Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1800048
  • 博文数量: 600
  • 博客积分: 10581
  • 博客等级: 上将
  • 技术积分: 6205
  • 用 户 组: 普通用户
  • 注册时间: 2008-11-06 10:13
文章分类
文章存档

2016年(2)

2015年(9)

2014年(8)

2013年(5)

2012年(8)

2011年(36)

2010年(34)

2009年(451)

2008年(47)

分类:

2009-10-10 17:13:33

卡支付系统公钥认证业务规范》概述

《银联金融IC卡支付系统公钥认证业务规范》是对中国银联金融IC卡支付系统公钥认证服务的业务规范,具体内容包括银联金融IC卡支付系统公钥认证服务介绍,银联成员机构的银联金融IC卡支付系统公钥认证服务会员注册,根CA测试证书的获取,根CA生产证书的获取,成员发卡行公钥证书申请、签发、传递、与接受,公钥信息的变更,成员机构退出会员的手续,中国银联金融IC卡支付系统公钥认证体系安全策略,等方面的业务规定。银联金融IC卡支付系统公钥认证机构、各个成员发卡行、和成员收单机构应遵从本业务规范以确保整个系统的安全性和整体信任程度。相关的技术细节见《银联金融IC卡支付系统公钥认证技术规范》。

《银联金融IC卡支付系统公钥认证技术规范》和《银联金融IC卡支付系统公钥认证业务规范》是银联金融IC卡支付系统公钥认证服务的基本规范,这两个规范完全符合《中国金融集成电路(IC)卡规范 》(2005版),并与EMV2000标准完全兼容,同时兼容国际金融IC卡支付组织VISAMasterCard、和JCB的支付系统。

1.《中国金融集成电路(IC)卡规范 》(2005版)

2.《银联卡业务运作规章》

3.《银联金融IC卡支付系统公钥认证技术规范》

4.《银联卡密钥安全管理规则》

5.《银行卡联网联合安全规范》

6.《银联标识卡生产企业安全管理指南》

7.《银联标识卡个人化企业安全和质量》

8.《银行卡发卡行标识代码及卡号》

9.《银联卡卡片规范》

10.《银行卡磁条信息格式和使用规范》

11.《入网机构标识码》

12.《商户类别代码》

13.《银行卡信息交换术语》

14.《银行磁条卡自动柜员机(ATM)应用规范》

15.《银行磁条卡销售点终端规范》

16.《银行磁条卡自动柜员机(ATM)应用规范》

17.《中国银联MIS商户系统技术规范》

18.《中国银联POS终端规范》

19.《中国银联代理业务ATM终端技术规范》

20.《中国银联银行卡联网联合技术规范2.0版》

《中国金融集成电路(IC)卡规范 》(2005版):系中华人民共和国金融行业标准之一,由中国人民银行起草并于2005310发布/实施,用来规范金融行业集成电路(IC)卡应用的规范。

BIN:发卡机构标识码,由支付系统分配的6位号码,用于识别会员应用、授权、清算、或结算。银联标准卡的BIN的分配和管理统一由中国银联负责。

EMV:由EuropayMasterCard,及Visa国际组织共同开发的技术规范,该技术规范为芯片技术在支付行业的使用创造标准并确保其全球互操作性。

IIN:金融机构代码(IIN),由中国银联按照银联《入网机构标识码》规范分配给各成员金融机构的金融机构代码,唯一识别中国银联成员机构,由8位数字组成。

成员机构:在本规范中指中国银联成员机构,遵守相关入网规范。中国银联成员机构是经中国银联董事会批准,发行银联卡和办理银联卡收单业务的金融机构或其它组织。

会员机构:在本规范中指成员机构注册成为银联金融IC卡支付系统公钥认证服务会员机构。

中国银联金融IC卡支付系统根CA:由中国银联股份有限公司授权银联金融认证中心有限公司,依照《中国金融集成电路(IC)卡规范 》(2005版)要求,建立的服务于金融行业IC卡安全应用的根认证中心;实现该根认证中心功能的应用系统是“银联金融IC卡根CA系统”,由中国银联统一管理,以下简称“根CA系统”。

发卡行 (Issuer):《中国金融集成电路(IC)卡规范 》(2005版)指明,发卡行是发行带有支付系统标签的信用卡或专用卡的支付系统成员行。

收单机构(Acquirer):《中国金融集成电路(IC)卡规范 》(2005版)指明,收单机构是支付系统成员,负责签约商户或在现金支付中支付货币给持卡人,并直接或间接地参与交易交换。

