中國金融集成電路ic卡借記貸記規(guī)范v2 0安全部分

1、 中國金融集成電路（IC）卡借記/貸記規(guī)范第四部分：安全規(guī)范中國金融集成電路（IC）卡標(biāo)準(zhǔn)修訂工作組二零零四年五月 目次1.2.3.4.5.6.引言1范圍1參考資料1定義1縮略語和符號4脫機(jī)數(shù)據(jù)認(rèn)證66.16.1.16.1.26.26.2.16.2.26.2.36.2.46.36.3.16.3.26.3.36.3.46.3.56.3.6密鑰和證書7認(rèn)證中心7公開密鑰對7靜態(tài)數(shù)據(jù)認(rèn)證（SDA）8密鑰和證書11認(rèn)證中心公鑰獲取13發(fā)卡行公鑰獲取13簽名的靜態(tài)應(yīng)用數(shù)據(jù)驗(yàn)證14動態(tài)數(shù)據(jù)認(rèn)證（DDA）15密鑰和證書18認(rèn)證中心公鑰的獲取20發(fā)卡行公鑰的獲取20IC卡公鑰的獲取22標(biāo)準(zhǔn)動態(tài)數(shù)據(jù)認(rèn)證23復(fù)合

2、動態(tài)數(shù)據(jù)認(rèn)證/應(yīng)用密文生成(CDA)257.應(yīng)用密文和發(fā)卡行認(rèn)證307.17.1.17.1.27.27.3應(yīng)用密文產(chǎn)生30數(shù)據(jù)源選擇30應(yīng)用密文算法31發(fā)卡行認(rèn)證31密鑰管理318.安全報文318.18.28.2.18.2.28.2.38.38.3.18.3.28.3.38.4報文格式32報文完整性及其驗(yàn)證32命令數(shù)據(jù)域32MAC過程密鑰分散32MAC的計算32報文私密性32命令數(shù)據(jù)域32加密過程密鑰分散33加密33密鑰管理339.卡片安全339.19.29.3共存應(yīng)用33密鑰的獨(dú)立性33卡片內(nèi)部安全體系33ii 9.3.19.3.29.3.39.3.49.3.5卡片內(nèi)部安全目標(biāo)33卡片內(nèi)部安

3、全概述33文件控制信息34文件控制參數(shù)36IC卡本地數(shù)據(jù)建議訪問條件379.4卡片中密鑰的種類3710.10.1終端安全38終端數(shù)據(jù)安全性要求3810.1.110.1.210.1.3一般要求38安全模塊的物理安全要求39安全模塊的邏輯安全要求3910.2終端設(shè)備安全性要求3910.2.110.2.2防入侵設(shè)備39PINPAD安全性4010.3終端密鑰管理要求4110.3.110.3.2終端密鑰種類41認(rèn)證中心公鑰管理4211.11.1密鑰管理體系43認(rèn)證中心公鑰管理4311.1.111.1.211.1.3認(rèn)證中心公鑰生命周期44認(rèn)證中心公鑰對泄漏46認(rèn)證中心密鑰管理策略4711.211.3發(fā)卡

4、行公鑰管理49發(fā)卡行對稱密鑰管理5011.3.111.3.2安全性要求50功能性要求5012.12.1安全機(jī)制51對稱加密機(jī)制5112.1.112.1.212.1.312.1.4加密 . 51報文認(rèn)證碼53過程密鑰分散54子密鑰分散5612.2非對稱加密機(jī)制5712.2.1用于報文恢復(fù)的數(shù)字簽名方案5713.13.1認(rèn)可的算法58對稱加密算法5813.1.113.1.2DES58SSF335813.2非對稱加密算法5813.2.1RSA5813.3哈希算法6013.3.1SHA-160圖表iii 6-1 ：SDA證書和公鑰體系結(jié)構(gòu)106-2 ：DDA證書和公鑰體系結(jié)構(gòu)1811-1 ：認(rèn)證中心公

5、鑰的分發(fā)4511-2 ：發(fā)卡行公鑰的分發(fā)4612-1單長度過程密鑰的產(chǎn)生5512-2128位分組加密算法過程密鑰的產(chǎn)生56圖表圖表圖表圖表圖表圖表表格6-1 ：SDA和DDA的比較66-2 ：SDA，DDA和CDA處理優(yōu)先級76-3 ：由認(rèn)證中心簽名的發(fā)卡行公鑰數(shù)據(jù)（即哈希算法的輸入）116-4 ：由發(fā)卡行簽名的靜態(tài)應(yīng)用數(shù)據(jù)（即哈希算法的輸入）126-5 ：靜態(tài)數(shù)據(jù)認(rèn)證用到的數(shù)據(jù)對象126-6 從發(fā)卡行公鑰證書恢復(fù)數(shù)據(jù)的格式136-7 ：從簽名的靜態(tài)應(yīng)用數(shù)據(jù)恢復(fù)數(shù)據(jù)的格式146-8 ：由認(rèn)證中心簽名的發(fā)卡行公鑰數(shù)據(jù)（即哈希算法的輸入）186-9 ：由發(fā)卡行簽名的IC卡公鑰數(shù)據(jù)（即哈希算法的輸入

