PBOC30標準解讀PPT課件

1、PBOC3.0標準解讀2013.5,目錄,PBOC3.0概述和導讀 PBOC3.0基本功能解析 PBOC3.0基本功能修訂 PBOC3.0新增功能解析 PBOC3.0系統(tǒng)改造與實施建議,01,PBOC3.0概述和導讀 1）發(fā)展歷程 2）編制背景 3）組成部分 4）與PBOC2.0異同 5）同類規(guī)范比對 6）主要功能,1997,2005,2010,2007,2012,2013,PBOC標準發(fā)展歷程,發(fā)布PBOC1.0 電子錢包、電子存折系列,發(fā)布PBOC2.0 借/貸記系列 電子錢包、電子存折系列,發(fā)布PBOC2.0（2010） 借/貸記（小額支付） 電子錢包、電子存折系列,發(fā)布PBOC3.0

2、更加注重行業(yè)合作、創(chuàng)新應用 借/貸記（小額支付） 電子錢包、電子存折系列,PBOC3.0規(guī)范編制背景,PBOC3.0規(guī)范組成部分,原版 13部分,第14部分:非接小額擴展應用規(guī)范,第15部分:電子現(xiàn)金雙幣應用規(guī)范,第17部分:借貸記安全增強規(guī)范,修訂規(guī)范，在原版基礎上修訂和廢止，完善金融IC卡交易流程，解決金融IC卡應用中出現(xiàn)的問題，適應國際發(fā)展趨勢，并與國際規(guī)范保持同步,新增規(guī)范，更好的滿足金融IC卡在高鐵、公交、地鐵等公共服務領域的應用,新增規(guī)范，解決我國持卡人在港澳地區(qū)使用金融IC卡進行支付的問題,新增規(guī)范，實現(xiàn)卡片和終端密碼算法的國產(chǎn)化，保證金融交易安全，實現(xiàn)自主可控,第16部分: I

3、C卡互聯(lián)網(wǎng)終端規(guī)范,新增規(guī)范，滿足金融IC卡在互聯(lián)網(wǎng)、手機支付等創(chuàng)新支付方式中的應用,8,PBOC3.0規(guī)范新增主要功能,PBOC3.0標準功能分類,PBOC2.0,10,移動支付,JR/T 0025 中國金融集成電路（IC）卡規(guī)范,JR/T 0001-2009 銀行卡銷售點 （POS） 終端規(guī)范,JR/T 0002-2009 銀行卡自動柜員機 （ATM） 終端規(guī)范,JR/T 0052 銀行卡 卡片規(guī)范,JR/T 0055 銀行卡聯(lián)網(wǎng)聯(lián)合 技術規(guī)范,JR/T 0045 中國金融集成電路 （IC）卡檢測規(guī)范,要求,遵循,需求,規(guī)范,兼容,遵循,遵循要求,遵循,要求,近場支付完全一致,遠程支付 實

4、現(xiàn)身份鑒權,GB/T 19584-2010 銀行卡磁條信息格式和使用規(guī)范,要求,遵循,遵循要求,PBOC3.0規(guī)范與銀行卡相關標準的關系,ISO 14443,MPA,PBOC非接支付,PayWave,PayPass,PBOC3.0規(guī)范與國外IC卡規(guī)范的關系,02,PBOC3.0基本功能解析 1）標準借貸記 2）小額支付 3）非接觸快速小額支付,標準借貸記交易流程和交易類型,應用選擇,應用初始化 讀應用記錄,脫機數(shù)據(jù)認證,處理限制,持卡人認證,終端風險管理,目錄選擇和直接AID選擇 持卡人選擇和持卡人確認,卡片初始化應用 讀必要的數(shù)據(jù),脫機數(shù)據(jù)認證包括三種認證方法： SDA DDA CDA,檢查

