【文章內(nèi)容簡(jiǎn)介】 4) 響應(yīng)報(bào)文數(shù)據(jù)域響應(yīng)報(bào)文數(shù)據(jù)域不存在。16 / 506. 外部認(rèn)證（External Authentication）1) 定義和范圍EXTERNAL AUTHENTICATION 命令用于對(duì)卡片外部的安全認(rèn)證。計(jì)算的方法是利用卡片中的卡片主控密鑰或應(yīng)用主控密鑰，對(duì)卡片產(chǎn)生的隨機(jī)數(shù)（使用GET CHALLENGE 命令）和接口設(shè)備傳輸進(jìn)來的認(rèn)證數(shù)據(jù)進(jìn)行驗(yàn)證。2) 命令報(bào)文EXTERNAL AUTHENTICATION 命令報(bào)文見表 2－14。代碼 值CLA 00hINS 82hP1 00hP2 00hLc 08hData 發(fā)卡方認(rèn)證數(shù)據(jù)Le 不存在表 2－14 EXTERNAL AUTHENTICATION 命令報(bào)文3) 命令報(bào)文數(shù)據(jù)域命令報(bào)文數(shù)據(jù)域中包含 8 字節(jié)的加密數(shù)據(jù)，該數(shù)據(jù)是用主控密鑰對(duì)此命令前一條命令“ GET CHALLENGE”命令獲得的隨機(jī)數(shù)后 綴“ 00 00 00 00”之后做3DES 加密運(yùn)算產(chǎn)生的。4) 響應(yīng)報(bào)文數(shù)據(jù)域響應(yīng)報(bào)文數(shù)據(jù)域不存在。17 / 507. 取響應(yīng)數(shù)據(jù)（Get Response）1) 定義和范圍當(dāng) APDU 不能用現(xiàn)有協(xié)議傳輸時(shí)， GET RESPONSE 命令提供了一種從 IC卡向接口設(shè)備傳送 APDU（或 APDU 的一部分）的傳輸方法。2) 命令報(bào)文GET RESPONSE 命令報(bào)文見表 2－15。代碼 值CLA 00hINS C0hP1 00hP2 00hLc 不存在Data 不存在Le 期望數(shù)據(jù)的最大長(zhǎng)度表 2－15 GET RESPONSE 命令報(bào)文3) 命令報(bào)文數(shù)據(jù)域命令報(bào)文數(shù)據(jù)域不存在。4) 響應(yīng)報(bào)文數(shù)據(jù)域響應(yīng)報(bào)文數(shù)據(jù)域的長(zhǎng)度由 Le 的值決定。如果 Le 的值為 0，在后續(xù)數(shù)據(jù)有效時(shí)，IC 卡必須回送狀態(tài)碼 ‘6Cxx’，否 則‘ 6F00’。18 / 508. 取隨機(jī)數(shù)（Get Challenge ）1) 定義和范圍GET CHALLENGE 命令用于從 IC 卡中獲得一個(gè) 4 個(gè)字節(jié)的隨機(jī)數(shù)。該隨機(jī)數(shù)服務(wù)于安全過程（如安全報(bào)文），在使用隨機(jī)數(shù)的命令執(zhí)行后失效。2) 命令報(bào)文GET CHALLENGE 命令報(bào)文見表 2－16。代碼 值CLA 00hINS 84hP1 00hP2 00hLc 不存在Data 不存在Le 04h表 2－16 GET CHALLENGE 命令報(bào)文3) 命令報(bào)文數(shù)據(jù)域命令報(bào)文數(shù)據(jù)域不存在。4) 響應(yīng)報(bào)文數(shù)據(jù)域IC 卡產(chǎn)生的隨機(jī)數(shù)，長(zhǎng)度為 4 字節(jié)。19 / 50一. 擴(kuò)展命令為符合《中國(guó)金融集成電路（IC）卡規(guī)范（）》和《 銀行 IC 卡聯(lián)合試點(diǎn)技術(shù)方案》的安全控管要求，PSAM 卡必須支持以下專用命令。1. 寫入密鑰（Write Key）1) 定義和范圍 WRITE KEY 命令可向卡中裝載密鑰或更新卡中已存在的密鑰。本命令可支持 8 字節(jié)或 16 字節(jié)的密鑰，密鑰寫入必須采用加密的方式，在主控密鑰的控制下進(jìn)行。在密鑰裝載前必須用 GET CHANLLEGE 命令從 PSAM 卡取一個(gè) 4 字節(jié)的隨機(jī)數(shù)。2) 命令報(bào)文 WRITE KEY 命令報(bào) 文見表 3－1。