6、）196-10 ：動態(tài)認(rèn)證中的公鑰認(rèn)證所需的數(shù)據(jù)對象206-11 ：從發(fā)卡行公鑰證書恢復(fù)數(shù)據(jù)的格式206-12 ：從IC卡公鑰證書恢復(fù)數(shù)據(jù)的格式226-13 ：需簽名的動態(tài)應(yīng)用數(shù)據(jù)（即哈希算法的輸入）236-14 ：生成和檢驗(yàn)動態(tài)簽名所需要的其它數(shù)據(jù)對象246-15 ：從簽名的動態(tài)應(yīng)用數(shù)據(jù)恢復(fù)的數(shù)據(jù)格式246-16 ：需簽名的動態(tài)應(yīng)用數(shù)據(jù)（即哈希算法的輸入）266-17 ：IC卡動態(tài)數(shù)據(jù)的內(nèi)容266-18 ：在CDA中GENERATE AC命令返回的數(shù)據(jù)對象276-19 ：生成AAC時GENERATE AC命令返回的數(shù)據(jù)對象276-20 ：發(fā)卡行應(yīng)用數(shù)據(jù)276-21 ：從簽名動態(tài)應(yīng)用數(shù)據(jù)恢復(fù)的

7、數(shù)據(jù)的格式287-1 ：建議的應(yīng)用密文生成中使用的最小數(shù)據(jù)集307-2 ：可選的應(yīng)用密文生成數(shù)據(jù)源318-1 ：以完整性和認(rèn)證為目的的安全報文的命令數(shù)據(jù)域格式328-2 ：以私密性為目的的安全報文的命令數(shù)據(jù)域格式329-1 ：基本文件的訪問條件369-2 ：卡片上保存的密鑰種類3710-1 ：終端內(nèi)部保存的密鑰種類4110-2 ：存儲在終端中的認(rèn)證中心公鑰相關(guān)數(shù)據(jù)元的最小集4211-1：管理的對稱密鑰類型5013-1 ：SSF33同DES的比較5813-2 ：對模長字節(jié)數(shù)的強(qiáng)制上限59表格表格表格表格表格表格表格表格表格表格表格表格表格表格表格表格表格表格表格表格表格表格表格表格表格表格表格表

8、格表格表格表格表格iv 1. 引言本規(guī)范包含了中國金融集成電路（IC）卡借記貸記應(yīng)用安全功能方面的要求，包括：IC卡脫機(jī)數(shù)據(jù) 認(rèn)證方法，IC卡和發(fā)卡行之間的通訊安全，以及相關(guān)的對稱及非對稱密鑰的管理。 本文包括以下具體內(nèi)容：z脫機(jī)數(shù)據(jù)認(rèn)證zz應(yīng)用密文和發(fā)卡行認(rèn)證安全報文zzz卡片安全終端安全對稱和非對稱密鑰管理體系此外，本文還包括了為實(shí)現(xiàn)這些安全功能所涉及的安全機(jī)制和獲準(zhǔn)使用的加密算法的規(guī)范。2. 范圍中國金融集成電路（IC）卡借記/貸記應(yīng)用安全規(guī)范適用于由銀行發(fā)行或受理的金融借記/貸記IC卡應(yīng)用與安全有關(guān)的設(shè)備、卡片、終端機(jī)具及管理等。其使用對象主要是與金融借記貸記IC卡應(yīng)用相關(guān)的卡片、終端

9、及加密設(shè)備等的設(shè)計、制造、管理、發(fā)行以及應(yīng)用系統(tǒng)的研制、開發(fā)、集成和維護(hù)等部 門（單位）。 3. 參考資料EMV規(guī)范文檔zEMV 2000 Integrated Circuit Card Specification for Payment Systems,Version 4.0, Book 2, Security andKey ManagementVIS規(guī)范文檔zVISAIntegratedCircuitCardApplication Overview , Version 1.4.0zzVISAIntegratedCircuitCardCard Specification , Version

10、1.4.0VISAIntegratedCircuitCardTerminal Specification , Version 1.4.0中國集成電路（IC）卡文件zzz中國金融集成電路(IC)卡規(guī)范第1部分：卡片規(guī)范 （V1.0）中國金融集成電路(IC)卡規(guī)范第2部分：應(yīng)用規(guī)范 （V1.0）中國金融集成電路（IC）卡規(guī)范第3部分：終端規(guī)范 （V1.0）4. 定義以下的術(shù)語用于本規(guī)范：提前回收 - 在已公布的密鑰失效日期到期前回收密鑰。 1 應(yīng)用 - 包括終端和卡片之間的應(yīng)用協(xié)議及其相關(guān)的數(shù)據(jù)集合。 非對稱加密技術(shù) - 采用兩種相關(guān)變換的加密技術(shù)：公開變換（由公鑰定義）和私有變換（由私鑰定義）。

