【正文】 該值以防止非法復(fù)制。BIN：發(fā)卡機(jī)構(gòu)標(biāo)識碼，由支付系統(tǒng)分配的 6 位號碼，用于識別會(huì)員應(yīng)用、授權(quán)、清算、或結(jié)算。銀聯(lián)標(biāo)準(zhǔn)卡的 BIN 的分配和管理統(tǒng)一由中國銀聯(lián)負(fù)責(zé)。CDA：復(fù)合動(dòng)態(tài)數(shù)據(jù)認(rèn)證/應(yīng)用密文生成，脫機(jī)數(shù)據(jù)認(rèn)證的一種。根 CA 負(fù)責(zé)生成根 CA 公私鑰對并管理根 CA 的公私鑰信息、簽發(fā)發(fā)卡行 CA 公鑰證書，將根 CA 公鑰信息安全傳遞給收單機(jī)構(gòu)，是中國銀聯(lián)金融 IC 卡證書體系的信任根。在這種方式下，銀聯(lián)標(biāo)準(zhǔn) IC 卡將來自卡片的動(dòng)態(tài)交易數(shù)據(jù)以及由動(dòng)態(tài)數(shù)據(jù)認(rèn)證數(shù)據(jù)對象列表（DDOL）所標(biāo)識的終端數(shù)據(jù)生成一個(gè)數(shù)字簽名（見《中國金融集成電路（IC）卡規(guī)范 》 （2022 版） ） 。下面是一個(gè)公鑰輸入文件名例子：。這些步驟確保銀聯(lián)能夠正確驗(yàn)證所收到的發(fā)卡行公鑰和恢復(fù)的公鑰數(shù)據(jù)。11. 檢查第 7 步中恢復(fù)的數(shù)據(jù)中的記錄號和未簽名發(fā)卡行公鑰輸入擴(kuò)展中的記錄號是否相同，是否是銀聯(lián)安排的，若不是，則銀聯(lián)拒絕該公鑰證書申請。表 5 發(fā)卡行公鑰證書輸出文件字段名 長度（字節(jié)數(shù)） 描述未簽名發(fā)卡行公鑰輸出擴(kuò)展17+e 若 NI ≤ NCA+3653+NI ?NCA+e 若 NI NCA+36這里，e、N I、和 NCA 分別表示發(fā)卡行公鑰指數(shù)字節(jié)數(shù)、發(fā)卡行公鑰模長字節(jié)數(shù)、和根 CA 用來生成該發(fā)卡行公鑰證書的公鑰模長字節(jié)數(shù)見本規(guī)范第 節(jié)簽名的發(fā)卡行公鑰證書 NCA 見本規(guī)范第 節(jié)根 CA 公鑰單獨(dú)簽名 NCA 見本規(guī)范第 節(jié)23 / 35 文件命名約定發(fā)卡行公鑰輸出文件是由一個(gè)類似 形式的文件名標(biāo)識，這里：? AAAAAA 是申請記錄號? I 是固定值( ‘I’)表示發(fā)卡行? NN 是用來簽發(fā)發(fā)卡行公鑰證書的根 CA 公鑰的索引所有文件是二進(jìn)制格式。根 CA 利用在未簽名發(fā)卡行公鑰輸出擴(kuò)展（表6）中的根 CA 公鑰標(biāo)識定位的根 CA 公私鑰對應(yīng)的根 CA 私鑰對表 8 中的根CA 單獨(dú)簽名數(shù)據(jù)進(jìn)行簽名。28 / 3510. 檢查發(fā)卡行哈希算法標(biāo)識，若不是‘01’ ，則驗(yàn)證失敗。自簽名根 CA 公鑰是根CA 使用 《中國金融集成電路（IC）卡規(guī)范 》 （2022 版）第七部分第 12 章規(guī)定的簽名算法利用根 CA 簽名私鑰對表 11 的根 CA 公鑰證書數(shù)據(jù)進(jìn)行簽名所得。5. 檢查在恢復(fù)的根 CA 公鑰證書數(shù)據(jù)中銀聯(lián)金融 IC 卡根 CA 公鑰失效日期，若失效日期早于當(dāng)前日期，則拒絕該根 CA 公鑰。