《基于PBOC2.0的POS软体架构分析和构建.ppt》由会员分享,可在线阅读,更多相关《基于PBOC2.0的POS软体架构分析和构建.ppt(30页珍藏版)》请在三一办公上搜索。
1、POS SW Application ENG1-SW2 Coco Wang 2012-9-11,Agenda,App L1认可的加解密算法报文IC卡文件结构&文件引用内存管理输入输出App L2应用选择(建立候选列表)命令安全交易流程,App L3 电子存折电子钱包电子现金借记/贷记应用Common App电池电量计算器万年历时钟更新ROM,App L1(1),认可的加解密算法对称算法之数据加密标准(DES)非对称算法之RSA算法安全哈什算法(SHA-1)报文命令报文响应报文安全报文授权报文清算报文IC卡文件结构&文件引用内存管理输入输出,App L1(2),报文命令报文/响应报文 IC卡和P
2、OS终端应用层交换的每一步由命令响应对组成,每一个特定的命令都 与一个特定的响应相匹配。一个APDU 就是一个命令报文或一个响应报文。缩写APDU 应用协议数据单元(Application Protocol Data Unit)C-APDU 命令 APDU(Command APDU)R-APDU 响应 APDU(Response APDU),App L1(3),举例说明选择(SELECT)命令-应答APDU,假设命令报文数据域为所选择的PSE名R-APDU的data域下的 SFI,语言选择,发卡行代码表索引等都是基本数据元,在数据元字典中可以查看到详细说明。,App L1(4),App L1(
3、5),报文安全报文 1.定义:安全报文通过报文鉴别码(MAC)来保障数据的完整性和对发卡行 的认 证,通过对数据域的加密来保障数据的机密性。2.MAC计算:MAC计算细节受当前正在使用的应用影响。授权报文 借贷记交易中,如果卡片或终端决定交易需要进行联机授权,同时终端具备 联机能力,终端将卡片产生的ARQC报文送至发卡行进行联机授权。此报文包 括 ARQC密文,用来生成ARQC的数据以及表示脱机处理结果的指示器。在联 机处 理中,发卡行在联机卡片认证方法(CAM)过程中验证ARQC来认证卡 片。发 卡行可以在它的授权决定中考虑这些CAM结果和脱机处理结果。清算报文 脱机交易完成后,终端会收集交
4、易数据,通常会在当天营业结束时把 交易明 细发送给收单行,以进行后续的清算。,App L1(6),IC卡文件结构&文件引用目录定义文件(DDF,应用定义文件(ADF),应用基本文件(AEF)通过文件名引用:卡片中的任何ADF或DDF都可以通过其DF名引用。ADF的DF名与其AID对应或包含AID作为DF的开始 字符。在一张给定的卡片内,每个DF名必须唯一。通过短文件标识符(SFI)引用:SFI用于选择AEF,App L1(7),内存管理终端应当具有足够的内存容量来存放应用程序、密钥、交易数据和其它参数等,并确保在掉电后这些数据不会丢失。终端数据管理要求 1.如下数据应在终端首次安装时初始化:终
5、端性能、终端附加性能、终端IFD序号、终端国家代码、终端标识、终端类型、终端交易货币和终端货币指数。2.如下终端数据应允许在终端布放后通过下载更新:终端支持应用AID列表、CA公钥、终端行为代码TAC、最低限额(Floor limit)随机选择阈值、随机选择目标百分数、偏置随机选择最大目标百分数、商户标识、商户分类码和收单行标识。终端数据安全性要求 1.一般要求 终端一般存在两种类型的数据:通用数据:包括时间、终端识别号、终端交易记录等。外界可以对这些数据进行 访问,但不允许进行无授权修改;敏感数据:包括认证中心公钥、用于PIN加密的对称密钥及终端内部的参数。在 未授权的情况下,外界不允许对这
6、类数据进行访问和修改。,App L1(8),内存管理终端数据安全性要求 2.通用数据的安全要求 通用数据一般存放在存储器中。在更新参数以及下载新的应用程序时,终端必须做到:验证更新方的身份,对于应用程序重新下载,只允许终端制造厂商、终端所有者 或者经终端所有者或代理方批准的第三方执行;校验下载参数及应用程序的完整性。所有与交易相关的数据均应以记录形式存储于终端存储器中。终端须保证这些数据的 完整性。3.敏感数据的安全要求 敏感数据一般应存放在终端安全模块中。安全模块是一种能够提供必要的安全机制 以 防止外界对终端所储存或处理的数据进行非法攻击的硬件加密模块。此模块主要负责保存和处理所有的敏感数
7、据,这些数据包括各种密钥和内部参数。此 外该模块还应提供必须的加密功能。,App L1(9),输入 1.金额的输入:IANC满足 EMV Book4的2.5.1中金额的输入和管理 规范 2.密码的输入:IANC满足 EMV Book2 的11.1.2小节 PINPAD的要求输出 1.终端显示器:a)有服务员的终端必须配置有显示给服务员的显示屏,可选带有显示给持卡人的显 示屏。以供监测交易过程、输入数据、设置选项或确认交易数据。终端应支持ISO 8859的基本字符 集。建议显示屏应具备中文显示能力。2.打印机:a)终端配置有能打印交易单据的打印机,根据支付系统要求可以是针式或热敏打印 机。对每笔
