【正文】 4）響應報文數(shù)據(jù)域響應報文數(shù)據(jù)域不存在5）狀態(tài)碼執(zhí)行成功返回9000。MAC是由卡片維護密鑰或應用維護密鑰對更新原有數(shù)據(jù)的新數(shù)據(jù)計算而得到的。從IC卡的響應報文應由回送的FCI組成。PSAM卡中PSA的路徑可以通過明確選擇支付系統(tǒng)環(huán)境（PSE）來激活PSAM卡文件結(jié)構(gòu)如下圖所示： DIR目錄 數(shù)據(jù)文件 MF（用于PSE）卡片維護密 鑰 數(shù) 據(jù) 元卡片維護密 鑰 數(shù) 據(jù) 元卡片公共信 息 文 件文文件 終端信息 文 件應用主控密鑰數(shù)據(jù)元 DF（PBOC 應用ADF）應用維護密鑰數(shù)據(jù)元應用主工作密鑰數(shù)據(jù)元應用公共信息文件終端應用交易序號數(shù)據(jù)元 DF2 DF3 圖1 PSAM卡文件結(jié)構(gòu) CDF區(qū)域說明CDF區(qū)域即MF區(qū)域，在PSAM卡的CDF區(qū)域，文件創(chuàng)建和密鑰裝載是在卡片主控密鑰的控制下進行，1） DIR目錄數(shù)據(jù)文件DIR目錄數(shù)據(jù)文件的說明參考《中國金融集成電路（IC）卡規(guī)范》，但DIR目錄數(shù)據(jù)文件的入口地址必須包括全國通用的ADF。系統(tǒng)業(yè)務應有明確的分工，每一項業(yè)務都應該指定專人負責，避免管理人員之間互相扯皮推諉而可能造成的損失。5） 產(chǎn)生隨機數(shù)該命令要求硬件加密機產(chǎn)生一個隨機數(shù)，并直接返回給請求者。四 PSAM卡詳見第二部分“PSAM卡應用規(guī)范（試行）”。* 在卡上打印PSAM序列號。密鑰管理系統(tǒng)可以通過TCP/IP協(xié)議與銀行IC卡系統(tǒng)進行通訊，作為密鑰服務器，實時響應銀行主機系統(tǒng)的密鑰請求，快速運算得到密鑰運算結(jié)果，回傳給請求者。外部認證密鑰卡是被PIN保護的，只有輸入正確的PIN以后，才能使用外部認證卡。全國密鑰管理總中心還須為成員行產(chǎn)生相應的PSAM外部認證卡（PAKC），通過二級密鑰管理中心發(fā)給各成員行，用來控制裝載各成員銀行的專用密鑰。2） PSAM洗卡GMPK使整個系統(tǒng)的根密鑰，如果一旦被盜取或被非法使用，從而帶來政治、經(jīng)濟上的重大損失，所以，從安全的角度來說，全國所有的PSAM卡必須在全國密鑰管理總中心統(tǒng)一安全裝載GMPK。鑒別通過后，全國密鑰管理總中心將用自己產(chǎn)生的密鑰kIctlR，來替換卡上的生產(chǎn)商密鑰kMprd，稱為卡上的主控密鑰，具體的過程是：全國密鑰管理總中心首先使用生產(chǎn)商母卡中密鑰kMprd 將kIctlR加密，得到3DES（kMprd，kIctlR），然后將加密過的密文載入IC卡中；在IC卡內(nèi)部使用kMprd解密密文，3DES1（kMprd，3DES（kMprd，kIctlR）），還原得到kIctlR，然后立即作廢kMprd。同時，全國密鑰管理總中心還需對要下發(fā)的所有PSAM卡進行統(tǒng)一洗卡，裝入GMPK，和PSAM外部認證卡一起傳遞給二級密鑰管理中心。 全國密鑰 GMPK 管理總中心 二級機 構(gòu)標識 二級密鑰 BMPK 管理中心 銀行標識 成員銀行中心 MPK 圖2—1 密鑰分散流程圖GMPK是整個系統(tǒng)的根密鑰，只能由全國密鑰管理總中心產(chǎn)生和控制，并裝載到下發(fā)的PSAM卡中； MPK由二級密鑰管理中心利用全國密鑰管理總中心下發(fā)的二級機構(gòu)發(fā)卡母卡產(chǎn)生，并通過母卡傳輸?shù)匠蓡T銀行；其他主密鑰由成員行自行產(chǎn)生，并裝載到母卡或硬件加密機中。每張卡上都有IC卡生產(chǎn)商設置的密鑰kMprd，用來控制IC卡的安全傳輸，以防止IC卡在生產(chǎn)上和全國密鑰管理總中心之間被替換。二級機構(gòu)發(fā)卡母卡要正常工作，需有存放RAK的二級機構(gòu)外部認證密鑰卡（BACK）相配合。得到GMPK，放在MF下的密鑰文件中。