【正文】 認(rèn)證失敗6400標(biāo)志狀態(tài)位沒(méi)變6700長(zhǎng)度錯(cuò)誤（Le為空）6983認(rèn)證方法鎖定6984隨機(jī)數(shù)無(wú)效6985使用條件不滿(mǎn)足（應(yīng)用被鎖定）6A84不支持此功能6A86P1或P2不正確6D00INS不正確6E00CLA不正確9303應(yīng)用被永久鎖定表220 EXTERNAL AUTHENTICATION命令狀態(tài)碼7 取響應(yīng)數(shù)據(jù)（ Get Response）1) 定義和范圍當(dāng)APDU不能用現(xiàn)有協(xié)議傳輸時(shí)，GET RESPONSE命令提供了一種從IC卡向接口設(shè)備傳送APDU（或APDU的一部分）的傳輸方法。錯(cuò)誤狀態(tài)碼如下：SW1SW2含義6400標(biāo)志狀態(tài)位沒(méi)變6581內(nèi)存失敗6900不能處理6981命令與文件結(jié)構(gòu)不相容，當(dāng)前文件非所需文件6982操作條件不滿(mǎn)足6984隨機(jī)數(shù)無(wú)效6985使用條件不滿(mǎn)足（應(yīng)用被鎖定）6986不滿(mǎn)足命令執(zhí)行條件，但前文件不是EF6987MAC丟失6988MAC不正確6A82該文件未找到6A83記錄未找到6A86P1或P2不正確6CXxLe長(zhǎng)度錯(cuò)誤，實(shí)際長(zhǎng)度是xx6D00INS不正確6E00CLA不正確9303應(yīng)用被永久鎖定表212 UPDATE RECORD 命令狀態(tài)碼4 讀二進(jìn)制文件（Read Binary）1） 定義和范圍READ BINARY 命令用于被取讀二進(jìn)制文件的內(nèi)容（或部分內(nèi)容）。IC卡的響應(yīng)由回送的記錄數(shù)據(jù)組成。二、 基本命令1 選擇文件（Select）1） 定義和范圍SELECT命令通過(guò)文件名或AID來(lái)選擇IC卡中的PSE、DDF或ADF。3 ADF區(qū)域說(shuō)明ADF區(qū)域即DF區(qū)域，在PSAM卡的ADF（Application Data File）區(qū)域中，文件創(chuàng)建和密鑰裝載是在應(yīng)用主控密鑰的控制下進(jìn)行，ADF下的文件結(jié)構(gòu)可由應(yīng)用發(fā)行者自行確定。1． 文件結(jié)構(gòu)PSAM卡文件結(jié)構(gòu)符合ISO/IEC78164。培訓(xùn)主要包括如何獲取最新的安全技術(shù)資料，現(xiàn)有系統(tǒng)的安全問(wèn)題，在出現(xiàn)問(wèn)題時(shí)如何尋求援助并報(bào)警，如何采取緊急措施進(jìn)行恢復(fù)并將影響減為最小健全管理隊(duì)伍的訓(xùn)練等內(nèi)容。1 安全管理策略1） 管理機(jī)構(gòu)使用密鑰管理系統(tǒng)的機(jī)構(gòu)必須有獨(dú)立的安全管理部門(mén)，負(fù)責(zé)整個(gè)安全概念及安全策略的制定、實(shí)現(xiàn)、監(jiān)督安全策略的貫徹、執(zhí)行，并定期進(jìn)行審計(jì)，有條件的可以請(qǐng)第三方獨(dú)立的管理人員負(fù)責(zé)。該命令主要是針對(duì)關(guān)系到跨行共享的密鑰，如GMPK、BMPK。2） 傳輸密鑰初始化該命令要求明文裝載密鑰，存放在硬件加密機(jī)中，作為傳輸主密鑰。加密機(jī)可以減輕密鑰管理員的責(zé)任，降低密鑰管理工作的成本，由于加密機(jī)本身提供了管理接口和監(jiān)控接口，密鑰可以在加密機(jī)中得到有效的管理，密鑰的生成、作廢、替換等等工作都可以通過(guò)加密接口提供，從而使密鑰管理工作大為簡(jiǎn)化。* 在kActI 的控制下，創(chuàng)建ADF下的文件，寫(xiě)入卡片子密鑰。3 用戶(hù)卡發(fā)卡流程* 在IC卡生產(chǎn)過(guò)程中，IC卡生產(chǎn)廠商在卡中設(shè)置生產(chǎn)商密鑰（kMprd）。* 在kIctIR的控制下，創(chuàng)建MF下的EF文件和ADF文件。