PBOC學(xué)習(xí)報(bào)告PBOC學(xué)習(xí)報(bào)告PBOC聯(lián)機(jī)認(rèn)證解析課件脫機(jī)認(rèn)證分類DDASDACDA脫機(jī)認(rèn)證脫機(jī)認(rèn)證分類DDASDACDA脫機(jī)認(rèn)證聯(lián)機(jī)認(rèn)證分類ARPCARQC聯(lián)機(jī)認(rèn)證聯(lián)機(jī)認(rèn)證分類ARPCARQC聯(lián)機(jī)認(rèn)證

聯(lián)機(jī)認(rèn)證的目的？聯(lián)機(jī)認(rèn)證認(rèn)證發(fā)卡行認(rèn)證卡片完成CDA聯(lián)機(jī)認(rèn)證的目的？聯(lián)機(jī)認(rèn)證認(rèn)證發(fā)卡行認(rèn)證卡片完成CDA聯(lián)機(jī)認(rèn)證的主要算法

3DES

3DES-PBOC聯(lián)機(jī)驗(yàn)證目的IC卡與主機(jī)之間直接進(jìn)行身份識(shí)別，提高安全性！聯(lián)機(jī)認(rèn)證的主要算法 3DES 3DES和3DES-PBOC3DES和3DES-PBOC應(yīng)用密文用對(duì)稱密鑰加密選取數(shù)據(jù)的用于有特殊用途的密文，如用于脫機(jī)認(rèn)證，和聯(lián)機(jī)認(rèn)證常用的密文：

AAC應(yīng)用認(rèn)證密文 TC交易證書 ——脫機(jī)交易時(shí)，用于批準(zhǔn)交易的證書 ARQC授權(quán)請(qǐng)求密文 ——IC卡聯(lián)機(jī)交易時(shí)的應(yīng)用密文，用于給發(fā)卡行驗(yàn)證卡片的有效性 ARPC授權(quán)響應(yīng)密文 ——用于給IC卡驗(yàn)證響應(yīng)是否來(lái)自真的發(fā)卡行應(yīng)用密文用對(duì)稱密鑰加密選取數(shù)據(jù)的用于有特殊用途的密文，如用于Silverlight1.0–XAML+JavaScript

COMPLETEDOMLEVEL1integration聯(lián)機(jī)認(rèn)證處理Silverlight1.0–XAML+JavaS認(rèn)證密鑰認(rèn)證密鑰ARQC生成

用IC卡上的MKac和交易計(jì)數(shù)器生成過(guò)程密鑰，再將選取的數(shù)據(jù)用過(guò)程密鑰加密用IC卡上的MKac和交易計(jì)數(shù)器生成過(guò)程密鑰，再將選取的數(shù)據(jù)用過(guò)程密鑰加密ARQC生成用IC卡上的MKac和交易計(jì)數(shù)器生成過(guò)程密鑰，再ARQC校驗(yàn)流程

主賬號(hào)（PAN）主賬號(hào)序列號(hào)（如果主賬號(hào)序列號(hào)不存在，則用一個(gè)字節(jié)“00”代替）的最右16個(gè)數(shù)字作為輸入數(shù)據(jù)ARQC校驗(yàn)流程主賬號(hào)（PAN）ARPC校驗(yàn)流程ARPC校驗(yàn)流程通過(guò)報(bào)文鑒別碼（MAC）用于保證報(bào)文完整性，構(gòu)成安全選報(bào)文功能：：流程：：通過(guò)報(bào)文鑒別碼（MAC）用于保證報(bào)文完整性，構(gòu)成安全選報(bào)文功卡片的安全規(guī)范共存應(yīng)用 ——每一個(gè)應(yīng)用放在一個(gè)ADF里，防止應(yīng)用之間的跨應(yīng)用訪問(wèn)數(shù)據(jù)，每一個(gè)應(yīng)用也不應(yīng)該與卡中共存的個(gè)人化要求和應(yīng)用規(guī)則發(fā)生沖突 存2、 密鑰獨(dú)立性，用于特定功能的密鑰，不能給其他功能引用密鑰獨(dú)立性 ——用于特定功能的密鑰，不能給其他功能引用3、 內(nèi)部安全體系內(nèi)部安全體系 ——實(shí)施規(guī)范的文件權(quán)限安全體系卡片的安全規(guī)范共存應(yīng)用2、 密鑰獨(dú)立性，用于特定功能的密鑰，內(nèi)部安全體系目的為卡片內(nèi)部數(shù)據(jù)處理過(guò)程提供安全與完整性保障，保障訪問(wèn)數(shù)據(jù)文件和命令處理，加密算法手段特性“安全域”內(nèi)部安全體系目的為卡片內(nèi)部數(shù)據(jù)處理過(guò)程提供安全與完整性保障，安全域定義由于操作系統(tǒng)控制所有的數(shù)據(jù)，所以操作系統(tǒng)可以設(shè)定卡片資源的訪問(wèn)范圍，在文件控制層對(duì)文件訪問(wèn)進(jìn)行控制，構(gòu)造出“安全區(qū)域”要達(dá)到特殊的條件才能訪問(wèn)，訪問(wèn)條件不同的數(shù)據(jù)不能合并到一個(gè)文件中實(shí)現(xiàn)GPO和select命令安全域定義由于操作系統(tǒng)控制所有的數(shù)據(jù)，所以操作系統(tǒng)可以設(shè)定卡安全域文件基礎(chǔ)文件控制信息FCI:附屬于每個(gè)應(yīng)用的ADF或者AEF，描述了文件的特性，在個(gè)人化期間建立文件控制信息FCI文件控制信息FCI文件管理數(shù)據(jù)（FMD）

