PBOC借记/贷记规范与EMV的区别
PBOC规范在卡片和终端之间的接口方面与国际EMV规范保持良好的兼容性,在应用层上电子钱包应用、电子钱包扩展应用、电子现金应用以及非接触式支付应用都是PBOC独有的,EMV并没有定义这些方面的应用。
PBOC借记/贷记应用与piV的借记/贷记应用基本兼容,但又有区别。区别是考虑到我国国情而增设的内容,作为标准的可选项和数据元,它充分体现了PBOC规范既与国际主流标准的兼容,又有中国的国情特色。具体如下:
1. 不支持脱机密文PIN。
PBOC规范不支持EMV中的脱机密文PIN验证,但规定“当1C卡读卡器和密码键盘分离时,为了PIN安全,终端应该在密码键盘上加密PIN,并且在将PIN发送1C卡读卡器时将PIN解密,然后通过VERIFY(验证)命令送给卡片进行核对比较”。
2. 增加持卡人证件验证。
终端在读应用数据时从卡片中读取持卡人证件类型及号码,然后将证件类型及号码显示在屏幕上,并提示服务员要求持卡人出示相应证件,比较证件号码与终端显示的号码是否一致,以及证件与持卡人本人是否一致。如果都符合,则持卡人证件验证成功。
3. 终端风险管理。
增加商户强制联机。PBOC规定在有联机能力的终端上,商户可以指示终端进行强制联机交易。可通过参数设定。
4. 卡片行为分析。
在卡片行为分析方面,EMV没有具体定义,PBOC定义了卡片执行的检查(见表2-37)。
表2-37 PBOC卡片执行的风险检查
5. PBOC定义了CVR、ADA的值。EMV中没有定义。
PBOC定义GENERATEAC命令返回数据发卡行应用数据(IssuerApplicationData9F10):
>长度指针;
>分散密钥索引;
>密文版本信息;
>卡片验证结果(CVR);
>算法标识;
>联机处理。
PBOC定义了发卡行认证数据为10字节:
>ARPC(8字节);
>授权响应码(2字节)。
EMV中没有规定发卡行认证数据的长度,取消外部认证命令。PBOC采用外部认证命令。
6.交易结束。
PBOC定义了在各种情况下的卡片数据复位情况,EMV并没有详细定义,同时PBOC定义了在“请彔联机操作,但是联机授权没有完成”的情况下执行额外的风险管理。
7.脚本处理。
EMV定义了标签为“71”和“72”的脚本模板,而;PBOC规范支持标签为“72”的脚本模板。
8.交易日志。
PBOC规定当卡片决定接受交易返回TC之前,卡片要进行记录交易明细。
日志入口数据元(“9F4D”)规定日志文件的短文件标识和记录数,PBOC建议为:“0B0A”。
记录内容由日志格式(“9F4F”)决定。PBOC建议为:
表2-38 PBOC建议的日志格式
所有数据由终端通过PDOL和CDOL传入卡片。
9.安全部分。
PBOC定义了过程密钥的生成方式不同于EMV的定义。除了定义64位分组加密算法的安全机制外,还特定定义了基于128位组加密算法的安全机制,包括安全报文认证码的计算方法,过程密钥计算方法以及子密钥的分散方法。
并在卡片规范的发卡行应用数据中定义了算法标识来区分不同的算法。目的在于在标准上兼容国内私有算法。
