中国银联金融IC卡支付系统公钥认证技术规范V10说课讲解.doc
《中国银联金融IC卡支付系统公钥认证技术规范V10说课讲解.doc》由会员分享,可在线阅读,更多相关《中国银联金融IC卡支付系统公钥认证技术规范V10说课讲解.doc(52页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、Good is good, but better carries it.精益求精,善益求善。中国银联金融IC卡支付系统公钥认证技术规范V10-中国银联金融IC卡支付系统公钥认证技术规范V1.0(草案)中国银联二五年九月目录1引言41.1银联金融IC卡支付系统公钥认证技术规范概述41.2适用范围41.3规范性引用文件41.4定义和缩写51.5编码符号表示71.6版本控制72银联金融IC卡支付系统公钥认证体系概述82.1中国银联金融IC卡支付系统公钥认证体系82.2银联金融IC卡支付系统的IC卡数据认证82.2.1静态数据认证(SDA)92.2.2标准动态数据认证112.2.3复合动态数据认证/应
2、用密文生成(CDA)132.3银联金融IC卡支付系统使用的公钥种类133成员发卡行公钥证书申请153.1发卡行公钥输入文件153.2文件命名153.3未签名发卡行公钥输入扩展163.4自签名发卡行公钥数据164银联对发卡行公钥证书申请的响应204.1银联对发卡行公钥证书申请中签名的验证204.2银联IC卡根CA签发发卡行公钥证书224.2.1发卡行公钥证书输出文件内容224.2.2文件命名约定234.2.3未签名发卡行公钥输出扩展234.2.4签名的发卡行公钥证书244.2.5根CA单独签名255验证发卡行公钥证书276银联金融IC卡根CA公钥文件296.1根CA公钥文件内容296.2文件命名
3、约定296.3未签名根CA公钥输出扩展296.4自签名根CA公钥307成员机构验证根CA公钥328获取根CA公钥341 引言1.1 银联金融IC卡支付系统公钥认证技术规范概述银联金融IC卡支付系统公钥认证技术规范是对银联金融IC卡支付系统公钥认证业务规范所涉及的技术细节的规范,具体内容包括成员发卡行公钥证书申请的技术细节;银联金融IC卡根CA对成员发卡行公钥证书响应,包括验证发卡行公钥证书申请、签发发卡行公钥证书的技术细节;成员发卡行验证银联金融IC卡根CA对其签发的发卡行公钥证书的技术细节;银联金融IC卡根CA公钥文件的技术细节;成员机构验证和接受银联金融IC卡根CA公钥的技术细节;和成员机
4、构获取银联金融IC卡根CA公钥的途径。银联金融IC卡支付系统公钥认证机构、各个成员发卡行、和成员收单机构应遵从本技术规范以确保整个系统的安全性和整体信任程度。具体的业务流程见银联金融IC卡支付系统公钥认证业务规范。银联金融IC卡支付系统公钥认证技术规范和银联金融IC卡支付系统公钥认证业务规范是银联金融IC卡支付系统公钥认证服务的基本规范,这两个规范完全符合中国金融集成电路(IC)卡规范(2005版),并与EMV2000标准完全兼容,同时兼容国际金融IC卡支付组织VISA、MasterCard、和JCB的支付系统。1.2 适用范围本规范适用于中国银联金融IC卡支付系统公钥认证服务的服务提供机构和
5、服务接受机构包括中国银联金融IC卡支付系统公钥认证管理机构、接受银联金融IC卡支付系统公钥认证服务的银联成员机构、和银联成员机构授权的银联金融IC卡支付系统公钥认证服务的代理受理机构。1.3 规范性引用文件1中国金融集成电路(IC)卡规范(2005版)2银联卡业务运作规章3银联金融IC卡支付系统公钥认证业务规范4银联卡密钥安全管理规则5银行卡联网联合安全规范6银联标识卡生产企业安全管理指南7银联标识卡个人化企业安全和质量8银行卡发卡行标识代码及卡号9银联卡卡片规范10银行卡磁条信息格式和使用规范11入网机构标识码12商户类别代码13银行卡信息交换术语14银行磁条卡自动柜员机(ATM)应用规范1