5、交易是否被允許,終端選擇雙方均支持的持卡人認證方法進行持卡人身份驗證： 簽名 脫機PIN 聯(lián)機PIN,終端通過若干項風險檢查確認交易是否需要聯(lián)機處理,標準借貸記（含小額支付）交易流程串講,終端風險管理,終端行為分析,卡片行為分析,根據(jù)發(fā)卡行在卡片中設置的規(guī)則和一系列的風險檢查，卡片響應應用密文： -ARQC：聯(lián)機 -TC：批準 -AAC:拒絕,如果交易聯(lián)機，則卡片應以TC或AAC作為響應以結束交易； 如發(fā)卡行報文中包含了腳本，則應發(fā)送至卡片執(zhí)行,根據(jù)處理限制、脫機數(shù)據(jù)認證、終端風險管理、持卡人認證的結果和存儲在卡片和終端的規(guī)則，來決定請求交易批準、拒絕或聯(lián)機,聯(lián)機處理,交易完成和腳本處理,如果

6、卡片響應ARQC，則終端發(fā)起聯(lián)機請求發(fā)卡行授權；如發(fā)卡行響應中包含ARPC，終端則發(fā)送ARPC至卡片驗證,標準借貸記（含小額支付）交易流程串講,標準借貸記中的關鍵技術,應用密文,應用密文由卡片生成 指示交易需要聯(lián)機 Authorisation ReQuest Crytogram 指示交易完成 Transaction Certificate：批準交易 Application Authentication Crytogram：拒絕交易 應用密文是對交易關鍵組成要素的簽名，顯示了交易狀態(tài),應用密文,卡片和發(fā)卡行之間的聯(lián)機認證 在聯(lián)機認證中，ARQC發(fā)送給發(fā)卡行 發(fā)卡行驗證ARQC，以確?？ㄆ幢粡椭?/p>

7、或篡改 發(fā)卡行授權響應，響應報文中可選包含ARPC Authorisation ResPonse Cryptogram(ARPC) 卡片驗證ARPC，以確保交易得到發(fā)卡行的批準 應用密文是對交易關鍵組成要素的簽名，以確保交易報文的真實性和完整性 修改交易的關鍵數(shù)據(jù)，將導致簽名驗證失敗,理解應用密文,計算參數(shù) （1）授權金額 （2）其它金額 （3）終端國家代碼 （4）終端驗證結果 （5）交易貨幣代碼 （6）交易日期 （7）交易類型 （8）不可預知數(shù) （9）應用交互特征（AIP）：來自卡片 （10）應用交易計數(shù)器（ATC）：來自卡片 （11）卡片驗證結果（CVR）：來自卡片 TC為什么可作為交易憑

8、證、作為清算的依據(jù)？具有不可抵賴性 （1）TC如何防重放攻擊？ （2）TC如何防篡改？ （3）TC如何防偽造？ （4）根據(jù)明文和TC是否可推算密鑰？,風險管理和授權控制,轉接清算網(wǎng)絡,腳本命令 發(fā)卡行在聯(lián)機響應中可以返回腳本 發(fā)卡行可以通過腳本來鎖卡、修改卡商的參數(shù),風險控制 終端和卡片風險管理過程 決定交易是否必須聯(lián)機 減少發(fā)卡行暴露于聯(lián)機的欺詐,密鑰分散導入,產(chǎn)生ARQC,返回ARPC（可選腳本）,信息交換,信息交換,聯(lián)機請求上送,聯(lián)機響應下發(fā),授權控制中的聯(lián)機認證,持卡人認證,PBOC關于持卡人認證的新的特色 持卡人認證方法列表 Cardholder Verified Method Li

9、st 發(fā)卡行可以在卡片上定義多個持卡人認證方法，并且指出每個方法的使用條件 脫機PIN PBOC仍然支持傳統(tǒng)的持卡人認證方法 聯(lián)機PIN、簽名等,持卡人認證,支持的CVM方法,CVM列表,選中的CVM方法,脫機數(shù)據(jù)認證,PBOC定義的脫機數(shù)據(jù)認證方法 靜態(tài)數(shù)據(jù)認證：Static Data Authentication 動態(tài)數(shù)據(jù)認證：Dynamic Data Authentication 復合動態(tài)數(shù)據(jù)認證：Combined Data Authentication 發(fā)卡行根據(jù)卡片能力選擇卡片支持的脫機數(shù)據(jù)認證方法 在一個交易中只有一種脫機數(shù)據(jù)認證方法被選擇執(zhí)行,脫機數(shù)據(jù)認證,認證中心 私鑰SCA,

