DB43 T 877.6-2014 湖南省金融IC卡行业应用规范 第六部分：扩展应用密钥规范.pdf

《DB43 T 877.6-2014 湖南省金融IC卡行业应用规范 第六部分：扩展应用密钥规范.pdf》由会员分享，可在线阅读，更多相关《DB43 T 877.6-2014 湖南省金融IC卡行业应用规范 第六部分：扩展应用密钥规范.pdf（14页珍藏版）》请在麦多课文档分享上搜索。

1、DB43/T 877.62014湖南省地方标准DB43湖南省质量技术监督局 发 布2014-06-15 实施2014-05-16 发布ICS 35.240.15A 11湖南省金融IC卡行业应用规范Part 6：Extended application key specificationHunan financial integrated circuit card industrial application specifications第六部分：扩展应用密钥规范DB43/T 877.62014 I 目 次 前言 引言 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 符号和缩略语

2、2 5 湖南省金融IC卡扩展应用密钥规划 2 6 扩展应用功能密钥分散算法定义 5 附录A（规范性附录） 安全机制 7 附录B（规范性附录） 金融扩展应用PSAM卡文件结构 8 DB43/T 877.62014 II 前 言 本标准按照GB/T 1.1-2009给出的规则起草。 湖南省金融IC卡行业应用规范由以下6部分组成： 第1部分：卡片结构规范； 第2部分：行业应用密钥规范； 第3部分：终端交易规范； 第4部分：卡面标识规范； 第5部分：扩展应用规范； 第6部分：扩展应用密钥规范； 本规范由中国人民银行长沙中心支行提出。 本规范由中国人民银行长沙中心支行负责解释并归口。 本规范主要起草单位

3、：中国人民银行长沙中心支行、中国银联湖南分公司、中国农业银行湖南省分行、中国建设银行湖南省分行、交通银行湖南省分行、中钞信用卡产业发展有限公司、郑州新开普电子股份有限公司和捷德（中国）信息科技有限公司。 本规范主要起草人：易昌善、林建、易叔贤、刘杰、张非凡、陈昊、谢亚龙、李鸿志、赵逸群、苏俊强、张奇、刘强、伍斌、石国华、张振京、程文平、李冰、毕宇、文学。 DB43/T 877.62014 III 引 言 本部分为湖南省金融IC卡行业应用规范的第6部分，定义了湖南省金融IC卡行业应用扩展应用密钥规范相关内容。 本部分与湖南省金融IC卡行业应用规范的第5部分一起构成湖南省金融IC卡行业扩展应用规范

4、。 DB43/T 877.62014 1 湖南省金融IC卡行业应用规范 第六部分：扩展应用密钥规范 1 范围 定义了湖南省金融IC卡扩展应用中有关安全的总体要求、加密算法和安全机制。 2 规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注明日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规范，然而，鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本规范。 JR/T 0025-2013 中国金融集成电路（IC）卡规范 3 术语和定义 3.1 根密钥 由湖南省金融IC卡公共服务业运营平台产生，

5、用于生成行业应用主密钥。 3.2 要求术语 本规范要求程度不同，其术语表示如下： “应”表示强制性要求； “宜”表示推荐的要求； “可”表示可自行选择。 3.3 卡片 本规范中“卡片”一词是指具有非接触式支付应用、与支付读写器交互的消费者设备。 术语“卡片”原意是指具有传统信用卡尺寸的支付卡，但是在本规范中，它是指任何可以通过非接触式界面操作处理的消费者设备，例如移动电话或PDA。 3.4 数值的表示 本规范中采用下列数值符号： 十进制数值用数字本身表示（例如：数字 1） 十六进制数值的表示是将数值加上引号，并且前面加上x(例如：数值 x01) 二进制数值的表示是将数值加上引号，并且前面加上b

6、(例如：数值b00000001 或b1) Bit 1 表示低位(0x01)，Bit 8 表示高位(0x80) DB43/T 877.62014 2 4 符号和缩略语 以下符号和缩略语表适用于本规范 ATC 应用交易序号(Application Transaction Counter) CAPP 扩展应用（Complex Application） DES 数据加密标准(Data Encryption Standard) ECB 电子密码本(Electronic Code Book) IC 集成电路(Integrated Circuit) ICC 集成电路卡(Integrated Circuit

