银联金融IC卡支付系统公钥认证业务规范标准Word格式.docx
《银联金融IC卡支付系统公钥认证业务规范标准Word格式.docx》由会员分享,可在线阅读,更多相关《银联金融IC卡支付系统公钥认证业务规范标准Word格式.docx(37页珍藏版)》请在冰豆网上搜索。
11.《入网机构标识码》
12.《商户类别代码》
13.《银行卡信息交换术语》
14.《银行磁条卡自动柜员机(ATM)应用规范》
15.《银行磁条卡销售点终端规范》
16.《银行磁条卡自动柜员机(ATM)应用规范》
17.《中国银联MIS商户系统技术规范》
18.《中国银联POS终端规范》
19.《中国银联代理业务ATM终端技术规范》
20.《中国银联银行卡联网联合技术规范2.0版》
1.3定义和缩写
《中国金融集成电路(IC)卡规范》(2005版):
系中华人民共和国金融行业标准之一,由中国人民银行起草并于2005年3月10日发布/实施,用来规范金融行业集成电路(IC)卡应用的规范。
BIN:
发卡机构标识码,由支付系统分配的6位号码,用于识别会员应用、授权、清算、或结算。
银联标准卡的BIN的分配和管理统一由中国银联负责。
EMV:
由Europay,MasterCard,及Visa国际组织共同开发的技术规范,该技术规范为芯片技术在支付行业的使用创造标准并确保其全球互操作性。
IIN:
金融机构代码(IIN),由中国银联按照银联《入网机构标识码》规范分配给各成员金融机构的金融机构代码,唯一识别中国银联成员机构,由8位数字组成。
成员机构:
在本规范中指中国银联成员机构,遵守相关入网规范。
中国银联成员机构是经中国银联董事会批准,发行银联卡和办理银联卡收单业务的金融机构或其它组织。
会员机构:
在本规范中指成员机构注册成为银联金融IC卡支付系统公钥认证服务会员机构。
中国银联金融IC卡支付系统根CA:
由中国银联股份有限公司授权银联金融认证中心有限公司,依照《中国金融集成电路(IC)卡规范》(2005版)要求,建立的服务于金融行业IC卡安全应用的根认证中心;
实现该根认证中心功能的应用系统是“银联金融IC卡根CA系统”,由中国银联统一管理,以下简称“根CA系统”。
发卡行(Issuer):
《中国金融集成电路(IC)卡规范》(2005版)指明,发卡行是发行带有支付系统标签的信用卡或专用卡的支付系统成员行。
收单机构(Acquirer):
《中国金融集成电路(IC)卡规范》(2005版)指明,收单机构是支付系统成员,负责签约商户或在现金支付中支付货币给持卡人,并直接或间接地参与交易交换。
PAN:
主帐号。
RID:
注册的应用提供商标识。
公钥密码算法:
《中国金融集成电路(IC)卡规范》(2005版)第七部分第十二章规定的公钥密码算法。
哈希算法:
《中国金融集成电路(IC)卡规范》(2005版)第七部分第十二章规定的哈希算法。
SDA:
静态数据认证,脱机数据认证的一种,通过这种方法终端验证发卡时存放在卡上的密文。
这种认证用于防止某些类型的伪造,但不能防止复制。
DDA:
动态数据验证,脱机数据认证的一种,芯片卡产生根据特定交易数据元加密生成的密文,终端验证该值以防止非法复制。
CDA:
复合动态数据认证/应用密文生成,脱机数据认证的一种。
终端(Terminal):
在交易点安装的设备,和IC卡一起完成金融交易它包括接口设备,POS、ATM设备。
1.4适用范围
本规范适用于中国银联金融IC卡支付系统公钥认证服务的服务提供机构和服务接受机构包括中国银联金融IC卡支付系统公钥认证管理机构、接受银联金融IC卡支付系统公钥认证服务的银联成员机构、和银联成员机构授权的银联金融IC卡支付系统公钥认证服务的代理受理机构。
