【正文】 卡是否已經(jīng)被鎖，“9000”編碼都表示命令成功執(zhí)行?！?EXTERNAL AUTHENTICATE（外部認證）命令　 定義和范圍外部認證（EXTERNAL AUTHENTICATE）命令要求支付IC卡中的應用認證一個密文。支付IC卡的響應應該包括該命令的處理狀態(tài)。一次交易中只執(zhí)行最多一次外部認證命令?！?命令報文外部認證（EXTERNAL AUTHENTICATE）。 外部認證（EXTERNAL AUTHENTICATE）命令報文編碼值CLA‘00’ INS‘82’P1‘00’ P2‘00’ Lc8－16數(shù)據(jù)域發(fā)卡機構認證數(shù)據(jù)Le不存在在外部認證（EXTERNAL AUTHENTICATE）命令中的引用算法（P1）值為‘00’，表示該域無信息。對算法的引用或者在使用本命令前就已經(jīng)完成，或者在本命令的數(shù)據(jù)域中定義。　 命令報文的數(shù)據(jù)域按照本規(guī)范的規(guī)定，本命令報文的數(shù)據(jù)域包含標簽為‘91’的值域，編碼如下：—— 前8個字節(jié)為必選的授權響應密文ARPC；—— 附加的18個可選字節(jié)是專有數(shù)據(jù)。在本規(guī)范中，發(fā)卡機構認證數(shù)據(jù)包括下列兩個數(shù)據(jù)元：—— ARPC（8字節(jié)）；—— 授權響應碼（2字節(jié)）?！?響應報文的數(shù)據(jù)域響應報文沒有數(shù)據(jù)域?！?響應報文返回的處理狀態(tài)“9000”編碼表示命令成功執(zhí)行。如果驗證失敗，返回“6300”，如果在本次交易中卡片已經(jīng)接收過外部認證命令，卡片返回“6985”?！?GENERATE AC（生成應用密文）命令　 定義和范圍生成應用密文（GENERATE AC）命令傳送交易相關數(shù)據(jù)到支付IC卡，支付IC卡計算并且返回一個密文。這個密文是一個由本規(guī)范定義的應用密文（AC）。 生成應用的密文類型類型意義應用認證密文（AAC）拒絕交易授權請求密文（ARQC）請求聯(lián)機授權交易證書（TC）批準交易由支付IC卡返回的密文可能由于支付IC卡的內部處理過程而與命令報文中要求的密文不一樣。　 命令報文生成應用密文（GENERATE AC）。 生成應用密文（GENERATE AC）命令報文編碼值CLA‘80’ INS‘AE’P1引用控制參數(shù)（見表 ）P2‘00’ LcVar.數(shù)據(jù)域交易相關數(shù)據(jù)Le‘00’生成應用密文（GENERATE AC）。 GENERATE AC引用控制參數(shù)b8b7B6b5b4b3b2b1意義00AAC01TC10ARQC11保留0未明確請求復合動態(tài)數(shù)據(jù)認證/應用密文生成1請求復合動態(tài)數(shù)據(jù)認證/應用密文生成xxxxx保留　 命令報文的數(shù)據(jù)域命令報文的數(shù)據(jù)域是用來生成應用密文的終端數(shù)據(jù)，具體的數(shù)據(jù)內容在附錄D中描述?！?響應報文的數(shù)據(jù)域密文的生成算法在附錄D中描述。響應報文的數(shù)據(jù)域包含一個BERTLV編碼的數(shù)據(jù)對象。這個數(shù)據(jù)對象需要按照以下兩種格式之一編碼。格式1：響應報文中的數(shù)據(jù)對象是一個標簽為‘80’的基本數(shù)據(jù)對象。，各數(shù)據(jù)對象之間沒有分隔符（標簽和長度）。 GENERATE AC響應報文數(shù)據(jù)域格式1值存在性密文信息數(shù)據(jù)必備應用交易計數(shù)器（ATC）必備應用密文（AC）必備發(fā)卡機構應用數(shù)據(jù)可選格式2：響應報文的數(shù)據(jù)對象是一個標簽為‘77’的結構數(shù)據(jù)對象。