PSAM技术参考手册.pdf

该【PSAM技术参考手册 】是由【秋江孤影】上传分享，文档一共【44】页，该文档可以免费在线阅读，需要了解更多关于【PSAM技术参考手册 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。:.
®技术参考手册
PSAM
Version
PSAM
深圳市卡芯科技有限公司
2008年7月最后修改
:.
目录
1、文件结构.................................................错误!未定义书签。
技术参数及ATR.......................................错误!未定义书签。
文件结构...................................................错误!未定义书签。
MF区域说明..........................................错误!未定义书签。
ADF区域说明.........................................错误!未定义书签。
2、基本命令.................................................错误!未定义书签。
(SELECT).....................................错误!未定义书签。
(READRECORD)...............................错误!未定义书签。
(UPDATERECORD).............................错误!未定义书签。
(READBINARY).............................错误!未定义书签。
(UPDATEBINARY)...........................错误!未定义书签。
(EXTERNALAUTHENTICATION).......................错误!未定义书签。
(INTERNALAUTHENTICATION).........................错误!未定义书签。
(GETRESPONSE)..............................错误!未定义书签。
(GETCHALLENGE)...............................错误!未定义书签。
3、个人化指令...............................................错误!未定义书签。
(CREATEFILE).............................错误!未定义书签。
..........................................错误!未定义书签。
.........................错误!未定义书签。
....................................错误!未定义书签。
4、PBOCPSAM指令............................................错误!未定义书签。
(INIT_FOR_DESCRYPT)801A.........错误!未定义书签。
(DESCRYPT)80FA.........................错误!未定义书签。
(INIT_SAM_FOR_PURCHASE)8070...............错误!未定义书签。
(CREDIT_SAM_FOR_PURCHASE)8072..............错误!未定义书签。
(APPLICATIONUNBLOCK)8418.....................错误!未定义书签。
5、扩展指令.................................................错误!未定义书签。
(UPDATA_WK)F0D4...................错误!未定义书签。
(LOAD_MWK)00D4..........................错误!未定义书签。
(CAL_COMM_MAC)80FB............错误!未定义书签。
(CAL_MIFARE1)80FC................错误!未定义书签。
...........................错误!未定义书签。
............................错误!未定义书签。
*终端KEY计算指令(CT专用)80FA.......................错误!未定义书签。
(VERIFYPIN)0020............................错误!未定义书签。
(CHANGEPIN)805E.............................错误!未定义书签。
(INITDUALAUTHENTICATION)0074...........错误!未定义书签。
(DUALAUTHENTICATION)0086.....................错误!未定义书签。:.
附录A卡片中的基本数据文件.................................错误!未定义书签。
附录B:指令集与返回代码.....................................错误!未定义书签。
附录C:PSAM个人化指令使用流程参考..........................错误!未定义书签。
1、清除PSAM卡数据(DELEATEMF)..........................错误!未定义书签。
2、创建MF(CREATEMF).....................................错误!未定义书签。
3、建DIR目录文件(CREATEEF01)..........................错误!未定义书签。
4、明文装载卡片主控密钥CCK0(WRITEKEYATPLAINMODE).........错误!未定义书签。
5、建PSAM应用的公共应用基本数据文件(EF15,SFI=0X15)......错误!未定义书签。
、建立EF15..........................................错误!未定义书签。
.......................................错误!未定义书签。
6、建PSAM终端编号文件(EF16,SFI=0X16)....................错误!未定义书签。
............................................错误!未定义书签。
......................................错误!未定义书签。
7、建立DF01(CREATEDF01)................................错误!未定义书签。
8、CCK的控制下装载应用主控密钥ACK........................错误!未定义书签。
9、ACK的控制下装载消费交易等密钥.........................错误!未定义书签。
10、个人化结束(CREATEEND)...............................错误!未定义书签。
附录D:简单发卡及应用数据流程...............................错误!未定义书签。
1、个人化流程..............................................错误!未定义书签。
2、应用举例................................................错误!未定义书签。
:.