6、5银行磁条卡销售点终端规范16银行磁条卡自动柜员机(ATM)应用规范17中国银联MIS商户系统技术规范18中国银联POS终端规范19中国银联代理业务ATM终端技术规范20中国银联银行卡联网联合技术规范2.0版参见银联金融IC卡支付系统公钥认证业务规范,根CA和成员机构除了必须遵守本规范外,还有义务遵守上述20个规范。1.4 定义和缩写中国金融集成电路(IC)卡规范(2005版):系中华人民共和国金融行业标准之一,由中国人民银行起草并于2005年3月10日发布/实施,用来规范金融行业集成电路(IC)卡应用的规范。BIN:发卡机构标识码,由支付系统分配的6位号码,用于识别会员应用、授权、清算、或结
7、算。银联标准卡的BIN的分配和管理统一由中国银联负责。EMV:由Europay,MasterCard,及Visa国际组织共同开发的技术规范,该技术规范为芯片技术在支付行业的使用创造标准并确保其全球互操作性。IIN:金融机构代码(IIN),由中国银联按照银联入网机构标识码规范分配给各成员金融机构的金融机构代码,唯一识别中国银联成员机构,由8位数字组成。成员机构:在本规范中指中国银联成员机构,遵守相关入网规范。中国银联成员机构是经中国银联董事会批准,发行银联卡和办理银联卡收单业务的金融机构或其它组织。会员机构:在本规范中指成员机构注册成为银联金融IC卡支付系统公钥认证服务会员机构。中国银联金融IC
8、卡支付系统根CA:由中国银联股份有限公司授权银联金融认证中心有限公司,依照中国金融集成电路(IC)卡规范(2005版)要求,建立的服务于金融行业IC卡安全应用的根认证中心;实现该根认证中心功能的应用系统是“银联金融IC卡根CA系统”,由中国银联统一管理,以下简称“根CA系统”。发卡行(Issuer):中国金融集成电路(IC)卡规范(2005版)指明,发卡行是发行带有支付系统标签的信用卡或专用卡的支付系统成员行。收单机构(Acquirer):中国金融集成电路(IC)卡规范(2005版)指明,收单机构是支付系统成员,负责签约商户或在现金支付中支付货币给持卡人,并直接或间接地参与交易交换。PAN:主
9、帐号。RID:注册的应用提供商标识。公钥密码算法:中国金融集成电路(IC)卡规范(2005版)第七部分第十二章规定的公钥密码算法。哈希算法:中国金融集成电路(IC)卡规范(2005版)第七部分第十二章规定的哈希算法。SDA:静态数据认证,脱机数据认证的一种,通过这种方法终端验证发卡时存放在卡上的密文。这种认证用于防止某些类型的伪造,但不能防止复制。DDA:动态数据验证,脱机数据认证的一种,芯片卡产生根据特定交易数据元加密生成的密文,终端验证该值以防止非法复制。CDA:复合动态数据认证/应用密文生成,脱机数据认证的一种。终端(Terminal):在交易点安装的设备,和IC卡一起完成金融交易它包括
10、接口设备,POS、ATM设备。1.5 编码符号表示本规范定义了一些编码方式,这些编码方式遵从中国金融集成电路(IC)卡规范(2005版),并与EMV2000标准完全兼容,同时兼容国际金融IC卡支付组织VISA、MasterCard、和JCB的有关规范并与它们的支付系统兼容。这些编码方式如下:b:二进制编码。这些数据是无符号二进制数或比特。例如发卡行公钥指数为二进制编码,十进制数值为3或65537,二进制编码用十六进制保存为十六进制03或010001。cn:压缩数字编码。由两个十六进制字符09组的序列表示一个数字,具有固定长度,不足位在右边以F填充。如主帐号(PAN)十进制数字由长度至多10的c
11、n编码表示,一个十进制PAN:6123567890123以长度为8的cn编码后为:6123567890123FFF。n:数字编码。由两个十六进制字符09组的序列表示一个数字,具有固定长度,左边以十六进制字符0补足。例如以长度为10的n编码表示十进制数值1234567为:0001234567。1.6 版本控制2 本规范的版本是银联金融IC卡支付系统公钥认证技术规范V1.0(2005)版。中国银联将在需要时对本规范进行修订,其后的修订版本高于V1.0,同时在修订版定稿后进行发布。银联金融IC卡支付系统公钥认证体系概述2.1 中国银联金融IC卡支付系统公钥认证体系遵循中国金融集成电路(IC)卡规范(