MKC中有：密鑰種類組數(shù)備注BTK一組導入MPK的傳輸密鑰MAK一組成員行發(fā)卡母卡外部認證密鑰MPK五組成員行消費/取現(xiàn)主密鑰，可供成員行發(fā)卡成員行發(fā)卡中應有一文件，記錄卡片初始化的有關(guān)信息，以便今后跟蹤審計和安全管理：* 卡片和人化標識，必須，位于CDF（Common Data File）區(qū)域，操作條件不可變，長度為一個字節(jié)，內(nèi)容是全國密鑰管理總中心定義的個人化標識；* CDF激活標識，可選，位于CDF區(qū)域，操作條件不可變，格式為10個字節(jié)，前6個字節(jié)是ISO7812中定義的發(fā)行者標識，后四個字節(jié)是全國密鑰管理總中心定義的附加標識符；* CDF激活序列號，可選，位于CDF區(qū)域，操作條件不可變；格式為10個字節(jié)，由二級機構(gòu)定義。商業(yè)銀行將PSAM卡用于何種場合，卡以何種方式加載何種密鑰，由各商業(yè)自行決定。* 在kIctIR的控制下，創(chuàng)建MF下的EF文件和ADF文件。* 在kActI 的控制下，創(chuàng)建ADF下的文件，寫入卡片子密鑰。2） 傳輸密鑰初始化該命令要求明文裝載密鑰，存放在硬件加密機中，作為傳輸主密鑰。1 安全管理策略1） 管理機構(gòu)使用密鑰管理系統(tǒng)的機構(gòu)必須有獨立的安全管理部門，負責整個安全概念及安全策略的制定、實現(xiàn)、監(jiān)督安全策略的貫徹、執(zhí)行，并定期進行審計，有條件的可以請第三方獨立的管理人員負責。1． 文件結(jié)構(gòu)PSAM卡文件結(jié)構(gòu)符合ISO/IEC78164。二、 基本命令1 選擇文件（Select）1） 定義和范圍SELECT命令通過文件名或AID來選擇IC卡中的PSE、DDF或ADF。錯誤狀態(tài)碼如下：SW1SW2含義6400標志狀態(tài)位沒變6581內(nèi)存失敗6900不能處理6981命令與文件結(jié)構(gòu)不相容，當前文件非所需文件6982操作條件不滿足6984隨機數(shù)無效6985使用條件不滿足（應用被鎖定）6986不滿足命令執(zhí)行條件，但前文件不是EF6987MAC丟失6988MAC不正確6A82該文件未找到6A83記錄未找到6A86P1或P2不正確6CXxLe長度錯誤，實際長度是xx6D00INS不正確6E00CLA不正確9303應用被永久鎖定表212 UPDATE RECORD 命令狀態(tài)碼4 讀二進制文件（Read Binary）1） 定義和范圍READ BINARY 命令用于被取讀二進制文件的內(nèi)容（或部分內(nèi)容）。2）命令報文WRITE KEY 命令報文見表31代碼值CLA84h INSD4hP100hP200hLc14h 或1ChData加密后的密鑰信息+MACLe不存在表31 WRITE KEY 命令報文3）命令報文數(shù)據(jù)域命令報文數(shù)據(jù)域包括要裝載的密鑰密文信息和MAC。不支持計算臨時密鑰計算的密鑰類型有：n 主控密鑰n 維護密鑰n 消費密鑰雙長度密鑰產(chǎn)生雙長度臨時密鑰的密鑰類型有：n PIN解鎖密鑰n 用戶卡應用維護密鑰雙長度密鑰左右異或產(chǎn)生單長度臨時密鑰的密鑰類型有：n 重裝PIN密鑰雙長度密鑰產(chǎn)生雙長度臨時密鑰，單長度密鑰產(chǎn)生單長度臨時密鑰的密鑰類型有：n MAC密鑰n 加密密鑰n MAC、加密密鑰指定密鑰經(jīng)過幾級處理由密鑰分散級數(shù)和Lc確定，若二者不一致，則返回錯誤信息。2） 命令報文EXTERNAL AUTHENTICATION命令報文見表219。表23到25規(guī)定了此定義所用的標志，本規(guī)范不規(guī)定FCI中回送的附加標志。3） 卡片維護密鑰卡片維護密鑰用于卡片MF區(qū)域的應用維護，在卡片主控密鑰的控制下裝載和更新，卡片的管理者可在卡片維護密鑰的控制下；* 安全更新記錄文件* 安全更新二進制文件卡片維護密鑰的控制通過安全報文的形式實現(xiàn)4） 卡片公共信息文件卡片公共信息文件存放卡片的公共信息，在卡片主控密鑰的控制下創(chuàng)建，可自由讀，可在卡片維護密鑰的控制下改寫。3） 業(yè)務培訓對安全管理部門的人員及系統(tǒng)管理員必須進行系統(tǒng)的安全培訓。