金融IC卡借记贷记应用根CA公钥认证规范第2部分(20)

时间：2025-04-21

pboc2.0

Q/CUP 018.2—2009

表10 发卡机构公钥证书数据字段名

恢复数据头

证书格式

发卡机构标识

证书失效日期

证书序列号

哈希算法标识

发卡机构公钥算法标

识

发卡机构公钥长度

发卡机构公钥指数长

度长度（字节数） 1 1 4 2 3 1 1 1 1 十六进制值‘6A’ 十六进制值‘02’ 主帐号最左面的3到8位数字（从第1位开始）（不足部分右补十六进制‘F’）月和年份(MMYY) ，在本月最后一天之后证书失效由根CA系统分配的唯一标识证书的二进制数标识用来产生数字签名哈希值的哈希算法标识用于发卡机构公钥的数字签名算法以十六进制表示的发卡机构公钥的模长(NI )（字节数）以十六进制表示的发卡机构公钥指数的长度（字节数）

如果NI ≤ NCA－36，该字段包含了完整的发卡机构公钥模(NI)，

发卡机构公钥模的左

边部分 NCA 36 并在右面填充NCA – 36 –NI个字节的‘BB’。

如果NI > NCA – 36，该字段包含了发卡机构公钥模(NI )的最高

NCA – 36字节

哈希值

恢复数据尾 20 1 发卡机构公钥及其相关信息的哈希结果十六进制值‘BC’ n b b 描述格式 b b cn 8 n 4 b b b b b

根CA通过未签名发卡机构公钥输出扩展（表9）中的根CA公钥索引来定位根CA公钥及私钥，并通过该根CA私钥对发卡机构公钥证书数据（表10）进行签名得到签名的发卡机构公钥证书。

10.5 根CA单独签名

由于未签名发卡机构公钥输出扩展没有经过根CA签名，为保证其文件的数据完整性、信息源可认证性以及与签名的发卡机构公钥证书的有效绑定，在发卡机构公钥证书输出文件中加入了根CA单独签名。根CA单独签名是发卡机构公钥证书输出文件的第三部分，由根CA通过根CA私钥对根CA单独签名数据（表

11）进行签名，其中，根CA私钥通过未签名发卡机构公钥输出扩展（表9）中的根CA公钥索引来定位，使用的签名算法见《中国金融集成电路（IC）卡规范》第七部分第12章。

发卡机构对根CA单独签名的验证本标准不做强制性要求。