CUPSecure SAA银行技术规范说明

CUPSecureSAA技术规范说明中国银联产品创新部2019/10/3主要内容总体说明交易流程说明交易报文说明基金业务说明总体说明中国银联互联网安全支付服务是中国银联自主创新、拥有知识产权、符合当前国内网上支付现状的互联网安全支付产品。建立了持卡人、发卡机构、收单机构和商户四方统一的操作流程、服务流程和结算流程，为互联网消费者提供安全、有效、便利的支付环境和服务，结束电子商务支付环节长期以来无标准可言，无规范可施的局面。持卡人互联网商户发卡机构收单机构银联互联网安全支付业务业务模式SAA/SC银联安全输入模式由银联提供服务，代替发卡机构收集用户安全认证信息，并通过现有跨行交换网络发送给发卡机构进行安全认证和授权处理。银联提供多种认证方式和认证要素由各家银行选择。认证方式和认证要素配置支持到卡种。SC模式发卡机构直接验证授权模式由发卡机构自行收集用户安全认证信息，完成安全认证和授权处理。持卡人的认证方式和认证要素由发卡银行决定。SAA模式入网方式发卡机构SAA模式SC模式商户收单机构CUPSecureAPI中国银联CUPSecure系统•互联网跨行支付业务•跨境互联网支付业务•国内/跨境互联网汇款业务•电话邮购业务•分期付款业务……交易种类金融类交易余额查询消费、消费撤销、退货预授权、预授权撤销、预授权完成、预授权完成撤销帐户验证、汇款代扣消费、代扣授权收单行支付通知、发卡行支付通知交易异常通知请求类交易通知类交易管理类交易交易结果查询卡段下载互联网委托银联验证参与方支持的交易种类收单机构支持除交易异常通知以外的所有的互联网发起的交易支持SC模式的发卡机构，也支持SAA模式的发卡机构SC模式发卡机构只需支持传统的交易种类，不需支持互联网特殊交易余额查询、消费类、预授权类、帐户验证、汇款、冲正SAA模式发卡机构支持金融类交易，而不包括管理类余额查询、消费类、预授权类、帐户验证、汇款、代扣、通知类交易消息种类消息的作用消息是用来传递详细交易以及交易控制信息的。SCReq卡段下载类消息SCRes消息的种类CEReqCEResITReqITResIRReqIRResITExcIPReqIPResISReqISResError卡参与查询类消息互联网交易类消息交易结果查询类消息互联网交易异常消息互联网支付通知类消息互联网验证类消息错误消息CUPSecure交易流程说明（SAA）买方登陆商户网站，选择物品。买方买方银行卡持卡人开户行商户开户行购买产品APICUPsecure1持卡人在收单网关输入卡号买方买方银行卡持卡人开户行商户开户行支付请求API2CUPsecure收单网关买方买方银行卡持卡人开户行商户开户行卡号路由APICUP_SR3API将卡号提交CUP_SR持卡人发卡行输入相应的信息，发卡机构认证持卡人身份，并且完成帐户处理买方买方银行卡持卡人开户行商户开户行发卡机构直接认证授权模式API4CUP_SC发卡机构将交易处理结果向SR转发；同时SR向CUPS转发买方买方银行卡持卡人开户行商户开户行发卡机构处理结果转发API5SRCUPS5SR将交易结果返回给API买方买方银行卡持卡人开户行商户开户行交易结果返回APISR6API将交易应答返回给持卡人买方买方银行卡持卡人开户行商户开户行应答结果API7CUPsecureSAA—消费/预授权发卡机构12SR925CUPSSAA346710持卡人持卡人1收单机构支付网关API08交易图中消息对应关系步骤0—卡段更新消息（SCR）步骤3---卡片参与请求消息（CEReq）步骤4---卡片参与响应消息（CERes）步骤5、6---互联网交易请求消息（ITReq）5、6表明通过持卡人的浏览器传递步骤8、9、10---互联网交易响应信息（ITRes）8由SAA传递给SR9由SR传递给API10由SAA传递给API交易流程说明0API发送卡段更新请求给SR以获取CUPSecure支持的最新卡段，同时保存到其cache中；1持卡人浏览商户网站、购买商品、选择使用银联卡进行网上支付，商户网站提交支付请求到收单机构支付网关，同时将持卡人浏览器页面定向到支付网关支付页面；2持卡人在支付网关上输入并提交卡号；3支付网关调用API发起交易（预授权/消费）请求；API对SR发起确定持卡人是否参与CUPSecure的请求；4SR根据卡号确认发卡机构参与发卡机构直接验证授权模式服务，则SR进行相关检查后将响应返回给SR；如果无法验证（即“卡号参与验证标志”域值不为“Y”），则交易终止5API通过持卡人浏览器提交交易（预授权/消费）请求给SAA；6SAA接收到交易（预授权/消费）请求；7SAA和持卡人进行交互，验证持卡人身份；若持卡人通过身份验证，则SAA直接进行交易的处理；8SAA将交易结果发送给SR；9SR将交易结果发送给API；10SAA将持卡人浏览器重定向到支付网关的交易结果页面。交易流程重点说明Step0可选步骤；API将参与CUPsecure的卡段下载存储在cache中；每次发起卡片参与请求前，查询卡号是否包含在参与的卡段中，如果不是，则拒绝；可以节省交易时间；交易流程重点说明Step3、4发卡机构需要预先在CUPSecure登记参与的卡BIN；SR根据卡号→卡BIN→发卡机构。