中国金融集成电路IC卡借记贷记规范v2安全部分.docx

1、中国金融集成电路IC卡借记贷记规范v2安全部分中国金融集成电路（IC）卡借记/贷记规范第四部分：安全规范中国金融集成电路（IC）卡标准修订工作组二零零四年九月目 次1. 引言 12. 范围 13. 参考资料 14. 定义 15. 缩略语和符号 46. 脱机数据认证 66.1 密钥和证书 76.1.1 认证中心 76.1.2 公开密钥对 76.2 静态数据认证（SDA） 86.2.1 密钥和证书 116.2.2 认证中心公钥获取 136.2.3 发卡行公钥获取 136.2.4 签名的静态应用数据验证 146.3 动态数据认证（DDA） 156.3.1 密钥和证书 186.3.2 认证中心公钥的获

2、取 206.3.3 发卡行公钥的获取 206.3.4 IC卡公钥的获取 226.3.5 标准动态数据认证 236.3.6 复合动态数据认证/应用密文生成(CDA) 257. 应用密文和发卡行认证 307.1 应用密文产生 307.1.1 数据源选择 307.1.2 应用密文算法 317.2 发卡行认证 317.3 密钥管理 318. 安全报文 318.1 报文格式 328.2 报文完整性及其验证 328.2.1 命令数据域 328.2.2 MAC过程密钥分散 328.2.3 MAC的计算 328.3 报文私密性 328.3.1 命令数据域 328.3.2 加密过程密钥分散 338.3.3 加密

3、解密 338.4 密钥管理 339. 卡片安全 339.1 共存应用 339.2 密钥的独立性 339.3 卡片内部安全体系 339.3.1 卡片内部安全目标 339.3.2 卡片内部安全概述 339.3.3 文件控制信息 349.3.4 文件控制参数 369.3.5 IC卡本地数据建议访问条件 379.4 卡片中密钥的种类 3710. 终端安全 3810.1 终端数据安全性要求 3810.1.1 一般要求 3810.1.2 安全模块的物理安全要求 3910.1.3 安全模块的逻辑安全要求 3910.2 终端设备安全性要求 3910.2.1 防入侵设备 3910.2.2 PINPAD安全性 4

4、010.3 终端密钥管理要求 4110.3.1 终端密钥种类 4110.3.2 认证中心公钥管理 4211. 密钥管理体系 4311.1 认证中心公钥管理 4311.1.1 认证中心公钥生命周期 4411.1.2 认证中心公钥对泄漏 4611.1.3 认证中心密钥管理策略 4711.2 发卡行公钥管理 4911.3 发卡行对称密钥管理 5011.3.1 安全性要求 5011.3.2 功能性要求 5012. 安全机制 5112.1 对称加密机制 5112.1.1 加密解密 5112.1.2 报文认证码 5312.1.3 过程密钥分散 5412.1.4 子密钥分散 5612.2 非对称加密机制 5

5、712.2.1 用于报文恢复的数字签名方案 5713. 认可的算法 5813.1 对称加密算法 5813.1.1 DES 5813.1.2 SSF33 5813.2 非对称加密算法 5813.2.1 RSA 5813.3 哈希算法 6013.3.1 SHA-1 60图 表图表 61：SDA证书和公钥体系结构 10图表 62：DDA证书和公钥体系结构 18图表 111：认证中心公钥的分发 45图表 112：发卡行公钥的分发 46图表 121单长度过程密钥的产生 55图表 122128位分组加密算法过程密钥的产生 56表 格表格 61：SDA和DDA的比较 6表格 62：SDA，DDA和CDA处理

6、优先级 7表格 63：由认证中心签名的发卡行公钥数据（即哈希算法的输入） 11表格 64：由发卡行签名的静态应用数据（即哈希算法的输入） 12表格 65：静态数据认证用到的数据对象 12表格 66 从发卡行公钥证书恢复数据的格式 13表格 67：从签名的静态应用数据恢复数据的格式 14表格 68：由认证中心签名的发卡行公钥数据（即哈希算法的输入） 18表格 69：由发卡行签名的IC卡公钥数据（即哈希算法的输入） 19表格 610：动态认证中的公钥认证所需的数据对象 20表格 611：从发卡行公钥证书恢复数据的格式 20表格 612：从IC卡公钥证书恢复数据的格式 22表格 613：需签名的动态

