城市公共交通IC卡业务及技术应用规范（征求意见稿） 第7部分 安全规范

XXXXXXXXXXXX 发布2xxx-xx-x实施2xxx-xx-xx发布城市公共交通IC卡业务及技术应用规范（征求意见稿）第7部分：安全规范 The Application Standards of business and technology of City Public Transportation IC Card Part VII：Safety specificationJT/T xxxxxxxxxJT中华人民共和国XX标准ICS xxxxxxxX xx备案号：JT/T xxxxxxxxx目 次目 录I前 言III引 言V1 范围12 规范性引用文件13 术语和定义14 符号和缩略语55 脱机数据认证75.1 密钥和证书75.2 静态数据认证（SDA）85.3 动态数据认证（DDA）146 应用密文和发卡机构认证296.1 应用密文产生296.2 发卡机构认证306.3 密钥管理307 行业信息的保护317.1 密钥说明317.2 密钥的生成和管理317.3 安全机制318 安全报文318.1 报文格式318.2 报文完整性及其验证318.3 报文私密性328.4 密钥管理329 卡片安全329.1 共存应用329.2 密钥的独立性329.3 卡片内部安全体系329.4 卡片中密钥的种类3510 终端安全3610.1 终端数据安全性要求3610.2 终端设备安全性要求3710.3 终端密钥管理要求3911 密钥管理体系4011.1 认证中心公钥管理4111.2 发卡机构公钥管理4511.3 交通运输部、省级交通厅及发卡机构对称密钥管理4512 个人化安全4712.1 安全综述4712.2 初始化安全4712.3 密钥定义4812.4 管理要求4912.5 安全模块5412.6 风险审计5513 安全机制5513.1 对称加密机制5513.2 非对称加密机制5914 认可的算法6014.1 对称加密算法6014.2 非对称加密算法6014.3 哈希算法61参考文献62前 言城市公共交通IC卡业务及技术应用规范分为8个部分： 第1部分：总则； 第2部分：公共交通IC卡技术要求； 第3部分：公共交通IC卡读写终端技术要求； 第4部分：业务规则规范； 第5部分：信息技术接口规范； 第6部分：通讯报文接口规范； 第7部分：安全规范（密钥系统）； 第8部分：检测规范。本部分为规范的第7部分。本部分按照GB/T 1.1-2009给出的规则起草。本部分由中华人民共和国交通运输部提出。本部分主要起草单位：。本部分主要起草人：。本部分为首次发布。引 言本部分为城市公共交通IC卡业务及技术应用规范的第7部分，与规范的第1部分、第2部分、第3部分、第4部分、第5部分、第6部分和第8部分一起构成城市公共交通IC卡业务及技术应用规范。VJT/T xxxxxxxxx城市公共交通IC卡业务及技术应用规范第7部分：安全规范（密钥系统）1 范围本部分描述了城市公共交通IC卡安全功能方面的要求以及为实现这些安全功能所涉及的安全机制和获准使用的加密算法，包括：IC卡脱机数据认证方法，IC卡和发卡机构之间的通讯安全，以及相关的对称及非对称密钥的管理，具体内容如下：脱机数据认证；应用密文和发卡机构认证；行业信息的保护；安全报文；卡片安全；终端安全；对称和非对称密钥管理体系。个人化安全；此外，还包括为实现这些安全功能所涉及的安全机制和获准使用的加密算法的规范。本部分适用于由机构发行或受理的城市公共交通IC卡与安全有关的设备、卡片、终端机具及管理等。其使用对象主要是与城市公共交通IC卡应用相关的卡片、终端及加密设备等的设计、制造、管理、发行以及应用系统的研制、开发、集成和维护等相关部门（单位）。2 规范性引用文件下列文件中的条款通过本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。