【文章內(nèi)容簡介】 4) 響應報文數(shù)據(jù)域響應報文數(shù)據(jù)域不存在。16 / 506. 外部認證（External Authentication）1) 定義和范圍EXTERNAL AUTHENTICATION 命令用于對卡片外部的安全認證。計算的方法是利用卡片中的卡片主控密鑰或應用主控密鑰，對卡片產(chǎn)生的隨機數(shù)（使用GET CHALLENGE 命令）和接口設備傳輸進來的認證數(shù)據(jù)進行驗證。2) 命令報文EXTERNAL AUTHENTICATION 命令報文見表 2－14。代碼 值CLA 00hINS 82hP1 00hP2 00hLc 08hData 發(fā)卡方認證數(shù)據(jù)Le 不存在表 2－14 EXTERNAL AUTHENTICATION 命令報文3) 命令報文數(shù)據(jù)域命令報文數(shù)據(jù)域中包含 8 字節(jié)的加密數(shù)據(jù)，該數(shù)據(jù)是用主控密鑰對此命令前一條命令“ GET CHALLENGE”命令獲得的隨機數(shù)后 綴“ 00 00 00 00”之后做3DES 加密運算產(chǎn)生的。4) 響應報文數(shù)據(jù)域響應報文數(shù)據(jù)域不存在。17 / 507. 取響應數(shù)據(jù)（Get Response）1) 定義和范圍當 APDU 不能用現(xiàn)有協(xié)議傳輸時， GET RESPONSE 命令提供了一種從 IC卡向接口設備傳送 APDU（或 APDU 的一部分）的傳輸方法。2) 命令報文GET RESPONSE 命令報文見表 2－15。代碼 值CLA 00hINS C0hP1 00hP2 00hLc 不存在Data 不存在Le 期望數(shù)據(jù)的最大長度表 2－15 GET RESPONSE 命令報文3) 命令報文數(shù)據(jù)域命令報文數(shù)據(jù)域不存在。4) 響應報文數(shù)據(jù)域響應報文數(shù)據(jù)域的長度由 Le 的值決定。如果 Le 的值為 0，在后續(xù)數(shù)據(jù)有效時，IC 卡必須回送狀態(tài)碼 ‘6Cxx’，否 則‘ 6F00’。18 / 508. 取隨機數(shù)（Get Challenge ）1) 定義和范圍GET CHALLENGE 命令用于從 IC 卡中獲得一個 4 個字節(jié)的隨機數(shù)。該隨機數(shù)服務于安全過程（如安全報文），在使用隨機數(shù)的命令執(zhí)行后失效。2) 命令報文GET CHALLENGE 命令報文見表 2－16。代碼 值CLA 00hINS 84hP1 00hP2 00hLc 不存在Data 不存在Le 04h表 2－16 GET CHALLENGE 命令報文3) 命令報文數(shù)據(jù)域命令報文數(shù)據(jù)域不存在。4) 響應報文數(shù)據(jù)域IC 卡產(chǎn)生的隨機數(shù)，長度為 4 字節(jié)。19 / 50一. 擴展命令為符合《中國金融集成電路（IC）卡規(guī)范（）》和《 銀行 IC 卡聯(lián)合試點技術(shù)方案》的安全控管要求，PSAM 卡必須支持以下專用命令。1. 寫入密鑰（Write Key）1) 定義和范圍 WRITE KEY 命令可向卡中裝載密鑰或更新卡中已存在的密鑰。本命令可支持 8 字節(jié)或 16 字節(jié)的密鑰，密鑰寫入必須采用加密的方式，在主控密鑰的控制下進行。在密鑰裝載前必須用 GET CHANLLEGE 命令從 PSAM 卡取一個 4 字節(jié)的隨機數(shù)。2) 命令報文 WRITE KEY 命令報 文見表 3－1。