1、文件结构
PSAM卡用于商户POS、网点终端、直联终端等端末设备上,负责机具的安全控管。PSAM
卡具有一定的通用性。经过个人化处理的PSAM卡能在不同的机具上使用。
COS遵循以下标准:
GB/T—1996识别卡带触点的集成电路卡第3部分:电信号和传输协议(ISO/IEC
7816-3:1989)
ISO8731-1:1987银行业务已批准的报文鉴别算法第1部分:DEA
ISO8732:1987信息处理64位块加密算法的运算方法
《中国金融IC卡试点PSAM卡应用规范》
PSAM卡支持多级发卡的机制,各级发卡方在卡片主控密钥和应用主控密钥的控制下创
建文件和装载密钥。

芯片类型:80518位安全芯片
参数名称测试条件最小值最大值单位

工作温度-25+85摄氏度
外部时钟频率25摄氏度14MHz
内部时钟4060MHz
休眠电流休眠状态5μA
工作电流25摄氏度,3V-5V310mA
功率60mW
EEPROM擦25摄氏度,3V-5V操作128字节2mS
EEPROM写25摄氏度,3V-5V操作128字节20mS
通讯速率9600115200BPS
DES加密时间25摄氏度,3V-5V40-60MHz70mS
对于T=0通讯协议的ATR下表:
符号字节内容内容解释
TS3B正向约定
T07CTB1和TC1存在,历史字符为9个:.
TA195PPS支持最高112000BPS
TB100无需额外的编程电压
TC100无需额外的保护时间
T1-TC12字节历1-2“SR”COS标识
史字符30x34COS版本号
4卡个人化状态:
00空白卡/出厂卡
01个人化中/未个人化结束卡
02个人化结束卡
5-12卡唯一序号
文件结构
PSAM卡文件结构符合ISO/IEC7816-4。
本条款描述了符合本规范的应用文件结构,这些应用被定义为支付系统应用(PSA)。
符合ISO/IEC7816-4,但不符合本规范的其他应用也可出现在PSA上,并可以使用本规范
中定义的命令进行操作。
PSAM卡中PSA的路径可以通过明确选择支付系统环境(PSE)来激活。
PSAM卡文件结构如下图所示:
MF(PSE)
公共信息文件
DIR文件
主控密钥文件
终端信息文件
PBOC应用
应用密钥文件
内部数据文件
应用公共信息文件
其他DF应用
PSAM卡文件结构:.

在PSAM卡的MF区域中,文件创建和密钥装载是在卡片主控密钥的控制下进行。
DIR目录数据文件
DIR目录数据文件的说明参考《中国金融集成电路(IC)卡规范》,但DIR目录数据文
件的入口地址必须包括全国密钥管理总中心应用ADF。
卡片主控密钥
卡片主控密钥是卡片的控制密钥,由卡片生产商写入,由发卡方替换为发卡方的卡片
主控密钥。卡片主控密钥的更新在自身的控制下进行。发卡方必须在卡片主控密钥的控制下,
创建卡片MF区域的文件;
装载卡片维护密钥、应用主控密钥;
更新卡片主控密钥、卡片维护密钥。
卡片主控密钥的控制可通过外部认证操作实现,也可通过安全报文的方式实现。
卡片公共信息文件
卡片公共信息文件存放卡片的公共信息,在卡片主控密钥的控制下创建,可自由读,
可在卡片维护密钥的控制下改写。
终端信息文件
终端信息文件存放终端的信息,在卡片主控密钥的控制下创建,可自由读,可在卡片维
护密钥的控制下改写。

在PSAM卡的ADF(ApplicationDataFile)区域中,文件创建和密钥装载是在应用主
控密钥的控制下进行。ADF下的文件结构可由应用发行者自行确定。全国密钥管理中心应用
ADF的文件结构必须包括应用主控密钥、应用维护密钥、应用主工作密钥数据元、应用公共
数据文件和终端应用交易序号数据元。
应用主控密钥
应用主控密钥是应用的控制密钥,在卡片主控密钥控制下写入。发卡方必须在应用主
控密钥的控制下,
装载应用维护密钥、应用主工作密钥;
更新应用主控密钥、应用维护密钥。
应用主控密钥的控制可通过外部认证操作实现,也可通过安全报文的方式实现。
应用公共信息文件
应用公共信息文件存放应用的公共信息,在应用主控密钥的控制下创建,可自由读,
可在应用维护密钥的控制下改写。
内部数据文件
终端应用交易序号长度4字节,用于终端的脱机交易,在消费交易MAC2验证通过的情
况下由卡片操作系统改写。
终端应用交易序号只对本应用有效。:.
