费v对标准电子钱包应用进行扩充，以满足相关行业的特殊支付需求，为银行卡进入相关

4、行业做好技术准备5/24/202410规范各部分的内容介绍规范各部分的内容介绍借记贷记应用个人化指南v根据EMV通用个人化规范制定而成v定义了借记贷记应用个人化的过程以及数据格式和分组v统一EMV个人化过程，降低银行个人化工作复杂程度5/24/202411借记借记/贷记规范的主要内容贷记规范的主要内容借记/贷记规范是本次修订的主要内容根据最新的EMV4.1制定而成，完全兼容EMV是国内的EMV标准，是国内EMV迁移的基础EMV标准在不断的更新，借记/贷记规范也需要不断的升级和维护5/24/202412借记借记/贷记规范的主要内容贷记规范的主要内容借记/贷记规范包括以下几部分内容：v与应用无关的

5、IC卡和终端接口需求v借记/贷记应用规范v借记/贷记卡片规范v借记/贷记终端规范v借记/贷记安全规范5/24/202413借记借记/贷记规范的主要内容贷记规范的主要内容与应用无关的IC卡和终端接口需求主要包括以下内容：v机电接口、物理特性、传输协议v基本文件结构v应用选择5/24/202414借记借记/贷记规范的主要内容贷记规范的主要内容借记/贷记应用规范v应用规范描述了卡片和终端之间处理的技术概述，提出了基于智能卡借记贷记应用的最低要求v应用规范适用于商业银行、供应商、开发商以及寻求对支持借记/贷记应用的芯片卡和终端的功能达到技术性了解的读者5/24/202415借记借记/贷记规范的主要内容

6、贷记规范的主要内容借记/贷记卡片规范v卡片规范从卡片的角度描述了借记/贷记交易流程，包括卡片内部的处理细节、卡片所使用的数据元、卡片所支持的指令集等5/24/202416借记借记/贷记规范的主要内容贷记规范的主要内容借记/贷记终端规范v终端规范从终端的角度描述了借记/贷记交易流程，包括终端的硬件需求、终端内部的处理细节、终端所使用的数据元、终端所支持的指令集等5/24/202417借记借记/贷记规范的主要内容贷记规范的主要内容借记/贷记安全规范v安全规范描述了借记/贷记应用安全功能方面的要求以及为实现这些安全功能所涉及的安全机制和获准使用的加密算法5/24/202418借记借记/贷记规范的主要

7、内容贷记规范的主要内容借记/贷记规范以交易流程为主线，分别描述了EMV交易过程、在交易中所使用的数据元、命令和安全机制交易流程概述，如下图：5/24/202419应用选择应用选择初始化应用初始化应用读取应用数据读取应用数据终端风险管理终端风险管理终端行为分析终端行为分析脱机数据认证脱机数据认证处理限制处理限制持卡人认证持卡人认证卡片行为分析卡片行为分析完成完成联机处理联机处理发卡行认证发卡行认证脚本处理脚本处理复位应答复位应答5/24/202420借记借记/贷记规范的主要内容贷记规范的主要内容应用选择确定了终端和卡片所支持的应用，并对两者所支持的应用进行匹配，产生如下结果：v没有应用匹配：交易

8、终止v有一个应用匹配：该应用即被选择v多个应用匹配：有持卡人根据提示选择或按优先级来选择所使用的命令：SELECT、READ RECORD应用选择Application Selection5/24/202421借记借记/贷记规范的主要内容贷记规范的主要内容应用选择Application Selection每一个应用都有一个应用标识符（AID），它由RID(Registered Application Provider Identifier)和PIX(Proprietary Application Identifier extension)组成。AID的举例：vPBOCD1 56 00 00 0

9、1vCUPA0 00 00 03 33vVisaA0 00 00 00 03vMasterCardA0 00 00 00 045/24/202422借记借记/贷记规范的主要内容贷记规范的主要内容应用初始化Initiate Application Processing及读取应用数据Read Application Datan在初始化应用过程中，终端发送GET PROCESSING OPTIONS 指令给卡片，标志着这次交易开始。n卡片对该指令做出回应，确定应用所支持的功能（AIP）、处理过程中所需要的数据位置（AFL）、脱机数据认证中所需要的数据位置(AFL)n终端根据文件定位器（AFL）使用R

10、EAD RECORD命令读取并保存数据5/24/202423借记借记/贷记规范的主要内容贷记规范的主要内容脱机数据认证Offline Data Authentication脱机数据认证可分为：v静态数据认证Static Data Authentication(SDA)v动态数据认证Dynamic Data Authentication(DDA)5/24/202424借记借记/贷记规范的主要内容贷记规范的主要内容脱机数据认证Offline Data AuthenticationSDA类似于磁条卡中的CVV,使用数字签名技术来保证存放在IC卡上的关键静态数据没有被非法修改，但不能防止卡片被复制，卡

