PBOC2.0中的密钥管理体系

PBOC2.0中的密钥管理体系要实现PBOC2.0中规定的脱机数据认证，需要建立起完善的非对称密钥管理体系。IC卡认证中心体系结构采用2级架构，即根CA和发卡行CA。认证体系总体架构如下图所示： 为了建立中国金融IC卡安全认证体系，必须首先建立根CA。根CA负责生成和管理根CA证书、签发发卡行CA证书，是中国金融IC卡证书体系的信任根，具有非常重要的地位。同时，发卡银行还必须建立发卡行CA。它是根CA的子CA，负责生成发卡行CA的公私钥对，向根CA申请并管理自己的证书。此外，发卡行CA与发卡系统交互，为持卡人签署静态应用数据以进行静态认证，或签发IC卡证书以进行动态认证，同时将自己的公钥证书也写入IC卡。为了建立PBOC2.0标准卡受理环境，收单行要负责建立终端管理系统，将IC卡根CA公钥分发到受理终端（POS/ATM），并对远程终端进行设备管理、状态监控及信息管理（包括程序、参数下载）。这样，在PBOC2.0标准卡支付系统中，IC卡存放IC卡证书（或静态数据）、根CA公钥标识、和发卡行证书；受理终端存放根CA证书、RID、和根CA公钥标识。在支付过程中，受理终端通过验证IC卡的应用数据或证书进行身份认证。