PAN:主帐号。

RID:注册的应用提供商标识。

公钥密码算法:《中国金融集成电路(IC)卡规范 》(2005版)第七部分第十二章规定的公钥密码算法。

哈希算法:《中国金融集成电路(IC)卡规范 》(2005版)第七部分第十二章规定的哈希算法。

SDA:静态数据认证,脱机数据认证的一种,通过这种方法终端验证发卡时存放在卡上的密文。这种认证用于防止某些类型的伪造,但不能防止复制。

DDA :动态数据验证,脱机数据认证的一种,芯片卡产生根据特定交易数据元加密生成的密文,终端验证该值以防止非法复制。

CDA:复合动态数据认证/应用密文生成,脱机数据认证的一种。

终端(Terminal):在交易点安装的设备,和IC卡一起完成金融交易它包括接口设备,POSATM设备。

本规范适用于中国银联金融IC卡支付系统公钥认证服务的服务提供机构和服务接受机构包括中国银联金融IC卡支付系统公钥认证管理机构、接受银联金融IC卡支付系统公钥认证服务的银联成员机构、和银联成员机构授权的银联金融IC卡支付系统公钥认证服务的代理受理机构。

本规范的版本是《银联金融IC卡支付系统公钥认证业务规范》V1.0 2005)版。中国银联将在需要时对本规范进行修订,其后的修订版本高于V1.0,同时在修订版定稿后进行发布。

卡支付系统公钥认证体系概述

中国银联金融IC卡支付系统公钥认证体系的根CA(简称银联支付系统根CA)是严格按照《中国金融集成电路(IC)卡规范 》(2005版)规范建设和运行的,并与EMV2000标准完全兼容。按照《中国金融集成电路(IC)卡规范 》(2005版)规范,中国银联金融IC卡支付系统使用公钥密码技术进行金融IC卡静态数据数据、动态数据、或复合数据认证,以提供高度安全的金融IC卡交易服务。银联金融IC卡支付系统根CA作为中国银联金融IC卡支付系统公钥认证的信任顶点,由中国银联金融认证中心运行并由银联进行统一管理,它的系统和运营安全性符合国家和国际上EMV系统的有关安全规范。中国银联金融IC卡支付系统公钥认证体系包括银联金融IC卡支付系统根CA、各个发卡行CA及其发行的银联标准金融IC卡、以及收单机构及其ATMPOS。本业务规范规定了中国银联金融IC卡支付系统公钥认证体系的业务规则,银联金融IC卡支付系统公钥认证机构、各个发卡行、和收单机构应遵从本业务规范以确保整个系统的安全性和整体信任程度。银联金融IC卡支付系统根CA是中国人民银行唯一授权提供中国金融IC卡证书认证服务的根CA

卡支付系统公钥认证体系

遵循《中国金融集成电路(IC)卡规范 》(2005版),中国银联金融IC卡支付系统公钥认证体系为所有遵循银联标准的金融IC卡提供公钥证书认证服务,也同时为其它金融IC卡数据认证提供途径(如成员机构终端提供的对外卡数据认证)。中国银联金融IC卡支付系统公钥认证体系,首先包括银联金融IC卡支付系统CA(简称根CA)。根CA负责生成根CA公私钥对并管理根CA的公私钥信息、签发发卡行CA公钥证书,将根CA公钥信息安全传递给收单机构,是中国银联金融IC卡证书体系的信任根。

同时,中国银联金融IC卡支付系统公钥认证体系也包括各个发卡行CA。它们是根CA的子CA,负责生成发卡行CA的公私钥对,向根CA申请并管理自己的公钥证书。此外,发卡行CA与发卡系统交互,为IC签署卡签署静态应用数据以便进行静态数据认证(SDA),或生成IC卡公私钥对、签发IC卡证书以便进行动态数据认证(DDA),同时将自己的公钥证书、IC卡公钥证书、IC卡私钥、RID、和根CA公钥标识也写入IC卡。

按照《中国金融集成电路(IC)卡规范 》(2005版),中国银联金融IC卡支付系统还包括银联标准卡受理环境,收单机构要负责建立终端管理系统,将根CA公钥分发到受理终端(POS/ATM),并对远程终端进行设备管理、状态监控及信息管理(包括程序、参数下载)。

