发布时间:2012-12-26 14:28:05
CDA其实是DDA的衍生方法. 所以它和DDA有很多相同的地方. 先简要说明一下CDA的几个要点:1 它也执行SDA,这个和DDA是一致的. 2 它也执行DDA,更先进的技术总是向下兼容的. 3 它也用到签名的动态应用数据, 不过这个数据不是内部认证请求的,而是在GAC时终端请求的. 而且这个数据的组成除了一些和DDA相似的组成(DOL数据),还包括密文数据(TC或ARQC).4 既然签名的动态数据多了卡片的密文数据,那最后的验证阶段也比DDA多了一些步骤,CDA还需要比较应用密文.下面是详细的......【阅读全文】
发布时间:2012-12-26 14:08:02
DDA的步骤可以这样理解:先执行SDA,再执行DDA特有的步骤. 所以这篇文章主要讲这个特有的步骤.正是这个特有的步骤,使得DDA不仅具有SDA的功能(保证卡片上的数据在个人化后不会被修改),还可以防止卡片被复制伪造. 第一步,取IC公钥 在SDA阶段取得的发卡行公钥,在DDA时还有一个用途,就是恢复IC卡公钥. 可以用下面的公式表示:发卡行公钥+IC卡公钥证书+RSA算法=IC卡公钥 IC卡公钥证书是终端在读数据阶段从卡里读出来的, 是一串密文数据,类似如下:* Tag 9F46 ICC P......【阅读全文】
发布时间:2012-12-26 13:58:27
看这篇文章之前,建议了解非对称加密解密的工作原理. SDA的意思是静态数据认证,首先如何理解这个静态。参与认证的都是静态的卡片数据,这些数据在卡片个人化后就不会在改变,比如卡号. 它的目的是确认存放在IC卡中的由应用文件定位器(AFL)和可选的静态数据认证标签列表所标识的,关键的静态数据的合法性,从而保证IC卡中的发卡行数据在个人化以后没有被非法篡改. 既然是认证,必然涉及算法,SDA(包括之后的DDA,CDA)用的是RSA算法,这是一种典型的以非对称加密为理论基础的算法. 废话不多讲, 详细的步骤如下: 第一步,CA(认证中心)公钥......【阅读全文】
发布时间:2012-12-26 10:47:35
尽管PBOC基本是中文版的EMV, 但还是需要根据国情做一些适当的差异化处理. 这一点在持卡人认证方面有很明显的体现.EMV支持脱机密文PIN,PBOC不支持. 但PBOC支持身份证件验证,EMV不支持. 身份证件验证是根据国情增加的,谁让咱们国家证多呀. 持卡人认证并不是必备的EMV流程, 终端是否应该执行持卡人认证, 决定因素在两点. 一是AIP表明是否支持, 二是在读数据阶段,卡片是否返回CVM list.PBOC 支持的CVM如下: 点击(此处)折叠或打开脱机明文PIN验证; 联机PIN验证; 签名; CVM失败; 无需CVM; 签名与......【阅读全文】
发布时间:2012-12-26 10:32:18
建立应用列表有两种方法, PSE目录选择方法和AID选择方法. 后者比较简单,看规范容易理解. 这篇文章只介绍目录选择方法. 步骤是这样的:1 终端选择PSE,从卡片返回的FCI中读到SFI.PSE本身是一个EF文件,所以通过SFI来定位, EF文件又是由很多记录组成, 通过read record来读取. 记录的个数不一定, 终端应该从第一条记录一直读,一直读到卡片返回6A83. 格式如下图:2 终端通过read record读取SFI中的所有记录. 每读......【阅读全文】