中国金融PSAM卡应用规范(讨论修改稿)中国金融IC卡试点工程实施小组一九九九年七月中国金融PSAM卡应用规范中国金融IC卡试点工程实施小组1目录一.文件结构.................................................................21.文件结构...............................................................22.CDF区域说明...........................................................33.ADF区域说明...........................................................5二.基本命令.................................................................71.选择文件(SELECT)......................................................72.读记录文件(READRECORD)................................................93.写记录文件(UPDATERECORD).............................................104.读二进制文件(READBINARY).............................................125.写二进制文件(UPDATEBINARY)...........................................136.外部认证(EXTERNALAUTHENTICATION).......................................157.取响应数据(GETRESPONSE)..............................................168.取随机数(GETCHALLENGE)...............................................17三.扩展命令................................................................181.写入密钥(WRITEKEY)..................................................182.计算临时密钥(INIT_FOR_DESCRYPT)....................................203.通用DES计算(DESCRYPT)..............................................224.应用解锁(APPLICATIONUNBLOCK)..........................................245.MAC1计算(INIT_SAM_FOR_PURCHASE).....................................266.校验MAC2(CREDIT_SAM_FOR_PURCHASE)...................................28四.应用流程................................................................301.全国密钥管理中心洗卡..................................................302.消费交易处理流程......................................................31五.安全特性................................................................32中国金融PSAM卡应用规范中国金融IC卡试点工程实施小组21.密钥装载..............................................................322.密钥访问..............................................................323.密钥属性..............................................................324.加密算法描述..........................................................33六.状态码..................................................................35附录A命令清单.............................................................38附录B卡片中的基本数据文件..................................................39一.文件结构PSAM卡用于商户POS、网点终端、直联终端等端末设备上,负责机具的安全控管。PSAM卡具有一定的通用性。经过个人化处理的PSAM卡能在不同的机具上使用。PSAM卡支持多级发卡的机制,各级发卡方在卡片主控密钥和应用主控密钥的控制下创建文件和装载密钥。1.文件结构PSAM卡文件结构符合ISO/IEC7816-4。本条款描述了符合本规范的应用文件结构,这些应用被定义为支付系统应用(PSA)。符合ISO/IEC7816-4,但不符合本规范的其他应用也可出现在PSA上,并可以使用本规范中定义的命令进行操作。