外部認證和內(nèi)部認證的區(qū)分

1、發(fā)布時間：IC卡安全操作基本命令-外部認證(EXTERNALAUTHENTICATION)2008-10-2013:31:00技術(shù)類別：軟件開發(fā)1、命令功能描述外部認證命令提供了利用卡片產(chǎn)生隨機數(shù)，外部利用密鑰設備對該數(shù)據(jù)進行計算完成對終端的數(shù)據(jù)認證功能，也就是卡片認證終端合法性的過程。外部認證成功以后，將修改對應的安全狀態(tài)為內(nèi)部認證結(jié)果的安全狀態(tài)，并且復位卡片內(nèi)對應密鑰的嘗試計數(shù)器到初值。如果驗證失敗，將對應密鑰的嘗試計數(shù)器值減一，直至減為0將密鑰鎖定不能再進行外部認證操作為止。由于外部認證過程中需要卡片產(chǎn)生的隨機數(shù)，所以，在外部認證命令執(zhí)行前終端必須向卡片發(fā)送一條隨機數(shù)命令。2、命令報文格

2、式命令的APDU內(nèi)容如下所示：代碼值CLA0x00INS0x82P10x00P20x00Lc0x10Data認證數(shù)據(jù)Le不存在其中：DATA域長度為16Byte,前8Byte是外部計算后的認證結(jié)果，也就是需要卡片驗證的數(shù)據(jù)，后8Byte是外部給出的分散向量，用來計算認證過程密鑰。3、響應報文數(shù)據(jù)響應報文數(shù)據(jù)域不存在。4、響應報文狀態(tài)碼此命令執(zhí)行成功的狀態(tài)碼為0x9000。對于異常情況，IC卡可能回送的錯誤碼如下所示:SW1SW2含義0x630xCX認證失敗，X表示對應密鑰還能夠嘗試的次數(shù)0x650x81存儲空間錯誤0x670x00Lc錯誤0x690x83對應密鑰鎖定0x690x84隨機數(shù)無效0

3、x690x85不滿足密鑰使用條件0x6A0x80數(shù)據(jù)域參數(shù)/、止確0x6A0x86P1、P2/、止確0x6A0x88密鑰查找失敗0x6D0x00INS錯誤0x6E0x00CLA錯誤5、命令實現(xiàn)的其他要求外部認證命令是卡片認證終端過程，不同的應用可能會有不同的規(guī)定，如果要支持特殊應用的話，需要參與相關(guān)的應用需求，明確命令的數(shù)據(jù)的具體格式和計算方法。6、命令實現(xiàn)設計對認證數(shù)據(jù)的處理包括了如下幾個步驟：* 隨機數(shù)有效性檢查。在數(shù)據(jù)處理前需要檢查卡內(nèi)是否事先存在4Byte有效的隨機數(shù)。如果隨機數(shù)有效的話，在隨機數(shù)后補4Byte的0x00。* 密碼的查找。外部認證需要專門的密鑰，是對稱密鑰，通常是3DE

4、S密鑰，在當前文件的對稱密鑰文件中查找，查找條件包括密鑰用途、密鑰版本和密鑰索引等，可以使用單一條件，也可以使用組合條件。密鑰找到以后需要檢查相應的使用條件是否滿足，密鑰是否有效等等。* 過程密鑰生成。利用找到的認證密鑰對命令數(shù)據(jù)域中后8Byte分散向量做3DES加密計算，結(jié)果為8Byte,即為此次外部認證的過程密鑰。* 卡內(nèi)認證結(jié)果計算。將得到的過程密鑰對補充0x00以后的隨機數(shù)做DES加密計算，得到8Byte的卡片計算結(jié)果。* 將卡內(nèi)計算結(jié)果和命令數(shù)據(jù)域前8Byte的終端認證數(shù)據(jù)做比較，如果一致的話表示認證成功，將對應密鑰的嘗試計數(shù)器復位，同時修改對應的安全狀態(tài)；如果數(shù)據(jù)不一致的話，表示認

5、證失敗，將對應密鑰的嘗試計數(shù)器減一，對應的安全狀態(tài)不變。* 最后返回相應的結(jié)果。7、命令使用示例(1)預設環(huán)境假設已經(jīng)在卡片取得4Byte隨機數(shù)。(2)命令報文進行外部認證的APDU:00820000100102030405060708090A0B0C0D0E0F10其中:* 00表示EXTERNAL* 82表示EXTERNAL* 00表示EXTERNALAUTHENTICATIONAUTHENTICATIONAUTHENTICATION命令的CLA。命令的INS。命令的P1。* 00表示EXTERNAL* 10表示EXTERNALAUTHENTICATION命令的AUTHENTICATION