如果无法查找到，则直接拒绝；如果找到，则将SAA的URL返回API；只查询到卡BIN级别，不支持到卡号级别；不向SAA转发，减少SAA的接口；若选择SAA模式，SR在CERes中会将清算日期传递给API，后续让API放置在ITReq中传递给SAA；针对SAA模式下的跨境交易，SR会在CERes中将发卡机构清算金额、持卡人扣账金额等信息传递给API，后续让API放置在ITReq中传递给SAA；交易流程重点说明Step5、6API将持卡人的浏览器重定向到SAA，同时将互联网交易请求（ITReq）传递给SAA；SAA收到ITReq后，根据xtype可以直接判断交易类型；ITReq中包含流水号+验证服务时间，相当于ISO8583报文中的域7、11，会出现在后续的流水文件中；ITReq包含的特殊信息：商户物流配送标志、清算日期（SR给出）、跨境交易的清算信息；交易流程重点说明Step7SAA和持卡人交互，认证持卡人；对基金交易，SAA需默认持卡人已开通交易，并使用ATM密码验证。SAA根据认证结果对帐务进行处理；SAA和持卡人交互页面需要包含以下信息：CUPSecure的标识、商户名称、商户URL、交易金额、币种、交易日期时间；其中除CUPSecure的标识外所有信息来自ITReq交易流程重点说明Step8在SAA将持卡人浏览器重定向回API之前发送；SAA将交易结果通知SR，其中需要对ITRes签名；SR收到后，会对报文作各种检查，如果没有通过检查，SR会向SAA发起ITExc，通知SAA对应的问题所在；交易流程重点说明Step9SR将交易结果转发给API；ITRes在转发前已经过了SR所有的检查；发送给API的ITRes采用的是SR的签名；ITRes采用存储转发；交易流程重点说明Step10SAA收到SR的OK应答后，将持卡人的浏览器重定向回API；SAA同时向API传递ITRes；API会同时收到来自SR和SAA的ITRes，但是API以SR回复的ITRes为准；交易流程重点说明其他发卡机构在返回ITRes后，可选择向SR发送ITReq报文查询该笔交易的最终结果。SAA—消费撤销/退货交易流程说明1支付网关调用API发起交易（消费撤销/退货）请求；2SR根据卡号确认发卡机构参与发卡机构直接验证授权模式后，发送交易（消费撤销/退货）请求给SAA；3SAA接收到交易（预授权/消费）请求后，进行相关验证和处理，将处理结果返回给SR。；4SR将交易结果发送给API。交易流程重点说明步骤1、2---互联网交易请求消息（ITReq）步骤3、4---互联网交易响应信息（ITRes）由于交易过程无用户参与，SAA与SR之间通过双向SSL连接。差错处理与清算•类似现有的POS交易，清算由CUPS完成。•若由于网络原因造成交易异常，以CUPS清算文件为准。交易报文说明交易报文说明SAA模式发卡行对消费类交易需支持如下报文：•ITReq•ITRes•ITExc•Error可选报文：•IRReq•IRResITReq•收到ITReq后首先用BASE64解码然后用标准压缩算法解压缩得到原始报文。•然后用SR证书验证认证数据域，验证失败直接拒绝。认证数据域来源见下页表：•根据交易类型判断关键域是否缺失，如是则返回Error报文。•判断各域的取值是否正确，如电子商务标识域值为03，如有语义错误，返回ITRes，应答码置为30格式错误。•若消息扩展域出现，必须验证其内容，若不能识别critical属性为true的扩展域，返回Error报文。认证数据组成域域名长度域名长度收单机构代码11清算币种3商户代码24清算指数1系统跟踪号6清算汇率8验证服务时间17清算日期4交易金额12持卡人扣账12交易币种3持卡人扣账币种3币种指数1持卡人扣账币种货币指数1兑换日期4持卡人扣账汇率8清算金额12ITRes•对关键信息域，必须保证与ITReq的值相同，如交易类型，交易类别等，增加应答码域。ITExc•能够接收并处理SR发送的ITReq报文。•对异常应答码分别作如下处理：异常应答码错误描述处理方式01清算日期错误标记CUPS将在第二天清算11验证签名失败调帐12报文语义出错调帐13有缺陷的成功特殊处理，收到CUPS文件后对账14查找不到原始交易包括匹配ITReq失败；匹配CERes失败调帐15原始交易已超时，被拒绝调帐98系统暂时异常隔一段时间后重发99系统永久异常调帐Error•收到Error报文不需要特别处理，返回一个响应，并将HTTP响应码设置为“200OK”，同时正文为空。IRReq•SAA可以选择在发送完ITRes后发送IRReq。•SAA需要在IRReq的发卡机构代码域填入本机构代码。IRRes•若收到SR返回无效请求或无法查找到原交易，SAA需要重新发送ITRes。基金业务说明基金交易基金需支持以下交易：•开户－－建立委托关系•申购－－消费•赎回－－转账•分红－－转账•退款－－转账发卡银行改造•消费交易可通过SAA模式与CUPSecure连接。•建立委托关系和转账要求支持CUPS2.0规范。提问？谢谢！中国银联产品创新部