PBOC/EMV之CDA(復(fù)合數(shù)據(jù)認(rèn)證)

文章出處：http://www.jrzgy.com 作者： 人氣： 發(fā)表時(shí)間：2012年05月27日

    CDA其實(shí)是DDA的衍生方法. 所以它和DDA有很多相同的地方. 先簡(jiǎn)要說(shuō)明一下CDA的幾個(gè)要點(diǎn):

    1 它也執(zhí)行SDA，這個(gè)和DDA是一致的.

    2 它也執(zhí)行DDA，更先進(jìn)的技術(shù)總是向下兼容的.

    3 它也用到簽名的動(dòng)態(tài)應(yīng)用數(shù)據(jù), 不過(guò)這個(gè)數(shù)據(jù)不是內(nèi)部認(rèn)證請(qǐng)求的，而是在GAC時(shí)終端請(qǐng)求的. 而且這個(gè)數(shù)據(jù)的組成除了一些和DDA相似的組成(DOL數(shù)據(jù))，還包括密文數(shù)據(jù)(TC或ARQC).

    4 既然簽名的動(dòng)態(tài)數(shù)據(jù)多了卡片的密文數(shù)據(jù)，那最后的驗(yàn)證階段也比DDA多了一些步驟,CDA還需要比較應(yīng)用密文.

    下面是詳細(xì)的步驟:

    第一步,取IC卡公鑰：這個(gè)和DDA的方法是一樣的,不再說(shuō)明.
    第二步,取簽名的動(dòng)態(tài)數(shù)據(jù)：通過(guò)GAC返回,當(dāng)IC卡返回非AAC類型的密文時(shí), 如果終端請(qǐng)求CDA，IC卡會(huì)返回這個(gè)簽名的數(shù)據(jù).這個(gè)簽名數(shù)據(jù)的產(chǎn)生也比DDA稍復(fù)雜一些，其實(shí)是原理是一樣的，只不過(guò)需要參與簽名的數(shù)據(jù)項(xiàng)增加了，也即用于產(chǎn)生哈希結(jié)果的數(shù)據(jù)項(xiàng)增加了. 如果是在第一次GAC產(chǎn)生CDA簽名,那么參與運(yùn)算的數(shù)據(jù)項(xiàng)包括PDOL中的數(shù)據(jù)，CDOL1的數(shù)據(jù)以及其它(比如數(shù)據(jù)頭，長(zhǎng)度等), 如果是在第二次GAC產(chǎn)生CDA簽名，那么還要加上CDOL2中指定的數(shù)據(jù)項(xiàng).
    第三步,驗(yàn)證數(shù)據(jù)：前面說(shuō)到了，最后一步數(shù)據(jù)的驗(yàn)證較DDA是多了一個(gè)應(yīng)用密文的比較, 終端首先將將恢復(fù)的密文數(shù)據(jù)和GAC返回的密文數(shù)據(jù)比較. 如果不等，CDA就失敗.

    剩下的步驟和DDA是一樣的.

    既然CDA和DDA有很多機(jī)同的地方，那么它存在的意義在哪呢? 我說(shuō)說(shuō)自己的理解.

    CDA和DDA的區(qū)別, 核心就在于CDA對(duì)卡片行為分析產(chǎn)生的應(yīng)用密文做了一層加密保護(hù),確保密文是來(lái)自于合法的卡片. 這個(gè)有點(diǎn)像我們?cè)贏TM上取錢(qián)時(shí)，輸入的密碼，經(jīng)過(guò)加密后再傳到銀行的服務(wù)器. 銀行的服務(wù)器解密后再驗(yàn)證密碼的正確性.這樣更安全了.

    另外一點(diǎn)，CDA參與哈希運(yùn)算的數(shù)據(jù)項(xiàng)增加了, 就表示這種認(rèn)證機(jī)制更加嚴(yán)格了, 比如我就遇到過(guò)因?yàn)榻K端國(guó)家代碼的值設(shè)置錯(cuò)誤導(dǎo)致CDA失敗的情況.

    根據(jù)信息安全行業(yè)發(fā)展的規(guī)律來(lái)推測(cè), CDA應(yīng)該會(huì)慢慢淘汰SDA和DDA成為主流甚至是強(qiáng)制要求. 當(dāng)然以后也可能會(huì)產(chǎn)生新的更加安全的數(shù)據(jù)認(rèn)證機(jī)制.