这样,在《中国金融集成电路(IC)卡规范 》(2005版)标准卡支付系统中,IC卡存放IC卡证书及IC卡私钥(或静态数据)和发卡行公钥证书、RID、以及根CA公钥标识;受理终端存放根CA证书和相关的RID。在支付过程中,受理终端通过验证IC卡的应用数据的签名进行IC卡数据认证,其过程是首先读取IC卡内的RIDIC卡证书、发卡行证书、和根CA公钥标识,利用RID和根CA公钥标识定位特定的根CA公钥,利用根CA公钥验证发卡行证书,利用发卡行证书验证IC卡证书,利用IC卡证书验证IC卡内的动态签名或直接利用发卡行证书验证IC卡内的静态签名。整个IC卡数据认证完全离线进行。

卡支付系统公钥认证服务

中国银联金融IC卡根CA为成员发卡行和收单机构提供下列服务:

l        为成员发卡行签发发卡行公钥证书;

l        生成、存储、维护银联IC卡支付系统根CA公、私密钥对;

l        将银联IC卡支付系统根CA公钥信息传递给各个成员发卡行和收单机构。

下列金融机构在接受中国银联金融IC卡支付系统证书服务时应严格遵从本规范:

l        按照《中国金融集成电路(IC)卡规范 》(2005版)颁发遵循银联标准的金融IC卡的发卡行;

l        按照《中国金融集成电路(IC)卡规范 》(2005版)进行银联标准金融IC卡收单交易的收单机构。

银联金融IC卡支付系统根CA有两套系统:生产系统和测试系统。根CA的测试系统只使用用于测试的根CA测试密钥对,只用来签发成员发卡行测试证书。所有测试密钥对和相应的测试证书仅限于系统测试,任何成员机构终端及银联终端均不接受使用测试密钥对的银联金融IC卡支付交易。只有使用根CA生产系统颁发的生产密钥对的IC卡才可进行支付交易。

卡支付系统公钥认证管理机构

银联金融IC卡支付系统公钥认证管理机构由中国银联业务管理部、技术管理部、风险管理部、战略发展部、IC卡应用部、银联金融认证中心组成,以银联IC卡应用部作为机构协调单位。

银联通过银联金融IC卡支付系统公钥认证管理机构规范和管理整个银联金融IC卡支付系统的规范和运行,包括对成员机构的相关审计(见本规范第4.2.1.2节);负责进行成员机构的会员注册;审核批准成员发卡行公钥证书申请;审核批准根CA和成员机构公钥证书的撤销;制定根CA和安全策略并监督其执行情况。银联金融IC卡根CA的系统变更设置变更以及证书签发和撤销需经过银联金融IC卡支付系统公钥认证管理机构批准。

银联金融IC卡根CA负责运营根CA包括签发和管理自身的证书和发卡行公钥证书、进行系统安全操作和管理。

卡支付系统公钥认证服务联系人

中国银联金融IC卡支付系统公钥认证服务联系人由中国银联IC卡应用部统一负责和管理。中国银联金融IC卡支付系统公钥认证服务对一个成员机构安排两个固定的审核员作为成员机构接口。一个成员机构的一切有关公钥认证服务事宜都通过这两个审核员接洽。审核员负责接受成员机构的咨询、完成成员机构的会员注册、接受会员机构的发卡行公钥证书申请、传递发卡行公钥证书、传递根CA公钥信息、传递银联金融IC卡支付系统公钥认证服务的重要通知等。成员机构可通过下列Web网站获得银联审核员的信息:

 

卡支付系统公钥认证服务申请及管理流程

银联向已经签署中国银联网络入网协议,并遵守《中国金融集成电路(IC)卡规范 》(2005版)和银联《银联卡业务运作规章》的成员发卡行和收单机构提供银联金融IC卡支付系统公钥证书认证服务。

银联金融IC卡支付系统公钥证书认证服务申请及管理流程如下:

1.        成员机构注册。

2.        测试证书申请。

3.        CA公钥证书申请及获取。

4.        发卡行公钥证书申请、签发、传递、验证;收单机构对根CA公钥证书的传递、验证。

5.        公钥信息的变更。

6.        成员机构退出公钥认证服务。

这个流程的细节将在本章余下各节中详细规定。

中国银联只向已经签署中国银联网络入网协议的成员发卡行和收单机构提供银联金融IC卡支付系统公钥证书认证服务。任何金融机构必须首先申请成为中国银联成员机构,才可申请注册成为中国银联IC卡金融认证服务会员机构。关于申请成为中国银联成员机构的程序参见银联《银联卡业务运作规章》。

成员机构在有意向成为银联金融IC卡支付系统公钥认证服务会员时,可访问网站:以咨询会员注册联系方式,在初步联系后,银联将委任两名审核员负责该成员机构的注册事宜。

中国银联成员机构首先需要获取:

1.        《银联金融IC卡支付系统公钥认证业务规范》

2.        《银联金融IC卡支付系统公钥认证技术规范》

3.        《中国银联金融IC卡支付系统公钥认证服务会员注册表》

4.        《银联发卡行公钥证书工作申请表》

5.        《银联发卡行标识代码申请表》

6.        银联金融IC卡支付系统公钥认证处理软件

7.        银联安全电子邮件客户端软件

上述材料和软件可以由中国银联成员机构携带该成员机构的授权信到中国银联获取,或者以中国银联成员机构入网注册表中提供的电子邮件地址以电子邮件方式向银联索取。在获取上述材料和软件时,银联将与中国银联成员机构协商中国银联金融IC卡支付系统公钥认证服务会员注册会议的具体时间和地点、以及双方参加的人员。

成员机构需要委派两个固定的安全官员参加拟定的中国银联金融IC卡支付系统公钥认证服务会员注册会议,同时中国银联也将派遣两名固定的审核员参加会议。在参加会议时,成员机构参会人员需要携带:

1.        填写完毕的《中国银联金融IC卡支付系统公钥认证服务会员注册表》(见本规范附录A);

2.        中国银联成员机构入网注册材料复印件;

3.        银联成员机构上一年度的业务报告;

4.        成员机构本年度和三年内使用银联标准IC卡的业务计划。发卡行需提交计划使用根CA公钥认证服务包括使用哪些根CA公钥来签发的银联标准IC卡的数量、卡种类、和卡的分布情况的业务规划;收单机构需要提交计划使用根CA公钥认证服务来进行银联标准IC卡收单业务的业务规划,包括其管理的终端使用根CA公钥、分布等。

5.        若成员机构需要申请额外的发卡行标识代码(BIN),则需携带填写完毕的《银联发卡行标识代码申请表》(见本规范附录B);

6.        由该银联成员机构负责人签署的进行中国银联金融IC卡支付系统公钥证书认证服务会员注册的授权信;

7.        由该银联成员机构人力资源部负责人签署的证明信证实该机构所派两个安全官员的雇员身份;

8.        成员机构的两个安全官员的身份证;

9.        若所派的两个安全官员隶属于为该成员机构进行银联金融IC卡支付系统公钥认证服务受理的代理机构,则需要提供由该成员机构负责人签署的授权代理信。

申请成为中国银联金融IC卡支付系统公钥证书认证服务注册会员,其申请应按规定的信息内容与格式,以书面形式向中国银联提出,并确保所提供信息、材料的真实性、准确性。银联金融IC卡支付系统公钥认证服务会员注册申请表见本规范附录A

在注册会议上,成员机构的两个参会安全官员必须确保所携带的注册资料的真实性、完整性、和规范性(按照本规范附录的格式)。

银联参会审核员需要仔细审核成员机构参会人员的身份、申请注册材料的完整性和规范性,若材料不完整,不规范,注册过程在银联收到完整、规范的注册申请材料后才继续进行。对申请材料的任何改动需经成员机构负责人批准。

