金融IC卡借记贷记应用根CA公钥认证规范 第2部分(9)

pboc2.0

Q/CUP 018.2—2009

n：数字编码。每一字节表示两个十进制数字，具有固定长度，不足部分在左边以十六进制字符‘0’填充。例如以长度为10的‘n ’编码表示十进制数值1234567为：‘00 01 23 45 67’。

5 金融IC卡借记/贷记应用公钥认证

5.1 金融IC卡借记/贷记应用中的IC卡数据认证

金融IC卡借记/贷记应用公钥认证在IC卡支付过程中的作用是进行脱机IC卡数据认证，包括： —— 静态数据认证（SDA）

—— 动态数据认证（DDA），包括：

● 标准动态数据认证

● 复合动态数据认证/应用密文生成（CDA）

这两种IC卡数据认证遵循《中国金融集成电路（IC）卡规范 》，并与EMV2000规范兼容。

5.1.1 静态数据认证（SDA）

静态数据认证由终端验证卡片中的静态数据的数字签名来完成。其目的是确认存放在银联标准IC卡中关键的静态数据的合法性，可以发现在卡片个人化以后对卡内的发卡机构数据未经授权的改动，能有效地检测银联标准IC卡内关键静态数据的真实性。

静态数据认证流程和银联标准IC卡与根CA公钥认证体系之间的关系如图1所示：

整个银联标准IC卡静态数据认证的过程说明如下：

1） 发卡机构的密钥管理系统产生发卡机构公/私钥对PI和SI，并将公钥PI传送至根CA；

2） 根CA用自己的私钥SCA对发卡机构公钥PI进行数字签名，产生发卡机构公钥证书，连同根

CA公钥证书（包括RID及根CA公钥索引）返回给发卡机构密钥管理系统；

3） 发卡机构密钥管理系统用发卡机构私钥SI对卡片静态数据进行数字签名，将签名结果、发卡

机构公钥证书、RID及根CA公钥索引传送至发卡系统；

4） 发卡系统在个人化时将静态数字签名、发卡机构公钥证书、RID以及根CA公钥索引写入每一

张卡片中；

5） 根CA将其公钥PCA 、RID、根CA公钥索引及其它相关信息经收单机构传送至终端管理系统；

6） 收单机构终端管理系统把根CA公钥PCA、RID、根CA公钥索引及其它相关信息下载至终端；

7） 银联标准IC卡进行交易时，脱机静态数据认证过程如下：

● 终端从卡片中读取发卡机构公钥证书及签名数据，使用根CA公钥索引和RID找到根CA

公钥PCA，由PCA恢复出发卡机构公钥PI并验证其有效性；

● 终端使用恢复的发卡机构公钥PI验证卡片签名数据的有效性。

3