代碼 值CLA 84hINS D4hP1 00hP2 00hLc 14h 或 1ChData 加密后的密鑰信息、MACLe 不存在表 3－1 WRITE KEY 命令報文20 / 503) 命令報文數(shù)據(jù)域命令報文數(shù)據(jù)域包括要裝載的密鑰密文信息和 MAC。密鑰密文信息是用主控密鑰對以下數(shù)據(jù)加密（按所列順序）產(chǎn)生的：——密鑰用途——密鑰版本——密鑰算法標識——密鑰值MAC 是用主控密鑰對下數(shù)據(jù)進行 MAC 計算（按所列順序）產(chǎn)生的：——CLA——INS——P1——P2——Lc——密鑰密文信息 加密和 MAC 計算的方法遵循《中國金融集成電路（IC）卡規(guī)范》。裝載 8 字節(jié)的單長度密鑰時，數(shù)據(jù)長度為 14h；裝載 16 字節(jié)的雙長度密鑰時，數(shù)據(jù)長度為 1Ch。4) 響應報文數(shù)據(jù)域響應報文數(shù)據(jù)域不存在。2. 批量更新密鑰初始化（Init Batch Update）1) 定義和范圍Init Batch Update 命令用于從 IC 卡中獲得一個 4 個字節(jié)的隨機因子。 該隨21 / 50機因子服務于批量更新消費主密鑰指令的安全過程（如安全報文），在使用批量更新消費主密鑰指令的命令執(zhí)行后失效。2) 命令報文GET CHALLENGE 命令報文見表 2－16。代碼 值CLA 00hINS 85hP1 00hP2 00hLc 不存在Data 不存在Le 13h表 2－16 Init Batch Update 命令報文3) 命令報文數(shù)據(jù)域命令報文數(shù)據(jù)域不存在。4) 響應報文數(shù)據(jù)域此命令執(zhí)行成功的響應報文數(shù)據(jù)域見表。 如果命令執(zhí)行不成功，則只在響應報文中回送 SW1 和 SW2。說明 長度（字節(jié)）PSAM 序列號 10密鑰索引號（GMPK） 1有效期 4隨機因子 422 / 503. 批量更新消費主密鑰（Batch Update GMPK）1) 定義和范圍 Batch Update GMPK 命令可向卡中更新卡中已存在的消 費密鑰。本命令只支持 16 字節(jié)的密鑰，密鑰寫入必須采用加密的方式，在主控密鑰的控制下進行。在密鑰更新前必須用 Init Batch Update 命令從 PSAM 卡取一個 4 字節(jié)的隨機數(shù)。2) 命令報文 Batch Update GMPK 命令報文見表 3－1。代碼 值CLA 84hINS D5hP1 00hP2 00hLc 10 +（N*18h）Data 見說明Le 不存在表 3－1 Batch Update GMPK 命令報文3) 命令報文數(shù)據(jù)域加密和 MAC 計算的方法遵循《中國金融集成電路（IC）卡規(guī)范》。裝載 16 字節(jié)的雙長度密鑰時，數(shù)據(jù)長 度為 18h。說明 長度（字節(jié)）已發(fā)送更新密鑰指令數(shù)量(N) 1新的密鑰索引號（GMPK） 1有效期 423 / 50GMPK CRYPTOGRAPH N*18hMAC 44) 響應報文數(shù)據(jù)域響應報文數(shù)據(jù)域不存在。24 / 504. 通用 DES 計算初始化（INIT_FOR_ DESCRYPT ）1) 定義和范圍INIT_FOR_ DESCRYPT 命令用來初始化通用密鑰計算過程。PSAM 卡將利用卡中指定的密鑰進行運算， 產(chǎn)生一個臨時密鑰。運算方式由指定的密鑰類型、密鑰分散級數(shù)和密鑰算法標識確定。