欢迎来到天天文库
浏览记录
ID:3649521
大小:114.49 KB
页数:4页
时间:2017-11-22
《金融ic卡根密钥中心的建设》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、金融IC卡根密钥中心的建设 金融IC卡根密钥中心的建设来源:本站原创作者:中国金融认证中心总经理季小杰中国金融认证中心赵宇点击次数:自2005年中国人民银行颁布《中国金融集成电路(IC)卡规范》V2.0(以下简称"PBOC2.0")以来,我国的银行产业步入了一个崭新的发展阶段,以智能IC卡为载体的新型银行卡已经逐渐走向成熟。几年来,中国金融认证中心承担了我国金融IC卡非对称密钥体系根密钥中心(以下简称"根密钥中心")的建设和运营任务。根密钥中心建设的重要意义1.完成根密钥中心建设是发卡行启动发卡工作的前提条件。PBO
2、C2.0标准通过采用非对称加密算法实现了金融IC卡的防复制和防篡改特性,可以有效解决目前磁条卡所面临的安全问题。PBOC2.0标准中的非对称密钥体系可以概括为--两级中心、三级密钥的体系。整个密钥体系由根密钥中心和发卡行级密钥中心组成,根密钥中心是PBOC2.0标准金融IC卡的密钥根节点,是信任源,负责生成和管理根密钥(可以理解为一级密钥),并为发卡行级密钥中心签发发卡行公钥证书;发卡行级密钥中心是发卡机构用于生成和管理发卡行级密钥(可以理解为二级密钥),并签发本行所有IC卡中卡片公钥证书。三级密钥是指根密钥(及对应
3、的自签名公钥证书)、发卡行级密钥(及根密钥签发的发卡行公钥证书)、卡片密钥(及发卡行签发的卡片公钥证书)。根密钥中心在建成投入使用后的第一项任务就是根据金融IC卡业务规则产生非对称的根密钥对,然后用其中的私钥对重要信息进行数字签名形成根CA公钥文件,被签名的重要信息包括:与该私钥对应的公钥文件、服务标示、有效截止日期、密钥算法等等,习惯称其为根CA公钥文件。根密钥对中的私钥至关重要,一旦泄露将影响整个金融IC卡体系的安全性,它被妥善保存在安全的物理环境中,并配以严格的管理制度以保证其安全性;中国银联根据业务规则将根C
4、A公钥文件下发给各发卡银行和收单机构,用于验证下级发卡行公钥证书的真实性。发卡行在发行金融IC卡时必须拥有发卡行密钥中心。发卡行密钥中心根据金融IC卡业务规则产生非对称密钥对,然后将其中的公钥文件及重要信息组成发卡行公钥输入文件提交给根密钥中心;根密钥中心采用根密钥中私钥对发卡行公钥输入文件进行签名,产生发卡行公钥证书。发卡行在制作本行的金融IC卡时,每张卡片都会在卡片内部产生卡片密钥对,由发卡行密钥对中私钥对所有卡片逐一签发卡片证书,卡片证书中包括卡片公钥及相关重要信息。发卡行公钥证书将和卡片公钥证书都将被写入卡片
5、中。从整个金融IC卡的非对称密钥体系中不难看出,只有率先完成根密钥中心的建设,才能让发卡行启动发卡的相关工作。2.完成根密钥中心建设是改造受理环境的必要条件。在PBOC2.0标准中采用脱机数据认证方式来完成终端对IC卡的认证,脱机数据认证具体包括两种方法:静态数据认证和动态数据认证。静态数据认证简称SDA,在静态数据认证过程中,终端验证卡片上静态数据的合法性,SDA能确认卡片上的发卡行应用数据自卡片个人化后没有被非法篡改。动态数据认证简称DDA。在动态数据认证过程中,终端验证卡片上的静态数据以及卡片产生的交易相关信息
6、的签名,DDA能确认卡片上的发卡行应用数据自卡片个人化后没有被非法篡改,DDA还能确认卡片的真实性,防止卡片的非法复制。DDA可以是标准动态数据认证或复合动态数据认证/应用密文生成(CDA)。无论是静态数据认证还是动态数据认证,都是比较复杂的运算过程,这里仅就静态数据认证的主要过程进行介绍。金融IC卡进行脱机交易的静态数据认证,受理终端完成过程:终端从卡片中读取出发卡行证书及签名数据,使用CA公钥PCA恢复出发卡行公钥;终端使用恢复的发卡行公钥解密卡片签名数据;终端将解密结果与卡片静态数据进行比对,保存比对结果;将验
7、证结果返回给卡片。由此可见,只有根密钥中心建设完成并且生成根密钥,才能将根密钥的公钥文件装载到收单机构的终端设备中,使终端设备具备认证IC卡的能力。根密钥中心建设原则根密钥中心的建设涉及很多重要工作,包括开发核心的应用系统,建立配套的管理制度、制订相应的业务规则等等。金融IC卡根CA系统是我国金融IC卡非对称密钥管理体系中的核心应用系统,也是根密钥中心建设中最重要的部分。在该项目的前期论证阶段就发现可供参考的国际经验比较匮乏。虽然大家习惯称金融IC卡非对称密钥体系中的密钥中心为CA,但这个CA与标准的PKICA差别较
8、大。因此,标准的PKICA运营管理方法也没有太多可借鉴之处。经过详细的研究和论证,结合我国银行卡产业的具体情况,认为金融IC卡根CA系统具有如下几个特点:一是短时间内系统承载量不会太大;二是系统的可扩展性必须很强;三是对系统及密钥的管理必须完善。为此,在建设根密钥中心过程中应该把握以下三条原则。1.以节约、高效为原则建设系统。首先已经明确金融I
此文档下载收益归作者所有