7-中国金融集成电路（IC）卡借记贷记规范－安全部分

### 中国金融集成电路（IC）卡借记贷记规范－安全部分 #### 一、概述 《中国金融集成电路（IC）卡规范》是针对中国金融行业IC卡应用的一套全面的技术规范，其中第7部分专门针对借记/贷记应用的安全规范进行详细规定。这部分内容旨在确保IC卡交易过程中的安全性、可靠性和一致性，覆盖了从卡片设计到交易处理的各个环节，并对安全机制和加密算法进行了详细的规定。 #### 二、主要内容 ##### 1. 脱机数据认证 - **密钥和证书**：明确了用于脱机数据认证过程中所涉及的各种密钥类型和证书的管理方式，包括公钥基础设施(PKI)的建立与维护。 - **静态数据认证(SDA)**：介绍了如何利用预置在卡片上的固定数据进行身份验证的过程和技术要求。 - **动态数据认证(DDA)**：详细阐述了通过动态生成的数据来验证交易信息的方法，提高了交易的安全性。 ##### 2. 应用密文和发卡行认证 - **应用密文产生**：描述了如何生成和使用应用密文来保护敏感数据的安全传输。 - **发卡行认证**：解释了发卡行如何确认卡片的真实性和合法性，确保交易双方的身份可信。 - **密钥管理**：规定了密钥的生命周期管理，包括生成、分发、存储、更新和撤销等环节。 ##### 3. 安全报文 - **报文格式**：定义了安全报文中各个字段的结构和内容，确保信息的完整性和准确性。 - **报文完整性及其验证**：提出了确保报文不被篡改的技术手段，如数字签名等。 - **报文私密性**：通过加密技术保障报文内容不被未经授权的人获取。 ##### 4. 卡片安全 - **共存应用**：规定了多应用卡片中各应用之间如何隔离以防止相互干扰。 - **密钥的独立性**：强调了不同应用使用独立密钥的重要性，避免密钥泄漏带来的风险。 - **卡片内部安全体系**：构建了卡片内部的安全框架，包括硬件防护、软件防护等方面。 - **卡片中密钥的种类**：列举了卡片内部可能使用的各种密钥类型及其用途。 ##### 5. 终端安全 - **终端数据安全性要求**：规定了终端设备在处理敏感数据时必须遵循的安全标准。 - **终端设备安全性要求**：明确了终端设备本身应具备的安全特性，如防篡改能力等。 - **终端密钥管理要求**：提出了终端设备中密钥管理的具体要求。 ##### 6. 密钥管理体系 - **认证中心公钥管理**：描述了认证中心如何管理和分发公钥证书。 - **发卡行公钥管理**：规定了发卡行在管理公钥方面的具体流程。 - **发卡行对称密钥管理**：说明了发卡行如何有效地管理和使用对称密钥。 ##### 7. 安全机制 - **对称加密机制**：介绍了几种常见的对称加密算法，如DES、3DES等。 - **非对称加密机制**：探讨了基于公钥加密原理的安全技术，如RSA、ECC等。 ##### 8. 认可的算法 - **对称加密算法**：列出了认可的对称加密算法列表。 - **非对称加密算法**：给出了认可的非对称加密算法列表。 - **哈希算法**：提供了认可的哈希算法列表，用于数据完整性校验。 #### 三、适用范围 该规范适用于所有涉及金融借记/贷记IC卡的应用场景，包括但不限于： - 银行发卡和受理机构 - IC卡的设计、制造企业 - 终端设备制造商 - 加密设备供应商 - 系统集成商和服务提供商 《中国金融集成电路（IC）卡规范》第7部分通过对借记/贷记应用的安全要求进行细致的规定，为金融行业的IC卡应用提供了坚实的安全基础和技术支撑。这一系列规范不仅有助于提高整个金融交易系统的安全性，也为消费者提供更加安全可靠的金融服务。