10、認證中心 公鑰PCA,發(fā)卡機構 私鑰SISS,發(fā)卡機構公鑰PISS,IC卡 私鑰SICC,IC卡 公鑰PICC,發(fā)卡機構公鑰證書,IC卡 公鑰證書,脫機數(shù)據(jù)認證-IC卡CA證書體系,脫機數(shù)據(jù)認證-SDA/DDA,小額支付的相關概念,基于借貸記的小額支付,非接觸快速小額支付-概述,非接觸IC卡支付如何工作,非接觸快速小額支付交易流程,交易預處理,讀應用數(shù)據(jù),1 根據(jù)終端類型判斷是否允許狀態(tài)檢查 2 獲取授權金額 2 判斷授權金額是否為零 3 判斷授權金額是否超限,應用初始化,脫機數(shù)據(jù)認證,1 驗證卡片真?zhèn)涡?2 脫機數(shù)據(jù)認證由終端執(zhí)行,應用選擇,1 當最后一條記錄被讀取后，卡片應當完成金額的更新

11、 2 有效期檢查應在收到有效期數(shù)據(jù)后立即執(zhí)行,1 PPSE選擇 2 無需讀取目錄文件 3 PDOL中應包含終端交易屬性,1 卡片執(zhí)行風險管理 2 返回TC/AAC/ARQC 3 執(zhí)行動態(tài)簽名 4 返回可脫機消費金額,非接觸快速小額支付交易流程,03,PBOC3.0基本功能修訂 1）標準借貸記的修訂串講 2）非接觸快速小額支付的修訂串講 3）修訂專題,PBOC3.0主要修訂內(nèi)容（標準借/貸記交易流程）,PBOC3.0主要修訂內(nèi)容（qPBOC交易流程）,修訂內(nèi)容專題（一）移動支付相關,修訂內(nèi)容專題（二）電子現(xiàn)金圈存,修訂內(nèi)容專題（三）新增fDDA版本01,要求：終端和卡片均應同時支持兩個版本的fD

12、DA，優(yōu)先選擇01版本,fDDA版本01和00版本比較,表3：fDDA算法版本終端輸入數(shù)據(jù)上不同,卡片應在最后一條記錄返回,圖2：00和01版本fDDA選擇示例,04,PBOC3.0新增功能解析,第14部分：非接觸IC卡小額擴展應用規(guī)范,非接觸IC卡小額擴展應用規(guī)范主要內(nèi)容,非接觸IC卡小額擴展應用規(guī)范新增文件和數(shù)據(jù),非接小額擴展應用交易流程概述,交易預處理,讀應用數(shù)據(jù),讀取“入閘信息” 讀取“優(yōu)惠信息”,授權金額為零,應用初始化,脫機數(shù)據(jù)認證,計算扣款金額，發(fā)送扣款指令,寫入“入閘信息”到卡片,讀取擴展應用文件,更新擴展應用文件,授權金額為零時不終止交易,判斷是否異常,寫入完成信息 寫入交易