GB/T 16649.5 识别卡 带触点的集成电路卡 第5部分：应用标识符的编号系统和注册程序（GB/T 16649.52002，ISO/IEC 7816-5:1994，NEQ）GB/T 20547.2 银行业务 安全加密设备（零售） 第2部分：金融交易中设备安全符合性检测清单（GB/T 20547.22006，ISO 13491-2:2005，IDT）ISO/IEC 7816-4：2005 识别卡 带触点的集成电路卡 第4部分：行业间交换用命令ISO 8731-1 银行业务 批准的报文鉴别算法 第1部分：DEAISO 8732 信息处理 64位块加密算法的运算方法ISO/IEC 9796-2 信息技术 安全技术 带报文恢复的数字签名方案 第2部分：基于整数因子分解的机制ISO/IEC 9797-1 信息技术 安全技术 报文鉴别码（MACs） 第1部分： 块密码机制ISO/IEC 10116 信息技术 安全技术 n位块密码算法的操作方式ISO 13491-1 银行业务 安全加密设备（零售） 第1部分：概念、要求和评估方法3 术语和定义下列术语和定义适用本部分。3.1提前回收 accelerated revocation在已公布的密钥失效日期到期前回收密钥。3.2应用 application卡片和终端之间的应用协议和相关的数据集。3.3非对称加密技术 asymmetric cryptographic technique采用两种相关变换的加密技术：公开变换（由公钥定义）和私有变换（由私钥定义）。这两种变换存在在获得公开变换的情况下是不能够通过计算得出私有变换的特性。3.4认证 authentication确认一个实体所宣称的身份的措施。3.5字节 byte 由指明的8位数据b1到b8组成，从最高有效位（MSB，b8）到最低有效位（LSB，b1）。3.6卡片 card 支付系统定义的支付卡片。3.7证书 certificate由发行证书的认证中心使用其私钥对实体的公钥、身份信息以及其它相关信息进行签名，形成的不可伪造的数据。3.8认证中心 certification authority证明公钥和其它相关信息同其拥有者相关联的可信的第三方机构。3.9命令 command终端向IC卡发出的一条报文，该报文启动一个操作或请求一个响应。3.10泄露 compromise机密或安全被破坏。3.11串联 concatenation通过把第二个元素的字节添加到第一个元素的结尾将两个元素连接起来。每个元素中的字节在结果串中的顺序和原来从IC卡发到终端时的顺序相同，即高位字节在前。在每个字节中位按由高到低的顺序排列。3.12密文 cryptogram加密运算的结果。3.13加密算法 cryptographic algorithm为了隐藏或显现数据信息内容的变换算法。3.14密钥有效期 cryptoperiod某个特定的密钥被授权可以使用的时间段，或者某个密钥在给定的系统中有效的时间段。3.15解密 decipherment对应加密过程的逆操作。3.16数字签名 digital signature对数据的一种非对称加密变换。该变换可以使数据接收方确认数据的来源和完整性，保护数据发送方发出和接收方收到的数据不被第三方篡改，也保护数据发送方发出的数据不被接收方篡改。3.17加密 encipherment基于某种加密算法对数据做可逆的变换从而生成密文的过程。3.18=交易 transaction由于持卡者和商户之间的商品或服务交换行为而在持卡者、发卡机构、商户和收单机构之间产生的信息交换、资金清算和结算行为。3.19哈希函数 hash function将位串映射为定长位串的函数，它满足以下两个条件：对于一个给定的输出，不可能推导出与之相对应的输入数据；对于一个给定的输入，不可能通过计算得到具有相同的输出的另一个输入。另外，如果要求哈希函数具备防冲突功能，则还应满足以下条件：不可能通过计算找到两个不同的输入具有相同的输出。3.20哈希结果 hash result哈希函数的输出位串。3.21集成电路 integrated circuit(s)具有处理和/或存储功能的电子器件。3.22集成电路卡 integrated circuit(s) card内部封装一个或多个集成电路用于执行处理和存储功能的卡片。3.23接口设备 interface device终端上插入IC卡的部分，包括其中的机械和电气部分。