8、批准的交易,不论是脱机、联机或语音授权都能打印出交易单据。b)打印单据格式由各收单行自定,但应包含如下数据:卡号、应用标识符AID、交 易日期时间、签名栏,App L2(1),App L2应用选择(建立候选列表)命令安全交易流程,建立候选列表:1.终端应用与 IC 卡应用的匹配 终端是通过比较IC卡和其本身的应用AID来确定IC卡上的哪些应用是可用的。2.使用支付系统目录时 a)终端通过使用选择(SELECT)命令来选择文件名为1PAY.SYS.DDF01的支付系 统环境而开始,由此建立支付系统环境并进入初始目录 b)终端使用卡片返回的FCI中的目录SFI,从目录的第1条记录开始,连续读取后
9、续记录 c)如果该入口对应某一ADF,且ADF名与终端支持的一个应用相匹配则将该应用 列入最终应用选择的“候选列表”中。d)如果该入口对应一个DDF,则终端将中断当前的目录记录处理过程,使用该 DDF的名称选择该DDF e)当终端处理完成第一个目录(PSE)中最后一个记录中的所有入口后,所有能够 按此方法找到的ADF就确定了,查找和产生候选列表的工作完成 3.使用 AID 列表时,App L2(2),3.使用 AID 列表时,App L2(3),App L2(4),命令借贷记 POS 终端发给ICC的命令集合(共13个),App L2(5),命令ED/EP 应用里 终端发给ICC的命令集合,安
10、全安全服務:1.脱机静态数据认证:确认存放在IC 卡中的关键的静态数据的合法性。2.脱机动态数据认证:确认存放在IC 卡中的或由IC 卡生成的关键数据以及从终端收到的数据的合法性 这样可以防止任何对这样的卡片的伪造.3.脱机PIN 加密 4.应用密文的生成和发卡行认证 5.安全报文 6.公钥管理的原则和策略 7.对终端的安全性及密钥管理的要求终端数据安全性要求 third-party应该达到PBOC2.0 Book7终端安全所有要求,App L2(6),App L2(7),认证中心公钥对终端的分发和回收,App L2(8),硬体安全要求:1.安全模块的物理安全性:安全模块的硬件设计必须能保证在
11、物理上限制对其内部存贮的敏感数据的存取与 窃取,以及对安全模块的非授权使用和修改。一旦安全模块受到非法的攻击,其自身必须能够立即完成对内部敏感数据的删除(自毁)。2.终端设备的物理安全性:一台不处于运行状态的防入侵的设备,必须不包含在任何以前的交易中用过的加 密密钥或者其它的敏感数据(例如PIN)。如果是在该设备和存储在其中的密钥重新投入使用前能够监测到闯入即使它被 非法闯入也不会影响安全。如果设备被设计为允许内部访问,那么在进入时敏 感数据必须立即被擦除,App L2(9),逻辑安全要求(软体安全要求)1.安全模块的逻辑安全性:一个安全模块的逻辑设计应保证,调用任何单一功能或组合功能,都不会
12、导致敏 感数据的泄露。对于某些敏感操作,必须有一定的权限限制。安全模块中可存放多组认证中心公钥及其相关信息。认证中心公钥通常在终端投 入使用之前,被导入到安全模块中。如果在终端使用过程中,需要更新或撤回认 证中心公钥,必须使用安全报文。当需要以安全报文方式传递信息时,安全模块 必须能够实现安全报文传递。2.终端设备的逻辑安全性:防入侵的设备必须被设计为没有单一的函数或函数的组合能够导致敏感数据的 泄露。即使在使用合法的函数的情况下,也必须有足够的逻辑保护使其不会危及 敏感数据的安全。这个要求可以通过内部的统计监控或控制对敏感函数调用的最 小时间间隔来实现。(自检)在交易结束或超时后,防入侵的设
13、备必须自动清除内部的缓存。,App L2(10),交易流程借记和贷记交易流程电子钱包电子存折交易流程 应用选择 IC卡有效性检查 子应用选择 持卡人合法性检查(ED应用时PIN检查)交易类型选择 交易初始化 交易处理,借记和贷记交易流程(1),借记和贷记交易流程(2),电子钱包电子存折交易流程(1),电子钱包电子存折交易流程(2),消费交易处理流程图,电子钱包电子存折交易流程(3),App L3(1),App 3电子存折电子钱包电子现金借记/贷记应用,App L3(2),术语和定义电子存折 electronic deposit 一种为持卡人进行消费、取现等交易而设计的支持个人识别 码(PIN)
14、保护的金融IC卡应用。它支持圈存、圈提、消费 和取现等交易。电子钱包 electronic purse 一种为方便持卡人小额消费而设计的金融IC卡应用。它支持 圈存、消费等交易。消费不支持个人识别码(PIN)保护。电子现金electronic cash(EC)基于借记/贷记应用上实现的小额支付功能。,Common App,电池电量计算器万年历时钟 时钟仅可脱机使用的终端和具有联机能力的脱机终端必须要有一个带本地日期和时间的时钟。日期用于在数据认证过程和/或脱机PIN加密过程中检查证书失效期,处理限制过程检查应用失 效/有 效期。时间用于确保交易识别的唯一性,也可用作应用密码算法的输入。更新ROM,
