機構接入Cupsecure的SAA模式改造說明

附件3：

機構接入cupsecure網銀模式（saa模式）改造說明

一、聯機交易

（一）、交易處理部分

發卡機構直接驗證授權模式 saa模式

issuer secure authentication and authorizaiton mode

在發卡機構直接認證模式中，由發卡機構的持卡人安全認證授權系統（以下簡稱saa）提供介面供持卡人輸入身份認證安全資訊並完成相應支付交易的安全認證模式。

由發卡機構自行收集使用者安全認證資訊，完成安全認證和授權處理。

持卡人的認證方式和認證要素由發卡機構決定。

持卡人安全認證授權系統

secure authentication and authorizaiton server；saa

適用於發卡機構直接驗證授權模式，可以由發卡機構自建或者是委託第三方建設。主要功能為提供和持卡人之間的互動服務、身份驗證服務和交易授權服務。

（1）金融類的交易

餘額查詢（跨行餘額查詢或某些業務型別的輔助交易）

消費、消費撤銷、退貨

預授權、預授權撤銷、預授權完成、預授權完成撤銷

賬戶驗證、匯款（跨行匯款）

代扣（保險業務、**郵購等）

（2）通知類的交易

交易異常通知（為sr發往saa的訊息，通知發卡機構sr在對網際網路交易進行後續處理時發生異常狀況，發卡機構需要針對異常的種類對原始交易進行相應的修正）

（3）管理類的交易

交易結果查詢（為api發往sr的銀聯卡交易結果查詢請求訊息，用於api未接收到sr響應的itres時，收單機構主動發起查詢請求確定交易結果）

卡段**（從api發往sr的訊息，用於請求以全量/增量方式**cupsecure支援的卡段的更新）

（1）訊息的作用

訊息是用來傳遞詳細交易以及交易控制資訊的。

（2）訊息的種類

screq、scres：卡段**類訊息

cereq、ceres：卡參與查詢類訊息

itreq、itres：網際網路交易類訊息

irreq、irres：交易結果查詢類訊息

itexc：網際網路交易異常訊息

error：錯誤訊息

表1　安全認證方參與物件/元件

（1）註冊系統建立

對於發卡機構直接驗證授權模式，為確保saa能夠獲得支付驗證過程中所需要的充足資訊，發卡機構可以建立註冊系統。發卡機構自行定義持卡人註冊流程，可以採用櫃面註冊等方式。本節不對註冊系統建立流程進行描述。

對於發卡機構的saa系統，由於其能與持卡人進行完全互動，賬戶的處理由saa自行完成。對於認證持卡人時需要輸入的資訊和賬戶系統的介面亦不在本規範定義範圍之內。

（2）交易處理流程預說明

發卡機構直接驗證授權模式也是針對發卡機構而言。5.2中描述了saa模式下發卡機構支援的交易種類。

同sc模式，消費、預授權和餘額查詢交易也需要持卡人的實時參與，而其他交易則不需要。

同時saa模式下會有一類特殊的交易，需要從saa直接發起，並且區分通知類和管理類，

所以下面會區分這四種情況分別描述交易處理流程。

（3）消費/預授權/餘額查詢交易處理流程

下述交易流程適用於消費、預授權和餘額查詢交易。由於餘額查詢交易不包含交易金額等資訊，因此saa顯示給持卡人的頁面不包含交易金額和交易幣種資訊。

流程說明

發卡機構直接驗證模式交易流程圖

上圖所示為發卡機構直接驗證授權模式交易流程圖，流程說明如下表：

發卡機構直接驗證授權模式交易流程說明

步驟0為了減少api訪問sr的次數，提高系統效率，api應具備從sr**cupsecure支援的卡段，並存放在cache中的功能。一旦api開啟該功能，則api可以通過直接查詢cache來判斷卡片是否在cupsecure支援的卡段內。cache中的內容每24小時後將失效且需要重新重新整理。

因此，一旦api首次將卡段裝載到cache中，其後每隔24小時將定時請求更新cache。

注意：為了防止所有api同時請求更新卡段，api中的更新時間應該可配置。

具體流程如下：

（1）api生成screq訊息並傳送給sr。

更新方式有兩種：全量更新和增量更新。

當api需要全量更新時，api生成的screq訊息中不包含「序列號」域，sr將返回所有參與cupsecure的卡段。該方式一般用於第一次裝載或者是重新裝載所有卡段到cache中的情況。

