EMV迁移之EMV交易特征

文章出处：http://www.singbon.com 作者： 人气： 发表时间：2011年12月14日

    文/上海复旦微电子股份有限公司 白瑞清

    EMV标准，是由国际三大银行卡组织——Europay(欧陆卡，已被万事达收购）、MasterCard(万事达卡)和Visa(维萨)共同发起制定的银行卡从磁条卡向智能IC卡转移的技术标准，是基于CPU IC卡的金融支付标准，标准的主要内容包括借贷记应用交易流程、借记/贷记应用规范和安全认证机制等，目前已成为公认的框架性标准。其目的是在金融IC卡支付系统中建立卡片和终端接口的统一标准，使得在此体系下所有的卡片和终端能够互通互用，并且该技术的采用将大大提高银行卡支付的安全性，减少欺诈行为。

    “EMV迁移”就是按照EMV2000标准，在发卡、业务流程、安全控管、受理市场、信息转接等多个环节实施推进银行磁条卡向芯片卡技术的升级，即把现在使用磁条的银行卡改换成使用IC卡的银行卡。简言之，EMV迁移就是指银行磁条卡向IC卡升级的过程。

    EMV交易不同于传统的IC卡交易，更不同于传统的磁条卡交易，EMV交易主要有以下几个特征：支持脱机/联机两种交易；支持卡片数据认证（SDA、DDA及CDA）；风险管理；持卡人认证；联机认证。

    联机/脱机交易：是否进行脱机交易还是需要进行联机交易，取决于卡片芯片的能力（数据加密能力、风险管理能力等），取决于是够满足脱机交易条件，交易之前要先对卡片进行持卡人验证、终端风险管理、终端行为分析、卡片行为分析等，根据分析结果判断是否可以进行脱机交易。

    卡片数据认证包括静态数据认证（SDA）动态数据认证（DDA）以及复合数据认证（CDA）：

    静态数据认证（SDA）认证发卡行确认IC卡中需要认证的固有静态数据的完整性，在静态数据认证的过程中，终端验证卡片上静态数据的合法性，SDA能确认卡片上的发卡行应用数据自卡片个人化后没有被非法篡改。SDA的目的是确认存放在IC卡中的由应用文件定位器（AFL）和可选的静态数据认证标签列表所标识的，关键的静态数据的合法性，从而保证IC卡中的发卡行数据在个人化后没有被非法篡改。IC卡个人化后应包含以下数据元素：认证中心公钥索引、发卡行公钥证书、签名的静态应用数据、发卡公钥的余项、发卡行公钥指数；为了支持静态数据认证，每台终端应该能为每个注册的应用提供商标识（RID）存储六个认证中心公钥，而且必须使得和密钥相关的密钥信息能够同每一个密钥相关联。

    动态数据认证：DDA的目的是确认存放在IC卡中和由IC卡生成的关键数据以及从终端收到的数据的合法性。DDA除了执行同SDA类似的静态数据认证过程，确保IC卡中的发卡行数据在个人化以后没有被非法篡改，还能防止任何对这样的卡片进行伪造的可能性。

    动态数据认证有以下可选的两种方式：
 
    标准的动态数据认证，这种方式在卡片行为分析前执行。在这种方式下，IC卡根据由IC卡动态数据所标识的存放在IC卡中的或由IC卡生成的数据以及由动态数据认证数据对象列表所标识的从终端收到的数据生成一个数字签名。
 
    复合动态数据认证/应用密文生成，这种方式在GENERATE AC命令发出后执行。在交易证书或授权请求密文的情况下，IC卡根据由IC卡动态数据所标识的存放在IC卡中的或由IC卡生成的数据得到一个数字签名，这些数据包括交易证书或授权请求密文，以及由卡片风险管理数据对象列表（对第一条GENERATE AC命令是CDOL1，对第二条GENERATE AC命令是CDOL2）标识的由终端生成的不可预知数AIP指明IC卡支持的选项。支持动态数据认证的IC卡必须包含下列数据元素：认证中心公钥索引、发卡行公钥证书、IC卡公钥证书、发卡行公钥的余项、发卡行公钥指数、IC卡公钥的余项、IC卡公钥指数、IC卡私钥； 为了支持动态数据认证，每一台终端必须能够为每个注册的应用提供商标识存储六个认证中心公钥，而且必须使同密钥相关的密钥信息能够同每一个密钥相关联。在给定RID和IC卡提供的认证中心公钥索引的情况下，终端必须能够定位这样的公钥以及和公钥相关的信息。

    复合数据认证（CDA）认证发卡行,确认IC卡中需要认证的固有和生成的数据的完整性，排除伪卡的出现，排除交易数据被伪造的可能性。

    风险管理：终端风险管理为大额交易提供了发卡行授权，确保芯片交易可以周期性的进行联机处理，防止过度欠款和在脱机环境中不易察觉的攻击。发卡行需要支持终端风险管理。无论卡片是否支持，终端都需要支持终端风险管理。终端发送GET DATA命令从卡片中读取上次联机应用交易序号（ATC）寄存器和应用交易序号计数器（ATC）。这些数据在终端频度检查和新卡检查时使用。如果卡片支持终端频度检查或新卡检查，卡片要返回这些数据给终端。如果卡片不支持终端频度检查或新卡检查，这些数据要存储为PBOC专用数据元并不能返回给终端。此时卡片响应SW1 SW2=“6A88”。在终端频度检查和新卡检查中，除了响应取数据命令，卡片不做操作。下面描述了终端在终端风险管理处理过程中如何使用卡片数据：

    1 终端异常文件检查：如果有终端异常文件，终端要检查卡片中的应用主账号（PAN）是否在其中。

    2 商户强制交易联机：在有联机能力的终端上，商户可以指示终端进行联机交易。在此步骤中不需要卡片数据。

    3 最低限额检查：进行最低限额检查，当交易金额超过终端最低限额，交易联机上送。此步骤中不需要卡片数据。

    4 随机交易选择：有脱机和联机能力的终端要执行随机选择交易联机处理。此步骤不需要卡片数据。

    5 频度检查：在连续脱机次数达到一个特定的次数后，频度检查允许发卡行请求交易联机处理。发卡行可以选择不支持终端频度检查，则在个人化时，连续脱机交易的上限和下限（标签“9F14”和标签“9F23”）数据不写入卡中。

    在频度检查处理中，终端发送阿GET DATA命令读取卡片中的上次联机ATC寄存器和ATC值。
    卡片返回数据。
    连续脱机交易的次数是ATC和上次联机ATC寄存器的差值。

    注意：卡片在卡片行为分析处理时可以执行类似的处理。

    6 新卡检查：如果终端执行新卡检查，终端检查上次联机ATC寄存器值是否为零。终端发GET DATA命令给卡片读出上次联机ATC寄存器值。

    注意：卡片在卡片行为分析处理时可以执行类似的处理。

    EMV 交易与传统磁条卡交易的区别