2022年PSAM技术参考手册.docx

《2022年PSAM技术参考手册.docx》由会员分享，可在线阅读，更多相关《2022年PSAM技术参考手册.docx（48页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、PSAM . 技术参考手册Version 3.4PSAM深圳市卡芯科技2021 年 7 月最终修改目录学习文档 仅供参考1、文件结构4技术参数及 ATR4文件结构5MF 区域说明7ADF 区域说明72、基本命令82 1 挑选文件 SELECT 82 2 读记录文件 READ RECORD 92 3 写记录文件 U PDATE RECORD 92 4 读二进制文件 READ B INARY 102 5 写二进制文件 U PDATE B INARY 112 6 外部认证 EXTERNALA UTHENTICATION112 7 内部认证 INTERNALA UTHENTICATION122 8 取

2、响应数据 GET RESPONSE132. 9 取随机数 GET CHALLENGE 133、个人化指令153. 1 建立文件指令 CREATE FILE 153 2 内部数据设定173 3 W RITE KEY增加或修改密钥84 D4173. 4 通讯协议设定F0 10214、PBOC PSAM指令224. 1 通用 DES 运算初始化 INIT_FOR_ DESCRYPT 80 1A224 2 通用 DES 运算 DES CRYPT 80 FA234 3MAC1 运算 INIT_SAM_FOR_PURCHASE80 70244 4 校验 MAC2 CREDIT_SAM_FOR_PURCHA

3、SE80 72254. 5 应用解锁 A PPLICATION UNBLOCK 84 18265、扩展指令275. 1 动态更新通讯密钥 UPDA TA_WK F0 D4275 2 下载 MWK 密钥 L OAD _MWK 00 D4275 3 运算通讯 MAC 专用命令 CAL_COMM_MAC 80 FB285 4 建设部 SAM 专用命令 CAL_MIFARE180 FC295 5 专用密钥装载 / 更新指令 80 A2315 6 专用加密 /MAC运算指令 80 A6325 7 * 终端 KEY运算指令 CT 专用 80FA345 8 校验 PIN V ERIFY PIN 00 203

4、55 9 修改 PIN CHANGE PIN 80 5E355 10 双向认证初始化 I NIT D UAL A UTHENTICATION 00 74365. 11 双向认证 D UAL A UTHENTICATION 00 8637附录 A卡片中的基本数据文件39附录 B ：指令集与返回代码40附录 C ： PSAM个人化指令使用流程参考421、清除 PSAM 卡数据 DELEATEMF 422、创建 MF CREATEMF423、 建 DIR 目录文件 CREATE EF01424、 明文装载卡片主控密钥CCK0W RITE K EY AT PLAIN MODE425、 建 PSAM 应

5、用的公共应用基本数据文件EF15， SFI=0 X 15435.1 、建立 EF15435.2 更新 EF15 文件436、 建 PSAM 终端编号文件 EF16， SFI=0 X 164361 建立 EF164362更新 EF16 文件447、 建立 DF01 CREATEDF01448、 CCK 的掌握下装载应用主控密钥ACK449、 ACK 的掌握下装载消费交易等密钥4410、个人化终止 CREATE END 44附录 D ：简洁发卡及应用数据流程451、个人化流程452、应用举例451、文件结构PSAM 卡用于商户 POS、网点终端、直联终端等端末设备上，负责机具的安全控管；PSAM

6、卡具有肯定的通用性；经过个人化处理的PSAM 卡能在不同的机具上使用；COS 遵循以下标准：GB/T 16649.3 1996 识别卡 带触点的集成电路卡第3部分：电信号和传输协议ISO/IEC 7816-3:1989ISO 8731-1:1987银行业务 已批准的报文鉴别算法第1部分： DEA ISO 8732:1987 信息处理 64位块加密算法的运算方法 中国 金 融IC卡 试 点P S A M卡 应用 标 准 PSAM卡支持多级发卡的机制，各级发卡方在卡片主控密钥和应用主控密钥的掌握下创建文件和装载密钥；1.1 技术参数及 ATR芯片类型： 8051 8位安全芯片参数名称测试条件最小值

