【正文】 4）響應(yīng)報文數(shù)據(jù)域響應(yīng)報文數(shù)據(jù)域不存在5）狀態(tài)碼執(zhí)行成功返回9000。MAC是由卡片維護(hù)密鑰或應(yīng)用維護(hù)密鑰對更新原有數(shù)據(jù)的新數(shù)據(jù)計(jì)算而得到的。從IC卡的響應(yīng)報文應(yīng)由回送的FCI組成。PSAM卡中PSA的路徑可以通過明確選擇支付系統(tǒng)環(huán)境（PSE）來激活PSAM卡文件結(jié)構(gòu)如下圖所示： DIR目錄 數(shù)據(jù)文件 MF（用于PSE）卡片維護(hù)密 鑰 數(shù) 據(jù) 元卡片維護(hù)密 鑰 數(shù) 據(jù) 元卡片公共信 息 文 件文文件 終端信息 文 件應(yīng)用主控密鑰數(shù)據(jù)元 DF（PBOC 應(yīng)用ADF）應(yīng)用維護(hù)密鑰數(shù)據(jù)元應(yīng)用主工作密鑰數(shù)據(jù)元應(yīng)用公共信息文件終端應(yīng)用交易序號數(shù)據(jù)元 DF2 DF3 圖1 PSAM卡文件結(jié)構(gòu) CDF區(qū)域說明CDF區(qū)域即MF區(qū)域，在PSAM卡的CDF區(qū)域，文件創(chuàng)建和密鑰裝載是在卡片主控密鑰的控制下進(jìn)行，1） DIR目錄數(shù)據(jù)文件DIR目錄數(shù)據(jù)文件的說明參考《中國金融集成電路（IC）卡規(guī)范》，但DIR目錄數(shù)據(jù)文件的入口地址必須包括全國通用的ADF。系統(tǒng)業(yè)務(wù)應(yīng)有明確的分工，每一項(xiàng)業(yè)務(wù)都應(yīng)該指定專人負(fù)責(zé)，避免管理人員之間互相扯皮推諉而可能造成的損失。5） 產(chǎn)生隨機(jī)數(shù)該命令要求硬件加密機(jī)產(chǎn)生一個隨機(jī)數(shù)，并直接返回給請求者。四 PSAM卡詳見第二部分“PSAM卡應(yīng)用規(guī)范（試行）”。* 在卡上打印PSAM序列號。密鑰管理系統(tǒng)可以通過TCP/IP協(xié)議與銀行IC卡系統(tǒng)進(jìn)行通訊，作為密鑰服務(wù)器，實(shí)時響應(yīng)銀行主機(jī)系統(tǒng)的密鑰請求，快速運(yùn)算得到密鑰運(yùn)算結(jié)果，回傳給請求者。外部認(rèn)證密鑰卡是被PIN保護(hù)的，只有輸入正確的PIN以后，才能使用外部認(rèn)證卡。全國密鑰管理總中心還須為成員行產(chǎn)生相應(yīng)的PSAM外部認(rèn)證卡（PAKC），通過二級密鑰管理中心發(fā)給各成員行，用來控制裝載各成員銀行的專用密鑰。2） PSAM洗卡GMPK使整個系統(tǒng)的根密鑰，如果一旦被盜取或被非法使用，從而帶來政治、經(jīng)濟(jì)上的重大損失，所以，從安全的角度來說，全國所有的PSAM卡必須在全國密鑰管理總中心統(tǒng)一安全裝載GMPK。鑒別通過后，全國密鑰管理總中心將用自己產(chǎn)生的密鑰kIctlR，來替換卡上的生產(chǎn)商密鑰kMprd，稱為卡上的主控密鑰，具體的過程是：全國密鑰管理總中心首先使用生產(chǎn)商母卡中密鑰kMprd 將kIctlR加密，得到3DES（kMprd，kIctlR），然后將加密過的密文載入IC卡中；在IC卡內(nèi)部使用kMprd解密密文，3DES1（kMprd，3DES（kMprd，kIctlR）），還原得到kIctlR，然后立即作廢kMprd。