PSAM卡中PSA的路径可以通过明确选择支付系统环境(PSE)来激活。PSAM卡文件结构如下图所示:中国金融PSAM卡应用规范中国金融IC卡试点工程实施小组3图1PSAM卡文件结构2.CDF区域说明在PSAM卡的CDF(CommonDataFile)区域中,文件创建和密钥装载是在卡片主控密钥的控制下进行。MF(PSE)DIRヘ魁卡片主控密钥数据元卡片公共信息文件DF(PBOC应用ADF)应用主控密钥数据元应用维护密钥数据元应用主工作密钥数据元DF(三级中心应用ADF)应用公共信息文件应用脱机交易计数器文件DF(二级中心应用ADF)卡片维护密钥数据元终端信息文件。。。中国金融PSAM卡应用规范中国金融IC卡试点工程实施小组41)DIR目录数据文件DIR目录数据文件是一个名为“1PAY.SYS.DDF01”的线性文件。这个DDF被映射到卡中的某个DF,这个DF可以是MF,也可以不是。DIR目录数据文件的说明参考《中国金融集成电路(IC)卡规范》,但DIR目录数据文件的第一个入口地址必须是全国密钥管理总中心应用ADF。2)卡片主控密钥卡片主控密钥是卡片的控制密钥,由卡片生产商写入,在发卡方替换后生效。卡片主控密钥的更新在自身的控制下进行。发卡方必须在卡片主控密钥的控制下,l创建卡片CDF区域的文件;l装载CDF区域的密钥(卡片维护密钥、应用主控密钥);l替换CDF区域的密钥(卡片主控密钥、卡片维护密钥)。卡片主控密钥的控制可通过外部认证操作实现,也可通过安全报文的方式实现。3)卡片维护密钥卡片维护密钥用于卡片CDF区域的应用维护,在卡片主控密钥的控制下装载和更新。卡片的管理者可在卡片维护密钥的控制下,l安全更新记录文件;l安全更新二进制文件。卡片维护密钥的控制通过安全报文的形式实现。4)卡片公共信息文件卡片公共信息文件存放卡片的公共信息,在卡片主控密钥的控制下创建,可自由读,可在卡片维护密钥的控制下改写。5)终端信息文件终端信息文件存放终端的信息,在卡片主控密钥的控制下创建,可自由读,可在卡片维护密钥的控制下改写。中国金融PSAM卡应用规范中国金融IC卡试点工程实施小组53.ADF区域说明在PSAM卡的ADF(ApplicationDataFile)区域中,文件创建和密钥装载是在应用主控密钥的控制下进行。ADF下的文件结构可由应用发行者自行确定,但必须存在应用主控密钥、应用维护密钥。全国密钥管理中心应用ADF的文件结构还必须包括应用主工作密钥数据元、应用公共数据文件和应用脱机交易计数器文件。1)应用主控密钥应用主控密钥是应用的控制密钥,在卡片主控密钥控制下写入。发卡方必须在应用主控密钥的控制下,l创建卡片ADF区域的文件;l装载ADF区域的密钥(应用维护密钥、应用主工作密钥);l替换ADF区域的密钥(应用主控密钥、应用维护密钥)。应用主控密钥的控制可通过外部认证操作实现,也可通过安全报文的方式实现。2)应用维护密钥应用维护密钥用于卡片ADF区域的应用维护,在应用主控密钥的控制下装载和更新。卡片的管理者可在应用维护密钥的控制下,l安全更新记录文件;l安全更新二进制文件;l进行应用解锁。卡片维护密钥的控制通过安全报文的形式实现。3)应用主工作密钥应用主工作密钥用于卡片的交易,在应用主控密钥的控制下装载,全国密钥管理中心下的主工作密钥不允许更新。4)应用公共信息文件应用公共信息文件存放应用的公共信息,在应用主控密钥的控制下创建,可自由读,可在卡片维护密钥的控制下改写。中国金融PSAM卡应用规范中国金融IC卡试点工程实施小组65)应用脱机交易计数器文件应用脱机交易计数器文件存放终端的脱机交易计数器,在应用主控密钥的控制下创建,可自由读,在消费交易MAC2验证通过的情况下由卡片操作系统改写。应用脱机交易计数器只对本应用有效。中国金融PSAM卡应用规范中国金融IC卡试点工程实施小组7二.基本命令1.选择文件(Select)1)定义和范围SELECT命令通过文件名或AID来选择IC卡中的PSE、DDF或ADF。命令执行成功后,PSE、DDF或ADF的路径被设定。应用到AEF的后续命令将采用SFI方式联系到所选定的PSE、DDF或ADF。从IC卡的响应报文应由回送的FCI组成。2)命令报文SELECTFILE命令报文见表2-1。代码值CLA00hINSA4hP1引用控制参数(见表2-2)P200h:第一个或仅有一个02h:下一个Lc05h~10hData文件名Le00h表2-1SELECT命令报文表b8b7b6b5b4b3b2b1含义000001通过文件名选择00表2-2SELECT命令引用控制参数中国金融PSAM卡应用规范中国金融IC卡试点工程实施小组83)命令报文数据域命令报文数据域应包括所选择的PSE名、DF名或AID。4)响应报文数据域响应报文中数据域应包括所选择的PSE、DDF或ADF的FCI。表2-3到表2-5规定了此定义所用的标志。本规范不规定FCI中回送的附加附加标志。表2-3定义了成功选择PSE后回送的FCI:标志值存在方式'6F'FCI模板M'84'DF名M'A5'FCI专用数据M'88'目录基本文件的SFIM表2-3SELECTPSE的响应报文(FCI)表2-4定义了成功选择DDF后回送的FCI:标志值存在方式'6F'FCI模板M'84'DF名M'A5'FCI专用数据M'88'目录基本文件的SFIM表2-4SELECTDDF的响应报文(FCI)表2-5定义了成功选择ADF后回送的FCI:标志值存在方式'6F'FCI模板M'84'DF名M'A5'FCI专用数据M'9F0C'发卡方自定义数据的FCIO表2-5SELECTADF的响应报文(FCI)中国金融PSAM卡应用规范中国金融IC卡试点工程实施小组92.读记录文件(ReadRecord)1)定义和范围READRECORD命令用于读取记录文件中内容。IC卡的响应由回送的记录数据组成。2)命令报文READRECORD命令报文见表2-6。代码值CLA00hINS