7、最大值单位操作电压2 7V工作温度-25+85摄氏度外部时钟频率25 摄氏度14MHz内部时钟4060MHz休眠电流休眠状态5A工作电流25 摄氏度， 3V-5V310mA功率60mWEEPROM擦25 摄氏度，3V-5V 操作 128 字节2mSEEPROM写25 摄氏度，3V-5V 操作 128 字节20mS通讯速率9600115200BPSDES加密时间25 摄氏度， 3V-5V 40-60 MHz70mS对于 T=0 通讯协议的 ATR 下表：符号字节内容内容说明TS3B正向商定T07CTB1 和 TC1 存在，历史字符为 9 个TA195PPS支持最高 112000BPSTB100无

8、需额外的编程电压TC100无需额外的爱护时间T1-TC12 字节历1-2“SR” COS 标识史字符34卡个人化状态：00 空白卡/出厂卡01 个人化中 /未个人化终止卡02 个人化终止卡5-12卡唯独序号1.2 文件结构PSAM 卡文件结构符合 ISO/IEC7816 4；本条款描述了符合本标准的应用文件结构，这些应用被定义为支付系统应用PSA；符合 ISO/IEC7816 4，但不符合本标准的其他应用也可显现在PSA 上，并可以使用本标准中定义的命令进行操作；PSAM 卡中 PSA 的路径可以通过明确挑选支付系统环境PSE来激活；PSAM 卡文件结构如以下图所示：MF PSE公共信息文件D

9、IR 文件主控密钥文件终端信息文件PBOC应用应用密钥文件内部数据文件应用公共信息文件其他 DF应用学习文档 仅供参考PSAM 卡文件结构DF2DF3；学习文档 仅供参考1.3 MF 区域说明在 PSAM 卡的 MF 区域中，文件创建和密钥装载是在卡片主控密钥的掌握下进行；DIR 目录数据文件DIR 目录数据文件的说明参考中国金融集成电路IC 卡标准，但 DIR 目录数据文件的入口地址必需包括全国密钥治理总中心应用ADF ；卡片主控密钥卡片主控密钥是卡片的掌握密钥，由卡片生产商写入，由发卡方替换为发卡方的卡片主控密钥；卡片主控密钥的更新在自身的掌握下进行；发卡方必需在卡片主控密钥的掌握下， 创

10、建卡片 MF 区域的文件；装载卡片爱护密钥、应用主控密钥； 更新卡片主控密钥、卡片爱护密钥；卡片主控密钥的掌握可通过外部认证操作实现，也可通过安全报文的方式实现；卡片公共信息文件卡片公共信息文件存放卡片的公共信息，在卡片主控密钥的掌握下创建，可自由读， 可在卡片爱护密钥的掌握下改写；终端信息文件终端信息文件存放终端的信息，在卡片主控密钥的掌握下创建，可自由读， 可在卡片爱护密钥的掌握下改写；1.4 ADF 区域说明在 PSAM 卡的 ADF Application Data File区域中，文件创建和密钥装载是在应用主控密钥的掌握下进行；ADF下的文件结构可由应用发行者自行确定；全国密钥治理中

11、心应 用 ADF 的文件结构必需包括应用主控密钥、应用爱护密钥、应用主工作密钥数据元、应用公共数据文件和终端应用交易序号数据元；应用主控密钥应用主控密钥是应用的掌握密钥，在卡片主控密钥掌握下写入；发卡方必需在应用主控密钥的掌握下，装载应用爱护密钥、应用主工作密钥； 更新应用主控密钥、应用爱护密钥；应用主控密钥的掌握可通过外部认证操作实现，也可通过安全报文的方式实现；应用公共信息文件应用公共信息文件存放应用的公共信息，在应用主控密钥的掌握下创建，可自由读， 可在应用爱护密钥的掌握下改写；内部数据文件终端应用交易序号长度4 字节，用于终端的脱机交易，在消费交易MAC2 验证通过的情形下由卡片操作系

