金融IC卡借记贷记应用根CA公钥认证规范 第2部分(14)

pboc2.0

Q/CUP 018.2—2009

字段名

哈希算法标识

根CA公钥指数长度

根CA公钥指数

哈希值 长度（字节数）1 1 eCA 20 描述 十六进制 ‘01’ ，标识生成哈希值的哈希算法，见《中国金融集成电路（IC）卡规范 》第七部分第12章。 为十六进制字节数，表示根CA公钥指数长度eCA 。 根CA公钥指数。 下列数据连接后计算的哈希值：RID、根CA公钥索引、

根CA公钥模、根CA公钥指数。 格式 b b b b

表4根CA公钥证书数据中哈希值的计算见《中国金融集成电路（IC）卡规范 》第七部分第12章。 7 成员机构及第三方服务机构根CA公钥证书验证

成员机构、第三方服务机构收到根CA公钥文件后，必须按照下列步骤对根CA公钥证书（根CA公钥文件）进行验证，验证成功后方可使用根CA测试及生产型公钥。成员机构、第三方服务机构使用从自签名根CA公钥数据解析出的哈希值来验证根CA公钥。

1） 按照未签名根CA公钥输出扩展中根CA公钥算法标识规定的公钥算法，使用未签名根CA公

钥输出扩展中的根CA公钥模和根CA公钥指数，将自签名根CA公钥恢复出根CA公钥证书数据（见表4）。

2） 检查恢复的根CA公钥证书数据中的记录头，若不是‘21’，则拒绝该根CA公钥证书。

3） 从恢复的根CA公钥证书数据中的注册应用提供者标识（RID），若不是A000000333，则拒绝

该根CA公钥。

4） 检查恢复的根CA公钥证书数据中的根CA公钥索引，若不符合本标准和《金融IC卡借记/贷

记应用根CA公钥认证管理规则》，则拒绝该根CA公钥。

5） 检查恢复的根CA公钥证书数据中根CA公钥失效日期，若失效日期早于当前日期，则拒绝该

根CA公钥。

6） 检查恢复的根CA公钥证书数据中根CA公钥算法标识，若不是‘01’，则拒绝该根CA公钥。

7） 检查恢复的根CA公钥证书数据中根CA公钥模长度，若该公钥模长度不符合《金融IC卡借

记/贷记应用根CA公钥认证管理规则》第6.2.2.1节的规定，则拒绝该根CA公钥。

8） 检查根CA自签名数据和恢复的根CA公钥证书数据长度是否一致，并且数据长度都是NCA字

节，若不是，则拒绝该根CA公钥。

9） 检查恢复的根CA公钥证书数据中根CA公钥指数长度，若不是‘01’，则拒绝该根CA公钥。

10）检查恢复的根CA公钥证书数据中根CA公钥指数，若不是3或216＋1，则拒绝该根CA公钥。

11）从记录头到根CA公钥指数将恢复的根CA公钥数据的各字段从左向右连接。

12）按照根CA公钥数据中的哈希算法标识确定的哈希算法对上一步骤得到的数据计算哈希值。

13）比较上一步骤计算的哈希值和恢复的根CA公钥数据中的哈希值，若不同，则拒绝该根CA公

钥。

14）将恢复的根CA公钥证书数据中的根CA公钥指数与未签名根CA公钥输出扩展中的根CA公

钥指数比较，若不同，则拒绝该根CA公钥。

15）将恢复的根CA公钥证书数据中根CA公钥模的左边部分（NCA 36 eCA 字节）与未签名根

CA公钥输出扩展中的根CA公钥模的前NCA 36 eCA 字节比较，若不同，则拒绝该根CA公钥。

若上述验证都通过，则成员机构、第三方服务机构可以接受所收到的根CA公钥。成员机构、第三方服务机构可以使用根CA公钥认证处理软件完成上述验证。

9