2、基本命令
(Select)
定义和范围
SELECT命令通过文件名或AID来选择IC卡中的PSE、DDF或ADF。
命令执行成功后,PSE、DDF或ADF的路径被设定。
应用到AEF的后续命令将采用SFI方式联系到所选定的PSE、DDF或ADF。
从IC卡的响应报文应由回送的FCI组成。
命令报文
SELECTFILE命令报文见表2-1。
代码值
CLA00h
INSA4h
P1引用控制参数(见表2-2)
P200h:第一个或仅有一个
02h:下一个
Lc05h~10h
Data文件名
Le00h
表2-1SELECT命令报文表
b8b7b6b5b4b3b2b1含义
00000
1通过文件名选择
00
表2-2SELECT命令引用控制参数
命令报文数据域
命令报文数据域应包括所选择的PSE名、DF名或AID。
响应报文数据域
响应报文中数据域应包括所选择的PSE、DDF或ADF的FCI。表2-3到表2-5规定了
此定义所用的标志。本规范不规定FCI中回送的附加附加标志。
表2-3定义了成功选择PSE后回送的FCI:
标志值存在方式
'6F'FCI模板M
'84'DF名M
'A5'FCI专用数据M
'88'目录基本文件的SFIM
表2-3SELECTPSE的响应报文(FCI)
表2-4定义了成功选择DDF后回送的FCI:
标志值存在方式
'6F'FCI模板M
'84'DF名M:.
'A5'FCI专用数据M
'88'目录基本文件的SFIM
表2-4SELECTDDF的响应报文(FCI)
表2-5定义了成功选择ADF后回送的FCI:
标志值存在方式
'6F'FCI模板M
'84'DF名M
'A5'FCI专用数据M
'9F0C'发卡方自定义数据的FCIO
表2-5SELECTADF的响应报文(FCI)
(ReadRecord)
定义和范围
READRECORD命令用于读取记录文件中内容。
IC卡的响应由回送的记录数据组成。
命令报文
READRECORD命令报文见表2-6。
代码值
CLA00h
INSB2h
P1记录的序号
P2引用控制参数(见表2-7)
Lc不存在;
Data不存在;
Le00h
表2-6READRECORD命令报文
b8b7B6b5b4b3b2b1含义
XXXXXSFI
100P1为记录的序号
表2-7READRECORD命令引用控制参数
命令报文数据域
命令报文数据域不存在。
响应报文数据域
所有执行成功的READRECORD命令响应报文数据域由读取的记录组成。
(UpdateRecord)
定义和范围
UPDATERECORD命令用命令APDU中给定的数据更改指定的记录。
在使用当前记录地址时,该命令将在修改记录成功后重新设定记录指针。
在安全更新记录时,若安全报文连续三次出错,则永久锁定应用。
命令报文:.
UPDATERECORD命令报文见表2-8。
代码值
CLA00h或04h
INSDCh
P1P1=00h:表示当前记录
P100h:指定的记录号
P2见表2-8
Lc后续数据域长度
Data输入数据
Le不存在
表2-8UPDATERECORD命令报文
b8b7b6b5b4b3b2b1含义
XXXXXSFI
000第一个记录
001最后一个记录
010下一个记录
011上一个记录
100记录号在P1中给出
其余值RFU
表2-9UPDATERECORD命令引用控制参数
命令报文数据域
命令报文数据域由更新原有记录的新记录组成。使用安全报文时,命令报文的数据域
中应包括MAC。MAC是由卡片维护密钥或应用维护密钥对更新原有记录的新记录计算而得到
的。
响应报文数据域
响应报文数据域不存在。
(ReadBinary)
定义和范围
READBINARY命令用于读取二进制文件的内容(或部分内容)。
命令报文
READBINARY命令报文见表2-10。
代码值
CLA00h
INSB0h
P1见表2-11
P2从文件中读取的第一个字节的偏移地址
Lc不存在
Data不存在
Le00
表2-10READBINARY命令报文:.