3.24密钥 key控制加密转换操作的符号序列。3.25密钥失效日期 key expiry date用特定密钥产生的签名不再有效的最后期限。用此密钥签名的发卡机构证书必须在此日期或此日期之前失效。在此日期后，此密钥可以从终端删除。3.26密钥引入 key introduction产生、分发和开始使用密钥对的过程。3.27密钥生命周期 key life cycle密钥管理的所有阶段，包括计划、生成、回收、销毁和存档。3.28密钥更换 key replacement回收一个密钥，同时引入另外一个密钥来代替它。3.29密钥回收 key revocation回收使用中的密钥以及处理其使用后的遗留问题的密钥管理过程。密钥回收可以按计划回收或提前回收。3.30密钥回收日期 key revocation date在此日期后，任何仍在使用的合法卡不会包含用此密钥签名的证书。因此，密钥可以从终端上被删除。对按计划的密钥回收，密钥回收日期应等同于密钥失效日期。3.31逻辑泄露 logical compromise由于密码分析技术和/或计算能力的提高，对密钥造成的泄露。3.32报文 message由终端向卡或卡向终端发出的，不含传输控制字符的字节串。3.33报文鉴别码 message authentication code对交易数据及其相关参数进行运算后产生的代码，主要用于验证报文的完整性。3.34填充 padding向数据串某一端添加附加位。3.35密码键盘 PIN pad用于输入个人识别码的一组数字和命令按键。3.36明文 plaintext未被加密的信息。3.37物理泄露 physical compromise由于没有安全的保护，或者硬件安全模块的被盗或被未经授权的人存取等事实对密钥造成的泄露。3.38计划回收 planned revocation按照公布的密钥失效日期进行的密钥回收。3.39潜在泄露 potential compromise密码分析技术和/或计算能力的提高达到了可能造成某个特定长度的密钥的泄露的情况。3.40私钥 private key一个实体的非对称密钥对中含有的供实体自身使用的密钥，在数字签名方案中，私钥用于签名。3.41公钥 public key在一个实体使用的非对称密钥对中可以公开的密钥。在数字签名方案中，公钥用于验证。3.42公钥证书 public key certificate由认证中心签名的不可伪造的某个实体的公钥信息。3.43保密密钥 secret key对称加密技术中仅供指定实体所用的密钥。3.44响应 responseIC卡处理完成收到的命令报文后，返回给终端的报文。3.45对称加密技术 symmetric cryptographic technique发送方和接收方使用相同保密密钥进行数据变换的加密技术。在不掌握保密密钥的情况下，不可能推导出发送方或接收方的数据变换。3.46终端 terminal在交易点安装、用于与IC卡配合共同完成交易的设备。它应包括接口设备，也可包括其它的部件和接口（如与主机的通讯）。4 符号和缩略语下列缩略语和符号适用于本部分。AAC应用认证密文（Application Authentication Cryptogram）AC应用密文（Application Cryptogram）ADF应用定义文件（Application Definition File）AFL应用文件定位器（Application File Locator）AID应用标识符（Application Identifier）AIP应用交互特征（Application Interchange Profile）APDU应用协议数据单元（Application Protocol Data Unit）ARC授权响应码（Authorization Response Code）ARPC授权响应密文（Authorization Response Cryptogram）ARQC授权请求密文（Authorization Request Cryptogram）ATC应用交易计数器（Application Transaction