经银联参会审核员核实后,成员机构参加会议的两个安全官员同时签署注册申请表。

参会双方人员完成会员注册申请表的签署后,注册生效。

若成员机构同时也申请额外的BIN码,银联按照银联《银联卡业务运作规章》处理BIN码的申请。BIN码申请表见本规范附录B

银联入网成员机构可以要求第三方机构代理它的银联金融IC卡支付系统公钥认证业务包括申请发卡行公钥证书。成员机构必须向银联提交由该机构负责人签署的授权书。

成员机构注册成为会员机构后,因各种原因需要更改会员注册材料时,需要重新进行会员注册。

成员机构在注册成为中国银联金融IC卡支付系统公钥证书认证服务会员后有义务遵守本规范和《中国金融集成电路(IC)卡规范 》(2005版)、《银联卡业务运作规章》、《银联金融IC卡支付系统公钥认证技术规范》、《银联卡密钥安全管理规则》、《银行卡联网联合安全规范》、《银联标识卡生产企业安全管理指南》、《银联标识卡个人化企业安全和质量》、《银行卡发卡行标识代码及卡号》、《银联卡卡片规范》、《银行卡磁条信息格式和使用规范》、《银行卡磁条信息格式和使用规范》、《入网机构标识码》、《商户类别代码》、《银行卡信息交换术语》、《银行磁条卡自动柜员机(ATM)应用规范》、《银行磁条卡销售点终端规范》、《银行磁条卡自动柜员机(ATM)应用规范》、《中国银联MIS商户系统技术规范》、《中国银联POS终端规范》、《中国银联代理业务ATM终端技术规范》、《中国银联银行卡联网联合技术规范2.0版》、以及银联网络入网规则。

若发现会员机构未能履行上述义务,则银联有权中止该机构的会员资格。

卡支付系统公钥证书认证服务会员费

成员机构需要支付的银联金融IC卡支付系统公钥认证服务会员费将由银联根据成员机构的业务类型和业务量确定。

成员机构参加银联金融IC卡支付系统公钥认证服务会员注册会议并代表该机构签署注册申请表的两个参会安全官员是该机构与银联关于银联金融IC卡支付系统公钥认证服务的授权联系人,以后所有涉及银联金融IC卡支付系统公钥认证服务的业务都由这两个安全官员与银联审核员直接联系。若出现因各种原因会员机构需要更改会员安全官员时,需要该机构负责人签署的信件说明,并说明新的两个安全官员的身份及联系方式。同时由变更后的两个会员安全官员与银联审核员重新进行会员注册流程。

成员机构在成为中国银联金融IC卡公钥认证服务会员后即可申请测试证书。根CA测试证书包含根CA测试公钥,由银联IC卡根CA的测试系统生成。根CA测试系统使用测试根CA密钥对签发成员发卡行测试证书,成员发卡行使用其测试证书对应的测试私钥来生成用于系统测试的IC卡的签名数据或IC卡公钥证书并进行脱机测试或联机测试,成员收单机构的测试终端只使用根CA测试公钥做测试,不能把测试IC卡应用作为金融交易受理。

3.3.1          测试公钥信息的申请、传递、验证

成员机构在注册成为中国银联金融IC卡支付系统公钥认证服务会员后即可申请根CA测试公钥证书。成员机构由安全官员就根CA测试公钥的申请和获取向银联审核员联系。成员机构对根CA测试公钥的获取可以在银联审核员核准后指导成员机构安全官员从银联Web网站下载或以安全电子邮件传递。成员机构应在按照《银联金融IC卡支付系统公钥认证技术规范》第7章的验证程序验证根CA测试公钥后才可使用。根CA测试公钥以根CA公钥文件形式传递,见《银联金融IC卡支付系统公钥认证技术规范》第6章。根CA测试公钥信息的验证也可以使用银联提供的银联金融IC卡支付系统公钥认证处理软件进行。

3.3.2          

成员机构在注册成为中国银联金融IC卡支付系统公钥证书认证服务会员后即可申请发卡行测试公钥证书。测试证书的申请流程、签发流程、和验证流程与生产系统证书申请相关流程相同,成员发卡行必须在申请材料中标识所申请的证书是测试证书,同时递交发卡行测试公钥工作申请,详细规则见本规范第3.5节、本规范附录C、和《银联金融IC卡支付系统公钥认证技术规范》第345章。

生产型公钥证书申请、获取、接受

银联金融IC卡根CA生产型公钥证书以电子版根CA公钥文件形式传递,关于根CA公钥文件见《银联金融IC卡支付系统公钥认证技术规范》第6章。根CA公钥文件由银联金融IC卡根CA生成,并以安全电子邮件方式转交银联IC卡应用部和银联审核员。

