JR_T 0025.17-2013中国金融集成电路（IC）卡规范 第17部分：借记/贷记应用安全增强规范.pdf

ICS 35.240.40A 11JR备宗号：中华人民共和国金融行业标准JR/T 0025.172013中国金融集成电路（IC）卡规范第17部分：借记/贷记应用安全增强规范China financial integrated circuit card specificationsPart17: Enhanced debit/credit application security specification2013-02-05发布2013-02-05实施中国人民银行发布 JR/T 0025.172013目次前言IIIII1范围.2规范性引用文件，3术语和定义......4符号和缩略语..5脱机数据认证.5.1静态数据认证（SDA）5.2动态数据认证（DDA）6应用密文和发卡行认证6.1应用密文产生6.2发卡行认证..7.1报文完整性及其验证137.2报文私密性138安全机制.8.1对称加密机制13138.2非对称密码机制..9认可的算法。16179.1对称加密算法9.2非对称算法..LT9.3哈希算法，10算法选择与交易流程1710.1新增数据元，1710.2SM算法应用方案，1710.3借记贷记应用流程，..1810.4基于借记贷记应用的小额支付流程2010.5qPBOC应用流程....10.6个人化相关密钥的初始化2311PIN修改/解锁命令数据计算方式2411.1使用当前PIN修改PIN值....2411.2不使用当前PIN修改PIN值24附录A（规范性附录）算法标识，参考文献，27 JR/T 0025.17—2013*90′Na+%+14SM2签名的发卡行公钥证书数据，格式见表4B*9P46′Ne+Nic+20SM2差名的1C卡公钥证书数据，格式见表8变长JR/T0025.5第9.3.1节详组说明了需认证的费态数据5.2.2发卡行公钥的获取见5.1.2.5.2.3IC卡公钥的获取终端获取的IC卡公钥证书数据如表8所示。IC卡公钥以明文形式包含在IC卡公钥证书中，终端用发卡行的公钥验证IC卡公钥证书中的签名字段。如验证通过，则从IC卡公钥证书中提取公钥信息。表8发卡行使用SM2签名的IC卡公钥证书的格式字段名长度格式证书格式1十六进制，值为“14”B应用主账号10主账号（在右边补上十六进制数“P）cn 20证书央效日期2MYY，在此日期后，达张适书无效n4证书序列号由发卡行分配给这张证书的哦一的二进制致BIC卡公钥篷名算法标识1标识使用在IC卡公期上的数字签名算法，SK2算法B为“04IC卡公期加密算法标识1标识使用在IC卡公钢上的加密算法，暂不使用，取B值“00”，IC卡公期参数标识1用于标识所用的损图曲线，见附录A.4BIC卡公钥长度1标识IC卡公钥的字节长度BIC卡公制对于52算法是相图自能上的一个点B数字签名Nr发卡行对表6数据计算的SM2签名rIIsB验证步骤如下：a)获取并解析如表8所示的经过IC卡公钥证书数据，如果失败，则动态数据认证失败，(q检壹证书格式的值，如果不是“14，那么动态数据认证失败。c)比较证书中的主账号和从IC卡读出的应用主账号是否相同。如果不同，那么动态数据认证失败。d)比较证书失效日期中指定年月的最后日期与当天的日期。如果证书失效日期在今天的日期之前，那么证书已过期，动态数据认证失败。e)准备表8中的前9个败据元以及JR/T0025.5的9.3.1条指明的需认证的静态数据（用于验证签名)。如果静态数据认证标签列表存在，并且其包含非“82”的标签，那么动态数据认证失败。)检查IC卡公钥签名算法标识，如果不是“04，那么动态数据认证失败。g)使用发卡行公钥和相应的发卡行签名算法将8.2.3条中指明的验证方法对表8的数字签名进行验证，如果验证签名失败，那么动态数据认证失败。h)如果以上所有的检验部通过，继续下面的流程。5.2.4标准动态数据认证5.2.4.1动态签名的生成使用SM2算法生成动态签名按以下的步骤进行：a)终端发出内部认证（INTERNALAUTHENTICATE）命令，命令中包含由DDOL指定的数据元，这些数据元按JR/T0025.4中指明的规则连接在一起，6)IC卡使用IC卡张钥对表9中指明的数据计算SM2签名，得到如表11的格式的SM2签名动态应用数据。表9需签名的动态应用数据（待签名效据）字段名长度描述格式 JR/T 0025.172013签名的教据格式1十六进制，值为“15IC卡动态数据长度标识IC卡动态数据的字节长度LaB1IC卡动态数据Lo由IC卡生成和/或存储在IC卡上的动志数据终端动态数据变长由DDOL指定的数据元注接面成IC-卡动态数据的定义见JR/T0025.7.除了表9中指明的数据，动态数据认证所需的数据对象在表10中定义。表10生成和检验动态签名所需