當api需要增量更新時，api從最近收到的scres訊息中提取出「序列號」域值，幷包含在screq訊息中，這樣sr將只返回自生成前一scres訊息時間點以來所有變化卡片範圍值。

（2）sr生成scres訊息返回給api。

如果在sr收到的screq訊息中包含「序列號」域，則sr只返回自生成前一scres訊息時間點以來所有變化卡片的範圍值。否則，sr將返回所有參與cupsecure的卡段。

（3）api更新cache。

更新cache時，必須按照sr返回的卡段列表順序更新，同時根據「操作標誌」域值來進行增加或者刪除操作。同時，api必須儲存「序列號」域值。

步驟1（1）持卡人瀏覽商戶**，購買商品，選擇使用銀聯卡進行網上支付。

（2）商戶**提交支付請求到收單機構支付閘道器，同時將持卡人瀏覽器頁面定向到支付閘道器支付頁面。

步驟2持卡人在支付閘道器上輸入並提交銀聯卡號。

步驟3本步驟在持卡人結賬時「確認支付」時觸發。支付閘道器呼叫api發起交易（預授權/消費/餘額查詢）請求，流程如下：

（1）api如果具有**卡段的功能，首先在cache中查詢卡號是否包含在參與cupsecure的卡段中，如果是則api生成cereq訊息，否則api傳送拒絕通知給收單機構網上支付交易介面，並終止本次交易流程。如果api不具有**卡段的功能，則api生成cereq訊息。

（2）api提交cereq訊息給sr。

步驟4sr處理

本步驟在sr從api接收到cereq訊息後立即觸發，流程如下：

（1）sr從cereq訊息中獲取持卡人卡號，並判斷該卡號是否在註冊參與cupsecure的卡bin範圍中，如果未包含在卡bin範圍中，則sr生成ceres訊息（將「卡號參與驗證標誌」域值設定為「n」），並將ceres訊息返回給api，本次交易流程結束。

（2）若該卡號包含在卡bin範圍之中，則sr根據卡號確認卡片參與的安全認證模式，如果確認該卡參與發卡機構直接驗證授權模式服務，則sr生成ceres訊息（將「卡號參與驗證標誌」域值設定為「y」），同時為了防止持卡人在傳遞交易時篡改資訊，sr將交易關鍵資訊簽名，將簽名放置在ceres中（具體關鍵資訊的構成參見認證資料域的說明），並將ceres訊息返回給api。

api接收響應

對於api而言，本步驟在api提交cereq訊息給sr後立即觸發（對於sr而言，本步驟在sr將ceres訊息**給api後立即觸發）。處理流程如下：

api檢查接收到的ceres訊息，如果「卡號參與驗證標誌」域值不為「y」，則響應拒絕通知給收單機構支付閘道器，並終止本次交易流程。

步驟5 ~ 步驟6

本步驟在api接收到ceres訊息後立即觸發。處理流程如下：

（1）api生成itreq訊息（預授權/消費/餘額查詢），其中包含從ceres中獲得的認證資料資訊。

（2）api將itreq訊息壓縮，表示為base64編碼，得到itreq值。

（3）api構造如下**：

api發往saa的域

（4）api通過持卡人瀏覽器將itreq訊息傳遞給ceres訊息中定義的持卡人互動方url（本模式下該域值即為saa的url），同時通過持卡人瀏覽器將上述**提交給saa。這一過程通常由j**ascript組成。

步驟7本步驟在saa接收到api提交的itreq訊息後立即觸發。處理流程如下：

（1）saa將itreq域解碼解壓縮為itreq訊息。

機構接入Cupsecure的SAA模式改造說明

關於接入失敗原因的分析

分布式電源的柔性接入

ADSL寬頻接入的共享上網的方法

機構接入Cupsecure的SAA模式改造說明

關於接入失敗原因的分析

分布式電源的柔性接入

ADSL寬頻接入的共享上網的方法

相關推薦