（DB45T 2123-2020）《高速公路聯(lián)網(wǎng)電子不停車收費技術(shù)規(guī)范》

ICS03.220.20

R10

DB45

廣西壯族自治區(qū)地方標準

DB45/T2123—2020

高速公路聯(lián)網(wǎng)電子不停車收費技術(shù)規(guī)范

Technicalspecificationforelectronictollcollectionfornetworkingonexpressway

2020-07-10發(fā)布2020-07-30實施

廣西壯族自治區(qū)市場監(jiān)督管理局發(fā)布

DB45/T2123—2020

高速公路聯(lián)網(wǎng)電子不停車收費技術(shù)規(guī)范

1范圍

本標準規(guī)定了高速公路聯(lián)網(wǎng)電子不停車收費技術(shù)的術(shù)語和定義、縮略語、關(guān)鍵信息編碼、PSAM卡數(shù)

據(jù)格式和技術(shù)要求、CPU用戶卡數(shù)據(jù)格式和技術(shù)要求、OBE-SAM數(shù)據(jù)格式和技術(shù)要求、OBU初始化設(shè)備、

IC讀卡器、RSU與車道控制器接口、基于DSRC的ETC交易、非現(xiàn)金支付卡交易流程、車道技術(shù)要求、ETC

標志標線設(shè)置指南、ETC專用形象標識設(shè)置規(guī)范。

本標準適用于廣西境內(nèi)高速公路聯(lián)網(wǎng)電子不停車收費的項目，高速公路運營管理單位、設(shè)計單位、

設(shè)備制造商和系統(tǒng)集成商參與實施的相關(guān)項目宜參照使用。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB5768.2道路交通標志和標線第2部分：道路交通標志

