DB43∕T 877.2-2014 湖南省金融IC卡行业应用规范 第二部分:行业应用密钥规范  _第1页
DB43∕T 877.2-2014 湖南省金融IC卡行业应用规范 第二部分:行业应用密钥规范  _第2页
DB43∕T 877.2-2014 湖南省金融IC卡行业应用规范 第二部分:行业应用密钥规范  _第3页
DB43∕T 877.2-2014 湖南省金融IC卡行业应用规范 第二部分:行业应用密钥规范  _第4页
DB43∕T 877.2-2014 湖南省金融IC卡行业应用规范 第二部分:行业应用密钥规范  _第5页
已阅读5页,还剩21页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

湖南省金融IC卡行业应用规范第二部分:行业应用密钥规范2014-05-16发布2014-06-15实施湖南省质量技术监督局发布I Ⅱ Ⅲ 3术语和定义 4符号和缩略语 2 36湖南省金融IC卡行业应用密钥管理系统要求 8附录A(规范性附录)安全算法 附录B(规范性附录)密钥导出指令 附录C(规范性附录)密钥管理模式 附录D(规范性附录)主密钥卡 附录E(规范性附录)行业编码规则 本标准按照GB/T1.1-2009给出《湖南省金融IC卡行业应用规范》由以下6部分组成:——第1部分:卡片结构规范;——第2部分:行业应用密钥规范;——第3部分:终端交易规范;——第4部分:卡面标识规范;——第5部分:扩展应用规范;——第6部分:扩展应用密钥规范;行、中国建设银行湖南省分行、交通银行湖南省分行、中钞信用卡产业发股份有限公司和捷德(中国)信息科技有限公司。本规范主要起草人:易昌善、林建、易叔贤、刘杰、张非凡、陈昊、谢亚俊强、张奇、刘强、伍斌、石国华、张振京、程文平、李冰、毕宇、文学。DB43/T877.2—2014本部分为《湖南省金融IC卡行业应用规范》的第2部分,定义了湖南省金融IC卡行业应用密钥规范相关内容。本部分与《湖南省金融IC卡行业应用规范》第1部分、第3部分一起构成湖南省金融IC卡自定义行业应用规范。1湖南省金融IC卡行业应用规范本规范主要对湖南省金融IC卡行业应用的密钥生成流程、体系结构、安全算法进行规定。本规范适用于湖南省金融IC卡设计、生产、发行及使用等过程中涉及的所有参与者,包括但不限于湖南省金融IC卡发卡机构、收单机构、卡片制造厂商、个性化服务提供厂商,以及授权使用湖南省金融IC卡标识并参与湖南省金融IC卡行业应用业务或提供相关服务的所有机构。2规范性引用文件的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本规范。ISO/IEC14443-1识别卡无触点集成电路卡近程卡第1部分:物理特性,2000-04-15.ISO/IEC14443-2第2部分:射频功率和信号接口,2001-07-01ISO/IEC14443-3第3部分:初始化和防冲突,2001-02-01ISO/IEC14443-4第4部分:传输协议,2001-02-01JR/T0025-2013中国金融集成电路(IC)卡GB2260中华人民共和国行政区划代码3术语和定义根密钥由湖南省金融IC卡公共服务业运营平台产生,用于生成行业应用系统环境主密钥和行业应用主密行业应用系统环境(DDF3)主密钥由根密钥根据银行代码分散生成,用于提供给行业应用主密钥行业应用初始主密钥由根密钥根据行业应用AID分散生成,用于生成行业应用初始主控密钥。2行业应用初始主控密钥由行业应用初始主密钥根据卡片UID分散生成的行业应用初始主控密钥,用于控制用户卡行业应用下的文件创建以及密钥的安装。行业应用二级主密钥由行业应用主密钥根据密钥类型加密钥索引号分散生成的一组密钥,用于生成用户卡行业应用下的所有的密钥。行业应用三级密钥由行业应用二级主密钥根据应用序列号分散生成的行业应用三级功能密钥,用于控制行业应用下文件的读写权限认证。