但是在成員機(jī)構(gòu)信賴下載的根 CA 公鑰前，必須驗(yàn)證從第二個(gè)渠道獲取的根 CA 公鑰，即通過銀聯(lián)審核員（見《銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認(rèn)證技術(shù)規(guī)范》第 節(jié)）直接獲得根 CA 公鑰并按照本規(guī)范第 7 章的程序驗(yàn)證公鑰證書中的簽名，只有完全通過本規(guī)范第 7 章的根 CA 公鑰驗(yàn)證程序，成員機(jī)構(gòu)才可以接受和信賴根 CA 公鑰。 （未來若《中國金融集成電路（IC）卡規(guī)范 》 （2022 版）進(jìn)行了修訂并增加了公鑰算法，則以當(dāng)時(shí)有效的規(guī)范版本為準(zhǔn)。‘01010000’ = 借、貸記b 注冊的應(yīng)用提供商標(biāo)識 (RID) 5 標(biāo)識銀聯(lián)借記貸記 RID：為十六進(jìn)‘D1 56 00 00 01’ b 根 CA 公鑰標(biāo)識 1 唯一標(biāo)識根 CA 公鑰 b 證書失效日期 2 月和年(MMYY)，在此日期之后證書失效 n 4 根 CA 公鑰算法標(biāo)識 1 十六進(jìn)制 ‘01’ 標(biāo)識生成根 CA 公鑰的公鑰算法，見《中國金融集成電路（IC）卡規(guī)范 》 （2022 版）第七部分第 12 章。12. 如果上述所有驗(yàn)證都是正確的，則發(fā)卡行公鑰證書驗(yàn)證成功。根 CA 單獨(dú)簽名主要是對表 6 的未簽名發(fā)卡行公鑰輸出擴(kuò)展和表 7 的發(fā)卡行公鑰證書數(shù)據(jù)進(jìn)行連接后對連接數(shù)據(jù)計(jì)算哈希值，然后根CA 使用未簽名發(fā)卡行公鑰輸出擴(kuò)展中指定的根 CA 公私鑰對對應(yīng)的私鑰對該哈希值簽名得到。這里的申請記錄號與本規(guī)范第 節(jié)自簽名發(fā)卡行公鑰數(shù)據(jù)中的記錄號相同，是按照根據(jù)《銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認(rèn)證業(yè)務(wù)規(guī)范》由銀聯(lián)審核員統(tǒng)一設(shè)定與管理的，以唯一標(biāo)識一個(gè)發(fā)卡行的一次公鑰證書申請。13. 檢查未簽名發(fā)卡行公鑰輸入擴(kuò)展和第 7 步中恢復(fù)的發(fā)卡行公鑰數(shù)據(jù)中的發(fā)卡行公鑰指數(shù)是否相同，并且檢查其是否是 3 或 216＋1，若不是，則銀聯(lián)拒絕該公鑰證書申請。銀聯(lián)收到的由成員發(fā)卡行安全官員遞交給銀聯(lián)審核員的發(fā)卡行公鑰證書申請包括中國銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認(rèn)證服務(wù)成員發(fā)卡行公鑰證書工作申請表電子文件（見《銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認(rèn)證技術(shù)規(guī)范》附錄 C）和發(fā)卡行公鑰輸入文件（見本規(guī)范第 3 章） 。16 / 35 未簽名發(fā)卡行公鑰輸入擴(kuò)展未簽名發(fā)卡行公鑰輸入擴(kuò)展是發(fā)卡行公鑰輸入文件的第一部分。 復(fù)合動(dòng)態(tài)數(shù)據(jù)認(rèn)證/ 應(yīng)用密文生成（CDA ）這種方式在第一個(gè)請求應(yīng)用密文命令發(fā)出后執(zhí)行（見《中國金融集成電路（IC）卡規(guī)范 》 （2022 版） ） 。它們是根 CA 的子 CA，負(fù)責(zé)生成發(fā)卡行 CA 的公私鑰對，向根 CA 申請并管理自己的公鑰證書。 