SJL05金融數(shù)據(jù)加密機(jī)程序員手冊(cè)1.9.5

1、SJL05 型金融數(shù)據(jù)加密機(jī)型金融數(shù)據(jù)加密機(jī)程序員手冊(cè)程序員手冊(cè)衛(wèi)士通信息產(chǎn)業(yè)股份有限公司衛(wèi)士通信息產(chǎn)業(yè)股份有限公司二五年十月二五年十月四川省成都市高新區(qū)創(chuàng)業(yè)大道 6 號(hào)郵政編碼：610041電話：（028）85141541 8008861133SJL05金融數(shù)據(jù)加密機(jī)程序員手冊(cè) JRIC第五版（2005年6月）本手冊(cè)是由衛(wèi)士通信息產(chǎn)業(yè)股份有限公司編撰，僅贈(zèng)送給用戶和其他合作伙伴。 “衛(wèi)士通”及是衛(wèi)士通信息產(chǎn)業(yè)股份有限公司在中國(guó)境內(nèi)的注冊(cè)商標(biāo)，衛(wèi)士通信息產(chǎn)業(yè)股份有限公司保留對(duì)本書的所有版權(quán)，任何單位和個(gè)人未經(jīng)許可，不得以任一方式進(jìn)行仿制、拷貝、謄寫或轉(zhuǎn)譯。衛(wèi)士通公司保留對(duì)本書進(jìn)行重新修訂的權(quán)利

2、，隨時(shí)可能對(duì)本書中的打印錯(cuò)誤、與最新資料不符之處、程序或設(shè)備的更新做必要的改動(dòng)，這些改動(dòng)恕不另行通知，但會(huì)編入新版書內(nèi)。本書主要為命令參考，適合以下讀者：SJL05 應(yīng)用開發(fā)人員，及其他所有對(duì) SJL05 產(chǎn)品感興趣的讀者。請(qǐng)妥善保存本手冊(cè)以備以后使用請(qǐng)妥善保存本手冊(cè)以備以后使用衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ i -目目錄錄1簡(jiǎn)介簡(jiǎn)介.1加密機(jī)主要功能.1加密機(jī)與主機(jī)的通信.21.1.1接口與協(xié)議.21.1.2數(shù)據(jù)格式.31.1.3調(diào)用加密機(jī)過(guò)程.3SJL05 命令集劃分.42磁條卡業(yè)務(wù)類磁條卡業(yè)務(wù)類.4請(qǐng)求返回系統(tǒng)信息.4返回本地主密鑰狀態(tài).6返回指定區(qū)域主密鑰狀態(tài).7定義打印格式.

3、8產(chǎn)生并存儲(chǔ)一個(gè)指定長(zhǎng)度的主密鑰，并打印明文到密碼信封.10產(chǎn)生并存儲(chǔ)一個(gè)指定長(zhǎng)度的區(qū)域主密鑰分量，并打印明文到密碼信封.13產(chǎn)生一個(gè)數(shù)據(jù)密鑰，并用 BMK 加密后返回.16產(chǎn)生索引的區(qū)域主密鑰.17產(chǎn)生一個(gè)直聯(lián) POS 的數(shù)據(jù)密鑰.18生成隨機(jī) POK，并用 ZMK 和 TMK 加密后返回.19產(chǎn)生指定長(zhǎng)度的隨機(jī)區(qū)域數(shù)據(jù)密鑰.20存儲(chǔ)一個(gè)索引的區(qū)域主密鑰.22產(chǎn)生并存儲(chǔ)指定長(zhǎng)度的 TMK.23存儲(chǔ)一個(gè)索引的區(qū)域主密鑰.26銀行主密鑰加密的密鑰轉(zhuǎn)換成次主密鑰.28取回一個(gè)索引的區(qū)域主密鑰.29取回一個(gè)索引的終端主密鑰.30加密一個(gè) TMK 密鑰.31衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ ii

4、 -用 BMK 解密 PIK.32SSF02 加密的 PINBLOCK驗(yàn)證.33SSF02 算法計(jì)算 MAC.35SSF02 驗(yàn)證 MAC.36SSF02 加/解密.37注：在數(shù)據(jù)加密時(shí)，數(shù)據(jù)長(zhǎng)度不夠 8 的倍數(shù)時(shí)，在數(shù)據(jù)后補(bǔ) 0X00 補(bǔ)齊。SSF02 PINBLOCK轉(zhuǎn)換.39產(chǎn)生動(dòng)態(tài)通信密鑰.41用通信密鑰對(duì)數(shù)據(jù)算 MAC，驗(yàn)證 MAC.43用通信密鑰對(duì)數(shù)據(jù)計(jì)算 MAC.45用通信密鑰對(duì) PIN 密文解密.47用通信密鑰轉(zhuǎn)換 PIN.49計(jì)算TAC.51產(chǎn)生工作密鑰.52轉(zhuǎn)換工作密鑰.53計(jì)算 MAC.54對(duì)輸入數(shù)據(jù)加/解密.55PIN 轉(zhuǎn)換 .56產(chǎn)生并打印密鑰 .57產(chǎn)生并輸出密鑰

5、.58轉(zhuǎn)換 PIN.59請(qǐng)求產(chǎn)生一個(gè)加密的 PIN.60請(qǐng)求轉(zhuǎn)換一個(gè) PIN 從銀行 1 到銀行 2（無(wú)帳號(hào)）.62請(qǐng)求驗(yàn)證一個(gè) PIN.64請(qǐng)求轉(zhuǎn)換一個(gè) PIN 從 ATK 到 PIK.66請(qǐng)求轉(zhuǎn)換一個(gè) PIN 從 PIK 到 ATK.68請(qǐng)求轉(zhuǎn)換一個(gè) PIN 從 POK 到 PIK.70請(qǐng)求轉(zhuǎn)換一個(gè) PIN 從 PIK 到 POK.72請(qǐng)求轉(zhuǎn)換一個(gè) PIN 從銀行 1 到銀行 2（含一個(gè)主帳號(hào)） .74衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ iii -請(qǐng)求轉(zhuǎn)換一個(gè) PIN 從 PPK（加密得到）到 PIK.76請(qǐng)求轉(zhuǎn)換一個(gè) PIN 從 PIK1（解密得到）到 PIK2.78轉(zhuǎn)換 PIN 從

6、輸入的 PIK1 到 PIK2（含兩個(gè)主帳號(hào)）.79轉(zhuǎn)換 PIN 從 TMK1 到 TMK2.81轉(zhuǎn)換 PIN 從 TMK 到輸入 PIK .82加密（或解密）PIN .84轉(zhuǎn)換 PIN 從 PIK 加密到 TMK 加密 .85生成用 ZMK 和 RSA 加密的隨機(jī)密鑰 .86用輸入密鑰對(duì)數(shù)據(jù)加/解密.87用區(qū)域主密鑰對(duì)數(shù)據(jù)加/解密.89數(shù)據(jù)密鑰轉(zhuǎn)換.91轉(zhuǎn)換工作密鑰主密鑰.93轉(zhuǎn)換密鑰.94生成用 ZMK 和 RSA 加密的隨機(jī)密鑰 .95數(shù)據(jù)密鑰轉(zhuǎn)換.96驗(yàn)證和生成 MAC.98驗(yàn)證 MAC.100計(jì)算卡屬性和密文數(shù)據(jù)的 MAC .102驗(yàn)證卡屬性與數(shù)據(jù)串的 MAC .1042.46 請(qǐng)求