行业应用发卡SAM卡部署在发卡终端的安全认证模块,用于湖南省金融IC卡行业应用系统环境下的行业应用的发卡和管理。部署在交易终端的安全认证模块,用于湖南省金融IC卡行业应用系统环境下的行业应用的交易安全认证。行业应用发卡SAM卡功能密钥行业应用发卡SAM卡功能密钥与用户卡行业应用三级功能密钥配套使用,用于对用户卡发卡和加减值交易的安全认证。行业应用交易PSAM卡功能密钥行业应用交易PSAM卡功能密钥与用户卡行业应用三级功能密钥配套使用,用于对用户卡减值交易功能的安全认证。行业应用系统环境用户卡行业应用系统环境从名为“HUN.HYSYS.DDFO1”的DDF开始。在本规范中,此DDF的FID命管理平台平台或管理平台,特指湖南省金融IC卡公共服务业运营管理平台。行业编码用于区分不同的行业单位,作为密钥分散因子,参见附录E的说明。4符号和缩略语以下缩略语和符号语表示适用于本规范:3DB43/T877.2—2014AID应用标识符(ApplicationIdentifier)an字母数字型(Alphanumeric)ans字母数字及特殊字符型(AlphanumericSpecial)b二进制(Binary)CLA命令报文的类别字节(ClassByteoftheCommacn压缩数字型(CompressedNumeric)DEA数据加DF专用文件(DedicatedFile)FCI文件控制信息(FileControlInformINS命令报文的指令字节(InstructionByteofCommandMessage)ISO国际标准化组织(InternationalOrganizationforStandardizatiLc终端发出的命令数据的实际长度(ExactLengthofDataSent)Le响应数据中n数字型(Numeric)P1参数1(Parameter1)P2参数2(Parameter2)PSAM销售点终端安全存取模块(PurchaseSecureAccessModule)RFU保留为将来使用(ReservedforFutureUse)5湖南省金融IC卡行业应用密钥体系5.1行业应用密钥体系结构5.1.1.1湖南省金融IC卡行业应用密钥体系结构如图:4DB43/T87湖南省金融IC卡公共服务业营业平台湖南省金融湖南省金融IC卡公共服务业运营平台根密钥发卡银行行业单位kHuIDkHuiD应用列号主密钥卡银行代码5.1.1.2密钥生成流程第一步:由湖南省金融IC卡公共服务业运营平台产生一条根密钥。第二步:湖南省金融IC卡公共服务业运营平台使用根密钥根据银行代码分散并导出行业应用系统环境主密钥到银行主密钥卡,使用根密钥根据行业应用AID并导出所有行业的行业应用初始主密钥导入到银行主密钥卡,通过银行主密钥卡将传递第三步:各个银行使用行业应用系统环境主密钥根据卡片UID分散产生行业应用系统环境(DDF3)第四步:各个银行使用行业应用初始主密钥根据卡片UID分散产生行业应用初始主控密钥。第五步:各个银行使用行业应用主密钥根据密钥类型+密钥索引号分散出行业应用二级主密钥;第六步:各个银行使用行业应用二级主密钥根据用户卡应用序列号分散出用户卡行业应用三级密行业编码参见附录E-行业编码规则。5.1.2行业应用发卡SAM卡密钥体系结构5行业应用王密钥(ADF1)密钥类型+密钥索引号引号行业应用王密钥密钥类型+密钥索引号列号+引号应用序列号+密钥索主控和维护主控和第一步:由湖南省金融IC卡公共服务业运营平台产生根密钥;第二步:使用根密钥根据行业编码根据行业编码分散并导出所有行业的行业应用主密钥;第三步:使用行业应用主密钥根据SAM卡应用序列号分散出行业应用发卡SAM卡卡片主控密钥和卡片维护密钥;第四步:使用行业应用主密钥根据密钥类型+密钥索引号分散出行业应用二级主密钥;第五步:使用行业应用二级主密钥根据SAM卡应用序列号分散出行业应用发卡SAM卡应用主控密钥和应用维护密钥;第六步:运营平台使用行业应用主密钥根据密钥类型+密钥索引号分散出行业应用发卡SAM卡功能密钥。