金融IC卡借记贷记应用根CA公钥认证规范 第1部分 管理规则

Q/CUP中国银联股份有限公司企业标准Q/CUP018.1—2006金融IC卡借记/贷记应用根CA公钥认证规范第1部分管理规则FinancialICCardDebit/CreditApplicationsRootCAPublicKeyAuthenticationSpecificationPart1:ManagementSpecification2006-12-15发布2006-12-15实施中国银联股份有限公司发布Q/CUP018.1—2006I目次前言.............................................................................II1范围................................................................................12规范性引用文件......................................................................13术语和定义..........................................................................14金融IC卡借记/贷记应用公钥认证体系....................................................24.1金融IC卡借记/贷记应用公钥认证体系概述..............................................24.2根CA公钥认证服务.................................................................34.3生产型公钥证书和测试型公钥证书....................................................34.4根CA机构角色.....................................................................35成员机构的公钥认证服务注册及管理....................................................45.1公钥认证服务注册..................................................................45.2注册管理..........................................................................56根CA公钥证书的管理.................................................................66.1根CA测试型公钥证书的申请、传递、验证..............................................66.2根CA生产型公钥证书的申请、传递、验证..............................................66.3收单机构根CA生产型公钥证书的放置、移出............................................77发卡机构公钥证书的管理..............................................................87.1发卡机构测试型公钥证书申请、传递、验证............................................87.2发卡机构生产型公钥证书的申请、签发、传递、验证的业务流程..........................97.3发卡机构公钥信息变更管理.........................................................118根CA公钥认证体系安全策略的安全规则.................................................128.1一般规则.........................................................................128.2根CA规则........................................................................138.3发卡机构规则.....................................................................158.4收单机构规则.....................................................................15附录A（规范性附录）金融IC卡借记/贷记应用根CA安全策略的基本条款.................16附录B（规范性附录）金融IC卡借记/贷记应用公钥认证服务注册表......................20附录C（规范性附录）成员机构根CA公钥证书申请表................................23附录D（规范性附录）发卡机构公钥证书申请表.....................................24Q/CUP018.1—2006II前言本标准对金融IC卡借记/贷记应用根CA公钥认证系统及服务在管理流程及安全策略方面的要求做了规定。本标准由中国银联股份有限公司提出。本标准由中国银联股份有限公司制定。本标准起草单位：中国银联股份有限公司。