收藏
下载资源

PSAM卡必需支持的专用命令

上传人:hs****ma 文档编号:431795642 上传时间:2023-01-30 格式:DOCX 页数:15 大小:99.14KB
返回 下载 相关 举报
PSAM卡必需支持的专用命令_第1页
第1页 / 共15页
PSAM卡必需支持的专用命令_第2页
第2页 / 共15页
PSAM卡必需支持的专用命令_第3页
第3页 / 共15页
PSAM卡必需支持的专用命令_第4页
第4页 / 共15页
PSAM卡必需支持的专用命令_第5页
第5页 / 共15页
点击查看更多>>
资源描述

《PSAM卡必需支持的专用命令》由会员分享,可在线阅读,更多相关《PSAM卡必需支持的专用命令(15页珍藏版)》请在金锄头文库上搜索。

1、1. 写入密钥(Write Key )1) 定义和范围WRITE KEY命令可向卡中装载密钥或更新卡中已存在的密钥。本命令可支 持8字节或16字节的密钥,密钥写入必须采用加密的方式,在主控密钥的控制 下进行。在密钥装载前必须用GET CHANLLEGE命令从PSAM卡取一个4字节的随 机数。2) 命令报文WRITE KEY命令报文见表3-1。代码值CLA84hINSD4hPlOOhP2OOhLc14h 或 IChData加密后的密钥信息、MACLe不存在表3 - 1 WRITE KEY命令报文3) 命令报文数据域命令报文数据域包括要装载的密钥密文信息和MAC。密钥密文信息是用主控密钥对以下数据

2、加密(按所列顺序)产生的:密钥用途密钥版本钥算法标识钥值MAC是用主控密钥对下数据进行MAC计算(按所列顺序)产生的:LAINSP1P2Lc钥密文信息加密和MAC计算的方法遵循中国全融集成电路(IC )卡规范。装载8字节的单长度密钥时,数据长度为14h ;装载16字节的双长度密钥 时/数据长度为lCho4)响应报文数据域响应报文数据域不存在。2. 批量更新密钥初始化(Init Batch Update )1)定义和范围lint Batch Update命令用于从IC卡中获得一个4个字节的随机因子。该随 机因子服务于批量更新消费主密钥指令的安全过程(如安全报文),在使用批量 更新消费主密钥指令的

3、命令执行后失效。2)命令报文GET CHALLENGE命令报文见表2-16。代码值CLAOOhINS85hPlOOhP2OOhLc不存在Data不存在Le13h表 2 - 16 lint Batch Update 命令报文3)命令报文数据域命令报文数据域不存在。4)响应报文数据域此命令执行成功的响应报文数据域见表。如果命令执行不成功z则只在响应报文中回送SW1和SW2。说明长度(字节)PSAM序列号10密钥索引号(GMPK )1有效期4随机因子43. 批量更新消费主密钥(Batch Update GMPK )1) 定义和范围Batch Update GMPK命令可向卡中更新卡中已存在的消费密钥

4、。本命令只支 持16字节的密钥,密钥写入必须采用加密的方式,在主控密钥的控制下进行。在密钥更新前必须用lint Batch Update命令从PSAM卡取一个4字节的随机 数。2) 命令报文Batch Update GMPK 命令报文见表 3-1。代码值CLA84hINSD5hPlOOhP2OOhLc10+ (N*18h)Data见说明Le不存在表 3 - 1 Batch Update GMPK 命令报文3) 命令报文数据域加密和MAC计算的方法遵循中国全融集成电路(IC)卡规范。装载16字节的双长度密钥时,数据长度为18ho说明长度(字节)已发送更新密钥指令数量(N)1新的密钥索引号(GMP

5、K )1有效期4GMPK CRYPTOGRAPHN*18hMAC44) 响应报文数据域响应报文数据域不存在。4通用DES计算初始化(INIT_FOR_ DESCRYPT )1) 定义和范围INIT_FOR_ DESCRYPT命令用来初始化通用密钥计算过程。PSAM卡将利 用卡中指定的密钥进行运算,产生一个临时密钥。运算方式由指定的密钥类型、 密钥分散级数和密钥算法标识确定。不支持计算临时密钥计算的密钥类型有:主控密钥斟户密钥消费密钥双长度密钥产生双长度临时密钥的密钥类型有:PIN解锁密钥用户卡应用维护密钥双长度密钥左右异或产生单长度临时密钥的密钥类型有:重装PIN密钥双长度密钥产生双长度临时密

6、钥,单长度密钥产生单长度临时密钥的密钥类型有:MAC密钥加密密钥MAC、加密密钥指定密钥经过几级处理由密钥分散级数和Lc确定,若二者不一致,则返回 错误信息。临时密钥在PSAM卡下电后自动消失,不允许读。临时密钥产生后,与原密钥的属性一致。2) 命令报文INIT_FOR_ DESCRYPT 命令报文见表 3 - 2。代码值CLA80hINSlAhPl密钥用途P2密钥版本Lc待处理数据的长度Data待处理的数据Le无表 3 - 3 INIT_FOR_ DESCRYPT 命令报文3) 命令报文数据域命令报文数据域包括待处理的输入数据。数据长度为8的整数倍,长度也 可以为0。密钥类型取密钥用途的低5

7、位,密钥分散级数取密钥用途的高3位。 如待处理的输入数据包括多级的分散因子,按最后一次分散因子在前、最 先一次分散因子在后的顺序输入。4) 响应报文数据域响应报文数据域不存在。5通用DES计算(DES Crypt )1) 定义和范围DES CRYPT命令利用指定的密钥来进行运算。若一条命令无法传输所有的 待处理数据,可分几条命令输入。加密计算采用ECB模式,数据的填充在卡片外面进行,卡片只支持长度 为8的整数倍数据的加密。MAC计算遵循中国全融集成电路(IC )卡规范,数据的填充在卡片外 面进行,卡片只支持长度为8的整数倍数据的MAC计算。DES CRYPT命令必须在INIT_FOR_ DES

