PBOC3.0和PBOC2.0标準規範異同分析

2013年2月，中國人民銀行釋出了《中國金融內建電路（IC）卡規範（V3.0）》（以下簡稱PBOC3.0），PBOC3.0是在中國人民銀行2005年頒布的《中國金融內建電路(IC)卡規範（2.0）》（以下簡稱PBOC2.0）基礎上，經業内專家多次研讨并不斷修訂、補充完善而成，此次更新适應了銀行卡業務發展的新要求，為金融IC卡進一步擴大應用奠定了基礎，對推進金融創新和提升金融服務民生的水準有重要意義。

    一、PBOC3.0頒布的背景

    1997年12月，中國人民銀行在借鑒國際有關标準的基礎之上，結合國内金融應用需求，釋出了《中國的金融內建電路（IC）卡規範V1.0》，後來業内把此規範稱作PBOC1.0。從内容上看，PBOC1.0規範定義了電子錢包/電子存折應用，規定了卡片和終端的接口、卡片本身的技術名額、應用相關的交易流程和終端的技術要求等。

    為滿足金融IC應用發展的需要，中國人民銀行于2003年啟動PBOC1.0規範修訂工作，補充完善電子錢包/存折應用，增加了與EMV2000标準相容的借記/貸記應用，增補了非接觸式IC卡電氣協定特性、電子錢包擴充應用、借記/貸記應用個人化指南等内容，并在2005年3月頒布了PBOC2.0規範。

    為推動金融IC卡在小額支付和快速支付領域的應用，中國人民銀行于2010年5月釋出PBOC2.0規範2010版。該規範共13個部分，增加了非接觸支付、基于借記貸記的電子現金等内容，以滿足小額的快速支付的市場需求。

    為适應我國社會安全支付的需要，推動金融IC卡的健康發展，2011年3月15日，中國人民銀行釋出《中國人民銀行關于推進金融IC卡應用工作的意見》，表示“十二五”期間将在全國範圍内全面推進金融IC卡應用，以促進中國銀行卡的産業更新和可持續發展。同時人民銀行也提出了IC卡受理環境改造和銀行發夾的時間表，這标志着國内金融IC卡遷移開始全面推進，IC卡遷移進入關鍵時期。經過近三年的努力，PBOC3.0規範應運而生，由人民銀行于2013年2月正式頒布實施。

    二、PBOC3.0的主要内容

    PBOC3.0共包括14個部分（原PBOC2.0的第1部分：錢包存折卡片、第2部分：錢包存折應用、第9部分：錢包存折擴充已删除），分别為：

    第3部分：與應用無關的IC卡與終端接口；

    第4部分：借記貸記應用；

    第5部分：借記貸記應用卡片；

    第6部分：借記貸記應用終端；

    第7部分：借記貸記應用安全；

    第8部分：與應用無關的非接觸式規範；

    第10部分：借記貸記應用個人化指南；

    第11部分：非接觸式IC卡通訊；

    第12部分：非接觸式IC卡支付；

    第13部分：基于借記貸記應用的小額支付；

    第14部分：基于借記貸記應用的小額支付擴充應用；

    第15部分：電子現金雙币支付應用；

    第16部分：IC卡網際網路終端；

    第17部分：借記貸記應用安全增強。

    PBOC3.0結合國内外最新技術與安全标準，對金融IC卡的底層标準及安全算法進行了完善，增強了卡片與終端的互動适應性，同時引入了移動支付、行業多應用等元素，提高了金融支付的安全性。

    三、PBOC3.0和PBOC2.0的異同分析

　　1、 安全增強

　　出于對國家金融安全等多種因素的考慮，PBOC3.0在第17部分詳細定義與說明了國密算法在金融IC卡中的應用，即PBOC3.0的金融IC卡可以支援SM2/SM3/SMS4(國密算法)與RSA/SHA-1/3DES(國際算法)。這兩套算法通過 SM算法支援訓示器标簽DF69進行切換。

　　兩套算法切換的原則是：終端和卡片使用共同支援的算法完成交易;遵循國密算法優先處理的原則。

　　2、 增加應用

　　(1) 非接觸式IC卡小額支付擴充應用

　　為适應金融IC卡跨行業多應用需求，推動金融IC卡的一卡多用惠及民生，PBOC3.0在第14部分增加qPBOC擴充應用，配置設定了擴充應用檔案，進而滿足了金融IC卡在地鐵、公交、高速公路收費、停車收費、鐵路(高鐵)等領域的多種應用，同時預留了其它銀行自定義應用及保留應用。

　　(2) 電子現金雙币應用

　　随着國際IC卡遷移的推進，我國的金融IC卡進一步相容國際标準，為港澳台及國外持卡人提供便利，PBOC3.0第15部分增補了雙币電子現金和雙币qPBOC應用，對雙币種交易時的TAG進行了映射，最大限度地友善持卡人在兩種币種間的快速轉換。

