ICS 35.240.40 A 11 JR 中 华 人 民 共 和 国 金融行 业 标 准 JR/T 0025.18—2018 中国金融集成电路（ IC）卡规范 第18部分：基于安全芯片的线上支付技术 规范 China financial integrated circuit card specifications — Part 18：The technical specification of online payment based on secure chip 2018 - 11 - 28发布 2018 - 11 - 28实施 中国人民银行 发布 JR/T 0025.18—2018 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ .............. 1 2 规范性引用文件 ................................ ................................ .... 1 3 术语和定义 ................................ ................................ ........ 1 4 缩略语 ................................ ................................ ............ 2 5 基于安全芯片的线上支付实现 ................................ ........................ 2 6 安全要求 ................................ ................................ .......... 7 JR/T 0025.18—2018 II 前 言 JR/T 0025 —2018《中国金融集成电路（ IC）卡规范》分为 14部分： ——第1部分：总则； ——第3部分：与应用无关的 IC卡与终端接口规范； ——第4部分：借 记/贷记应用规范； ——第5部分：借记 /贷记应用卡片规范； ——第6部分：借记 /贷记应用终端规范； ——第7部分：借记 /贷记应用安全规范； ——第8部分：与应用无关的非接触式规范； ——第10部分：借记 /贷记应用个人化指南； ——第12部分：非接触式 IC卡支付规范； ——第13部分：基于借记 /贷记应用的小额支付规范； ——第14部分：非接触式 IC卡小额支付扩展应用规范； ——第15部分：电子现金双币支付应用规范； ——第16部分：IC卡互联网终端规范； ——第18部分：基于安全芯片的线上支付技术规范。 本部分为 JR/T 0025 —2018的第18部分。 本部分按照 GB/T 1.1 —2009给出的规则起草。 本部分由中国人民银行提出。 本部分由全国金融标准化技术委员会（ SAC/TC 180 ）归口。 本部分起草单位： 中国人民银行、中国金融电子化公司、中国农业银行、中国银行、中国建设银行、 交通银行、中国邮政储蓄银行、中国民生银行、上海浦东发展银行、中信银行、中国银联股份有限公司、 中金金融认证中心有限公司、银行卡检测中心、北京中金国盛认证有限公司、中国电子科技集团公司第 十五研究所、北京握奇数据系统有限公司 。 本部分主要起草人： 李伟、王永红、陆书春、潘润红、李兴 锋、宋汉石、渠韶光、 邵阔义、 邬向阳、 杨倩、聂丽琴、杜宁、周玥、张宏基、程胜、黄本涛、汤沁莹、王禄禄、赵哲、王欢、刘运、魏猛、廖 志江、史大鹏、谢元呈、延冰、宋捷、庞杰、李晓、姜鹏、张栋、付小康、黄江、张永峰、高志民、高 强裔、尚可、马哲、侯晓晨、吴永强、宋铮、李国俊、金铭彦、杨明庆、魏娜、王冠华、王晓东、刘文 其、高峰、郭晶莹 。 JR/T 0025.18—2018 III 引 言 随着移动支付的飞速发展， 基于安全芯片的 借记/贷记支付应用在移动互联网等线上场景中被广泛 使用。为促进基于安全芯片的线上支付业务的健康发展 ，将金融 IC卡应用在线上与线下支付场景中进 行 统一整合。 本部分基于JR/T 0025 —2018对于金融 IC卡应用的支付应用流程与报文结构要求，结合《中国金融 移动支付》 系列标准 对于移动支付安全单元等账户介质及客户端、支付系统后台服务器等线上支付环节 的控制要求，对基于安全芯片的借记 /贷记等金融 IC卡应用线上支付 ，从实现基本原理、交易流程、个 人化要求、安全要求 等方面提出框架性规范要求，为包括金融集成电路（ IC）卡及终端制造商、支付系 统、应用开发商及检测认证机构提供应用指导。 JR/T 0025.18—2018 1 中国金融集成电路（ IC）卡规范 第18部分：基于安全芯片的线上支付技术规范 1 范围 本部分规定了个人移动智能终端如何基于借记 /贷记应用和安全芯片，通过移动互联网 采取后台账 户限额控制和 线上支付密码 等持卡人身份认证 保护措施 ，实现安全的个人线上支付（以下简称基于安全 芯片的线上支付），仅适用于个人支付。 本部分适用于基于 安全芯片的线上支付相关系统及产品的设计、开发、制造、运营等单位 ，也适用 于以安全芯片为借记 /贷记等金融 IC卡应用载体，通过个人移动终端和移动互联网，进行个人线上支付 的情况，不 适用于商户收单。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件， 仅注日期的版 本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 JR/T 0025 —2018（所有部分） 中国金融集成电路（ IC）卡规范 JR/T 0068 网上银行系统信息安全通用规范 JR/T 0092 中国金融移动支付 客户端技术规范 JR/T 0096.3 —2012 中国金融移动支付 联网联合 第3部分：报文交换规范 JR/T 0098.2 —2012 中国金融移动支付 检测规范 第2部分：安全芯片 3 术语和定义 下列术语和定义适用于本 文件。 3.1 安全芯片 secure chip 在支付中负责交易关键数据的安全存储和运算功能的集成电路芯片。 3.2 基于安全芯片的线上支付 online payment based on secure chip 以安全芯片（或安全单元） 为载体， 使用 借记 /贷记应用，采取在后台账户中设置相应的控制限额， 并设置线上支付密码 等持卡人身份认证 保护措施，通过 个人移动终端和移动互联网，直接与后台服务 器进行交互完成交易处理的支付方式。 3.3 客户端软件 client software JR/T 0025.18—2018 2 用于完成基于安全芯片的线上支付 交易的应用软件 以及提供相关功能的组件。 3.4 单笔线上支付限额 single online transaction limit 为控制线上支付交易风险，针对后台账户设置的线上支付交易的单笔授权金额上限。 3.5 累计线上支付限额 cumulative total online transaction limit 为控制线上支付交易风险，针对后台账户设置的线上支付累计可以用于交易的金额上限值，可以 周期性清零循环使用。 3.6 线上支付密码 online payment password 用于控制线上支付交易对后 台账户进行扣减余额等操作的代码或口令。 3.7 账户介质 account medium 用于存储用户账户信息的安全载体，包括普通金融 IC卡、个人移动终端安全单元等。 4 缩略语 下列缩略语适用于本文件。 AC——应用密文（ Application Cryptogram ） AAC——应用认证密文（ Application Authentication Cryp togram） AFL——应用文件定位器（ Application File Locator ） AIP——应用交互特征（ Application Interch ange Profile ） ARPC——授权响应密文（ Authorization Response Cryptogram ） ARQC——授权请求密文（ Authorization Request Cryptogram ） ATC——应用交易计数器（ Application Transaction Counter ） CID——密文信息数据（ Cryptogram Inf