* 如果驗(yàn)證通過(guò)，加載母卡發(fā)卡機(jī)構(gòu)的主控密鑰kIctI (kIctIR或kIctIM), 用kMprd 將kIctI加密，將密文3DES（kMprd,kIctI）載入IC卡，在卡中使用kMprd解密得到3DES1（kMprd,3DES(kMprd,kIctI )）, 即kIctI。商業(yè)銀行將PSAM卡用于何種場(chǎng)合，卡以何種方式加載何種密鑰，由各商業(yè)自行決定。成員行可以直接利用MKC來(lái)提供密鑰服務(wù)，如發(fā)放用戶(hù)卡、向PSAM卡導(dǎo)入專(zhuān)用密鑰、清算等。MKC中有：密鑰種類(lèi)組數(shù)備注BTK一組導(dǎo)入MPK的傳輸密鑰MAK一組成員行發(fā)卡母卡外部認(rèn)證密鑰MPK五組成員行消費(fèi)/取現(xiàn)主密鑰，可供成員行發(fā)卡成員行發(fā)卡中應(yīng)有一文件，記錄卡片初始化的有關(guān)信息，以便今后跟蹤審計(jì)和安全管理：* 卡片和人化標(biāo)識(shí)，必須，位于CDF（Common Data File）區(qū)域，操作條件不可變，長(zhǎng)度為一個(gè)字節(jié)，內(nèi)容是全國(guó)密鑰管理總中心定義的個(gè)人化標(biāo)識(shí)；* CDF激活標(biāo)識(shí)，可選，位于CDF區(qū)域，操作條件不可變，格式為10個(gè)字節(jié)，前6個(gè)字節(jié)是ISO7812中定義的發(fā)行者標(biāo)識(shí)，后四個(gè)字節(jié)是全國(guó)密鑰管理總中心定義的附加標(biāo)識(shí)符；* CDF激活序列號(hào)，可選，位于CDF區(qū)域，操作條件不可變；格式為10個(gè)字節(jié)，由二級(jí)機(jī)構(gòu)定義。2） 成員行發(fā)卡母卡在發(fā)放成員行發(fā)卡母卡時(shí)，二級(jí)機(jī)構(gòu)必須首先使用BACK中的外部認(rèn)證密鑰RAK，供二級(jí)機(jī)構(gòu)發(fā)卡母卡進(jìn)行外部認(rèn)證，驗(yàn)證使用者的合法身份，如果卡片驗(yàn)證通過(guò)，二級(jí)機(jī)構(gòu)可載入傳輸密鑰BTK。得到GMPK，放在MF下的密鑰文件中。全國(guó)密鑰管理總中心在接到這批卡之后，用生產(chǎn)商母卡中的生產(chǎn)商密鑰kMprd來(lái)鑒別每一張IC卡。二級(jí)機(jī)構(gòu)發(fā)卡母卡要正常工作，需有存放RAK的二級(jí)機(jī)構(gòu)外部認(rèn)證密鑰卡（BACK）相配合。1） 二級(jí)機(jī)構(gòu)母卡在發(fā)放二級(jí)機(jī)構(gòu)母卡時(shí)，全國(guó)密鑰管理總中心首先進(jìn)行主控母卡（RMKC）和主控母卡外部認(rèn)證卡（RAKC）的雙向認(rèn)證。每張卡上都有IC卡生產(chǎn)商設(shè)置的密鑰kMprd，用來(lái)控制IC卡的安全傳輸，以防止IC卡在生產(chǎn)上和全國(guó)密鑰管理總中心之間被替換。全國(guó)密鑰管 理總中心 硬件加密機(jī) 密鑰管理服務(wù)器 母卡、PSAM卡二級(jí)密鑰管 理總中心 硬件加密機(jī) 密鑰管理服務(wù)器 母卡、PSAM卡 硬件加密機(jī) 密鑰管理服務(wù)器 內(nèi)部網(wǎng)絡(luò)過(guò)濾 erthernet成員銀行 Ethernete 圖2—2 安全體系結(jié)構(gòu)為保證密鑰使用的安全，并考慮到實(shí)際使用的需要，全國(guó)密鑰管理總中心需要產(chǎn)生多組GMPK，并向PSAM卡中注入，同時(shí)各法卡銀行也需要向用戶(hù)卡中寫(xiě)入相應(yīng)的多組子密鑰，如果其中一組密鑰被泄露或被攻破，銀行將立即廢止該組密鑰，并在所有的POS機(jī)上使用另一組密鑰，這就在充分保證安全性的條件下，盡可能的避免現(xiàn)有投資和設(shè)備的浪費(fèi)。 