11、這兩種變換存在這樣一種特性：在獲得公開變換的情況下是不能夠通過計算得出私有變換的。 認(rèn)證 確認(rèn)一個實(shí)體所宣稱的身份的措施。字節(jié) 8個二進(jìn)制位。 支付系統(tǒng)中定義的支付卡片。 由發(fā)行證書的認(rèn)證中心使用其私鑰對實(shí)體的公鑰，身份信息以及其它相關(guān)信息進(jìn)行簽名，形 卡片證書成的不可的數(shù)據(jù)。證書回收 由發(fā)行證書的實(shí)體一個有效證書的過程。 認(rèn)證中心 證明公鑰和其它相關(guān)信息同其擁有者相關(guān)聯(lián)的可信的第三方機(jī)構(gòu)。密文加密的信息。命令終端向IC卡發(fā)出的一個操作并要求返回應(yīng)答的報文。泄露或安全被破壞。串聯(lián)通過把第二個元素的字節(jié)添加到第一個元素的結(jié)尾將兩個元素連接起來。每個元素中的字節(jié) 在結(jié)果串中的順序和原來從IC卡發(fā)到

12、終端時的順序相同,即,高位字節(jié)在前。在每個字節(jié)中比特按由高到低的順序排列。一組元素或?qū)ο罂梢园聪旅娴姆绞竭B接：將第一對元素連接成新的元素，把它作為第一個元素再連接下一個元素，以此類推。 加密算法 為了隱藏或顯現(xiàn)數(shù)據(jù)信息內(nèi)容的變換算法。密鑰有效期 某個特定的密鑰被授權(quán)可以使用的時間段，或者某個密鑰在給定的系統(tǒng)中有效的時間段。 數(shù)據(jù)完整性 數(shù)據(jù)沒有被以未授權(quán)的方式改變或者破壞的特性。 對應(yīng)加密過程的逆操作。 數(shù)字簽名 對數(shù)據(jù)的一種非對稱加密變換。該變換可以使數(shù)據(jù)接收方確認(rèn)數(shù)據(jù)的來源和完整性，保護(hù)數(shù)據(jù)發(fā)送方發(fā)出和接收方收到的數(shù)據(jù)不被第三方篡改，也保護(hù)數(shù)據(jù)發(fā)送方發(fā)出的數(shù)據(jù)不被接收方篡改。 加密 基于某

13、種加密算法對數(shù)據(jù)作可逆的變換從而生成密文的過程。 金融交易 在持卡人和商戶或收單行之間發(fā)生的通過支付來換取貨物或服務(wù)的行為。哈希函數(shù) 將一個位串映射成固定長度的位串的函數(shù)，它滿足以下兩個特性： z給定一個輸出，不可能通過計算得到與該輸出對應(yīng)的輸入； z給定一個輸入，不可能通過計算得到具有相同的輸出的另一個輸入。 另外，如果哈希函數(shù)要求防沖突，它還必須滿足以下特性： z不可能通過計算找到兩個不同的輸入具有相同的輸出。 哈希結(jié)果 哈希函數(shù)輸出的位串。 集成電路 被設(shè)計用來完成處理和/或存儲功能的電子器件。 集成電路卡 內(nèi)部封裝一個或多個集成電路，來完成處理和存儲功能的卡片。 2 接口設(shè)備 終端上插

14、入IC卡的部分，包括諸如機(jī)械和電氣等相關(guān)設(shè)備。密鑰 加密轉(zhuǎn)換中控制操作的一組符號。 密鑰失效日期 - 用特定密鑰產(chǎn)生的簽名不再有效的最后期限。用此密鑰簽名的發(fā)卡行證書必須在此日期或此日期之前失效。在此日期后，此密鑰可以從終端刪除。 密鑰導(dǎo)入 產(chǎn)生、分發(fā)和開始使用密鑰對的過程。 密鑰生命周期 密鑰管理的所有階段，包括計劃、生成、回收、銷毀和存檔。 密鑰更換 回收一個密鑰，同時導(dǎo)入一個密鑰來代替它。 密鑰回收 回收使用中的密鑰以及處理其使用后的遺留問題的密鑰管理過程。密鑰回收可以按計劃回收或提前回收。 密鑰回收日期 在此日期后，任何仍在使用的合法卡不會包含用此密鑰簽名的證書。因此，密鑰可 以從終端

15、上被刪除。對按計劃的密鑰回收，密鑰回收日期應(yīng)等同于密鑰失效日期。 密鑰撤回 作為密鑰回收的一部分，將密鑰從服務(wù)中刪除的過程。 邏輯泄露 由于分析技術(shù)和/或計算能力的提高，對密鑰造成的泄露。 報文 - 由終端發(fā)送給卡片（或反之）的一串字節(jié)，不包括傳輸控制字符。 填充 向數(shù)據(jù)串某一邊添加附加位。 鍵盤 用于輸入個人明文 未加密的信息。 的一組數(shù)字和命令按鍵。 物理泄露 成的泄露。由于沒有安全的保護(hù)，或者硬件安全模塊的被盜或被未經(jīng)授權(quán)的人存取等事實(shí)對密鑰造 計劃回收 潛在泄露 況。 按照公布的密鑰失效日期進(jìn)行的密鑰回收。分析技術(shù)和/或計算能力的提高達(dá)到了可能造成某個特定長度的密鑰的泄露的情私鑰 在一