8） 取次主密鑰該命令允許在超級用戶權(quán)限下，用主密鑰對指定索引的次主密鑰加密，返回加密的密文，在主機上通過約定的主密鑰解密后存放在主機上。由于硬件加密機具備了攻擊防范能力，所以密鑰可以在硬件加密機中以相對較低的成本安全的保存，而且所有密鑰運算可在安全物理環(huán)境中完成。* 商業(yè)銀行在接收到這批卡后，首先用PSAM外部認證卡來驗證每一張PSAM卡的有效性。* 發(fā)卡銀行接到這一批IC卡后，首先按統(tǒng)一編號給每一張IC卡分配母卡序列號（KSN），每張IC卡具有唯一的KSN，不同的IC卡具有不同的KSN。2） 密鑰管理方式對于成員行來說，根據(jù)不同的應用系統(tǒng)和管理要求，存在著三種不同的密鑰管理方式。具體的過程與全國密鑰管理總中心的密鑰替換過程相同，這批IC卡上都以kIctlB作為主控密鑰。全國密鑰管理總中心得到一批PSAM卡，卡片已經(jīng)過預個人化處理，卡片CDF區(qū)域和通用ADK區(qū)域下的文件已由廠商建好，生產(chǎn)商密鑰（卡片主控密鑰）也已裝載。RMKC 中有：密鑰種類組數(shù)備注PTK一組向外傳輸GMPK分散結(jié)果的傳輸密鑰PRTK一組向外傳輸GMPK的傳輸密鑰RAK一組用于認證主控母卡的外部認證密鑰GMPK五組全國消費/取現(xiàn)主密鑰主控母卡要正常工作，需有存放RAK的全國密鑰管理總中心主控母卡外部認證密鑰卡（RAKC）相配合，主控母卡是被密鑰保護的，只有通過外部認證以后，才能使用它。成員銀行配備密鑰管理服務器、硬件加密機和系統(tǒng)管理軟件，通過內(nèi)部網(wǎng)與銀行的發(fā)卡系統(tǒng)、卡務管理系統(tǒng)、帳務系統(tǒng)相連，成員行可直接向成員行發(fā)卡母卡中注入銀行專用密鑰，利用成員行發(fā)卡母卡來提供密鑰服務（如發(fā)放用戶卡，PSAM二次發(fā)卡、清算等）。密鑰管理系統(tǒng)采用3DES加密算法，采用全國密鑰管理總中心、二級密鑰管理中心、成員銀行中心三級管理體制，安全共享公共主密鑰，實現(xiàn)卡片互通、機具共享。母卡尚須記錄法卡的有關(guān)信息，以便今后跟蹤審計。導出全國密鑰管理總中心主控母卡，載入代發(fā)行的IC卡中；在這張IC卡內(nèi)部，是用傳輸密要PTK對密文解密，3DES1（RTK，3DES（RTK，BMPK）），得到BMPK，同時，在這張卡上還要裝載外部認證密鑰RAK，用于各二級密鑰管理中心認證這張卡，這樣，就產(chǎn)生了二級機構(gòu)發(fā)卡母卡（BKC）?！诳ㄆ骺孛荑€的控制下，裝載卡片維護密鑰。MPK = Diversify (BMPK, BankID)然后用傳輸密鑰BTK對MPK進行加密，得到密文3DES（BTK，MPK），導出二級機構(gòu)發(fā)卡母卡，載入代發(fā)行的IC卡內(nèi)部使用傳輸密鑰BTK對密文解密，3DES1（BTK， 3DES（BTK，MPK）），得到MPK，這樣，就得到了成員行發(fā)卡母卡（MKC）。在成員行的密鑰管理系統(tǒng)中，必須首先裝載傳輸密鑰MMTK，然后在導入MMTK加密的密文后，在密鑰管理系統(tǒng)內(nèi)部，將密文解密，恢復出MPK。每張IC卡具有唯一的PSN，不同的IC卡具有不同的PSN。* PC機向高速發(fā)卡機發(fā)指令，送入一批卡片，利用生產(chǎn)商母卡上的kMprd來驗證IC卡。異步通信時，加密機在收到數(shù)據(jù)幀頭標識后開始計時，如果在指定的時間內(nèi)沒有收到楨尾標識，則加密機可以認為該條命令出錯，拋棄所有已接受命令，準備接收下一條命令。14） 輸出加密機運行日志該命令要求返回受主密鑰保護的密鑰區(qū)域內(nèi)所有的操作事件。PSAM卡具有一定的通用性。4） 應用公共信息文件應用公共信息文件存放應用的公共信息，在應用主控密鑰的控制下創(chuàng)建，可自由讀，可在卡片維護密鑰的控制下改寫。2） 命令報文UPDATE RECORD 命令報文見表210代碼值CLA00h或04hINSDChP1P1=00h: 表示當前記錄P1≠00h:指定的記錄號P2見表28Lc后續(xù)數(shù)據(jù)域長度Data輸入數(shù)據(jù)Le不存在表210 UPDATE RECORD 命令報文B8B7B6B5B4B3B2B1含義XXXXX SFI 0 0 0第一個記錄 0 0 1最后一個記錄 0 1 0下一個記錄