12、统改写；终端应用交易序号只对本应用有效；2、基本命令21 挑选文件 Select定义和范畴SELECT 命令通过文件名或AID 来挑选 IC 卡中的 PSE、 DDF 或 ADF ；命令执行胜利后，PSE、 DDF 或 ADF 的路径被设定；应用到 AEF 的后续命令将采纳SFI 方式联系到所选定的PSE、DDF 或 ADF ；从 IC 卡的响应报文应由回送的FCI 组成；命令报文代码CLA INS P1P2值00h A4h引用掌握参数见表2 2Lc DataLe00h：第一个或仅有一个02h：下一个05h 10h 文件名00h表 2 1SELECT 命令报文表b80b70b60b50b40b

13、3b2b1含义1通过文件名挑选00表 2 2SELECT 命令引用掌握参数命令报文数据域命令报文数据域应包括所挑选的响应报文数据域响应报文中数据域应包括所挑选的定了此定义所用的标志；本标准不规定PSE 名、 DF 名或 AID ；PSE、DDF 或 ADF 的 FCI；表 2 3 到表 2 5 规FCI 中回送的附加附加标志；表 23 定义了胜利挑选标志PSE 后回送的值FCI：6F84A588FCI 模板DF 名FCI 专用数据目录基本文件的 SFI存在方式M M MM表 2 3SELECT PSE 的响应报文 FCI 表 24 定义了胜利挑选标志DDF 后回送的值FCI：6F84FCI 模

14、板DF 名存在方式M MSELECT FILE命令报文见表 2 1；A588FCI 专用数据目录基本文件的 SFIMM表 24SELECT DDF的响应报文 FCI表 25 定义了胜利挑选标志ADF 后回送的值FCI：6F84A59F0CFCI 模板DF 名FCI 专用数据发卡方自定义数据的FCI存在方式M M MO表 2 5SELECT ADF 的响应报文 FCI22 读记录文件 Read Record定义和范畴READ RECORD命令用于读取记录文件中内容；IC 卡的响应由回送的记录数据组成；命令报文READ RECORD命令报文见表2 6；代码值CLA INS P1 P2LcData

15、Le00h B2h记录的序号引用掌握参数见表不存在；不存在；00h2 7b8Xb7XB6Xb5X表 2 6b4 XREAD RECORDb3b2命令报文b1SFI含义100P1 为记录的序号命令报文数据域表 2 7READ RECORD命令引用掌握参数命令报文数据域不存在；响应报文数据域全部执行胜利的 READ RECORD命令响应报文数据域由读取的记录组成；2.3 写记录文件 Update Record 定义和范畴UPDATE RECORD命令用命令 APDU 中给定的数据更换指定的记录；在使用当前记录地址时，该命令将在修改记录胜利后重新设定记录指针；在安全更新记录时，假设安全报文连续三次出

16、错，就永久锁定应用；命令报文UPDATE RECORD命令报文见表 28；代码值CLA00h 或 04hINSDChP1P1= 00h ：表示当前记录P100h：指定的记录号P2见表 2 8Lc后续数据域长度Data输入数据Le不存在表 2 8UPDATE RECORD命令报文b8b7b6b5b4b3b2b1含义XXXXXSFI000第一个记录001最终一个记录010下一个记录011上一个记录其余值100记录号在 P1 中给出RFU命令报文数据域表 2 9UPDATE RECORD命令引用掌握参数命令报文数据域由更新原有记录的新记录组成；使用安全报文时，命令报文的数据域 中应包括MAC ；MA