12、2005版),中国银联金融IC卡支付系统公钥认证体系为所有遵循银联标准的金融IC卡提供公钥证书认证服务,也同时为其它金融IC卡数据认证提供途径(如成员机构终端提供的对外卡数据认证)。中国银联金融IC卡支付系统公钥认证体系,首先包括银联金融IC卡支付系统CA(简称根CA)。根CA负责生成根CA公私钥对并管理根CA的公私钥信息、签发发卡行CA公钥证书,将根CA公钥信息安全传递给收单机构,是中国银联金融IC卡证书体系的信任根。同时,中国银联金融IC卡支付系统公钥认证体系也包括各个发卡行CA。它们是根CA的子CA,负责生成发卡行CA的公私钥对,向根CA申请并管理自己的公钥证书。此外,发卡行CA与发卡系
13、统交互,为IC卡签署静态应用数据以便进行静态数据认证(SDA),或生成IC卡公私钥对、签发IC卡证书以便进行动态数据认证(DDA),同时将自己的公钥证书、IC卡公钥证书、IC卡私钥、RID、和根CA公钥标识也写入IC卡。按照中国金融集成电路(IC)卡规范(2005版),中国银联金融IC卡支付系统还包括银联标准卡受理环境,收单机构要负责建立终端管理系统,将根CA公钥分发到受理终端(POS/ATM),并对远程终端进行设备管理、状态监控及信息管理(包括程序、参数下载)。这样,在中国金融集成电路(IC)卡规范(2005版)标准卡支付系统中,IC卡存放IC卡证书及IC卡私钥(或静态数据)和发卡行公钥证书
14、、RID、以及根CA公钥标识;受理终端存放根CA证书和相关的RID。在支付过程中,受理终端通过验证IC卡的应用数据的签名进行IC卡数据认证,其过程是首先读取IC卡内的RID、IC卡证书、发卡行证书、和根CA公钥标识,利用RID和根CA公钥标识定位特定的根CA公钥,利用根CA公钥验证发卡行证书,利用发卡行证书验证IC卡证书,利用IC卡证书验证IC卡内的动态签名或直接利用发卡行证书验证IC卡内的静态签名。整个IC卡数据认证完全离线进行。2.2 银联金融IC卡支付系统的IC卡数据认证银联金融IC卡支付系统公钥认证在IC卡系统支付过程中的作用是进行脱机IC卡数据认证包括:l 静态数据认证(SDA)l
15、动态数据认证(DDA)包括1. 标准动态数据认证2. 复合动态数据认证/应用密文生成(CDA)这两种IC卡数据认证遵循中国金融集成电路(IC)卡规范(2005版),并与EMV2000规范兼容。2.2.1 静态数据认证(SDA)静态数据认证由终端验证数字签名来完成。其目的是确认存放在银联标准IC卡中关键的静态数据的合法性,以及可以发现在卡片个人化以后,对卡内的发卡行数据未经授权的改动,能有效地检测银联标准IC卡内关键静态数据的真实性。静态数据认证流程和银联标准IC卡与银联金融IC卡支付系统公钥认证体系之间的关系如图1所示:整个银联标准IC卡静态数据认证的过程说明如下:1.成员发卡行的密钥管理系统
16、产生成员发卡行公/私钥对PI和SI,并将公钥PI传送至根CA;2.根CA用自己的私钥SCA对成员发卡行公钥PI进行数字签名,产生发卡行公钥证书,连同根CA公钥信息返回给发卡行密钥管理系统;3.发卡行密钥管理系统用发卡行私钥SI对卡片静态数据进行数字签名,将签名结果和发卡行公钥证书、和其它信息包括RID及根CA公钥标识传送至发卡系统;4.发卡系统在个人化时将发卡行公钥证书和数字签名连同根CA公钥标识、RID写入每一张卡片中;5.根CA将其公钥PCA及相关信息包括公钥标识和RID,经成员收单机构传送至终端管理系统;6.成员收单机构终端管理系统把根CA公钥PCA及相关信息包括公钥标识和RID通过远程
17、下载至终端;图1银联IC卡静态数据认证发卡行私钥S1发卡行公钥P1认证中心私钥SCA认证中心公钥PCA签名的应用数据(由PI签名)发卡行公钥证书发卡行公钥证书(PI由SCA签名)认证中心公钥PCAIC卡应用IC卡应用终端个人化初始化交易发卡行收单行认证中心READRECORD响应报文包含:认证中心公钥索引发卡行公钥证书签名应用数据-用PCA从发卡行公钥证书恢复SI-用PI恢复签名应用数据7.银联标准IC卡进行交易时的脱机静态数据认证,受理终端完成如下过程:l 终端从卡片中读取出发卡行公钥证书及签名数据,使用根CA公钥标识和RID找到根CA公钥PCA,由PCA恢复出发卡行公钥PI并成功验证其有效