GB5768.3道路交通標志和標線第3部分：道路交通標線

GB/T2260中華人民共和國行政區(qū)劃代碼

GB/T16649.1識別卡帶觸點的集成電路卡第1部分：物理特性

GB/T16649.2識別卡帶觸點的集成電路卡第2部分：觸點的尺寸和位置

GB/T16649.3識別卡帶觸點的集成電路卡第3部分：電信號和傳輸協(xié)議

GB/T18239集成電路（IC）卡讀寫機通用規(guī)范

GB/T20851.1電子收費專用短程通信第1部分：物理層

GB/T20851.2電子收費專用短程通信第2部分：數(shù)據(jù)鏈路層

GB/T20851.3電子收費專用短程通信第3部分：應用層

GB/T20851.4電子收費專用短程通信第4部分：設(shè)備應用

GB/T28423電子收費路側(cè)單元與車道控制器接口

JR/T0025.2中國金融集成電路（IC）卡規(guī)范第2部分：電子錢包/電子存折應用規(guī)范

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

車道控制器lanecontroller

工業(yè)控制計算機與車道路測設(shè)備及其他外圍設(shè)備相連，配合車道控制軟件，控制車道邏輯流程。

1

DB45/T2123—2020

3.2

自動欄桿automaticrailing

安裝在ETC車道內(nèi)，車道控制器用I/O信號控制其開啟與關(guān)閉，判斷到來車輛合法時欄桿自動開啟，

判斷到來車輛非法時欄桿自動關(guān)閉。

3.3

報警設(shè)備alarmingdevice

用于提示駕駛員和現(xiàn)場工作人員本次交易失敗，車道發(fā)生異常等。

3.4

信息顯示屏messagedisplay

用于向駕駛員提示賬戶信息，如本次通行費額、余額、提示續(xù)費等。

3.5

雨棚信號燈canopysignallamp

指示ETC車道當前工作狀態(tài)。

3.6

車道信號燈lanesignallamp

用于提示駕駛員本次交易狀態(tài)，是否能正常通行等。

3.7

車輛檢測器vehicledetector

用I/O信號的電平方式輸入檢測系統(tǒng)車輛的到來和離去，又稱為地感線圈。

3.8

車道攝像機lanecamera

信號直接與監(jiān)控中心連接，用于實現(xiàn)對車道狀況的全天候監(jiān)視。

3.9

合法ETC車輛legalETCvehicle

裝有能夠與路測設(shè)備成功交易的車載設(shè)備的車輛。

3.10

非法ETC車輛illegalETCvehicle

包括無OBU、非法OBU、CPU卡片沒有插好、黑名單車輛等情況造成與路側(cè)設(shè)備交易失敗的車輛。

3.11

ETC車道警告通行狀態(tài)ETClanewarningtrafficcondition

ETC車道通行車輛為合法ETC用戶但列入灰名單，則ETC車道被置于警告通行狀態(tài)，車道信號燈變紅，

自動欄桿抬起，信息顯示屏顯示警告信息。

2

DB45/T2123—2020

3.12

ETC車道交易ETClanetrading

對于ETC入口車道，交易是指向用戶卡寫入入口車道信息；對于ETC出口車道，交易是指讀取入口信

息，計算本次通行費額，并成功扣款。

3.13

ETC過車記錄ETCpassingrecord

對于ETC入口車道，主要包括OBU的ID、用戶卡ID、車輛基本信息、入口車道信息以及車輛圖像數(shù)據(jù)