17、C是由卡片爱护密钥或应用爱护密钥对更新原有记录的新记录运算而得到的；响应报文数据域响应报文数据域不存在；2.4 读二进制文件 Read Binary 定义和范畴READ BINARY命令用于读取二进制文件的内容或部分内容；命令报文READ BINARY命令报文见表 2 10；代码值CLA00hINSB0hP1见表 2 11P2从文件中读取的第一个字节的偏移地址Lc不存在Data不存在Le00表 210READ BINARY命令报文b8b7b6b5b4b3b2b1含义X1读取模式：用 SFI 方式00RFU 假如 b8 1XXXXXSFI取值范畴 21 3025 写二进制文件定义和范畴Updat

18、e Binary UPDATE BINARY命令用命令 APDU 中给定的数据修改EF 文件中已有的数据；命令报文UPDATE BINARY命令报文见表2 12；代码值b8b7b6b5b4b3b2b1含义X1读取模式：用 SFI 方式00RFU 假如 b8 1XXXXXSFI取值范畴 21 30命令报文数据域表 2 13UPDATE BINARY命令引用掌握参数表 211READ BINARY命令引用掌握参数命令报文数据域命令报文数据域不存在；响应报文数据域当 Le 的值为 0 时，只要文件的最大长度在就其全部字节将被读出；256短长度或65536扩展长度之内，CLA INS P1 P2LcD

19、ata Le00h 或 04hD6h见表 2 13要修改的第一个字节的偏移地址后续数据域的长度修改用的数据不存在表 2 12UPDATE BINARY命令报文命令报文数据域包括更新原有数据的新数据；使用安全报文时，命令报文的数据域中应包括 MAC ；MAC是由卡片爱护密钥或应用爱护密钥对更新原有数据的新数据运算而得到的；响应报文数据域响应报文数据域不存在；26 外部认证 External Authentication定义和范畴EXTERNAL AUTHENTICATION命令用于对卡片外部的安全认证；运算的方法是利用卡片中的卡片主控密钥或应用主控密钥，对卡片产生的随机数使用GET CHALLE

20、NGE命令和接口设备传输进来的认证数据进行验证；命令报文代码CLA INS P1 P2LcData Le值00h 82h 00h主控密钥或应用主控密钥的08h发卡方认证数据不存在KID00-08h表 2 14EXTERNAL AUTHENTICATION 命令报文命令报文数据域命令报文数据域中包含8 字节的加密数据，该数据是用主控密钥对此命令前一条命令“GET CHALLENGE”命令获得的随机数后缀“00 00 00 00”之后做 3DES 加密运算产生的；响应报文数据域响应报文数据域不存在；27 内部认证 Internal Authentication1.定义和范畴InternalAuth

21、entication命令供应了利用接口设备发来的随机数和自身储备的相关密钥进行数据认证的功能；2.命令报文Internal Authentication命令报文编码如下：EXTERNAL AUTHENTICATION命令报文见表 2 14；代码值CLA00INS88P100P2Lc内部认证密钥* 当 P2=FFh XXKID 00-FEh时 对 COS 系统密钥进行认证DA TA认证数据3.命令报文数据域命令报文数据域 DATA 的内容是：分散因子+ 认证数据 8 位；Lc 必需为 8 的整数倍每 8 位数据为 1 块；如待处理的输入数据大于1 块，就 COS第一对密钥进行多级的分散， 按最终

22、一次分散因子在前、最先一次分散因子在后的次序输入；4.响应报文数据域应答报文数据域内容是：内部认证数据=3DESKEY ，认证数据；KEY 内部认证密钥依据分散因子进行分散28 取响应数据 Get Response定义和范畴当 APDU 不能用现有协议传输时， GET RESPONSE 命令供应了一种从IC 卡向接口设备传送 APDU 或 APDU 的一部分的传输方法；命令报文代码CLA INS P1 P2LcData Le值00h C0h 00h 00h不存在不存在期望数据的最大长度表 2 15GET RESPONSE 命令报文命令报文数据域命令报文数据域不存在；响应报文数据域响应报文数据域