11、片无须具备RSA运算能力，成本较低DDA使用数字签名技术对来自IC卡和终端的动态数据进行验证，可以有效的防止伪卡交易，安全级别高，卡片必须具备RSA运算能力，成本较高终端将认证结果记录在终端验证结果中（Terminal Verification Result-TVR）所使用的命令有：INTERNAL AUTHENTICATION5/24/202425借记借记/贷记规范的主要内容贷记规范的主要内容处理限制Processing Restrictions终端对卡片和终端的数据进行有效性检查：v应用版本号检查v应用用途检查v应用有效期检查v应用失效期检查终端将检查结果记录在终端检查结果(Termina

12、l Verification Results-TVR)中5/24/202426借记借记/贷记规范的主要内容贷记规范的主要内容持卡人验证-Cardholder Verification 发卡行可以设置多种持卡人验证方法Cardholder verification methods(CVMs)CVMs可以有：v联机PINv脱机PINv签名v无CVMs5/24/202427借记借记/贷记规范的主要内容贷记规范的主要内容终端风险管理-Terminal Risk Management v终端风险管理为大额交易提供了发卡行认证，并确保芯片交易能够周期性地进行联机以防止在脱机环境中也许无法觉察的风险 v终端

13、所执行的检查有：终端异常文件检查 Terminal Exception File最低限额检查 Floor Limit Checking随机交易选择 Random Transaction Selection终端频度检查 Terminal Velocity Checking新卡检查New Card Checking5/24/202428借记借记/贷记规范的主要内容贷记规范的主要内容终端行为分析 Terminal Action Analysis终端分别应用发卡行在卡片中的规则发卡行行为代码（IAC）和收单行在终端中的规则终端行为代码（TAC），根据脱机处理的结果，以决定交易是否可以脱机批准、脱机拒绝

14、或者联机索取授权发卡行行为代码（IAC）有三组，每一组都与TVR相对应：IAC拒绝位设置为“1”反映了交易被脱机拒绝的终端验证结果条件。IAC联机位设置为“1”代表需要联机授权条件。IAC缺省位设置为“1”是当联机处理不可行时脱机拒绝所需的条件终端行为代码（TAC）同样也有三组，含义与IAC一样5/24/202429借记借记/贷记规范的主要内容贷记规范的主要内容卡片行为分析 Card Action Analysisv卡片行为分析允许发卡行进行卡片内部的风险管理 vEMV没有具体规定卡片风险管理的具体内容，借记/贷记规范规定做如下检查：上次交易行为卡片是否新卡脱机交易计数和累计金额v结果记录在卡

15、片检查结果中(Card Verification ResultsCVR)v使用命令First Generate AC5/24/202430借记借记/贷记规范的主要内容贷记规范的主要内容卡片根据卡片行为分析的结果返回一个应用密文给终端,密文的类型有：vTransaction Certificate(TC):IC卡生成，用于批准交易vAuthorization Request Cryptogram(ARQC):IC卡生成，用于请求联机交易上送时发卡行对卡片的认证vAuthorization Response Cryptogram(ARPC):发卡行或第三方机构生成，用于联机交易返回时卡片对发卡行的

16、认证vAuthorization Authentication Cryptogram(AAC):IC卡生成，用于拒绝交易5/24/202431借记借记/贷记规范的主要内容贷记规范的主要内容交易结果Terminal RequestsTerminal RequestsCard ReturnsCard Returns5/24/202432借记借记/贷记规范的主要内容贷记规范的主要内容联机处理 Online Processingv联机处理允许发卡行主机根据发卡行设置的主机风险管理参数判断交易是允许或拒绝v与传统的联机欺诈检查和信用检查相比，主机授权系统还需额外通过利用卡片产生的动态密文（ARQC）执行

17、联机卡片授权，同时还需考虑脱机处理的结果（TVR和CVR）v主机授权后返回应答码和ARPC，卡片可以通过ARPC来验证发卡行v使用的命令：External Authenticate(如果支持发卡行验证)5/24/202433借记借记/贷记规范的主要内容贷记规范的主要内容交易结束Completion v如果联机授权没有完成，终端和卡片执行另外的风险管理决定交易是批准还是拒绝v卡片可以根据发卡行认证的结果以及卡片内部的一些设置将一个发卡行作出的联机批准交易改为拒绝v卡片决定批准交易时返回TC，拒绝交易时返回AACv计数器和指示位复位v使用的命令Second Generate AC5/24/2024

18、34借记借记/贷记规范的主要内容贷记规范的主要内容脚本处理 Issuer-to-Card Script Processingv发卡行脚本处理允许发卡行更新卡片上已经个人化的数据而不必重新发卡v可更新的参数有：连续脱机交易上限 连续脱机交易下限 连续脱机交易限制数累计脱机交易金额限制数 5/24/202435PBOC借记借记/贷记应用与贷记应用与EMV的主要区别的主要区别不支持脱机加密PIN在持卡人验证中，仅支持脱机明文PIN验证在PIN PAD与IC卡读写器分离时，规定PIN明文不得在线路上传送，可以通过对称密钥实现5/24/202436PBOC借记借记/贷记应用与贷记应用与EMV的主要区别的

