银联金融IC卡支付系统公钥认证体系介绍样本.doc
《银联金融IC卡支付系统公钥认证体系介绍样本.doc》由会员分享,可在线阅读,更多相关《银联金融IC卡支付系统公钥认证体系介绍样本.doc(36页珍藏版)》请在咨信网上搜索。
1、中国银联金融IC卡支付系统公钥认证技术规范V1.0(草案)中国银联二五年九月目录1引言41.1银联金融IC卡支付系统公钥认证技术规范概述41.2适用范围41.3规范性引用文件41.4定义和缩写51.5编码符号表示71.6版本控制72银联金融IC卡支付系统公钥认证体系概述82.1中国银联金融IC卡支付系统公钥认证体系82.2银联金融IC卡支付系统IC卡数据认证82.2.1静态数据认证(SDA)92.2.2标准动态数据认证112.2.3复合动态数据认证/应用密文生成(CDA)132.3银联金融IC卡支付系统使用公钥种类133组员发卡行公钥证书申请153.1发卡行公钥输入文件153.2文件命名153
2、.3未署名发卡行公钥输入扩展163.4自署名发卡行公钥数据164银联对发卡行公钥证书申请响应204.1银联对发卡行公钥证书申请中署名验证204.2银联IC卡根CA签发发卡行公钥证书224.2.1发卡行公钥证书输出文件内容224.2.2文件命名约定234.2.3未署名发卡行公钥输出扩展234.2.4署名发卡行公钥证书244.2.5根CA单独署名255验证发卡行公钥证书276银联金融IC卡根CA公钥文件296.1根CA公钥文件内容296.2文件命名约定296.3未署名根CA公钥输出扩展296.4自署名根CA公钥307组员机构验证根CA公钥328获取根CA公钥341 引言1.1 银联金融IC卡支付系
3、统公钥认证技术规范概述银联金融IC卡支付系统公钥认证技术规范是对银联金融IC卡支付系统公钥认证业务规范所包含技术细节规范,具体内容包含组员发卡行公钥证书申请技术细节;银联金融IC卡根CA对组员发卡行公钥证书响应,包含验证发卡行公钥证书申请、签发发卡行公钥证书技术细节;组员发卡行验证银联金融IC卡根CA对其签发发卡行公钥证书技术细节;银联金融IC卡根CA公钥文件技术细节;组员机构验证和接收银联金融IC卡根CA公钥技术细节;和组员机构获取银联金融IC卡根CA公钥路径。银联金融IC卡支付系统公钥认证机构、各个组员发卡行、和组员收单机构应遵从本技术规范以确保整个系统安全性和整体信任程度。具体业务步骤见
4、银联金融IC卡支付系统公钥认证业务规范。银联金融IC卡支付系统公钥认证技术规范和银联金融IC卡支付系统公钥认证业务规范是银联金融IC卡支付系统公钥认证服务基础规范,这两个规范完全符合中国金融集成电路(IC)卡规范 (),并和EMV标准完全兼容,同时兼容国际金融IC卡支付组织VISA、MasterCard、和JCB支付系统。1.2 适用范围本规范适适用于中国银联金融IC卡支付系统公钥认证服务服务提供机构和服务接收机构包含中国银联金融IC卡支付系统公钥认证管理机构、接收银联金融IC卡支付系统公钥认证服务银联组员机构、和银联组员机构授权银联金融IC卡支付系统公钥认证服务代理受理机构。1.3 规范性引
5、用文件1中国金融集成电路(IC)卡规范 ()2银联卡业务运作规章3银联金融IC卡支付系统公钥认证业务规范4银联卡密钥安全管理规则5银行卡联网联合安全规范6银联标识卡生产企业安全管理指南7银联标识卡个人化企业安全和质量8银行卡发卡行标识代码及卡号9银联卡卡片规范10银行卡磁条信息格式和使用规范11入网机构标识码12商户类别代码13银行卡信息交换术语14银行磁条卡自动柜员机(ATM)应用规范15银行磁条卡销售点终端规范16银行磁条卡自动柜员机(ATM)应用规范17中国银联MIS商户系统技术规范18中国银联POS终端规范19中国银联代理业务ATM终端技术规范20中国银联银行卡联网联合技术规范2.0版
