PBOC2.0安全系列之—脱机认证之静态数据认证(SDA)

PBOC2.0安全系列之—脱机认证之静态数据认证(SDA)

一，什么是PBOC2.0

2005年3月13日，人民银行发布第55号文，正式颁发了《中国金融集成电路（IC）卡规范》(简称PBOC2.0)。该规范补充完善电子钱包/存折应用；增加借/贷记应用；增加非接触式IC卡物理特性标准；增加电子钱包扩展应用指南、借/贷记应用个人化指南等内容。

 

二，什么是脱机认证？

PBOC数据认证方面，有两个大的分类：脱机认证和联机认证。顾名思义，脱机认证是在认证过程中无需在线连接后台，只是终端和IC卡两者结合即可完成数据的认证工作；而联机认证，则在认证过程中，需要联机连接后台，获取认证方面的相关密钥或者证书等才能完成整个认证过程。

举个简单的脱机认证的例子，比如饭堂的饭卡，我们去饭堂吃饭的时候，经常是把钱先充值我们的一张IC卡（有可能是磁条卡），然后打饭买单的时候，只需要用卡在POS机上“滴”一下即可，如果你仔细看，会发现饭堂的POS机其实只是插电源线，而没有另外的线路连接到其他设备（当然，也有可能是有些POS是有连线的），当我们知道，当我们用卡在POS机上“滴”的时候，其实终端（这里是POS）是完成了对卡相关的认证工作的，只是里面认证需要依赖的密钥，证书等是提前下发到POS机而已。

 

三，为什么要在中国金融IC卡借记/贷记应用中采用脱机数据认证？

脱机数据认证是PBOC2.0中的重要部分，是验证金融IC卡的有效手段。未来，消费者在使用符合PBOC2.0要求的金融IC卡进行持卡消费的时候，布置在商家的POS系统会与IC卡交互完成脱机数据认证工作，判断该卡是否被恶意篡改过或非法复制。

在PBOC2.0中定义了两种脱机数据认证的方式，即静态数据认证和动态数据认证。

1，静态数据认证（简称SDA），由终端验证IC卡中的数字签名来完成。其目的是确认存放在IC卡中关键的静态数据的合法性，以及可以发现在卡片个人化以后，对卡内的发卡行数据未经授权的改动，不仅能有效地检测IC卡内关键静态数据的真实性。

2，动态数据认证（简称DDA）。在动态数据认证过程中，终端验证卡片上的静态数