23、的长度由Le 的值打算；假如必需回送状态码 6Cxx ，否就 6F00；Le 的值为 0，在后续数据有效时，IC 卡29 取随机数 Get Challenge 定义和范畴GET CHALLENGE 命令用于从 IC 卡中获得一个 4 或 8 个字节的随机数； 该随机数服务于安全过程如安全报文 ，在使用随机数的命令执行后失效；命令报文GET CHALLENGE 命令报文见表 216；代码值CLA00hINS84hP100hP200hGET RESPONSE 命令报文见表 2 15；LcDataLe不存在不存在04h/08h表 216GET CHALLENGE命令报文命令报文数据域命令报文数据域不

24、存在；响应报文数据域IC 卡产生的随机数，长度为4 或 8 字节；3、个人化指令31 建立文件指令 Create File 定义和范畴Create File 命令用于建立 MF 文件、 DF 文件和 EF 文件；当建立 MF 文件时，卡片必需为空；建立DF 文件时，只有MF 存在且有足够的空间， 并且满意当前建立文件的安全条件，MF 没有被锁住，才可建立DF ；建立 EF 文件时， 只有卡空间 EF 文件头 +文件体， 并且满意当前建立EF 文件的安全条件才可建立 EF；命令报文Create File 的命令报文如下：代码值CLAF0INSF0P1文件类型P200Lc文件信息长度DATA文件信

25、息命令数据说明P1：00 MF01 DF02 EF03 个人化终止04- 删除 MFDATA ： 说明如下：当 P1 为 00、01、02 是 DATA 如下表：字节DATA长度EFDFMF1-2EF 标识 FIDDF ID*3F0023-4EF 空间大小DF 空间大小MF 空间大小2 记录个 数+ 记录长度5EF 状态DF 状态*DF 总数量+DF 以 1建立个数 No.16-8安全掌握属性安全掌握属性安全掌握属性39文件类型Isf 密钥数量Isf 密钥数量110AID6 位，其任一位值不行为 0xFF目录文件 sfi1DF状态:0001自由拜访卡复位后直接进入该应用MF下仅可以建立一个该应

26、用10应用下 CLA=04/84/80 的指令操作受 PIN 爱护2X应用下 CLA=04/84/80 的指令操作受认证爱护， X 为 KID FF 禁止拜访应用永久锁定当 P1 为 03、04 是 DATA 如下表：字节DATA长度1-23F002文件类型说明见下表：B7B6B5文件类型B4B3B2B1B0类型描述状态0000二进制0001定长记录0010循环定长0011变长记录0100FCI 文件安全掌握属性：字节MFDFEF1-1/2建立文件 ACRFU读 AC1-2/2主控密钥 KIDRFU读 KEY2-1/2建立应用 AC应用锁定 /解锁AC写/修改/追加 AC2-2/2主控密钥 K

27、ID爱护密钥 KID爱护密钥 KID3-1/2删除 MF AC建立文件 ACRFU00x10x20x30xE0xF自由PIN认证保留禁止00x10x20x30x40x5 0xE0xF自由PIN认证明文+MAC密文+MAC保留禁止3-2/2主控密钥 KID应用主控密钥KIDRFUMF/DF AC 值：EFAC 值：AC KEY为内部安全文件对应 KEY 记录32 内部数据设定定义和范畴用以设定内部数据文件中的数据；本指令在应用建立后与个人化终止指令执行前有效；命令报文代码CLA INS P1 P2LcData值F0h 20h 00h 00h 06h内部数据命令报文命令报文数据域命令数据说明：4

28、字节内部脱机交易序号1 字节 内部数据安全计数指针1 字节 应用锁定安全计数指针响应报文数据域报文数据域不存在；3.3 Write KEY增加或修改密钥 84 D4定义和范畴WRITEKEY 命令可向卡中装载或更新卡中已经存在的密钥，本命令仅支持8 字节或16 字节的密钥，密钥写入可以是明文或密文的方式；当本命令用于明文方式执行是必需在卡片个人化终止前，否就将返回6E00；在密钥装载前必需用GET CHANLLEGE命令从 IC 卡取 4 字节的随机数；命令报文安装或修改 KEY 的命令报文如下：代码CLA INS P1P2Lc DATA值80/84D400 或当 CLA=84 时 P1=FD

