56所加密機(jī)指令集

1、目錄 TOC o 1-3 h z HYPERLINK l _Toc6 第1章密鑰說(shuō)明 PAGEREF _Toc6 h 3 HYPERLINK l _Toc7 密碼機(jī)利用的密鑰類(lèi)型 PAGEREF _Toc7 h 3 HYPERLINK l _Toc8 主密鑰MK PAGEREF _Toc8 h 3 HYPERLINK l _Toc9 存儲(chǔ)加密密鑰SEK PAGEREF _Toc9 h 3 HYPERLINK l _Toc0 傳輸加密密鑰TEK PAGEREF _Toc0 h 3 HYPERLINK l _Toc1 終端主密鑰TMK PAGEREF _Toc1 h 4 HYPERLINK l _

2、Toc2 PIN密鑰PIK PAGEREF _Toc2 h 4 HYPERLINK l _Toc3 MAC密鑰MAK PAGEREF _Toc3 h 4 HYPERLINK l _Toc4 各類(lèi)密鑰之間的關(guān)系 PAGEREF _Toc4 h 5 HYPERLINK l _Toc5 密鑰利用方式 PAGEREF _Toc5 h 6 HYPERLINK l _Toc6 第2章密碼機(jī)消息格式 PAGEREF _Toc6 h 7 HYPERLINK l _Toc7 TCP/IP通信 PAGEREF _Toc7 h 7 HYPERLINK l _Toc8 串行口通信 PAGEREF _Toc8 h 7

3、HYPERLINK l _Toc9 接收緩沖區(qū) PAGEREF _Toc9 h 8 HYPERLINK l _Toc0 讀寫(xiě)方式 PAGEREF _Toc0 h 8 HYPERLINK l _Toc1 字母縮寫(xiě)說(shuō)明 PAGEREF _Toc1 h 8 HYPERLINK l _Toc2 MAC數(shù)聽(tīng)說(shuō)明 PAGEREF _Toc2 h 8 HYPERLINK l _Toc3 第3章密鑰治理軟件的功能 PAGEREF _Toc3 h 9 HYPERLINK l _Toc4 密鑰輸入 PAGEREF _Toc4 h 9 HYPERLINK l _Toc5 密鑰查詢(xún) PAGEREF _Toc5 h 9

4、 HYPERLINK l _Toc6 密鑰備份 PAGEREF _Toc6 h 9 HYPERLINK l _Toc7 系統(tǒng)設(shè)置 PAGEREF _Toc7 h 9 HYPERLINK l _Toc8 口令治理 PAGEREF _Toc8 h 9 HYPERLINK l _Toc9 其它功能 PAGEREF _Toc9 h 9 HYPERLINK l _Toc0 第4章密碼機(jī)指令說(shuō)明 PAGEREF _Toc0 h 10 HYPERLINK l _Toc1 檢查密碼機(jī)信息（HR/HS） PAGEREF _Toc1 h 10 HYPERLINK l _Toc2 檢查主密鑰MK狀態(tài)（K4/K5）

5、PAGEREF _Toc2 h 11 HYPERLINK l _Toc3 檢查SEK/TEK（K6/K7） PAGEREF _Toc3 h 12 HYPERLINK l _Toc4 導(dǎo)入SEKTEK（KU/KV） PAGEREF _Toc4 h 13 HYPERLINK l _Toc5 導(dǎo)出SEKTEK（KY/KZ） PAGEREF _Toc5 h 14 HYPERLINK l _Toc6 將用舊MK加密的SEK/TEK轉(zhuǎn)為用新MK加密（KK/KL） PAGEREF _Toc6 h 15 HYPERLINK l _Toc7 生成終端主密鑰TMK（K0/K1） PAGEREF _Toc7 h 1

6、6 HYPERLINK l _Toc8 在SEK和TEK之間轉(zhuǎn)換TMK（KE/KF） PAGEREF _Toc8 h 17 HYPERLINK l _Toc9 生成數(shù)據(jù)密鑰PIK/MAK（K2/K3） PAGEREF _Toc9 h 18 HYPERLINK l _Toc0 在SEK和TMK之間轉(zhuǎn)換PIK/MAK（KI/KJ） PAGEREF _Toc0 h 19 HYPERLINK l _Toc1 PIN BLOCK轉(zhuǎn)換（P0/P1） PAGEREF _Toc1 h 20 HYPERLINK l _Toc2 MAC計(jì)算（M0/M1） PAGEREF _Toc2 h 21 HYPERLINK