代碼 值CLA 84hINS D4hP1 00hP2 00hLc 14h 或 1ChData 加密后的密鑰信息、MACLe 不存在表 3－1 WRITE KEY 命令報(bào)文20 / 503) 命令報(bào)文數(shù)據(jù)域命令報(bào)文數(shù)據(jù)域包括要裝載的密鑰密文信息和 MAC。密鑰密文信息是用主控密鑰對(duì)以下數(shù)據(jù)加密（按所列順序）產(chǎn)生的：——密鑰用途——密鑰版本——密鑰算法標(biāo)識(shí)——密鑰值MAC 是用主控密鑰對(duì)下數(shù)據(jù)進(jìn)行 MAC 計(jì)算（按所列順序）產(chǎn)生的：——CLA——INS——P1——P2——Lc——密鑰密文信息 加密和 MAC 計(jì)算的方法遵循《中國(guó)金融集成電路（IC）卡規(guī)范》。裝載 8 字節(jié)的單長(zhǎng)度密鑰時(shí)，數(shù)據(jù)長(zhǎng)度為 14h；裝載 16 字節(jié)的雙長(zhǎng)度密鑰時(shí)，數(shù)據(jù)長(zhǎng)度為 1Ch。4) 響應(yīng)報(bào)文數(shù)據(jù)域響應(yīng)報(bào)文數(shù)據(jù)域不存在。2. 批量更新密鑰初始化（Init Batch Update）1) 定義和范圍Init Batch Update 命令用于從 IC 卡中獲得一個(gè) 4 個(gè)字節(jié)的隨機(jī)因子。 該隨21 / 50機(jī)因子服務(wù)于批量更新消費(fèi)主密鑰指令的安全過程（如安全報(bào)文），在使用批量更新消費(fèi)主密鑰指令的命令執(zhí)行后失效。2) 命令報(bào)文GET CHALLENGE 命令報(bào)文見表 2－16。代碼 值CLA 00hINS 85hP1 00hP2 00hLc 不存在Data 不存在Le 13h表 2－16 Init Batch Update 命令報(bào)文3) 命令報(bào)文數(shù)據(jù)域命令報(bào)文數(shù)據(jù)域不存在。4) 響應(yīng)報(bào)文數(shù)據(jù)域此命令執(zhí)行成功的響應(yīng)報(bào)文數(shù)據(jù)域見表。 如果命令執(zhí)行不成功，則只在響應(yīng)報(bào)文中回送 SW1 和 SW2。說明 長(zhǎng)度（字節(jié)）PSAM 序列號(hào) 10密鑰索引號(hào)（GMPK） 1有效期 4隨機(jī)因子 422 / 503. 批量更新消費(fèi)主密鑰（Batch Update GMPK）1) 定義和范圍 Batch Update GMPK 命令可向卡中更新卡中已存在的消 費(fèi)密鑰。本命令只支持 16 字節(jié)的密鑰，密鑰寫入必須采用加密的方式，在主控密鑰的控制下進(jìn)行。在密鑰更新前必須用 Init Batch Update 命令從 PSAM 卡取一個(gè) 4 字節(jié)的隨機(jī)數(shù)。2) 命令報(bào)文 Batch Update GMPK 命令報(bào)文見表 3－1。代碼 值CLA 84hINS D5hP1 00hP2 00hLc 10 +（N*18h）Data 見說明Le 不存在表 3－1 Batch Update GMPK 命令報(bào)文3) 命令報(bào)文數(shù)據(jù)域加密和 MAC 計(jì)算的方法遵循《中國(guó)金融集成電路（IC）卡規(guī)范》。裝載 16 字節(jié)的雙長(zhǎng)度密鑰時(shí)，數(shù)據(jù)長(zhǎng) 度為 18h。說明 長(zhǎng)度（字節(jié)）已發(fā)送更新密鑰指令數(shù)量(N) 1新的密鑰索引號(hào)（GMPK） 1有效期 423 / 50GMPK CRYPTOGRAPH N*18hMAC 44) 響應(yīng)報(bào)文數(shù)據(jù)域響應(yīng)報(bào)文數(shù)據(jù)域不存在。24 / 504. 通用 DES 計(jì)算初始化（INIT_FOR_ DESCRYPT ）1) 定義和范圍INIT_FOR_ DESCRYPT 命令用來初始化通用密鑰計(jì)算過程。PSAM 卡將利用卡中指定的密鑰進(jìn)行運(yùn)算， 產(chǎn)生一個(gè)臨時(shí)密鑰。運(yùn)算方式由指定的密鑰類型、密鑰分散級(jí)數(shù)和密鑰算法標(biāo)識(shí)確定。