7、產(chǎn)生 MAC,并可選擇地轉(zhuǎn)換 PIN .106轉(zhuǎn)換 MAC.108轉(zhuǎn)換一個(gè) MAC 和 PIN.110請(qǐng)求驗(yàn)證 MAC，可選擇地驗(yàn)證 PIN.113產(chǎn)生隨機(jī)密鑰，用 TMK 加密后返回.115生成弱 MAC.116用終端主密鑰加密數(shù)據(jù).118用輸入密鑰對(duì)輸入數(shù)據(jù)作加/解密.119產(chǎn)生 MAC.120校驗(yàn) MAC.122衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ iv -請(qǐng)求產(chǎn)生一個(gè)商戶 MAC.124請(qǐng)求驗(yàn)證一個(gè)商戶 MAC.126用 TMK 計(jì)算 MAC .127請(qǐng)求驗(yàn)證用 TMK 計(jì)算的 MAC.128打印 PIN.130計(jì)算密鑰的 CHECKVALUE .132解密 PIN.133轉(zhuǎn)換 PI

8、N 從 ATK 到 PIK.134轉(zhuǎn)換任意長(zhǎng)度的數(shù)據(jù)密鑰.136PINBLOCK轉(zhuǎn)換（任意長(zhǎng)度 PIK）.138請(qǐng)求轉(zhuǎn)換一個(gè) PIN 從 ATK (任意長(zhǎng)度) 到 PIK (任意長(zhǎng)度) .141產(chǎn)生一個(gè)數(shù)據(jù)密鑰（任意長(zhǎng)奇校驗(yàn)）和校驗(yàn)碼.145用任意長(zhǎng)數(shù)據(jù)密鑰加密 PIN BLOCK .147PINBLOCK轉(zhuǎn)換（任意長(zhǎng)度 MMK 及格式） .149PINBLOCK轉(zhuǎn)換 .152用任意長(zhǎng)數(shù)據(jù)密鑰解密 PIN BLOCK (推薦使用 0X0422) .155請(qǐng)求產(chǎn)生 MAC（變長(zhǎng) MAK）.157請(qǐng)求驗(yàn)證 MAC（變長(zhǎng) MAK）.159請(qǐng)求產(chǎn)生 MAC，并可選轉(zhuǎn)換 PIN（密鑰長(zhǎng)度可變）.161請(qǐng)

9、求驗(yàn)證 MAC，可選擇地驗(yàn)證 PIN變長(zhǎng)工作密鑰，任意類型PINBLOCK.165終端主密鑰的生成.169數(shù)據(jù)密鑰的生成.170解密 PIN .172生成 CHECKVALUE（變長(zhǎng)密鑰） .173用輸入密鑰對(duì)輸入數(shù)據(jù)作加/解密.173用本地主密鑰加密終端主密鑰.175產(chǎn)生成員行的數(shù)據(jù)密鑰（用 ZMK 和 LMK 加密） （.177產(chǎn)生終端數(shù)據(jù)密鑰（用 TMK 和 LMK 加密）.179衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ v -轉(zhuǎn)換成員行數(shù)據(jù)密鑰（由 ZMK 轉(zhuǎn)換為 LMK 加密）.181轉(zhuǎn)換成員行數(shù)據(jù)密鑰二（由 LMK 轉(zhuǎn)換為 ZMK 加密）.183轉(zhuǎn)換終端數(shù)據(jù)密鑰（由 TMK 轉(zhuǎn)換為

10、LMK 加密）.184轉(zhuǎn)換終端數(shù)據(jù)密鑰二（由 LMK 轉(zhuǎn)換為 TMK 加密）.185取回索引的 ZMK（用 LMK 加密）.186存儲(chǔ)索引的 ZMK.187PIK 加密 PINBLOCK，PIK 由 LMK 加密 .188加密 PINBLOCK，PIK 用 ZMK 加密.189轉(zhuǎn)換 PINBLOCK，PIK 用 LMK 加密.190轉(zhuǎn)換 PINBLOCK，PIK 用 ZMK 加密.192轉(zhuǎn)換 PINBLOCK，PIK 用 MK 加密 .194轉(zhuǎn)換 PINBLOCK，PIK 用 MK 加密 .195轉(zhuǎn)換 PINBLOCK，PIK 用 ZMK 加密.196轉(zhuǎn)換 PINBLOCK，PIK 用 ZMK

11、 加密.198產(chǎn)生 MAC，MAK 用 LMK 加密.200產(chǎn)生 MAC，MAK 用 ZMK 加密.203校驗(yàn) MAC，MAK 用 LMK 加密.205校驗(yàn) MAC，MAK 用 ZMK 加密.206產(chǎn)生兩個(gè)不同長(zhǎng)度的隨機(jī)密鑰，由 LMK 加密.208將 ZMK 加密的密鑰轉(zhuǎn)換為 LMK 加密.209將 LMK 加密的密鑰轉(zhuǎn)換為 BMK 加密.210將送入的數(shù)據(jù)由 LMK 加密輸出.211轉(zhuǎn)換 PIN.211計(jì)算 MAC.214產(chǎn)生隨機(jī)密鑰.215導(dǎo)出工作密鑰.216導(dǎo)入工作密鑰.217產(chǎn)生隨機(jī) PIN.218產(chǎn)生 PIN OFFSET .219衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ vi -校

12、驗(yàn) PIN OFFSET .220轉(zhuǎn)換 PINBLOCK .222轉(zhuǎn)換 PINBLOCK.223產(chǎn)生 CVK 對(duì).224產(chǎn)生 CVV .225校驗(yàn) CVV .226用索引號(hào)為 000 的 BMK 加密數(shù)據(jù)密鑰.227產(chǎn)生被加密的隨機(jī)傳輸密鑰和工作密鑰 .228生成兩個(gè)隨機(jī)工作密鑰（3DES 加密）.229生成兩個(gè)隨機(jī)工作密鑰（DES 加密）.230生成兩個(gè)隨機(jī)工作密鑰（3DES 加密）.231用輸入傳輸密鑰加密輸入工作密鑰 .232用輸入密鑰解密數(shù)據(jù) .233用終端主密鑰解密數(shù)據(jù) .234PINBLOCK轉(zhuǎn)換一（從終端到區(qū)域）.235PINBLOCK轉(zhuǎn)換二（從終端到區(qū)域）.237PINBLOC

13、K轉(zhuǎn)換三（從區(qū)域到區(qū)域）.239MAC 驗(yàn)證一（終端）.241生成 MAC（終端）.243MAC 驗(yàn)證（區(qū)域一）.244MAC 生成（區(qū)域一）.246MAC 驗(yàn)證（區(qū)域二）.247生成 MAC（區(qū)域二）.249驗(yàn)證區(qū)域 MAB.250生成弱 MAC（區(qū)域）.252驗(yàn)證區(qū)域 MAB.2543IC 卡業(yè)務(wù)類卡業(yè)務(wù)類 .255傳輸密鑰初始化.255衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ vii -裝載次主密鑰（？）.257裝載次主密鑰.259將應(yīng)用主密鑰導(dǎo)入加密機(jī)中.261分散次主密鑰產(chǎn)生 MAC.263分散次主密鑰驗(yàn)證 MAC.265請(qǐng)求產(chǎn)生一個(gè)隨機(jī)密鑰.267導(dǎo)出分散子密鑰.268導(dǎo)入次主子密鑰

14、.270外部認(rèn)證.271請(qǐng)求產(chǎn)生一個(gè) 16 字節(jié)的奇校驗(yàn)隨機(jī)密鑰 .271請(qǐng)求返回指定次主密鑰狀態(tài) .273產(chǎn)生一個(gè) 64 位或 128 位的數(shù)據(jù)密鑰 .274產(chǎn)生一個(gè)隨機(jī)次主密鑰(用主密鑰加密).275存儲(chǔ)指定的次主密鑰 .276取回指定的次主密鑰 .277產(chǎn)生并驗(yàn)證 MAC.278用指定的次主密鑰對(duì)輸入數(shù)據(jù)做 3DES 加密.279數(shù)據(jù)轉(zhuǎn)換 .280用指定密鑰對(duì)輸入數(shù)據(jù)進(jìn)行 3DES 加/解密.282初始化 CRC 表 .283簽名 .285數(shù)據(jù)轉(zhuǎn)換和 CRC 校驗(yàn) .287輸出加密的單長(zhǎng)度密鑰 .289單 DES 密鑰的 MAC 計(jì)算.290單 DES 密鑰的 MAC 驗(yàn)證.292注入用