同時，全國密鑰管理總中心還需對要下發(fā)的所有PSAM卡進(jìn)行統(tǒng)一洗卡，裝入GMPK，和PSAM外部認(rèn)證卡一起傳遞給二級密鑰管理中心。 全國密鑰 GMPK 管理總中心 二級機(jī) 構(gòu)標(biāo)識 二級密鑰 BMPK 管理中心 銀行標(biāo)識 成員銀行中心 MPK 圖2—1 密鑰分散流程圖GMPK是整個系統(tǒng)的根密鑰，只能由全國密鑰管理總中心產(chǎn)生和控制，并裝載到下發(fā)的PSAM卡中； MPK由二級密鑰管理中心利用全國密鑰管理總中心下發(fā)的二級機(jī)構(gòu)發(fā)卡母卡產(chǎn)生，并通過母卡傳輸?shù)匠蓡T銀行；其他主密鑰由成員行自行產(chǎn)生，并裝載到母卡或硬件加密機(jī)中。每張卡上都有IC卡生產(chǎn)商設(shè)置的密鑰kMprd，用來控制IC卡的安全傳輸，以防止IC卡在生產(chǎn)上和全國密鑰管理總中心之間被替換。二級機(jī)構(gòu)發(fā)卡母卡要正常工作，需有存放RAK的二級機(jī)構(gòu)外部認(rèn)證密鑰卡（BACK）相配合。得到GMPK，放在MF下的密鑰文件中。MKC中有：密鑰種類組數(shù)備注BTK一組導(dǎo)入MPK的傳輸密鑰MAK一組成員行發(fā)卡母卡外部認(rèn)證密鑰MPK五組成員行消費(fèi)/取現(xiàn)主密鑰，可供成員行發(fā)卡成員行發(fā)卡中應(yīng)有一文件，記錄卡片初始化的有關(guān)信息，以便今后跟蹤審計(jì)和安全管理：* 卡片和人化標(biāo)識，必須，位于CDF（Common Data File）區(qū)域，操作條件不可變，長度為一個字節(jié)，內(nèi)容是全國密鑰管理總中心定義的個人化標(biāo)識；* CDF激活標(biāo)識，可選，位于CDF區(qū)域，操作條件不可變，格式為10個字節(jié)，前6個字節(jié)是ISO7812中定義的發(fā)行者標(biāo)識，后四個字節(jié)是全國密鑰管理總中心定義的附加標(biāo)識符；* CDF激活序列號，可選，位于CDF區(qū)域，操作條件不可變；格式為10個字節(jié)，由二級機(jī)構(gòu)定義。商業(yè)銀行將PSAM卡用于何種場合，卡以何種方式加載何種密鑰，由各商業(yè)自行決定。* 在kIctIR的控制下，創(chuàng)建MF下的EF文件和ADF文件。* 在kActI 的控制下，創(chuàng)建ADF下的文件，寫入卡片子密鑰。2） 傳輸密鑰初始化該命令要求明文裝載密鑰，存放在硬件加密機(jī)中，作為傳輸主密鑰。1 安全管理策略1） 管理機(jī)構(gòu)使用密鑰管理系統(tǒng)的機(jī)構(gòu)必須有獨(dú)立的安全管理部門，負(fù)責(zé)整個安全概念及安全策略的制定、實(shí)現(xiàn)、監(jiān)督安全策略的貫徹、執(zhí)行，并定期進(jìn)行審計(jì)，有條件的可以請第三方獨(dú)立的管理人員負(fù)責(zé)。1． 文件結(jié)構(gòu)PSAM卡文件結(jié)構(gòu)符合ISO/IEC78164。二、 基本命令1 選擇文件（Select）1） 定義和范圍SELECT命令通過文件名或AID來選擇IC卡中的PSE、DDF或ADF。