7、l _Toc3 MAC計(jì)算（M4/M5） PAGEREF _Toc3 h 22 HYPERLINK l _Toc4 驗(yàn)證MAC（M2/M3） PAGEREF _Toc4 h 23 HYPERLINK l _Toc5 生成密鑰的校驗(yàn)值（3A/3B） PAGEREF _Toc5 h 24 HYPERLINK l _Toc6 加密一個(gè)PIN（60/61） PAGEREF _Toc6 h 25 HYPERLINK l _Toc7 由密碼機(jī)產(chǎn)生一個(gè)隨機(jī)數(shù)（RA/RB） PAGEREF _Toc7 h 26 HYPERLINK l _Toc8 生成RSA公、私鑰對(duì)，并輸出公鑰 PAGEREF _Toc8

8、h 27 HYPERLINK l _Toc9 請(qǐng)求用指定私鑰解密特定數(shù)據(jù)并用輸入的PIK按DES/3DES算法加密PIN PAGEREF _Toc9 h 28 HYPERLINK l _Toc0 第5章PIN塊格式 PAGEREF _Toc0 h 29 HYPERLINK l _Toc1 格式01 (ISO 9564-1Format 0或ANSI PAGEREF _Toc1 h 29 HYPERLINK l _Toc2 格式02（Docutel） PAGEREF _Toc2 h 29 HYPERLINK l _Toc3 格式03(Diebold) PAGEREF _Toc3 h 29 HYPE

9、RLINK l _Toc4 格式04 PAGEREF _Toc4 h 29 HYPERLINK l _Toc5 格式05(ISO 9564-1Format 1) PAGEREF _Toc5 h 30 HYPERLINK l _Toc6 格式06 PAGEREF _Toc6 h 30 HYPERLINK l _Toc7 第6章算法說(shuō)明 PAGEREF _Toc7 h 31 HYPERLINK l _Toc8 64比特密鑰DES加/解密 PAGEREF _Toc8 h 31 HYPERLINK l _Toc9 128比特密鑰DES加/解密 PAGEREF _Toc9 h 32 HYPERLINK

10、l _Toc0 192比特密鑰DES加/解密 PAGEREF _Toc0 h 33 HYPERLINK l _Toc1 XOR MAC算法 PAGEREF _Toc1 h 33 HYPERLINK l _Toc2 ANSI 算法 PAGEREF _Toc2 h 34 HYPERLINK l _Toc3 ANSI MAC算法描述： PAGEREF _Toc3 h 35 HYPERLINK l _Toc4 第7章錯(cuò)誤代碼表 PAGEREF _Toc4 h 37 HYPERLINK l _Toc5 第8章公鑰編碼 PAGEREF _Toc5 h 39 HYPERLINK l _Toc6 一、填充方式

11、 PAGEREF _Toc6 h 40密鑰說(shuō)明為了知足中國(guó)銀聯(lián)3DES改造的需求，特制定此命令集。密碼機(jī)利用的密鑰類(lèi)型主密鑰MK數(shù)量：1個(gè)。產(chǎn)生：三人手工輸入。用途：用于加密SEK和TEK，加密SEK和TEK時(shí)采納不同的變種。存儲(chǔ)：密碼機(jī)內(nèi)。其分量保留在三張IC卡上。長(zhǎng)度：192比特。愛(ài)惜：受硬件愛(ài)惜。存儲(chǔ)加密密鑰SEK數(shù)量：1024個(gè)，以索引方式挪用，索引號(hào)從S0000S1023。產(chǎn)生：多人（29人）手工輸入。用途：用于加密TMK、PIK、MAK做本地存儲(chǔ)。存儲(chǔ)：密碼機(jī)內(nèi)。同時(shí)可用MK加密后保留到主機(jī)數(shù)據(jù)庫(kù)中。長(zhǎng)度：64128192比特可選。愛(ài)惜：受硬件主密鑰MK愛(ài)惜。傳輸加密密鑰TEK數(shù)量