7、Card) ISO 国际标准化组织 MAC 报文鉴别代码(Message Authentication Code) PBOC PBOC借记/贷记应用。本规范中的PBOC指支持接触界面，完全符合EMV 4.1要求的应用 SAM 安全应用模块 SFI 短文件标识符(Short File Identifier) 5 湖南省金融IC卡扩展应用密钥规划 5.1 密钥定义 金融IC卡中的支持扩展应用的PBOC3.0应用，所涉及和使用的密钥，除了标准PBOC3.0规范定义的非对称密钥和对称密钥以外，为了支持扩展应用功能，还需要增加扩展应用功能专用的密钥，包括应用开通密钥和行业应用管理密钥。 5.1.1 扩展

8、应用功能开通密钥 序号 密钥名称 密钥说明 1 普通地铁应用开通密钥 普通地铁应用专用文件(SFI=0x15)的开通密钥 2 普通公交应用开通密钥 普通公交应用专用文件(SFI=0x16)的开通密钥 3 高速公路不停车收费应用开通密钥 高速公路不停车应用专用文件(SFI=0x17)的开通密钥 4 停车收费咪表应用应用开通密钥 停车咪表类计时应用专用文件(SFI=0x18)的开通密钥 5 铁路（高铁）应用开通密钥 高铁铁路应用专用文件(SFI=0x19)的开通密钥 6 普通公交日票/月票应用开通密钥 普通公交月票应用专用文件(SFI=0x1A)的开通密钥 7 普通地铁日票/月票应用开通密钥 普通

9、地铁月票应用专用文件(SFI=0x1B)的开通密钥 8 发卡行自定义行业应用开通密钥 发卡行自定义行业扩展应用专用文件(SFI=0x1C)的开通密钥 9 公共自行车租赁应用开通密钥 公共自行车租赁应用专用文件(SFI=0x1D)的开通密钥 10 换乘优惠循环记录开通密钥 换乘优惠循环记录文件(SFI=0x1E)的开通密钥 5.1.2 扩展应用功能管理密钥 DB43/T 877.62014 3 序号 密钥名称 密钥说明 1 普通地铁应用管理密钥 普通地铁应用专用文件(SFI=0x15)的行业应用记录的数据修改权限控制密钥 2 普通公交应用管理密钥 普通公交应用专用文件(SFI=0x16)的行业应

10、用记录的数据修改权限控制密钥 3 高速公路不停车收费应用管理密钥 高速公路不停车应用专用文件(SFI=0x17)的行业应用记录的数据修改权限控制密钥 4 停车收费咪表应用应用管理密钥 停车咪表类计时应用专用文件(SFI=0x18)的行业应用记录的数据修改权限控制密钥 5 铁路（高铁）应用管理密钥 高铁铁路应用专用文件(SFI=0x19)的行业应用记录的数据修改权限控制密钥 6 普通公交日票/月票应用管理密钥 普通公交月票应用专用文件(SFI=0x1A)的行业应用记录的数据修改权限控制密钥 7 普通地铁日票/月票应用管理密钥 普通地铁月票应用专用文件(SFI=0x1B)的行业应用记录的数据修改权

11、限控制密钥 8 发卡行自定义扩展应用管理密钥 发卡行自定义扩展应用专用文件(SFI=0x1C)的行业应用记录的数据修改权限控制密钥 9 公共自行车租赁应用管理密钥 公共自行车租赁应用专用文件(SFI=0x1D)的行业应用记录的数据修改权限控制密钥 10 换乘优惠循环记录文件 换乘优惠循环记录文件(SFI=0x1E)的行业应用记录的数据修改权限控制密钥 注1：以上应用开通密钥，湖南省金融IC卡公共服务业运营平台统一负责密钥的生成和管理。 注2：以上应用管理密钥，根据实施模式不同，可以由湖南省金融IC卡公共服务业运营平台生成和管理，向行业合作方提供行业应用PSAM卡；也可以由行业负责密钥的生成、管

12、理和使用。 5.2 扩展应用功能密钥关系表 SAMDB43/T 877.62014 4 PSAMPSAM图1 密钥分散架构图 注1：卡号通过5A标签获得，序列号通过5F34标签获得。 注 2：记录号参见后续章节。每个行业可全省统一使用相同的交易记录；如需使用不同的记录，需要另行统一分配记录号并采用APPEND指令追加记录。 5.2.1 发卡银行统一发卡模式 密钥 湖南省金融IC卡公共服务业运营平台/银联 发卡银行 行业 带扩展应用的 金融IC卡 行业应用 受理终端 应用开通密钥 应用开通根密钥 应用开通主密钥，由根密钥根据先根据每个应用开通密钥对应的CAPP文件SFI进行分散获得 湖南省金融I