本标准主要起草人：刘先、徐晋耀、徐志忠、杨辅祥、李春欢、柏建宁、隆永红、赵宇、黄发国、姜红。Q/CUP018.1—2006金融IC卡借记/贷记应用根CA公钥认证规范第1部分管理规则1范围本部分对金融IC卡借记/贷记应用根CA公钥认证管理规则及安全策略方面的要求做了规定。本标准适用于金融IC卡借记/贷记应用根CA公钥认证的服务提供机构和服务接受机构，包括认证管理机构、接受认证服务的中国银联成员机构以及中国银联成员机构授权的代理机构。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。JR/T0025-2005中国金融集成电路（IC）卡规范JR/T0003-2001银行卡联网联合安全规范《银联卡业务运作规章》第七卷《IC卡业务规则》，2005年银联卡密钥安全管理规则，2004年8月3术语和定义3.1发卡机构标识代码BankIdentificationNumber；BIN用于标识发卡机构的代码。3.2EMVEMV是EUROPAY、MasterCard、VISA三个国际信用卡公司的首字母缩略词，这三个公司联合制定的IC卡借记/贷记应用标准，简称为EMV标准。3.3入网机构标识码institutionidentificationcode在银行卡网络上唯一地标识受理方、发卡方、交换中心等机构的代码，通常用于ISO8583报文中的下列数据元：域32：AcquiringInstitutionIdentificationCode。域33：ForwardingInstitutionIdentificationCode。域99：SettlementInstitutionIdentificationCode。3.4成员机构（Memberorganisation）在本标准中指中国银联成员机构。3.5金融IC卡借记/贷记应用根CA(FinancialICCardDebit/CreditApplicationsRootCA)由中国人民银行授权建立的、由中国银联统一管理的服务于金融行业IC卡安全应用的根认证中心，以下简称“根CA”。实现该根认证中心功能的应用系统是“金融IC卡借记/贷记应用根CA系统”，以下简称“根CA系统”。1Q/CUP018.1—20063.6发卡机构(Issuer)指开展金融IC卡发卡业务的成员机构。3.7收单机构（Acquirer）指开展金融IC卡收单业务的成员机构。3.8主账号primaryaccountnumber；PAN标识发卡机构和持卡人信息的数字代码。它由发卡机构标识代码、个人账户标识和校验位组成，是银行卡金融交易的主要账号，在银行卡金融交易中等同于卡号。3.9RID,Registeredapplicationprovideridentifier已注册的应用提供者标识。3.10公钥密码算法(Publickeycryptographicalgorithm)《中国金融集成电路（IC）卡规范》第七部分第十二章规定的公钥密码算法。3.11哈希算法(Hashalgorithm)《中国金融集成电路（IC）卡规范》第七部分第十二章规定的哈希算法。3.12静态数据认证，Staticdataauthentication；SDA终端认证卡片中静态数据的签名，是脱机数据认证的一种。这种认证用于防止对卡片中关键个人化数据的篡改。3.13动态数据认证，Dynamicdataauthentication；DDA芯片卡对特定交易数据元进行签名，终端验证该签名，是脱机数据认证的一种。这种认证用于防止卡片的非法复制、伪造。3.14CDA,Combineddynamicdataauthentication/applicationcryptogramgeneration复合动态数据认证/应用密文生成，是脱机动态数据认证的一种。这种认证用于防止卡片的非法复制、伪造，同时生成交易密文。4金融IC卡借记/贷记应用公钥认证体系4.1金融IC卡借记/贷记应用公钥认证体系概述金融IC卡借记/贷记应用公钥认证体系符合《中国金融集成电路（IC）卡规范》，为所有遵循该标准的金融IC卡借记/贷记提供公钥认证服务，也同时为其它金融IC卡数据认证提供途径（如成员机构终端提供的对外卡数据认证）。按照《中国金融集成电路（IC）卡规范》，金融IC卡借记/贷记应用公钥认证体系包括根CA、各发卡机构CA及其发行的银联标准金融IC卡、收单机构及其ATM和/或POS。金融IC卡借记/贷记应用公钥认证系统使用公钥密码技术进行金融IC卡静态数据、动态数据或复合数据的生成及认证，以提供高度安全的金融IC卡交易认证服务。——根CA负责生成根CA公私钥对并管理根CA的公私钥信息、签发发卡机构CA公钥证书，将根CA公钥信息安全传递给收单机构，是金融IC卡借记/贷记应用公钥认证体系的信任顶点。——各发卡机构CA是根CA的子CA，负责生成发卡机构CA的公私钥对，向根CA申请并管理自己2Q/CUP018.1—2006的公钥证书。此外，发卡机构CA与发卡系统交互，为IC卡签署静态应用数据以便进行静态数据认证（SDA），或生成IC卡公私钥对、签发IC卡公钥证书以便进行动态数据认证（DDA），同时将自己的公钥证书、IC卡公钥证书、IC卡私钥、RID、根CA公钥索引也写入IC卡。——收单机构负责建立终端管理系统，将根CA公钥分发到受理终端（POS/ATM），并对远程终端进行设备管理、状态监控及信息管理（包括程序、参数下载）。在《中国金融集成电路（IC）卡规范》标准卡支付系统中，IC卡存放IC卡公钥证书及IC卡私钥（或静态数据）和发卡机构公钥证书、RID以及根CA公钥索引；受理终端存放根CA公钥、公钥索引和相关的RID。在支付过程中，受理终端通过验证IC卡的应用数据的签名进行IC卡数据认证，其过程是：首先读取IC卡内的RID、IC卡公钥证书、发卡机构公钥证书和根CA公钥索引，通过RID和根C