等。對于ETC出口車道，主要包括OBU的ID、用戶卡ID、車輛信息、本次扣款費額、入口車道信息、出口

車道信息、交易狀態(tài)以及車輛圖像數(shù)據(jù)等。

3.14

黑名單blacklist

禁止通過收費車道的非現(xiàn)金支付卡列表。

3.15

灰名單graylist

儲值卡中的余額低于特定限額所組成的非現(xiàn)金支付卡集合。

3.16

清分目標日localclearingparty

收費服務方預設(shè)的原始交易清分歸屬日期，用于簡化清分數(shù)據(jù)核對。

4縮略語

下列縮略語定義適用于本文件。

ADF：應用數(shù)據(jù)文件（ApplicationDefinitionFile）；

AID：應用標識（ApplicationIdentifier)；

APDU：應用協(xié)議數(shù)據(jù)單元（ApplicationProtocolDataUnit）；

API：應用編程接口（ApplicationProgrammingInterface）；

ASN.1：抽象語法記法一（AbstractSyntaxNotationOne）；

An：字母數(shù)字型（Alphanumeric）；

BER：位誤碼率（BitErrorRate）；

BST：信標服務表（BeaconServiceTable）；

B：二進制（Binary）；

CA：證書認證機構(gòu)（CertificationAuthority）；

CLA：命令類別（ChipCardPaymentService）；

Cn：壓縮數(shù)字（CompressedNumeric）；

COS：卡片操作系統(tǒng)（ChipOperatingSystem）；

CPU：中央處理單元（CentralProcessUnit）；

CRC：循環(huán)冗余校驗(CyclicRedundancyCheck)；

CRL：證書注銷列表（CertificateRevocationList）；

3

DB45/T2123—2020

DEA：數(shù)據(jù)加密算法（DataEncrpytionAlgorithm）；

DES：數(shù)據(jù)加密標準(DataEncryptionStandard)；

DID：目錄標識（DirectoryIdentifier）；

DIR：目錄（Directory）；

DSRC：專用短程通信（DedicatedShortRangeCommunication）；

EF：基本文件（ElementaryFile）；

ETC：電子不停車收費（ElectronicTollCollection）；

FCI：文件控制信息（FileControlInformation）；

FID：文件標識（FileIdentifier）；

I/O：輸入/輸出（Input/Output）；

IC：集成電路(IntegratedCircuit)；

ICC：集成電路卡（IntegrateCircuitCard）；

ID：身份標識號碼（Identity）；

INS：命令報文的指令字節(jié)（InstructionByteofCommandMessage）；

Lc：終端發(fā)出的命令數(shù)據(jù)的實際長度（ExactLengthofDataSent）；

LDAP：輕量目錄訪問協(xié)議（LightweightDirectoryAccessProtocol）；

Le：響應數(shù)據(jù)中的最大期望長度（MaximumLengthofDataExpected）；

LLC：邏輯鏈路控制（LogicalLinkControl）；

MAC：報文鑒別碼（MessageAuthenticationCode）；

MF：主控文件（MasterFile）；

MTBF：平均無故障時間(MeanTimeBetweenFailures)；

MTC：人工半自動收費（ManualTollCollection）；

OBE：車載設(shè)備（OnBoardEquipment）；

OBU：車載單元（OnBoardUnit）；

P1：參數(shù)1（Parameter1）；

P2：參數(shù)2（Parameter2）；

PBOC：中國人民銀行（PeopleBankOfChina）；

PIN：個人密碼（PersonalIdentificationNumber）；

PSAM：消費安全訪問模塊（PaymentSecurityAccessModule）；

RA：證書注冊機構(gòu)（RegistrationAuthority）；

RFU：保留為將來所用（ReservedforFutureUse）；

RSE：路側(cè)設(shè)備（RoadsideEquipment）；

RSU：路側(cè)單元（RoadsideUnit）；

SAM：安全存取模塊(SecureAccessModule)；

SW1：狀態(tài)碼1（StatusWordOne）；

SW2：狀態(tài)碼2（StatusWordTwo）；

TAC：交易認證碼（TransactionAuthorizationCryptogram）；

TDES：三重數(shù)據(jù)加密標準（TripleDataEncryptionStandard）；

VST：車輛服務表（VehicleServiceTable)。

4

DB45/T2123—2020

5關(guān)鍵信息編碼

5.1OBU的MAC地址編碼規(guī)則

5.1.1OBU的專用MAC地址應采用4字節(jié)的二進制進行編碼。

5.1.2OBU的專用MAC地址應劃分為制造商代碼和OBU制造商內(nèi)部編碼兩個部分，見圖1。

XXXXXXXX

OBU制造商內(nèi)部編碼

制造商代碼

圖1OBU的專用MAC地址組成

注1：制造商代碼應由收費公路電子收費密鑰管理單位統(tǒng)一管理，OBU制造商應提交書面申請，經(jīng)核準后獲取其唯一

代碼。取值范圍為：0x00～0xFF，其中：0x00～0xFE分配給廠商，0xFF保留做測試等用途。

注2：OBU制造商內(nèi)部編碼應由OBU制造商根據(jù)其生產(chǎn)、管理等方面的需要自行定義。其值范圍為：0x000000～

0xFFFFFF。

5.2OBU序號編碼規(guī)則

OBU序號應為16位，省級區(qū)域代碼、運營商序號、生產(chǎn)年份、發(fā)行方序號應采用BCD編碼。OBU序號

的編號見圖2，其中，OBU序號字段具體意義見表1。

16151314121011987654312

省

運OO

級生

營BBOBU序號，由mac地址轉(zhuǎn)換

區(qū)產(chǎn)