編碼符號表示本規(guī)范定義了一些編碼方式，這些編碼方式遵從《中國金融集成電路（IC）卡規(guī)范 》 （2022 版） ，并與 EMV2022 標(biāo)準(zhǔn)完全兼容，同時(shí)兼容國際金融IC 卡支付組織 VISA、MasterCard、和 JCB 的有關(guān)規(guī)范并與它們的支付系統(tǒng)兼容。6 / 35IIN：金融機(jī)構(gòu)代碼（ IIN） ，由中國銀聯(lián)按照銀聯(lián)《 入網(wǎng)機(jī)構(gòu)標(biāo)識碼》規(guī)范分配給各成員金融機(jī)構(gòu)的金融機(jī)構(gòu)代碼，唯一識別中國銀聯(lián)成員機(jī)構(gòu)，由 8 位數(shù)字組成。 規(guī)范性引用文件1． 《中國金融集成電路（IC）卡規(guī)范 》 （2022 版）2． 《銀聯(lián)卡業(yè)務(wù)運(yùn)作規(guī)章》3． 《銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認(rèn)證業(yè)務(wù)規(guī)范》4． 《銀聯(lián)卡密鑰安全管理規(guī)則》5 / 355． 《銀行卡聯(lián)網(wǎng)聯(lián)合安全規(guī)范》6． 《銀聯(lián)標(biāo)識卡生產(chǎn)企業(yè)安全管理指南》7． 《銀聯(lián)標(biāo)識卡個(gè)人化企業(yè)安全和質(zhì)量》8． 《銀行卡發(fā)卡行標(biāo)識代碼及卡號》9． 《銀聯(lián)卡卡片規(guī)范》10． 《銀行卡磁條信息格式和使用規(guī)范》11． 《入網(wǎng)機(jī)構(gòu)標(biāo)識碼》12． 《商戶類別代碼》13． 《銀行卡信息交換術(shù)語》14． 《銀行磁條卡自動(dòng)柜員機(jī)（ATM）應(yīng)用規(guī)范》15． 《銀行磁條卡銷售點(diǎn)終端規(guī)范》16． 《銀行磁條卡自動(dòng)柜員機(jī)(ATM)應(yīng)用規(guī)范》17． 《中國銀聯(lián) MIS 商戶系統(tǒng)技術(shù)規(guī)范》18． 《中國銀聯(lián) POS 終端規(guī)范》19． 《中國銀聯(lián)代理業(yè)務(wù) ATM 終端技術(shù)規(guī)范》20． 《中國銀聯(lián)銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)規(guī)范 版》參見《銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認(rèn)證業(yè)務(wù)規(guī)范》 ，根 CA 和成員機(jī)構(gòu)除了必須遵守本規(guī)范外，還有義務(wù)遵守上述 20 個(gè)規(guī)范。SDA：靜態(tài)數(shù)據(jù)認(rèn)證，脫機(jī)數(shù)據(jù)認(rèn)證的一種，通過這種方法終端驗(yàn)證發(fā)卡時(shí)存放在卡上的密文。中國銀聯(lián)將在需要時(shí)對本規(guī)范進(jìn)行修訂，其后的修訂版本高于，同時(shí)在修訂版定稿后進(jìn)行發(fā)布。DDA 能確認(rèn)卡片上的發(fā)卡行應(yīng)用數(shù)據(jù)自卡片個(gè)人化后沒有被非法篡改，更重要的是 DDA 還能確認(rèn)卡片的真實(shí)性，防止卡片的非法復(fù)制和偽造。這里 NI 是發(fā)卡行公鑰模長的字節(jié)數(shù)，e 為發(fā)卡行公鑰指數(shù)長度的字節(jié)數(shù)。