PBOC联机认证说课.ppt

* PBOC学习报告 脱机认证分类 DDA SDA CDA 脱 机 认 证 联机认证分类 ARPC ARQC 联 机 认 证 联机认证的目的？ 联机认证 认证发卡行 认证卡片 完成CDA 联机认证的主要算法 3DES 3DES-PBOC 联机验证目的 IC卡与主机之间直接进行身份识别，提高安全性！ 3DES和3DES-PBOC 应用密文 用对称密钥加密选取数据的用于有特殊用途的密文，如用于脱机认证，和联机认证 常用的密文： AAC 应用认证密文 TC 交易证书 ——脱机交易时，用于批准交易的证书 ARQC 授权请求密文 ——IC卡联机交易时的应用密文，用于给发卡行验证卡片的有效性 ARPC 授权响应密文 ——用于给IC卡验证响应是否来自真的发卡行 Silverlight 1.0 – XAML + JavaScript COMPLETE DOM LEVEL 1 integration 联机认证处理 认证密钥 ARQC生成 用IC卡上的MKac和交易计数器生成过程密钥，再将选取的数据用过程密钥加密 用IC卡上的MKac和交易计数器生成过程密钥，再将选取的数据用过程密钥加密 ARQC校验流程 主账号（PAN） 主账号序列号（如果主账号序列号不存在，则用一个字节“00”代替）的最右16个数字作为输入数据 ARPC校验流程 通过报文鉴别码（MAC） 用于保证报文完整性，构成安全选报文 功能：： 流程：： 卡片的安全规范 共存应用 ——每一个应用放在一个ADF里，防止应用之间的跨应用访问数据，每一个应用也不应该与卡中共存的个人化要求和应用规则发生冲突 存 2、 密钥独立性，用于特定功能的密钥，不能给其他功能引用 密钥独立性 ——用于特定功能的密钥，不能给其他功能引用 3、 内部安全体系 内部安全体系 ——实施规范的文件权限安全体系 内部安全体系 目的 为卡片内部数据处理过程提供安全与完整性保障， 保障访问数据文件和命令处理，加密算法 手段特性 “安全域” 安全域 定义 由于操作系统控制所有的数据，所以操作系统可以设定卡 片资源的访问范围，在文件控制层对文件访问进行控制， 构造出“安全区域”要达到特殊的条件才能访问，访问 条件不同的数据不能合并到一个文件中 实现 GPO和select命令 *