16、個實(shí)體使用的非對稱密鑰對中僅被該實(shí)體使用的密鑰。在數(shù)字簽名方案中，私鑰定義了 簽名函數(shù)。 公鑰 在一個實(shí)體使用的非對稱密鑰對中可以被公眾使用的密鑰。在數(shù)字簽名方案中，公鑰定義了 驗(yàn)證函數(shù)。 公鑰證書 - 由認(rèn)證中心簽名的不可的某個實(shí)體的公鑰信息。響應(yīng) IC卡接收到命令報文經(jīng)過處理后返回給終端的報文。 對稱加密技術(shù) 產(chǎn)生方和接受方使用同一個保密密鑰進(jìn)行轉(zhuǎn)換的加密技術(shù)。如果不知道保密密鑰， 是無法通過計算得到產(chǎn)生方和接受方的轉(zhuǎn)換信息的。 終端 在交易點(diǎn)安裝的設(shè)備，和IC卡一起完成金融交易。它包括接口設(shè)備，也可以包括其它的部件 和接口，例如和主機(jī)的通訊。 3 5.縮略語和符號下面為本規(guī)范用到的縮略語

17、和符號：AACAC應(yīng)用認(rèn)證密文應(yīng)用密文AFLAID應(yīng)用文件應(yīng)用標(biāo)識符AIPADF應(yīng)用交互特征應(yīng)用定義文件APDU應(yīng)用協(xié)議數(shù)據(jù)單元ARCARPC授權(quán)響應(yīng)碼授權(quán)響應(yīng)密文ARQCATC授權(quán)請求密文應(yīng)用交易序號ATM自動柜員機(jī)bCBC二進(jìn)制塊鏈接CDOLCLA卡片風(fēng)險管理數(shù)據(jù)對象列表命令報文的類別字節(jié)cn壓縮數(shù)字DDADDOL動態(tài)數(shù)據(jù)認(rèn)證動態(tài)數(shù)據(jù)認(rèn)證數(shù)據(jù)對象列表DESECB數(shù)據(jù)加密標(biāo)準(zhǔn)電子本EF基本文件FIPShex.信息處理標(biāo)準(zhǔn)十六進(jìn)制數(shù)ICICC集成電路集成電路卡IEC國際電工委員會IFDINS接口設(shè)備命令報文的指令字節(jié)KM主密鑰4 KSLDD MAC過程密鑰IC卡動態(tài)數(shù)據(jù)長度報文認(rèn)證碼MMYY月

18、，年N NCA NI NIC P1 P2PAN數(shù)字認(rèn)證中心公鑰模長發(fā)卡行公鑰模長IC卡公鑰模長參數(shù)1參數(shù)2主帳號PCA PI PIC PINSFI認(rèn)證中心公鑰發(fā)卡行公鑰IC卡公鑰個人鑒別碼短文件標(biāo)識符RIDRSA注冊的應(yīng)用提供商標(biāo)識Rivest，Shamir，Adleman算法認(rèn)證中心私鑰SCA SDA SI SICSHA靜態(tài)數(shù)據(jù)認(rèn)證發(fā)卡行私鑰IC卡私鑰安全哈希算法TC交易證書TLVvar.標(biāo)簽，長度，值變長以下符號適用于本規(guī)范：0-9和A-F16 進(jìn)制數(shù)字 A := B A = BA B mod nA 被賦予數(shù)值 B 數(shù)值A(chǔ) 等于 數(shù)值B整數(shù)A與B對于模n同余，即存在一個整數(shù)d，使得 (A

19、- B) = dn5 A mod nA 模 n的余數(shù)，即：唯一的整數(shù)r，0 r n，存在一個整數(shù)d，使得A = dn + rA 整除 n，即：唯一的整數(shù)d，存在一個整數(shù)r，0 r （NCA-36）,那么發(fā)卡行公鑰模被分成兩部分，即一部分包含公鑰模中高位的NCA-36個字節(jié)（發(fā)卡行公鑰中最左邊的數(shù)字）；另一部分包含剩下的低位NI -（NCA-36）個字節(jié)（發(fā)卡行公鑰的余項(xiàng)）。發(fā)卡行公鑰指數(shù)必須等于3或216+1。 所有靜態(tài)數(shù)據(jù)認(rèn)證需要的信息在表格 6-5中詳細(xì)說明，并存放在IC卡中。除了RID可以從AID中獲得外，其它信息可以通過讀取記錄(READ RECORD)命令得到。如果缺少這些數(shù)據(jù)中的任

20、意一項(xiàng)，靜態(tài)數(shù)據(jù)認(rèn)證即告失敗。 表格 6-3：由認(rèn)證中心簽名的發(fā)卡行公鑰數(shù)據(jù)（即哈希算法的輸入）11字段名 長度 描述 格式 證書格式 1 十六進(jìn)制，值為02 b 發(fā)卡行標(biāo)識 4 主帳號最左面的3-8個數(shù)字。（在右邊補(bǔ)上十六進(jìn)制數(shù)F） cn 8 證書失效日期 2 MMYY，在此日期后，這張證書無效 n 4 證書序列號 3 由認(rèn)證中心分配給這張證書的唯一的二進(jìn)制數(shù) b 哈希算法標(biāo)識 1 標(biāo)識用于在數(shù)字簽名方案中產(chǎn)生哈希結(jié)果的哈希算法 b 發(fā)卡行公鑰算法標(biāo)識 1 標(biāo)識使用在發(fā)卡行公鑰上的數(shù)字簽名算法 b 發(fā)卡行公鑰長度 1 標(biāo)識發(fā)卡行公鑰模的字節(jié)長度 b 發(fā)卡行公鑰指數(shù)長度 1 標(biāo)識發(fā)卡行公鑰指數(shù)