Counter）b二进制（Binary）C：=(A|B)将m位数字B和n位数字A进行链接，定义为：C=2mA+BCBC密码块链接（Cipher Block Chaining）CDOL卡片风险管理数据对象列表（Card Rish Management Data Object List）CLA命令报文的类别字节（Class Byte of the Command Message）cn压缩数字型（Compressed Numeric）DDA动态数据认证（Dynamic Data Authentication）DDOL动态数据认证数据对象列表（Dynamic Data Authentication Data Object List）DES数据加密标准（Data Encryption Standard）ECB电子密码本（Electronic Code Book）EF基本文件（Elementary File）FIPS联邦信息处理标准（Federal Information Processing Standard）H:=HashMSG用160位的HASH函数对任意长度的报文MSG进行HASH运算。IC集成电路（Integrated Circuit）ICC集成电路卡（Integrated Circuit Card）IEC国际电工委员会（International Electrotechnical Commission）IFD接口设备（Interface Device）INS命令报文的指令字节（Instruction Byte of Command Message）KS过程密钥（Session Key）LDDIC卡动态数据长度（Length of the ICC Dynamic Data）MAC报文鉴别码（Message Authentication Code）MMYY月、年（Month,Year）n数字型（Numeric）NCA认证中心公钥模长（Length of the Certification Authority Public Key Modulus）NI发卡机构公钥模长（Length of the Issuer Public Key Modulus）NICIC卡公钥模长（Length of the ICC Public Key Modulus）P1参数1（Parameter 1）P2参数2（Parameter 2）PAN主账号（Primary Account Number）PCA认证中心公钥（Certification Authority Public Key）PI发卡机构公钥（Issuer Public Key）PICIC卡公钥（ICC Public Key）PIN个人识别码（Personal Identification Number）RID注册的应用提供商标识（Registered Application Provider Identifier）RSARivest、Sharmir和Adleman提出的一种非对称密钥算法SCA认证中心私钥（Certification Authority Private Key）SDA静态数据认证（Static Data Authentication）SFI短文件标识符（Short File Identifier）SHA安全哈希算法（Secure Hash Algorithm）SI发卡机构私钥（Issuer Private Key）SICIC卡私钥（ICC Private Key）TC交易证书（Transaction Certificate）TLV标签、长度、值（Tag Length Value）X：= Recover(PK)Y用公钥PK，通过非对称可逆算法，对数据块Y进行恢复X:=ALG-1(K)Y用密钥K，通过64位或128位分组加密方法，对64位或128位数据块Y进行解密Y:=ALG(K)X用密钥K，通过64位或128位分组加密方法，对64位或128位数据块X进行加密Y：=Sign(SK)X用私钥SK，通过非对称可逆算法，对数据块X进行签名A=B数值A等于数值BAB mod n整数A与B对于模n同余，即存在一个整数d，使得(AB)=dnA mod nA整除n的余数，即：唯一的整数r，0r（NCA-36），那么发卡机构公钥模被分成两部分，即一部分包含公钥模中高位的NCA-36个字节（发卡机构公钥中最左边的数字）；另一部分包含剩下的低位NI-（NCA-36）个字节（发卡机构公钥的余项）。