1.EMV非对称密钥管理体系
非对称密钥管理体系主要用在支撑IC卡脱机业务安全与认证。EMV非对称密钥用两级密钥管理体系,包括根CA系统与发卡行CA系统。
(1)根CA系统
该系统主要是生成根CA证书:接纳发卡行证书的申请,为其签发公钥证书;给收单行颁布根CA公钥,借助收单行把根CA公钥发到受理终端。
(2)发卡行CA系统
发卡行借贷记应用CA系统是完整系统的安全核心系统,主要负责实现发卡行证书的申请、管理、IC卡应用相关的密钥(包括应用密钥、卡片个人化交换主密钥等)管理,同时负责把各类密钥分发给卡片制造商、卡片个人化中心及业务前置交易加密机等。
2.密钥种类
EMV非对称密组管理涉及的密钥种类主要有根CA公私钥对、发卡行公私钥对和IC卡公私钥对三种,如下所示:
根CA公钥:主要功能为由认证中心产生,以公钥证书文件形式下发,发卡行用于验证发卡证书有效性。
根CA私钥:由认证中心产生,存储在加密机中,用于签发发卡行公钥证书。
发卡行公钥:由发卡行产生,并经过CA中心签发后形成发卡行公钥证书。用于发卡时装载到IC卡中。
发卡行私钥:由发卡行产生,并通过加密机密钥加密后存储在主机数据库中。用于签发IC卡静态数据签名及IC卡。
IC卡公钥:采用DDA认证方式的卡片需要此密钥,由发卡行私钥签发形成IC卡公钥证书存储在IC卡。
IC卡私钥:采用DDA认证方式的卡片需要此密钥,用于IC卡与终端进行DDA认证。