21、的字節(jié)長度 b 發(fā)卡行公鑰數(shù)位或發(fā)卡行公鑰的最左邊部分 NCA 36 如果NINCA36，這個字段包含了在右邊補(bǔ)上了NCA36NI 個值為BB的字節(jié)的整個發(fā)卡行公鑰。 如果NI NCA-36，這個字段包含了發(fā)卡行公鑰最高位的NCA36個字節(jié) b 表格 6-4：由發(fā)卡行簽名的靜態(tài)應(yīng)用數(shù)據(jù)（即哈希算法的輸入）認(rèn)證過程的輸入由被AFL標(biāo)識的記錄組成，其后跟有AIP（如果AIP被可選的靜態(tài)數(shù)據(jù)認(rèn)證標(biāo)簽列 表（標(biāo)簽9F4A）標(biāo)識）。如果靜態(tài)數(shù)據(jù)認(rèn)證標(biāo)簽列表存在，則它必須僅包含標(biāo)識AIP用的標(biāo)簽82。 表格 6-5：靜態(tài)數(shù)據(jù)認(rèn)證用到的數(shù)據(jù)對象12標(biāo)簽 長度 值 格式 - 5 注冊的應(yīng)用提供商標(biāo)識 b 8F

22、 1 認(rèn)證中心公鑰索引 b 90 NCA 發(fā)卡行公鑰證書 b 92 NI NCA +36 發(fā)卡行公鑰的余項(xiàng)（如果有） b 9F32 1或3 發(fā)卡行公鑰指數(shù) b 93 NI 簽名的靜態(tài)應(yīng)用數(shù)據(jù) b - 變長 在中國金融集成電路（IC）卡借記貸記應(yīng)用卡片規(guī)范10.3.1節(jié)指明 的需認(rèn)證的靜態(tài)數(shù)據(jù)（參見上文） - 字段名 長度 描述 格式 簽名數(shù)據(jù)格式 1 十六進(jìn)制，值為03 b 哈希算法標(biāo)識 1 標(biāo)識用于在數(shù)字簽名方案中產(chǎn)生哈希結(jié)果的哈希算法 b 數(shù)據(jù)驗(yàn)證代碼 2 由發(fā)卡行分配的代碼 b 填充字節(jié) NI26 填充字節(jié)由NI26個值為BB的字節(jié)組成3 b 需認(rèn)證的靜態(tài)數(shù)據(jù) 變長 在中國金融集成電路（

23、IC）卡借記貸記應(yīng)用卡片規(guī)范10.3.1節(jié)指明的需認(rèn)證的靜態(tài)數(shù)據(jù)（參見下文） - 發(fā)卡行公鑰余項(xiàng) 0 或NINCA+36 這個字段只有在NINCA36時才出現(xiàn)。它包含了發(fā)卡行公鑰最低位的NINCA+36個字節(jié) b 發(fā)卡行公鑰指數(shù) 1或3 發(fā)卡行公鑰指數(shù)等于3或216+1 b 6.2.2 認(rèn)證中心公鑰獲取終端讀取認(rèn)證中心公鑰索引。使用這個索引和RID，終端必須確認(rèn)并取得存放在終端的認(rèn)證中心公鑰的模、指數(shù)和與密鑰相關(guān)的信息，以及相應(yīng)的將使用的算法。如果終端沒有存儲與這個索引及RID相關(guān)聯(lián)的密鑰，那么靜態(tài)數(shù)據(jù)認(rèn)證失敗。 6.2.3 發(fā)卡行公鑰獲取1.如果發(fā)卡行公鑰證書的長度不同于在前面的過程中獲得的

24、認(rèn)證中心公鑰模長度，那么靜態(tài)數(shù)據(jù)認(rèn)證失敗。 2.為了獲得在表格 6-6中指明的恢復(fù)數(shù)據(jù)，使用認(rèn)證中心公鑰和相應(yīng)的算法按照12.2.1節(jié)中指明的恢復(fù)函數(shù)恢復(fù)發(fā)卡行公鑰證書。如果恢復(fù)數(shù)據(jù)的結(jié)尾不等于BC，那么靜態(tài)數(shù)據(jù)認(rèn)證失敗。 表格 6-6 從發(fā)卡行公鑰證書恢復(fù)數(shù)據(jù)的格式13字段名 長度 描述 格式 恢復(fù)數(shù)據(jù)頭 1 十六進(jìn)制，值為6A B 證書格式 1 十六進(jìn)制，值為02 B 發(fā)卡行標(biāo)識 4 主帳號最左面的3-8個數(shù)字（在右邊補(bǔ)上十六進(jìn)制數(shù)F） cn 8 證書失效日期 2 MMYY，在此日期后，這張證書無效 n4 證書序列號 3 由認(rèn)證中心分配給這張證書的，唯一的二進(jìn)制數(shù) B 哈希算法標(biāo)識 1 標(biāo)