全國(guó)密鑰 GMPK 管理總中心 二級(jí)機(jī) 構(gòu)標(biāo)識(shí) 二級(jí)密鑰 BMPK 管理中心 銀行標(biāo)識(shí) 成員銀行中心 MPK 圖2—1 密鑰分散流程圖GMPK是整個(gè)系統(tǒng)的根密鑰，只能由全國(guó)密鑰管理總中心產(chǎn)生和控制，并裝載到下發(fā)的PSAM卡中； MPK由二級(jí)密鑰管理中心利用全國(guó)密鑰管理總中心下發(fā)的二級(jí)機(jī)構(gòu)發(fā)卡母卡產(chǎn)生，并通過(guò)母卡傳輸?shù)匠蓡T銀行；其他主密鑰由成員行自行產(chǎn)生，并裝載到母卡或硬件加密機(jī)中。0）》和《銀行IC卡聯(lián)合試點(diǎn)技術(shù)方案》，方便各成員銀行自主發(fā)卡，實(shí)現(xiàn)讀卡機(jī)具共享，完成異地跨行交易，該方案遵循以下幾條設(shè)計(jì)原則：* 密鑰管理系統(tǒng)采用3DES加密算法，采用全國(guó)密鑰管理總中心，二級(jí)密鑰管理中心和成員銀行中心三級(jí)管理體制，實(shí)現(xiàn)公共主密鑰的安全共享；* 在充分保證密鑰安全性的基礎(chǔ)上，支持IC卡聯(lián)合試點(diǎn)密鑰的生成、注入、導(dǎo)出、備份、恢復(fù)、更新、服務(wù)等功能，實(shí)現(xiàn)密鑰的安全管理；* 密鑰受到嚴(yán)格的權(quán)限控制，不同機(jī)構(gòu)或人員對(duì)不同密鑰的讀、寫(xiě)、更新、使用等操作具有不同的權(quán)限；* 用戶(hù)可根據(jù)實(shí)際使用的需要，選擇密鑰管理系統(tǒng)不同的配置和不同功能；* 密鑰服務(wù)一般以硬件加密機(jī)的形式提供，也可采用密鑰卡的形式；* 密鑰存儲(chǔ)以密鑰卡或硬件加密機(jī)的形式提供，而密鑰備份可以采用密鑰卡或密碼信封的形式。同時(shí)，全國(guó)密鑰管理總中心還需對(duì)要下發(fā)的所有PSAM卡進(jìn)行統(tǒng)一洗卡，裝入GMPK，和PSAM外部認(rèn)證卡一起傳遞給二級(jí)密鑰管理中心。綜合考慮幾方面的因素，密要管理系統(tǒng)中使用五組消費(fèi)/取現(xiàn)主密鑰，而其他主密鑰的組數(shù)由成員行自行決定，建議一般不少于兩組。鑒別通過(guò)后，全國(guó)密鑰管理總中心將用自己產(chǎn)生的密鑰kIctlR，來(lái)替換卡上的生產(chǎn)商密鑰kMprd，稱(chēng)為卡上的主控密鑰，具體的過(guò)程是：全國(guó)密鑰管理總中心首先使用生產(chǎn)商母卡中密鑰kMprd 將kIctlR加密，得到3DES（kMprd，kIctlR），然后將加密過(guò)的密文載入IC卡中；在IC卡內(nèi)部使用kMprd解密密文，3DES1（kMprd，3DES（kMprd，kIctlR）），還原得到kIctlR，然后立即作廢kMprd。BMPK = Diversify (GMPK, BrandID)在傳輸密鑰PTK的控制下，全國(guó)密鑰管理總中心密鑰管理系統(tǒng)利用RMKC加密裝載BMPK。2） PSAM洗卡GMPK使整個(gè)系統(tǒng)的根密鑰，如果一旦被盜取或被非法使用，從而帶來(lái)政治、經(jīng)濟(jì)上的重大損失，所以，從安全的角度來(lái)說(shuō)，全國(guó)所有的PSAM卡必須在全國(guó)密鑰管理總中心統(tǒng)一安全裝載GMPK。全國(guó)密鑰管理總中心必須在卡片主控密鑰的控制下裝載和更新密鑰。全國(guó)密鑰管理總中心還須為成員行產(chǎn)生相應(yīng)的PSAM外部認(rèn)證卡（PAKC），通過(guò)二級(jí)密鑰管理中心發(fā)給各成員行，用來(lái)控制裝載各成員銀行的專(zhuān)用密鑰。在二級(jí)密鑰管理中心密鑰管理系統(tǒng)中，利用裝載BTK的二級(jí)機(jī)構(gòu)發(fā)卡母卡，二級(jí)機(jī)構(gòu)可以發(fā)放成員行發(fā)卡母卡，加密裝載MPK。外部認(rèn)證密鑰卡是被PIN保護(hù)的，只有輸入正確的PIN以后，才能使用外部認(rèn)證卡。成員行可利用硬件加密機(jī)來(lái)提供密鑰服務(wù)。