ICS 35.240.40 A 11 JR 中 华 人 民 共 和 国 金融行 业 标 准 JR/T 0025.7—2018 代替JR/T 0025.7 —2013、JR/T 0025.17 —2013 中国金融集成电路（ IC）卡规范 第7部分：借记 /贷记应用安全规范 China financial integrated circuit card specifications — Part 7：Debit/credit application security specification 2018 -11 - 28发布 2018 - 11 - 28实施 中国人民银行 发布 JR/T 0025.7 —2018 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ................ IV 1 范围 ................................ ................................ .............. 1 2 规范性引用文件 ................................ ................................ .... 1 3 术语和定义 ................................ ................................ ........ 1 4 缩略语 ................................ ................................ ............ 5 5 脱机数据认证 ................................ ................................ ...... 7 6 应用密文和发卡行认证 ................................ ............................. 38 7 安全报文 ................................ ................................ ......... 40 8 卡片安全 ................................ ................................ ......... 42 9 终端安全 ................................ ................................ ......... 46 10 密钥管理体系 ................................ ................................ .... 51 11 安全机制 ................................ ................................ ........ 57 12 认可的算法 ................................ ................................ ...... 63 13 算法选择与交易流程 ................................ .............................. 65 附录A（规范性附录） 算法标识 ................................ ....................... 71 参考文献 ................................ ................................ ............ 73 JR/T 0025.7 —2018 II 前 言 JR/T 0025—2018《中国金融集成电路（ IC）卡规范》分为 14部分： ——第1部分：总则； ——第3部分：与应用无关的 IC卡与终端接口规范； ——第4部分：借记 /贷记应用规范； ——第5部分：借记 /贷记应用卡片规范； ——第6部分：借记 /贷记应用终端规范； ——第7部分：借记 /贷记应用安全规范； ——第8部分：与应用无关的非接触式规范； ——第10部分：借记 /贷记应用个人化指南； ——第12部分：非接触式 IC卡支付规范； ——第13部分：基于借记 /贷记应用的小额支付规范； ——第14部分：非接触式 IC卡小额支付扩展应用规范； ——第15部分：电子现金双币支 付应用规范； ——第16部分：IC卡互联网终端规范； ——第18部分：基于安全芯片的线上支付技术规范。 本部分为 JR/T 0025 —2018的第7部分。 本部分按照 GB/T 1.1 —2009给出的规则起草。 本部分代替 JR/T 0025.7 —2013《中国金融集成电路（ IC）卡规范 第7部分：借记 /贷记安全规范》 及JR/T 0025.17 —2013《中国金融集成电路（ IC）卡规范 第17部分：借记 /贷记应用安全增强规范》， 与JR/T 0025.7 —2013和JR/T 0025.17 —2013相比主要技术变化如下： ——将JR/T 0025 —2013中第17部分与第 7部分合并，对应章节内容合并； ——删除“所有的长度以字节为单位”，增加“参数应使用 GB/T 32918 指定的素数域 256位椭圆曲 线参数”（见 5.2）； ——将“用认证中心公钥从发卡行公钥证书恢复发卡行公钥”修改为“用认证中心公钥验证发卡行 公钥证书并从该证书中提取出发卡行公钥”（见 5.2.3.3，5.2.3.4）； ——将图1“用PCA从发卡行公钥证书恢复 PI；用PI恢复签名应用数据”修改为“用 PCA验证发卡行公 钥证书并从该证书提取出 PI；用PI验证签名应 用数据”（见 5.3.1）； ——将“静态数据认证应使用一种在 11.2条和12.2条中指明的可逆算法”修改为“静态数据认证应 使用一种在 11.2条和12.2条中指明的签名算法”（见 5.3.1）； ——关于发卡行公钥的余项，将“他在 IC卡中的存在是可选的”修改为：“在满足一定条件的前提 下，他应在 IC卡中存在” （见5.3.1）； ——按原标准第 17部分的方式，修改语言描述。其描述方式更为清楚（见 6.2.2）； ——将“基于 128位分组加密算法获得 16字节ARPC”，修改为“基于 128位分组密码算法获得 16字节 ARPC0”。经过计算获取的 16字节只是中间数值，需要取前 8字节才是 ARPC，故修改为 ARPC0（见 6.3）； ——将 “按上面描述的方法计算得到 8个字节的结果后” ， 修改为 “按上面描述的方法计算 得到8/16 个字节的结果后”， SM4算法的计算结果为 16字节，增加相应的说明（见 7.3.3）； JR/T 0025.7 —2018 III ——密钥管理系统中增加了接入安全控制要求， 并对设备安全管理要求增加了密码设备工作状态的 监控要求（见 10.4.1）； ——将“用以下方法计算 8字节的块 HK+1”修改为“用以下方法计算 16字节的块 HK+1”；将“ HK+1：=HKL ⊕HKR”，修改为“ HK+1：=HK”。该节适用于 SM算法，在 SM4算法下，数据块大小为 16字节，且 根据原第 17部分描述， HK+1：=HK（见11.1.2.2 ）； ——改为“对于 DES算法，可将 Z的每个字节的最低位设置为使得该字节有奇数个非 0位（为了符合 对DES算法中密钥奇校验的要求）。 16字节的IC卡子密钥 MK就等于Z。”，允许设置或不设置 奇校验，以满足对银行各类需求的最大兼容（见 11.1.4）； ——删除原第17部分的“10.6 个人化相关密钥的初始化”，归入第 10部分的8.2； ——删除原第17部分的“11 PIN修改/解锁命令数据计算方式”，归入第 5部分的B.10； ——增加对卡片行为分析的描述（见 13.4.4）； ——删除EMV保留使用的算法标识（见附录 A）。 本部分由中国人民银行提出。 本部分由全国金融标准化技术委员会（ SAC/TC 180 ）归口。 本部分起草单位：中国人民银行、中国工商银行、中国银行、中国建设银行、中国农业银行、交通 银行、中国邮政储蓄银行、上海浦东发展银行、中国银联股份有限公司、中国金融电子化公司、银行卡 检测中心、中钞信用卡产业发展有限公司、捷德（中国）信息科技有限公司、惠尔丰（中 国）信息系统 有限公司、福建联迪商用设备有限公司、东信和平科技股份有限公司、北京中电华大电子设计有限责任 公司、飞天诚信科技股份有限公司。 本部分主要起草人：李伟、王永红、李晓枫、陆书春、潘润红、李兴锋、宋汉石、渠韶光、邵阔义、 杜宁、周玥、张