商UU

域年

序廠類

代份

號商別

碼

圖2OBU序號編碼規(guī)則

表1OBU序號字段具體意義

序號字段名稱長度（位）解釋

1省級區(qū)域代碼2廣西的區(qū)域代碼是45

2運營商序號2收費公路電子收費密鑰管理單位應統(tǒng)一分配并登記備案

3生產(chǎn)年份2取后兩位，如2015為15

4OBU廠商1與國家標準編碼規(guī)則一致

0廠商免費提供測試電子標簽、1～4采購批次、5～7代銷電子標簽、

5OBU類別1

8質(zhì)量異常免費更換產(chǎn)品、9預留

6OBU序列號8OBU制造商內(nèi)部編碼（十六進制），轉(zhuǎn)成十進制

5.3RSU的BeaconID編碼規(guī)則

RSU的BeaconID編碼規(guī)則應和OBU的MAC地址編碼規(guī)則相同，即：

——manufacturerID應采用“制造商代碼”；

——individualID應由RSU制造商根據(jù)其生產(chǎn)、管理等方面的需要自行定義。其取值范圍為：

5

DB45/T2123—2020

0x000000～0xFFFFFF。

5.4發(fā)行方標識編碼規(guī)則

5.4.1“發(fā)行方標識”應是OBE-SAM中“系統(tǒng)信息文件”的第1～8字節(jié)和CPU用戶卡中“卡片發(fā)行基

本數(shù)據(jù)文件”的第1～8字節(jié)，發(fā)行方標識應由收費公路電子收費密鑰管理單位統(tǒng)一分配并登記備案。

發(fā)行方標識編碼應由4字節(jié)“區(qū)域代碼”、2字節(jié)“運營商標識”、1字節(jié)“保留”、1字節(jié)“密鑰分

散標識”組成，見圖3。

XXXXXXXXXXXXXXXXX

密鑰分散標識

保留

運營商標識

區(qū)域代碼

圖3發(fā)行方標識編碼規(guī)則

5.4.2發(fā)行方標識編碼規(guī)則說明：

——區(qū)域代碼為廣西壯族自治區(qū)唯一標識，應用2個漢字（4個字節(jié)）表示；

——運營商標識為廣西區(qū)內(nèi)運營商的唯一標識，應采用壓縮BCD編碼方式，由2個字節(jié)組成：第1

字節(jié)應為省級行政區(qū)劃代碼，按照標準GB/T2260的規(guī)定執(zhí)行；第2字節(jié)應為區(qū)內(nèi)運營商的唯

一標識號，由收費公路電子收費密鑰管理單位分配并登記；

——保留字節(jié)應暫定一個字節(jié)0x00；

——密鑰分散標識定義：

?通過兩級分散得到卡片密鑰，第一級應采用區(qū)域代碼作為分散因子，第二級應采用CPU

卡內(nèi)部編號作為分散因子；

?通過三級分散得到卡片密鑰，第一級應采用區(qū)域代碼作為分散因子，第二級應采用運

營商標識作為分散因子，第三級應采用CPU卡內(nèi)部編號作為分散因子；

?通過三級分散得到卡片密鑰，第一級應采用運營商標識作為分散因子，第二級應采用

區(qū)域代碼作為分散因子，第三級應采用CPU卡內(nèi)部編號作為分散因子,其它保留。

5.5OBU的合同序列號編碼規(guī)則

應和OBU外殼的序號一致。

5.6CPU用戶卡的卡號編碼規(guī)則

5.6.1CPU用戶卡卡號

卡號為20位，應采用BCD編碼。打印于卡面的編號見圖4。字段具體意義見表2，發(fā)行方編號見表3，

卡商編號見表4。

6

DB45/T2123—2020

2019181716141513121110987564321

省運發(fā)卡

生生卡廠

級營行片

產(chǎn)產(chǎn)片商

區(qū)商方序

年日類代