13、C卡公共服务业运营平台发行的装载行业应用开通主密钥的SAM卡 应用开通子密钥，由主密钥根据每张卡的银行卡卡号加应用主帐户序列号分散获得 N/A 应用管理密钥 行业应用管理根密钥 行业应用管理主密钥，由根密钥根据每个行业应用管理密钥对应的行业编码（CAPP文件SFI和记录号）进行分散获得 N/A 行业应用管理子密钥，由主密钥根据每张卡的银行卡卡号加应用主帐户序列号分散获得 湖南省金融IC卡公共服务业运营平台发行的装载行业应用管理主密钥的PSAM卡，分为管理PSAM卡和消费机具PSAM卡，主密钥分散式对应的行业编码不同（CAPP文件SFI相同，记录号不同） 5.2.2 发卡银行与行业合作方联合管理

14、模式 密钥 湖南省金融IC卡公共服务业运营平台/银联 发卡银行 行业合作方 带扩展应用的 金融IC卡 行业应用 受理终端 应用开通密钥 N/A 应用开通主密钥 发卡银行发行的装载行业应用开通主密钥的SAM卡 应用开通子密钥，由主密钥根据每张卡的银行卡卡号加应用主帐户序列号分散获得 N/A DB43/T 877.62014 5 应用管理密钥 N/A N/A 应用管理主密钥 应用管理子密钥，由主密钥根据每张卡的银行卡卡号加应用主帐户序列号分散获得 行业合作方发行的应用管理主密钥的PSAM卡 6 扩展应用功能密钥分散算法定义 6.1 应用开通根密钥分散得到应用开通主密钥 金融行业卡中的扩展应用开通根

15、密钥到具体行业合作方对应的扩展应用开通主密钥的推导方式，采用扩展应用根密钥分散的方式获取行具体行业对应的扩展应用开通主密钥。 扩展开通主密钥左半部分的推导方法 推导双倍长扩展应用开通主密钥左半部分的方法： 将0x80，加上具体行业应用对应的CAPP文件的SFI（例如公交折扣应用的0x16），右补6字节的0xFF到8字节，作为输入数据； 将扩展应用开通主密钥作为加密密钥； 用扩展应用开通根密钥对输入数据进行3DES运算（ECB链接模式；无填充处理）。 扩展应用开通主密钥右半部分的推导方法 推导双倍长扩展应用开通主密钥右半部分的方法： 将0x80，加上具体行业应用对应的CAPP文件的SFI求反（例

16、如0x16取反位0xE9），右补6字节0xFF到8字节作为输入数据； 将扩展应用开通根密钥作为加密密钥； 用扩展应用开通根密钥对输入数据进行3DES运算（ECB链接模式；无填充处理）。 6.2 扩展应用管理根密钥分散得到扩展应用管理主密钥 金融行业卡中的扩展应用管理根密钥到具体行业合作方和具体应用类型对应的扩展应用管理主密钥的推导方式，采用根密钥分散的方式获取行具体行业对应的扩展应用管理主密钥。 扩展应用管理主密钥左半部分的推导方法 推导双倍长扩展应用管理主密钥左半部分的方法： 将0x80，加上具体行业应用对应的CAPP文件的SFI（例如公交折扣应用的0x16）及具体应用类型对应的记录号（例如

17、公交折扣应用的0x01），右补5字节的0xFF到8字节，作为输入数据； 将扩展应用管理根密钥作为加密密钥； 用扩展应用管理根密钥对输入数据进行3DES运算（ECB链接模式；无填充处理）。 扩展应用管理主密钥右半部分的推导方法 推导双倍长扩展应用管理主密钥右半部分的方法： 将将0x80，加上具体行业应用对应的CAPP文件的SFI及具体应用类型对应的记录号的求反（例如0x16 0x01取反位0xE9 0xFE），右补5字节0xFF到8字节作为输入数据； 将扩展应用管理根密钥作为加密密钥； 用扩展应用管理根密钥对输入数据进行3DES运算（ECB链接模式；无填充处理）。 6.3 扩展应用开通/扩展应用

18、管理密钥分散到子密钥 金融行业卡中的扩展应用开通/扩展应用管理主密钥到写入每张卡内的扩展应用开通/扩展应用管DB43/T 877.62014 6 理子密钥的推导方式，采用主密钥分散的方式获取子密钥。 扩展应用开通/扩展应用管理子密钥左半部分的推导方法 推导双倍长扩展应用开通/扩展应用管理子密钥左半部分的方法： 将金融行业卡中的银行卡卡号的最右14个数字加应用主帐户序列号，作为输入数据； 将扩展应用开通/扩展应用管理主密钥作为加密密钥； 用扩展应用开通/扩展应用管理主密钥对输入数据进行3DES运算（ECB链接模式;无填充处理）。 扩展应用开通/扩展应用管理子密钥右半部分的推导方法 推导双倍长扩展