25、識用于在數(shù)字簽名方案中產(chǎn)生哈希結(jié)果的哈希算法 B 發(fā)卡行公鑰算法標(biāo)識 1 標(biāo)識使用在發(fā)卡行公鑰上的數(shù)字簽名算法 B 發(fā)卡行公鑰長度 1 標(biāo)識發(fā)卡行公鑰的模的字節(jié)長度 B 發(fā)卡行公鑰指數(shù)長度 1 標(biāo)識發(fā)卡行公鑰指數(shù)的字節(jié)長度 B 發(fā)卡行公鑰或發(fā)卡行公鑰的最左邊字節(jié) NCA-36 如果NINCA36，這個字段包含了在右邊補(bǔ)上了NCA36NI 個值為BB的字節(jié)的整個發(fā)卡行公鑰。 如果NI NCA-36，這個字段包含了發(fā)卡行公鑰最高位的NCA36個字節(jié) B 哈希結(jié)果 20 發(fā)卡行公鑰以及相關(guān)信息的哈希值 B 3.4.檢查恢復(fù)數(shù)據(jù)頭。如果它不是6A，那么靜態(tài)數(shù)據(jù)認(rèn)證失敗。檢查證書格式。如果它不是02，那

26、么靜態(tài)數(shù)據(jù)認(rèn)證失敗。 將表格 6-6中的第二個到第十個數(shù)據(jù)元素（即從證書格式直到發(fā)卡行公鑰或發(fā)卡行公鑰的最左 邊字節(jié)）從左到右連接，再把發(fā)卡行公鑰的余項(xiàng)加在后面（如果有），最后是發(fā)卡行公鑰指數(shù)。 5.6.使用指定的哈希算法（從哈希算法標(biāo)識得到）對上一步的連接結(jié)果計算得到哈希結(jié)果。7.把上一步計算得到的哈希結(jié)果和恢復(fù)出的哈希結(jié)果相比較。如果它們不一樣，那么靜態(tài)數(shù)據(jù)認(rèn) 證失敗。 8.檢驗(yàn)發(fā)卡行標(biāo)識是否匹配主帳號最左面的3-8個數(shù)字（允許發(fā)卡行標(biāo)識可能在其后補(bǔ)F）。如果不一致，那么靜態(tài)數(shù)據(jù)認(rèn)證失敗。 9.檢驗(yàn)證書失效日期中指定月的最后日期是否等于或遲于今天的日期。如果證書失效日期在今天 的日期之前，

27、那么證書已過期，靜態(tài)數(shù)據(jù)認(rèn)證失敗。 10.檢驗(yàn)連接起來的RID、認(rèn)證中心公鑰索引、證書序列號是否有效。如果無效，那么靜態(tài)數(shù)據(jù)認(rèn) 證失敗。 11.12.如果發(fā)卡行公鑰算法標(biāo)識無法識別，那么靜態(tài)數(shù)據(jù)認(rèn)證失敗。如果以上所有的檢驗(yàn)都通過，連接發(fā)卡行公鑰的最左邊字節(jié)和發(fā)卡行公鑰的余項(xiàng)（如果有）以 得到發(fā)卡行公鑰模，以繼續(xù)下一步簽名的靜態(tài)應(yīng)用數(shù)據(jù)的檢驗(yàn)。 6.2.4 簽名的靜態(tài)應(yīng)用數(shù)據(jù)驗(yàn)證1.2.如果簽名靜態(tài)應(yīng)用數(shù)據(jù)的長度不等于發(fā)卡行公鑰模的長度，那么靜態(tài)數(shù)據(jù)認(rèn)證失敗。為了獲得在表格 6-7中指明的恢復(fù)數(shù)據(jù)，使用發(fā)卡行公鑰和相應(yīng)的算法并將12.2.1節(jié)中指明的恢復(fù)函數(shù)應(yīng)用到簽名的靜態(tài)應(yīng)用數(shù)據(jù)上。如果恢復(fù)數(shù)

28、據(jù)的結(jié)尾不等于BC，那么靜態(tài)數(shù)據(jù)認(rèn)證失敗。 表格 6-7：從簽名的靜態(tài)應(yīng)用數(shù)據(jù)恢復(fù)數(shù)據(jù)的格式14字段名 長度 描述 格式 恢復(fù)數(shù)據(jù)頭 1 十六進(jìn)制，值為6A b 簽名數(shù)據(jù)格式 1 十六進(jìn)制，值為03 b 哈希算法標(biāo)識 1 標(biāo)識用于在數(shù)字簽名方案中產(chǎn)生哈希結(jié)果的哈希算法 b 數(shù)據(jù)驗(yàn)證代碼 2 由發(fā)卡行分配的代碼 b 填充字節(jié) NI26 填充字節(jié)由NI26個值為BB的字節(jié)組成 b 哈希結(jié)果 20 需認(rèn)證的靜態(tài)應(yīng)用數(shù)據(jù)的哈希值 b 恢復(fù)數(shù)據(jù)結(jié)尾 1 十六進(jìn)制，值為BC b 3.4.檢查恢復(fù)數(shù)據(jù)頭。如果它不是6A，那么靜態(tài)數(shù)據(jù)認(rèn)證失敗。檢查簽名數(shù)據(jù)格式。如果它不是03，那么靜態(tài)數(shù)據(jù)認(rèn)證失敗。將表格 6

