【正文】 臨時密鑰在PSAM卡下電后自動消失，不允許讀。在密鑰裝載前必須用GET CHANLLEGE 命令從PSAM卡取一個4字節(jié)的隨機(jī)數(shù)。代碼值CLA00h INS82hP100hP200hLc08hData發(fā)卡方認(rèn)證數(shù)據(jù)Le不存在表219 EXTERNAL AUTHENTICATION命令報文3） 命令報文數(shù)據(jù)域命令報文數(shù)據(jù)域中包含8字節(jié)的加密數(shù)據(jù)，該數(shù)據(jù)是同主控密鑰對此命令前一條命令“GET CHALLENGE”命令獲得的隨機(jī)數(shù)后綴“00 00 00 00”之后做3DES加密運(yùn)算產(chǎn)生的。4） 響應(yīng)報文數(shù)據(jù)域響應(yīng)報文數(shù)據(jù)域不存在5） 狀態(tài)碼執(zhí)行成功返回9000。表23定義了成功選擇PSE后回送的FCI：標(biāo)志值存在方式‘6F’FCI模板M‘84’DF名M‘A5’FCI專用數(shù)據(jù)M‘88’目錄基本文件的SFIM表23 SELECT PSE的響應(yīng)報文（FCI）表24定義了成功選擇DDF后回送的FCI：標(biāo)志值存在方式‘6F’FCI模板M‘84’DF名M‘A5’FCI專用數(shù)據(jù)M‘88’目錄基本文件的SFIM表24 SELECT DDF的響應(yīng)報文（FCI）表25定義了成功選擇ADF后回送的FCI：標(biāo)志值存在方式‘6F’FCI模板M‘84’DF名M‘A5’FCI專用數(shù)據(jù)M‘9F0C’發(fā)卡方自定義數(shù)據(jù)的FCIO表25 SELECT ADF 的響應(yīng)報文（FCI）5） 狀態(tài)碼執(zhí)行成功返回9000，錯誤狀態(tài)碼如下：SW1SW2含義6283選中的文件無效6284FCI格式與P2指定不符6400標(biāo)志狀態(tài)位沒變6700長度錯誤6A81應(yīng)用鎖定6A82該文件未找到6A86P1或P2不正確6D00INS不正確6E00CLA不正確9303應(yīng)用被永久鎖定61Xx需發(fā)出Get Response命令表26 SELECT FILE 命令狀態(tài)碼2 讀記錄文件（Read Record）1) 定義和范圍Read Record 命令用于讀取記錄文件中內(nèi)容。終端應(yīng)用交易序號只對本應(yīng)用有效。5） 終端信息文件終端信息文件存放終端的信息，在卡片主控密鑰的控制下創(chuàng)建，可自由讀，可在卡片維護(hù)密鑰的控制下改寫。PSAM卡支持多級發(fā)卡的機(jī)制，各級發(fā)卡在卡片主控密鑰和應(yīng)用主控密鑰的控制下創(chuàng)建文件和裝載密鑰。任何關(guān)鍵業(yè)務(wù)的支持人員，及安全管理部門在該業(yè)務(wù)上崗之前必須進(jìn)行相關(guān)的安全培訓(xùn)。因而，只有建筑在盡可能完善安全策略的基礎(chǔ)上，并嚴(yán)格執(zhí)行安全策略的密鑰管理系統(tǒng)，才有實際意義。9） 加密導(dǎo)出分散結(jié)果該命令要求用指定索引的次主密鑰對輸入信息進(jìn)行分散，用指定索引的傳輸密鑰加密導(dǎo)出。1） 硬件加密機(jī)初始化該命令要求明文裝載密鑰，存放在硬件加密機(jī)中，作為主密鑰SHMK。如果沒有加密機(jī)，密鑰運(yùn)算過程在未經(jīng)保護(hù)的機(jī)器上實現(xiàn)，必然導(dǎo)致密鑰在內(nèi)存中以明文形式出現(xiàn)，在這種狀況下為保護(hù)密鑰安全所需花費(fèi)的成本將遠(yuǎn)高于硬件加密機(jī)的成本，如果在多臺機(jī)器上進(jìn)行密鑰運(yùn)算，密鑰還須在機(jī)器之間進(jìn)行傳遞，這也會明顯降低安全性或增加安全成本，采用加密機(jī)之后，密鑰運(yùn)算集中在加密機(jī)中進(jìn)行，使密鑰運(yùn)算更為高速，而且在加密機(jī)之間傳遞密鑰也相對容易些。