（在右邊補(bǔ)上十六進(jìn)制數(shù)‘F’ ） 8證書失效日期2 月和年(MMYY)，在此日期之后證書失效n 4記錄號 3 發(fā)卡行公鑰證書申請記錄號 n 6哈希算法標(biāo)識1 標(biāo)識用來產(chǎn)生哈希值的哈希算法，見《中國金融集成電路（IC）卡規(guī)范 》（2022 版）第七部分第 12 章b發(fā)卡行公鑰算法標(biāo)識1 標(biāo)識用于發(fā)卡行公鑰的數(shù)字簽名算法，見《中國金融集成電路（IC）卡規(guī)范 》（2022 版）第七部分第 12 章b發(fā)卡行公鑰模長1 以十六進(jìn)制標(biāo)明發(fā)卡行公鑰的模長(N I)（字節(jié)數(shù)）b發(fā)卡行公鑰指數(shù)長度1 以十六進(jìn)制標(biāo)明發(fā)卡行公鑰指數(shù)的長度（字節(jié)數(shù)）b18 / 35發(fā)卡行公鑰模的最左邊部分NI ? (39 +e) 公鑰模(N I )的最左 NI (39 + e)部分，這里 NI 表示發(fā)卡行公鑰模長的字節(jié)數(shù)，e表示發(fā)卡行公鑰指數(shù)所占的字節(jié)數(shù)b發(fā)卡行公鑰指數(shù)e 發(fā)卡行公鑰指數(shù), 為 3 或 65537，以十六進(jìn)制存儲(chǔ)為‘03’或‘01 00 01’b哈希值 20 發(fā)卡行公鑰及其相關(guān)信息的哈希結(jié)果，為本表中除哈希值外從記錄頭依順序到發(fā)卡行公鑰指數(shù)的哈希值b圖 3 生成自簽名發(fā)卡行公鑰數(shù)據(jù)19 / 35哈希算法記錄頭服務(wù)標(biāo)識記錄頭證書格式發(fā)卡行標(biāo)識證書失效日期記錄號哈希算法標(biāo)識發(fā)卡行公鑰算法標(biāo)識發(fā)卡行公鑰模長發(fā)卡行公鑰指數(shù)長度發(fā)卡行公鑰模的最左邊部分發(fā)卡行公鑰指數(shù)記錄頭服務(wù)標(biāo)識證書格式發(fā)卡行標(biāo)識證書失效日期記錄號哈希算法標(biāo)識發(fā)卡行公鑰算法標(biāo)識發(fā)卡行公鑰模長發(fā)卡行公鑰指數(shù)長度發(fā)卡行公鑰模的最左邊部分發(fā)卡行公鑰指數(shù)哈希值公鑰算法NI 字節(jié)發(fā)卡行簽名私鑰NI 字節(jié)自簽名發(fā)卡行公鑰數(shù)據(jù)NI 字節(jié)成員發(fā)卡行生成自簽名發(fā)卡行公鑰數(shù)據(jù)的程序見圖 3 所示。9. 檢查第 7 步中恢復(fù)的數(shù)據(jù)中證書格式是否是十六進(jìn)制‘02’ ，若不是，則銀聯(lián)拒絕該公鑰證書申請。發(fā)卡行公鑰證書輸出文件的第一個(gè)數(shù)據(jù)是未簽名發(fā)卡行公鑰輸出擴(kuò)展，第二個(gè)數(shù)據(jù)是根 CA 對發(fā)卡行公鑰證書的簽名，第三個(gè)數(shù)據(jù)是根 CA 單獨(dú)簽名。根 CA 利用在未簽名發(fā)卡行公鑰輸出擴(kuò)展（表 6）中的根 CA 公鑰標(biāo)識定位的根 CA 公私鑰對對應(yīng)的根 CA 私鑰對發(fā)卡行公鑰證書數(shù)據(jù)（表 7）進(jìn)行簽名得到簽名的發(fā)卡行公鑰證書。7. 比較上一步驟（第 6 步）計(jì)算的哈希值和第 2 步數(shù)據(jù)恢復(fù)得到的哈希值，若不同，則驗(yàn)證失敗?！?1010000’ = 借、貸記b 根 CA 公鑰模長 2 根 CA 公鑰模的長度 NCA ，以十六進(jìn)制表示。2. 檢查在第一步中恢復(fù)的根 CA 公鑰證書數(shù)據(jù)中的記錄頭，若不符合記錄頭是十六進(jìn)制‘21’ ，則拒絕該根 CA 公鑰證書。成員機(jī)構(gòu)可以使用銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認(rèn)證處理軟件完成上述驗(yàn)證。9. 檢查在恢復(fù)的根 CA 公鑰證書數(shù)據(jù)中銀聯(lián)金融 IC 卡根 CA 公鑰指數(shù)長度，若不是‘01’ ，則拒絕該根