應(yīng)用管理數(shù)據(jù)(AMD)安全域文件基礎(chǔ)文件控制信息FCI:附屬于每個(gè)應(yīng)用的ADF或者應(yīng)用管理數(shù)據(jù)(AMD)數(shù)據(jù)資源可執(zhí)行資源控制密鑰記錄PIN算法命令應(yīng)用管理數(shù)據(jù)(AMD)應(yīng)用管理數(shù)據(jù)(AMD)數(shù)據(jù)資源可執(zhí)行控制密鑰記錄PIN算法GPO和select的功能令select命令將FCI提交給操作系統(tǒng)GPO命令讓COS應(yīng)用提交的AMD，改變安全域狀態(tài)GPO和select的功能令select命令將FCI提交給文件控制參數(shù)（FCP）令——每個(gè)基本文件在其文件控制信息中包含一個(gè)文件控制參數(shù)（FCP）職能：并且同保存在ADF的文件控制信息內(nèi)的應(yīng)用管理數(shù)據(jù)一起，由IC卡操作系統(tǒng)用于建立應(yīng)用的安全域功能：指出是否在發(fā)卡行腳本UPDATERECORD命令中以加密或者明文格式傳送數(shù)據(jù)。為卡片上各應(yīng)用的基本文件描述了強(qiáng)制安全訪問(wèn)條件。文件控制參數(shù)（FCP）令——每個(gè)基本文件在其文件控制信息中包謝謝觀看令謝謝觀看令PBOC學(xué)習(xí)報(bào)告PBOC學(xué)習(xí)報(bào)告PBOC聯(lián)機(jī)認(rèn)證解析課件脫機(jī)認(rèn)證分類DDASDACDA脫機(jī)認(rèn)證脫機(jī)認(rèn)證分類DDASDACDA脫機(jī)認(rèn)證聯(lián)機(jī)認(rèn)證分類ARPCARQC聯(lián)機(jī)認(rèn)證聯(lián)機(jī)認(rèn)證分類ARPCARQC聯(lián)機(jī)認(rèn)證

聯(lián)機(jī)認(rèn)證的目的？聯(lián)機(jī)認(rèn)證認(rèn)證發(fā)卡行認(rèn)證卡片完成CDA聯(lián)機(jī)認(rèn)證的目的？聯(lián)機(jī)認(rèn)證認(rèn)證發(fā)卡行認(rèn)證卡片完成CDA聯(lián)機(jī)認(rèn)證的主要算法

3DES

3DES-PBOC聯(lián)機(jī)驗(yàn)證目的IC卡與主機(jī)之間直接進(jìn)行身份識(shí)別，提高安全性！聯(lián)機(jī)認(rèn)證的主要算法 3DES 3DES和3DES-PBOC3DES和3DES-PBOC應(yīng)用密文用對(duì)稱密鑰加密選取數(shù)據(jù)的用于有特殊用途的密文，如用于脫機(jī)認(rèn)證，和聯(lián)機(jī)認(rèn)證常用的密文：

AAC應(yīng)用認(rèn)證密文 TC交易證書 ——脫機(jī)交易時(shí)，用于批準(zhǔn)交易的證書 ARQC授權(quán)請(qǐng)求密文 ——IC卡聯(lián)機(jī)交易時(shí)的應(yīng)用密文，用于給發(fā)卡行驗(yàn)證卡片的有效性 ARPC授權(quán)響應(yīng)密文 ——用于給IC卡驗(yàn)證響應(yīng)是否來(lái)自真的發(fā)卡行應(yīng)用密文用對(duì)稱密鑰加密選取數(shù)據(jù)的用于有特殊用途的密文，如用于Silverlight1.0–XAML+JavaScript