* 在kIctIM的控制下，創(chuàng)建MF下的EF文件。* 認(rèn)證通過后，商業(yè)銀行加載應(yīng)用主控密鑰kActIM,進(jìn)行二次洗卡。* 如果驗證通過，加載全國密鑰管理總中心的主控密鑰kIctIR，用kMprd將kIctIR加密，將密文3DES（kMprd,kIctIR）載入IC卡，在卡中使用kMprd解密得到3DES1（kMprd,3DES(kMprd,kIctI )）, 即kIctIR。* PC機(jī)向高速發(fā)卡機(jī)發(fā)指令，送入一批卡片，利用生產(chǎn)商母卡上的kMprd來驗證IC卡。3）PSAM二次發(fā)卡商業(yè)銀行可以利用PSAM外部認(rèn)證卡和PSAM卡，加載應(yīng)用主控密鑰KACTIM，然后在應(yīng)用主控密鑰的控制系統(tǒng)，加載其他主密鑰。Ⅰ、直接利用成員行發(fā)卡母卡進(jìn)行密鑰管理成員行可以直接利用下發(fā)的成員行發(fā)卡母卡（MKC）來進(jìn)行密鑰管理，成員行必須首先使用MAKC中的外部認(rèn)證密鑰MAK，供成員行發(fā)卡母卡進(jìn)行外部認(rèn)證，驗證使用者的合法身份，如果驗證通過，成員行可導(dǎo)入自己的傳輸密鑰MMTK，在MMTK的控制下，將銀行的專用密鑰加密導(dǎo)入到卡片中。BKC中密鑰的使用受到嚴(yán)格的控制，在BKC進(jìn)行外部認(rèn)證，并裝在BTK后，BMPK才允許被分散后加密導(dǎo)出?？紤]到安全的需要，密鑰卡中的密鑰的裝載和導(dǎo)出都必須是密文所有的IC卡中先要統(tǒng)一裝載傳輸密鑰RTK，將傳入卡中加密數(shù)據(jù)解密恢復(fù)。具體的過程是：在RMKC中，PSAM傳輸密鑰PRTK對GMPK進(jìn)行加密，得到密文3DES（PRTK，GMPK），將密文載入到發(fā)行的IC卡中；IC卡內(nèi)部是用傳輸密鑰PRTK對密文解密，3DES1（PRTK，3DES（PRTK，GMPK））。在這一批IC卡送交全國密鑰管理總中心的同時，存放生產(chǎn)商密鑰的生產(chǎn)商母卡也要交給全國密鑰管理總中心。YYYYMMDD。外部認(rèn)證密鑰卡是被PIN保護(hù)的，只有輸入正確的PIN以后，才能使用外部認(rèn)證卡。 1 生產(chǎn)商母卡（kMprd 2 白卡（kMprd） 密鑰 替換 全國密鑰 管理總中心 產(chǎn) 生 1 主控母卡RMKC（RTKRPTKRAKGMPK） 2 主控母卡外部認(rèn)證卡RAKC（RAK） 導(dǎo) 出1 二級機(jī)構(gòu)發(fā)卡母卡BKC（RTKBMPKBAK）2 二級機(jī)構(gòu)外部認(rèn)證卡（BAK）3 PSAM卡（RPTKRPAKGMPK）4 PSAM外部認(rèn)證卡（RPAK） 圖2 –3 全國密鑰管理總中心密鑰管理流程圖1） 密鑰替換全國密鑰管理總中心得到一批IC卡，用作下發(fā)給二級密鑰管理中心的母卡和PSAM卡。成員行也可自己產(chǎn)生專用密鑰，將成員行發(fā)卡母卡中的消費(fèi)/取現(xiàn)主密鑰MPK注入到硬件加密機(jī)或母卡，利用硬件加密機(jī)或母卡來提供密鑰服務(wù)。根據(jù)密鑰的用途，系統(tǒng)采用不同的處理策略。二、 安全機(jī)制1 安全體系結(jié)構(gòu)在銀行IC卡聯(lián)合試點(diǎn)中，各級密鑰管理中心利用密鑰管理來實現(xiàn)密鑰的安全管理。二級密鑰管理中心配備密鑰管理服務(wù)器、硬件機(jī)密機(jī)、小型發(fā)卡設(shè)備和系統(tǒng)管理軟件。