交易PSAM卡密钥生成的密钥体系结构图:6引号引号主控和维护主控和5.1.3.2行业应用交易PSAM卡密钥生成流程第一步:由湖南省金融IC卡公共服务业运营平台产生一条根密钥;第二步:使用根密钥根据银行代码根据行业编码分散并导出所有行业的行业应用主密钥;第三步:使用行业应用主密钥根据SAM卡应用序列号分散出行业应用交易PSAM卡卡片主控密钥和卡片维护密钥;第四步:使用行业应用主密钥根据密钥类型+密钥索引号分散出行业应用二级主密钥;第五步:使用行业应用二级主密钥根据SAM卡应用序列号分散出行业应用交易PSAM卡应用主控密钥和应用维护密钥;第六步:使用行业应用主密钥根据密钥类型+密钥索引号分散出行业应用交易PSAM卡功能密钥。5.2行业应用密钥关系表5.2.1平台统一管理模式行业应用功能密钥务业运营平台发卡银行卡商行业应用行业应用受理终端主控密钥发卡行据卡片UID分散生成密钥维护密钥密钥应用AID生成二级密钥据卡片UID分散生成行业应用初始主控密钥替换行业应用初始主控密钥编码、UID生成卡片主控密钥替换原来的行业应用初始主控密钥7行业应用功能密钥务业运营平台发卡银行卡商行业应用行业应用受理终端行业应用发卡密钥基本文件,其读写密钥平台用根密钥根据行业引号、用户卡应用序列号(或UID)分散台管理,终端部署的发卡SAM卡密钥采用平台用根密钥根据行业编码、密钥类型+密钥索引号得到的二级密钥行业应用交易密钥卡卡片主控密钥和卡片维护密钥编码和SAM卡应用序列卡应用主控密钥和应用维护密钥卡应用序列号(或UID)分散行业应用功能密钥务业运营平台发卡银行行业应用受理终端主控密钥发卡行据卡片UID分散生成密钥维护密钥密钥应用AID生成二级密钥替换行业应用初始主控密钥主控二级密钥(指定行业)及算法给行业行业方生成卡片主控密钥替换原始主控密钥卡密钥(基本文件创建由行业完成)的主控密钥,自行创建文件及管理密钥行业自行管理发卡和文件和写密钥。易密钥控密钥和维护密钥用主控密钥和应用维护密钥85.3行业应用密钥分散算法定义5.3.1行业应用系统环境主密钥由湖南省金融IC卡公共服务业运营平台根密钥根据银行代码进行分散而来。分散因子规定为:8位的银行代码的ASSIC,例如建行的银行代码是01055500,则分数因子为3031303535353030。5.3.2行业应用系统环境主控密钥和维护密钥由行业应用系统环境主密钥根据卡片UID分散而来。分散因子规定为:4个字节的芯片唯一号+000000+1个字节的密钥类型,共计8字节。(密钥类型,参见第一部分附录A,0-主控1-维护)5.3.3行业应用主密钥由湖南省金融IC卡公共服务业运营平台根密钥根据4字节的行业编码的ASSIC进行分散而来。行业编码参见附录E行业编码规则。5.3.4行业应用初始主密钥由湖南省金融IC卡公共服务业运营平台根密钥根据行应用应用AID分散而来。分散因子规定为:5.3.5行业应用二级主密钥由行业应用主密钥根据密钥类型+密钥索引号进行分散而来。分散因子规定为:000000000000+1个字节的密钥类型+1个字节的密钥索引号。5.3.6行业应用初始主控密钥由行业应用初始主密钥根据卡片UID分散而来。分散因子规定为:00000000+4个字节的卡片UID,共计8字节。5.3.7行业应用三级功能密钥由行业应用二级主密钥根据用户卡应用序列号分散而来。分散因子规定为:应用序列号的后8个字5.3.8行业应用SAM卡主控密钥和维护密钥由行业应用主密钥根据SAM卡应用序列号分散而来。分散因子规定为:应用序列号的后8个字节。5.4行业应用非对称密钥体系结构为保证系统兼容性和将来应用扩展,预留非对称密6湖南省金融IC卡行业应用密钥管理系统要求密钥管理是系统安全的核心,涉及到密钥的生成、发密钥生成,根据用户输入采用特定的密钥输入算法产生系统所需要的密钥;9密钥备份、恢复,提供系统密钥的备份和恢复功能,以便于在系统崩溃时对系统密钥进行恢复;6.1密钥的生成为保证密钥的安全,防止密钥泄露。