7、应用数据（即哈希算法的输入） 23表格 614：生成和检验动态签名所需要的其它数据对象 24表格 615：从签名的动态应用数据恢复的数据格式 24表格 616：需签名的动态应用数据（即哈希算法的输入） 26表格 617：IC卡动态数据的内容 26表格 618：在CDA中GENERATE AC命令返回的数据对象 27表格 619：生成AAC时GENERATE AC命令返回的数据对象 27表格 620：发卡行应用数据 27表格 621：从签名动态应用数据恢复的数据的格式 28表格 71：建议的应用密文生成中使用的最小数据集 30表格 72：可选的应用密文生成数据源 31表格 81：以完整性和认证为

8、目的的安全报文的命令数据域格式 32表格 82：以私密性为目的的安全报文的命令数据域格式 32表格 91：基本文件的访问条件 36表格 92：卡片上保存的密钥种类 37表格 101：终端内部保存的密钥种类 41表格 102：存储在终端中的认证中心公钥相关数据元的最小集 42表格 111：管理的对称密钥类型 50表格 131：SSF33同DES的比较 58表格 132：对模长字节数的强制上限 591. 引言本规范包含了中国金融集成电路（IC）卡借记贷记应用安全功能方面的要求，包括：IC卡脱机数据认证方法，IC卡和发卡行之间的通讯安全，以及相关的对称及非对称密钥的管理。本文包括以下具体内容： 脱机

9、数据认证 应用密文和发卡行认证 安全报文 卡片安全 终端安全 对称和非对称密钥管理体系此外，本文还包括了为实现这些安全功能所涉及的安全机制和获准使用的加密算法的规范。2. 范围中国金融集成电路（IC）卡借记/贷记应用安全规范适用于由银行发行或受理的金融借记/贷记IC卡应用与安全有关的设备、卡片、终端机具及管理等。其使用对象主要是与金融借记贷记IC卡应用相关的卡片、终端及加密设备等的设计、制造、管理、发行以及应用系统的研制、开发、集成和维护等部门（单位）。3. 参考资料EMV规范文档 EMV 2000 Integrated Circuit Card Specification for Payme

10、nt Systems,Version 4.0, Book 2, Security and Key Management VIS规范文档 VISA Integrated Circuit Card Application Overview , Version 1.4.0 VISA Integrated Circuit Card Card Specification , Version 1.4.0 VISA Integrated Circuit Card Terminal Specification , Version 1.4.0中国集成电路（IC）卡文件 中国金融集成电路(IC)卡规范第1部分：卡

11、片规范 （V1.0） 中国金融集成电路(IC)卡规范第2部分：应用规范 （V1.0） 中国金融集成电路（IC）卡规范第3部分：终端规范 （V1.0）4. 定义以下的术语用于本规范：提前回收 - 在已公布的密钥失效日期到期前回收密钥。应用 - 包括终端和卡片之间的应用协议及其相关的数据集合。非对称加密技术 - 采用两种相关变换的加密技术：公开变换（由公钥定义）和私有变换（由私钥定义）。这两种变换存在这样一种特性：在获得公开变换的情况下是不能够通过计算得出私有变换的。认证 确认一个实体所宣称的身份的措施。字节 8个二进制位。卡片 支付系统中定义的支付卡片。证书 由发行证书的认证中心使用其私钥对实体