12、：1024個(gè)，以索引方式挪用，索引號(hào)從T0000T1023。產(chǎn)生：多人（29人）手工輸入。用途：用于加密TMK做異地傳輸。存儲(chǔ)：密碼機(jī)內(nèi)。同時(shí)可用MK加密后保留到主機(jī)數(shù)據(jù)庫(kù)中。長(zhǎng)度：64128192比特可選。愛(ài)惜：受硬件主密鑰MK愛(ài)惜。終端主密鑰TMK數(shù)量：不受密碼機(jī)限制，以SEK加密的密文方式送入密碼機(jī)利用。產(chǎn)生：密碼機(jī)隨機(jī)產(chǎn)生。用途：用于加密PIK和MAK做異地傳輸。存儲(chǔ)：用SEK加密后保留到主機(jī)數(shù)據(jù)庫(kù)中。長(zhǎng)度：64128192比特可選。愛(ài)惜：受存儲(chǔ)加密密鑰SEK、傳輸加密密鑰TEK愛(ài)惜。PIN密鑰PIK數(shù)量：不受密碼機(jī)限制，以SEK加密的密文方式送入密碼機(jī)利用。產(chǎn)生：密碼機(jī)隨機(jī)產(chǎn)生。用途

13、：用于加密PIN。存儲(chǔ)：用SEK加密后保留到主機(jī)數(shù)據(jù)庫(kù)中。長(zhǎng)度：64128192比特可選。愛(ài)惜：受存儲(chǔ)加密密鑰SEK、終端主密鑰TMK愛(ài)惜。MAC密鑰MAK數(shù)量：不受密碼機(jī)限制，以SEK加密的密文方式送入密碼機(jī)利用。產(chǎn)生：密碼機(jī)隨機(jī)產(chǎn)生。用途：用于產(chǎn)生MAC。存儲(chǔ)：用SEK加密后保留到主機(jī)數(shù)據(jù)庫(kù)中。長(zhǎng)度：64128192比特可選。愛(ài)惜：受存儲(chǔ)加密密鑰SEK、終端主密鑰TMK愛(ài)惜。各類(lèi)密鑰之間的關(guān)系其中主密鑰的治理相當(dāng)重要，現(xiàn)采納三人一起輸入的方式。具體方式如下：主管一輸入主密鑰分量一，直接寫(xiě)入IC卡，密碼機(jī)內(nèi)不做存儲(chǔ)。主管二輸入主密鑰分量二，直接寫(xiě)入IC卡。主管三輸入主密鑰分量三，直接寫(xiě)入IC

14、卡。通過(guò)以上三步，完成主密鑰IC卡的制作。三位主管從IC卡上將主密鑰的三個(gè)分量導(dǎo)入密碼機(jī)臨時(shí)緩沖區(qū)。密碼機(jī)將三個(gè)分量進(jìn)行異或，取得MK種子，然后再由MK種子生成最終的主密鑰MK。MK分量1MK分量1MK分量3MK分量2MK種子保密算法主密鑰MKSEKTEKTMKTMK/PIK/MAKPIK/MAK密鑰利用方式主密鑰存儲(chǔ)在密碼機(jī)內(nèi)，只有一個(gè)，利歷時(shí)無(wú)需指定。SEK存儲(chǔ)在密碼機(jī)內(nèi)，有1024個(gè)，利歷時(shí)以索引方式指定，索引從S0000S1023。TEK存儲(chǔ)在密碼機(jī)內(nèi)，有1024個(gè)，利歷時(shí)以索引方式指定，索引從T0000T1023。TMKPIKMAK用SEK加密后存儲(chǔ)在主機(jī)數(shù)據(jù)庫(kù)中，利歷時(shí)以密文方式送

15、入密碼機(jī)，同時(shí)要指定加密密鑰SEK的索引。密鑰長(zhǎng)度能夠是64128192比特，利歷時(shí)別離以XYZ表示?？蓪?28比特密鑰擴(kuò)展為192比特密鑰，擴(kuò)展后的密鑰與原密鑰等價(jià)。如將128比特密鑰表示為：Left(64bits) + Right(64bits)，擴(kuò)展成192比特密鑰后變成：Left(64bits) + Right(64bits) + Left(64bits) 密碼機(jī)消息格式TCP/IP通信命令格式：消息長(zhǎng)度（2字節(jié)）+ 消息頭（099字節(jié)）+消息內(nèi)容（n字節(jié)）2字節(jié)長(zhǎng)度：【消息頭】與【消息內(nèi)容】的字節(jié)總數(shù)。消息頭：密碼機(jī)應(yīng)答時(shí)，原封不動(dòng)地返回消息頭。消息內(nèi)容：按命令格式組織的消息包。例如