13、日志,脫機數(shù)據(jù)上送，清算,非接小額擴展應用與銀聯(lián)擴展應用的異同,圖3：非接擴展應用流程示例,第15部分：電子現(xiàn)金雙幣支付應用規(guī)范,電子現(xiàn)金雙幣支付應用規(guī)范主要內(nèi)容,圖3：雙幣電子現(xiàn)金應用流程示例,注：SM4分組和密鑰長度均為16字節(jié)，SM3哈希長度為32字節(jié)，SM2密鑰長度可變,第17部分：借記/貸記應用安全增強規(guī)范,雙算法卡在借貸記流程中的算法選擇,表1：標準借記/貸記算法選擇,表2：快速借記/貸記算法選擇,圖1：SM算法應用于借貸記應用的流程,第16部分：IC卡互聯(lián)網(wǎng)終端規(guī)范,IC卡互聯(lián)網(wǎng)終端規(guī)范主要內(nèi)容,IC卡互聯(lián)網(wǎng)終端證書體系,銀聯(lián)迷你付產(chǎn)品系統(tǒng)架構,二.產(chǎn)品功能介紹,銀聯(lián)迷你付產(chǎn)品規(guī)

14、劃,05,系統(tǒng)改造 系統(tǒng)改造范圍 系統(tǒng)改造概述 非接擴展應用系統(tǒng)改造要求 IC卡互聯(lián)網(wǎng)終端系統(tǒng)改造要求 實施建議 實施思路 發(fā)卡方實施建議 收單方實施建議,PBOC3.0新增功能系統(tǒng)改造范圍,POS,ATM,柜面,銀聯(lián)分中心,第三方系統(tǒng),總行前置,柜臺服務器,中間業(yè)務平臺,銀聯(lián)總中心,網(wǎng)上銀行 手機銀行 CALLCENTER,核心系統(tǒng),信用卡系統(tǒng),總行,分行,網(wǎng)點,分行前置,POS,IC卡業(yè)務平臺,加密機,加密機,密鑰管理平臺,數(shù)據(jù)準備系統(tǒng),加密機,個人化系統(tǒng),發(fā)卡行系統(tǒng),收單行系統(tǒng),PBOC3.0功能與系統(tǒng)改造要求,新增功能與系統(tǒng)改造要求,多用于行業(yè)合作,多用于IC卡創(chuàng)新應用,PBOC3.0

15、基本功能系統(tǒng)改造要求,非接小額擴展應用系統(tǒng)改造要求,非接小額擴展應用發(fā)卡流程,非接小額擴展應用行業(yè)合作方實施要求,雙幣電子現(xiàn)金系統(tǒng)改造要求,IC卡互聯(lián)網(wǎng)終端發(fā)卡系統(tǒng)改造要求,IC卡互聯(lián)網(wǎng)終端發(fā)卡系統(tǒng)改造要求,登錄銀行或銀聯(lián)-雙處理中心方式,登錄銀行-銀行自有渠道,登錄銀聯(lián)-銀聯(lián)渠道,國產(chǎn)算法支持系統(tǒng)改造要求,PBOC3.0實施總體思路,PBOC3.0標準可完全兼容PBOC2.0標準,結論：PBOC3.0標準新增功能對卡片和終端之間的互操作性沒有影響,銀行系統(tǒng)升級不必有后顧之憂,表3：PBOC3.0與PBOC2.0兼容性說明,PBOC3.0實施建議（發(fā)卡方）,時 間,PBOC3.0實施建議（發(fā)卡

16、方實施示意圖）,發(fā)卡升級時間制約因素,PBOC3.0實施建議（收單方）,PBOC3.0規(guī)范組成部分,交易預處理,讀應用數(shù)據(jù),1 根據(jù)終端類型判斷是否允許狀態(tài)檢查 2 獲取授權金額 2 判斷授權金額是否為零 3 判斷授權金額是否超限,應用初始化,脫機數(shù)據(jù)認證,1 驗證卡片真?zhèn)涡?2 脫機數(shù)據(jù)認證由終端執(zhí)行,應用選擇,1 當最后一條記錄被讀取后，卡片應當完成金額的更新 2 有效期檢查應在收到有效期數(shù)據(jù)后立即執(zhí)行,1 PPSE選擇 2 無需讀取目錄文件 3 PDOL中應包含終端交易屬性,1 卡片執(zhí)行風險管理 2 返回TC/AAC/ARQC 3 執(zhí)行動態(tài)簽名 4 返回可脫機消費金額,非接觸快速小額支付交易流程,PBOC3.0主要修訂內(nèi)