2 全國密鑰管理中心全國密鑰管理總中心密鑰管理系統(tǒng)產(chǎn)生全國消費(fèi)/取現(xiàn)主密鑰GMPK，為二級密鑰管理中心產(chǎn)生二級消費(fèi)/取現(xiàn)主密鑰BMPK，并依母卡的形式傳輸?shù)礁鞫壝荑€管理中心。kIctlR是全國密鑰管理總中心隨機(jī)產(chǎn)生或采用其他方法產(chǎn)生的，被加密導(dǎo)入后作為這一批IC卡的主控密鑰，控制文件結(jié)構(gòu)的創(chuàng)建和報文的傳送。具體的過程是：全國密鑰管理總中心使用RMKC中的GMPK對各二級機(jī)構(gòu)標(biāo)識進(jìn)行分散,得到BMPK：然后用傳輸密鑰PTK對BMPK進(jìn)行加密，得到密文3DES（RTK，BMPK）。出了全國密鑰管理總中心外，任何其他個人和組織無法得到GMPK的明文，也無法通過PSAM卡來利用GMPK進(jìn)行非法的密鑰運(yùn)算，各個成員行可以向通過二級密鑰管理中心申報所需PSAM卡的數(shù)量，由全國密鑰管理總中心按需求量統(tǒng)一洗卡。具體的過程如下所示：——在生產(chǎn)上密鑰（卡片主控密鑰）的控制下，更新卡片主控密鑰。3 二級密鑰管理中心在從全國密鑰管理總中心接收到二級機(jī)構(gòu)發(fā)卡母卡（BKC）和二級機(jī)構(gòu)外部認(rèn)證密鑰卡（BACK），并驗證了母卡的真實身份后，二級密鑰管理中心利用BKC生成各成員行的消費(fèi)/取現(xiàn)主密鑰，產(chǎn)生各成員銀行的發(fā)卡母卡和相應(yīng)的成員行外部認(rèn)證卡。二級機(jī)構(gòu)可以用城市消費(fèi)/取現(xiàn)主密鑰BMPK對各成員銀行的標(biāo)識（BandID）進(jìn)行分散，得到各成員行的消費(fèi)/取現(xiàn)主密鑰MPK。4 成員銀行成員行接收到二級密鑰管理中心發(fā)來的成員行發(fā)卡母卡（MKC）和成員行外部認(rèn)證卡（MAKC）后，將消費(fèi)/取現(xiàn)主密鑰MPK導(dǎo)入到自己的硬件加密機(jī)（或發(fā)卡系統(tǒng)母卡）中。Ⅲ、將成員行消費(fèi)密鑰導(dǎo)入密鑰管理系統(tǒng)在成員行將MKC中的消費(fèi)/取現(xiàn)主密鑰導(dǎo)入銀行密鑰管理系統(tǒng)時，成員行必須首先使用MAKC中的外部認(rèn)證密鑰MAK，供成員行發(fā)卡母卡進(jìn)行外部認(rèn)證，驗證使用者的合法身份，如果驗證通過，成員行可導(dǎo)入自己的傳輸密鑰MMTK，卡片可以在MMTK的控制下，將MPK加密導(dǎo)出。在一些場合，也可通過磁盤跑盤的形式，將一批密鑰請求匯集起來，以磁盤文件的形式傳給密鑰管理系統(tǒng)，并將應(yīng)答結(jié)果以磁盤文件的形式回傳。* 全國密鑰管理總中心接到這一批IC卡后，首先按統(tǒng)一編號給每一張IC卡分配PSAM序列號（PSN）。* 如果在寫卡或卡號的過程，出現(xiàn)錯誤，則將卡作廢，重新制作一張同樣卡號的卡片。* PC機(jī)向密鑰服務(wù)器發(fā)出一批密鑰運(yùn)算請求，而硬件加密機(jī)（或發(fā)卡母卡）用存放的交易主密鑰對每張卡片的ASN加密，得到卡片子密鑰。五 密鑰管理加密機(jī)密鑰管理加密機(jī)是用于密鑰管理的硬件加密設(shè)備。加密機(jī)在單一通信道上并不緩存命令，也就是說，加密機(jī)并不保證在處理一條命令時可以接受另一條（或多余）命令。6） 產(chǎn)生次主密鑰該命令要求硬件加密機(jī)通過碼單輸入或在內(nèi)部產(chǎn)生一個隨機(jī)數(shù)，進(jìn)行密鑰檢查后，存放在硬件加密機(jī)中，返回密鑰索引。13） 驗證TAC該命令用指定的次主密鑰對輸入數(shù)據(jù)分散產(chǎn)生TAC子密鑰，再對TAC子密鑰的左右兩部分異或產(chǎn)生單長度的過程密鑰，對輸入數(shù)據(jù)加密產(chǎn)生TAC，并與輸入數(shù)據(jù)中的TAC進(jìn)行比較，返回驗證結(jié)果。