15、 RSA 公鑰加密的次主密鑰.293計(jì)算 MAC.295轉(zhuǎn)換 PIN .296用指定的次主密鑰分散并對(duì)分散結(jié)果加密 .297衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ viii -用指定的次主密鑰分散數(shù)據(jù) .299用分散出的數(shù)據(jù)密鑰請(qǐng)求產(chǎn)生 MAC.300請(qǐng)求用分散出的數(shù)據(jù)密鑰產(chǎn)生并驗(yàn)證 MAC.302驗(yàn)證 MAC 并生成 MAC.304請(qǐng)求產(chǎn)生 TAC .307請(qǐng)求驗(yàn)證一個(gè) TAC .309安全計(jì)算 .311不用臨時(shí)密鑰生成 MAC.313驗(yàn)證 0XB086 命令產(chǎn)生的 MAC .315驗(yàn)證并生成 MAC.317數(shù)據(jù)加密并產(chǎn)生 MAC 一.319導(dǎo)出分散子密鑰.321導(dǎo)出交主密鑰.322數(shù)據(jù)加密

16、并計(jì)算 MAC 二.323用輸入密鑰計(jì)算弱 MAC .3263DESMAC 驗(yàn)證 .328DESMAC 驗(yàn)證.330通用 3DES 加密.331用分散密鑰加密數(shù)據(jù) .332請(qǐng)求解密數(shù)據(jù) .334分散次主密鑰產(chǎn)生 MAC.336分散次主密鑰和加密 .338請(qǐng)求用種子密鑰產(chǎn)生子密鑰 .340多類型數(shù)據(jù)加密 .341加密分散子密鑰和計(jì)算 MAC.343加密分散子密鑰和計(jì)算 MAC.345加密分散子密鑰和計(jì)算 MAC.347加密分散子密鑰和計(jì)算 MAC .349導(dǎo)出應(yīng)用子密鑰.351衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ ix -加密分散子密鑰和計(jì)算 MAC.355加密分散子密鑰和計(jì)算 MAC .35

17、7轉(zhuǎn)換 PIN .360分散子密鑰，產(chǎn)生 MAC.361產(chǎn)生認(rèn)證碼.363導(dǎo)出分散的子密鑰（單長(zhǎng)度）.364生成 MAC（單長(zhǎng)度分散） .366驗(yàn)證 MAC（單長(zhǎng)度） .368生成 TAC(單長(zhǎng)度).370驗(yàn)證 TAC（單長(zhǎng)度）.372用臨時(shí)密鑰（雙長(zhǎng)度）進(jìn)行加/解密 .374用臨時(shí)密鑰（單長(zhǎng)度）進(jìn)行加/解密 .376更改密鑰屬性.378生成 MAC .379推導(dǎo)子密鑰，加密數(shù)據(jù)，計(jì)算 MAC .381用輸入的密鑰對(duì)數(shù)據(jù)進(jìn)行加解密 .383用輸入的密鑰對(duì)數(shù)據(jù)計(jì)算 MAC.384請(qǐng)求產(chǎn)生 TAC.385請(qǐng)求驗(yàn)證一個(gè) TAC.388讀取密鑰版本號(hào) .390產(chǎn)生隨機(jī)數(shù) .391交易下行加密 .392

18、密鑰申請(qǐng)數(shù)據(jù)解密 .394交易下行 MAC 生成.396密鑰申請(qǐng) MAC 校驗(yàn).398OTA 密鑰下傳.400交易上行轉(zhuǎn)換 PIN .401轉(zhuǎn)換 PIN.403用臨時(shí)密鑰（雙長(zhǎng)度）進(jìn)行加/解密.404衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ x -用臨時(shí)密鑰（雙長(zhǎng)度）進(jìn)行加/解密.406分散次主密鑰產(chǎn)生 MAC.407將 SAM 卡交易密鑰加密的 PIN 轉(zhuǎn)換為用區(qū)域 PIK 加密(ANSI9.8).408數(shù)據(jù)加密 .410計(jì)算 MAC 四.4114電子商務(wù)類命令電子商務(wù)類命令.413請(qǐng)求產(chǎn)生一對(duì) RSA 密鑰（私鑰）.413請(qǐng)求修改一個(gè) RSA 私鑰的訪問(wèn)口令.414請(qǐng)求輸出一個(gè) RSA 密鑰

19、對(duì)中的公鑰.415請(qǐng)求進(jìn)行一次 RSA 私鑰加密（NO PADDING）.416請(qǐng)求用指定的 RSA 公鑰加密（NO PADDING）.418刪除一對(duì) RSA 密鑰.419產(chǎn)生一個(gè) DES 密鑰并輸出.420用輸入 DES 密鑰加密輸入的 8 字節(jié)數(shù)據(jù).421用輸入的 DES 密鑰解密 8 字節(jié)輸入數(shù)據(jù).422用公鑰加密數(shù)據(jù)（HAVE PADDING）.423RSA 私鑰加密（HAVE PADDING）.424取出 RSA 密鑰.425存儲(chǔ) RSA 密鑰.426產(chǎn)生隨機(jī)數(shù) .427SHA1 做摘要(OPTIONAL) .428輸入 RSA 密鑰（管理用）.429輸入 RSA 密鑰（管理用） .

20、431請(qǐng)求用指定的私鑰解密 (NOPADDING) .433用輸入的公鑰解密(NO PADDING) .434請(qǐng)求進(jìn)行 RSA 簽名.435請(qǐng)求進(jìn)行 RSA 簽名驗(yàn)證.437衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ xi -請(qǐng)求用指定的私鑰解密 ( PADDING).438用輸入的公鑰解密 (PADDING).439MD5 摘要數(shù)據(jù).440SHA1 做摘要（分段） .441MD5 做摘要（分段） .442產(chǎn)生并存儲(chǔ)隨機(jī)密鑰，用 RSA 公鑰加密后輸出.443產(chǎn)生隨機(jī)密鑰并用輸入公鑰和指定主密鑰加密后輸出 .444導(dǎo)出指定 RSA 公鑰.445產(chǎn)生一對(duì) RSA 密鑰.446導(dǎo)出 RSA 密鑰對(duì).4

21、47對(duì)輸入數(shù)據(jù)做摘要 .448產(chǎn)生雙長(zhǎng)度的對(duì)稱密鑰 .449對(duì)輸入數(shù)據(jù)進(jìn)行 3DES 加密.4505.變種密鑰指令集變種密鑰指令集.4515.1 密鑰轉(zhuǎn)換.4525.2 導(dǎo)入密鑰.4525.3 導(dǎo)出密鑰.4535.4 產(chǎn)生隨機(jī)工作密鑰.4555.5 產(chǎn)生隨機(jī)工作密鑰.4555.6 加密明文密鑰.4565.7 校驗(yàn)密鑰 .4575.8 用密鑰分量合成密鑰.4585.8 導(dǎo)出區(qū)域主密鑰 .4595.9 更新區(qū)域主密鑰.4605.10 存儲(chǔ)區(qū)域主密鑰.4615.11 用輸入密鑰加密數(shù)據(jù).4615.12 用輸入密鑰解密數(shù)據(jù).4625.13 加密 PIN.463衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ x