6、参见银联金融IC卡支付系统公钥认证业务规范,根CA和组员机构除了必需遵守本规范外,还有义务遵守上述20个规范。1.4 定义和缩写中国金融集成电路(IC)卡规范 ():系中国金融行业标准之一,由中国人民银行起草并于3月10日公布/实施,用来规范金融行业集成电路(IC)卡应用规范。BIN:发卡机构标识码,由支付系统分配6位号码,用于识别会员应用、授权、清算、或结算。银联标准卡BIN分配和管理统一由中国银联负责。EMV:由Europay,MasterCard,及Visa国际组织共同开发技术规范,该技术规范为芯片技术在支付行业使用发明标准并确保其全球互操作性。IIN:金融机构代码(IIN),由中国银联
7、根据银联入网机构标识码规范分配给各组员金融机构金融机构代码,唯一识别中国银联组员机构,由8位数字组成。组员机构:在本规范中指中国银联组员机构,遵守相关入网规范。中国银联组员机构是经中国银联董事会同意,发行银联卡和办理银联卡收单业务金融机构或其它组织。会员机构:在本规范中指组员机构注册成为银联金融IC卡支付系统公钥认证服务会员机构。中国银联金融IC卡支付系统根CA:由中国银联股份授权银联金融认证中心,依据中国金融集成电路(IC)卡规范 ()要求,建立服务于金融行业IC卡安全应用根认证中心;实现该根认证中心功效应用系统是“银联金融IC卡根CA系统”,由中国银联统一管理,以下简称“根CA系统”。发卡
8、行 (Issuer):中国金融集成电路(IC)卡规范 ()指明,发卡行是发行带有支付系统标签信用卡或专用卡支付系统组员行。收单机构(Acquirer):中国金融集成电路(IC)卡规范 ()指明,收单机构是支付系统组员,负责签约商户或在现金支付中支付货币给持卡人,并直接或间接地参与交易交换。PAN:主帐号。RID:注册应用提供商标识。公钥密码算法:中国金融集成电路(IC)卡规范 ()第七部分第十二章要求公钥密码算法。哈希算法:中国金融集成电路(IC)卡规范 ()第七部分第十二章要求哈希算法。SDA:静态数据认证,脱机数据认证一个,经过这种方法终端验证发卡时存放在卡上密文。这种认证用于预防一些类型
9、伪造,但不能预防复制。DDA :动态数据验证,脱机数据认证一个,芯片卡产生依据特定交易数据元加密生成密文,终端验证该值以预防非法复制。CDA:复合动态数据认证/应用密文生成,脱机数据认证一个。终端(Terminal):在交易点安装设备,和IC卡一起完成金融交易它包含接口设备,POS、ATM设备。1.5 编码符号表示本规范定义了部分编码方法,这些编码方法遵从中国金融集成电路(IC)卡规范 (),并和EMV标准完全兼容,同时兼容国际金融IC卡支付组织VISA、MasterCard、和JCB相关规范并和它们支付系统兼容。这些编码方法以下:b: 二进制编码。这些数据是无符号二进制数或比特。比如发卡行公
10、钥指数为二进制编码, 十进制数值为3或65537,二进制编码用十六进制保留为十六进制03或01 00 01。cn:压缩数字编码。由两个十六进制字符09组序列表示一个数字,含有固定长度,不足位在右边以F填充。如主帐号(PAN)十进制数字由长度至多10cn编码表示,一个十进制PAN: 3 以长度为8cn编码后为:61 23 56 78 90 12 3F FF。n:数字编码。由两个十六进制字符09组序列表示一个数字,含有固定长度,左边以十六进制字符0补足。比如以长度为10n 编码表示十进制数值1234567为:00 01 23 45 67。1.6 版本控制本规范版本是银联金融IC卡支付系统公钥认证技
11、术规范V1.0 ()版。中国银联将在需要时对本规范进行修订,其后修订版本高于V1.0,同时在修订版定稿后进行公布。2 银联金融IC卡支付系统公钥认证体系概述2.1 中国银联金融IC卡支付系统公钥认证体系遵照中国金融集成电路(IC)卡规范 (),中国银联金融IC卡支付系统公钥认证体系为全部遵照银联标准金融IC卡提供公钥证书认证服务,也同时为其它金融IC卡数据认证提供路径(如组员机构终端提供对外卡数据认证)。中国银联金融IC卡支付系统公钥认证体系,首先包含银联金融IC卡支付系统CA(简称根CA)。根CA负责生成根CA公私钥对并管理根CA公私钥信息、签发发卡行CA公钥证书,将根CA公钥信息安全传输给