在密钥生成时,应采a)密钥生成采用硬件加密的方式;b)密钥生成的环境应保证安全;c)密钥生成过程应严格执行密钥管理相关操作规程。a)不可重复的密钥生成:随机过程,生成不可恢复的密钥,每次的数值不相同;b)可重复的密钥生成:密钥变换、密钥衍生;而且密钥的生成是可以重复的,在需要的情况下能不重复生成的密钥采用随机产生的方法生成,由系统随机产生这些密钥,写入安全存取模块保存,可重复生成的密钥采用密钥变换或密钥衍生的方法生成,确保密钥变换或密钥衍生的过程安全。6.2密钥的发行密钥的发行采用阶梯生成、下发方式,即由上一级生成下一级所需的各种卡片的形式传递给下一级。在行业应用系统环境的应用主控密钥的控制下装载行业应用的应用主控密钥。6.2.3密钥发行的安全技术使用传输密钥控制业务主密钥的加密装载、加密导出、6.3密钥的更新当密钥的生命周期结束或系统密钥泄露后,需DB43/T877.2—2014附录A(规范性附录)安全算法MAC是使用命令中的所有的元素(包含命令头)产生的。MAC是命令数据域中最后一个数据元,它的长度为4个字节。MAC的计算方法如下:第一步:终端向IC卡发出一个GetChallenge命令,从IC卡回送的4字节随机数后缀以00000000,所得到的结果作为初始值。第二步:按照顺序将以下数据连接在一起形成数据块:——CLA,INS,P1,P2,Lc+4,Data——必须置CLA的后半字节为4——在命令的数据域中(如果存在)包含明文或加密的数据第三步:将该数据块分成8字节为单位的数据块,标号为D1,D2,D3,D4等,最后的数据块有可能是1-8个字节。第四步:如果最后的数据块长度是8字节的话,则在其后加上16进制数字8000000000000000,转到第五步。如果最后的数据块长度不足8字节的话,则在其后加上16进制数字80,如果达到8字节长度,则转入第五步;否则在其后加入16进制数字0直到长度达到8字节。第五步:对这些数据块使用相应的密钥进行加密。根据密钥的长度采用SingleDES或TripleDES。第六步:最终得到是从计算结果左侧取得的4字节长度的MAC。进行DES加密进行DES加密16字节密钥的进行DES加密图A.1用长度为16字节的密钥产生MACA.2数据加密计算8字节的数据块8字节密钥K8字节密钥K8字节加密后的数8字节的数据块16字节密钥的左半部分进行DES加密16字节密钥的右半16字节密钥的左半部分进行DES加密8字节加密后的数第一步:将命令数据域中的数据块分解成8字节长的数据块,标号为D1,D2,D3,D4等等。每个K使用SingleDES的数据解密如果采用双长度数据加密的DEA密钥,则数据块的解密如图16所示(使用数据加密过程密钥A和BB来进行解密)。8字节解密后的数第二步:计算结束后,所有解密后的数据块依照顺序(解密后的D1,解密后的D2,等等)链接在一起。数据块由LD,明文数据,填充字符组成。第三步:因为LD表示明文数据的长度,因此,它被用来恢复明文数据。DB43/T87图A.6基于单长度DEA密钥的过程密钥的产生KEY(左半部分)↵KEY(左半部分)↵KEY(右半部分)↵KEY(右半部分)↵KEY(左半部分)↵KEY(左半部分)↵单长度过程密钥↵图A.7基于双长度DEA密钥的过程密钥的产生A.5密钥分散计算简称Diversify,是指将一个双长度的密钥MK,对分散数据进行处理,推导出一个双长度的密钥——将分散数据的最右16个数字作为输入数据;——将MK作为加密密钥;——将分散数据的最右16个数字求反,作为输入数据;——将MK作为加密密钥;A.6国密算法(规范性附录)B.1定义和范围值b7:0——密文方式导出,1——明文方式导出b6:0——分散方式导出,1——直接方式导出b5--b0:保护密钥(类型为2E)的标识b6--b0:导出密钥的标识数据长度数据B.3命令报文数据域命令报文数据域可能包括的数据有:参数+8字节MAC初始值+8字节 参数的格式为TLV格式,其中T的长度为4字节,L的长度为1字节,即V部分的长度,可以为0到8的值,V为L字节的后续数据(L为0时可以不存在)。