18、性l 终端使用恢复的发卡行公钥PI验证卡片签名数据的有效性l 终端将验证结果与卡片静态数据进行比对,保存比对结果l 将验证结果返回给卡片。2.2.2 标准动态数据认证在动态数据认证过程中,终端验证卡片上的静态数据以及卡片产生的当前动态交易相关信息的签名。DDA能确认卡片上的发卡行应用数据自卡片个人化后没有被非法篡改,更重要的是DDA还能确认卡片的真实性,防止卡片的非法复制和伪造。DDA可以是标准动态数据认证或复合动态数据认证/应用密文生成(CDA)。银联标准IC卡动态数据认证如图2所示。在这种方式下,银联标准IC卡将来自卡片的动态交易数据以及由动态数据认证数据对象列表(DDOL)所标识的终端数
19、据生成一个数字签名(见中国金融集成电路(IC)卡规范(2005版)。银联标准IC卡标准动态数据认证的过程说明如下:1. 成员发卡行的密钥管理系统产生发卡行公私钥对SI和PI,并将发卡行公钥PI传送至根CA;2. 根CA用自己的私钥SCA对发卡行公钥进行数字签名,产生发卡行公钥证书,连同根CA公钥信息包括RID和根CA公钥标识返回给发卡行密钥管理系统;3. 发卡行为每一张银联标准IC卡产生一对公私钥对SICC和PICC并用发卡行私钥SI对IC卡公钥PICC进行数字签名,产生IC卡公钥证书;4. 发卡行密钥管理系统将发卡行公钥证书、IC卡公钥证书、和其它信息包括RID及根CA公钥标识传送至发卡系统
20、;5. 发卡系统在个人化时将发卡行公钥证书、IC卡证书、IC卡私钥、RID及根CA公钥标识写入卡片中;6. 根CA将自己的公钥PCA和其它相关信息包括RID及根CA公钥标识经过成员收单机构传送至终端管理系统;终端管理系统把根CA公钥PCA和其它信息包括RID及根CA公钥标识通过远程下载至终端;发卡行私钥S1发卡行公钥P1认证中心私钥SCA认证中心公钥PCAIC卡私钥SICCIC卡公钥PICC发卡行公钥证书(PI由SCA签名)认证中心公钥PCAIC卡应用IC卡应用终端个人化初始化交易发卡行收单行认证中心READRECORD响应报文包含:认证中心公钥索引发卡行公钥证书签名应用数据-用PCA从发卡行
21、公钥证书恢复PI-用PI从IC卡公钥证书恢复PICC-验证IC卡公钥证书中的静态数据哈希值IC卡公钥证书(PICC由SI签名)IC卡应用发卡行公钥证书终端用SICC算动态签名INTERNALAUTHENTICATE1或GENERATEAC2命令INTERNALAUTHENTICATE1或含动态签名的GENERATEAC2响应用PICC验证动态签名1INTERNALAUTHENTICATE命令(对于标准DDA)2GENERATEAC命令(对于CDA)图2银联标准IC卡动态数据认证7. 银联标准IC卡进行交易的脱机标准动态数据认证过程如下:l 终端从卡片取出发卡行公钥证书、IC卡公钥证书、RID、
22、和根CA公钥标识,利用RID和根CA公钥标识定位根CA公钥PCA,使用根CA公钥PCA恢复出发卡行公钥PI并成功验证其有效性,使用恢复的发卡行公钥PI恢复出IC卡公钥PICC并成功验证其有效性l 终端向IC卡发送内部认证命令(INTERNALAUTHENTICATE)(见中国金融集成电路(IC)卡规范(2005版)请求一个动态签名;卡片对内部认证命令中的终端数据和在IC卡动态数据中指定的卡片数据进行连接,由卡片私钥SICC对该连接数据进行数字签名并返回给终端l 终端使用IC卡公钥PICC对上一步骤的数字签名进行成功验证8. 将验证结果返回给卡片。2.2.3 复合动态数据认证/应用密文生成(CD
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中国 金融 IC 支付 系统 认证 技术规范 V10 讲解
限制150内