29、-7中的第二個到第五個數(shù)據(jù)元素（即從簽名數(shù)據(jù)格式直到填充字節(jié)）從左到右連接， 再把中國金融集成電路（IC）卡借記貸記應(yīng)用卡片規(guī)范10.3.1節(jié)中指明的需認(rèn)證的靜態(tài)數(shù)據(jù)加在后面。如果靜態(tài)數(shù)據(jù)認(rèn)證標(biāo)簽列表存在，并且其包含非82的標(biāo)簽，那么靜態(tài)數(shù)據(jù)認(rèn)證失 敗。 5.6.7.把指定的哈希算法（從哈希算法標(biāo)識得到）應(yīng)用到上一步的連接結(jié)果從而得到哈希結(jié)果。把上一步計算得到的哈希結(jié)果和恢復(fù)出的哈希結(jié)果相比較。如果它們不一樣，那么靜態(tài)數(shù)據(jù)認(rèn) 證失敗。 8.如果以上所有的步驟都成功，那么靜態(tài)數(shù)據(jù)認(rèn)證成功。在表格 6-7中的恢復(fù)得到的數(shù)據(jù)驗(yàn)證代 碼應(yīng)被存放在標(biāo)簽9F45中。 6.3 動態(tài)數(shù)據(jù)認(rèn)證（DDA）DDA的

30、目的是確認(rèn)存放在IC卡中和由IC卡生成的關(guān)鍵數(shù)據(jù)以及從終端收到的數(shù)據(jù)的。DDA除了執(zhí)行同SDA類似的靜態(tài)數(shù)據(jù)認(rèn)證過程，確保IC卡中的發(fā)卡行數(shù)據(jù)在個人化以后沒有被非法篡改，還能防止任何對這樣的卡片進(jìn)行的可能性。 動態(tài)數(shù)據(jù)認(rèn)證有以下可選的兩種方式： 標(biāo)準(zhǔn)的動態(tài)數(shù)據(jù)認(rèn)證，這種方式在卡片行為分析前執(zhí)行。在這種方式下，IC卡根據(jù)由IC卡動態(tài)數(shù)據(jù)所標(biāo)識的存放在IC卡中的或由IC卡生成的數(shù)據(jù)以及由動態(tài)數(shù)據(jù)認(rèn)證數(shù)據(jù)對象列表所標(biāo)識的從終端收到的數(shù)據(jù)生成一個數(shù)字簽名。 復(fù)合動態(tài)數(shù)據(jù)認(rèn)證/應(yīng)用密文生成，這種方式在GENERATE AC命令發(fā)出后執(zhí)行。在交易證書或授權(quán)請求密文的情況下，IC卡根據(jù)由IC卡動態(tài)數(shù)據(jù)所標(biāo)識

31、的存放在IC卡中的或由IC卡生成的數(shù)據(jù)得到一個數(shù)字簽名，這些數(shù)據(jù)包括交易證書或授權(quán)請求密文，以及由卡片風(fēng)險管理數(shù)據(jù)對象列表（對第一條GENERATE AC命令是CDOL1，對第二條GENERATE AC命令是CDOL2） 標(biāo)識的由終端生成的不可預(yù)知數(shù) AIP指明IC卡支持的選項(xiàng)。 支持動態(tài)數(shù)據(jù)認(rèn)證的IC卡必須包含下列數(shù)據(jù)元素：認(rèn)證中心公鑰索引：該單字節(jié)數(shù)據(jù)元素包含一個二進(jìn)制數(shù)字， 指明終端應(yīng)使用其保存的相應(yīng)的認(rèn)證中心公鑰對中的哪一個來驗(yàn)證IC卡。 發(fā)卡行公鑰證書：該變長數(shù)據(jù)元素由相應(yīng)的認(rèn)證中心提供給發(fā)卡行。終端驗(yàn)證這個數(shù)據(jù)元素時， 按6.3.3節(jié)描述的過程認(rèn)證發(fā)卡行公鑰和其它的數(shù)據(jù)。 IC卡公

32、鑰證書：該變長數(shù)據(jù)元素由發(fā)卡行提供給IC卡。終端驗(yàn)證這個數(shù)據(jù)元素時，按6.3.4節(jié)描述的過程認(rèn)證IC卡公鑰和其它的數(shù)據(jù)。 發(fā)卡行公鑰的余項(xiàng)：一個變長數(shù)據(jù)元素。6.3.1節(jié)有進(jìn)一步的解釋。 發(fā)卡行公鑰指數(shù)：一個由發(fā)卡行提供的變長數(shù)據(jù)元素。6.3.1節(jié)有進(jìn)一步的解釋。 15恢復(fù)數(shù)據(jù)結(jié)尾 1 十六進(jìn)制，值為BC b IC卡公鑰的余項(xiàng)：一個變長數(shù)據(jù)元素。6.3.1節(jié)有進(jìn)一步的解釋。IC卡公鑰指數(shù)：一個由發(fā)卡行提供的變長數(shù)據(jù)元素。6.3.1節(jié)有進(jìn)一步的解釋。 IC卡私鑰：一個存放在IC卡內(nèi)部的變長數(shù)據(jù)元素，用來按6.3.5節(jié)和6.3.6節(jié)描述的過程生成簽名的動態(tài)應(yīng)用數(shù)據(jù)。 支持動態(tài)數(shù)據(jù)認(rèn)證的IC卡必須生