成员发卡行需要按照本规范第3.5.1.3节规定申请获取适当的根CA公钥,成员收单机构需要申请获取所有为银联标准IC卡提供公钥认证服务的根CA公钥。

成员发卡行必须在申请发卡行公钥证书前获取并验证根CA公钥。

在成功注册成为银联金融IC卡支付系统公钥认证会员单位后,成员机构安全官员可以以银联安全电子邮件方式向银联审核员申请获取银联金融IC卡根CA生产型公钥信息,成员机构安全官员必须在申请中标明成员机构的机构代码和机构名称,同时使用传真将同样请求传真给银联审核员。银联审核员在收到成员收单机构安全官员电子邮件和传真后,电话向成员收单机构安全官员核实申请。得到确认后,银联审核员将收到的申请以安全电子邮件方式转交银联IC卡应用部,银联IC卡应用部审核并批复后以安全电子邮件方式通知银联审核员,同时IC卡应用部将批复文件递交银联金融IC卡支付系统公钥认证管理机构备案。银联审核员在收到银联IC卡应用部的申请批复后以安全电子邮件形式将所申请的根CA生产型公钥信息以电子版根CA公钥文件形式同时传递给该成员机构的两个安全官员。

成员机构安全官员在收到银联审核员传递的银联金融IC卡根CA公钥信息必须按照《中国银联金融IC卡支付系统公钥认证技术规范》第7章的程序验证根CA公钥,只有严格按照《中国银联金融IC卡支付系统公钥认证技术规范》第7章的程序成功验证了收到的根CA公钥后才可以接受并使用。成员机构可以使用银联金融IC卡支付系统公钥认证处理软件完成公钥的验证。若成员机构成功验证了按照《中国银联金融IC卡支付系统公钥认证技术规范》第7章的程序成功验证了收到的根CA公钥,必须由该机构安全官员以电话加上传真方式将结果通知银联审核员。若签名验证失败,则由该机构安全官员以电话和安全电子邮件方式将结果通知银联审核员。

成员机构安全官员利用安全电子邮件取得根CA公钥信息并成功验证其签名是至关重要的,可以有效验证根CA公钥信息的数据完整性和进行信息源认证。同时成员机构在存储根CA公钥信息过程中可以以验证签名的方式验证公钥信息的数据完整性。因此,成员机构在使用根CA公钥前必须按照《中国银联金融IC卡支付系统公钥认证技术规范》第7章的程序成功验证根CA公钥证书的签名,只有成功验证了根CA公钥证书的签名,成员机构才可以接受并使用根CA公钥。

成员机构可以使用银联提供的金融IC卡公钥处理软件验证收到的根CA公钥证书的签名的有效性。

一旦成员发卡行成功注册成为银联金融IC卡公钥认证服务会员单位,成员机构即可进行一张或多张发卡行公钥证书的申请,但需要针对每一张发卡行公钥证书完成一份银联金融IC卡支付系统公钥认证服务发卡行公钥证书工作申请表,见本规范附录C。成员发卡行在申请发卡行公钥证书前必须首先按照本规范第3.4节的程序获取和验证根CA相关公钥。

中国银联金融IC卡公钥认证服务系统使用标准工作程序受理成员发卡行公钥证书申请,包括发卡行公钥证书申请的准备、申请书数据格式、命名规则。成员发卡行在决定申请成员发卡行公钥证书时必须遵循下列规则。

3.5.1.1             角色分离原则

为了有效控制对成员发卡行公钥证书的非授权申请的风险,银联规定每次发卡行公钥证书的申请必须由成员发卡行中国银联金融IC卡公钥认证服务会员注册登记的两个安全官员分别同时申请,所递交的申请文件必须相同。银联不受理只由单一申请人递交的发卡行公钥证书申请。

3.5.1.2             密钥管理规则

银联金融IC卡支付体系的安全在很大程度上取决于各级密钥对或密钥在其整个生命周期内的安全管理。成员发卡行必须严格按照《中国金融集成电路(IC)卡规范 》(2005版)、银联《银联卡业务运作规章》、本规范、和《中国银联金融IC卡支付系统公钥认证技术规范》进行包括在其业务范围内的各级密钥对、密钥的安全生成、处理、分发、注销的管理。由于发卡行证书及其相应公私钥对是用来生成在金融交易中实际使用的金融IC卡,因此发卡行必须对其证书对应的公私钥对进行严格的密钥管理,其证书公私钥对对应的私钥必须始终处于密码硬件中,或在多人控制下进行加密备份。