域序編列

份期型碼

代號號號

碼

圖4CPU用戶卡卡號

表2字段具體意義

序號字段名稱長度（位）解釋

1省級區(qū)域代碼2廣西的區(qū)域代碼是45

2運營商序號2由收費公路電子收費密鑰管理單位統(tǒng)一分配并登記備案

3生產(chǎn)年份2取后兩位，如2014為14

4生產(chǎn)星期2當年的第n周

5卡片類型2根據(jù)交通部標準，22為儲值卡，23為記賬卡，及其他

6廠商代碼2詳見表3卡商編號對應表，本省分配并登記備案

7發(fā)行方編號1詳見表2發(fā)行方編號對應表，本省分配并登記備案

8卡片序列號70000001～9999999，順序編號

表3發(fā)行方編號對應表

發(fā)行方發(fā)行方1發(fā)行方2發(fā)行方3其他

發(fā)行方編號0123～9

表4卡商編號對應表

廠商廠商廠商廠商廠商廠商廠商廠商廠商廠商

其他

名稱123456789

廠商

01020304050607080910～50

代碼

返廠修復編碼515253545556575859—

5.6.2CPU卡內(nèi)部編號的編碼規(guī)則

與CPU用戶卡號后16位一致。

5.7PSAM序列號及終端機編號編碼規(guī)則

應由收費公路電子收費密鑰管理單位統(tǒng)一編碼。

5.8分散代碼規(guī)則

省級和運營商級分散代碼應由收費公路電子收費密鑰管理單位統(tǒng)一規(guī)定。用戶卡分散應采用CPU卡

內(nèi)部編號，OBE-SAM分散應采用合同序列號。

7

DB45/T2123—2020

6PSAM卡數(shù)據(jù)格式和技術(shù)要求

6.1PSAM卡基本要求

6.1.1基本功能要求

PSAM卡應滿足以下功能要求：

——具有COS的接觸式CPU卡；

——支持一卡多應用，各應用之間相互獨立；

——支持多種文件類型，包括二進制文件、定長記錄文件、變長記錄文件、循環(huán)文件；

——采用硬件DES協(xié)處理器和硬件真隨機數(shù)發(fā)生器；

——在通訊過程中支持多種安全保護機制；

——支持多種安全訪問方式和權(quán)限；

——支持SingleDES、TripleDES算法；

——支持多級密鑰分散機制。

6.1.2基本參數(shù)要求

PSAM卡的參數(shù)要求如下：

——存儲容量應不低于8Kbytes，芯片為EEPROM；

——支持T=0通信協(xié)議；

——支持多種速率選擇；

——外部時鐘不低于7.5MHz；

——至少支持工作電壓：2.7V～3.3V，對應的工作電流應不超過6mA；

——工作溫度：-25℃～＋70℃，存儲溫度：-40℃～＋85℃，相對工作濕度：10％～95％。

6.1.3其它要求

卡片的物理特性、電氣特性和安全特性等應通過具有相關(guān)檢測資質(zhì)的第三方機構(gòu)的檢測。

6.2PSAM卡數(shù)據(jù)格式

6.2.1PSAM卡文件結(jié)構(gòu)

6.2.1.1PSAM卡文件結(jié)構(gòu)見圖5。

8

DB45/T2123—2020

DIR目錄數(shù)據(jù)文件

MF

（0001h）

卡片公共信息文件

（0015h）

終端信息文件

（0016h）

密鑰文件

基本應用目錄應用公共信息文件

DF01（0017h）

終端應用交易序號

（0018h）

密鑰文件

寬展應用目錄

DF02

擴展應用目錄

DF03

圖5PSAM卡文件結(jié)構(gòu)

6.2.1.2PSAM卡詳細文件結(jié)構(gòu)見表5。

表5PSAM卡詳細文件結(jié)構(gòu)