6、命令的P2。Lc,待驗證數(shù)據(jù)和分散數(shù)據(jù)。*0102030405060708表示EXTERNALAUTHENTICATION命令的DATA前半部分,是終端計算得到的8Byte待驗證數(shù)據(jù)。*090A0B0C0D0E0F10表示EXTERNALAUTHENTICATION命令的DATA后半部分,是終端產(chǎn)生的過程密鑰分散數(shù)據(jù)。(3)EXTERNALAUTHENTICATION響應報文卡片處理以后，EXTERNALAUTHENTICATION沒有響應報文發(fā)布時間：IC卡安全操作基本命令-內(nèi)部認證(INTERNALAUTHENTICATION)2008-10-2013:30:18技術(shù)類別：軟件開發(fā)1、命令

7、功能描述內(nèi)部認證命令提供了利用終端設備發(fā)來的隨機數(shù)和自身存儲的密鑰進行數(shù)據(jù)認證的功能，也就是終端認證卡片合法性的過程。2、命令報文格式命令的APDU內(nèi)容如下所示：代碼CLA值0x00INS0x88P10x00P20x00Lc0x10Data認證數(shù)據(jù)Le0x00其中：*DATA域長度為16Byte,前8Byte是外部產(chǎn)生的隨機數(shù)，也就是驗證的中間數(shù)據(jù)，后8Byte是外部給出的分散向量，用來計算認證過程密鑰。3、響應報文數(shù)據(jù)8B如果命令執(zhí)行成功以后，響應報文數(shù)據(jù)域給出來卡片的計算結(jié)果供終端認證，長度為yte。4、響應報文狀態(tài)碼此命令執(zhí)行成功的狀態(tài)碼為0x9000。對于異常情況，IC卡可能回送的錯誤

8、碼如下所示SW1SW2含義0x620x81回送數(shù)據(jù)可能有錯0x640x00標志狀態(tài)位沒有改變0x670x00Lc錯誤0x680x82/、支打女全報文0x690x01命令執(zhí)行條件不滿足0x690x85不滿足密鑰使用條件0x6A0x80數(shù)據(jù)域參數(shù)/、止確0x6A0x86P1、P2/、止確0x6A0x88密鑰查找失敗0x6D0x00INS錯誤0x6E0x00CLA錯誤5、命令實現(xiàn)的其他要求內(nèi)部認證命令是終端認證卡片的過程，不同的應用可能會有不同的規(guī)定，如果要支持特殊應用的話，需要參考相關(guān)的應用需求，明確命令的數(shù)據(jù)的具體格式和計算方法。6、命令實現(xiàn)設計對認證數(shù)據(jù)的計算包括了如下幾個步驟:* 密碼的查找

9、。內(nèi)部認證需要專門的密鑰，是對稱密鑰，通常為3DES密鑰，在當前文件的對稱密鑰文件中查找，查找條件包括密鑰用途、密鑰版本和密鑰索引等，可以使用單一條件，也可以使用組合條件。* 過程密鑰生成。利用找到的認證密鑰對命令數(shù)據(jù)域中后8Byte分散向量做3DES加密計算，結(jié)果為8Byte,即為此次內(nèi)部認證的過程密鑰。* 認證結(jié)果計算。將得到的過程密鑰對命令數(shù)據(jù)域中前8Byte外部終端給出的隨機數(shù)做DES加密計算，得到8Byte認證結(jié)果，返回。7、命令使用示例(1)預設環(huán)境除了需要有相應密鑰外無其他特殊環(huán)境要求。(2)命令報文進行內(nèi)部認證的APDU:00880000100102030405060708090A0B0C0D0E0F10其中:* 00表示INTERNAL* 88表示INTERNAL* 00表示INTERNAL* 00表示INTERNAL* 10表示INTERNALAUTHENTICATIONAUTHENTICATIONAUTHENTICATIONAUTHENTICATIONAUTHENTICATION命令的CLA。命令的INS。命令的P1。命令的P2。命令的Lc,驗證數(shù)據(jù)和分散數(shù)據(jù)。*0102030405060708表示INTERNALAUTHENTICATION命令的DATA前半部分,是終端產(chǎn)生的8B