　　(3) IC卡網際網路終端

　　為推動金融IC卡與網絡支付和移動支付的整合發展，PBOC3.0在第16部分中增補了IC卡網際網路終端的内容，對IC卡網際網路終端的安全體系、應用場景、交易流程等環節進行了詳細的定義與闡釋。IC卡網際網路終端有效地引入了移動支付的新元素，多種應用場景圈存解決了持卡人到銀行櫃台排隊辦理業務的苦惱。

　　3、 原有内容更新

　　(1) 增加了AID預留和配置設定

　　對TAG進行了預留以供将來使用;定義了AID的編碼規則、保留規則。

　　(2) 修訂了GAC與GPO指令資料的相關内容。

　　明确了GAC與GPO指令資料不一緻時卡片處理方法;

　　在終端層面，也明确了若卡片傳回标簽重複，終端應當終止交易;

　　卡片聯機GPO響應資料中新增了9F63的要求，以适應不斷增長的應用需求;

　　明确了GPO響應應遵循的格式。

　　(3) 明确了執行發夾行認證與執行發夾行腳本之間的關系。

　　卡片應當能正常處理應用解鎖指令，無論發夾行認證是否執行，若發夾行認證執行但失敗，則卡片應拒絕執行發夾行腳本，并推薦以“6985”響應發夾行腳本指令。

　　(4) 修改9F63産品辨別資訊。

　　9F63命名為“産品辨別”，用于辨別持卡人裝置産品的實體形态，用途等。

　　(5) 增加了第6.5節“個人化資料必須遵循的規則”

　　在增加規則的同時，也明确了9F10中發夾行自定義資料的要求，這些部分的修訂，結合了各商業銀行接入銀聯網絡的有關經驗，對于商業銀行發夾的個人化資料具有指導性意義。

　　(6) 修訂非接觸式IC卡通訊的參數

　　參數的修訂目的在于相容ISO/IEC 14443：2011。

　　(7) 增加兩種交易日志

　　圈存日志的要求：當卡片中的電子現金餘額(9F79)被設定資料(Put Data)指令成功改寫時，卡片應當記錄一條圈存日志。

　　增加了qPBOC交易日志要求(發夾行可選)。

　　(8) 其它終端部分的主要修訂内容

　　終端也不應因持卡人姓名有誤而終止交易;

　　終端在交易時及交易後取得卡片中電子現金餘額的方法;

　　授權金額為0的處理方式：如果授權金額為零，除非終端支付qPBOC擴充應用，具有聯機能力的終端應在終端交易屬性位元組2的第8位表示要求聯機應用密文;如果授權金額為零，除非終端支付qPBOC擴充應用，僅支援脫機的終端應終止交易，提示持卡人使用另一種界面(如果存在)。

　　(9) 其它卡片部分的主要修訂内容

　　修訂了卡片連續MAC錯的處理方法。當卡片執行了收到一個MAC錯的發夾行腳本指令，則不應允許執行後續的發夾行腳本指令;

　　修訂了關于“閃卡”的處理辦法;

　　明确了qPBOC不再設定LOATC。

　　4、删除不适用部分

　　删除了電子錢包/電子存折應用及其擴充應用;

　　删除了借貸記應用中對DDF的描述，删除了終端在應用選擇時對DDF的支援，同時強制卡片不使用DDF;

　　删除了非接觸支付應用中的MSD應用相關内容。

　　四、PBOC3.0頒布對産業發展的影響

　　PBOC3.0的頒布有利于我國銀行卡産業應對國際銀行卡技術發展的挑戰，滿足新形勢下人民群衆對安全、便捷支付方式的需要，促進了我國銀行卡産業技術更新，推動了我國金融IC卡應用與行業應用的結合，為加快推進我國金融IC卡應用普及和産業發展提供了指引和發展機遇。

　　同時，PBOC3.0的頒布進一步完善了金融标準化體系，為提升我國金融服務水準和保障金融業健康發展提供了有力支撐。

　　五、結束語

　　PBOC3.0規範的編制與出台，曆時近三年，是各有關部委、金融機構、IC卡産業鍊機關等集體智慧的結晶。為配合PBOC3.0規範的宣貫與實施，銀行卡檢測中心作為獨立的專業化第三方檢測機構，及時參與并跟進PBOC規範的編制，目前已經依據PBOC3.0的更新及時更新或新開發了适應PBOC3.0要求的檢測工具和測試平台，對全面對外推出PBOC3.0相關的測試項目，滿足了IC卡及終端産品依據新規範改造後的測試需求;與此同時，銀行卡檢測中心面向各商業銀行、IC卡相關企業開展了以“PBOC3.0檢測标準、技術”為主題的教育訓練研讨班，積極配合了新标準的落地實施。