文档介绍：写入密钥(Write Key)
定义和范围
WRITE KEY命令可向卡中装载密钥或更新卡中已存在的密钥。本命令可支持8字节或16字节的密钥,密钥写入必须采用加密的方式,在主控密钥的控制下进行。
在密钥装载前必须用GET CHANLLEGE命令从PSAM卡取一个4字节的随机数。
命令报文
WRITE KEY命令报文见表3-1。
代码
值
CLA
84h
INS
D4h
P1
00h
P2
00h
Lc
14h或1Ch
Data
加密后的密钥信息、MAC
Le
不存在
表3-1 WRITE KEY命令报文
命令报文数据域
命令报文数据域包括要装载的密钥密文信息和MAC。
密钥密文信息是用主控密钥对以下数据加密(按所列顺序)产生的:
——密钥用途
——密钥版本
——密钥算法标识
——密钥值
MAC是用主控密钥对下数据进行MAC计算(按所列顺序)产生的:
——CLA
——INS
——P1
——P2
——Lc
——密钥密文信息
加密和MAC计算的方法遵循《中国金融集成电路(IC)卡规范》。
装载8字节的单长度密钥时,数据长度为14h;装载16字节的双长度密钥时,数据长度为1Ch。
响应报文数据域
响应报文数据域不存在。
批量更新密钥初始化(Init Batch Update)
定义和范围
Init Batch Update命令用于从IC卡中获得一个4个字节的随机因子。该随机因子服务于批量更新消费主密钥指令的安全过程(如安全报文),在使用批量更新消费主密钥指令的命令执行后失效。
命令报文
GET CHALLENGE命令报文见表2-16。
代码
值
CLA
00h
INS
85h
P1
00h
P2
00h
Lc
不存在
Data
不存在
Le
13h
表2-16 Init Batch Update命令报文
命令报文数据域
命令报文数据域不存在。
响应报文数据域
此命令执行成功的响应报文数据域见表。
如果命令执行不成功,则只在响应报文中回送SW1和SW2。
说明
长度(字节)
PSAM序列号
10
密钥索引号(GMPK)
1
有效期
4
随机因子
4
批量更新消费主密钥(Batch Update GMPK)
定义和范围
Batch Update GMPK命令可向卡中更新卡中已存在的消费密钥。本命令只支持16字节的密钥,密钥写入必须采用加密的方式,在主控密钥的控制下进行。
在密钥更新前必须用Init Batch Update命令从PSAM卡取一个4字节的随机数。
命令报文
Batch Update GMPK命令报文见表3-1。
代码
值
CLA
84h
INS
D5h
P1
00h
P2
00h
Lc
10 +(N*18h)
Data
见说明
Le
不存在
表3-1 Batch Update GMPK命令报文
命令报文数据域
加密和MAC计算的方法遵循《中国金融集成电路(IC)卡规范》。装载16字节的双长度密钥时,数据长度为18h。
说明
长度(字节)
已发送更新密钥指令数量(N)
1
新的密钥索引号(GMPK)
1
有效期
4
GMPK CRYPTOGRAPH
N*18h
MAC
4
响应报文数据域
响应报文数据域不存在。
(INIT_FOR_ DESCRYPT)
定义和范围
INIT_FOR_ DESCRYPT命令用来初始化通用密钥计算过程。PSAM卡将利用卡中指定的密钥进行运算,产生一个临时密钥。运算方式由指定的密钥类型、密钥分散级数和密钥算法标识确定。
不支持计算临时密钥计算的密钥类型有:
——主控密钥
——维护密钥
——消费密钥
双长度密钥产生双长度临时密钥的密钥类型有:
——PIN解锁密钥
——用户卡应用维护密钥
双长度密钥左右异或产生单长度临时密钥的密钥类型有:
——重装PIN密钥
双长度密钥产生双长度临时密钥,单长度密钥产生单长度临时密钥的密钥类型有:
——MAC密钥
——加密密钥
——MAC、加密密钥
指定密钥经过几级处理由密钥分散级数和Lc确定,若二者不一致,则返回错误信息。
临时密钥在PSAM卡下电后自动消失,不允许读。
临时密钥产生后,与原密钥的属性一致。
命令报文
INIT_FOR_ DESCRYPT命令报文见表3-2。
代码
值
CLA
80h
INS
1Ah
P1
密钥用途
P2
密钥版本
Lc
待处理数据的长度
Data
待处理的数