成员发卡行可以在密钥安全管理方面得到银联技术人员的帮助。若有需求,成员发卡行可以通过银联审核员联系银联IC卡应用部技术人员提供帮助。

3.5.1.3             发卡行公钥的业务决策

在向银联申请发卡行公钥证书前,每个成员发卡行必须做下列决策,每一决策在业务和安全上都有不同影响,因此成员发卡行必须在决策时仔细评估由其导致的风险和代价。发卡行业务决策包括:

l        需要生成的发卡行公私钥对个数,即需要申请的发卡行公钥证书个数。参见本规范第4.2.3.2节。

l        每对公钥的密钥长度,发卡行公钥长度必须小于或等于用来签发该发卡行公钥证书的根CA密钥长度。见本规范第4.2.2.1节。

l        发卡行每对公钥的失效日期,发卡行公钥失效日期必须早于或等于用来签发该发卡行公钥证书的根CA签名密钥对的失效日期。此外,对于由一对发卡行公钥签发的具有IC卡公私钥对的IC卡(支持动态卡数据认证),该IC卡公钥的失效日期(位于该IC卡公钥证书中)必须早于或等于发卡行的这对公钥的失效日期。因此,IC卡的印制在于卡表面的卡失效日期必须早于或等于用于签发该IC(卡内静态数据或IC卡公钥证书)的发卡行公钥的失效日期。并且若IC卡具有IC卡公钥证书,IC卡的印制在卡表面的卡失效日期必须早于或等于该IC卡公钥失效日期。根CA公私钥对的失效日期参见本规范第4.2.2.1节。

l        发卡行每一对公钥的公钥指数,必须是32161

l        将哪一个发卡行公钥证书在发卡时放入IC卡,发卡行可以有多个发卡行公钥证书,但是只能将签发该IC卡的发卡行公钥证书放入该IC卡。

.在成员发卡行完成了上述业务决策后即可进行发卡行公钥证书的申请。

成员发卡行的发卡行公钥证书申请书包括两个电子版文件:填写完毕的发卡行公钥证书工作申请表和发卡行公钥输入文件。

发卡行必须:

l        生成所需的发卡行公私钥对和发卡行公钥输入文件,该公钥输入文件包含申请的发卡行公钥和相关数据,并由这个发卡行公私钥对应的私钥签名,加上数据Hash值。公钥输入文件格式参见《中国银联金融IC卡支付系统公钥认证技术规范》第3章。

l        准备发卡行公钥输入文件,成员发卡行按照《中国银联金融IC卡支付系统公钥认证技术规范》第3章中的发卡行公钥输入文件格式将发卡行证书申请表中的发卡行公钥证书申请记录号写入发卡行公钥输入文件。

l        按照本规范附录C格式为每一个发卡行公钥输入文件填写一份发卡行公钥证书工作申请表,在发卡行公钥证书工作申请表中使用与该发卡行公钥输入文件相同的记录号。

成员发卡行可使用银联提供的银联金融IC卡支付系统公钥认证处理软件来生成标准的发卡行公钥输入文件。

为了使银联和发卡行在发卡行公钥证书申请和处理过程中能够跟踪申请和处理进程,要求每一次申请都以BIN号和记录号唯一标识。

银联将负责为发卡行的每个公钥证书的申请安排一个唯一的记录号。成员发卡行需要在每次发卡行公钥证书申请前由安全官员向银联审核员获取记录号。

发卡行的每一个公钥证书的申请必须使用完整的一份发卡行公钥申请材料,若同时申请多张证书,则需要完成多份申请材料。

发卡行按照《中国银联金融IC卡支付系统公钥认证技术规范》第3章完成发卡行公钥输入文件和本规范附录C完成发卡行公钥证书工作申请表。银联提供的银联金融IC卡公钥处理软件可以帮助发卡行正确完成所需的申请文件生成、填写,并按照《中国银联金融IC卡支付系统公钥认证技术规范》规定的标准模板生成所需申请材料。申请材料包括电子版的:

l        发卡行公钥证书工作申请表

l        发卡行公钥输入文件   

发卡行可以选择下列方式向银联递交发卡行公钥证书申请材料:

l        由安全官员使用银联提供的安全电子邮件系统用加密签名的方式将申请材料传递给银联审核员。

l        由安全官员使用密封的挂号邮件邮寄给银联审核员。

l        由安全官员使用专人传递给银联审核员。

成员发卡行必须由两个注册的安全官员分别同时递交相同内容的发卡行公钥证书申请,两人的申请材料中的申请记录号必须相同。银联只有在审核员收到由发卡行两个安全官员递交的申请后才处理证书申请。