发卡机构公钥指数必须等于3或216+1。所有静态数据认证需要的信息在表5中详细说明，并存放在IC卡中。除了RID可以从AID中获得外，其它信息可以通过读取记录（READ RECORD）命令得到。如果缺少这些数据中的任意一项，静态数据认证即告失败。表3 由认证中心签名的发卡机构公钥数据（即哈希算法的输入）字段名长度描述格式证书格式1十六进制，值为02b发卡机构标识4主账号最左面的3-8个数字。（在右边补上十六进制数F）cn8证书失效日期2MMYY，在此日期后，这张证书无效n4证书序列号3由认证中心分配给这张证书的唯一的二进制数b哈希算法标识1标识用于在数字签名方案中产生哈希结果的哈希算法b发卡机构公钥算法标识1标识使用在发卡机构公钥上的数字签名算法b发卡机构公钥长度1标识发卡机构公钥模的字节长度b发卡机构公钥指数长度1标识发卡机构公钥指数的字节长度b发卡机构公钥数位或发卡机构公钥的最左边部分NCA36如果NINCA36，这个字段包含了在右边补上了NCA36NI个值为BB的字节的整个发卡机构公钥。如果NINCA-36，这个字段包含了发卡机构公钥最高位的NCA36个字节b发卡机构公钥余项0或NINCA+36这个字段只有在NINCA36时才出现。它包含了发卡机构公钥最低位的NINCA+36个字节b发卡机构公钥指数1或3发卡机构公钥指数等于3或216+1b表4 由发卡机构签名的静态应用数据（即哈希算法的输入）字段名长度描述格式签名数据格式1十六进制，值为03b哈希算法标识1标识用于在数字签名方案中产生哈希结果的哈希算法b数据验证代码2由发卡机构分配的代码b填充字节NI26填充字节由NI26个值为BB的字节组成3b需认证的静态数据变长在表6中指明的需认证的静态数据-认证过程的输入由被AFL标识的记录组成，其后跟有AIP如果AIP被可选的静态数据认证标签列表（标签“9F4A”）标识。如果静态数据认证标签列表存在，则它必须仅包含标识AIP用的标签“82”。表5 静态数据认证用到的数据对象标签长度值格式-5注册的应用提供商标识b8F1认证中心公钥索引b90NCA发卡机构公钥证书b92NINCA+36发卡机构公钥的余项（如果有）b9F321或3发卡机构公钥指数b93NI签名的静态应用数据b-变长在表6指明的需认证的静态数据-表6 SDA中使用的卡片数据数据元描述CA公钥索引（PKI）和发卡行公钥证书一起由CA提供。指明了终端里用于认证发卡行公钥证书的CA公钥发卡行公钥证书证书中包括了使用CA私钥签名的发卡行公钥发卡行公钥指数用于RSA算法中恢复签名静态应用数据。值为3或65537发卡行公钥余项发卡行公钥没有包含在发卡行公钥证书中的部分（如果有）AID中的注册应用标识部分（RID）和CA公钥索引一起用来标识终端中的公钥签名的静态应用数据（SAD）一个用来验证卡片静态数据的签名。在卡片个人化阶段，使用发卡行私钥签名的SAD保存在卡片中。推荐下列数据用来生成签名：l 应用交互特征AIP（如果支持DDA）l 应用生效日期l 应用失效日期l 应用主账号l 应用主账号序列号l 应用用途控制AUCl 持卡人验证方法（CVM）列表l IAC缺省l IAC拒绝l IAC联机l 发卡行国家代码（“5F28”）如果应用中签名的数据不是唯一，卡片应支持多个SAD。举例来说，卡片给国内和国际交易分别设置CVM列表，而CVM列表是签名数据如果发行后的卡片有修改签名数据的能力，则卡片应支持修改SAD的能力SDA标签列表如果AIP也要签名，SDA标签列表包括AIP的标签，如果支持DDA则建议将AIP做签名。除了AIP不能有其它数据标签表7中是和SDA相关的卡片内部数据。表7 和SDA相关的卡片数据数据元描述卡片验证结果（CVR）包括一个给后续交易参考的指示位，指示位在卡片行为分析时设置表明上次脱机拒绝交易的SDA失败SDA失败指示位如果SDA失败并且交易脱机拒绝，在卡片行为分析过程中设置此位。