理解EMV交易流程：持卡人验证方法与应用选择

"这篇资料主要介绍了EMV交易流程中的持卡人验证方法，以及在卡片与终端交互过程中的关键步骤，如应用选择、应用初始化和读应用数据等。" EMV，即Europay, Mastercard, Visa的首字母缩写，是一种国际银行卡标准，用于提高非接触式和接触式支付卡的安全性。EMV流程的核心是确保交易的安全性和有效性，其中持卡人验证（Cardholder Verification Method, CVM）是关键环节。 在EMV交易流程中，发卡行可以设定多种持卡人验证方法，包括脱机明文PIN验证、脱机加密PIN验证、联机加密PIN验证、签名验证，以及无需CVM的情况。在中国特有的PBOC标准中，还有持卡人身份证件验证。CVMs的列表采用特定的4字节X、4字节Y+2字节CVM1、2字节CVM2等格式编码，每个CVM由一个1字节的CVM代码和一个1字节的条件码组成。 交易流程通常包含以下步骤： 1. **启动**：交易开始，终端与卡片进行初步交互，获取卡片的基本信息。 2. **数据认证**：卡片与终端进行数据交换，确保卡片的真实性。 3. **持卡人验证**：根据CVM列表，终端会要求持卡人进行相应的验证操作，如输入PIN或签名。 4. **终端功能**：终端执行特定功能，如读取卡片应用数据。 5. **卡片行为分析**：卡片对交易进行响应，可能包括进一步的验证请求。 6. **终端风险管理**：终端评估交易风险，如检测欺诈行为。 7. **终端行为分析**：终端根据卡片的反应调整下一步操作。 8. **联机处理**：如果需要，交易信息会被发送到发卡行进行在线授权。 9. **结束处理**：交易完成，卡片和终端断开连接。 在应用选择阶段，有两种方法来确定卡片和终端共同支持的应用：**PSE选择方法** 和 **应用列表选择方法**。PSE选择方法是通过查找PSE（支付系统目录）下的文件树结构来找到所有应用，而应用列表选择方法则是基于终端预设的应用列表进行匹配。应用标识（AID）是区分不同支付网络和应用的关键，如Visa、Mastercard、JCB和PBOC的AID。 当有多于一个应用匹配时，终端可能需要提示持卡人选择或根据优先级自动选择。如果没有任何匹配应用，交易将无法继续；如果有多个匹配应用，持卡人可能会被要求进行选择，或者系统自动选择优先级最高的应用。 EMV流程的设计旨在提供安全的支付环境，减少欺诈风险，并确保卡片与终端之间的通信准确无误。理解和实施这些流程对于维护金融系统的稳定至关重要。