12、的公钥，身份信息以及其它相关信息进行签名，形成的不可伪造的数据。证书回收 由发行证书的实体废除一个有效证书的过程。认证中心 证明公钥和其它相关信息同其拥有者相关联的可信的第三方机构。密文 加密的信息。命令 终端向IC卡发出的一个操作并要求返回应答的报文。泄露 机密或安全被破坏。串联 通过把第二个元素的字节添加到第一个元素的结尾将两个元素连接起来。每个元素中的字节在结果串中的顺序和原来从IC卡发到终端时的顺序相同,即,高位字节在前。在每个字节中比特按由高到低的顺序排列。一组元素或对象可以按下面的方式连接：将第一对元素连接成新的元素，把它作为第一个元素再连接下一个元素，以此类推。加密算法 为了隐藏

13、或显现数据信息内容的变换算法。密钥有效期 某个特定的密钥被授权可以使用的时间段，或者某个密钥在给定的系统中有效的时间段。数据完整性 数据没有被以未授权的方式改变或者破坏的特性。解密 对应加密过程的逆操作。数字签名 对数据的一种非对称加密变换。该变换可以使数据接收方确认数据的来源和完整性，保护数据发送方发出和接收方收到的数据不被第三方篡改，也保护数据发送方发出的数据不被接收方篡改。加密 基于某种加密算法对数据作可逆的变换从而生成密文的过程。金融交易 在持卡人和商户或收单行之间发生的通过支付来换取货物或服务的行为。哈希函数 将一个位串映射成固定长度的位串的函数，它满足以下两个特性： 给定一个输出，

14、不可能通过计算得到与该输出对应的输入； 给定一个输入，不可能通过计算得到具有相同的输出的另一个输入。另外，如果哈希函数要求防冲突，它还必须满足以下特性： 不可能通过计算找到两个不同的输入具有相同的输出。哈希结果 哈希函数输出的位串。集成电路 被设计用来完成处理和/或存储功能的电子器件。集成电路卡 内部封装一个或多个集成电路，来完成处理和存储功能的卡片。接口设备 终端上插入IC卡的部分，包括诸如机械和电气等相关设备。密钥 加密转换中控制操作的一组符号。密钥失效日期 - 用特定密钥产生的签名不再有效的最后期限。用此密钥签名的发卡行证书必须在此日期或此日期之前失效。在此日期后，此密钥可以从终端删除。

15、密钥导入 产生、分发和开始使用密钥对的过程。密钥生命周期 密钥管理的所有阶段，包括计划、生成、回收、销毁和存档。密钥更换 回收一个密钥，同时导入一个密钥来代替它。密钥回收 回收使用中的密钥以及处理其使用后的遗留问题的密钥管理过程。密钥回收可以按计划回收或提前回收。密钥回收日期 在此日期后，任何仍在使用的合法卡不会包含用此密钥签名的证书。因此，密钥可以从终端上被删除。对按计划的密钥回收，密钥回收日期应等同于密钥失效日期。密钥撤回 作为密钥回收的一部分，将密钥从服务中删除的过程。逻辑泄露 由于密码分析技术和/或计算能力的提高，对密钥造成的泄露。报文 - 由终端发送给卡片（或反之）的一串字节，不包括

16、传输控制字符。报文认证码 对数据的一种对称加密变换，为保护数据发送方发出和接收方收到的数据不被第三方伪造。填充 向数据串某一边添加附加位。密码键盘 用于输入个人密码的一组数字和命令按键。明文 未加密的信息。物理泄露 由于没有安全的保护，或者硬件安全模块的被盗或被XX的人存取等事实对密钥造成的泄露。计划回收 按照公布的密钥失效日期进行的密钥回收。潜在泄露 密码分析技术和/或计算能力的提高达到了可能造成某个特定长度的密钥的泄露的情况。私钥 在一个实体使用的非对称密钥对中仅被该实体使用的密钥。在数字签名方案中，私钥定义了签名函数。公钥 在一个实体使用的非对称密钥对中可以被公众使用的密钥。在数字签名方