不支持計(jì)算臨時(shí)密鑰計(jì)算的密鑰類型有：——主控密鑰——維護(hù)密鑰——消費(fèi)密鑰雙長(zhǎng)度密鑰產(chǎn)生雙長(zhǎng)度臨時(shí)密鑰的密鑰類型有：——PIN 解鎖密鑰——用戶卡應(yīng)用維護(hù)密鑰雙長(zhǎng)度密鑰左右異或產(chǎn)生單長(zhǎng)度臨時(shí)密鑰的密鑰類型有：——重裝 PIN 密鑰雙長(zhǎng)度密鑰產(chǎn)生雙長(zhǎng)度臨時(shí)密鑰，單長(zhǎng)度密鑰產(chǎn)生單長(zhǎng)度臨時(shí)密鑰的密鑰類型有：——MAC 密鑰——加密密鑰——MAC、加密密 鑰指定密鑰經(jīng)過幾級(jí)處理由密鑰分散級(jí)數(shù)和 Lc 確定，若二者不一致，則返回錯(cuò)誤信息。25 / 50臨時(shí)密鑰在 PSAM 卡下電 后自動(dòng)消失，不允 許讀。臨時(shí)密鑰產(chǎn)生后，與原密鑰的屬性一致。2) 命令報(bào)文INIT_FOR_ DESCRYPT 命令報(bào)文見表 3－2。代碼 值CLA 80hINS 1AhP1 密鑰用途P2 密鑰版本Lc 待處理數(shù)據(jù)的長(zhǎng)度Data 待處理的數(shù)據(jù)Le 無(wú)表 3－3 INIT_FOR_ DESCRYPT 命令報(bào)文3) 命令報(bào)文數(shù)據(jù)域命令報(bào)文數(shù)據(jù)域包括待處理的輸入數(shù)據(jù)。數(shù)據(jù)長(zhǎng)度為 8 的整數(shù)倍，長(zhǎng)度也可以為 0。密 鑰類型取密鑰用途的低 5 位，密 鑰分散級(jí) 數(shù)取密鑰用途的高 3 位。如待處理的輸入數(shù)據(jù)包括多級(jí)的分散因子，按最后一次分散因子在前、最先一次分散因子在后的順序輸入。4) 響應(yīng)報(bào)文數(shù)據(jù)域 響應(yīng)報(bào)文數(shù)據(jù)域不存在。26 / 505. 通用 DES 計(jì)算（DES Crypt）1) 定義和范圍 DES CRYPT 命令利用指定的密鑰來進(jìn)行運(yùn)算。若一條命令無(wú)法傳輸所有的待處理數(shù)據(jù)，可分幾條命令輸入。 加密計(jì)算采用 ECB 模式，數(shù)據(jù)的填充在卡片外面進(jìn)行，卡片只支持長(zhǎng)度為 8 的整數(shù)倍數(shù)據(jù)的加密。MAC 計(jì)算遵循《中國(guó)金融集成電路（IC）卡規(guī)范》，數(shù)據(jù)的填充在卡片外面進(jìn)行，卡片只支持長(zhǎng)度為 8 的整數(shù)倍數(shù)據(jù)的 MAC 計(jì) 算。DES CRYPT 命 令 必 須 在 INIT_FOR_ DESCRYPT 命令成功執(zhí)行后才能進(jìn)行?？ㄆ瑺顟B(tài)在執(zhí)行無(wú)后 續(xù)塊計(jì)算后，復(fù)原 為通用 DES 計(jì)算初始化執(zhí)行前的狀態(tài)。2) 命令報(bào)文 DES CRYPT 命令報(bào)文 見表 3－3。代碼 值CLA 80hINS FahP1 見表 3－4P2 00hLc 要加密的數(shù)據(jù)長(zhǎng)度Data 要加密的數(shù)據(jù)Le 不存在表 3－3 DES CRYPT 命令報(bào)文b8 b7 b6 b5 b4 b3 b2 b1 含義27 / 50X 計(jì)算模式——0，加密——1，MAC 計(jì)算X 后續(xù)塊——0，無(wú)后續(xù)塊——1，有后續(xù)塊X 初始值（僅對(duì) MAC 計(jì)算有效）——0，無(wú)初始值——1，有初始值表 3－4 DES CRYPT 命令引用控制參數(shù)P1 值計(jì)算模式如下：——0，無(wú)后續(xù)塊加密——1，最后一塊 MAC 計(jì) 算——2，有后續(xù)塊加密——3，下一塊 MAC 計(jì)算——5，唯一一塊 MAC 計(jì) 算——7，第一塊 MAC 計(jì)算——其他，保留3) 命令報(bào)文數(shù)據(jù)域 命令報(bào)文數(shù)據(jù)域包括要加密的數(shù)據(jù)。加密數(shù)據(jù)的長(zhǎng)度為 8 的整數(shù)倍。在 P1的 b3 位為 1 時(shí)，待處理數(shù)據(jù)的前 8 個(gè)字節(jié)為 MAC 計(jì)算的初始值。4) 響應(yīng)報(bào)文數(shù)據(jù)域在 P1 的 b1 位 為 0 時(shí)，響應(yīng)報(bào)文數(shù)據(jù)域包括加密結(jié)果，數(shù)據(jù)長(zhǎng)度是 8 的整數(shù)倍。28 / 50在 P1 的 b1 位 為 1，且 P1 的 b2 位為 0 時(shí)，響應(yīng)報(bào)文數(shù)據(jù)域包括 4 字節(jié)的MAC。29 / 506. 應(yīng)用解鎖（Ap