12、收单机构,是中国银联金融IC卡证书体系信任根。同时,中国银联金融IC卡支付系统公钥认证体系也包含各个发卡行CA。它们是根CA子CA,负责生成发卡行CA公私钥对,向根CA申请并管理自己公钥证书。另外,发卡行CA和发卡系统交互,为IC卡签署静态应用数据方便进行静态数据认证(SDA),或生成IC卡公私钥对、签发IC卡证书方便进行动态数据认证(DDA),同时将自己公钥证书、IC卡公钥证书、IC卡私钥、RID、和根CA公钥标识也写入IC卡。根据中国金融集成电路(IC)卡规范 (),中国银联金融IC卡支付系统还包含银联标准卡受理环境,收单机构要负责建立终端管理系统,将根CA公钥分发到受理终端(POS/AT
13、M),并对远程终端进行设备管理、状态监控及信息管理(包含程序、参数下载)。这么,在中国金融集成电路(IC)卡规范 ()标准卡支付系统中,IC卡存放IC卡证书及IC卡私钥(或静态数据)和发卡行公钥证书、RID、和根CA公钥标识;受理终端存放根CA证书和相关RID。在支付过程中,受理终端经过验证IC卡应用数据署名进行IC卡数据认证,其过程是首先读取IC卡内RID、IC卡证书、发卡行证书、和根CA公钥标识,利用RID和根CA公钥标识定位特定根CA公钥,利用根CA公钥验证发卡行证书,利用发卡行证书验证IC卡证书,利用IC卡证书验证IC卡内动态署名或直接利用发卡行证书验证IC卡内静态署名。整个IC卡数据
14、认证完全离线进行。2.2 银联金融IC卡支付系统IC卡数据认证银联金融IC卡支付系统公钥认证在IC卡系统支付过程中作用是进行脱机IC卡数据认证包含:l 静态数据认证(SDA)l 动态数据认证(DDA)包含1. 标准动态数据认证2. 复合动态数据认证/应用密文生成(CDA)这两种IC卡数据认证遵照中国金融集成电路(IC)卡规范 (),并和EMV规范兼容。2.2.1 静态数据认证(SDA)静态数据认证由终端验证数字署名来完成。其目标是确定存放在银联标准IC卡中关键静态数据正当性,和能够发觉在卡片个人化以后,对卡内发卡行数据未经授权改动,能有效地检测银联标准IC卡内关键静态数据真实性。静态数据认证步
15、骤和银联标准IC卡和银联金融IC卡支付系统公钥认证体系之间关系图1所表示:整个银联标准IC卡静态数据认证过程说明以下:1.组员发卡行密钥管理系统产生组员发卡行公/私钥对PI和SI,并将公钥PI传送至根CA;2.根CA用自己私钥SCA对组员发卡行公钥PI进行数字署名,产生发卡行公钥证书,连同根CA公钥信息返回给发卡行密钥管理系统;3.发卡行密钥管理系统用发卡行私钥SI对卡片静态数据进行数字署名,将署名结果和发卡行公钥证书、和其它信息包含RID及根CA公钥标识传送至发卡系统;4.发卡系统在个人化时将发卡行公钥证书和数字署名连同根CA公钥标识、RID写入每一张卡片中;5.根CA将其公钥PCA及相关信
16、息包含公钥标识和RID,经组员收单机构传送至终端管理系统;6.组员收单机构终端管理系统把根CA公钥PCA及相关信息包含公钥标识和RID经过远程下载至终端;图1 银联IC卡静态数据认证发卡行私钥S1发卡行公钥P1认证中心私钥SCA认证中心公钥PCA署名应用数据(由PI署名)发卡行公钥证书发卡行公钥证书 (PI由SCA署名)认证中心公钥PCAIC卡应用IC卡应用终端个人化初始化交易发卡行收单行认证中心READ RECORD响应报文包含:认证中心公钥索引发卡行公钥证书署名应用数据-用PCA从发卡行公钥证书恢复SI-用PI恢复署名应用数据7.银联标准IC卡进行交易时脱机静态数据认证,受理终端完成以下过
17、程:l 终端从卡片中读取出发卡行公钥证书及署名数据,使用根CA公钥标识和RID找到根CA公钥PCA,由PCA恢复出发卡行公钥PI并成功验证其有效性l 终端使用恢复发卡行公钥PI验证卡片署名数据有效性l 终端将验证结果和卡片静态数据进行比对,保留比对结果l 将验证结果返回给卡片。2.2.2 标准动态数据认证在动态数据认证过程中,终端验证卡片上静态数据和卡片产生目前动态交易相关信息署名。DDA能确定卡片上发卡行应用数据自卡片个人化后没有被非法篡改,更关键是DDA还能确定卡片真实性,预防卡片非法复制和伪造。DDA能够是标准动态数据认证或复合动态数据认证/应用密文生成(CDA)。银联标准IC卡动态数据