29、/FE 创建 TAK/TPK当 CLA=84 时 P1=ED/EE 更新 TAK/TPK00 或当 P1=FD/FE/ED/EE 时 P2=2密钥信息长度密钥信息命令报文数据域明文形式的数据域信息当 P1=00 时 密钥信息如下：密钥信息密钥头 +密钥值密钥头 3 字节密钥值密钥用途密钥版本 KID 算法标识08/16当 P1=FD/ED/FE/EE 时 密钥信息如下：密钥信息密钥头 +密钥值密钥头 8 字节密钥用途密钥版本KID00算法标识00000000密钥值KeyCipData+ CV 注：密钥用途：长度为1 字节，低 5 位为密钥类型，高三位为密钥分散级数；对于密钥类型为 00、01

30、和 09 的 PSAM 卡用密钥分散级数为0；IC 卡个人化终止指令胜利执行后，除通讯密钥下载外COS 不在支持明文下载密钥方式，此时指令返回6E00；通讯密钥下载时，COS 调用通讯主密钥进行解密；KeyCipData=3DESKEY=MWK， DATA=TAK/TPKCV=3DES KEY=TAK/TPK，0x0000000000000000的结果取前 4 字节；密钥类型商定如下表：KEY类型该类型 KEY 作用描述00外部认证密钥或 主控密钥 ，用于外部认证过程及密钥安全掌握01爱护密钥 psam 卡用02灰锁消费密钥03PIN 解锁密钥04PIN 重装密钥05用户卡应用爱护密钥06MA

31、C 密钥07加密密钥08MAC 、加密密钥09内部认证密钥0x10* 主工作密钥 MWK；用于加密 /MAC 运算和爱护类型为 0x11/0xFE/0xFD 密钥的载入与更新0x11* 动态通讯密钥 WK 0x13主 工 作 密 钥TK 银 联 主 密 钥 ； 用 于 保 护 类 型 为0x10/0x16/0x17密钥的载入与更新0x16MAC密钥 专用加密 /MAC运算指令 工作密钥0x17加密密钥 专用加密 /MAC 运算指令PIN 工作密钥、通讯工作密钥0x1C建设部 MIFARE 1 专用加密密钥0x1D建设部 MIFARE 1 专用 MAC 认证密钥0x29随机数加密密钥，用于双向认

32、证初始化0x2A验证加密数据，用于双向认证0x3APSAM 卡 PIN0XFE终端加密密钥 TPK CT*0XFD终端 MAC 密钥 TAK CT*其他RFUCT* 升腾定制；当 KEY类型为 0x3A 时，算法标识为0x33密钥版本 KID ：指定某种类型密钥的标识，长度为1 字节；算法标识：指定了密钥所支持的加密算法，长度为1 字节；算法标识商定如下：0- 3DES1- DES2-255 保留在 MF 下装载密钥的掌握过程为：卡片主控密钥在卡片传输密钥的掌握下装载；卡片主控密钥在卡片主控密钥的掌握下更新；卡片爱护密钥在卡片主控密钥的掌握下装载和更新；在 DF 下装载密钥的掌握过程为：应用主

33、控密钥在卡片主控密钥的掌握下装载；应用主控密钥在应用主控密钥的掌握下更新；应用爱护密钥在应用主控密钥的掌握下装载和更新；应用主工作密钥在应用主控密钥的掌握下装载和更新；密文形式的数据域信息加密后的密钥信息4 字节 MAC密文安装密钥说明：在使用密文形式进行安装密钥时，命令报文数据域包括要装载的密钥密文信息和MAC ；密文形式的数据域信息：密钥密文信息使用主控密钥对以下数据加密按所列次序产生的：后续数据长度密钥用途密钥版本算法标识密钥值 8-16SAFECOS/PSAM规定：密钥用途为00 的外部认证密钥为主控密钥；应用下的其他密钥均可以由应用主控密钥加密安装；对密钥信息的加密方式按标准的Tri

