IC卡工作密钥体系

原创整理，转账注明出处 

http://blog.csdn.net/hittata/article/details/8589368

1.发卡行IC应用中涉及的主密钥

 发卡行要一般根据生成四对主密钥，三个对称主密钥，一对非对称主密钥

对称主密钥：

密钥名	说明	简写
发卡行应用密文主密钥	用于AC,ARQC,ARPC,AAC相关校验的主密钥	AC MDK
发卡行安全报文认证主密钥	用于55域中安全报文传递中MAC校验的主密钥	MAK MDK
发卡行安全报文加密主密钥	用于用于55域中安全报文传递中数据加密的主密钥	ENC MAK

MDK :MasterDEA Key

 

非对称主密钥：

密钥名	说明
发卡行公私密钥对	公钥要CUP 根CA签名后，写入IC卡片，私钥机密保存

 

 

2.IC卡片中密钥的种类

每张IC卡中保存6个密钥，一个是CUP 跟CA签名的IC卡发卡行公钥，三个是发卡行主密钥生成的三个子密钥，一个IC卡公私密钥对（针对动态脱机验证）

 

三个子密钥

密钥名	说明	简写
发卡行应用密文子密钥	发卡行应用密文主密钥,PAN,卡片序列号分散生成	AC UDK
发卡行安全报文认证子密钥	发卡行安全报文认证主密钥,PAN,卡片序列号分散生成	MAK UDK
发卡行安全报文加密子密钥	发卡行安全报文加密主密钥,PAN,卡片序列号分散生成	ENC UDK

UDK: Uniq DEC KEY

 

一个IC发卡行公钥

密钥名	说明
发卡行公钥	公钥要CUP 根CA签名后，写入IC卡片，CUP 根CA要索引也要写入卡片

 

一对IC卡公私钥对，其由发卡行发卡行根据每张卡片分别生成

密钥名	说明
IC卡公钥	公钥要求使用发卡行私钥签名后，写入IC卡片
IC卡私钥	安全写入IC卡中，由IC卡自身保护机制保护

IC卡公钥对还可被用于脱机密文PIN验证，JR/T0025中对脱机密文PIN不作要求。

 

 

3.IC卡交易中的过程密钥：

  IC卡交易中涉及到三个过程密钥

密钥名	说明	简写
发卡行应用密文过程密钥	发卡行应用密文子密钥，ATC分散生成	AC PDK
发卡行安全报文认证过程密钥	发卡行安全报文认证子密钥，ATC分散生成	MAK PDK
发卡行安全报文加密过程密钥	发卡行安全报文加密子密钥，ATC分散生成	ENC PDK

PDK: Process DECKEY

 

  过程密钥生成过程

发卡行脚本操作中的密钥包含：安全报文鉴别密钥和安全报文加密密钥。详见JR/T 0025.7中描述。

图21是安全报文鉴别（MAC）密钥的生成和使用。

图22是安全报文加密密钥的生成和使用

卡片密钥说明：

IC卡个人化过程中涉及到的密钥体系：

非对称密钥体系

 

认证中心公私钥对 认证中心最多会产生6个公私钥对，每个公私钥对都将分配一个唯一的认证中心公钥索引。认证中心公钥及其索引由收单行加载到终端，认证中心私钥由认证中心保管并保证其私密性和安全性。终端必须有足够空间存放认证中心公钥及其对应的注册的应用提供商标识（RID）和认证中心公钥索引。终端通过RID和认证中心公钥索引定位认证中心公钥。

 

发卡行公私钥对

支持SDA或DDA都需要发卡行产生发卡行公私钥对，并从认证中心获取发卡行公钥证书。发卡行将其公钥发送给认证中心，认证中心使用模长大于等于发卡行公钥模长并且公钥有效期晚于发卡行公钥有效期的认证中心私钥对其进行签名。IC卡必须包含发卡行公钥证书及其用来验证发卡行证书的认证中心公钥索引，发卡行私钥由发卡行保管并保证其私密性和安全性。

发卡行公钥模长必须小于等于认证中心公钥最大模长。

 

终端通过注册的应用提供商标识（RID）和认证中心公钥索引定位认证中心公钥，并用认证中心公钥从发卡行证书恢复发卡行公钥，然后用发卡行公钥恢复并验证卡片上的发卡行应用数据或者卡片公钥。

 

IC卡公私钥对

支持DDA还要求发卡行为每张IC卡产生IC卡公私钥对，IC卡私钥存放在IC卡中的安全存贮区域，IC卡公钥由发卡行私钥签名，产生IC卡公钥证书并存放在卡片中。

 

终端通过注册的应用提供商标识（RID）和认证中心公钥索引定位认证中心公钥，并用认证中公钥从发卡行公钥证书恢复发卡行公钥，然后用发卡行公钥从IC卡公钥证书恢复IC卡公钥，并用IC卡公钥验证卡片的动态签名数据。

IC卡公钥对还可被用于脱机密文PIN验证，JR/T0025中对脱机密文PIN不作要求。