錯誤狀態(tài)碼如下：SW1SW2含義6400標(biāo)志狀態(tài)位沒變6581內(nèi)存失敗6900不能處理6981命令與文件結(jié)構(gòu)不相容，當(dāng)前文件非所需文件6982操作條件不滿足6984隨機(jī)數(shù)無效6985使用條件不滿足（應(yīng)用被鎖定）6986不滿足命令執(zhí)行條件，但前文件不是EF6987MAC丟失6988MAC不正確6A82該文件未找到6A83記錄未找到6A86P1或P2不正確6CXxLe長度錯誤，實(shí)際長度是xx6D00INS不正確6E00CLA不正確9303應(yīng)用被永久鎖定表212 UPDATE RECORD 命令狀態(tài)碼4 讀二進(jìn)制文件（Read Binary）1） 定義和范圍READ BINARY 命令用于被取讀二進(jìn)制文件的內(nèi)容（或部分內(nèi)容）。2）命令報文WRITE KEY 命令報文見表31代碼值CLA84h INSD4hP100hP200hLc14h 或1ChData加密后的密鑰信息+MACLe不存在表31 WRITE KEY 命令報文3）命令報文數(shù)據(jù)域命令報文數(shù)據(jù)域包括要裝載的密鑰密文信息和MAC。不支持計(jì)算臨時密鑰計(jì)算的密鑰類型有：n 主控密鑰n 維護(hù)密鑰n 消費(fèi)密鑰雙長度密鑰產(chǎn)生雙長度臨時密鑰的密鑰類型有：n PIN解鎖密鑰n 用戶卡應(yīng)用維護(hù)密鑰雙長度密鑰左右異或產(chǎn)生單長度臨時密鑰的密鑰類型有：n 重裝PIN密鑰雙長度密鑰產(chǎn)生雙長度臨時密鑰，單長度密鑰產(chǎn)生單長度臨時密鑰的密鑰類型有：n MAC密鑰n 加密密鑰n MAC、加密密鑰指定密鑰經(jīng)過幾級處理由密鑰分散級數(shù)和Lc確定，若二者不一致，則返回錯誤信息。2） 命令報文EXTERNAL AUTHENTICATION命令報文見表219。表23到25規(guī)定了此定義所用的標(biāo)志，本規(guī)范不規(guī)定FCI中回送的附加標(biāo)志。3） 卡片維護(hù)密鑰卡片維護(hù)密鑰用于卡片MF區(qū)域的應(yīng)用維護(hù)，在卡片主控密鑰的控制下裝載和更新，卡片的管理者可在卡片維護(hù)密鑰的控制下；* 安全更新記錄文件* 安全更新二進(jìn)制文件卡片維護(hù)密鑰的控制通過安全報文的形式實(shí)現(xiàn)4） 卡片公共信息文件卡片公共信息文件存放卡片的公共信息，在卡片主控密鑰的控制下創(chuàng)建，可自由讀，可在卡片維護(hù)密鑰的控制下改寫。3） 業(yè)務(wù)培訓(xùn)對安全管理部門的人員及系統(tǒng)管理員必須進(jìn)行系統(tǒng)的安全培訓(xùn)。8） 取次主密鑰該命令允許在超級用戶權(quán)限下，用主密鑰對指定索引的次主密鑰加密，返回加密的密文，在主機(jī)上通過約定的主密鑰解密后存放在主機(jī)上。由于硬件加密機(jī)具備了攻擊防范能力，所以密鑰可以在硬件加密機(jī)中以相對較低的成本安全的保存，而且所有密鑰運(yùn)算可在安全物理環(huán)境中完成。* 商業(yè)銀行在接收到這批卡后，首先用PSAM外部認(rèn)證卡來驗(yàn)證每一張PSAM卡的有效性。* 發(fā)卡銀行接到這一批IC卡后，首先按統(tǒng)一編號給每一張IC卡分配母卡序列號（KSN），每張IC卡具有唯一的KSN，不同的IC卡具有不同的KSN。2） 密鑰管理方式對于成員行來說，根據(jù)不同的應(yīng)用系統(tǒng)和管理要求，存在著三種不同的密鑰管理方式。具體的過程與全國密鑰管理總中心的密鑰替換過程相同，這批IC卡上都以kIctlB作為主控密鑰。全國密鑰管理總中心得到一批PSAM卡，卡片已經(jīng)過預(yù)個人化處理，卡片CDF區(qū)域和通用ADK區(qū)域下的文件已由廠商建好，生產(chǎn)商密鑰（卡片主控密鑰）也已裝載。