金融IC卡安全体系架构与算法介绍

金融IC卡安全体系介绍 金融IC卡安全体系是指金融机构使用IC卡技术来进行金融交易和存储数据的安全体系。该体系主要包括两个部分：一是借记/贷记应用安全体系，二是电子钱包/存折应用安全体系。 一、常用算法介绍 金融IC卡安全体系中使用了多种算法来确保数据的安全。这些算法可以分为三类：对称密钥算法、非对称密钥算法和散列算法。 对称密钥算法：DES、SSF33 对称密钥算法是指使用同一个密钥来加密和解密数据的算法。在金融IC卡安全体系中，DES和SSF33是两种常用的对称密钥算法。 非对称密钥算法：RSA、ECC 非对称密钥算法是指使用一对不同的密钥来加密和解密数据的算法。在金融IC卡安全体系中，RSA和ECC是两种常用的非对称密钥算法。 散列算法：MD5、SHA-1 散列算法是指将数据转换为固定长度的字符串的算法。在金融IC卡安全体系中，MD5和SHA-1是两种常用的散列算法。 PBOC规范批准使用的算法： 根据PBOC的规范，金融IC卡安全体系中可以使用的算法包括DES、SSF33、RSA、SHA-1等。 二、借记/贷记应用安全体系介绍 借记/贷记应用安全体系是指使用IC卡来进行借记/贷记交易的安全体系。在这个体系中，使用非对称密钥算法来确保数据的安全。 借记/贷记应用在脱机数据认证中采用非对称密钥算法 在借记/贷记应用中，使用非对称密钥算法来进行脱机数据认证。该算法可以确保数据的安全和完整性。 借记/贷记应用在联机数据认证中采用对称密钥算法 在借记/贷记应用中，使用对称密钥算法来进行联机数据认证。该算法可以确保数据的安全和完整性。 非对称密钥体系 非对称密钥体系是指使用一对不同的密钥来加密和解密数据的体系。在借记/贷记应用中，非对称密钥体系主要用于脱机数据认证部分。 脱机数据认证 脱机数据认证是指在脱机环境中对数据进行认证的过程。在借记/贷记应用中，脱机数据认证可以分为静态数据认证和动态数据认证两种。 静态数据认证（SDA） 静态数据认证是指使用基于公钥技术的数字签名方案来确认存放在IC卡中的关键的静态数据的合法性和完整性。其目的是确认数据的合法性和完整性，并可以检测到未经授权的改动。 静态数据认证密钥关系图 静态数据认证流程图 在静态数据认证过程中，使用公钥和私钥来进行数字签名和验证。在这个过程中，IC卡不需要具备RSA运算能力，所有计算都在终端中完成，卡片成本较低，但安全级别也较低。 动态数据认证（DDA） 动态数据认证是指使用基于公钥技术的数字签名方案来确认存放在IC卡中的关键的动态数据的合法性和完整性。其目的是确认数据的合法性和完整性，并可以检测到未经授权的改动。 认证中心公钥 认证中心公钥是指认证中心颁发的公钥，用于认证IC卡的合法性和完整性。 证书签名 证书签名是指使用私钥对证书进行签名的过程。 证书分发 证书分发是指将证书分发给相关方的过程。 证书验证 证书验证是指使用公钥对证书进行验证的过程。 发卡行总行CA 发卡行总行CA是指发卡行的根证书颁发机构。 支付系统根CA 支付系统根CA是指支付系统的根证书颁发机构。 发卡行分行RA 发卡行分行RA是指发卡行的分支机构颁发的证书。 收单行/银联 收单行/银联是指收单行和银联机构的证书颁发机构。 POS/ATM POS/ATM是指点-of-sale和自动柜员机的证书颁发机构。 卡片个人化系统 卡片个人化系统是指将用户的个人信息存储到IC卡中的系统。 金融IC卡安全体系是一个复杂的安全体系，涉及到多种算法和技术。它可以确保金融交易和存储数据的安全和完整性。