文件名稱文件類型文件標識符讀權(quán)寫權(quán)備注

MF主文件3F00建立權(quán)：MK_MF廠商交貨時已經(jīng)建立

增加密鑰通過卡片主控密鑰MK_MF采

密鑰文件密鑰文件—禁止

權(quán)：MK_MF用密文＋MAC方式寫入密鑰

自由讀，寫時使用卡片維護

DIR目錄數(shù)據(jù)文件變長記錄0001自由AMK_MF密鑰進行線路保護（明文＋

MAC）

自由讀，寫時使用卡片維護

卡片公共信息文

二進制文件0015自由AMK_MF密鑰進行線路保護（明文＋

件

MAC）

自由讀，寫時使用卡片維護

終端信息文件二進制文件0016自由AMK_MF密鑰進行線路保護（明文＋

MAC）

DF01聯(lián)網(wǎng)電子收建立權(quán)：擦除權(quán)：卡片主控密鑰MK_MF認證通

目錄文件DF01

費應用MK_MFMK_MF過后可以建立和擦除文件

9

DB45/T2123—2020

表5（續(xù)）

文件名稱文件類型文件標識符讀權(quán)寫權(quán)備注

增加密鑰DF01應用密鑰采用密文＋

密鑰文件密鑰文件—禁止

權(quán)：MK_DF01MAC方式寫入

自由讀，寫時使用應用維護

應用公共信息文

二進制文件0017自由AMK_DF01密鑰AMK_DF01進行線路保

件

護（明文＋MAC）

終端應用交易號不可寫，COS用于存儲終端交易序號，由

二進制文件0018自由

數(shù)據(jù)元維護COS維護

卡片主控密鑰MK_MF認證

建立權(quán)：擦除權(quán)：

DF02預留目錄1目錄文件DF02通過后可以建立和擦除文

MK_MFMK_MF

件

卡片主控密鑰MK_MF認證

建立權(quán)：擦除權(quán)：

DF03預留目錄2目錄文件DF03通過后可以建立和擦除文

MK_MFMK_MF

件

6.2.1.3PSAM卡密鑰用途與用法：

——應用主控密鑰應在卡片主控密鑰的線路保護控制下裝載（密文＋MAC）；

——主控密鑰應在自身的控制下更新（密文＋MAC）；

——本密鑰文件下其它密鑰應在應用主控密鑰的線路保護控制下裝載、更新（密文＋MAC）；

——應用主控密鑰外部認證通過后，宜在DF01目錄下進行文件創(chuàng)建；

——應用維護子密鑰應用于DF01區(qū)域的應用數(shù)據(jù)維護。

6.2.2MF下的卡片公共信息文件結(jié)構(gòu)

MF下的卡片公共信息文件結(jié)構(gòu)見表6。

表6MF下的卡片公共信息文件結(jié)構(gòu)

文件標識0015

文件類型二進制文件

文件大小14字節(jié)

文件存取控制讀=自由寫=AMK_MF線路保護寫（明文+MAC）

字節(jié)數(shù)據(jù)元長度（字節(jié)）

1～10PSAM序列號10

11PSAM序列號1

12密鑰卡類型1

13～14發(fā)卡方自定義FCI數(shù)據(jù)2

6.2.3MF下的終端信息文件

MF下的終端信息文件見表7。

10

DB45/T2123—2020

表7MF下的終端信息文件

文件標識0016

文件類型二進制文件

文件大小6字節(jié)

文件存取控制讀=自由寫=AMK_MF線路保護寫（明文＋MAC）

字節(jié)數(shù)據(jù)元長度（字節(jié)）

1～6終端機編號1～6

6.2.4DF01下的應用公共信息文件

DF01下的應用公共信息文件見表8。

表8DF01下的應用公共信息文件

文件標識0017

文件類型二進制文件

文件大小25字節(jié)

文件存取控制讀=自由寫=AMK_DF01線路保護寫（明文＋MAC）

字節(jié)數(shù)據(jù)元長度（字節(jié)）

1密鑰索引號1

2～9發(fā)行方標識8

10～17應用區(qū)域標識8

18～21應用啟用日期4

22～25應用有效日期4

6.3PSAM卡密鑰說明

6.3.1密鑰定義

6.3.1.1所有密鑰應以記錄的形式存儲在密鑰文件中。每一條密鑰應包括用途、標識/版本、算法標識

和密鑰數(shù)據(jù)等參數(shù)信息。

6.3.1.2PSAM卡中應包括以下幾種密鑰類型：

——00h：主控密鑰；

——01h：維護密鑰；

——02h：消費密鑰，能進行消費交易；

——06h：MAC密鑰，能進行MAC計算；

——08h：MAC、加密密鑰，能進行MAC和數(shù)據(jù)加密運算；

——09h：圈存密鑰，能進行圈存交易；

——19h：MAC、解密密鑰，能進行MAC和數(shù)據(jù)解密運算。

6.3.1.3密鑰用途字節(jié)的高3位應表示密鑰分散級數(shù)。

6.3.2DF01下的密鑰文件結(jié)構(gòu)

DF01下的密鑰文件結(jié)構(gòu)見表9。

11

DB45/T2123—2020

表9DF01下的密鑰文件結(jié)構(gòu)

密鑰名稱密鑰用途密鑰標識密鑰大小算法標識錯誤計數(shù)器

PSAM卡應用1主控密鑰MK_DF01000010H003

PSAM卡應用1維護密鑰AMK_DF01010110H003

CPU卡外部認證密鑰UK_DF01480110H00—

CPU卡消費密鑰1PK1420110H00—

CPU卡消費密鑰2PK2420210H00—

OBU認證主密鑰RK1480210H00—

OBU加密主密鑰RK2590310H00—

6.4安全管理

6.4.1安全計算方法

6.4.1.1總則

安全計算應涉及用戶卡中的所有計算類型，包括數(shù)據(jù)加密計算、普通MAC計算、消費MAC1計算和MAC2

校驗等。MAC應命令響應數(shù)據(jù)域中最后一個數(shù)據(jù)元素。

6.4.1.2密鑰分散計算方法

密鑰分散應通過分散因子產(chǎn)生子密鑰。分散因子應為8字節(jié)，將一個雙長度的主密鑰MK，對分散數(shù)