RMKC 中有：密鑰種類組數(shù)備注PTK一組向外傳輸GMPK分散結(jié)果的傳輸密鑰PRTK一組向外傳輸GMPK的傳輸密鑰RAK一組用于認(rèn)證主控母卡的外部認(rèn)證密鑰GMPK五組全國消費(fèi)/取現(xiàn)主密鑰主控母卡要正常工作，需有存放RAK的全國密鑰管理總中心主控母卡外部認(rèn)證密鑰卡（RAKC）相配合，主控母卡是被密鑰保護(hù)的，只有通過外部認(rèn)證以后，才能使用它。成員銀行配備密鑰管理服務(wù)器、硬件加密機(jī)和系統(tǒng)管理軟件，通過內(nèi)部網(wǎng)與銀行的發(fā)卡系統(tǒng)、卡務(wù)管理系統(tǒng)、帳務(wù)系統(tǒng)相連，成員行可直接向成員行發(fā)卡母卡中注入銀行專用密鑰，利用成員行發(fā)卡母卡來提供密鑰服務(wù)（如發(fā)放用戶卡，PSAM二次發(fā)卡、清算等）。密鑰管理系統(tǒng)采用3DES加密算法，采用全國密鑰管理總中心、二級密鑰管理中心、成員銀行中心三級管理體制，安全共享公共主密鑰，實(shí)現(xiàn)卡片互通、機(jī)具共享。母卡尚須記錄法卡的有關(guān)信息，以便今后跟蹤審計(jì)。導(dǎo)出全國密鑰管理總中心主控母卡，載入代發(fā)行的IC卡中；在這張IC卡內(nèi)部，是用傳輸密要PTK對密文解密，3DES1（RTK，3DES（RTK，BMPK）），得到BMPK，同時，在這張卡上還要裝載外部認(rèn)證密鑰RAK，用于各二級密鑰管理中心認(rèn)證這張卡，這樣，就產(chǎn)生了二級機(jī)構(gòu)發(fā)卡母卡（BKC）?！诳ㄆ骺孛荑€的控制下，裝載卡片維護(hù)密鑰。MPK = Diversify (BMPK, BankID)然后用傳輸密鑰BTK對MPK進(jìn)行加密，得到密文3DES（BTK，MPK），導(dǎo)出二級機(jī)構(gòu)發(fā)卡母卡，載入代發(fā)行的IC卡內(nèi)部使用傳輸密鑰BTK對密文解密，3DES1（BTK， 3DES（BTK，MPK）），得到MPK，這樣，就得到了成員行發(fā)卡母卡（MKC）。在成員行的密鑰管理系統(tǒng)中，必須首先裝載傳輸密鑰MMTK，然后在導(dǎo)入MMTK加密的密文后，在密鑰管理系統(tǒng)內(nèi)部，將密文解密，恢復(fù)出MPK。每張IC卡具有唯一的PSN，不同的IC卡具有不同的PSN。* PC機(jī)向高速發(fā)卡機(jī)發(fā)指令，送入一批卡片，利用生產(chǎn)商母卡上的kMprd來驗(yàn)證IC卡。異步通信時，加密機(jī)在收到數(shù)據(jù)幀頭標(biāo)識后開始計(jì)時，如果在指定的時間內(nèi)沒有收到楨尾標(biāo)識，則加密機(jī)可以認(rèn)為該條命令出錯，拋棄所有已接受命令，準(zhǔn)備接收下一條命令。14） 輸出加密機(jī)運(yùn)行日志該命令要求返回受主密鑰保護(hù)的密鑰區(qū)域內(nèi)所有的操作事件。PSAM卡具有一定的通用性。4） 應(yīng)用公共信息文件應(yīng)用公共信息文件存放應(yīng)用的公共信息，在應(yīng)用主控密鑰的控制下創(chuàng)建，可自由讀，可在卡片維護(hù)密鑰的控制下改寫。2） 命令報文UPDATE RECORD 命令報文見表210代碼值CLA00h或04hINSDChP1P1=00h: 表示當(dāng)前記錄P1≠00h:指定的記錄號P2見表28Lc后續(xù)數(shù)據(jù)域長度Data輸入數(shù)據(jù)Le不存在表210 UPDATE RECORD 命令報文B8B7B6B5B4B3B2B1含義XXXXX SFI 0 0 0第一個記錄 0 0 1最后一個記錄 0 1 0下一個記錄