同時，為了避免權(quán)力過分集中，特別是超級用戶權(quán)力太大，而出現(xiàn)的內(nèi)部人員作案的可能性，管理人員之間應(yīng)互相制約，做到權(quán)力的有效制衡。應(yīng)急措施的原則是：在對密鑰管理中心的安全和風(fēng)險評估的基礎(chǔ)上，由核心到應(yīng)用，由局部到全部，可以采取以下步驟：* 關(guān)閉核心系統(tǒng)時的網(wǎng)絡(luò)通道，隔絕可能的破壞；* 報警及通知有關(guān)人員；* 啟動應(yīng)急系統(tǒng)，如電力應(yīng)急系統(tǒng)，運(yùn)行系統(tǒng)的備份系統(tǒng)等* 清點(diǎn)設(shè)備，如硬件加密機(jī)，密鑰備份卡等；* 妥善保管敏感信息和核心設(shè)備；* 逐步關(guān)閉其它設(shè)備和服務(wù)，保留審計信息；* 分析情況，追查原因；* 作出書面報告；附錄A 名詞解釋3DES加密算法是指使用長度（16字節(jié)）密鑰K=（KL‖KR）將8字節(jié)明文數(shù)據(jù)塊加密成數(shù)據(jù)塊，如下所示：Y=DES（KL）[DES1(KR)[DES(KL[X])]]解密的方式如下：X=DES1（KL）[DES(KR)[DES1(KL[Y])]]雙長度密鑰分散算法簡稱Diversify,是指將一個雙長度的密鑰MK，對分散數(shù)據(jù)進(jìn)行處理，推導(dǎo)出一個雙長度的密鑰DK，推導(dǎo)DK左半部分的方法是：◆將分散數(shù)據(jù)的最右16個數(shù)字作為輸入數(shù)據(jù)◆ 將MK作為加密密鑰◆ 用MK對輸入數(shù)據(jù)進(jìn)行3DEA運(yùn)算推導(dǎo)DK右半部分的方法是：◆ 將分散數(shù)據(jù)的最右16個數(shù)字求反，最為輸入數(shù)據(jù)◆ 將MK作為加密密鑰◆ 用MK對輸入數(shù)據(jù)進(jìn)行3DEA運(yùn)算生產(chǎn)商母卡存放生產(chǎn)商密鑰的母卡，用來保證卡片在生產(chǎn)商和發(fā)行者之間傳輸?shù)陌踩珖荑€管理總中心簡稱RMKC，存放全國密鑰管理總中心多組消費(fèi)主控母卡取現(xiàn)主密鑰的母卡，用來發(fā)放二級機(jī)構(gòu)發(fā)卡母卡和對PSAM卡進(jìn)行統(tǒng)一洗卡主控母卡外部認(rèn)證卡簡稱RAKC，存放全國密鑰管理總中心主控母卡外部認(rèn)證密鑰RAK，用來配合主控母卡的使用PSAM外部認(rèn)證卡簡稱RPAKC，存放PSAM認(rèn)證密鑰RPAK，用來配合成員行向PSAM導(dǎo)入銀行專用密鑰PSAM卡由全國密鑰管理總中心統(tǒng)一洗卡，存放多組GMPK，可供POS機(jī)進(jìn)行脫機(jī)交易的報文運(yùn)算和安全控制二級機(jī)構(gòu)發(fā)卡母卡簡稱BKC，由全國密鑰管理總中心發(fā)放，并由二級密鑰管理中心進(jìn)行密鑰替換，存放二級密鑰管理中心的BMPK，可以用來產(chǎn)生成員行發(fā)卡母卡二級機(jī)構(gòu)外部認(rèn)證卡簡稱BACK，存放二級機(jī)構(gòu)認(rèn)證密鑰BAK，用來配合試點(diǎn)二級機(jī)構(gòu)卡卡母卡的使用成員行發(fā)卡母卡簡稱MKC，由二級密鑰管理中心發(fā)放，存放存放MPK，可供成員行進(jìn)行安全導(dǎo)出，裝載到硬件加密機(jī)或發(fā)卡系統(tǒng)母卡中用戶卡又稱顧客卡，是真正用來脫機(jī)交易的電子錢包和電子存折，裝載交易所需的各個子密鑰第二部分: PSAM卡應(yīng)用規(guī)范(試行) 目錄一、 文件結(jié)構(gòu)391 文件結(jié)構(gòu)392 CDF區(qū)域說明413 ADF區(qū)域說明42二、 基本命令