1.5版本控制
本规范的版本是《银联金融IC卡支付系统公钥认证业务规范》V1.0(2005)版。
中国银联将在需要时对本规范进行修订,其后的修订版本高于V1.0,同时在修订版定稿后进行发布。
2中国银联金融IC卡支付系统公钥认证体系概述
中国银联金融IC卡支付系统公钥认证体系的根CA(简称银联支付系统根CA)是严格按照《中国金融集成电路(IC)卡规范》(2005版)规范建设和运行的,并与EMV2000标准完全兼容。
按照《中国金融集成电路(IC)卡规范》(2005版)规范,中国银联金融IC卡支付系统使用公钥密码技术进行金融IC卡静态数据数据、动态数据、或复合数据认证,以提供高度安全的金融IC卡交易服务。
银联金融IC卡支付系统根CA作为中国银联金融IC卡支付系统公钥认证的信任顶点,由中国银联金融认证中心运行并由银联进行统一管理,它的系统和运营安全性符合国家和国际上EMV系统的有关安全规范。
中国银联金融IC卡支付系统公钥认证体系包括银联金融IC卡支付系统根CA、各个发卡行CA及其发行的银联标准金融IC卡、以及收单机构及其ATM和POS。
本业务规范规定了中国银联金融IC卡支付系统公钥认证体系的业务规则,银联金融IC卡支付系统公钥认证机构、各个发卡行、和收单机构应遵从本业务规范以确保整个系统的安全性和整体信任程度。
银联金融IC卡支付系统根CA是中国人民银行唯一授权提供中国金融IC卡证书认证服务的根CA。
2.1中国银联金融IC卡支付系统公钥认证体系
遵循《中国金融集成电路(IC)卡规范》(2005版),中国银联金融IC卡支付系统公钥认证体系为所有遵循银联标准的金融IC卡提供公钥证书认证服务,也同时为其它金融IC卡数据认证提供途径(如成员机构终端提供的对外卡数据认证)。
中国银联金融IC卡支付系统公钥认证体系,首先包括银联金融IC卡支付系统CA(简称根CA)。
根CA负责生成根CA公私钥对并管理根CA的公私钥信息、签发发卡行CA公钥证书,将根CA公钥信息安全传递给收单机构,是中国银联金融IC卡证书体系的信任根。
同时,中国银联金融IC卡支付系统公钥认证体系也包括各个发卡行CA。
它们是根CA的子CA,负责生成发卡行CA的公私钥对,向根CA申请并管理自己的公钥证书。
此外,发卡行CA与发卡系统交互,为IC签署卡签署静态应用数据以便进行静态数据认证(SDA),或生成IC卡公私钥对、签发IC卡证书以便进行动态数据认证(DDA),同时将自己的公钥证书、IC卡公钥证书、IC卡私钥、RID、和根CA公钥标识也写入IC卡。
按照《中国金融集成电路(IC)卡规范》(2005版),中国银联金融IC卡支付系统还包括银联标准卡受理环境,收单机构要负责建立终端管理系统,将根CA公钥分发到受理终端(POS/ATM),并对远程终端进行设备管理、状态监控及信息管理(包括程序、参数下载)。
这样,在《中国金融集成电路(IC)卡规范》(2005版)标准卡支付系统中,IC卡存放IC卡证书及IC卡私钥(或静态数据)和发卡行公钥证书、RID、以及根CA公钥标识;
受理终端存放根CA证书和相关的RID。
在支付过程中,受理终端通过验证IC卡的应用数据的签名进行IC卡数据认证,其过程是首先读取IC卡内的RID、IC卡证书、发卡行证书、和根CA公钥标识,利用RID和根CA公钥标识定位特定的根CA公钥,利用根CA公钥验证发卡行证书,利用发卡行证书验证IC卡证书,利用IC卡证书验证IC卡内的动态签名或直接利用发卡行证书验证IC卡内的静态签名。
整个IC卡数据认证完全离线进行。