b8b7b6b5b4b3b2b1含义
X读取模式:
1-用SFI方式
00RFU(如果b8=1)
XXXXXSFI(取值范围21-30)
表2-11READBINARY命令引用控制参数
命令报文数据域
命令报文数据域不存在。
响应报文数据域
当Le的值为0时,只要文件的最大长度在256(短长度)或65536(扩展长度)之内,
则其全部字节将被读出。
(UpdateBinary)
定义和范围
UPDATEBINARY命令用命令APDU中给定的数据修改EF文件中已有的数据。
命令报文
UPDATEBINARY命令报文见表2-12。
代码值
CLA00h或04h
INSD6h
P1见表2-13
P2要修改的第一个字节的偏移地址
Lc后续数据域的长度
Data修改用的数据
Le不存在
表2-12UPDATEBINARY命令报文
b8b7b6b5b4b3b2b1含义
X读取模式:
1-用SFI方式
00RFU(如果b8=1)
XXXXXSFI(取值范围21-30)
表2-13UPDATEBINARY命令引用控制参数
命令报文数据域
命令报文数据域包括更新原有数据的新数据。使用安全报文时,命令报文的数据域中
应包括MAC。MAC是由卡片维护密钥或应用维护密钥对更新原有数据的新数据计算而得到的。
响应报文数据域
响应报文数据域不存在。
(ExternalAuthentication)
定义和范围
EXTERNALAUTHENTICATION命令用于对卡片外部的安全认证。计算的方法是利用卡片:.
中的卡片主控密钥或应用主控密钥,对卡片产生的随机数(使用GETCHALLENGE命令)和接
口设备传输进来的认证数据进行验证。
命令报文
EXTERNALAUTHENTICATION命令报文见表2-14。
代码值
CLA00h
INS82h
P100h
P2主控密钥或应用主控密钥的KID(00-08h)
Lc08h
Data发卡方认证数据
Le不存在
表2-14EXTERNALAUTHENTICATION命令报文
命令报文数据域
命令报文数据域中包含8字节的加密数据,该数据是用主控密钥对此命令前一条命令
“GETCHALLENGE”命令获得的随机数后缀“00000000”之后做3DES加密运算产生的。
响应报文数据域
响应报文数据域不存在。
(InternalAuthentication)
1).定义和范围
InternalAuthentication命令提供了利用接口设备发来的随机数和自身存储的相关
密钥进行数据认证的功能。
2).命令报文
InternalAuthentication命令报文编码如下:
代码值
CLA00
INS88
P100
P2内部认证密钥KID(00-FEh)
*当P2=FFh时对COS系统密钥进行认证
LcXX
DATA认证数据
3).命令报文数据域
命令报文数据域DATA的内容是:分散因子+认证数据(8位);
Lc必须为8的整数倍(每8位数据为1块)。如待处理的输入数据大于1块,则COS
首先对密钥进行多级的分散,按最后一次分散因子在前、最先一次分散因子在后的顺序输入。:.
4).响应报文数据域
应答报文数据域内容是:内部认证数据=3DES(KEY,认证数据)。
KEY—内部认证密钥(依据分散因子进行分散)
(GetResponse)
定义和范围
当APDU不能用现有协议传输时,GETRESPONSE命令提供了一种从IC卡向接口设备传
送APDU(或APDU的一部分)的传输方法。
命令报文
GETRESPONSE命令报文见表2-15。
代码值
CLA00h
INSC0h
P100h
P200h
Lc不存在
Data不存在
Le期望数据的最大长度
表2-15GETRESPONSE命令报文
命令报文数据域
命令报文数据域不存在。
响应报文数据域
响应报文数据域的长度由Le的值决定。如果Le的值为0,在后续数据有效时,IC卡
必须回送状态码‘6Cxx’,否则‘6F00’。
(GetChallenge)
定义和范围
GETCHALLENGE命令用于从IC卡中获得一个4或8个字节的随机数。该随
机数服务于安全过程(如安全报文),在使用随机数的命令执行后失效。
命令报文
GETCHALLENGE命令报文见表2-16。
代码值
CLA00h
INS84h
P100h
P200h
Lc不存在
Data不存在:.