19、应用开通/扩展应用管理子密钥右半部分的方法： 将金融行业卡中的银行卡卡号的最右14个数字加应用主帐户序列号的求反作为输入数据； 将扩展应用开通/扩展应用管理主密钥作为加密密钥； 用扩展应用开通/扩展应用管理主密钥对输入数据进行3DES运算（ECB链接模式；无填充处理）。 DB43/T 877.62014 7 附录A （规范性附录） 安全机制 终端使用append record指令在指定行业应用的扩展应用文件中新增扩展应用记录，即开通新的行业应用。使用append record命令在变长记录文件中新增扩展应用，使用update capp data cache命令更新扩展应用文件数据，这两条指令都

20、强制带有安全报文，以便卡片确认指令来自于合法的终端。 为了加强返回报文数据的安全性，read capp data和update capp data cache命令的返回报文采用了R-MAC保护机制，终端验证回复报文防篡改。 关于安全报文和R-MAC的计算方法，参见JR/T0025.14-2013的相关规定。DB43/T 877.62014 8 附录B （规范性附录） 金融扩展应用PSAM卡文件结构 B.1 PSAM卡文件结构 B.2 密钥文件 文件标识符 FID=0x0000 文件类型 密钥文件 文件大小 N*单条密钥长度（HEX） 存取控制 读=禁止，写=密文+MAC 类型 索引 版本 算法

21、 密钥值 功能说明 CCK 00 01 00 卡片主控密钥 CMK 01 01 00 MF目录下文件MAC写密钥 注：所有密钥文件除上述规划好的密钥外，预留3条密钥的空间。 B.3 公共应用基本信息文件 文件标识符 FID=0x0015，SFI=0x15 文件类型 二进制文件 文件大小 001EH 存取控制 读=自由，写=明文+MAC（CMK） 字节 数据元 长度 数据类型 备注 DB43/T 877.62014 9 18 发卡方标识 8 HEX 唯一标识行业应用发卡方 9 应用类型 1 HEX 10 应用版本 1 HEX 1120 应用序列号 10 HEX 2124 启用日期 4 cn YY

22、YYMMDD 2528 截止日期 4 cn YYYYMMDD 2930 预留 2 ans B.4 终端信息文件 文件标识符 FID=0x0016，SFI=0x16 文件类型 二进制文件 文件大小 0006H 存取控制 读=自由，写=明文+MAC（CMK） 字节 数据元 长度 数据类型 备注 16 终端机编号 6 HEX 例如：0x010203040506 B.5 金融扩展应用文件 B.5.1 密钥文件 文件标识符 FID=0x0000 文件类型 密钥文件 文件大小 N*单条密钥长度（HEX） 存取控制 读=禁止，写=密文+MAC 类型 索引 类型 算法 密钥值 功能说明 DACK 00 00

23、00 SAM卡应用主控密钥 DAMK 01 01 00 SAM卡应用维护密钥 DAMK15 00 28 00 15文件开通密钥 DAMK1501 01 28 00 15文件记录一管理密钥 DAMK1502 02 28 00 15文件记录二管理密钥 DAMK1503 03 28 00 15文件记录三管理密钥（可选） DAMK16 00 28 00 16文件开通密钥 DAMK1601 01 28 00 16文件记录一管理密钥 DAMK1602 02 28 00 16文件记录二管理密钥 DAMK1603 03 28 00 16文件记录三管理密钥（可选） DB43/T 877.62014 10 DAM

24、K1A 00 28 00 1A文件开通密钥 DAMK1A01 01 28 00 1A文件记录一管理密钥 DAMK1A02 02 28 00 1A文件记录二管理密钥 DAMK1A03 03 28 00 1A文件记录三管理密钥（可选） DAMK1D 00 28 00 1D文件开通密钥 DAMK1D01 01 28 00 1D文件记录一管理密钥 DAMK1D02 02 28 00 1D文件记录二管理密钥 DAMK1D03 03 28 00 1D文件记录三管理密钥（可选） 注1：当以终端机具认证方式开通扩展应用时，密钥文件中还需可选的密钥，密钥索引的范围为：00-7F，密钥类型的范围：00-3F。 注2：选择需要的密钥导入到PSAM/SAM卡中, 不同的行业发不同的PSAM卡，同一个行业可以发管理PSAM卡和机具PSAM卡。