19、主要区别持卡人验证中增加持卡人证件验证特别增加数据元：9F61持卡人证件号和9F62持卡人证件类型终端将持卡人证件号和持卡人证件类型显示在屏幕上，供收银员进行比对5/24/202437PBOC借记借记/贷记应用与贷记应用与EMV的主要区别的主要区别增加交易明细记录日志入口9F4D在选择ADF时,在发卡行专有数据中返回日志格式“9F4F”通过GET DATA获得所有的日志数据通过PDOL和DDOL传入卡片所有批准的交易，卡片自动纪录交易日志5/24/202438PBOC借记借记/贷记应用与贷记应用与EMV的主要区别的主要区别定义卡片内部风险管理包括卡片行为分析和交易结束上次交易行为检查本次交易计

20、数器的检查新卡的检查请求联机操作，但联机授权没有完成时额外的检查5/24/202439PBOC借记借记/贷记应用与贷记应用与EMV的主要区别的主要区别过程密钥的生成过程密钥的生成PBOC过程密钥采用以下方式生成：ZL:=3-DES(Key)00|00|00|00|00|00|ATC ZR:=3-DES(Key)00|00|00|00|00|00|(ATCFFFF)过程密钥Z:=ZL+ZR 不同于EMV规定的生成方式加密算法PBOC比EMV多支持一种对称分组算法：SSF33SSF33为128位组双倍长加密密钥的算法。目的在于在标准上兼容国内私有算法5/24/202440电子钱包电子存折规范的主要

21、内容电子钱包电子存折规范的主要内容电子钱包/电子存折应用的定位是传统磁条卡的补充电子钱包/电子存折应用的定义电子钱包：用于小额消费的金融IC卡应用，可进行圈存、消费等交易。除圈存交易外，其他交易不记录明细、无须PIN。电子存折：用于消费、取现的金融IC卡应用，可进行圈存、圈提、消费和取现等交易。必须使用PIN。EasyEntry：磁条卡功能。5/24/202441电子钱包所支持的功能：脱机功能：消费、余额查询、查询交易明细联机功能：圈存电子存折所支持的功能：脱机功能：消费、取现、查询余额、查询交易明细联机功能：圈存、圈提、修改透支限额电子钱包电子存折规范的主要内容电子钱包电子存折规范的主要内容

22、5/24/202442应用维护功能：卡片锁定、应用锁定、应用解锁PIN 解锁、更改 PIN、重装 PIN电子钱包电子存折规范的主要内容电子钱包电子存折规范的主要内容5/24/202443其他功能：防拔功能：保证卡片上的数据在任何情况下的完整性EasyEntry功能：使得金融IC卡使用范围更加宽广电子钱包电子存折规范的主要内容电子钱包电子存折规范的主要内容5/24/202444圈存交易持卡人将其在银行相应帐户上的资金划转到电子存折或电子钱包中。圈存交易必须在金融终端上联机进行在用户卡与发卡行进行双向安全认证后，发卡行对帐户的金额进行扣除，用户卡对其余额进行增加圈存交易的流程如下：电子钱包电子存折

23、规范的主要内容电子钱包电子存折规范的主要内容5/24/202445发出发出Initialize for load命令命令处理处理Initialize for load命令命令返回错误条件返回错误条件 N Y验证验证MAC1交易处理交易处理发出发出Credit for load命令命令验证验证MAC2返回错误条件返回错误条件 N交易处理交易处理 Y返回确认返回确认结束结束5/24/202446消费交易在脱机环境下，通过终端中的PSAM卡与用户卡的双向安全认证后，扣除用户卡中的金额的过程电子钱包无须输入PIN，电子存折必须提交PIN交易完成后，在卡片内部文件中记录交易明细结算时将交易信息（包含交易

24、凭证TAC）上送给发卡行，进行帐务处理流程图如下：电子钱包电子存折规范的主要内容电子钱包电子存折规范的主要内容5/24/202447发出发出Initialize for purchase命令命令处理处理Initialize for purchase命令命令开始发出发出Debit for purchase命令命令验证验证MAC1返回错误条件返回错误条件 N交易处理交易处理 Y终止终止产生产生MAC1验证验证MAC2返回错误条件返回错误条件 N Y5/24/202448电子钱包应用1.0版与2.0的区别启用新的应用版本号,以区别新旧版本公共应用基本数据 21文件中的持卡人证件号码长度由16个字节变

25、为32个字节，在数据元解释表中将持卡人证件号码的类型由压缩数字变为数字或字符电子钱包电子存折规范的主要内容电子钱包电子存折规范的主要内容5/24/202449电子钱包应用1.0版与2.0的区别在明细记录文件中增加电子钱包消费记录明细，主要考虑到非接触式电子钱包应用删除PIN CHANGE命令对GET CHALLENGE命令进行完善电子钱包电子存折规范的主要内容电子钱包电子存折规范的主要内容5/24/202450其他方面的完善对1.0规范中没有描述清楚的地方进行完善，例如对计算MAC或TAC的余额进行进一步说明：交易前还是交易后对1.0规范中的错误进行修订对1.0规范中EMV96部分进行升级，与最新的EMV4.1保持一致电子钱包电子存折规范的主要内容电子钱包电子存折规范的主要内容5/24/2024515/24/202452