據(jù)進行處理，推導出一個雙長度的子密鑰DK，如圖6和圖7所示。推導方法應如下所示：

——推導DK左半部分的方法是：

?應將分散因子作為輸入數(shù)據(jù)；

?應將MK作為加密密鑰；

?應用MK對輸入數(shù)據(jù)進行3DEA運算。

輸入因子（8bytes）

MK_LDEA(e)

MK_RDEA(d)

MK_LDEA(e)

DK_L

圖6推導DK左半部分

——推導DK右半部分的方法是：

?應將分散因子求反，作為輸入數(shù)據(jù)；

?應將MK作為加密密鑰；

?應用MK對輸入數(shù)據(jù)進行3DEA運算。

12

DB45/T2123—2020

輸入因子（8bytes）

MK_LDEA(e)

MK_RDEA(d)

MK_LDEA(e)

DK_R

圖7推導DK右半部分

6.4.1.3數(shù)據(jù)加密的計算方法

應按照如下方式對數(shù)據(jù)進行加密：

LD表示明文數(shù)據(jù)的長度，應在明文數(shù)據(jù)前加上LD產(chǎn)生新的數(shù)據(jù)塊；

a)應將數(shù)據(jù)塊分成8字節(jié)為單位的數(shù)據(jù)塊，分別表示為BLOCK1、BLOCK2、BLOCK3、BLOCK4等，

最后的數(shù)據(jù)塊為1～8字節(jié)；

b)如果最后（或唯一）的數(shù)據(jù)塊的長度是8字節(jié)的話，應轉(zhuǎn)到第四步；如果不足8字節(jié)，則在

其后加入16進制數(shù)“80”，如果達到8字節(jié)長度，應轉(zhuǎn)到第四步；否則在其后加入16進制

數(shù)“00”直到長度達到8字節(jié)；

c)應按照圖8所述的算法使用指定密鑰對每一個數(shù)據(jù)塊進行加密；

d)計算結(jié)束后，所有加密后的數(shù)據(jù)塊應按照原順序連接在一起。

BLOCK1BLOCK2BLOCKn

KEY_LDEA(e)DEA(e)DEA(e)

KEY_RDEA(d)DEA(d)···DEA(d)

KEY_LDEA(e)DEA(e)DEA(e)

密文1密文2密文n

圖8雙倍長密鑰DEA數(shù)據(jù)加密算法

6.4.1.4安全報文的計算方法

安全報文的計算方法應根據(jù)情況的不同分以下3類：

a)命令安全報文中的MAC：命令安全報文中的MAC應使用命令的所有元素產(chǎn)生的。如下所述：

1)終端應通過向IC卡發(fā)GETCHALLENGE命令獲得一個4字節(jié)隨機數(shù)，后補“00000000”

作為初始值；

13

DB45/T2123—2020

2)應將5字節(jié)命令頭（CLA，INS，P1，P2，Lc）和命令數(shù)據(jù)域中的明文或密文數(shù)據(jù)連接在一

起形成數(shù)據(jù)塊，這里的Lc應是數(shù)據(jù)長度加上將計算出的MAC的長度（4字節(jié)）后得到的

實際長度；

3)應將該數(shù)據(jù)塊分成8字節(jié)為單位的數(shù)據(jù)塊，表示為BLOCK1、BLOCK2、BLOCK3、BLOCK4等

最后的數(shù)據(jù)塊為1～8字節(jié)；

4)如果最后的數(shù)據(jù)塊的長度是8字節(jié)的話，應在該數(shù)據(jù)塊之后再加一個完整的8字節(jié)數(shù)據(jù)塊

“8000000000000000”，轉(zhuǎn)到第五步；

5)如果最后的數(shù)據(jù)塊的長度不足8字節(jié)，應在其后加入16進制數(shù)“80”，如果達到8字節(jié)