18、认证图2所表示。在这种方法下,银联标准IC卡未来自卡片动态交易数据和由动态数据认证数据对象列表(DDOL)所标识终端数据生成一个数字署名(见中国金融集成电路(IC)卡规范 ()。银联标准IC卡标准动态数据认证过程说明以下:1. 组员发卡行密钥管理系统产生发卡行公私钥对SI和PI,并将发卡行公钥PI传送至根CA; 2. 根CA用自己私钥SCA对发卡行公钥进行数字署名,产生发卡行公钥证书,连同根CA公钥信息包含RID和根CA公钥标识返回给发卡行密钥管理系统;3. 发卡行为每一张银联标准IC卡产生一对公私钥对SICC和PICC并用发卡行私钥SI对IC卡公钥PICC进行数字署名,产生IC卡公钥证书;4
19、. 发卡行密钥管理系统将发卡行公钥证书、IC卡公钥证书、和其它信息包含RID及根CA公钥标识传送至发卡系统;5. 发卡系统在个人化时将发卡行公钥证书、IC卡证书、IC卡私钥、RID及根CA公钥标识写入卡片中;6. 根CA将自己公钥PCA和其它相关信息包含RID及根CA公钥标识经过组员收单机构传送至终端管理系统;7. 终端管理系统把根CA公钥PCA和其它信息包含RID及根CA公钥标识经过远程下载至终端;发卡行私钥S1发卡行公钥P1认证中心私钥SCA认证中心公钥PCAIC卡私钥SICCIC卡公钥PICC发卡行公钥证书 (PI由SCA署名)认证中心公钥PCAIC卡应用IC卡应用终端个人化初始化交易发
20、卡行收单行认证中心READ RECORD响应报文包含:认证中心公钥索引发卡行公钥证书署名应用数据-用PCA从发卡行公钥证书恢复PI-用PI从IC卡公钥证书恢复PICC-验证IC卡公钥证书中静态数据哈希值IC卡公钥证书(PICC由SI署名)IC卡应用发卡行公钥证书终端用SICC算动态署名INTERNAL AUTHENTICATE1或GENERATE AC2命令INTERNAL AUTHENTICATE1或含动态署名GENERATE AC2响应用PICC验证动态署名1INTERNAL AUTHENTICATE命令(对于标准DDA)2GENERATE AC命令(对于CDA)图2 银联标准IC卡动态数
21、据认证8. 银联标准IC卡进行交易脱机标准动态数据认证过程以下: l 终端从卡片取出发卡行公钥证书、IC卡公钥证书、RID、和根CA公钥标识,利用RID和根CA公钥标识定位根CA公钥PCA,使用根CA公钥PCA恢复出发卡行公钥PI并成功验证其有效性,使用恢复发卡行公钥PI恢复出IC卡公钥PICC并成功验证其有效性l 终端向IC卡发送内部认证命令(INTERNAL AUTHENTICATE)(见中国金融集成电路(IC)卡规范 ()请求一个动态署名;卡片对内部认证命令中终端数据和在IC卡动态数据中指定卡片数据进行连接,由卡片私钥SICC对该连接数据进行数字署名并返回给终端l 终端使用IC卡公钥PI
22、CC对上一步骤数字署名进行成功验证9. 将验证结果返回给卡片。2.2.3 复合动态数据认证/应用密文生成(CDA)这种方法在第一个请求应用密文命令发出后实施(见中国金融集成电路(IC)卡规范 ()。银联标准IC卡未来自卡片数据包含应用密文和来自终端数据生成一个数字署名。银联复合动态数据认证/应用密文生成(CDA)处理中包含公钥部分具体步骤见本规范第1.3.1节,包含支付部分具体步骤见中国金融集成电路(IC)卡规范 ()第七部分第5.3.6节。2.3 银联金融IC卡支付系统使用公钥种类在银联金融IC卡支付系统中使用三种公私钥对:根CA公私钥对、组员发卡行公私钥对、和银联标准IC卡公私钥对。其作用
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 金融 IC 支付 系统 认证 体系 介绍 样本
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【a199****6536】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【a199****6536】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。