1、PBOC学习报告脱机认证分类脱机认证分类DDASDACDA脱脱 机机 认认 证证联机认证分类联机认证分类ARPCARQC联联 机机 认认 证证 联机认证的目的?联机认证的目的?联机认证认证发卡行认证卡片完成CDA联机认证的主要算法联机认证的主要算法3DES3DES-PBOC联机验证目的联机验证目的IC卡与主机之间直接进行身份识别,提高卡与主机之间直接进行身份识别,提高安全性!安全性!3DES和和3DES-PBOC应用密文应用密文用对称密钥加密选取数据的用于有特殊用途的密文,如用用对称密钥加密选取数据的用于有特殊用途的密文,如用于脱机认证,和联机认证于脱机认证,和联机认证常用的密文:常用的密文:
2、AAC 应用认证密文应用认证密文TC 交易证书交易证书 脱机交易时,用于批准交易的证书脱机交易时,用于批准交易的证书ARQC 授权请求密文授权请求密文 IC卡联机交易时的应用密文,用于给发卡行验证卡片的有效性卡联机交易时的应用密文,用于给发卡行验证卡片的有效性ARPC 授权响应密文授权响应密文 用于给用于给IC卡验证响应是否来自真的发卡行卡验证响应是否来自真的发卡行Silverlight 1.0 XAML+JavaScript COMPLETE DOM LEVEL 1 integration联机认证处理联机认证处理认证密钥认证密钥 ARQC生成生成用IC卡上的MKac和交易计数器生成过程密钥,
3、再将选取的数据用过程密钥加密用IC卡上的MKac和交易计数器生成过程密钥,再将选取的数据用过程密钥加密ARQC校验流程校验流程主账号(PAN)主账号序列号(如果主账号序列号不存在,则用一个字节“00”代替)的最右16个数字作为输入数据ARPC校验流程校验流程通过报文鉴别码(通过报文鉴别码(MAC)用于保证报文完整性,构成安全选报文功能:流程:卡片的安全规范卡片的安全规范共存应用共存应用每一个应用放在一个每一个应用放在一个ADF里里,防止应用之间的跨应用访问数据,每一个应用也不应该与卡中共存的个人化要求和应用规则发生冲突存2、密钥独立性,用于特定功能的密钥,不能给其他功能引用密钥独立性密钥独立性
4、用于特定功能的密钥,不能给其他功能引用3、内部安全体系内部安全体系内部安全体系实施规范的文件权限安全体系内部安全体系内部安全体系目的为卡片内部数据处理过程提供安全与完整性保障,保障访问数据文件和命令处理,加密算法手段特性“安全域”安全域安全域定义由于操作系统控制所有的数据,所以操作系统可以设定卡片资源的访问范围,在文件控制层对文件访问进行控制,构造出“安全区域”要达到特殊的条件才能访问,访问条件不同的数据不能合并到一个文件中实现GPO和select命令安全域文件基础安全域文件基础文件控制信息FCI:附属于每个应用的ADF或者AEF,描述了文件的特性,在个人化期间建立文件控制信息FCI文件控制信
5、息文件控制信息FCI文件管理数据(FMD)应用管理数据(AMD)应用管理数据(AMD)数据资源可执行资源 控制密钥记录PIN算法命令应用管理数据应用管理数据(AMD)GPO和和select的功能的功能令select 命令将命令将FCI提交给操作系统提交给操作系统GPO 命令让命令让COS应用提交的应用提交的AMD,改变安全域状态,改变安全域状态文件控制参数(文件控制参数(FCP)令每个基本文件在其文件控制信息中包含一个每个基本文件在其文件控制信息中包含一个文件控制参数(文件控制参数(FCP)职能:并且同保存在职能:并且同保存在ADF的文件控制信息内的的文件控制信息内的应用管理数据一起,由应用管理数据一起,由IC卡操作系统用于建立卡操作系统用于建立应用的安全域应用的安全域功能:指出是否在发卡行脚本功能:指出是否在发卡行脚本UPDATE RECORD命令中命令中以加密或者明文格式传送数据。为卡片上各应用的基本文件以加密或者明文格式传送数据。为卡片上各应用的基本文件描述了强制安全访问条件。描述了强制安全访问条件。谢谢观看谢谢观看令
