PBOC2.0規(guī)范借貸記應(yīng)用使用的密鑰
文章出處:http://botanicstilllife.com 作者: 人氣: 發(fā)表時間:2012年05月06日
1 3DES主密鑰
用途:聯(lián)機交易報文的保護使用雙倍密鑰長度的3DES分組密碼算法和密鑰
發(fā)卡行主密鑰 —— 需要安裝在卡片個人化系統(tǒng)、交易及授權(quán)系統(tǒng)
卡片主密鑰—— 在卡片個人化時由發(fā)卡行主密鑰分散導出寫入卡片,發(fā)卡行不需要存儲。(發(fā)卡行生成和使用若干發(fā)卡行3DES主密鑰并利用卡片PAN和PAN序列號導出卡片的若干唯一3DES主密鑰。)
過程密鑰——卡片交易過程中使用的3DES密鑰,僅當需要使用時由卡片中的IC卡主密鑰分散導出
發(fā)卡行主密鑰包括:
1) 發(fā)卡行應(yīng)用密報主密鑰IMKAC:AC用于在卡片和發(fā)卡行交易授權(quán)系統(tǒng)間對交易報文進行鑒別。一個應(yīng)用密報AC,如ARQC、ARPC、AAC或TC,是一個采用過程密鑰計算的報文鑒別碼MAC。該過程密鑰由相應(yīng)的IC卡主密鑰MKAC分散導出,而這個IC卡主密鑰MKAC由發(fā)卡行IMKAC導出并在個人化時寫入卡片。
2) 發(fā)卡行安全報文主密鑰IMKSMC和IMKSMI:發(fā)卡行安全報文SM用于發(fā)卡后的特定交易過程中卡片和交易授權(quán)系統(tǒng)間的報文傳輸安全(如卡片鎖定、應(yīng)用鎖定或解鎖、卡片數(shù)據(jù)更新、PIN變更或PIN解鎖)。在上述過程中應(yīng)對報文加密和報文完整性保護使用不同的密鑰。安全報文的加密使用安全報文加密過程密鑰SKSMC,該過程密鑰是由卡片安全報文加密主密鑰MKSMC導出的。安全報文的MAC計算使用安全報文MAC過程密鑰SKSMI,該過程密鑰是由卡片安全報文完整性主密鑰MKSMI導出的。而發(fā)卡行安全報文主密鑰IMKSMC和IMKSMI分別用于導出MKSMC和MKSMI。
2 SDA使用的密鑰
SDA需要發(fā)卡行在卡片個人化時使用發(fā)卡行RSA公私鑰對的私鑰對特定靜態(tài)數(shù)據(jù)進行簽名并將簽名數(shù)據(jù)寫入卡片。
首先,發(fā)卡行生成發(fā)卡行RSA公私鑰對,然后發(fā)卡行的公鑰由IC卡根CA簽發(fā)發(fā)卡行公鑰證書,發(fā)卡行的私鑰用于簽署靜態(tài)數(shù)據(jù)。在卡片個人化時,發(fā)卡行將發(fā)卡行公鑰證書及簽名的卡片靜態(tài)數(shù)據(jù)寫入卡片。發(fā)卡行證書和簽名的靜態(tài)數(shù)據(jù)的格式見PBOC2.0安全規(guī)范和金融IC卡借記/貸記應(yīng)用根CA公鑰認證規(guī)范。
終端在驗證卡片SDA過程中執(zhí)行下列步驟:
1.從卡片讀取發(fā)卡行公鑰證書。
2.使用存儲在終端的IC卡根CA公鑰驗證該發(fā)卡行證書。
3.從該發(fā)卡行證書解析出發(fā)卡行公鑰。
4.讀取卡片靜態(tài)簽名數(shù)據(jù)并用發(fā)卡行公鑰驗證該靜態(tài)數(shù)據(jù)的簽名。
見金融IC卡借記/貸記應(yīng)用根CA公鑰認證規(guī)范。
3 卡片動態(tài)數(shù)據(jù)認證(DDA)使用的密鑰
DDA需要卡片擁有自己的RSA公私鑰對,其公鑰由發(fā)卡行按照PBOC2.0的安全規(guī)范簽發(fā)卡片公鑰證書。
卡片私鑰存儲在卡片中,并在卡片執(zhí)行DDA過程中簽署一動態(tài)簽名數(shù)據(jù)由終端驗證??ㄆ墓€由終端在驗證卡片DDA時使用。IC卡的RSA公私鑰對對每張IC卡都是唯一的。該卡片公私鑰對由發(fā)卡行在卡片個人化過程中生成,然后發(fā)卡行將該卡片私鑰寫入卡片,并對該卡片公鑰進行簽名生成卡片公鑰證書然后將卡片公鑰證書寫入卡片。
在終端驗證卡片DDA過程中,首先利用終端內(nèi)存儲的IC卡根CA公鑰驗證從卡片讀取的發(fā)卡行公鑰證書,然后從發(fā)卡行證書中解析出發(fā)卡行公鑰并用該發(fā)卡行公鑰驗證從卡片中讀取的IC卡公鑰證書,然后從IC卡公鑰證書中解析出卡片公鑰,用該卡片公鑰驗證卡片發(fā)來的DDA簽名數(shù)據(jù)的簽名。
復合動態(tài)數(shù)據(jù)認證CDA是DDA的擴展。CDA不僅使用卡片私鑰對動態(tài)交易數(shù)據(jù)簽名,也對應(yīng)用密碼報文簽名。這樣可以抵御針對交易數(shù)據(jù)的攻擊。
4 其它密鑰
除了上述用于卡片交易過程的密鑰外,發(fā)卡行還需要擁有在卡片個人化過程中用于個人化數(shù)據(jù)安全傳輸?shù)拿荑€,見本標準第10.9節(jié)。對于多應(yīng)用IC卡,除了上述密鑰外可能還需要針對其它應(yīng)用的密鑰。
轉(zhuǎn)載原文鏈接:http://blog.csdn.net/watertap/article/details/7054199