2.2中国银联金融IC卡支付系统公钥认证服务
中国银联金融IC卡根CA为成员发卡行和收单机构提供下列服务:
●为成员发卡行签发发卡行公钥证书;
●生成、存储、维护银联IC卡支付系统根CA公、私密钥对;
●将银联IC卡支付系统根CA公钥信息传递给各个成员发卡行和收单机构。
下列金融机构在接受中国银联金融IC卡支付系统证书服务时应严格遵从本规范:
●按照《中国金融集成电路(IC)卡规范》(2005版)颁发遵循银联标准的金融IC卡的发卡行;
●按照《中国金融集成电路(IC)卡规范》(2005版)进行银联标准金融IC卡收单交易的收单机构。
2.3生产和测试证书
银联金融IC卡支付系统根CA有两套系统:
生产系统和测试系统。
根CA的测试系统只使用用于测试的根CA测试密钥对,只用来签发成员发卡行测试证书。
所有测试密钥对和相应的测试证书仅限于系统测试,任何成员机构终端及银联终端均不接受使用测试密钥对的银联金融IC卡支付交易。
只有使用根CA生产系统颁发的生产密钥对的IC卡才可进行支付交易。
2.4银联金融IC卡支付系统公钥认证管理机构
银联金融IC卡支付系统公钥认证管理机构由中国银联业务管理部、技术管理部、风险管理部、战略发展部、IC卡应用部、银联金融认证中心组成,以银联IC卡应用部作为机构协调单位。
银联通过银联金融IC卡支付系统公钥认证管理机构规范和管理整个银联金融IC卡支付系统的规范和运行,包括对成员机构的相关审计(见本规范第4.2.1.2节);
负责进行成员机构的会员注册;
审核批准成员发卡行公钥证书申请;
审核批准根CA和成员机构公钥证书的撤销;
制定根CA和安全策略并监督其执行情况。
银联金融IC卡根CA的系统变更设置变更以及证书签发和撤销需经过银联金融IC卡支付系统公钥认证管理机构批准。
银联金融IC卡根CA负责运营根CA包括签发和管理自身的证书和发卡行公钥证书、进行系统安全操作和管理。
2.5银联金融IC卡支付系统公钥认证服务联系人
中国银联金融IC卡支付系统公钥认证服务联系人由中国银联IC卡应用部统一负责和管理。
中国银联金融IC卡支付系统公钥认证服务对一个成员机构安排两个固定的审核员作为成员机构接口。
一个成员机构的一切有关公钥认证服务事宜都通过这两个审核员接洽。
审核员负责接受成员机构的咨询、完成成员机构的会员注册、接受会员机构的发卡行公钥证书申请、传递发卡行公钥证书、传递根CA公钥信息、传递银联金融IC卡支付系统公钥认证服务的重要通知等。
成员机构可通过下列Web网站获得银联审核员的信息:
3证书生命周期管理规则
3.1银联金融IC卡支付系统公钥认证服务申请及管理流程
银联向已经签署中国银联网络入网协议,并遵守《中国金融集成电路(IC)卡规范》(2005版)和银联《银联卡业务运作规章》的成员发卡行和收单机构提供银联金融IC卡支付系统公钥证书认证服务。
银联金融IC卡支付系统公钥证书认证服务申请及管理流程如下:
1.成员机构注册。
2.测试证书申请。
3.根CA公钥证书申请及获取。
4.发卡行公钥证书申请、签发、传递、验证;
收单机构对根CA公钥证书的传递、验证。
5.公钥信息的变更。
6.成员机构退出公钥认证服务。
这个流程的细节将在本章余下各节中详细规定。
3.2成员机构注册
中国银联只向已经签署中国银联网络入网协议的成员发卡行和收单机构提供银联金融IC卡支付系统公钥证书认证服务。
任何金融机构必须首先申请成为中国银联成员机构,才可申请注册成为中国银联IC卡金融认证服务会员机构。
关于申请成为中国银联成员机构的程序参见银联《银联卡业务运作规章》。
3.2.1注册需要获取的材料
