文档介绍:一、外部认证EXTERNALAUTHENTICATION命令1、命令功能描述外部认证命令捉供了利用卡片产生随机数,外部利用密钥设备对该数据进行计算完成对终端的数据认证功能,也就是卡片认证终端合法性的过程。外部认证成功以后,将修改对应的安全状态为内部认证结果的安全状态,并且复位卡片内对应密钥的尝试计数器到初值。如果验证失败,将对应密钥的尝试计数器值减一,直至减为0将密钥锁定不能再进行外部认证操作为止。由于外部认证过程中需要卡片产生的随机数,所以,在外部认证命令执行前终端必须向卡片发送-条随机数命令。2、命令报文格式命令的APDU内容如下所示:代码值CLA0x00INS0x82P10x00P20x00Lc0x10Data认证数据Le不存在其中:DATA域长度为16Byte,前8Byte是外部计算后的认证结果,也就是需要卡片验证的数据,后8Byte是外部给出的分散向量,用來计算认证过程密钥。3、 响应报文数据响应报文数据域不存在。4、 响应报文状态码此命令执行成功的状态码为0x9000o对于异常情况,ic卡可能回送的错误码如卜-所示:SW1SW2含义0x63OxCX认i正失败,X表示对应密钥还能够尝试的次数0x650x81存储空间错误0x670x00Lc错误0x690x83对应密钥锁定0x690x84随机数无效0x690x85不满足密钥使用条件0x6A0x80数据域参数不正确0x6A0x86P1、P2不正确0x6A0x88密钥查找失败0x6D0x00INS错误0x6E0x00CLA错误5、 命令实现的其他要求外部认证命令是卡片认证终端过程,不同的应用可能会有不同的规定,如呆要支持特殊应用的话,需要参与相关的应用需求,明确命令的数据的具体格式和计算方法。6、 命令实现设计对认证数据的处理包括了如下儿个步骤:*随机数冇效性检查。在数据处理前需耍检查卡内是否事先存在4Byte冇效的随机数。如果随机数冇效的话,在随机数后补4Byte的0x00。*密码的查找。外部认证需要专门的密钥,是对称密钥,通常是3DES密钥,在当前文件的对称密钥文件中查找,查找条件包括密钥用途、密钥版木和密钥索引等,可以使用单一条件,也可以使用组合条件。密钥找到以后需要检查相应的使用条件是否满足,密钥是否冇效等等。*过程密钥生成。利用找到的认证密钥对命令数拥域中后8Byte分散向量做3DES加密计算,结果为8Byte,即为此次外部认证的过程密钥。*卡内认证结果计算。将得到的过程密钥对补充0x00以后的随机数做DES加密计算,得到8Byte的卡片计算结果。"将卡内计算结果和命令数据域前8Byte的终端认证数据做比较,如果一致的话表示认证成功,将对应密钥的尝试计数器复位,同时修改对应的安全状态;如果数据不一致的话,表示认证失败,将对应密钥的尝试计数器减一,对应的安全状态不变。*最后返回相应的结果。7、 命令使用示例预设环境假设己经在卡片取得4Byte随机数。命令报文进行外部认证的APDU:00820000100102030405060708090A0B0C0D0E0F10其中:00表示EXTERNALAUTHENTICATION命令的CLA。82表示EXTERNALAUTHENTICATION命令的INS。00表示EXTERNALAUTHENTICATION命令的P1。00表示EXTERNALAUTHENTICATION命令的P2。10表示EXTERNALAUTHENTICATION命令的Lc,待验证数据和分散数据。0102030405060708表示EXTERNALAUTHENTICATION命令的DATA前半部分,是终端计算得到的8Byte待验证数据。090A0B0C0D0E0F10衣示EXTERNALAUTHENTICATION命令的DATA后半部分,是终端产生的过程密钥分散数据。EXTERNALAUTHENTICATION响应报文卡片处理以后,EXTERNALAUTHENTICATION没有响应报文。二、验证密码VERIFY命令1>命令功能描述验证密码命令用以校验个人密码,是卡片安全控制的-个重要手段。如果卡片支持多个PIN记录的话,需要支持选择PIN的校验。PIN的校验结果会影响对应的卡片安全状态。如果PIN校验成功以后,将对应的安全状态修改为PIN记录中指定的值,同时PIN的尝试计数器复位;如果PIN校验失败以后,对应的安全状态不改变,PIN的尝试计数器减-,制止减为0将PIN锁定再也不能进行该PIN的校验为止。2、命令报文格式。命令的APDU内容如下所示:代码 值CLA 0x00INS 0x20P10x00P2PINIDLcDATA域的长度DataPIN的内容Le不存在其中:*P1指定要验证的ID号,如果P1为0x00表示对PIN文件的第一条记录进行校验,否则