Le04h/08h
表2-16GETCHALLENGE命令报文
命令报文数据域
命令报文数据域不存在。
响应报文数据域
IC卡产生的随机数,长度为4或8字节。:.
3、个人化指令
(CreateFile)
定义和范围
CreateFile命令用于建立MF文件、DF文件和EF文件。
当建立MF文件时,卡片必须为空;建立DF文件时,只有MF存在且有足够的空间,并
且满足当前建立文件的安全条件,MF没有被锁住,才可建立DF。
建立EF文件时,只有卡空间>EF文件头+文件体,并且满足当前建立EF文件的安全条
件才可建立EF。
命令报文
CreateFile的命令报文如下:
代码值
CLAF0
INSF0
P1文件类型
P200
Lc文件信息长度
DATA文件信息
命令数据说明
P1:
00-------------MF
01-------------DF
02--------------EF
03--------------个人化结束
04--------------删除MF
DATA:说明如下:
当P1为00、01、02是DATA如下表:
字节DATA长度
EFDFMF
1-2EF标识FIDDFID*3F002
3-4EF空间大小DF空间大小MF空间大小2:.
(记录个数+记
录长度)
5EF状态DF状态*DF总数量+DF以建1
立个数()
6-8安全控制属性安全控制属性安全控制属性3
9文件类型Isf密钥数量Isf密钥数量1
10AID(>6位,目录文件sfi1
其任一位值不
可为0xFF)
DF状态:
00—自由访问
01—卡复位后直接进入该应用(MF下仅可以建立一个该应用)
10—应用下(CLA=04/84/80)的指令操作受PIN保护
2X—应用下(CLA=04/84/80)的指令操作受认证保护,X为KID
FF—禁止访问(应用永久锁定)
当P1为03、04是DATA如下表:
字节DATA长度
1-23F002
文件类型说明见下表:
文件类型类型描述
B7B6B5B4B3B2B1B0状态
0000二进制
0001定长记录
0010循环定长
0011变长记录
0100FCI文件
安全控制属性:
字节MFDFEF
1-1/2建立文件ACRFU读AC
1-2/2主控密钥KIDRFU读KEY
2-1/2建立应用AC应用锁定/解锁AC写/修改/追加AC
2-2/2主控密钥KID维护密钥KID维护密钥KID
3-1/2删除MFAC建立文件ACRFU:.
3-2/2主控密钥KID应用主控密钥KIDRFU
MF/DFAC值:
00x10x20x3–0xE0xF
自由PIN认证保留禁止
EFAC值:
00x10x20x30x40x5–0xE0xF
自由PIN认证明文+MAC密文保留禁止
+MAC
ACKEY为内部安全文件对应KEY记录

定义和范围
用以设定内部数据文件中的数据;本指令在应用建立后与个人化结束指令执行前有
效。
命令报文
代码值
CLAF0h
INS20h
P100h
P200h
Lc06h
Data内部数据
命令报文
命令报文数据域
命令数据说明:
4字节内部脱机交易序号
1字节内部数据安全计数指针
1字节应用锁定安全计数指针
响应报文数据域
报文数据域不存在。

定义和范围
WRITEKEY命令可向卡中装载或更新卡中已经存在的密钥,本命令仅支持8字节或16
字节的密钥,密钥写入可以是明文或密文的方式。:.
当本命令用于明文方式执行是必须在卡片个人化结束前,否则将返回6E00。
在密钥装载前必须用GETCHANLLEGE命令