根据发卡行认证的条件，在下一次联机交易的交易结束步骤中，此指示位复位5.2.2 认证中心公钥获取终端读取认证中心公钥索引。使用这个索引和RID，终端必须确认并取得存放在终端的认证中心公钥的模、指数和与密钥相关的信息，以及相应的将使用的算法。如果终端没有存储与这个索引及RID相关联的密钥，那么静态数据认证失败。5.2.3 发卡机构公钥获取1) 如果发卡机构公钥证书的长度不同于在前面的过程中获得的认证中心公钥模长度，那么静态数据认证失败。2) 为了获得在表8中指明的恢复数据，使用认证中心公钥和相应的算法按照13.2.1条中指明的恢复函数恢复发卡机构公钥证书。如果恢复数据的结尾不等于“BC”，那么静态数据认证失败。表8 从发卡机构公钥证书恢复数据的格式字段名长度描述格式恢复数据头1十六进制，值为6Ab证书格式1十六进制，值为02b发卡机构标识4主账号最左面的3-8个数字（在右边补上十六进制数F）cn8证书失效日期2MMYY，在此日期后，这张证书无效n4证书序列号3由认证中心分配给这张证书的，唯一的二进制数b哈希算法标识1标识用于在数字签名方案中产生哈希结果的哈希算法b发卡机构公钥算法标识1标识使用在发卡机构公钥上的数字签名算法b发卡机构公钥长度1标识发卡机构公钥的模的字节长度b发卡机构公钥指数长度1标识发卡机构公钥指数的字节长度b发卡机构公钥或发卡机构公钥的最左边字节NCA-36如果NINCA36，这个字段包含了在右边补上了NCA36NI个值为BB的字节的整个发卡机构公钥。如果NINCA-36，这个字段包含了发卡机构公钥最高位的NCA36个字节b哈希结果20发卡机构公钥以及相关信息的哈希值b恢复数据结尾1十六进制，值为BCb3) 检查恢复数据头。如果它不是“6A”，那么静态数据认证失败。4) 检查证书格式。如果它不是“02”，那么静态数据认证失败。5) 将表8中的第2个到第10个数据元（即从证书格式直到发卡机构公钥或发卡机构公钥的最左边字节）从左到右连接，再把发卡机构公钥的余项加在后面（如果有），最后是发卡机构公钥指数。6) 使用指定的哈希算法（从哈希算法标识得到）对上一步的连接结果计算得到哈希结果。7) 把上一步计算得到的哈希结果和恢复出的哈希结果相比较。如果它们不一样，那么静态数据认证失败。8) 检验发卡机构标识是否匹配主账号最左面的3-8个数字（允许发卡机构标识可能在其后补“F”）。如果不一致，那么静态数据认证失败。9) 检验证书失效日期中指定月的最后日期是否等于或迟于今天的日期。如果证书失效日期在今天的日期之前，那么证书已过期，静态数据认证失败。10) 检验连接起来的RID、认证中心公钥索引、证书序列号是否有效。如果无效，那么静态数据认证失败。11) 如果发卡机构公钥算法标识无法识别，那么静态数据认证失败。12) 如果以上所有的检验都通过，连接发卡机构公钥的最左边字节和发卡机构公钥的余项（如果有）以得到发卡机构公钥模，以继续下一步签名的静态应用数据的检验。5.2.4 签名的静态应用数据验证1) 如果签名静态应用数据的长度不等于发卡机构公钥模的长度，那么静态数据认证失败。2) 为了获得在表9中指明的恢复数据，使用发卡机构公钥和相应的算法并将13.2.1条中指明的恢复函数应用到签名的静态应用数据上。如果恢复数据的结尾不等于“BC”，那么静态数据认证失败。表9 从签名的静态应用数据恢复数据的格式字段名长度描述格式恢复数据头1十六进制，值为6Ab签名数据格式1十六进制，值为03b哈希算法标识1标识用于在数字签名方案中产生哈希结果的哈希算法b数据验证代码2由发卡机构分配的代码b填充字节NI26填充字节由NI26个值为BB的字节组成b哈希结果20需认证的静态应用数据的哈希值b恢复数据结尾1十六进制，值为BCb3) 检查恢复数据头。如果它不是“6A”，那么静态数据认证失败。4) 检查签名数据格式。如果它不是“03”，那么静态数据认证失败。5) 将表9中的第2个到第5个数据元（即从签名数据格式直到填充字节）从左到右连接，再把表6中指明的需认证的静态数据加在后面。如果静态数据认证标签列表存在，并且其包含非“82”的标签，那么静态数据认证失败。6) 把指定的哈希算法（从哈希算法标识得到）应用到上一步的连接结果从而得到哈希结果。