22、ii -5.14 PIN 轉(zhuǎn)換.4645.15 解密 PIN.4655.16 產(chǎn)生 PIN.4665.17 校驗(yàn) PIN.4675.18 密信打印.4685.19 計(jì)算 MAC.4695.20 校驗(yàn) MAC.4705.21 計(jì)算 CVV.4715.21 校驗(yàn) CVV.472.22 打印密鑰和數(shù)據(jù).4735.23 產(chǎn)生并打印區(qū)域主密鑰.4745.24 用輸入密鑰對(duì)輸入數(shù)據(jù)作加/解密.475分散根密鑰并導(dǎo)出.477產(chǎn)生隨機(jī)工作密鑰.479附錄附錄 A 加密機(jī)通用出錯(cuò)代碼表加密機(jī)通用出錯(cuò)代碼表.480附錄附錄 B ATM 和和 POS 機(jī)類型和機(jī)類型和 PIN 的格式的格式.482附錄附錄 C DO

23、UBLE-ONE-WAY.483附錄附錄 D 安全計(jì)算安全計(jì)算 (SECURE CALCULATION).484附錄附錄 E 命令命令 0X500X54 使用算法使用算法 .485動(dòng)態(tài)通信密鑰.485通信主密鑰加密通信密鑰算法.485分散算法.485MAC 算法.486附錄附錄 F 弱弱 MAC 計(jì)算計(jì)算.487附錄附錄 G 分散推導(dǎo)子密鑰算法分散推導(dǎo)子密鑰算法.488雙長(zhǎng)度分散：.488衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ xiii -單長(zhǎng)度分散：.488衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 1 -1 簡(jiǎn)介簡(jiǎn)介1.1 加密機(jī)主要功能加密機(jī)主要功能SJL05 金融數(shù)據(jù)加密機(jī)是金融數(shù)據(jù)安全保

24、護(hù)的一種有效物理工具，它能可靠、安全地保護(hù)金融網(wǎng)絡(luò)中的 PIN（個(gè)人身份識(shí)別號(hào)） ，包括對(duì) PIN 的加/解密、驗(yàn)證及轉(zhuǎn)發(fā)；消息來(lái)源正確性驗(yàn)證（MAC）的產(chǎn)生、驗(yàn)證及轉(zhuǎn)發(fā)，有效地防止偽卡的詐騙行為。SJL05 金融數(shù)據(jù)加密機(jī)還有完善的密鑰管理體系，能提供由全硬件噪聲源產(chǎn)生的隨機(jī)密鑰以及密鑰的人工輸入接口。能有效防止通信信道上的主動(dòng)攻擊行為。該加密機(jī)本身提供多種物理接口，能方便地與各種銀行主機(jī)系統(tǒng)相連接。 在金融網(wǎng)絡(luò)中由于在線路上傳輸?shù)乃袛?shù)據(jù)全是經(jīng)加密機(jī)加密后的密文，而明文只在加密機(jī)內(nèi)部才擁有，并且所有的密鑰明文不會(huì)出現(xiàn)在加密機(jī)之外，因此我們對(duì)加密機(jī)自身的安全性也作了周全的設(shè)計(jì)，使其不僅具有物

25、理鎖防撬的防拆設(shè)計(jì)，而且在情況緊急時(shí)，即使斷電的情況下，也能快速的進(jìn)行人工毀鑰等技術(shù)手段，來(lái)有效的防止內(nèi)外部人員的攻擊。在跨行交易中以個(gè)人身份號(hào)PIN 在 ATM/POS 網(wǎng)絡(luò)的傳輸為例，個(gè)人身份號(hào) PIN 從收卡行到交換中心再由交換中心到發(fā)卡行受校驗(yàn)過(guò)程大致如下：PIN 在 ATM/POS 跨行交易的過(guò)程其中：(1) 顧客輸入私人密碼(2) 傳送被 ATM/POS 加密的私人密碼屏幕(3) 收卡行翻譯私人密碼(1) 顧客輸入 私人密碼發(fā)卡行交換中心收卡行POSATM(6)(2)(4)(3)(5)(7)衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 2 -(4) 傳送被收卡行加密的私人密碼(5) 交換

26、中心轉(zhuǎn)換私人密碼(6) 傳送被交換中心轉(zhuǎn)換后的私人密碼(7) 發(fā)卡行校驗(yàn)私人密碼1.2 加密機(jī)與主機(jī)的通信加密機(jī)與主機(jī)的通信1.2.1 接口與協(xié)議接口與協(xié)議SJL05 提供以太網(wǎng)口、異步口等多種接口，支持以下協(xié)議與主機(jī)（或前置機(jī)）之間通信：TCP/IP（V4） 、V.24/RS232-C，SJL05 與主機(jī)（前置機(jī)）通過(guò)上述通信協(xié)議交換數(shù)據(jù)報(bào)文。SJL05 與主機(jī)（前置機(jī)）采用服務(wù)器/客戶機(jī)工作模式，具體是 SJL05 為服務(wù)器，主機(jī)（前置機(jī)）為客戶機(jī)，SJL05 等候主機(jī)發(fā)起的請(qǐng)求，處理后再將結(jié)果發(fā)送給主機(jī)，寫成一次交易處理工作。下面以 TCP/IP協(xié)議為例講解具體通信過(guò)程。 （具體通信配置

27、請(qǐng)參見(jiàn)SJL05 金融數(shù)據(jù)加密機(jī)操作員手冊(cè)第六章參數(shù)配置。 ）加密機(jī)的操作采用命令、響應(yīng)的方式，主機(jī)應(yīng)用程序在請(qǐng)求加密機(jī)服務(wù)之前，應(yīng)先根據(jù)加密機(jī)的 IP 地址、端口號(hào)與加密機(jī)建立會(huì)話連接（加密機(jī)必須處于交易狀態(tài)才允許建立連接） ，主機(jī)向加密機(jī)發(fā)命令，然后等待加密機(jī)響應(yīng)。在這里加密機(jī)作為 Server，主機(jī)作為 Client。其示意如下：命令響應(yīng)主機(jī)與加密機(jī)之間的數(shù)據(jù)流向衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 3 -1.2.2 數(shù)據(jù)格式數(shù)據(jù)格式 請(qǐng)求數(shù)據(jù)格式請(qǐng)求數(shù)據(jù)格式命令碼數(shù)據(jù)命令碼如：0 xB0, 0 x060數(shù)據(jù)：0 x06, 0 x12, 0 x34, 0 x56, 0 x

28、ff, 0 xff, 0 xff, 0 xff 等 應(yīng)答數(shù)據(jù)格式應(yīng)答數(shù)據(jù)格式應(yīng)答碼數(shù)據(jù)或錯(cuò)誤碼應(yīng)答碼：0 x41（A ） 正確應(yīng)答。0 x45（E ） 錯(cuò)誤應(yīng)答。1.2.3 調(diào)用加密機(jī)過(guò)程調(diào)用加密機(jī)過(guò)程主機(jī)（前置機(jī)）應(yīng)用調(diào)用加密機(jī)的過(guò)程如下：1)根據(jù)加密機(jī)配置的 IP 地址和端口號(hào)，建立與加密機(jī)的 Socket 連接；2)根據(jù)加密機(jī)提供的命令格式，封裝消息報(bào)文；3)將消息報(bào)文發(fā)送給加密機(jī)；4)從加密機(jī)接受響應(yīng)報(bào)文；5)根據(jù)響應(yīng)做出相應(yīng)的判斷和操作；6)連續(xù)做 2）至 5）操作；7)斷開與加密機(jī)的連接。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 4 -1.3 SJL05 命令集劃分命令