數(shù)據(jù)域中可以包含多個BERTLV編碼對象，但是應包括密文信息數(shù)據(jù)、應用交易序號和由支付IC卡計算出的密文（可以是應用密文或專有密文）。對于響應報文中可能包含的專有數(shù)據(jù)對象的應用和解釋，不在本規(guī)范的范圍之內。如果響應報文是如本部分第9章、第14章及第16章定義的簽名數(shù)據(jù)，對CDA的響應，則采用格式2。該響應數(shù)據(jù)單元格式見本規(guī)范第5部分。如果卡片不執(zhí)行CDA，命令的響應報文數(shù)據(jù)域中的數(shù)據(jù)對象按照格式1編碼。如果卡片執(zhí)行CDA，命令的響應報文數(shù)據(jù)域中的數(shù)據(jù)對象按照格式2編碼。以上兩種格式中。 密文信息數(shù)據(jù)編碼b8b7b6b5b4b3b2b1意義00AAC01TC10ARQC11RFUxx支付系統(tǒng)密文0 未請求通知1請求通知xxx原因/通知/授權參考碼000無信息001不允許服務010PIN重試超限011發(fā)卡機構鑒定失敗xxx其它值保留　 響應報文返回的處理狀態(tài)“9000”編碼表示命令成功執(zhí)行。一次交易卡片最多處理兩個生成應用密文命令，如果收到三個及以上個數(shù)，卡片返回“6985”?！?GET DATA（取數(shù)據(jù)）命令　 定義和范圍下面描述的是在非金融交易過程中在特殊設備上使用取數(shù)據(jù)（GET DATA）命令訪問到的數(shù)據(jù)和一個金融交易過程中，使用取數(shù)據(jù)（GET DATA）命令訪問數(shù)據(jù)?！?特殊設備（GET DATA）命令訪問。普通終端不能用取數(shù)據(jù)命令獲得。 使用取數(shù)據(jù)（GET DATA）命令訪問的靜態(tài)數(shù)據(jù)數(shù)據(jù)元應用貨幣代碼（9F51）應用缺省行為（9F52）連續(xù)脫機交易限制數(shù)（國際國家）（9F72）連續(xù)脫機交易限制數(shù)（國際貨幣）（9F53）累計脫機交易金額限制數(shù)（9F54）累計脫機交易金額限制數(shù)（雙貨幣）（9F75）累計脫機交易金額上限（9F5C）貨幣轉換因子（9F73）發(fā)卡機構認證指示位（9F56）發(fā)卡機構國家代碼（9F57）連續(xù)脫機交易下限（9F58）連續(xù)脫機交易上限（9F59）第2應用貨幣代碼（9F76）—— 金融交易取數(shù)據(jù)（GET DATA）命令用來從當前應用中取得一個沒有封裝在記錄中的基本數(shù)據(jù)對象。取數(shù)據(jù)（GET DATA）命令可以用來獲取基本數(shù)據(jù)對象ATC（標簽為“9F36”）、上次聯(lián)機ATC寄存器（標簽為“9F13”）或PIN重試計數(shù)器（標簽為“9F17”）、交易日志格式（標簽為“9F4F”）?！?命令報文取數(shù)據(jù)（GET DATA）。 取數(shù)據(jù)（GET DATA）命令報文編碼值CLA‘80’ INS‘CA’P1 P2要訪問數(shù)據(jù)的標簽Lc不存在數(shù)據(jù)域不存在Le‘00’　 命令報文的數(shù)據(jù)域命令報文沒有數(shù)據(jù)域?！?響應報文的數(shù)據(jù)域響應報文的數(shù)據(jù)域中包含有如命令報文的P1 P2所述的基本數(shù)據(jù)對象。（即包括它的標簽和它的長度）。　 響應報文返回的處理狀態(tài)“9000”編碼表示命令成功執(zhí)行。如果命令中請求的數(shù)據(jù)是專有數(shù)據(jù)不能返回，卡片返回“6A88”?！?GPO（獲取處理選項）命令　 定義和范圍獲取處理選項（GPO）命令用來啟動支付IC卡內的交易。