7) 把上一步计算得到的哈希结果和恢复出的哈希结果相比较。如果它们不一样，那么静态数据认证失败。8) 如果以上所有的步骤都成功，那么静态数据认证成功。在表9中的恢复得到的数据验证代码应被存放在标签“9F45”中。5.3 动态数据认证（DDA）DDA的目的是确认存放在IC卡中和由IC卡生成的关键数据以及从终端收到的数据的合法性。DDA除了执行同SDA类似的静态数据认证过程，确保IC卡中的发卡机构数据在个人化以后没有被非法篡改，还能防止任何对这样的卡片进行伪造的可能性。动态数据认证有以下可选的两种方式：标准的动态数据认证，这种方式在卡片行为分析前执行。在这种方式下，IC卡根据由IC卡动态数据所标识的存放在IC卡中的或由IC卡生成的数据以及由动态数据认证数据对象列表所标识的从终端收到的数据生成一个数字签名；复合动态数据认证/应用密文生成，这种方式在GENERATE AC命令发出后执行。在交易证书或授权请求密文的情况下，IC卡根据由IC卡动态数据所标识的存放在IC卡中的或由IC卡生成的数据得到一个数字签名，这些数据包括交易证书或授权请求密文，以及由卡片风险管理数据对象列表（对第一条GENERATE AC命令是CDOL1，对第二条GENERATE AC命令是CDOL2）标识的由终端生成的不可预知数AIP指明IC卡支持的选项。支持动态数据认证的IC卡必须包含下列数据元：l 认证中心公钥索引：该单字节数据元包含一个二进制数字，指明终端应使用其保存的相应的认证中心公钥中的哪一个来验证IC卡；l 发卡机构公钥证书：该变长数据元由相应的认证中心提供给发卡机构。终端验证这个数据元时，按5.3.3条描述的过程认证发卡机构公钥和其它的数据；l IC卡公钥证书：该变长数据元由发卡机构提供给IC卡。终端验证这个数据元时，按5.3.4条描述的过程认证IC卡公钥和其它的数据；l 发卡机构公钥的余项：一个变长数据元。5.3.1条有进一步的解释；l 发卡机构公钥指数：一个由发卡机构提供的变长数据元。5.3.1条有进一步的解释；l IC卡公钥的余项：一个变长数据元。5.3.1条有进一步的解释；l IC卡公钥指数：一个由发卡机构提供的变长数据元。5.3.1条有进一步的解释；l IC卡私钥：一个存放在IC卡内部的变长数据元，用来按5.3.5条和5.3.6条描述的过程生成签名的动态应用数据。支持动态数据认证的IC卡必须生成下列数据元：签名的动态应用数据：一个由IC卡使用同IC卡公钥证书所认证的IC卡公钥相对应的IC卡私钥生成的变长数据元。它是一个数字签名，包含了5.3.5条和5.3.6条描述的存放在IC卡中的或由IC卡生成的以及终端中的关键数据元。为了支持动态数据认证，每一台终端必须能够为每个注册的应用提供商标识存储6个认证中心公钥，而且必须使同密钥相关的密钥信息能够同每一个密钥相关联（以使终端能在将来支持多种算法，允许从一个算法过渡到另一个，见10.3条）。在给定RID和IC卡提供的认证中心公钥索引的情况下，终端必须能够定位这样的公钥以及和公钥相关的信息。动态数据认证必须使用一种在13.2.1条和14.2条中指明的可逆的算法。5.3.1条包含了对动态数据认证过程中涉及到的密钥和证书的概述，5.3.2条到5.3.4条详细说明了认证过程中的起始步骤，即：l 由终端恢复认证中心公钥；l 由终端恢复发卡机构公钥；l 由终端恢复IC卡公钥。最后，5.3.5条和5.3.6条详细说明了两种情况下动态签名的生成和验证过程。图2 DDA证书和公钥体系结构5.3.1 密钥和证书为了支持动态数据认证，一张IC卡必须拥有它自己的唯一的公私钥对，公私钥对由一个私有的签名密钥和相对应的公开的验证密钥组成。IC卡公钥必须存放在IC卡上的公钥证书中。动态数据认证采用了一个三层的公钥证书方案。每一个IC卡公钥由它的发卡机构认证，而认证中心认证发卡机构公钥。这表明为了验证IC卡的签名，终端需要先通过验证两个证书来恢复和验证IC卡公钥，然后用这个公钥来验证IC卡的动态签名。按13.2.1条中指明的签名方案分别将认证中心私钥SCA应用到表10中指定的数据以及将发卡机构私钥SI应用到表11中指定的数据，以分别获得发卡机构公钥证书和IC卡公钥证书。