中国金融IC卡安全规范：脱机数据认证与密钥管理

“中国金融集成电路（IC）卡借记贷记规范v2.0－安全部分.pdf”详细阐述了中国金融集成电路（IC）卡的安全规范，主要针对借记和贷记交易，旨在确保金融交易过程中的数据安全和完整性。这份规范由中国的金融IC卡标准修订工作组于2004年5月发布，是PBOC2.0标准的一部分。 规范首先介绍了引言和范围，明确了文档的目标和适用领域，即适用于中国金融IC卡的脱机数据认证、应用密文和发卡行认证、安全报文、卡片安全以及终端安全等方面。 在脱机数据认证章节，规范详细讲解了静态数据认证（SDA）和动态数据认证（DDA）。SDA涉及密钥和证书的管理和使用，包括认证中心和发卡行的公钥获取，以及静态应用数据的验证。DDA则更进一步，包含了标准动态数据认证和复合动态数据认证/应用密文生成，确保交易数据的实时安全性。 应用密文和发卡行认证部分，规范定义了应用密文的产生和发卡行认证的过程，以及密钥管理的相关规则，以防止数据篡改和确保交易的合法性。 安全报文部分详细描述了报文的格式、完整性验证和私密性保护。报文完整性通过MAC（消息认证码）进行保护，私密性则通过加密手段来实现，同时规定了密钥的管理策略。 卡片安全方面，规范强调了共存应用的处理、密钥的独立性，以及卡片内部的安全体系，包括卡片内部安全目标、概述、文件控制信息和参数等，以增强卡片自身的防御能力。 终端安全是规范的重要组成部分，包括终端数据安全性、物理安全、逻辑安全、设备安全（如PINPAD的安全性）、以及终端密钥管理的要求。这些规定确保了终端设备能够安全地处理IC卡交易，防止非法访问和数据泄露。 最后，规范还涵盖了密钥管理体系，这是一个全面的系统，用于生成、分发、更新和撤销密钥，以确保整个金融IC卡系统的安全运行。 这份规范详细规定了中国金融IC卡在各个层面的安全措施，对于理解PBOC2.0标准下的卡片和终端安全具有重要指导意义。