例如,如果计划使用该命令导出的密钥装入PSAM卡,则参数的格式为84D4000003密钥用途(1字节)密钥标识(1字节)算法标识(1字节),这里的密钥用途、密钥版本以及算法标识指的是准备安装到PSAM卡上密钥的属性,而非PSAM当使用密文分散导出方式时,命令报文数据域包括以上所列的当使用密文直接导出方式时,命令报文数据域不包括8字节分散序列号数据元。当使用明文分散导出时,P1的最高位为1,其他位必须设置为0,数据域只包括8字节的分散序列导出密钥的密钥用途字节的低4位必须全为1(即密钥类型为0F),字节的高3位为000时,可以执行分散或直接导出,密钥用途字节的为高3位为001时,仅能执行分散导出,算法标识最高位为1使用该指令进行密钥导出时,使用到的保护密钥的类型TYPE=0E(Hex),保护密钥类型字节中的高三位000不分散,001一级分散;在PSAM母卡中,保护密钥的标识不能为04。保护序列号、分散序列号即保护密钥、导出密钥进行分散时DB43/T877.2—2014明文进行变换,变换的结果作为密钥写入EEPROM。举例:响应报文产生的过程如下:SK=Diversify(保护密钥,PID)[16字节]——分散算法明文分散导出的命令如下:响应报文包括以下数据:密文直接导出的命令如下:80F640001884响应报文产生的过程如下:使用条件不满足(额度文件错误/应用锁定)文件未找到不正确的INS参数P1、P2不正确没有找到密钥附录C(规范性附录)C.1银行统一管理C.1.1密钥系统的建立目标由发卡银行统一管理行业应用,发行湖南省金融IC卡、行业应用发卡SAM卡和行业应用交易PSAM卡。行业应用发卡SAM卡和行业应用交易PSAM卡部署到相应的终端,持卡人持有湖南省金融IC卡即可在行业终端进行发卡和交易操作。C.1.2密钥系统的主要功能发卡银行统一管理密钥系统的主要功能有以下几点:a)根据不同的行业应用分散不同的行业应用主密钥;d)密钥备份和恢复;e)实现安全审计。C.1.3密钥系统卡片处理流程第一步:由卡商进行用户卡的预个人化和个人化,写入金融支付应用数据和目录;第二步:由发卡银行进行创建行业应用系统环境下的文件、替换行业应用系密钥和装载应用维护密钥;第三步:由发卡银行创建行业应用文件目录、装载行业应用三级主控密钥和行业应用三级功能密钥;第四步:由发卡银行进行行业应用发卡SAM卡和行业应用交易PSAM卡的发卡和管理;第五步:由发卡银行将用户卡和SAM卡提供给行业合作方,完成用户卡的发卡。C.2银行与行业合作方联合管理模式C.2.1银行级密钥管理系统C.2.1.1密钥系统功能银行级密钥管理系统主要实现的功能有以下几点:a)根据不同的行业应用分散不同的行业应用主密钥;b)根据不同的行业应用分散不同的行业应用主控制密钥;c)行业应用系统环境的建立及其密钥替换和装载、行业应用目录的建立及行业应用三级主控密钥的装载;d)密钥备份和恢复;e)实现安全审计。C.2.1.2密钥系统卡片处理流程第三步:由发卡银行根据行业应用AID分散导出行业应用主密钥或者行业应用三级主控密钥。如果要导出行业应用三级主控密钥和行业主应用密钥。C.2.2行业级导入密钥管理系统C.2.2.1密钥系统功能a)导入发卡银行提供的行业应用三级主控密钥和行业应用主密钥。b)建立行业应用文件结构并替换和装载密钥。d)实现行业应用发卡的功能。C.2.2.2密钥系统卡片处理流程第一步:行业合作方导入发卡银行提供的行业应用三级主控密钥和行业应用主密钥;第二步:行业合作方根据行业应用三级主控密钥进行行业应用目录的权限认证;第三步:行业合作方建立行业应用文件结构并替换第四步:行业合作方发行行业应用发卡SAM卡和行业应用交易PSAM卡;第五步:行业应用使用发卡SAM卡完成行业应用目录的发卡。C.2.3行业级自建密钥管理系统C.2.3

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论