成员机构在有意向成为银联金融IC卡支付系统公钥认证服务会员时,可访问网站:
以咨询会员注册联系方式,在初步联系后,银联将委任两名审核员负责该成员机构的注册事宜。
中国银联成员机构首先需要获取:
1.《银联金融IC卡支付系统公钥认证业务规范》
2.《银联金融IC卡支付系统公钥认证技术规范》
3.《中国银联金融IC卡支付系统公钥认证服务会员注册表》
4.《银联发卡行公钥证书工作申请表》
5.《银联发卡行标识代码申请表》
6.银联金融IC卡支付系统公钥认证处理软件
7.银联安全电子邮件客户端软件
上述材料和软件可以由中国银联成员机构携带该成员机构的授权信到中国银联获取,或者以中国银联成员机构入网注册表中提供的电子邮件地址以电子邮件方式向银联索取。
在获取上述材料和软件时,银联将与中国银联成员机构协商中国银联金融IC卡支付系统公钥认证服务会员注册会议的具体时间和地点、以及双方参加的人员。
3.2.2参加会员注册会议需携带的文件
成员机构需要委派两个固定的安全官员参加拟定的中国银联金融IC卡支付系统公钥认证服务会员注册会议,同时中国银联也将派遣两名固定的审核员参加会议。
在参加会议时,成员机构参会人员需要携带:
1.填写完毕的《中国银联金融IC卡支付系统公钥认证服务会员注册表》(见本规范附录A);
2.中国银联成员机构入网注册材料复印件;
3.银联成员机构上一年度的业务报告;
4.成员机构本年度和三年内使用银联标准IC卡的业务计划。
发卡行需提交计划使用根CA公钥认证服务包括使用哪些根CA公钥来签发的银联标准IC卡的数量、卡种类、和卡的分布情况的业务规划;
收单机构需要提交计划使用根CA公钥认证服务来进行银联标准IC卡收单业务的业务规划,包括其管理的终端使用根CA公钥、分布等。
5.若成员机构需要申请额外的发卡行标识代码(BIN),则需携带填写完毕的《银联发卡行标识代码申请表》(见本规范附录B);
6.由该银联成员机构负责人签署的进行中国银联金融IC卡支付系统公钥证书认证服务会员注册的授权信;
7.由该银联成员机构人力资源部负责人签署的证明信证实该机构所派两个安全官员的雇员身份;
8.成员机构的两个安全官员的身份证;
9.若所派的两个安全官员隶属于为该成员机构进行银联金融IC卡支付系统公钥认证服务受理的代理机构,则需要提供由该成员机构负责人签署的授权代理信。
申请成为中国银联金融IC卡支付系统公钥证书认证服务注册会员,其申请应按规定的信息内容与格式,以书面形式向中国银联提出,并确保所提供信息、材料的真实性、准确性。
银联金融IC卡支付系统公钥认证服务会员注册申请表见本规范附录A。
3.2.3会员注册会议
在注册会议上,成员机构的两个参会安全官员必须确保所携带的注册资料的真实性、完整性、和规范性(按照本规范附录的格式)。
银联参会审核员需要仔细审核成员机构参会人员的身份、申请注册材料的完整性和规范性,若材料不完整,不规范,注册过程在银联收到完整、规范的注册申请材料后才继续进行。
对申请材料的任何改动需经成员机构负责人批准。
经银联参会审核员核实后,成员机构参加会议的两个安全官员同时签署注册申请表。
参会双方人员完成会员注册申请表的签署后,注册生效。
若成员机构同时也申请额外的BIN码,银联按照银联《银联卡业务运作规章》处理BIN码的申请。
BIN码申请表见本规范附录B。
银联入网成员机构可以要求第三方机构代理它的银联金融IC卡支付系统公钥认证业务包括申请发卡行公钥证书。
成员机构必须向银联提交由该机构负责人签署的授权书。
3.2.4会员注册材料的变更
成员机构注册成为会员机构后,因各种原因需要更改会员注册材料时,需要重新进行会员注册。
