IC卡交易流程概述
借记/贷记应用的交易流程图如图2-1所示。
1.应用选择。
应用选择确定了终端和卡片所支持的应用,并对两者所支持的应用进行匹配,产生如下结果:
•没有应用匹配:交易终止。
•有一个应用匹配:该应用即被选择。
•多个应用匹配:有持卡人根据提示选择或按优先级来选择。
所使用的命令:SELECT、READRECORD。
每一个卡组织的应用都有一个应用标识符(AID),它由RID(RegisteredApplicationProviderIdentifier)和PIX(ProprietaryApplicationIdentifierextension)
组成。
AID的举例:
银联AO00000333
VisaA000000003
MasterCardA000000004
2.应用初始化。
在应用初始化处理中,终端向卡片发送GPO(GETPROCESSINGOPTIONS)命令,表示交易处理开始。发此命令时,终端向卡提供处理选项数据对象列表(PD0L)请求的数据元。PD0L是卡片在应用选择时提供给终端的标签和数据元长度的列表,处理选项数据对象列表(PD0L)是可选数据元。
卡片在GP0命令的响应中提供了应用文件定位器(ApplicationFile
Locator-AFL)和应用交互特征(ApplicationInterchangeProfile-AIP)。AFL是终端需要从卡片读取的文件和记录的列表。AIP是处理交易时卡片所执行功能的列表,比如卡片支持SDA还是DDA,是否支持发卡行认证等功能。
3.读应用数据。
终端使用读记录命令(READRECORD)读出交易处理中使用的卡片数据,卡片在应用初始化的响应中提供的AFL标记了这些数据所在的文件与记录号,IC卡复制终端应该存储读出的所有可以识别的数据对象,不论是必备还是可选数据,以备将来交易使用。这些数据还包括了在脱机数据认证中所使用到的卡片数据。
4.脱机数据认证。
脱机数据认证是终端对卡片进行真伪识别的重要步骤。PBOC定了两种认证方式:静态数据认证和动态数据认证。
静态数据认证(SDA)验证卡片在个人化以后重要的应用数据是否被非法修改。终端使用卡片上的发卡行公钥验证卡片静态数据,同时卡片上还包括发卡行公钥证书以及数字签名,数字签名中包括一个用发卡行私钥加密重要应用数据得到的哈希值。如果用实际数据产生的哈希值与从卡片中恢复出的哈希值相匹配,则证实了卡片数据并未被修改。
动态数据认证(DDA)主要是用于防止伪造卡片。动态数据认证有标准动态数据认证(DDA)和复合动态数据认证(DDA/AC-CDA)两种。终端要求卡片提供由IC卡复制私钥加密动态交易数据生成的密文,动态交易数据是由终端和卡片为当前交易产生的唯一数据。终端用从卡片数据中获取的IC卡公钥来解密动态签名。还原的数据与原始数据匹配来验证卡片的真伪。复合动态数据认证/应用密文生成把动态签名生成与卡片的应用密文生成相结合,确保卡片行为分析时返回的应用密文来自于有效卡。
SDA只能确保卡片中的重要数据没有被非法篡改,但不能防止伪卡,而DDA能有效防止伪卡,因此在推广IC卡时发卡行应选择安全级别高的DDA卡片。特别是小额支付交易采用脱机交易的方式,就必须采用DDA的方式发行卡片。
5.处理限制。
终端通过处理限制来检查应用交易是否允许继续。检查内容包括应用生效期、应用失效期、应用版本号以及其他发卡行定义的限制控制条件。发卡行可以使用应用用途控制来限定卡用于-内还是国际,或能否用于现金、购物或服务。
6.持卡人认证。
终端必须具备持卡人身份验证功能。持卡人身份验证用来确认持卡人的合法性,以防止丢失或被盗卡片的使用。终端通过检查卡片的持卡人验证方法列表(CVMList)确定使用何种验证方法。有以下几种方法:
——脱机明文PIN验证;
——联机PIN验证;
——签名;
——CVM失败;
——无须CVM;
——签名与脱机明文PIN验证组合;
——身份证件验证。
7.终端风险管理。
终端必须具备风险管理功能,但其中的检查项是可以选择的。终端通过终端和卡片提供的数据可以进行最低限额(FloorLimit)检查、交易频度检查、新卡检查、终端异常文件检查、商户强制交易联机、随机选择联机交易等方式完成风险管理。
8.终端行为分析。
终端必须具备终端行为分析功能。终端行为分析根据脱机数据认证、处理限制、持卡人验证、终端风险管理的结果以及终端和卡片中设置的风险管理参数决定如何继续交易(脱机批准、脱机拒绝和联机授权)。再由卡返回给终端的发卡行行为代码(IAC)域设立卡片规则,在终端行为代码(TAC)设立终端规则。决定交易处理之后,终端向卡片请求应用密文。不同的应用密文对应不同的交易处理:以交易证书(TC)为批准,授权请求密文(ARQC)为联机请求,应用认证密文(AAC)为拒绝。
9.卡片行为分析。
IC卡可以执行发卡行定义的风险管理算法以防止发卡行被欺诈。当卡片收到终端的应用密文请求时,卡片就执行卡风险管理检查,来&定是否要改变终端设定的交易处理,检查可能包括先前未完成的联机交易、上一笔交易发卡行认证失败或脱机数据认证失败、达到了交易笔数或金额的限制等。IC卡可以决定以下方式继续交易:
——同意脱机完成;
——联机授权;
——拒绝交易。
完成检查后,卡片使用应用数据及一个存储在卡上的应用密文子密钥生成应用密文。它再将这个密文返回到终端。对于脱机批准的交易,TC以及生成TC的数据通过清算消息传送给发卡行,以备未来发生持卡人争议或退单时使用。当持卡人对交易有争议时,TC可以作为交易的证据还可验证商户或收单行(是否)未改动交易数据
10.联机处理。
如果卡片或终端决定交易需要进行联机授权,同时终端具备联机能;<端将卡片产生的ARQC报文送至发卡行进行联机授权。此报文包括ARQC用来生成ARQC的数据以及表示脱机处理结果的指示器q在联:机处理中,行在联机卡片认证方法(CAM)过程中验证ARQC来认证卡片。发卡行可以在它的授权决定中考虑这些CAM结果和脱机处理结果。
传送回终端的授权响应信息可以包括发卡行生成的授权响应密文“(由ARQC、授权响应码和卡片应用密文过程密钥产生)。此响应也可以|包括发卡行脚本,对卡片进行发卡后更新。
如果授权响应包含ARPC而且卡片支持发卡行认证,卡片通过确认AF执行发卡行认证,来校验响应是否是来自真实的发卡行(或其代理)。要在卡片里重新设置某些相关的安全参数必须成功地得到发卡行认证。这阻止了犯罪者通过模拟联机处理来剽窃卡片的安全特性,以及通过欺诈性地批准交易来重设卡片的计数器和指示器。如果发卡行认证失败,随后的卡片交易将发送联机售权,直到发卡行认证成功。如果发卡行认证失败,发卡行有权设置卡片拒绝交易。
11.发卡行脚本处理。
如果发卡行在授权响应报文中包含了脚本,虽然终端可能对脚本不嵆但终端仍需要将这些脚本命令发送给1C卡。在使用这些更新之前,卡片目全检查以确保脚本来自有效的发卡行,且在传输中未有变动。这些命令)交易并不产生影响,主要会影响卡片的后续功能,如卡片应用解锁、卡片修改PIN等。
12.交易结束。
除非交易在前几个步骤因处理异常被终止,否则终端必;须执行此功来结束交易。
卡和终端执行最后处理来完成交易。一个经发卡行认可的交易可能;片中的发卡行认证结果和发卡行写入的参数而被拒绝。卡片使用交易处卡行校验结果以及发卡行写入的规则来决定是否重设基于芯片卡计数器器。卡片生成TC来认可交易,生成AAC来拒绝交易。
如果终端在授权消息之后传送清算信息,则TC应包括在该清算信息于发卡行批准而卡片拒绝的交易,终端必须发起冲正。