具体的递交方式首先咨询银联为该发卡行委派的审核员。

卡支付系统公钥认证机构对证书申请的受理

银联对成员发卡行公钥申请的审批程序如下:

1.        由银联审核员对成员发卡行的公钥证书申请材料包括发卡行公钥证书工作申请表(见本规范附录C)和发卡行公钥输入文件(见《银联金融IC卡支付系统公钥认证技术规范》第3章)内容的规范性做审核,确认申请材料符合本规范和《银联金融IC卡支付系统公钥认证技术规范》;若同时收到BIN的申请(见本规范附录B),则按照《银联卡业务运作规章》递交银联相关部门处理BIN号的申请;若确认申请材料完整规范,则将申请转交银联IC卡应用部;

2.        银联IC卡应用部对收到的发卡行公钥证书申请做最终审核并批准申请,将发卡行公钥证书申请材料转交银联金融IC卡根CA,同时银联IC卡应用部向银联金融IC卡支付系统公钥认证管理机构递交一份对该申请的批复备案;

3.        银联金融IC卡根CA按照《银联金融IC卡支付系统公钥认证技术规范》第4章程序签发该发卡行的公钥证书并将签发的公钥证书以发卡行公钥证书输出文件的型式转交给银联审核员;

4.        银联审核员将签发的发卡行公钥证书以发卡行公钥证书输出文件的形式同时转交给该发卡行的两个安全官员。

银联审核员在收到完整的发卡行公钥证书申请材料后使用银联金融IC卡支付系统公钥认证处理软件解析和验证发卡行提交的公钥输入文件,详细程序参见《银联金融IC卡支付系统公钥认证技术规范》第4.1节,验证完毕后立即电话通知发卡行安全官员并证实申请材料的完整性和有效性;若银联审核员发现发卡行申请材料不完整或不标准,则在电话中告知发卡行需要变更的材料内容,并同时以安全邮件的方式将同样信息邮件给发卡行安全官员。若银联审核员没有收到申请材料,则对申请不做处理。当银联审核员电话通知发卡行安全官员其申请材料完整有效后,发卡行向银联发一份确认传真,以证实发卡行已得知申请材料完整有效。

银联审核员在收到完整、有效的发卡行申请材料后,在按照《银联金融IC卡支付系统公钥认证技术规范》第4.1节程序成功验证了申请材料中的数字签名后将发卡行公钥证书申请材料递交银联IC卡应用部。由银联IC卡应用部对申请审核通过,并通知银联金融IC卡根CA按照《中国银联金融IC卡支付系统公钥认证技术规范》第4.2节程序签发所申请的发卡行公钥证书。发卡行证书申请材料和根CA签发的发卡行公钥证书在银联内部传递时使用安全电子邮件。银联审核员将根CA签发的发卡行公钥证书以电子版发卡行公钥输出文件形式(见《中国银联金融IC卡支付系统公钥认证技术规范》第4.2节)利用银联安全电子邮件系统同时传递给发卡行的两个安全官员。银联审核员应在接到完整有效的证书申请并成功验证其相关数字签名的一周内向发卡行的两个安全官员同时传递包含签发的发卡行公钥证书的电子邮件。

若银联对发卡行公钥证书的申请没有批准,则银联审核员在接到申请的一周内以安全电子邮件方式同时通知发卡行的两个安全官员。

若出现系统变更或更新时,银联将尽可能降低因系统变更带来的业务耽搁。

发卡行在收到银联签发的发卡行公钥证书后,必须按照《中国银联金融IC卡支付系统公钥认证技术规范》第5章的规定程序验证发卡行证书的签名以确认收到的证书的信息完整性和进行信息源的认证。

发卡行可以使用银联提供的金融IC卡公钥处理软件验证收到的发卡行公钥证书的签名的有效性。

发卡行在成功验证了收到的证书后,必须由安全官员使用银联提供的安全电子邮件向银联审核员证实这一结果并同时向银联审核员发一份相同内容的传真;若验证不成功,则由安全官员使用银联提供的安全电子邮件通知银联审核员并同时向银联审核员发一份相同内容的传真。

阅读(3351) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~