3.2.5会员机构义务
成员机构在注册成为中国银联金融IC卡支付系统公钥证书认证服务会员后有义务遵守本规范和《中国金融集成电路(IC)卡规范》(2005版)、《银联卡业务运作规章》、《银联金融IC卡支付系统公钥认证技术规范》、《银联卡密钥安全管理规则》、《银行卡联网联合安全规范》、《银联标识卡生产企业安全管理指南》、《银联标识卡个人化企业安全和质量》、《银行卡发卡行标识代码及卡号》、《银联卡卡片规范》、《银行卡磁条信息格式和使用规范》、《银行卡磁条信息格式和使用规范》、《入网机构标识码》、《商户类别代码》、《银行卡信息交换术语》、《银行磁条卡自动柜员机(ATM)应用规范》、《银行磁条卡销售点终端规范》、《银行磁条卡自动柜员机(ATM)应用规范》、《中国银联MIS商户系统技术规范》、《中国银联POS终端规范》、《中国银联代理业务ATM终端技术规范》、《中国银联银行卡联网联合技术规范2.0版》、以及银联网络入网规则。
若发现会员机构未能履行上述义务,则银联有权中止该机构的会员资格。
3.2.6中国银联金融IC卡支付系统公钥证书认证服务会员费
成员机构需要支付的银联金融IC卡支付系统公钥认证服务会员费将由银联根据成员机构的业务类型和业务量确定。
3.2.7成员机构的会员联系人更改
成员机构参加银联金融IC卡支付系统公钥认证服务会员注册会议并代表该机构签署注册申请表的两个参会安全官员是该机构与银联关于银联金融IC卡支付系统公钥认证服务的授权联系人,以后所有涉及银联金融IC卡支付系统公钥认证服务的业务都由这两个安全官员与银联审核员直接联系。
若出现因各种原因会员机构需要更改会员安全官员时,需要该机构负责人签署的信件说明,并说明新的两个安全官员的身份及联系方式。
同时由变更后的两个会员安全官员与银联审核员重新进行会员注册流程。
3.3测试证书申请
成员机构在成为中国银联金融IC卡公钥认证服务会员后即可申请测试证书。
根CA测试证书包含根CA测试公钥,由银联IC卡根CA的测试系统生成。
根CA测试系统使用测试根CA密钥对签发成员发卡行测试证书,成员发卡行使用其测试证书对应的测试私钥来生成用于系统测试的IC卡的签名数据或IC卡公钥证书并进行脱机测试或联机测试,成员收单机构的测试终端只使用根CA测试公钥做测试,不能把测试IC卡应用作为金融交易受理。
3.3.1根CA测试公钥信息的申请、传递、验证
成员机构在注册成为中国银联金融IC卡支付系统公钥认证服务会员后即可申请根CA测试公钥证书。
成员机构由安全官员就根CA测试公钥的申请和获取向银联审核员联系。
成员机构对根CA测试公钥的获取可以在银联审核员核准后指导成员机构安全官员从银联Web网站下载或以安全电子邮件传递。
成员机构应在按照《银联金融IC卡支付系统公钥认证技术规范》第7章的验证程序验证根CA测试公钥后才可使用。
根CA测试公钥以根CA公钥文件形式传递,见《银联金融IC卡支付系统公钥认证技术规范》第6章。
根CA测试公钥信息的验证也可以使用银联提供的银联金融IC卡支付系统公钥认证处理软件进行。
3.3.2发卡行测试公钥证书的申请、签发、传递、验证
成员机构在注册成为中国银联金融IC卡支付系统公钥证书认证服务会员后即可申请发卡行测试公钥证书。
测试证书的申请流程、签发流程、和验证流程与生产系统证书申请相关流程相同,成员发卡行必须在申请材料中标识所申请的证书是测试证书,同时递交发卡行测试公钥工作申请,详细规则见本规范第3.5节、本规范附录C、和《银联金融IC卡支付系统公钥认证技术规范》第3、4、5章。
3.4成员机构根CA生产型公钥证书申请、获取、接受