29、集劃分SJL05 系統(tǒng)命令按業(yè)務(wù)可分為三類： 磁條卡業(yè)務(wù)類：包含 SJL05 原命令集，命令字為一個(gè)字節(jié)或兩個(gè)字節(jié)；命令為兩個(gè)字節(jié)時(shí)，第一字節(jié)為命令類別，第二字節(jié)為命令。命令類別值為 0 x05或 0 xB1。IC 卡業(yè)務(wù)類：命令為兩個(gè)字節(jié)，第一字節(jié)為命令類別，第二字節(jié)為命令，IC 卡業(yè)務(wù)類命令；電子商務(wù)類命令：命令為兩個(gè)字節(jié)，第一字節(jié)為命令類別，值為 0 xC0，第二字節(jié)為命令。2 磁條卡業(yè)務(wù)類磁條卡業(yè)務(wù)類0X00 請(qǐng)求返回系統(tǒng)信息請(qǐng)求返回系統(tǒng)信息說(shuō)明：返回系統(tǒng)信息。消息格式：輸入域長(zhǎng)度類型備注命令1H0 x00輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”版本4A版本號(hào)協(xié)議4A修訂日期8A系統(tǒng)最后修訂

30、日期或應(yīng)答碼1A“E”衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 5 -錯(cuò)誤碼1H出錯(cuò)類型SJL05 處理過(guò)程：1)如果成功，取出并返回系統(tǒng)版本號(hào)、協(xié)議、最后的修訂日期。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 6 -0X01 返回本地主密鑰狀態(tài)返回本地主密鑰狀態(tài)說(shuō)明：測(cè)試本地主密鑰是否存在消息格式：輸入域長(zhǎng)度類型備注命令1H0 x01輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x 01：無(wú)主機(jī)主密鑰SJL05 處理過(guò)程：1)讀取本地主密鑰；2)如果成功，正常返回，否則返回本地主密鑰不存在出錯(cuò)代碼 0 x01。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 7 -0X03 返回指定區(qū)域

31、主密鑰狀態(tài)返回指定區(qū)域主密鑰狀態(tài)說(shuō)明：測(cè)試并返回指定區(qū)域主密鑰的狀態(tài)。消息格式：輸入域長(zhǎng)度類型備注命令1H0 x03銀行索引號(hào)2H區(qū)域主密鑰索引號(hào)輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x 0C：非法銀行主密鑰索引號(hào)SJL05 處理過(guò)程：1)讀取指定的區(qū)域主密鑰；2)如果成功，正常返回；否則，返回指定的區(qū)域主密鑰不存在出錯(cuò)代碼 0 x0C。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 8 -0X07 定義打印格式定義打印格式說(shuō)明：定義串口打印機(jī)打印格式。消息格式輸入域長(zhǎng)度類型備注命令碼2H0 x07打印格式定義符NA打印控制符字節(jié)串輸出域長(zhǎng)度類型備注應(yīng)答碼1AA或應(yīng)答碼1A

32、E錯(cuò)誤碼1H0 x30：打印機(jī)未準(zhǔn)備好0 x68：輸入數(shù)據(jù)長(zhǎng)度錯(cuò)加密機(jī)處理過(guò)程：加密機(jī)判斷定義符長(zhǎng)度是否超出最大打印緩存空間，如果是，返回出錯(cuò)信息。打印控制符符號(hào)ASCII含義L3E 4C回車按行V3E 56縱向 TabH3E 48橫向 TabF3E 46換頁(yè)nnn3E 3n 3n 3nnnn 為 3 位十進(jìn)制數(shù)，表示相對(duì)于左邊界右移多少列P5E 50插入明文 PIN 或者明文密鑰的第一段（最前 64bit）,用于打印 64bit、128bit 或 192bit 的密鑰Q5E 51插入明文密鑰的第二段(中間 64bit)，用于打印 128bit或 192bit 的密鑰R5E 52插入明文密鑰的

33、第三段(最后 64bit)，用于打印 192bit衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 9 -的密鑰T5E 56插入密鑰的校驗(yàn)碼05E 30插入第 0 個(gè)打印字段15E 31插入第 1 個(gè)打印字段.95E 39插入第 10 個(gè)打印字段A5E 41插入第 11 個(gè)打印字段.F5E 46插入第 16 個(gè)打印字段衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 10 -0X08 產(chǎn)生并存儲(chǔ)一個(gè)指定長(zhǎng)度的主密鑰，并打印產(chǎn)生并存儲(chǔ)一個(gè)指定長(zhǎng)度的主密鑰，并打印明文到密碼信封明文到密碼信封說(shuō)明： 產(chǎn)生一個(gè)指定長(zhǎng)度的區(qū)域主密鑰或終端主密鑰或本地主密鑰，存儲(chǔ)在加密機(jī)指定位置，同時(shí)將明文密鑰通過(guò)串口打印機(jī)打印到密碼信封上

34、，如果密鑰類型為區(qū)域主密鑰或終端主密鑰，將同時(shí)返回用 LMK 加密的密文。 用此命令可以產(chǎn)生單分量的區(qū)域主密鑰或作為產(chǎn)生多分量區(qū)域主密鑰的第一個(gè)分量產(chǎn)生；注意：運(yùn)行此命令時(shí)必須滿足以下條件才會(huì)有正確結(jié)果返回：i. 通過(guò)打印格式定義功能正確定義打印格式；ii. 加密機(jī)處于打印授權(quán)狀態(tài)（通過(guò)控制臺(tái)控制） 。消息格式：輸入域長(zhǎng)度類型備注命令1H值為 0 x08銀行索引號(hào)2H值為 0-999 表示產(chǎn)生的密鑰是區(qū)域主密鑰，對(duì)應(yīng)為區(qū)域主密鑰索引號(hào)；值為 0 xFFFF 表示產(chǎn)生的密鑰是本地主密鑰，銀行索引號(hào)無(wú)實(shí)際意義，此時(shí)密鑰長(zhǎng)度必須為0 x10；值為 0 xF000-0 xF063 表示產(chǎn)生終端主密鑰，

35、其中其低字節(jié) 0-0 x63表示終端主密鑰的密鑰索引。密鑰長(zhǎng)度1H0 x08：產(chǎn)生 64bit 長(zhǎng)度密鑰；0 x10：產(chǎn)生 128bit 長(zhǎng)度密鑰；打印附加信息 1N1A同時(shí)打印到密碼信封上的第一串信息，其打印位置對(duì)應(yīng)于0 符號(hào)；衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 11 -分隔符1A;打印附加信息 2N2A同時(shí)打印到密碼信封上的第一串信息，其打印位置對(duì)應(yīng)于1 符號(hào)；分隔符1A;.打印附加信息 nNnA同時(shí)打印到密碼信封上的第一串信息，其打印位置對(duì)應(yīng)于n 符號(hào)；其中 nF;輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”密鑰長(zhǎng)度1H返回密文密鑰的長(zhǎng)度，與輸入密鑰長(zhǎng)度域值相同密文密鑰NHN=8 或 16,用

36、 LMK 加密的 ZMK或 LMK 加密的 TMK，僅當(dāng)密鑰不為 LMK 時(shí)才有?；驊?yīng)答碼1A“E”錯(cuò)誤碼1H0 x 0C：非法銀行主密鑰索引號(hào)SJL05 處理過(guò)程：1)判斷加密機(jī)授權(quán)狀態(tài)是否允許此功能，如果未授權(quán)，返回出錯(cuò)，否則產(chǎn)生指定長(zhǎng)度的隨機(jī)密鑰；2)如果密鑰為區(qū)域主密鑰或終端主密鑰，將隨機(jī)密鑰存儲(chǔ)在加密機(jī)中區(qū)域主密鑰或終端主密鑰存儲(chǔ)區(qū)域的指定索引位置，如果該密鑰長(zhǎng)衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 12 -度為 64bit，則存儲(chǔ)的區(qū)域主密鑰左右半邊均使用此密鑰，如果該密鑰長(zhǎng)度為 128bit，則直接存儲(chǔ)該密鑰；如果密鑰為本地主密鑰，將隨機(jī)密鑰作為本地主密鑰存儲(chǔ)在加密機(jī)中。3)按照