支付IC卡的響應報文中包含應用交互特征（AIP）和應用文件定位器（AFL）?！?命令報文獲取處理選項（GPO）。 獲取處理選項（GPO）命令報文編碼值CLA‘80’ INS‘A8’P1 P2‘00’Lc‘00’數(shù)據(jù)域PDOL相關數(shù)據(jù)（如果存在）或8300Le‘00’　 命令報文的數(shù)據(jù)域命令報文的數(shù)據(jù)域根據(jù)支付IC卡提供的處理選項數(shù)據(jù)對象列表（PDOL）編碼。PDOL通過標簽“83”標記。 當支付IC卡沒有提供數(shù)據(jù)對象列表時，這個模板的長度域設置為‘0’。否則，這個模板的數(shù)據(jù)長度域的值等于傳輸給支付IC卡的數(shù)據(jù)對象的值域的總長度。　 響應報文的數(shù)據(jù)域響應報文的數(shù)據(jù)域包含一個BERTLV編碼數(shù)據(jù)對象?？ㄆ梢匀芜x下列兩種格式之一來編碼：格式1：響應報文中的數(shù)據(jù)對象是一個標簽為‘80’的基本數(shù)據(jù)對象。（AIP）和應用文件定位器（AFL）的值域連接而成，各數(shù)據(jù)對象之間沒有分隔符（標簽和長度）。 GPO響應報文數(shù)據(jù)域格式‘80’長度應用交互特征（AIP）應用文件定位器（AFL）格式2：響應報文中的數(shù)據(jù)對象是一個標簽為‘77’的基本數(shù)據(jù)對象。數(shù)據(jù)域可以包含多個BERTLV編碼的對象，但至少要包含應用交互特征（AIP）和應用文件定位器（AFL）。應用交互特征定義了可以被支付IC卡中的應用支持的功能。AFL包括一個不含有分隔符的由文件與記錄組成的列表?！?響應報文返回的處理狀態(tài)“9000”編碼表示命令成功執(zhí)行?！?INTERNAL AUTHENTICATE（內部認證）命令　 定義和范圍內部認證（INTERNAL AUTHENTICATE）命令引發(fā)卡片使用從IFD收到的隨機數(shù)、數(shù)據(jù)和卡片中儲存的私鑰來計算出“簽名動態(tài)應用數(shù)據(jù)”的過程。　 命令報文內部認證（INTERNAL AUTHENTICATE）。 內部認證（INTERNAL AUTHENTICATE）命令報文編碼值CLA‘00’INS‘88’P1 ‘00’P2‘00’Lc認證相關數(shù)據(jù)長度數(shù)據(jù)域認證相關數(shù)據(jù)Le‘00’在內部認證（INTERNAL AUTHENTICATE）命令中的算法引用（P1）域值為‘00’，這表示該值無意義。對算法的引用應該或者在使用本命令前就已經(jīng)完成，或者在本命令的數(shù)據(jù)域中定義?！?命令報文的數(shù)據(jù)域命令報文的數(shù)據(jù)域包括該應用專有的與認證有關的數(shù)據(jù)。它是根據(jù)本規(guī)范第5部分中定義的動態(tài)數(shù)據(jù)認證數(shù)據(jù)對象列表（DDOL）規(guī)則來編碼的。為了確保內部認證（INTERNAL AUTHENTICATE）命令返回數(shù)據(jù)在256字節(jié)限制內，簽名的動態(tài)應用數(shù)據(jù)加上可選的TLV格式編碼的長度應該限制在本規(guī)范第5部分中定義的范圍內?！?響應報文的數(shù)據(jù)域響應報文的數(shù)據(jù)域包括一個BERTLV編碼數(shù)據(jù)對象。這個數(shù)據(jù)對象的編碼格式為：響應報文中的數(shù)據(jù)對象是一個標簽為‘80’的基本數(shù)據(jù)對象。數(shù)據(jù)域中包括簽名動態(tài)應用數(shù)據(jù)。