认证中心的公钥有一个NCA个字节的公钥模。认证中心公钥指数必须等于3或216+1。发卡机构的公钥有一个为NI个字节（NINCA）的发卡机构公钥模。如果NI（NCA-36），那么发卡机构公钥模被分成两部分，即一部分包含模中最高的NCA-36个字节（发卡机构公钥中最左边的数字）；另一部分包含剩下的模中最低的NI-（NCA-36）个字节（发卡机构公钥余项）。发卡机构公钥指数必须等于3或216+1。IC卡的公钥有一个为NIC个字节（NICNINCA）的IC卡公钥模。如果NIC（NI-42），那么IC卡公钥模被分成两部分，即一部分包含模中最高的NI-42个字节（IC卡公钥中最左边的数字）；另一部分包含剩下的模中最低的NIC-（NI-42）个字节（IC卡公钥余项）。IC卡公钥指数必须等于3或216+1。如果卡片上的静态应用数据不是唯一的（比如卡片针对国际和国内交易使用不同的CVM），卡片必须支持多IC卡公钥证书，如果被签名的静态应用数据在卡片发出后可能会被修改，卡片必须支持IC卡公钥证书的更新。为了完成动态数据认证，终端必须首先恢复和验证IC卡公钥（这一步叫做IC卡公钥认证）。IC卡公钥认证需要的所有信息在表12中详细说明，并存放在IC卡中。除了RID可以从AID中获得外，其它信息可以通过读取记录（READ RECORD）命令得到。如果缺少这些数据中的任意一项，那么动态数据认证失败。表10 由认证中心签名的发卡机构公钥数据（即哈希算法的输入）字段名长度描述格式证书格式1十六进制，值为02b发卡机构识别号4主账号最左面的3-8个数字。（在右边补上十六进制数F）cn8证书失效日期2MMYY，在此日期后，这张证书无效n4证书序列号3由认证中心分配给这张证书的唯一的二进制数b哈希算法标识1标识用于在数字签名方案中产生哈希结果的哈希算法b发卡机构公钥算法标识1标识使用发卡机构公钥的数字签名算法b发卡机构公钥长度1标识发卡机构公钥模的字节长度b发卡机构公钥指数长度1标识发卡机构公钥指数的字节长度b发卡机构公钥或发卡机构公钥的最左边字节NCA36如果NINCA36，这个字段包含了在右边补上了NCA36NI个值为BB的字节的整个发卡机构公钥。如果NINCA-36，这个字段包含了发卡机构公钥最高位的NCA36个字节b发卡机构公钥的余项0或NINCA+36这个字段只有在NINCA36时才出现。它包含了发卡机构公钥最低位的NINCA+36个字节b发卡机构公钥指数1或3发卡机构公钥指数等于3或216+1b表11 由发卡机构签名的IC卡公钥数据（即哈希算法的输入）字段名长度描述格式证书格式1十六进制，值为04b应用主账号10主账号（在右边补上十六进制数F）cn20证书失效日期2MMYY，在此日期后，这张证书无效n4证书序列号3由发卡机构分配给这张证书的唯一的二进制数b哈希算法标识1标识用于在数字签名方案中产生哈希结果的哈希算法bIC卡公钥算法标识1标识使用在IC卡公钥上的数字签名算法bIC卡公钥长度1标识IC卡公钥的模的字节长度bIC卡公钥指数长度1标识IC卡公钥指数的字节长度bIC卡公钥或IC卡公钥的最左边字节NI42如果NICNI42，这个字段包含了在右边补上了NI42NIC个值为BB的字节的整个IC卡公钥。如果NICNI42，这个字段包含了IC卡公钥最高位的NI42个字节bIC卡公钥的余项0或NICNI+42这个字段只有在NICNI42时才出现。它包含了IC卡公钥最低位的NICNI+42个字节bIC卡公钥指数1或3IC卡公钥指数等于3或216+1b需认证的静态数据变长在表6中详细说明了需认证的静态数据b认证过程的输入由被AFL标识的记录组成，其后跟有AIP如果AIP被可选的静态数据认证标签列表（标签“9F4A”）标识。如果静态数据认证标签列表存在，它必须仅包含标识AIP用的标签“82”。表12 动态认证中的公钥认证所需的数据对象标签长度值格式-5注册的应用提供商标识b8F1认证中心公钥索引b90NCA发卡机构公钥证书b92NINCA+36发卡机构公钥的余项（如果存在）b9F321或3发卡机构公钥指数b9F46NIIC卡公钥证书b9F48NICNI+42IC卡公钥的余项（如果存在）b9F471或3IC卡公钥指数b