37、預(yù)定義的打印格式，通過(guò)串口打印機(jī)打印密鑰；4)如果產(chǎn)生的密鑰類型為 ZMK 或 TMK，取出加密機(jī)內(nèi)存儲(chǔ)的LMK，用 LMK 對(duì)隨機(jī)密鑰做 3DES 加密，返回加密結(jié)果（如果是LMK，則不返回密文密鑰） 。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 13 -0X09 產(chǎn)生并存儲(chǔ)一個(gè)指定長(zhǎng)度的區(qū)域主密鑰分量，產(chǎn)生并存儲(chǔ)一個(gè)指定長(zhǎng)度的區(qū)域主密鑰分量，并打印明文到密碼信封并打印明文到密碼信封說(shuō)明：產(chǎn)生一個(gè)指定長(zhǎng)度的區(qū)域主密鑰分量或終端主密鑰分量或本地主密鑰分量，并與存儲(chǔ)在加密機(jī)指定位置的主密鑰作位異或，用異或結(jié)果覆蓋原來(lái)的主密鑰，同時(shí)將產(chǎn)生的隨機(jī)明文密鑰分量通過(guò)串口打印機(jī)打印到密碼信封上，如果產(chǎn)生的是區(qū)

38、域主密鑰或終端主密鑰，將同時(shí)返回用異或后主密鑰用 LMK 加密的密文。注意：運(yùn)行此命令時(shí)必須滿足以下條件才會(huì)有正確結(jié)果返回：i.通過(guò)打印格式定義功能正確定義打印格式；ii.加密機(jī)處于打印授權(quán)狀態(tài)（通過(guò)控制臺(tái)控制） ；iii.之前已經(jīng)使用 0 x08 命令，在指定位置已經(jīng)存在原始區(qū)域主密鑰，否則通過(guò)串口打印機(jī)打印的密鑰分量與聯(lián)機(jī)返回的密文密鑰沒(méi)有對(duì)應(yīng)關(guān)系。消息格式：輸入域長(zhǎng)度類型備注命令1H值為 0 x09銀行索引號(hào)2H值為 0-999 表示產(chǎn)生的密鑰是區(qū)域主密鑰，對(duì)應(yīng)為區(qū)域主密鑰索引號(hào)；值為 0 xFFFF 表示產(chǎn)生的密鑰是本地主密鑰，銀行索引號(hào)無(wú)實(shí)際意義，此時(shí)密鑰長(zhǎng)度必須為0 x10；值為

39、0 xF000-0 xF063 表示產(chǎn)生終端主密鑰，其中其低字節(jié) 0-0 x63表示終端主密鑰的密鑰索引。密鑰長(zhǎng)度1H0 x08：產(chǎn)生 64bit 長(zhǎng)度密鑰；0 x10：產(chǎn)生 128bit 長(zhǎng)度密鑰；衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 14 -打印附加信息 1N1A同時(shí)打印到密碼信封上的第一串信息，其打印位置對(duì)應(yīng)于0 符號(hào)；分隔符1A;打印附加信息 2N2A同時(shí)打印到密碼信封上的第一串信息，其打印位置對(duì)應(yīng)于1 符號(hào)；分隔符1A;.打印附加信息 nNnA同時(shí)打印到密碼信封上的第一串信息，其打印位置對(duì)應(yīng)于n 符號(hào)；其中 nF;輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”密鑰長(zhǎng)度1H返回密文隨機(jī)密鑰的長(zhǎng)度

40、密文密鑰NHN=8 或 16,用 LMK 加密的 ZMK或 TMK或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x 0C：非法銀行主密鑰索引號(hào)SJL05 處理過(guò)程：1)判斷加密機(jī)授權(quán)狀態(tài)是否允許此功能，如果未授權(quán)，返回出錯(cuò)；2)如果產(chǎn)生的密鑰類型為本地主密鑰，且密鑰長(zhǎng)度為 64bit，則返回出錯(cuò)；否則產(chǎn)生指定長(zhǎng)度的隨機(jī)密鑰分量 RKC；3)如果 RKC 為 64bit,則將 RKC 復(fù)制到其右邊，得到 128bit 的衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 15 -RKC1，使 RKC1 的左半邊與右半邊都同時(shí)等于 RKC；4)讀取指定索引的區(qū)域主密鑰或終端主密鑰或本地主密鑰 MK，如果讀取密鑰失敗，則設(shè)

41、MK 為 16 字節(jié) 0；5)將 RKC 與 MK 做位異或，得到結(jié)果 MK1，將 MK1 作為指定密鑰類型存儲(chǔ)在指定位置；6)按照預(yù)定義的打印格式，通過(guò)串口打印機(jī)打印 RKC；7)如果密鑰類型為區(qū)域主密鑰或終端主密鑰，取出加密機(jī)內(nèi)存儲(chǔ)的LMK，用 LMK 對(duì) ZMK1 做 3DES 加密，返回加密結(jié)果（如果是LMK，則不返回密文密鑰） 。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 16 -0X10 產(chǎn)生一個(gè)數(shù)據(jù)密鑰，并用產(chǎn)生一個(gè)數(shù)據(jù)密鑰，并用 BMK 加密后返回加密后返回說(shuō)明：產(chǎn)生一個(gè) 64 位的隨機(jī)數(shù)，并將它用所請(qǐng)求銀行的區(qū)域主密鑰加密后返回給請(qǐng)求者。消息格式：輸入域長(zhǎng)度類型備注命令1H0 x

42、10銀行索引號(hào)2H區(qū)域主密鑰索引號(hào)輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”數(shù)據(jù)密鑰8H用 BMK 加密后的數(shù)據(jù)密鑰校驗(yàn)值8H數(shù)據(jù)密鑰的校驗(yàn)值或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x 0C：非法銀行主密鑰索引號(hào)0 x 02：無(wú)銀行主密鑰SJL05 處理過(guò)程：1)取出索引的區(qū)域主密鑰 ZMK；2)產(chǎn)生 8 位隨機(jī)密鑰 DK；3)用區(qū)域主密鑰 ZMK 對(duì) DK 進(jìn)行 3DES 加密，得到 CKEY；4)如果成功，返回加密結(jié)果 CKEY 和校驗(yàn)值。 衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 17 -0X11 產(chǎn)生索引的區(qū)域主密鑰產(chǎn)生索引的區(qū)域主密鑰說(shuō)明：產(chǎn)生一個(gè)隨機(jī)數(shù)，并將它用本地主密鑰加密后返回給請(qǐng)求者。消息格式

43、：輸入域長(zhǎng)度類型備注命令1H0 x11銀行索引號(hào)2H區(qū)域主密鑰索引號(hào)輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”區(qū)域主密鑰16H用 LMK 加密后數(shù)據(jù)密鑰或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x 0C：非法銀行主密鑰索引號(hào)0 x 01：無(wú)主機(jī)主密鑰SJL05 處理過(guò)程：1)取出本地主密鑰 LMK；2)產(chǎn)生 16 字節(jié)隨機(jī)密鑰 ZMK；3)存儲(chǔ)隨機(jī)密鑰在指定的區(qū)域主密鑰位置；4)用 LMK 對(duì) ZMK 進(jìn)行 3DES 加密 C_ZMK；5)如果成功，返回加密結(jié)果 C_ZMK。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 18 -0X2 產(chǎn)生一個(gè)直聯(lián)產(chǎn)生一個(gè)直聯(lián) POS 的數(shù)據(jù)密鑰的數(shù)據(jù)密鑰說(shuō)明：產(chǎn)生一個(gè)隨機(jī)數(shù)，并將它

