金融IC卡动态数据认证和静态数据认证

2024年3月16日发(作者：贺敬之)

金融IC卡动态数据认证和静态数据认证

SAD——被签名的静态应用数据（Signed Static Application Data）

SDA——静态数据认证（Static Data Authentication）

DDA——动态数据认证（Dynamic Data Authentication）

DDOL——动态数据认证数据对象列表（Dynamic Data Authentication Data

Object List）

SDA——静态数据认证

SDA过程中，卡片没有执行任何处理，以下概述了终端执行的处理步骤：

a) CA 公钥的获取。终端使用卡片上的 CA PKI 以及 RID 来获取存储在终端的

CA 公钥和相关信息；

b) 发卡行公钥的获取。终端用 CA 公钥验证发卡行公钥证书，验证正确则从发卡行公钥证书中取出发卡行公钥；

c) SAD 的验证。终端用发卡行公钥验证签名静态应用数据，若验证不正确，则数据可能被改变过，SDA 认证失败。

若以上所有步骤得以成功执行，则SDA通过。

若SDA失败，终端设置终端验证结果中的相应指示器，以显示SDA结果，并在随后的处理中使用该指示器决定交易的处理。

DDA——动态数据认证

这个处理过程，除了动态签名由卡片生成以外，其他都是由终端执行的。处理过程如下：

步骤1：CA公钥的获取。终端用CA PKI以及卡片中的RID来获取储存在终端中的CA公钥以及相关信息；

步骤2：发卡行公钥的获取。终端用CA公钥验证发卡行公钥证书，验证正确则从发卡行公钥证书中取出发卡行公钥；

步骤3：IC卡公钥的获取。终端用发卡行公钥验证IC卡公钥证书，验证正确则从IC卡公钥证书中取出IC卡公钥。若IC卡公钥证书验证不正确，则DDA失败；

步骤4：动态签名生成。终端发送包括动态随机数的INTERNAL AUTHENTICATE命令给卡片。卡片用IC卡私钥生成一个动态签名，把此动态签名传递给终端；

步骤5：动态签名校验。终端用IC卡公钥验证动态签名，若验证不正确，则DDA失败。