17、案中，公钥定义了验证函数。公钥证书 - 由认证中心签名的不可伪造的某个实体的公钥信息。响应 IC卡接收到命令报文经过处理后返回给终端的报文。对称加密技术 产生方和接受方使用同一个保密密钥进行转换的加密技术。如果不知道保密密钥，是无法通过计算得到产生方和接受方的转换信息的。终端 在交易点安装的设备，和IC卡一起完成金融交易。它包括接口设备，也可以包括其它的部件和接口，例如和主机的通讯。5. 缩略语和符号下面为本规范用到的缩略语和符号：AAC 应用认证密文(Application Authentication Cryptogram)AC 应用密文(Application Cryptogram)AF

18、L 应用文件定位器(Application File Locator)AID 应用标识符(Application Identifier)AIP 应用交互特征(Application Interchange Profile)ADF 应用定义文件(Application Definition File)APDU 应用协议数据单元(Application Protocol Data Unit)ARC 授权响应码(Authorization Response Code)ARPC 授权响应密文(Authorization Response Cryptogram)ARQC 授权请求密文(Authoriza

19、tion Request Cryptogram)ATC 应用交易序号(Application Transaction Counter)ATM 自动柜员机(Automated Teller Machine)b 二进制(Binary)CBC 密码块链接(Cipher Block Chaining)CDOL 卡片风险管理数据对象列表(Card Rish Management Data Object List)CLA 命令报文的类别字节(Class Byte of the Command Message)cn 压缩数字(compress numeric)DDA 动态数据认证(Dynamic Data

20、Authentication)DDOL 动态数据认证数据对象列表(Dynamic Data Authentication Data Object List)DES 数据加密标准(Data Encryption Standard)ECB 电子密码本(Electronic Code Book)EF 基本文件(Elementary File)FIPS 联邦信息处理标准(Federal Information Processing Standard)hex. 十六进制数(Hexadecimal)IC 集成电路(Integrated Circuit)ICC 集成电路卡(Integrated Circui

21、t Card)IEC 国际电工委员会(International Electrotechnical Commission)IFD 接口设备(Interface Device)INS 命令报文的指令字节(Instruction Byte of Command Message)KM 主密钥(Master Key)KS 过程密钥(Session Key)LDD IC卡动态数据长度(Length of the ICC Dynamic Data)MAC 报文认证码(Message Authentication Code)MMYY 月，年(Month ,Year)N 数字(Numeric)NCA 认证中心

22、公钥模长(Length of the Certification Authority Public Key Modulus)NI 发卡行公钥模长(Length of the Issuer Public Key Modulus)NIC IC卡公钥模长(Length of the ICC Public Key Modulus)P1 参数1(Parameter 1)P2 参数2(Parameter 2)PAN 主帐号(Primary Account Number)PCA 认证中心公钥(Certification Authority Public Key)PI 发卡行公钥(Issuer Public

23、Key)PIC IC卡公钥(ICC Public Key)PIN 个人鉴别码(Personal Identification Number)SFI 短文件标识符(Short File Identifier)RID 注册的应用提供商标识(Registered Application Provider Identifier)RSA Rivest，Shamir，Adleman算法SCA 认证中心私钥(Certification Authority Private Key)SDA 静态数据认证(Static Data Authentication)SI 发卡行私钥(Issuer Private Key

24、)SIC IC卡私钥(ICC Private Key)SHA 安全哈希算法(Secure Hash Algorithm)TC 交易证书(Transaction Certificate)TLV 标签，长度，值(Tag Length Value)var. 变长(Variable)以下符号适用于本规范：0-9和A-F 16 进制数字A := B A 被赋予数值 B A = B 数值A 等于 数值BA B mod n 整数A与B对于模n同余，即存在一个整数 d，使得 (A - B) = dnA mod n A 模 n的余数，即：唯一的整数r，0 r n，存在一个整数d，使得 A = dn + rA /

