我是EMV开发的新手。我的问题是关于Tag 91 (Issuer Authetication Data),它是由发行方在EMV response中发送的。在我的例子中,当响应包中缺少标签91时,即使发行者已经在线批准了交易,芯片卡也决定拒绝交易。所以我想知道Tag 91是否是发行人每次在线批准交易时需要发送的强制性标签,以及业界对它的广泛理解是什么。请让我知道你的想法。
另外,在我的情况下,Application Interchange Profile Byte 1, Bit 3 = 1意味着需要外部身份验证。
您是卡应用还是终端应用?
必须始终执行发行者身份验证,除非您正在做部分芯片实现。我相信您知道,这是一种额外的安全级别,可确保响应来自正确的颁发者。当AIP B1B3打开时,表示卡片将期望标签91。
在某些情况下甚至是默认的。如。D-PAS(Diners/Discover) AIP B1B3关闭,因为它不支持外部身份验证。在第二代AC期间进行验证。在这种情况下,如果发行者希望卡在ARPC不存在时不拒绝交易,则在ACO(应用程序配置选项)中明确提到部分芯片实现。
在实施之前仔细检查每个支付方案卡和终端规格手册,因为实施中的任何漏洞都可能帮助欺诈者跳过您希望提供的安全性。经验法则是,如果你从发行者那里得到ARPC,总是把它发送给card。
从卡应用程序方面我可以添加"应用程序交换配置文件字节1,位3 = 1意味着支持外部身份验证,但不是必需的。这是什么意思?卡可能支持发行者身份验证,但在线交易可能不需要(发行者身份验证在卡内部参数中可以是强制性的或可选的)。即,可选的,这将是伟大的做认证,但如果不是-没有问题,做在线。如果发卡人没有发送标签91卡,可以批准交易。