34、ple DES ；MAC 是用主控密钥对下数据进行MAC 运算按所列次序产生的： CLA INS P1 P2 Lc密钥密文信息加密和 MAC运算的方法遵循中国金融集成电路IC 卡标准；生成 MAC码的初始值为： 4 个字节的随机数 +00 00 00 00；密文安装应用主控密钥时，所使用的密钥为上一层的卡片主控密钥；3.4 通讯协议设定 F0 10定义和范畴本指令必需在 MF 下执行如在 ADF 下就卡返回 5985，用以设定 PSAM 卡的通讯协议；如卡片已经胜利执行个人化终止指令，就必需在 MF 下认证卡片主控密钥后才可以胜利执行否就卡返回6982；命令报文代码值CLAF0hINS10hP

35、1通讯方式P200hLc00h当 P1=0 PSAM卡通讯协议设定为T=0当 P1=1 PSAM卡通讯协议设定为T=1响应报文数据域报文数据域不存在；4、PBOC PSAM指令4.1 通用 DES 运算初始化 INIT_FOR_ DESCRYPT80 1A定义和范畴INIT_FOR_ DESCRYPT命令用来初始化通用密钥运算过程；PSAM 卡将利用卡中指定的密钥进行运算， 产生一个暂时密钥；运算方式由指定的密钥类型、密钥分散级数和密钥算法标识确定；不支持运算暂时密钥运算的密钥类型有： 主控密钥 爱护密钥 消费密钥双长度密钥产生双长度暂时密钥的密钥类型有： PIN 解锁密钥 用户卡应用爱护密钥

36、双长度密钥左右异或产生单长度暂时密钥的密钥类型有： 重装 PIN 密钥双长度密钥产生双长度暂时密钥，单长度密钥产生单长度暂时密钥的密钥类型有： MAC 密钥 加密密钥 MAC 、加密密钥指定密钥经过几级处理由密钥分散级数和Lc 确定，假设二者不一样， 就返回错误信息；暂时密钥在 PSAM 卡下电后自动消逝，不答应读；暂时密钥产生后，与原密钥的属性一样；命令报文INIT_FOR_ DESCRYPT命令报文见表代码CLA INS P1 P2LcData Le值80h 1Ah密钥用途密钥版本 KID 待处理数据的长度待处理的数据无命令报文数据域INIT_FOR_ DESCRYPT命令报文命令报文数据

37、域包括待处理的输入数据；数据长度为8 的整数倍，长度也可以为0；密钥类型取密钥用途的低5 位，密钥分散级数取密钥用途的高3 位；如待处理的输入数据包括多级的分散因子，按最终一次分散因子在前、最先一次分散因子在后的次序输入；响应报文数据域响应报文数据域不存在；4.2 通用 DES 运算 DES Crypt 80 FA定义和范畴DES CRYPT 命令利用指定的密钥来进行运算；假设一条命令无法传输全部的待处理数据，可分几条命令输入；加密运算采纳 ECB 模式，数据的填充在卡片外面进行，卡片只支持长度为8 的整数倍数据的加密；MAC运算遵循中国金融集成电路IC卡标准，数据的填充在卡片外面进行，卡片只支持长度为 8 的整数倍数据的 MAC 运算；DES CRYPT命 令 必 须 在 INIT_FOR_ DESCRYPT命令胜利执行后才能进行；卡片状态在执行无后续块运算后，复原为通用DES 运算初始化执行前的状态；命令报文代码CLA INS P1 P2Lc DataLe值80h Fah 见下表00h要加密的数据长度要加密的数据不存在DES CRYPT 命令报文b8b7b6b5b4b3b2b1X含义XX运算模式 0，加密 1， MAC 运算后续块 0，无后续块 1，有后续块初始