银联金融IC卡根CA生产型公钥证书以电子版根CA公钥文件形式传递,关于根CA公钥文件见《银联金融IC卡支付系统公钥认证技术规范》第6章。
根CA公钥文件由银联金融IC卡根CA生成,并以安全电子邮件方式转交银联IC卡应用部和银联审核员。
成员发卡行需要按照本规范第3.5.1.3节规定申请获取适当的根CA公钥,成员收单机构需要申请获取所有为银联标准IC卡提供公钥认证服务的根CA公钥。
成员发卡行必须在申请发卡行公钥证书前获取并验证根CA公钥。
在成功注册成为银联金融IC卡支付系统公钥认证会员单位后,成员机构安全官员可以以银联安全电子邮件方式向银联审核员申请获取银联金融IC卡根CA生产型公钥信息,成员机构安全官员必须在申请中标明成员机构的机构代码和机构名称,同时使用传真将同样请求传真给银联审核员。
银联审核员在收到成员收单机构安全官员电子邮件和传真后,电话向成员收单机构安全官员核实申请。
得到确认后,银联审核员将收到的申请以安全电子邮件方式转交银联IC卡应用部,银联IC卡应用部审核并批复后以安全电子邮件方式通知银联审核员,同时IC卡应用部将批复文件递交银联金融IC卡支付系统公钥认证管理机构备案。
银联审核员在收到银联IC卡应用部的申请批复后以安全电子邮件形式将所申请的根CA生产型公钥信息以电子版根CA公钥文件形式同时传递给该成员机构的两个安全官员。
成员机构安全官员在收到银联审核员传递的银联金融IC卡根CA公钥信息必须按照《中国银联金融IC卡支付系统公钥认证技术规范》第7章的程序验证根CA公钥,只有严格按照《中国银联金融IC卡支付系统公钥认证技术规范》第7章的程序成功验证了收到的根CA公钥后才可以接受并使用。
成员机构可以使用银联金融IC卡支付系统公钥认证处理软件完成公钥的验证。
若成员机构成功验证了按照《中国银联金融IC卡支付系统公钥认证技术规范》第7章的程序成功验证了收到的根CA公钥,必须由该机构安全官员以电话加上传真方式将结果通知银联审核员。
若签名验证失败,则由该机构安全官员以电话和安全电子邮件方式将结果通知银联审核员。
成员机构安全官员利用安全电子邮件取得根CA公钥信息并成功验证其签名是至关重要的,可以有效验证根CA公钥信息的数据完整性和进行信息源认证。
同时成员机构在存储根CA公钥信息过程中可以以验证签名的方式验证公钥信息的数据完整性。
因此,成员机构在使用根CA公钥前必须按照《中国银联金融IC卡支付系统公钥认证技术规范》第7章的程序成功验证根CA公钥证书的签名,只有成功验证了根CA公钥证书的签名,成员机构才可以接受并使用根CA公钥。
成员机构可以使用银联提供的金融IC卡公钥处理软件验证收到的根CA公钥证书的签名的有效性。
3.5发卡行公钥证书申请、签发、传递、验证
一旦成员发卡行成功注册成为银联金融IC卡公钥认证服务会员单位,成员机构即可进行一张或多张发卡行公钥证书的申请,但需要针对每一张发卡行公钥证书完成一份银联金融IC卡支付系统公钥认证服务发卡行公钥证书工作申请表,见本规范附录C。
成员发卡行在申请发卡行公钥证书前必须首先按照本规范第3.4节的程序获取和验证根CA相关公钥。
3.5.1成员发卡行公钥证书申请前的规则
中国银联金融IC卡公钥认证服务系统使用标准工作程序受理成员发卡行公钥证书申请,包括发卡行公钥证书申请的准备、申请书数据格式、命名规则。
成员发卡行在决定申请成员发卡行公钥证书时必须遵循下列规则。
3.5.1.1角色分离原则
为了有效控制对成员发卡行公钥证书的非授权申请的风险,银联规定每次发卡行公钥证书的申请必须由成员发卡行中国银联金融IC卡公钥认证服务会员注册登记的两个安全官员分