这一章的目的是提供一些方法来供IC卡生成应用密文(TC,ARQC或AAC),供发卡行生成授权响应密文(ARPC)并由IC卡校验。
一个应用密文是由基于以下数据生成的报文认证码组成的:
l 引用IC卡的DOL并通过生成应用密文(GENERATE AC)命令或其它命令从终端传输到IC卡的数据
l IC卡内部访问的数据需包含在应用密文生成中的推荐的最小数据集由表22详细说明。
值 |
来源 |
授权金额(数字) |
终端 |
其它金额(数字) |
终端 |
终端国家代码 |
终端 |
终端验证结果 |
终端 |
交易货币代码 |
终端 |
交易日期 |
终端 |
交易类型 |
终端 |
不可预知数 |
终端 |
应用交互特征 |
IC卡 |
应用交易序号 |
IC卡 |
l表22 - 推荐的应用密文生成中使用的最小数据集
应用密文生成的方法是以一个唯一的16字节的IC卡应用密文主密钥MKAC以及按8.1.1节的描述选择的数据作为输入,然后按以下的两步计算8字节的应用密文:
1. 第一步从IC卡应用密文主密钥MKAC和两字节的IC卡应用交易序号作为输入,发散得到十六字节的应用密文过程密钥SKAC,使用附录A1.3中指明的过程密钥发散函数。
2. 第二步使用上一步发散得到的16字节的应用密文过程密钥并将附录A1.2中指明的MAC算法应用到经选择的数据来生成8字节的应用密文。
2字节的授权响应代码ARC按以下的方式应用于8字节的由IC卡按8.1节描述的方法生成的ARQC:
1. 在2字节的ARC的后面补上6个‘00’字节来获得一个8字节的数
X := (ARC || ‘00’ || ‘00’ || ‘00’ || ‘00’ || ‘00’ || ‘00’)。
2. 计算 Y:= ARQC⊕X。
3. 八字节的ARPC通过
ARPC:= DES3(SKAC)[Y]
获得。
应用密文和发卡行认证的机制要求发卡行管理唯一的IC卡应用密文主密钥。附录A1.4中描述了一种从PAN和PAN序号发散得到IC卡应用密文主密钥的方法。