金融PSAM卡规范

中国金融IC卡试点PSAM卡应用规范 二零零六年八月 修订版中国金融PSAM卡应用规范中国金融IC卡试点工程实施小组五,安全特性…..,,…,…321.密钥装载322.密钥访问,323.密钥属性………324.加密算法描述.六,状态码命命看命35附录A命令清单.…附录B卡片中的基本数据文件看鲁看音自看自自看音自音看看看兽吾看看音38中国金融PSAM卡应用规范屮国金融LC卡试点工程实施小组。文件鲒构PSAM卡用于商户POS、网点终端、直联终端等端末设备上,负责机具的安全控管。PSAM卡具有一定的通用性。经过个人化处理的PSAM卡能在不同的机具上使用。PSAM卡支持多级发卡的机制,各级发卡方在卡片主控密钥和应用主控密钥的控制下创建文件和装载密钥1.文件结构PSAM卡文件结构符合 ISO/EO7816-4本条款描述了符合本规范的应用文件结构,这些应用被定义为支付系统应用PSA)。符合ISOC7816-4,但不符合本规范的其他应用也可出现在PSA上,并可以使用本规范中定义的命令进行操作。PSAM卡中PSA的路径可以通过明确选择支付系统环境(PSE)来激活。PSAM卡文件结构如下图所示中国金融PSAM卡应用规范屮国金融LC卡试点工程实施小组DIR目录(用于PSE)数据文件卡片主控密钥数据元卡片维护密钥数据元卡片公共信息文件终端信息文件DF (PBOC应用主控密钥应用ADF)数据儿应用维护密钥数据元应用主工作密钥数据元应用公共信息文件终端应用交易序号数据元DF2DF3图1PSAM卡文件结构2.MF区域说明在PSAM卡的MF区城中,文件创建和密钥装载是在卡片主控密钥的控制下进行中国金融PSAM卡应用规范屮国金融LC卡试点工程实施小组)DIR目录数据文件DR目录数据文件的说明参考《中国金融集成电路(IC)卡规范》,但DIR目录数据文件的入口地址必须包括全国密钥管理总中心应用ADF2)卡片主控密钥卡片主控密钥是卡片的控制密钥,由卡片生产商写入,由发卡方替换为发卡方的卡片主控密钥。卡片主控密钥的更新在自身的控制下进行。发卡方必须在卡片主控密钥的控制下,创建卡片MF区域的文件装载卡片维护密钥、应用主控密钥;更新卡片主控密钥、卡片维护密钥卡片主控密钥的控制可通过外部认证操作实现,也可通过安全报文的方式实现3)卡片维护密钥卡片维护密钥用于卡片MF区域的应用维护,在卡片主控密钥的控制下装载和更新。卡片的管理者可在卡片维护密钥的控制下,●安全更新记录文件;安全更新二进制文件卡片维护密钥的控制通过安全报文的形式实现4)卡片公共信息文件卡片公共信息文件存放卡片的公共信息,在卡片主控密钥的控制下创建,可自由读,可在卡片维护密钥的控制下改写5)终端信息文件终端信息文件存放终端的信息,在卡片主控密钥的控制下创建,可自由读,可在卡片维护密钥的控制下改写3.ADF区域说明在PSAM卡的ADF( Application data File)区域中,文件创建和密钥装载中国金融PSAM卡应用规范屮国金融LC卡试点工程实施小组是在应用主控密钥的控制下进行。ADF下的文件结构可由应用发行者自行硝定仝国密钥管理中心应用ADF的文件结构必须包括应用主控密钥、应用维护密钥应用主工作密钥数据元、应用公共数据文件和终端应用交易序号数据元。1)应用主控密钥应用主控密钥是应用的控制密钥,在卡片主控密钥控制下写入。发卡方必须在应用主控密钥的控制下,装载应用维护密钥、应用主工作密钥更新应用主控密钥、应用维护密钥应用主控密钥的控制可通过外部认证操作实现,也可通过安全报文的方式实现2)应用维护密钥应用维护密钥用于卡片ADF区域的应用维护,在应用主控密钥的控制下装载和更新。卡片的管理者可在应用维护密钥的控制下,安全更新记录文件;安全更新二进制文件;进行应用解锁。卡片维护密钥的控制通过安全报文的形式实现。3)应用主工作密钥应用主工作密钥用于卡片的交易,在应用主控密钥的控制下装载4)应用公共信息文件应用公共信息文件存放应用的公共信息,在应用主控密钥的控制下创建,可自由读,可在应用维护密钥的控制下改写。5)终端应用交易序号数据元终端应用交易序号长庋4字节,用于终端的脱机交易,在消费交易MAC2验证通过的情况下由卡片操作系统改写。终端应用交易序号只对本应用有效中国金融PSAM卡应用规范屮国金融LC卡试点工程实施小组二。基本命令1.选择文件( Select)1)定义和范围SELECT命令通过文件名或AID来选择IC卡中的PSE、DDF或ADF。命令执行成功后,PSE、DDF或ADF的路径被设定应用到AFF的后续命令将采用SF方式联系到所选定的PSF、DDF或ADF从IC卡的响应报文应由回送的FCI组成2)命令报文SELECT FILI命令报文见表2-1代码值CLA0OhINSA4hP1引用控制参数(见表2-2)P200h:第一个或仅有一个02h:下一个Lc05h-10hData文件名00h表2-1 SELECT命令报文表b8 b7 b6 b4b2b1含义00000通过文件名选择0表2-2 SELECT命令引用控制参数中国金融PSAM卡应用规范屮国金融LC卡试点工程实施小组3)命令报文数据域命令报文数据域应包括所选择的PSE名、DF名或AID4)响应报文数据域响应报文中数据域应包括所选择的PSE、DDF或ADF的FCI。表2-3到表2-5规定了此定义所用的标志。本规范不规定FCI中回送的附加附加标志。表2-3定义了成功选择PSE后回送的FCI:标志值存在方式6FrC模板84DF名A5FCI专用数据MMMM88目录基本文件的SFI表2-3 SELECT PSE的响应报文(FCI)表2-4定义了成功选择DDF后回送的FCⅠ:标志值存在方式6FFCI模板841DF名A5′FCI专用数据MMM88目录基本文件的SFI表2-4 SELECT DDF的响应报文(FCI)表2-5定义了成功选择ADF后回送的FCI标志值存在方式6FFCI模板M84DF名A5FCI专用数据M9F0C发卡方自定义数据的FCI表2-5 SELECT ADF的响应报文(FCI)中国金融PSAM卡应用规范屮国金融LC卡试点工程实施小组2.读记录文件( Read record)1)定义和范围READ RECORD命令用于读取记录文件中内容。IC卡的响应由回送的记录数据组成。2)命令报文READ RECORD命令报文见表2-6代码值CLAOOhINSBah记录的序号P2引用控制参数(见表2-7)不存在;Da不存在;Le 00h表2-6 READ RECORD命令报文b8b7b6b5b4b3b2b1含义XX XX K sI00P1为记录的序号表2-7 READ RECORD命令引用控制参数3)命令报文数据域命令报文数据域不存在。4)响应报文数据域所有执行成功的 READ RECORD命令响应报文数据域由读取的记录组成