長度，應轉(zhuǎn)到第六步；否則接著在其后加入16進制數(shù)“00”直到長度達到8字節(jié)。按圖

9所述的算法對這些數(shù)據(jù)塊應使用指定密鑰進行加密來產(chǎn)生MAC；

6)應取計算結(jié)果高4字節(jié)作為MAC。

BLOCK1BLOCK2BLOCK3BLOCK4

初始值

KEY_LDEA(e)DEA(e)DEA(e)DEA(e)

KEY_RDEA(d)

KEY_LDEA(e)

MAC

圖9安全報文中雙倍長密鑰MAC算法

b)交易中的MAC：應先用指定密鑰產(chǎn)生過程密鑰，再用過程密鑰計算MAC，應使用DEA加密方式

產(chǎn)生MAC。按照如下方式產(chǎn)生MAC：

1)應將一個8字節(jié)長的初始值設(shè)定為16進制數(shù)“0000000000000000”；

2)應將所有輸入數(shù)據(jù)按指定順序連接成一個數(shù)據(jù)塊；

3)應將該數(shù)據(jù)塊分成8字節(jié)為單位的數(shù)據(jù)塊，分別表示為BLOCK1、BLOCK2、BLOCK3、BLOCK4

等。最后的數(shù)據(jù)塊為1~8字節(jié)；

4)如果最后的數(shù)據(jù)塊的長度是8字節(jié)的話，應在該數(shù)據(jù)塊之后再加一個完整的8字節(jié)數(shù)據(jù)塊

“8000000000000000”，轉(zhuǎn)到第五步。如果最后的數(shù)據(jù)塊的長度不足8字節(jié)，應

在其后加入16進制數(shù)“80”，如果達到8字節(jié)長度，應轉(zhuǎn)到第五步；否則在其后加入16

進制數(shù)“00”直到長度達到8字節(jié)；

5)按照圖10所述的算法對這些數(shù)據(jù)塊應使用過程密鑰進行加密來產(chǎn)生MAC；

6)應取計算結(jié)果高4字節(jié)作為MAC。

14

DB45/T2123—2020

BLOCK1BLOCK2BLOCK3BLOCK4

‘00’

KEYDEA(e)DEA(e)DEA(e)DEA(e)

MAC

圖10交易中的MAC算法

c)此方法應為公路電子收費專用鑒別碼的計算方法：

1)應將文件數(shù)據(jù)進行CRC計算，產(chǎn)生兩字節(jié)CRC0和CRC1；

2)應將送入的隨機數(shù)最低兩字節(jié)分別更換為CRC1、CRC0，形成8字節(jié)臨時數(shù)據(jù)；

3)應使用計算密鑰對8字節(jié)數(shù)據(jù)進行加密計算：MAC=TDES(KEY_MAC，CRC0||CRC1||Rand)。

6.4.2數(shù)據(jù)的安全計算步驟

6.4.2.1數(shù)據(jù)的安全計算應指對外部提供的數(shù)據(jù)進行DES變換。主要計算有：Triple-DES加密、

Triple-DESMAC計算。

6.4.2.2PSAM卡中完成數(shù)據(jù)的安全計算應經(jīng)過兩個步驟：

a)應使用DELIVERYKEY命令，在卡內(nèi)準備好參與計算的密鑰；

b)應使用CIPHERDATA命令，用產(chǎn)生的臨時密鑰對外部提供的數(shù)據(jù)進行處理。

6.5應用系統(tǒng)的兼容性

6.5.1密鑰分散

應采用二級或三級密鑰分散，應用程序在處理請求時，應根據(jù)“發(fā)行方標識”及“密鑰分散標識”

判斷用戶終端內(nèi)密鑰的分散級數(shù)?！鞍l(fā)行方標識”及“密鑰分散標識”的詳細定義參見5.