COMPLETEDOMLEVEL1integration聯(lián)機(jī)認(rèn)證處理Silverlight1.0–XAML+JavaS認(rèn)證密鑰認(rèn)證密鑰ARQC生成

用IC卡上的MKac和交易計(jì)數(shù)器生成過(guò)程密鑰，再將選取的數(shù)據(jù)用過(guò)程密鑰加密用IC卡上的MKac和交易計(jì)數(shù)器生成過(guò)程密鑰，再將選取的數(shù)據(jù)用過(guò)程密鑰加密ARQC生成用IC卡上的MKac和交易計(jì)數(shù)器生成過(guò)程密鑰，再ARQC校驗(yàn)流程

主賬號(hào)（PAN）主賬號(hào)序列號(hào)（如果主賬號(hào)序列號(hào)不存在，則用一個(gè)字節(jié)“00”代替）的最右16個(gè)數(shù)字作為輸入數(shù)據(jù)ARQC校驗(yàn)流程主賬號(hào)（PAN）ARPC校驗(yàn)流程ARPC校驗(yàn)流程通過(guò)報(bào)文鑒別碼（MAC）用于保證報(bào)文完整性，構(gòu)成安全選報(bào)文功能：：流程：：通過(guò)報(bào)文鑒別碼（MAC）用于保證報(bào)文完整性，構(gòu)成安全選報(bào)文功卡片的安全規(guī)范共存應(yīng)用 ——每一個(gè)應(yīng)用放在一個(gè)ADF里，防止應(yīng)用之間的跨應(yīng)用訪問(wèn)數(shù)據(jù)，每一個(gè)應(yīng)用也不應(yīng)該與卡中共存的個(gè)人化要求和應(yīng)用規(guī)則發(fā)生沖突 存2、 密鑰獨(dú)立性，用于特定功能的密鑰，不能給其他功能引用密鑰獨(dú)立性 ——用于特定功能的密鑰，不能給其他功能引用3、 內(nèi)部安全體系內(nèi)部安全體系 ——實(shí)施規(guī)范的文件權(quán)限安全體系卡片的安全規(guī)范共存應(yīng)用2、 密鑰獨(dú)立性，用于特定功能的密鑰，內(nèi)部安全體系目的為卡片內(nèi)部數(shù)據(jù)處理過(guò)程提供安全與完整性保障，保障訪問(wèn)數(shù)據(jù)文件和命令處理，加密算法手段特性“安全域”內(nèi)部安全體系目的為卡片內(nèi)部數(shù)據(jù)處理過(guò)程提供安全與完整性保障，安全域定義由于操作系統(tǒng)控制所有的數(shù)據(jù)，所以操作系統(tǒng)可以設(shè)定卡片資源的訪問(wèn)范圍，在文件控制層對(duì)文件訪問(wèn)進(jìn)行控制，構(gòu)造出“安全區(qū)域”要達(dá)到特殊的條件才能訪問(wèn)，訪問(wèn)條件不同的數(shù)據(jù)不能合并到一個(gè)文件中實(shí)現(xiàn)GPO和select命令安全域定義由于操作系統(tǒng)控制所有的數(shù)據(jù)，所以操作系統(tǒng)可以設(shè)定卡安全域文件基礎(chǔ)文件控制信息FCI:附屬于每個(gè)應(yīng)用的ADF或者AEF，描述了文件的特性，在個(gè)人化期間建立文件控制信息FCI文件控制信息FCI文件管理數(shù)據(jù)（FMD）

應(yīng)用管理數(shù)據(jù)(AMD)安全域文件基礎(chǔ)文件控制信息FCI:附屬于每個(gè)應(yīng)用的ADF或者應(yīng)用管理數(shù)據(jù)(AMD)數(shù)據(jù)資源可執(zhí)行資源控制密鑰記錄PIN算法命令應(yīng)用管理數(shù)據(jù)(AMD)應(yīng)用管理數(shù)據(jù)(AMD)數(shù)據(jù)資源可執(zhí)行控制密鑰記錄PIN算法GPO和select的功能令select命令將FCI提交給操作系統(tǒng)GPO命令讓COS應(yīng)用提交的AMD，改變安全域狀態(tài)GPO和select的功能令select命令將FCI提交給文件控制參數(shù)（FCP）令——每個(gè)基本文件在