PSAM卡必需支持的专用命令.doc

写入密钥（Write Key） 定义和范围 WRITE KEY命令可向卡中装载密钥或更新卡中已存在的密钥。本命令可支持8字节或16字节的密钥，密钥写入必须采用加密的方式，在主控密钥的控制下进行。 在密钥装载前必须用GET CHANLLEGE命令从PSAM卡取一个4字节的随机数。 命令报文 WRITE KEY命令报文见表3－1。 代码 值 CLA 84h INS D4h P1 00h P2 00h Lc 14h或1Ch Data 加密后的密钥信息、MAC Le 不存在 表3－1 WRITE KEY命令报文 命令报文数据域 命令报文数据域包括要装载的密钥密文信息和MAC。 密钥密文信息是用主控密钥对以下数据加密（按所列顺序）产生的： ——密钥用途 ——密钥版本 ——密钥算法标识 ——密钥值 MAC是用主控密钥对下数据进行MAC计算（按所列顺序）产生的： ——CLA ——INS ——P1 ——P2 ——Lc ——密钥密文信息 加密和MAC计算的方法遵循《中国金融集成电路（IC）卡规范》。 装载8字节的单长度密钥时，数据长度为14h；装载16字节的双长度密钥时，数据长度为1Ch。 响应报文数据域 响应报文数据域不存在。 批量更新密钥初始化（Init Batch Update） 定义和范围 Init Batch Update命令用于从IC卡中获得一个4个字节的随机因子。该随机因子服务于批量更新消费主密钥指令的安全过程（如安全报文），在使用批量更新消费主密钥指令的命令执行后失效。 命令报文 GET CHALLENGE命令报文见表2－16。 代码 值 CLA 00h INS 85h P1 00h P2 00h Lc 不存在 Data 不存在 Le 13h 表2－16 Init Batch Update命令报文 命令报文数据域 命令报文数据域不存在。 响应报文数据域 此命令执行成功的响应报文数据域见表。 如果命令执行不成功，则只在响应报文中回送SW1和SW2。 说明 长度（字节） PSAM序列号 10 密钥索引号（GMPK） 1 有效期 4 随机因子 4 批量更新消费主密钥（Batch Update GMPK） 定义和范围 Batch Update GMPK命令可向卡中更新卡中已存在的消费密钥。本命令只支持16字节的密钥，密钥写入必须采用加密的方式，在主控密钥的控制下进行。 在密钥更新前必须用Init Batch Update命令从PSAM卡取一个4字节的随机数。 命令报文 Batch Update GMPK命令报文见表3－1。 代码 值 CLA 84h INS D5h P1 00h P2 00h Lc 10 +（N*18h） Data 见说明 Le 不存在 表3－1 Batch Update GMPK命令报文 命令报文数据域 加密和MAC计算的方法遵循《中国金融集成电路（IC）卡规范》。装载16字节的双长度密钥时，数据长度为18h。 说明 长度（字节） 已发送更新密钥指令数量(N) 1 新的密钥索引号（GMPK） 1 有效期 4 GMPK CRYPTOGRAPH N*18h MAC 4 响应报文数据域 响应报文数据域不存在。 4．通用DES计算初始化（INIT_FOR_ DESCRYPT） 定义和范围 INIT_FOR_ DESCRYPT命令用来初始化通用密钥计算过程。PSAM卡将利用卡中指定的密钥进行运算，产生一个临时密钥。运算方式由指定的密钥类型、密钥分散级数和密钥算法标识确定。 不支持计算临时密钥计算的密钥类型有： ——主控密钥 ——维护密钥 ——消费密钥 双长度密钥产生双长度临时密钥的密钥类型有： ——PIN解锁密钥 ——用户卡应用维护密钥 双长度密钥左右异或产生单长度临时密钥的密钥类型有： ——重装PIN密钥 双长度密钥产生双长度临时密钥，单长度密钥产生单长度临时密钥的密钥类型有： ——MAC密钥 ——加密密钥 ——MAC、加密密钥 指定密钥经过几级处理由密钥分散级数和Lc确定，若二者不一致，则返回错误信息。 临时密钥在PSAM卡下电后自动消失，不允许读。 临时密钥产生后，与原密钥的属性一致。 命令报文 INIT_FOR_ DESCRYPT命令报文见表3－2。 代码 值 CLA 80h INS 1Ah P1 密钥用途 P2 密钥版本 Lc 待处理数据的长度 Data 待处理的数据 Le 无 表3－3 INIT_FOR_ DESCRYPT命令报文 命令报文数据域 命令报文数据域包括待处理的输入数据。数据长度为8的整数倍，长度也可以为0。密钥