中国银联发布移动支付、生物认证等三大标准规范

本篇文章2866字，读完约7分钟

在银联卡认证企业2016年年会上，中国银联对银联卡受理终端和创新支付标准相关工作进行了部署，发布了三个标准规范:《银联卡销售点终端技术规范》(修订版)、《中国银联移动支付技术规范》(修订版)和《中国银联生物认证技术指南》(新版)。通过在技术标准、创新产品和认证管理等方面引入相应的策略，为基于金融ic卡的各种创新产品和应用提供技术支持，进一步促进和扩大金融ic卡和移动金融产品在各个领域的全面接受。

Pos终端专注于支持云闪存支付和小型保密豁免

近年来，银联联合行业各方都在大力推广金融ic卡的多种应用。通过加强非受理市场建设，受理环境不断改善和转型，扩大金融ic卡在各个领域的影响力。去年，银联标志产品企业资质认证办公室下发了相关通知，要求所有新申请并通过换证申请的银联卡受理终端从2015年7月1日起具备不连接ic卡的功能，有效促进了银联“闪支付”和“云闪支付”受理环境的改善。根据移动支付网的统计，截至2015年底，中国有840万不可受理的pos终端，占所有pos终端的37%，金融支付逐渐进入了flash支付时代。

此次发布的《银联卡销售点终端技术规范》(修订版)，在支持非受理的pos终端ic卡功能方面，对支持云闪卡支付、小型免签免密和营销活动提出了要求:通过支持cdcvm和试点优先刷卡，提升云闪卡支付和非联网ic卡的受理体验；优化交易体验，远程增加借记卡绑定功能，实现小规模无秘密免签业务的全面推广；优化采购签署、结算和接口流程，并专注于营销活动。优化关键营销活动的体验也意味着银联更加关注B端商户和C端消费者的体验。

去年11月，中国银联正式推出了少量的秘密免签服务，实现了银联ic卡和移动支付设备在支付时低于300元的秘密免签服务。截至目前，全国所有银联ic信用卡和12家全国性银行的ic借记卡都支持300元以内的单笔交易，无需保密或签证。银联卡销售点(pos)终端技术规范(修订版)增加了远程借记卡绑定功能，新增借记卡绑定和无密卡绑定黑名单可多次下载，有助于实现小额无密业务第二阶段进入全面推广阶段。为防止部分大银行在综合推广阶段无法正常上线，规范设置了免密卡仓黑名单控制，黑名单中的卡仓在综合推广阶段不参与免密。

此外，pos终端和终端打印的订单和报表新增了保密提示，以进一步提高公众意识；免密码、免签、免密码交易的在线拨号从刷卡结束提前到货币输入结束，有效减少了终端的交易处理时间，优化了交易体验。同时，要求持卡人和收银员强制刷卡，养成用卡习惯；原pos终端提示“请刷卡、插入卡或刷卡”进一步优化，建议使用“请刷卡、使用云端支付”。在推广云闪存支付时，这种强硬措施可能会优化不可接受的环境。根据移动支付网络，银联已经在杭州和武汉的部分商户开展了试点验证工作，试点验证后将纳入统一终端方案。

移动支付凸显hce，增加在线官方发展援助功能

去年12月，中国银联和20多家商业银行联合发布了“云支付”产品。作为银联云闪支付系列产品的重要成员，hce扩大了支持云闪支付的手机范围，扩大了云闪支付的覆盖面。为完善hce产品功能，提升用户支付体验，中国银联移动支付技术规范(修订版)对云闪支付hce产品进行了升级，并对规范中的基于主机卡模拟技术的非联网移动应用规范和基于主机卡模拟技术的云支付平台系统实施要求进行了修订。

为了明确规范的定义，避免云等概念造成的误解，混淆规范的内容，中国银联移动支付技术规范(修订版)改变了规范名称，突出了hce(主机卡模拟)的概念，将“基于云支付平台的非连接移动应用规范”改为“基于主机卡模拟技术的非连接移动应用规范”；基于云支付平台的系统实施需求转变为基于主机卡模拟技术的系统实施需求。

值得一提的是，《基于主机卡模拟技术的非联网移动应用规范》和《基于主机卡模拟技术的云支付平台系统实施要求》都增加了对在线oda功能的支持。Oda是离线数据认证，在线oda功能使终端在进行在线quics交易时，无需得到发卡银行的授权响应，即可通过离线数据认证来判断卡的真伪，从而为地铁等特定行业提供了一种新的支付解决方案。据报道，oda技术在伦敦地铁去年实施的移动支付中被采用。对于国内复杂的金融ic卡和移动支付应用，增加oda功能可以消除电子现金模式的使用，持卡人无需存款和担心闪存卡。同时，避免了行业关键控制权的问题，终端不需要频繁修改，后台系统可以实现精确匹配和打折促销。

此外，银联还要求增加cdcvm对hce的支持。Cdcvm意味着消费者在自己的设备上输入指纹和密码等个人信息，并在现有设备上进行验证。该应用规范进一步完善了cdcvm的验证，这是少量保密豁免的增强版本，也就是说，当在自由设备上交易时，cdcvm验证无需输入密码即可通过。

生物认证基于安全芯片或tee

近两年移动支付的快速发展与生物识别技术的兴起有关。对于移动支付，身份认证和密码安全非常重要。传统的数字密码很容易被窃取和遗忘，而生物特征识别技术是独一无二的、遗传的，终生不变。无论是二维码支付还是nfc支付，生物认证作为一种身份和密码认证方式，给用户带来了中国银联发布的移动支付和生物认证等三大标准

安全便捷的支付体验有力地推动了移动支付的发展。鉴于中国金融行业没有统一的生物认证标准，银联发布了《中国银联生物认证技术指南》(新版)，有望结束此前各金融行业定义的混乱局面，为产业链各方的发展指明方向，缩短申请落地周期。

中国银联生物认证技术指南(新版)从技术框架、安全体系、软硬件要求和接口数据四个部分对在线和离线交易的生物认证技术进行了指导。该技术框架包括指纹识别、人脸识别和虹膜识别三种生物识别产品和应用的统一标准规范，并为其他生物识别技术的扩展和应用保留技术支持，以便将来能够更简单、更快速地访问其他生物识别技术。

为了满足金融支付领域的高安全性要求，为持卡人提供更安全、更快捷、更简单、更方便的支付方式，银联生物认证技术框架要求生物认证技术基于安全芯片或tee，以确保设备底部的每个模块运行在安全可信的环境中；建立安全渠道和密钥机制，确保生物特征模板、密钥和证书等机密数据的安全通信和存储；证书和数字签名用于确保传输过程中比较结果的不可篡改和不可否认性，并用于认证设备的合法性；认证的关键数据环节采用生物识别结合业务流程来认证用户身份的合法性。

生物识别安全环境流程

银联生物认证技术指南侧重于指纹技术的识别和安全服务。自从苹果支持指纹识别技术以来，大众消费者对支持指纹技术的智能设备的需求显著增加，越来越多的手机开始增加指纹识别功能。但是，由于缺乏统一的标准，行业内各方很难达成共识。不同的手机制造商采用不同的指纹识别解决方案和采集技术，如按压、滑动和触摸等，给用户体验带来一定的困扰。

银联生物认证技术采用推式指纹识别方案，要求在线交易支持无卡支付、卡支付和支付网关，按下指纹后可以直接支付；在离线交易中激活指纹服务后，可以进行nfc支付，也可以通过cdcvm直接完成支付，这将大大提高支付体验和安全性。