密鑰管理系統(tǒng)可以通過(guò)TCP/IP協(xié)議與銀行IC卡系統(tǒng)進(jìn)行通訊，作為密鑰服務(wù)器，實(shí)時(shí)響應(yīng)銀行主機(jī)系統(tǒng)的密鑰請(qǐng)求，快速運(yùn)算得到密鑰運(yùn)算結(jié)果，回傳給請(qǐng)求者。2 PSAM卡發(fā)流程* 在IC卡生產(chǎn)過(guò)程中，IC卡生產(chǎn)商在卡中設(shè)置生產(chǎn)商密鑰（kMprd），控制IC卡的安全運(yùn)輸，以防止在IC卡生產(chǎn)商和卡發(fā)行機(jī)構(gòu)間被人替換，在將IC卡交給發(fā)卡銀行的同時(shí)，也將裝有生產(chǎn)商密鑰的母卡交給發(fā)卡銀行。* 在卡上打印PSAM序列號(hào)。每張IC卡具有唯一的ASN，不同的IC卡具有不同的ASN。四 PSAM卡詳見(jiàn)第二部分“PSAM卡應(yīng)用規(guī)范（試行）”。加密機(jī)保證單一通信通道上命令與響應(yīng)的唯一對(duì)應(yīng)性。5） 產(chǎn)生隨機(jī)數(shù)該命令要求硬件加密機(jī)產(chǎn)生一個(gè)隨機(jī)數(shù)，并直接返回給請(qǐng)求者。12） 驗(yàn)證MAC該命令用指定的次主密鑰對(duì)輸入數(shù)據(jù)分散加密產(chǎn)生MAC，與輸入數(shù)據(jù)中的MAC進(jìn)行比較，返回驗(yàn)證結(jié)果。系統(tǒng)業(yè)務(wù)應(yīng)有明確的分工，每一項(xiàng)業(yè)務(wù)都應(yīng)該指定專(zhuān)人負(fù)責(zé)，避免管理人員之間互相扯皮推諉而可能造成的損失。目的在于為此類(lèi)事件時(shí)，提供一個(gè)基本的向?qū)Чδ?。PSAM卡中PSA的路徑可以通過(guò)明確選擇支付系統(tǒng)環(huán)境（PSE）來(lái)激活PSAM卡文件結(jié)構(gòu)如下圖所示： DIR目錄 數(shù)據(jù)文件 MF（用于PSE）卡片維護(hù)密 鑰 數(shù) 據(jù) 元卡片維護(hù)密 鑰 數(shù) 據(jù) 元卡片公共信 息 文 件文文件 終端信息 文 件應(yīng)用主控密鑰數(shù)據(jù)元 DF（PBOC 應(yīng)用ADF）應(yīng)用維護(hù)密鑰數(shù)據(jù)元應(yīng)用主工作密鑰數(shù)據(jù)元應(yīng)用公共信息文件終端應(yīng)用交易序號(hào)數(shù)據(jù)元 DF2 DF3 圖1 PSAM卡文件結(jié)構(gòu) CDF區(qū)域說(shuō)明CDF區(qū)域即MF區(qū)域，在PSAM卡的CDF區(qū)域，文件創(chuàng)建和密鑰裝載是在卡片主控密鑰的控制下進(jìn)行，1） DIR目錄數(shù)據(jù)文件DIR目錄數(shù)據(jù)文件的說(shuō)明參考《中國(guó)金融集成電路（IC）卡規(guī)范》，但DIR目錄數(shù)據(jù)文件的入口地址必須包括全國(guó)通用的ADF。2） 應(yīng)用維護(hù)密鑰應(yīng)用維護(hù)密鑰用于卡片ADF區(qū)域的應(yīng)用維護(hù)，在應(yīng)用主控密鑰的控制下裝載和更新，卡片的管理者可在應(yīng)用維護(hù)密鑰的控制下；* 安全更新記錄文件* 安全更新二進(jìn)制文件* 進(jìn)行應(yīng)用解鎖卡片維護(hù)密鑰的控制通過(guò)安全報(bào)文的形式實(shí)現(xiàn)。從IC卡的響應(yīng)報(bào)文應(yīng)由回送的FCI組成。在使用當(dāng)前記錄地址時(shí), 該命令將在修改記錄成功后重新設(shè)定記錄指針。MAC是由卡片維護(hù)密鑰或應(yīng)用維護(hù)密鑰對(duì)更新原有數(shù)據(jù)的新數(shù)據(jù)計(jì)算而得到的。該隨機(jī)數(shù)服務(wù)于安全過(guò)程（如安全報(bào)文），在使用隨機(jī)數(shù)的命令執(zhí)行后失效。4）響應(yīng)報(bào)文數(shù)據(jù)域響應(yīng)報(bào)文數(shù)據(jù)域不存在5）狀態(tài)碼執(zhí)行成功返回900