25、 n A 整除 n，即：唯一的整数d，存在一个整数r，0 r n，使得 A = dn + rY := ALG(K)X 用密钥K，通过64位或128位分组加密方法，对64位或128位数据块X进行加密(在13.1节中有详细说明)X = ALG-1(K)Y 用密钥K，通过64位或128位分组加密方法，对64位或128位数据块Y进行解密(在13.1节有详细说明)Y := Sign (SK)X 用私钥SK，通过非对称可逆算法，对数据块X进行签名(在13.2节中有详细说 明)X = Recover(PK)Y 用公钥PK，通过非对称可逆算法，对数据块Y进行恢复(在13.2节中有详细说 明)C := (A |

26、 B) 将m位数字B和n位数字A进行链接，定义为：C = 2m A + BH := HashMSG 用160位的HASH函数对任意长度的报文MSG进行HASH运算。以下术语适用于本规范：专用的 本规范未定义和/或在本规范范围之外的。必须 表示一种强制性的要求。应该 表示一种建议。可选 表示可自行决定支持或不支持6. 脱机数据认证脱机数据认证是终端采用公钥技术来验证卡片数据的方法，脱机数据认证有2种形式： 静态数据认证（SDA） 动态数据认证（DDA）在静态数据认证过程中，终端验证卡片上静态数据的合法性，SDA能确认卡片上的发卡行应用数据自卡片个人化后没有被非法篡改。在动态数据认证过程中，终端验

27、证卡片上的静态数据以及卡片产生的交易相关信息的签名，DDA能确认卡片上的发卡行应用数据自卡片个人化后没有被非法篡改。DDA还能确认卡片的真实性，防止卡片的非法复制。DDA可以是标准动态数据认证或复合动态数据认证/应用密文生成（CDA）。AIP指明了IC卡支持的脱机数据认证方法。脱机数据认证的结果影响到卡片和终端是执行脱机交易，联机授权还是拒绝交易。表格 61列出了SDA和DDA的比较。表格 61：SDA和DDA的比较SDADDA确认卡片数据未被篡改是是防止卡片复制否是要求卡片支持非对称加密算法否是要求终端支持非对称加密算法是是包含发卡行公钥证书是是包含卡片公钥证书否是公钥解密次数23脱机数据认

28、证仅执行一种验证方式，三种脱机验证方式的优先级从高到低依次为：CDA，标准DDA，SDA。表格 62列出了卡片和终端支持不同脱机验证方式的情况下脱机验证的执行情况。表格 62：SDA，DDA和CDA处理优先级AIP指示卡片支持终端支持SDA终端支持SDA和标准DDA终端支持SDA，标准DDA和CDASDASDASDASDASDA和标准DDASDA标准DDA标准DDASDA，标准DDA和CDASDA标准DDACDA6.1 密钥和证书终端通过采用公钥算法验证IC卡上的签名和证书来实现脱机数据认证。公钥技术使用私钥产生加密数据（证书或签名），该加密数据可以被公钥解密而用于验证和数据恢复。RSA公钥模

29、的位长度应是8的倍数，最左边（高）字节的最左（高）一位为1。所有的长度以字节为单位。如果卡片上的静态应用数据不是唯一的（比如卡片针对国际和国内交易使用不同的CVM），卡片必须支持多IC卡公钥证书(或静态数据签名)，如果被签名的静态应用数据在卡片发出后可能会被修改，卡片必须支持IC卡公钥证书(或静态数据签名)的更新。6.1.1 认证中心脱机数据认证需要一个认证中心（CA），认证中心拥有高级别安全性的加密设备并用来签发发卡行公钥证书。每一台符合本规范的终端都应为每一个它能识别的应用保存相应的认证中心公钥。6.1.2 公开密钥对 认证中心和发卡行必须使用13.2节中指定的非对称算法产生认证中心公私钥对，发卡行公私钥对以及IC卡公私钥对。在本章中对脱机数据认证过程及相关数据元素的描述以RSA算法为例。6.1.2.1 认证中心公私钥对认证中心最多会产生6个公私钥对，每个公私钥对都将分配一个唯一的认证中心公钥索引。认证中心公钥及其索引由收单行加载到终端，认证中心私钥由认证中心保管并保证其私密性和安全性。终端必须有