44、用所請(qǐng)求的終端主密鑰加密后返回給請(qǐng)求者（64 位長(zhǎng)） 。消息格式：輸入域長(zhǎng)度類型備注命令1H0 x12TMK8H用區(qū)域主密鑰加密后的 TMK銀行索引號(hào)2H區(qū)域主密鑰索引號(hào)輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”數(shù)據(jù)密鑰8H用 TMK 加密后的數(shù)據(jù)密鑰校驗(yàn)值8H或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x 0C：非法銀行主密鑰索引號(hào)0 x 02：無(wú)銀行主密鑰SJL05 處理過(guò)程：1. 取出索引的區(qū)域主密鑰 ZMK2. 用 ZMK 對(duì)輸入的 TMK 密文做 3DES 解密，得到 8 字節(jié) TMK明文 KEY1；3. 隨機(jī)產(chǎn)生 8 字節(jié)數(shù)據(jù)密鑰 DK；4. 用 KEY1 對(duì) DK 進(jìn)行 DES 加密，得到密文 CK

45、EY；5. 如果成功，返回加密結(jié)果 CKEY。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 19 -0X13 生成隨機(jī)生成隨機(jī) POK，并用，并用 ZMK 和和 TMK 加密后返加密后返回回說(shuō)明：產(chǎn)生一個(gè)隨機(jī) POK，并將它用所請(qǐng)求銀行的區(qū)域主密鑰和 TMK 加密后返回給請(qǐng)求者（64 位） 。消息格式：輸入域長(zhǎng)度類型備注命令1H0 x13TMK8H用區(qū)域主密鑰加密后的 TMK銀行索引號(hào)2H區(qū)域主密鑰索引號(hào)輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”數(shù)據(jù)密鑰8H用 ZMK 加密后的數(shù)據(jù)密鑰數(shù)據(jù)密鑰8用 TMK 加密后的數(shù)據(jù)密鑰校驗(yàn)碼8密鑰的校驗(yàn)值或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x 0C：非法銀行主密鑰索引號(hào)0

46、x 02：無(wú)銀行主密鑰SJL05 處理過(guò)程：1)取出索引的區(qū)域主密鑰 ZMK2)用 ZMK 對(duì)輸入的 TMK 密文做 3DES 解密，得到 8 字節(jié) TMK 明文 KEY1；3)隨機(jī)產(chǎn)生 8 字節(jié)數(shù)據(jù)密鑰 POK；4)用 ZMK 對(duì) DK 進(jìn)行 3DES 加密，得到密文 CKEY15)用 KEY1 對(duì) DK 進(jìn)行 DES 加密，得到密文 CKEY2；6)如果成功，返回加密結(jié)果 CKEY1CKEY2+校驗(yàn)碼。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 20 -0X15 產(chǎn)生指定長(zhǎng)度的隨機(jī)區(qū)域數(shù)據(jù)密鑰產(chǎn)生指定長(zhǎng)度的隨機(jī)區(qū)域數(shù)據(jù)密鑰說(shuō)明：產(chǎn)生指定長(zhǎng)度的隨機(jī)密鑰，并返回用指定區(qū)域主密鑰加密和 LMK 加密

47、的密鑰密文。消息格式：輸入域長(zhǎng)度類型備注命令1H值為 0 x15索引號(hào)2H值為 0-999 表示區(qū)域主密鑰索引號(hào)；值為 0 xF000-0 xF063 表示終端主密鑰索引，其中其低字節(jié) 0-0 x63表示終端主密鑰的密鑰索引。密鑰長(zhǎng)度1H8 或 16 或 24輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”密鑰長(zhǎng)度1H8 或 16 或 24密文數(shù)據(jù)密鑰 18/16/24H用 LMK 加密后的數(shù)據(jù)密鑰密文數(shù)據(jù)密鑰 28/16/24H用 ZMK 或 TMK 加密后的數(shù)據(jù)密鑰或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x 0C：非法銀行主密鑰索引號(hào)0 x 01：無(wú)本地主密鑰0 x 02：無(wú)銀行主密鑰0 x 05：無(wú)終端主密鑰

48、0 x32：無(wú)效的密鑰長(zhǎng)度SJL05 處理過(guò)程：1) 產(chǎn)生指定長(zhǎng)度的隨機(jī)密鑰 RK；衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 21 -2) 取出指定的區(qū)域主密鑰 ZMK 或終端主密鑰 TMK 和本地 主密鑰 LMK；3) 用 LMK 對(duì) RK 做 3DESECB 方式加密，得到密文密鑰CRK1；4) 用 ZMK 或 TMK 對(duì) RK 做 3DESECB 方式加密，得到密文密鑰 CRK2；5) 返回 CRK1 和 CRK2。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 22 -0X20 存儲(chǔ)一個(gè)索引的區(qū)域主密鑰存儲(chǔ)一個(gè)索引的區(qū)域主密鑰說(shuō)明：輸入一個(gè)用本地主密鑰加密的區(qū)域主密鑰，將它存儲(chǔ)在加密機(jī)上。消息格

49、式：輸入域長(zhǎng)度類型備注命令1H0 x20銀行索引號(hào)2H區(qū)域主密鑰索引號(hào)區(qū)域主密鑰密文16H用本地主密鑰加密后的區(qū)域主密鑰輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x 0C：非法銀行主密鑰索引號(hào)0 x 01： 無(wú)主機(jī)主密鑰SJL05 處理過(guò)程：1）取出本地主密鑰 LMK；2）用 LMK 對(duì)輸入的區(qū)域主密鑰 ZMK 做 3DES 解密得到結(jié)果 P_ZMK；3）將 P_ZMK 存儲(chǔ)在指定的區(qū)域主密鑰區(qū)中索引號(hào)指定的位置。4）如果成功，正常返回。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 23 -0X21 產(chǎn)生并存儲(chǔ)指定長(zhǎng)度的產(chǎn)生并存儲(chǔ)指定長(zhǎng)度的 TMK說(shuō)明：輸入 TMK 存儲(chǔ)的索

50、引號(hào)和 TMK 的長(zhǎng)度，隨機(jī)產(chǎn)生指定長(zhǎng)度的密鑰，存儲(chǔ)在相應(yīng)的索引號(hào)中，并將 TMK 的密文和 CheckValue 送出。消息格式：輸入域長(zhǎng)度類型備注命令1H0 x21TMK 索引號(hào)2H存儲(chǔ) TMK 的索引號(hào)TMK 密鑰長(zhǎng)度1H8/16/24輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”TMK 密鑰密文8/16/24H用 LMK 加密后的 TMK 密鑰CheckValue8TMK 密鑰的校驗(yàn)值或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x 0D：非法 TMK 索引號(hào)0 x 01：沒(méi)有本地主密鑰0 x06：寫 TMK 錯(cuò)誤0 x 5F：密鑰長(zhǎng)度無(wú)效SJL05 處理過(guò)程：1取出本地主密鑰 LMK；2隨機(jī)產(chǎn)生指定長(zhǎng)度的密鑰

51、 TMK；3將 TMK 存儲(chǔ)在指定的終端主密鑰區(qū)中索引號(hào)指定的位置。4用 LMK 對(duì)輸入的終端主密鑰 TMK 做 3DES 加密得到結(jié)果C_TMK；5返回 C_TMK 和校驗(yàn)值。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 24 -衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 25 -衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 26 -0X22 存儲(chǔ)一個(gè)索引的區(qū)域主密鑰存儲(chǔ)一個(gè)索引的區(qū)域主密鑰說(shuō)明：輸入兩個(gè)區(qū)域主密鑰的分量和各自 CheckValue 以及管理員口令，合成區(qū)域主密鑰存儲(chǔ)在指定位置。消息格式：輸入域長(zhǎng)度類型備注命令1H0 x22銀行索引號(hào)2H區(qū)域主密鑰索引號(hào)分量一16H區(qū)域主密鑰分量一分量一校驗(yàn)