33、成下列數(shù)據(jù)元素：簽名的動態(tài)應(yīng)用數(shù)據(jù)：一個由IC卡使用同IC卡公鑰證書所認(rèn)證的IC卡公鑰相對應(yīng)的IC卡私鑰生成的變長數(shù)據(jù)元素。它是一個數(shù)字簽名，包含了6.3.5節(jié)和6.3.6節(jié)描述的存放在IC卡中的或由IC 卡生成的以及終端中的關(guān)鍵數(shù)據(jù)元素。 為了支持動態(tài)數(shù)據(jù)認(rèn)證，每一臺終端必須能夠?yàn)槊總€注冊的應(yīng)用提供商標(biāo)識存儲六個認(rèn)證中心公鑰，而且必須使同密鑰相關(guān)的密鑰信息能夠同每一個密鑰相關(guān)聯(lián)（以使終端能在將來支持多種算法，允許從一個算法過渡到另一個，參見10.3節(jié)）。在給定RID和IC卡提供的認(rèn)證中心公鑰索引的情況下，終端必須能夠定位這樣的公鑰以及和公鑰相關(guān)的信息。 動態(tài)數(shù)據(jù)認(rèn)證必須使用一種在12.2.1

34、節(jié)和13.2節(jié)中指明的可逆的算法。6.3.1節(jié)包含了對動態(tài)數(shù)據(jù)認(rèn)證過程中涉及到的密鑰和證書的概述，6.3.2節(jié)到6.3.4節(jié)詳細(xì)說明了認(rèn)證過程中的起始步驟，即： 由終端恢復(fù)認(rèn)證中心公鑰。 由終端恢復(fù)發(fā)卡行公鑰。 由終端恢復(fù)IC卡公鑰。最后，6.3.5節(jié)和6.3.6節(jié)詳細(xì)說明了兩種情況下動態(tài)簽名的生成和驗(yàn)證過程。16 發(fā)卡行認(rèn)證中心收單行初始化發(fā)卡行私鑰SI發(fā)卡行公鑰PI認(rèn)證中心私鑰SCA認(rèn)證中心公鑰PCA 發(fā)卡行公鑰證書（PI由SCA簽 名） 個人化IC卡公鑰PICCREAD RECORD響應(yīng)包含： 認(rèn)證中心公鑰索引交易IC卡終端發(fā)卡行公鑰證書INTERNAL AUTHENTICATE1或GE

35、NERATE AC2命令 用PCA從發(fā)卡行公鑰證書恢復(fù)PI 用PI從IC卡公鑰證書恢用SICC計算動復(fù)PICC態(tài)簽名 驗(yàn)證IC卡公鑰證書中的靜態(tài)數(shù)據(jù)哈希 INTERNAL AUTHENTICATE1或含動態(tài)簽名的GENERATEAC2響應(yīng)1 INTERNAL AUTHENTICATE命令（對于標(biāo)準(zhǔn)DDA） 2 GENERATE AC命令（對于CDA） 用PICC驗(yàn)證動態(tài)簽名 17終端 IC卡 IC卡 IC卡公鑰證書（PICC由SI簽名 發(fā)卡行公鑰證書 IC卡私鑰SICC 認(rèn)證中心公鑰PCA 圖表 6-2：DDA證書和公鑰體系結(jié)構(gòu)6.3.1 密鑰和證書為了支持動態(tài)數(shù)據(jù)認(rèn)證，一張IC卡必須擁有它自

36、己的唯一的公鑰對，公鑰對由一個私有的簽名密鑰和相對應(yīng)的公開的驗(yàn)證密鑰組成。IC卡公鑰必須存放在IC卡上的公鑰證書中。 動態(tài)數(shù)據(jù)認(rèn)證采用了一個三層的公鑰證書方案。每一個IC卡公鑰由它的發(fā)卡行認(rèn)證，而認(rèn)證中心認(rèn)證發(fā)卡行公鑰。這表明為了驗(yàn)證IC卡的簽名，終端需要先通過驗(yàn)證兩個證書來恢復(fù)和驗(yàn)證IC卡公鑰，然后用這個公鑰來驗(yàn)證IC卡的動態(tài)簽名。 按12.2.1節(jié)中指明的簽名方案分別將認(rèn)證中心私鑰SCA應(yīng)用到表格 6-8中指定的數(shù)據(jù)以及將發(fā)卡行私鑰SI應(yīng)用到表格 6-9中指定的數(shù)據(jù)，以分別獲得發(fā)卡行公鑰證書和IC卡公鑰證書。 認(rèn)證中心的公鑰對有一個NCA個字節(jié)的公鑰模。認(rèn)證中心公鑰指數(shù)必須等于3或216+1。 發(fā)卡行的公鑰對有一個為NI個字節(jié)（NINCA）的發(fā)卡行公鑰模。如果NI （NCA-36）,那么發(fā)卡行公鑰模被分成兩部分，即一部分包含模中最高的NCA-36個字節(jié)（發(fā)卡行公鑰中最左邊的數(shù)字）；另一部分包含剩下的模中最低的NI -（NCA-36）個字節(jié)（發(fā)卡行公鑰余項(xiàng)）。發(fā)卡行公鑰指數(shù)必須等于3或216+1。 IC卡的公鑰對有一個為NIC個字節(jié)（NICNINCA）的IC卡公鑰模。如果NIC（NI-42）,那么IC卡公鑰模被分成兩部分，即一部分包