不支持計算臨時密鑰計算的密鑰類型有：——主控密鑰——維護密鑰——消費密鑰雙長度密鑰產(chǎn)生雙長度臨時密鑰的密鑰類型有：——PIN 解鎖密鑰——用戶卡應用維護密鑰雙長度密鑰左右異或產(chǎn)生單長度臨時密鑰的密鑰類型有：——重裝 PIN 密鑰雙長度密鑰產(chǎn)生雙長度臨時密鑰，單長度密鑰產(chǎn)生單長度臨時密鑰的密鑰類型有：——MAC 密鑰——加密密鑰——MAC、加密密 鑰指定密鑰經(jīng)過幾級處理由密鑰分散級數(shù)和 Lc 確定，若二者不一致，則返回錯誤信息。25 / 50臨時密鑰在 PSAM 卡下電 后自動消失，不允 許讀。臨時密鑰產(chǎn)生后，與原密鑰的屬性一致。2) 命令報文INIT_FOR_ DESCRYPT 命令報文見表 3－2。代碼 值CLA 80hINS 1AhP1 密鑰用途P2 密鑰版本Lc 待處理數(shù)據(jù)的長度Data 待處理的數(shù)據(jù)Le 無表 3－3 INIT_FOR_ DESCRYPT 命令報文3) 命令報文數(shù)據(jù)域命令報文數(shù)據(jù)域包括待處理的輸入數(shù)據(jù)。數(shù)據(jù)長度為 8 的整數(shù)倍，長度也可以為 0。密 鑰類型取密鑰用途的低 5 位，密 鑰分散級 數(shù)取密鑰用途的高 3 位。如待處理的輸入數(shù)據(jù)包括多級的分散因子，按最后一次分散因子在前、最先一次分散因子在后的順序輸入。4) 響應報文數(shù)據(jù)域 響應報文數(shù)據(jù)域不存在。26 / 505. 通用 DES 計算（DES Crypt）1) 定義和范圍 DES CRYPT 命令利用指定的密鑰來進行運算。若一條命令無法傳輸所有的待處理數(shù)據(jù)，可分幾條命令輸入。 加密計算采用 ECB 模式，數(shù)據(jù)的填充在卡片外面進行，卡片只支持長度為 8 的整數(shù)倍數(shù)據(jù)的加密。MAC 計算遵循《中國金融集成電路（IC）卡規(guī)范》，數(shù)據(jù)的填充在卡片外面進行，卡片只支持長度為 8 的整數(shù)倍數(shù)據(jù)的 MAC 計 算。DES CRYPT 命 令 必 須 在 INIT_FOR_ DESCRYPT 命令成功執(zhí)行后才能進行?？ㄆ瑺顟B(tài)在執(zhí)行無后 續(xù)塊計算后，復原 為通用 DES 計算初始化執(zhí)行前的狀態(tài)。2) 命令報文 DES CRYPT 命令報文 見表 3－3。代碼 值CLA 80hINS FahP1 見表 3－4P2 00hLc 要加密的數(shù)據(jù)長度Data 要加密的數(shù)據(jù)Le 不存在表 3－3 DES CRYPT 命令報文b8 b7 b6 b5 b4 b3 b2 b1 含義27 / 50X 計算模式——0，加密——1，MAC 計算X 后續(xù)塊——0，無后續(xù)塊——1，有后續(xù)塊X 初始值（僅對 MAC 計算有效）——0，無初始值——1，有初始值表 3－4 DES CRYPT 命令引用控制參數(shù)P1 值計算模式如下：——0，無后續(xù)塊加密——1，最后一塊 MAC 計 算——2，有后續(xù)塊加密——3，下一塊 MAC 計算——5，唯一一塊 MAC 計 算——7，第一塊 MAC 計算——其他，保留3) 命令報文數(shù)據(jù)域 命令報文數(shù)據(jù)域包括要加密的數(shù)據(jù)。加密數(shù)據(jù)的長度為 8 的整數(shù)倍。在 P1的 b3 位為 1 時，待處理數(shù)據(jù)的前 8 個字節(jié)為 MAC 計算的初始值。4) 響應報文數(shù)據(jù)域在 P1 的 b1 位 為 0 時，響應報文數(shù)據(jù)域包括加密結(jié)果，數(shù)據(jù)長度是 8 的整數(shù)倍。28 / 50在 P1 的 b1 位 為 1，且 P1 的 b2 位為 0 時，響應報文數(shù)據(jù)域包括 4 字節(jié)的MAC。29 / 506. 應用解鎖（Ap