动态数据认证.doc

动态数据认证 动态数据认证由终端使用一种基于公钥技术的数字签名方案来完成。其目的是认证IC卡，并确认存放在IC卡中的或由IC卡生成的关键数据以及从终端收到的数据的合法性。这样可以防止任何对这样的卡片的伪造。 动态数据认证有以下可选的两种方式： 标准的动态数据认证，这种方式在卡片行为分析前执行。 复合动态数据认证/应用密文生成，这种方式在第一个GENERATE AC命令发出后执行。 动态数据认证要求存在一个认证中心，这个认证中心具有高级别的安全加密设备来签名发卡行公钥。每一台符合本规范的终端都应为每一个它能识别的应用保存相应的认证中心的公钥。本规范允许多个应用标识符共享同一组的认证中心的公钥。数据和密钥之间的关系如图2所示。 IC卡提供给终端： 终端： - 由发卡行签名的IC卡公钥（PIC） - 使用认证中心公钥来验证发卡行 - 由认证中心签名的发卡行公钥（PI） 公钥是否由CA签名的 - 带有数字签名的卡片和终端数据 - 使用发卡行公钥来验证IC卡公钥 是否由发卡行签名的 - 使用IC卡公钥来验证卡数据的数 字签名 认证过程中的起始步骤，即： 由终端恢复认证中心公钥。 由终端恢复发卡行公钥。 由终端恢复IC卡公钥。 认证中心公钥的获取 终端读取认证中心公钥索引。使用这个索引和RID，终端能够确认并取得存放在终端的认证中心公钥的模，指数和与密钥相关的信息，以及将使用的相应算法。如果终端没有存储与这个索引及RID相关联的密钥，那么动态数据认证失败。 发卡行公钥的获取 如果发卡行公钥证书的长度不同于在前面的章节中获得的认证中心公钥模长度，那么动态数据认证失败。 为了获得在表9中指明的恢复数据，使用认证中心公钥和相应的算法将附录A2.1中指明的恢复函数应用到发卡行公钥证书上。如果恢复数据的结尾不等于‘BC’，那么动态数据认证失败。 字段名 长度 描述 格式 恢复数据头 1 十六进制，值为‘6A’ b 证书格式 1 十六进制，值为‘02’ b 发卡行标识 4 主帐号最左面的3-8个数字（在右边补上十六进制数‘F’） cn 8 证书失效日期 2 MMYY，在此日期后，这张证书无效 n4 证书序列号 3 由认证中心分配给这张证书的，唯一的二进制数 b 哈什算法标识 1 标识用来在数字签名方案中产生哈什结果的哈什算法1 b 发卡行公钥算法标识 1 标识使用在发卡行公钥上的数字签名算法1 b 发卡行公钥长度 1 标识发卡行公钥的模的字节长度 b 发卡行公钥指数长度 1 标识发卡行公钥指数的字节长度 b 发卡行公钥或发卡行公钥的最左边字节 NCA-36 如果NI≤NCA–36，这个字段包含了在右边补上了NCA–36–NI 个值为‘BB’的字节的整个发卡行公钥。 如果NI NCA -36，这个字段包含了发卡行公钥最高位的NCA–36个字节2 b 哈什结果 20 发卡行公钥以及相关信息的哈什值 b 恢复数据结尾 1 十六进制，值为‘BC’ b 表9 - 从发卡行公钥证书恢复数据的格式 检查恢复数据头。如果它不是‘6A’，那么动态数据认证失败。 检查证书格式。如果它不是‘02’，那么动态数据认证失败。 将表9中的第二个到第十个数据元素（即从证书格式直到发卡行公钥或发卡行公钥的最左边字节）从左到右连接，再把发卡行公钥的余项加在后面（如果有），最后是发卡行公钥指数。 把指定的哈什算法（从哈什算法标识得到）应用到上一步的连接结果从而得到哈什结果。 把上一步计算得到的哈什结果和恢复出的哈什结果相比较。如果它们不一样，那么动态数据认证失败。 检验发卡行识别号是否匹配主帐号最左面的3-8个数字（允许发卡行识别号可能在其后填充的‘F’）。如果不匹配，那么动态数据认证失败。 确认证书失效日期中指定月的最后日期等于或迟于今天的日期。如果证书失效日期在今天的日期之前，那么证书已过期，动态数据认证失败。 检验连接起来的RID、认证中心公钥索引、证书序列号是否有效。如果无效，那么动态数据认证失败4。 如果发卡行公钥算法标识无法识别，那么动态数据认证失败。 如果以上所有的检验都通过，连接发卡行公钥的最左边字节和发卡行公钥的余项（如果有）以得到发卡行公钥模，从而继续下一步取得IC卡公钥。 6.4 IC卡公钥的获取 如果IC卡公钥证书的长度不同于在前面的章节中获得的发卡行公钥模长度，那么动态数据认证失败。 为了获得在表10中指明的恢复数据，使用发卡行公钥和相应的算法将附录A2.1中指明的恢复函数应用到IC卡公钥证书上。如果恢复数据的结尾不等于‘BC’，那么动态数据认证失败。 字段名 长度 描述 格式 恢复数据头 1 十六进制，值为‘6A’ b 证书格式 1 十六进制，值为‘04’ b 应用主帐号