52、和4H分量一的校驗(yàn)和分量二16H區(qū)域主密鑰的分量二分量二校驗(yàn)和4H分量二的校驗(yàn)和管理員口令8H銀行密鑰管理員一的口令(ASCII碼)輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”區(qū)域主密鑰16H用本地主密鑰加密后的區(qū)域主密鑰校驗(yàn)碼4H合成的 BMK 的校驗(yàn)碼或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x 0C：非法銀行主密鑰索引號(hào)0 x 80：口令錯(cuò)誤0 x 81：無(wú)效的校驗(yàn)值0 x 01：無(wú)主機(jī)主密鑰衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 27 -SJL05 處理過(guò)程：1)驗(yàn)證管理員口令；2)計(jì)算分量一的校驗(yàn)和，與輸入校驗(yàn)和對(duì)比，驗(yàn)證分量一有效性；3)計(jì)算分量二的校驗(yàn)和，與輸入校驗(yàn)和對(duì)比，驗(yàn)證分量二有效性；4)將分

53、量一與分量二按位異或，生成 16 字節(jié)的區(qū)域主密鑰 ZMK；5)將 ZMK 存儲(chǔ)在區(qū)域主密鑰區(qū)中指定的索引位置；6)取出本地主密鑰 LMK；7)用 LMK 對(duì) ZMK 做 3DES 加密，得到結(jié)果 C_ZMK；8)如果成功，返回加密結(jié)果，區(qū)域主密鑰 C_ZMK 和校驗(yàn)碼。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 28 -0X24 銀行主密鑰加密的密鑰轉(zhuǎn)換成次主密鑰銀行主密鑰加密的密鑰轉(zhuǎn)換成次主密鑰說(shuō)明：將銀行主密鑰加密的密鑰轉(zhuǎn)換成次主密鑰并存儲(chǔ)在加密機(jī)中消息板式：輸入域長(zhǎng)度類型備注命令1H0 x24銀行密鑰索引號(hào)2H區(qū)域主密鑰索引號(hào)次主密鑰索引號(hào)2H密鑰密文16HBMK 加密的密文輸出域長(zhǎng)度類型

54、備注應(yīng)答碼1A“A”或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x 01：無(wú)主機(jī)主密鑰0 x 0C：非法銀行主密鑰索引號(hào)SJL05 處理過(guò)程：1）讀出指定索引的 BMK，并用 BMK 解密數(shù)據(jù)密鑰得到 DK2）將 DK 作為次主密鑰存入到加密機(jī)中衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 29 -0X31 取回一個(gè)索引的區(qū)域主密鑰取回一個(gè)索引的區(qū)域主密鑰說(shuō)明：從加密機(jī)中取回指定索引的區(qū)域主密鑰。消息板式：輸入域長(zhǎng)度類型備注命令1H0 x31銀行索引號(hào)2H區(qū)域主密鑰索引號(hào)輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”區(qū)域主密鑰16H用本地主密鑰加密后的區(qū)域主密鑰CheckeValue8H校驗(yàn)值或應(yīng)答碼1A“E”錯(cuò)誤碼1H0

55、 x 01：無(wú)主機(jī)主密鑰0 x 02 ：無(wú)銀行主密鑰0 x 0C：非法銀行主密鑰索引號(hào)SJL05 處理過(guò)程：1)取出本地主密鑰 LMK 和索引的區(qū)域主密鑰 ZMK；2)用 LMK 對(duì) ZMK 進(jìn)行 3DES 加密，得到區(qū)域主密鑰的密文C_ZMK；3)如果成功，返回加密結(jié)果 C_ZMK。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 30 -0X32 取回一個(gè)索引的終端主密鑰取回一個(gè)索引的終端主密鑰說(shuō)明：從加密機(jī)中取回指定索引的終端主密鑰。消息板式：輸入域長(zhǎng)度類型備注命令1H0 x32終端索引號(hào)2H終端主密鑰索引號(hào)輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”終端主密鑰16H用本地主密鑰加密后的終端主密鑰Check

56、eValue8H校驗(yàn)值或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x 01：無(wú)主機(jī)主密鑰0 x0d：非法終端主密鑰索引號(hào)衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 31 -0X40 加密一個(gè)加密一個(gè) TMK 密鑰密鑰說(shuō)明：用區(qū)域主密鑰加密一個(gè) TMK 密鑰。消息格式：輸入域長(zhǎng)度類型備注命令1H0 x40TMK 密鑰8HTMK 密鑰明文銀行索引號(hào)2H區(qū)域主密鑰索引輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”終端密鑰8H用區(qū)域主密鑰加密后的終端主密鑰或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x 0C：非法銀行主密鑰索引號(hào)0 x 1C：沒(méi)有指定索引的 BMKSJL05 處理過(guò)程：1)取出指定的區(qū)域主密鑰 ZMK2)用 ZMK 對(duì)輸入的

57、終端密鑰 TMK 做 3DES 加密，得到 TMK 的密文C_TMK；3)如果成功，返回加密結(jié)果 C_TMK。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 32 -0X41 用用 BMK 解密解密 PIK說(shuō)明：用 BMK 解密 PIK（采用 3DES 方式） 。消息格式：輸入域長(zhǎng)度類型備注命令1H0 x41PIK 密文8H銀行索引號(hào)2H區(qū)域主密鑰索引輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”PIK 明文8H用區(qū)域主密鑰解密或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x 0C：非法銀行主密鑰索引號(hào)0 x 1C：沒(méi)有銀行主密鑰SJL05 處理過(guò)程：1)取出指定索引的 BMK。2)用 BMK 對(duì) PIK 進(jìn)行 3DES 解密

58、。3)如果成功返回 PIK 明文。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 33 -0X42 SSF02 加密的加密的 PINBLOCK驗(yàn)證驗(yàn)證說(shuō)明：驗(yàn)證用 SSF02 算法加密的 PINBlock。消息格式：輸入域長(zhǎng)度類型備注命令1H0 x42主密鑰索引 12H區(qū)域主密鑰索引PINBlock18H要驗(yàn)證的 PINBlockPIK116HPINBlock1 加密密鑰主密鑰索引 22H區(qū)域主密鑰索引PIK216H加密 PINBlock2 的密鑰PINBlock28H參考為正確的 PINBlock輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x 0C：非法銀行主密鑰索引號(hào)0 x

59、02：無(wú)銀行主密鑰0 x 1E：PIN 效驗(yàn)失敗SJL05 處理過(guò)程：1. 取出 BMK1 和 BMK2。2. 用 BMK1，BMK2 對(duì) PIK1，PIK2 分別進(jìn)行 SSF02 算法解密，得到 D_PIK1, D_PIK2。3. 用 D_PIK1，D_PIK2 對(duì) PINBlock1，PINBlock2 分別進(jìn)行 SSF02算法解密。得到 D_ PINBlock1, D_ PINBlock2.衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 34 -4. 比較 D_ PINBlock1，D_ PINBlock1 是否相同。如果成功，正常返回。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 35 -0X43

60、SSF02 算法計(jì)算算法計(jì)算 MAC說(shuō)明：用 SSF02 算法替換 DES 算法計(jì)算輸入數(shù)據(jù)的 MAC 碼。消息格式：輸入域長(zhǎng)度類型備注命令1H0 x43主密鑰索引2H區(qū)域主密鑰索引MAK16HMAC 計(jì)算密鑰數(shù)據(jù)長(zhǎng)度2H計(jì)算 MAC 的數(shù)據(jù)長(zhǎng)度MAC 數(shù)據(jù)nH計(jì)算 MAC 的數(shù)據(jù)輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”MAC8H或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x 6 8：輸入的數(shù)據(jù)長(zhǎng)度錯(cuò)誤0 x 0C：非法銀行主密鑰索引號(hào)0 x 0 2：無(wú)銀行主密鑰SJL05 處理過(guò)程：1.取出指定區(qū)域主密鑰。2.用 BMK 對(duì) MAK 進(jìn)行解密。得到 MAK 明文。3.用 MAK 明文對(duì) MAC 進(jìn)行 SSF0