中国金融集成电路ic卡发卡机构密钥管理系统技术规范.docVIP

附件2 中国金融集成电路(IC)卡发卡机构密钥管理系统技术规范 中国人民银行2011年7月 　　目次 前言 　　1范围　　2规范性引用文件　　3术语和定义　　4符号和缩略语　　5设计　　5.1功能描述　　5.2系统设计　　6密码算法、密码设备与接口　　6.1密码算法　　6.2密码设备　　6.3密码服务接口　　7协议　　7.1发卡机构证书的申请和验证　　7.2认证中心公钥证书的验证　　7.3 IC卡证书与密钥的申请　　7.4 IC卡静态数据签名、证书和密钥的签发　　8密钥管理系统建设　　9运行管理要求　　10检测　　10.1检测要求　　10.2系统初始化　　10.3发卡机构密钥管理　　10.4认证中心公钥证书管理　　10.5发卡机构证书管理　　10.6 IC卡密钥申请接受　　10.7 IC卡静态数据签名、证书和对称密钥生成　　10.8并发能力处理　　10.9日志处理功能　　10.10管理员配置功能　　10.11人员及运行管理　　10.12系统安全性检测　　附录A (资料性附录)密码设备接口函数定义及说明　　附录B (资料性附录)发卡机构密钥管理系统与认证中心之间的消息格式　　附录C (资料性附录)IC卡密钥与证书申请数据格式　　附录D (资料性附录)密钥管理系统与数据准备系统之间的消息格式 　　前言 　　本规范在编写过程中主要依据《JR/T 0025-2010中国金融集成电路(IC)卡规范中国金融集成电路(IC)卡规范中国金融集成电路(IC)卡规范 　　B.2 发卡机构公钥证书输出文件　　发卡机构公钥证书输出文件由三部分组成，第一部分是未签名发卡机构公钥输出扩展，第二个部分是认证中心对发卡机构公钥证书的签名，第三个部分是认证中心密钥单独签名。　　B.2.1文件命名　　发卡机构公钥输出文件名格式为：AAAAAA.INN。其中：“AAAAAA”是申请记录号，与本规范第11.1.3.2节自签名发卡机构公钥数据中的记录号相同；I是固定值(‘I’)表示发卡机构；NN是用来签发发卡机构公钥证书的认证中心公钥的索引。例如：010101.101。　　B.2.2文件内容　　发卡机构公钥证书输出文件的格式见下表。 ┌──────────────┬───────────────────────────┬─────────┐│字段名　　　　　　　　　　　│长度(字节数)　　　　　　　　　　　　　　　　　　　　　│描述　　　　　　　│├──────────────┼───────────────────────────┼─────────┤│未签名发卡机构公钥输出扩展　│17+e 若NI≤NCA+36　　　　　　　　　　　　　　　　　　　│见本规范第 B.2.2.1││　　　　　　　　　　　　　　│53+NI≤NCA +e NINCA +36　　　　　　　　　　　　　　　 │节　　　　　　　　││　　　　　　　　　　　　　　│这里，e、NI、和NCA分别表示发卡机构公钥指数字节数、发　 │　　　　　　　　 ││　　　　　　　　　　　　　　│卡机构公钥模长字节数和认证中心用来生成该发卡机构公钥证│　　　　　　　　　││　　　　　　　　　　　　　　│书的公钥模长字节数　　　　　　　　　　　　　　　　　　│　　　　　　　　　│├──────────────┼───────────────────────────┼─────────┤│签名的发卡机构公钥证书　　　│NCA　　　　　　　　　　　　　　　　　　　　　　　　　 │见本规范第 B.2.2.2││　　　　　　　　　　　　　　│　　　　　　　　　　　　　　　　　　　　　　　　　　　│节　　　　　　　　│├──────────────┼───────────────────────────┼─────────┤│根密钥单独签名　　　　　　　│NCA　　　　　　　　　　　　　　　　　　　　　　　　　 │见本规范第 B.2.2.3││　　　　　　　　　　　　　　│　　　　　　　　　　　　　　　　　　　　　　　　　　　│节　　　　　　　　│└──────────────┴───────────────────────────┴─────────┘ 　　B.2.2.1未签名发卡机构公钥输出扩展　　未签名发卡机构公钥输出扩展是发卡机构公钥输出文件的第一部分，其格式见下表。该公钥输出扩展提供了该发卡机构公钥证书信息。 ┌──────────────┬─────────┬───────────────────────┬────┐│字段名　　　　　　　　　　　│长度(字节数)　　　│描述