8、CRYPT命令成功执行后才能 进行。卡片状态在执行无后续块计算后,复原为通用DES计算初始化执行前的2) 命令报文DES CRYPT命令报文见表3 - 3。代码值CLA80hINSFahPl见表3-4P2OOhLc要加密的数据长度Data要加密的数据Le不存在表3-3 DES CRYPT命令报文0 ,无后续块加密1 ,最后一块MAC计算2 ,有后续块加密3 ,下一块MAC计算5 ,唯一一块MAC计算7 ,第一块MAC计算其他,保留3) 命令报文数据域命令报文数据域包括要加密的数据。加密数据的长度为8的整数倍。在P1的b3位为1时,待处理数据的前8个字节为MAC计算的初始值。4) 响应报文数据域

9、在P1的bl位为0时,响应报文数据域包括加密结果,数据长度是8的整数 倍。在P1的bl位为1 ,且P1的b2位为0时,响应报文数据域包括4字节的 MACo6 应用解锁(Application Unblock )1) 定义和范围APPLICATION UNBLOCK命令用于恢复当前应用。当命令成功完成后,对 应用访问的限制将被取消,利用消费密钥校验MAC2的错误计数器将被重置。如果应用解锁连续失败三次,卡将永久锁定此应用。在APPLICATION UNBLOCK命令执行前必须执行GET CHANLLENGE命 令取得4字节的随机数。2) 命令报文APPLICATION UNBLOCK 命令报文见

10、表 3-5。代码值CLA84hINS18hPl00P200Lc数据字节数Data报文鉴别代码数据元Le不存在表 3 - 5 APPLICATION UNBLOCK 命令报文3)命令报文数据域命令报文数据域包括报文鉴别代码,由应用维护密钥对以下数据(按所列 顺序)进行MAC计算而得到的:CLAINSP1P2MAC计算的方式参见中国全融集成电路(IC )卡规范。4)响应报文数据域响应报文数据域不存在。7 MAC1 计算(INIT_SAM_FOR_PURCHASE )1)定义和范围INIT_SAM_FOR_PURCHASE命令可支持多级消费密钥分散机制,产生中 国全融集成电路(IC )卡规范中定义的

11、MAC1O根据银行IC卡试点技术方案z 可以利用试点城市标识、成员行标识、卡片应用序列号、随机数和交易信息得到 过程密钥,进而加密得到MAC。PSAM卡产生脱机交易流程中MAC1的过程如 下所示: PSAM在其内部用GMPK (全国消费主密钥)对试点城市标识分散,得 到二级消费主密钥BMPK ; PSAM在其内部用BMPK对成员行标识分散,得到成员行消费主密钥 MPK ; PSAM在其内部用MPK对卡片应用序列号分散,得到卡片消费子密钥 DPK ; PSAM在其内部用DPK对卡片传来的伪随机数、脱机交易序号、终端 交易序号加密,得到过程密钥SESPK ,作为临时密钥存放在卡中; PSAM在其内

12、部用SESPK对交易全额、交易类型标识、终端机编号、 交易日期(终端)和交易时间(终端)加密得到MAC1 ,将MAC1传送 出去。在此过程中,所有的中间结果只保留在卡片内部,外界无法得到。只有进行 本命令后,才允许进行MAC2校验的命令。参与处理的终端机编号和终端交易序号由卡片操作系统从卡片中取得。INIT_SAM_FOR_PURCHASE命令可支持多级消费密钥分散机制消费密钥 的分散过程由Lc和消费密钥共同确定,如果二者不一致,则返回错误信息。2)命令报文INIT_SAM_FOR_PURCHASE 命令报文见表 3 - 6。代码值CLA80hINS70hPlOOhP2OOhLc14h + 8

13、xN (N=l ,2,3)Data要处理的数据Le08表 3 - 6 INIT_SAM_FOR_PURCHASE 命令报文3)命令报文数据域命令报文数据域包括的数据以下列顺序排列:用户卡随机数,4字节用户卡交易序号,2字节交易全额,4字节交易类型标识,1字节交易日期(终端),4字节交易时间(终端),3字节消费密钥版本号,1字节消费密钥算法标识字节用户卡应用序列号,8字节成员银行标识,8字节试点城市标识,8字节4)响应报文数据域响应报文数据域包括以下数据(按顺序返回):4字节的终端脱机交易序号4字节的MAC18 校验 MAC2 ( CREDIT_SAM_FOR_PURCHASE )1) 定义和范

14、围CREDIT_SAM_FOR_PURCHASE 命令利用 INIT_SAM_FOR_PURCHASE 命令产生的过程密钥SESPKP校验MAC2 ,过程如下所示:检查MAC2尝试计数器如MAC2未被锁定FSAM在其内部用SESPK对交易全额加密得到MAC2 ,与命令报文中的数据进行比较;若命令执行成功,PSAM卡将应用中的终端脱机消费交易序号加1 ;如命令执行不成功,PSAM卡将MAC2尝试计数器减1 ,并回送状态 码,63Cx,,这里“是MAC2尝试计数器的新值;如果*为零,PSAM卡将锁定消费密钥所在的ADF。在此过程中,所有的中间结果只保留在卡片内部,外界无法得到。CREDIT _ SAM _ FOR_ PURCHASE 命令必须在 INIT _ SAM _ FOR _ PURCHASE命令成功执行后才能进行。若MAC2尝试计数器为0的话,消费密钥所在的应用将被锁定,只能在应

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 机械/制造/汽车 > 电气技术

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号