16、，當(dāng)消息頭為0 x120 x340 x560 x78，要發(fā)送的消息包為0 x31, 0 x32兩字節(jié)時(shí)，那么向密碼機(jī)發(fā)送的內(nèi)容為：0 x000 x060 x120 x340 x560 x780 x310 x32注意：若是采納EBCDIC碼進(jìn)行通信，【消息長(zhǎng)度】不要做EBCDIC碼轉(zhuǎn)換。消息頭缺省長(zhǎng)度為0。串行口通信消息格式：STXCOUNTDATALRCETXSTX：起始標(biāo)志，一個(gè)字節(jié)，值為X02。COUNT：兩字節(jié)的十六進(jìn)制值。表示DATA的字節(jié)長(zhǎng)度，不包括STX、COUNT、LRC、ETX。DATA：按命令格式組織的消息包。LRC：一個(gè)字節(jié)的檢查值，是DATA所有字節(jié)異或的結(jié)果。不包括ST

17、X、COUNT、LRC、ETX。ETX：結(jié)束標(biāo)志，一個(gè)字節(jié)，值為X03。通信參數(shù)：波特率115200bps，8位數(shù)據(jù)位，1位停止位，無(wú)奇偶校驗(yàn)位。注意：串行口通信譽(yù)作密鑰治理，只采納ASCII編碼方式。接收緩沖區(qū)密碼機(jī)的接收緩沖區(qū)大小為8704字節(jié)。因此每次發(fā)送給密碼機(jī)的消息不能大于8704字節(jié)。讀寫(xiě)方式對(duì)串行通信和TCP/IP通信，都采納同步讀寫(xiě)方式。即：密碼機(jī)處置完一個(gè)命令，才接收下一個(gè)命令。字母縮寫(xiě)說(shuō)明A：可打印字符B：任意字符，0 x00-0 xFFH：十六進(jìn)制字符09、AN：十進(jìn)制字符0-n：可變長(zhǎng)度域MAC數(shù)聽(tīng)說(shuō)明MAC數(shù)據(jù)的長(zhǎng)度不該大于8192字節(jié)。密鑰治理軟件的功能進(jìn)入密鑰治理

18、系統(tǒng)必需輸入密碼機(jī)口令、插入治理員IC卡并輸入IC卡密碼。建議密碼機(jī)口令與治理員IC卡由兩人別離治理。密鑰輸入制作主密鑰IC卡從IC卡導(dǎo)入主密鑰輸入SEK輸入TEK密鑰查詢(xún)查詢(xún)主密鑰查詢(xún)SEK查詢(xún)TEK密鑰備份導(dǎo)入導(dǎo)出SEK導(dǎo)入導(dǎo)出TEK刪除SEKTEK系統(tǒng)設(shè)置密碼機(jī)效勞端口IP子網(wǎng)掩碼網(wǎng)關(guān)客戶(hù)IP增加刪除TCP/IP通信消息頭、字符編碼口令治理修改密碼機(jī)口令修改IC卡口令其它功能產(chǎn)生隨機(jī)數(shù)密碼機(jī)指令說(shuō)明檢查密碼機(jī)信息（HR/HS）功能本指令測(cè)試密碼機(jī)硬件狀態(tài)，并返回密碼機(jī)軟件版本信息。說(shuō)明域長(zhǎng)度/類(lèi)型內(nèi)容指令消息格式命令碼2AHR返回消息格式返回碼2AHS錯(cuò)誤碼2A00：正確版本信息nB返回

19、密碼機(jī)軟件版本號(hào)等信息檢查主密鑰MK狀態(tài)（K4/K5）功能檢查主密鑰狀態(tài)說(shuō)明域長(zhǎng)度/類(lèi)型內(nèi)容指令消息格式命令碼2AK4返回消息格式返回碼2AK5錯(cuò)誤碼2A00：正確01：無(wú)主密鑰MKMK檢查值16H檢查SEK/TEK（K6/K7）功能檢查SEK/TEK密鑰狀態(tài)說(shuō)明域長(zhