【正文】 RID：為十六進(jìn)‘D1 56 00 00 01’ b 根 CA 公鑰標(biāo)識(shí) 1 唯一標(biāo)識(shí)根 CA 公鑰 b 證書(shū)失效日期 2 月和年(MMYY)，在此日期之后證書(shū)失效 n 4 根 CA 公鑰算法標(biāo)識(shí) 1 十六進(jìn)制 ‘01’ 標(biāo)識(shí)生成根 CA 公鑰的公鑰算法，見(jiàn)《中國(guó)金融集成電路（IC）卡規(guī)范 》 （2022 版）第七部分第 12 章。成員機(jī)構(gòu)必須按照下列步驟對(duì)根 CA 公鑰證書(shū)（根CA 公鑰文件）進(jìn)行驗(yàn)證，只有成功驗(yàn)證后才可使用根 CA 測(cè)試及生產(chǎn)型公鑰。 （未來(lái)若《中國(guó)金融集成電路（IC）卡規(guī)范 》 （2022 版）進(jìn)行了修訂并增加了公鑰算法，則以當(dāng)時(shí)有效的規(guī)范版本為準(zhǔn)。14. 檢查在恢復(fù)的根 CA 公鑰證書(shū)數(shù)據(jù)中的根 CA 公鑰指數(shù)，并與未簽名根 CA 公鑰輸出擴(kuò)展中的根 CA 公鑰指數(shù)比較，若不同，則拒絕該根CA 公鑰。但是在成員機(jī)構(gòu)信賴下載的根 CA 公鑰前，必須驗(yàn)證從第二個(gè)渠道獲取的根 CA 公鑰，即通過(guò)銀聯(lián)審核員（見(jiàn)《銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認(rèn)證技術(shù)規(guī)范》第 節(jié)）直接獲得根 CA 公鑰并按照本規(guī)范第 7 章的程序驗(yàn)證公鑰證書(shū)中的簽名，只有完全通過(guò)本規(guī)范第 7 章的根 CA 公鑰驗(yàn)證程序，成員機(jī)構(gòu)才可以接受和信賴根 CA 公鑰。12. 使用規(guī)定的哈希算法（符合根 CA 公鑰數(shù)據(jù)中的哈希算法標(biāo)識(shí)）對(duì)上一步驟得到的數(shù)據(jù)計(jì)算哈希值。5. 檢查在恢復(fù)的根 CA 公鑰證書(shū)數(shù)據(jù)中銀聯(lián)金融 IC 卡根 CA 公鑰失效日期，若失效日期早于當(dāng)前日期，則拒絕該根 CA 公鑰。33 / 357 成員機(jī)構(gòu)驗(yàn)證根 CA公鑰根 CA 公鑰是以根 CA 公鑰文件形式傳遞給成員機(jī)構(gòu)的，根 CA 公鑰文件是一個(gè)二進(jìn)制文件包括未簽名根 CA 公鑰輸出擴(kuò)展和自簽名根 CA 公鑰，見(jiàn)本規(guī)范第 6 章。自簽名根 CA 公鑰是根CA 使用 《中國(guó)金融集成電路（IC）卡規(guī)范 》 （2022 版）第七部分第 12 章規(guī)定的簽名算法利用根 CA 簽名私鑰對(duì)表 11 的根 CA 公鑰證書(shū)數(shù)據(jù)進(jìn)行簽名所得。表 9 根 CA 公鑰文件內(nèi)容字段名 長(zhǎng)度（字節(jié)數(shù)） 描述 未簽名根 CA 公鑰輸出擴(kuò)展 35+ NCA+eCA 這里 NCA 和 eCA 分別是根 CA 公鑰模長(zhǎng)度和公鑰指數(shù)長(zhǎng)度，以字節(jié)數(shù)表示 見(jiàn)本規(guī)范第 節(jié) 自簽名根 CA 公鑰 NCA 見(jiàn)本規(guī)范第 節(jié) 文件命名約定銀聯(lián) IC 卡根 CA 公鑰文件以 形式命名。28 / 3510. 檢查發(fā)卡行哈希算法標(biāo)識(shí)，若不是‘01’ ，則驗(yàn)證失敗。則驗(yàn)證失敗。根 CA 利用在未簽名發(fā)卡行公鑰輸出擴(kuò)展（表6）中的根 CA 公鑰標(biāo)識(shí)定位的根 CA 公私鑰對(duì)應(yīng)的根 CA 私鑰對(duì)表 8 中的根CA 單獨(dú)簽名數(shù)據(jù)進(jìn)行簽名。（在右邊補(bǔ)上十六進(jìn)制數(shù)’F ’） 8證書(shū)序列號(hào)3 根 CA 系統(tǒng)分配的證書(shū)序列號(hào) b證書(shū)失效 2 月和年(MMYY)，在此日期之后證書(shū)失效 n 424 / 35日期發(fā)卡行公鑰余項(xiàng)長(zhǎng)度1 發(fā)卡行公鑰模余項(xiàng)的長(zhǎng)度 b發(fā)卡行公鑰余項(xiàng)0 和(N I – NCA+ 36)的最大值該字段僅在 NI NCA – 36 時(shí)存在, 由發(fā)卡行公鑰(N I )的最低 NI NCA + 36 字節(jié)組成。表 5 發(fā)卡行公鑰證書(shū)輸出文件字段名 長(zhǎng)度（字節(jié)數(shù)） 描述未簽名發(fā)卡行公鑰輸出擴(kuò)展17+e 若 NI ≤ NCA+3653+NI ?NCA+e 若 NI NCA+36這里，e、N I、和 NCA 分別表示發(fā)卡行公鑰指數(shù)字節(jié)數(shù)、發(fā)卡行公鑰模長(zhǎng)字節(jié)數(shù)、和根 CA 用來(lái)生成該發(fā)卡行公鑰證書(shū)的公鑰模長(zhǎng)字節(jié)數(shù)見(jiàn)本規(guī)范第 節(jié)簽名的發(fā)卡行公鑰證書(shū) NCA 見(jiàn)本規(guī)范第 節(jié)根 CA 公鑰單獨(dú)簽名 NCA 見(jiàn)本規(guī)范第 節(jié)23 / 35 文件命名約定發(fā)卡行公鑰輸出文件是由一個(gè)類似 形式的文件名標(biāo)識(shí)，這里：? AAAAAA 是申請(qǐng)記錄號(hào)? I 是固定值( ‘I’)表示發(fā)卡行? NN 是用來(lái)簽發(fā)發(fā)卡行公鑰證書(shū)的根 CA 公鑰的索引所有文件是二進(jìn)制格式。19. 使用以哈希算法標(biāo)識(shí)規(guī)定的哈希算法計(jì)算上一步驟得到的連接數(shù)據(jù)的哈希值。11. 檢查第 7 步中恢復(fù)的數(shù)據(jù)中的記錄號(hào)和未簽名發(fā)卡行公鑰輸入擴(kuò)展中的記錄號(hào)是否相同，是否是銀聯(lián)安排的，若不是，則銀聯(lián)拒絕該公鑰證書(shū)申請(qǐng)。4. 檢查未簽名發(fā)卡行公鑰輸入擴(kuò)展中的公鑰長(zhǎng)度是銀聯(lián)可接受的長(zhǎng)度（小于或等于銀聯(lián)將用來(lái)簽發(fā)該證書(shū)的公鑰模長(zhǎng)） ，若不是，則銀聯(lián)拒絕該公鑰證書(shū)申請(qǐng)。這些步驟確保銀聯(lián)能夠正確驗(yàn)證所收到的發(fā)卡行公鑰和恢復(fù)的公鑰數(shù)據(jù)。表 4 中的哈希值是將表 4 中除了哈希值外所有數(shù)據(jù)依原有順序連接后的數(shù)據(jù)的計(jì)算的哈希值，哈希算法見(jiàn)《中國(guó)金融集成電路（IC）卡規(guī)范 》 （2022 版）第七部分第 12 章。下面是一個(gè)公鑰輸入文件名例子：。銀聯(lián)審核員將通知發(fā)卡行具體遞交公鑰輸入文件的方式。在這種方式下，銀聯(lián)標(biāo)準(zhǔn) IC 卡將來(lái)自卡片的動(dòng)態(tài)交易數(shù)據(jù)以及由動(dòng)態(tài)數(shù)據(jù)認(rèn)證數(shù)據(jù)對(duì)象列表（DDOL）所標(biāo)識(shí)的終端數(shù)據(jù)生成一個(gè)數(shù)字簽名（見(jiàn)《中國(guó)金融集成電路（IC）卡規(guī)范 》 （2022 版） ） 。 銀聯(lián)金融 IC 卡支付系統(tǒng)的 IC 卡數(shù)據(jù)認(rèn)證銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認(rèn)證在 IC 卡系統(tǒng)支付過(guò)程中的作用是進(jìn)行脫9 / 35機(jī) IC 卡數(shù)據(jù)認(rèn)證包括：? 靜態(tài)數(shù)據(jù)認(rèn)證（SDA）? 動(dòng)態(tài)數(shù)據(jù)認(rèn)證（DDA）包括1. 標(biāo)準(zhǔn)動(dòng)態(tài)數(shù)據(jù)認(rèn)證2. 復(fù)合動(dòng)態(tài)數(shù)據(jù)認(rèn)證/應(yīng)用密文生成（CDA）這兩種 IC 卡數(shù)據(jù)認(rèn)證遵循《中國(guó)金融集成電路（IC）卡規(guī)范 》 （2022 版） ，并與 EMV2022 規(guī)范兼容。根 CA 負(fù)責(zé)生成根 CA 公私鑰對(duì)并管理根 CA 的公私鑰信息、簽發(fā)發(fā)卡行 CA 公鑰證書(shū)，將根 CA 公鑰信息安全傳遞給收單機(jī)構(gòu)，是中國(guó)銀聯(lián)金融 IC 卡證書(shū)體系的信任根。如主帳號(hào)（PAN ）十進(jìn)制數(shù)字由長(zhǎng)度至多 10 的‘ ’編碼表示，一個(gè)十進(jìn)制 PAN： 6123567890123 以長(zhǎng)度為 8 的‘ ’編碼后為： ‘61 23 56 78 90 12 3F FF’。CDA：復(fù)合動(dòng)態(tài)數(shù)據(jù)認(rèn)證/應(yīng)用密文生成，脫機(jī)數(shù)據(jù)認(rèn)證的一種。收單機(jī)構(gòu)（Acquirer ）：《 中國(guó)金融集成電路（IC ）卡規(guī)范 》 （2022 版）指明，收單機(jī)構(gòu)是支付系統(tǒng)成員，負(fù)責(zé)簽約商戶或在現(xiàn)金支付中支付貨幣給持卡人，并直接或間接地參與交易交換。銀聯(lián)標(biāo)準(zhǔn)卡的 BIN 的分配和管理統(tǒng)一由中國(guó)銀聯(lián)負(fù)責(zé)。中國(guó)銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認(rèn)證技術(shù)規(guī)范 （草案）中國(guó)銀聯(lián)二○○五年九月2 / 35目錄1 引言 .....................................................................................................4 《銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認(rèn)證技術(shù)規(guī)范》概述 ..............................4 適用范圍 ........................................................................................................4 規(guī)范性引用文件 ............................................................................................4 定義和縮寫(xiě) ....................................................................................................5 編碼符號(hào)表示 ................................................................................................7 版本控制 ........................................................................................................72 銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認(rèn)證體系概述 ...................................8 中國(guó)銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認(rèn)證體系 ..............................................8 銀聯(lián)金融 IC 卡支付系統(tǒng)的 IC 卡數(shù)據(jù)認(rèn)證 ................................................8 靜態(tài)數(shù)據(jù)認(rèn)證（ SDA） .............................................................9 標(biāo)準(zhǔn)動(dòng)態(tài)數(shù)據(jù)認(rèn)證 ...................................................................11 復(fù)合動(dòng)態(tài)數(shù)據(jù)認(rèn)證 /應(yīng)用密文生成（ CDA） ..........................13 銀聯(lián)金融 IC 卡支付系統(tǒng)使用的公鑰種類 ................................................133 成員發(fā)卡行公鑰證書(shū)申請(qǐng) ...............................................................15 發(fā)卡行公鑰輸入文件 ..................................................................................15 文件命名 ......................................................................................................15 未簽名發(fā)卡行公鑰輸入擴(kuò)展 ......................................................................16 自簽名發(fā)卡行公鑰數(shù)據(jù) ..............................................................................164 銀聯(lián)對(duì)發(fā)卡行公鑰證書(shū)申請(qǐng)的響應(yīng) ...............................................20 銀聯(lián)對(duì)發(fā)卡行公鑰證書(shū)申請(qǐng)中簽名的驗(yàn)證 .................