簽名動態(tài)應用數(shù)據(jù)按照本規(guī)范第5部分中的規(guī)則定義?！?響應報文返回的處理狀態(tài)“9000”編碼表示命令成功執(zhí)行。　 PIN CHANGE/UNBLOCK（PIN修改/解鎖）命令　 定義和范圍PIN CHANGE/UNBLOCK命令是一個發(fā)卡機構腳本命令。它的目的是讓發(fā)卡機構解鎖PIN或同時既改變PIN也解鎖PIN。當PIN CHANGE/UNBLOCK命令成功后，卡片將執(zhí)行下列功能：—— PIN嘗試記數(shù)器的值將復位到PIN嘗試限制數(shù)（最大值）；—— 如果有請求，脫機PIN值將被設置為新的PIN值。為了保密，如果本命令包含有PIN數(shù)據(jù)，則該數(shù)據(jù)應該加密。注： 脫機PIN是存儲在卡中與應用相關的PIN，它用來驗證在驗證命令中傳來的PIN數(shù)據(jù)?！?命令報文PIN CHANGE/。 PIN CHANGE/UNBLOCK命令報文編碼值CLA‘84’INS‘24’P1 ‘00’P2‘00’、‘01’或‘02’Lc數(shù)據(jù)字節(jié)數(shù)數(shù)據(jù)加密PIN數(shù)據(jù)成員（如果存在）和MAC數(shù)據(jù)Le不存在當P2為“00”，PIN嘗試計數(shù)器復位。當P2為“01”，PIN嘗試計數(shù)器復位同時PIN修改，PIN修改時使用當前的PIN。當P2為“02”，PIN嘗試計數(shù)器復位同時PIN修改，PIN修改是不使用當前的PIN。　 命令報文的數(shù)據(jù)域本命令報文的數(shù)據(jù)域包括PIN加密數(shù)據(jù)，后面可以加上4到8字節(jié)的安全報文MAC數(shù)據(jù)。如果P2等于‘00’，參考PIN解鎖，PIN嘗試計數(shù)器被復位到PIN嘗試限制數(shù)。命令數(shù)據(jù)域只包含MAC。因為PIN修改/解鎖命令中不包含新的PIN值，所以PIN不會更新。P2等于‘01’或‘02’。　 使用當前PIN修改PIN值如果命令中的P2參數(shù)等于“01”，命令數(shù)據(jù)域包括PIN加密數(shù)據(jù)和MAC，PIN加密數(shù)據(jù)的產生過程按照下列步驟進行：步驟1：發(fā)卡機構確定用來給數(shù)據(jù)進行加密的安全報文加密主密鑰，并分散生成卡片的安全報文加密子密鑰：ENC UDKA和ENC UDKB；步驟2：生成過程密鑰Ks；步驟3：生成8字節(jié)PIN數(shù)據(jù)塊D3：a）生成一個8字節(jié)數(shù)據(jù)塊D1；字節(jié)1字節(jié)2字節(jié)3字節(jié)4字節(jié)5字節(jié)6字節(jié)7字節(jié)800000000ENC UDKA的最右邊4個字節(jié)b）生成第2個8字節(jié)數(shù)據(jù)塊D2；字節(jié)1字節(jié)2字節(jié)3字節(jié)4字節(jié)5字節(jié)6字節(jié)7字節(jié)80NPPPPP/FP/FP/FP/FP/FP/FP/FP/FFFN：新PIN的數(shù)字個數(shù)（16進制）P：新PIN值，長度412個數(shù)字（26字節(jié)）c）D1和D2執(zhí)行異或得到D3。步驟4：使用當前PIN生成8字節(jié)數(shù)據(jù)塊D4；字節(jié)1字節(jié)2字節(jié)3字節(jié)4字節(jié)5字節(jié)6字節(jié)7字節(jié)8PPPPP/0P/0P/0P/0P/0P/0P/0P/00000步驟5：將數(shù)據(jù)塊D3和D4執(zhí)行異或得到D；步驟6：用Ks對D進行加密，得到PIN加密數(shù)據(jù)?！?不使用當前PIN修改PI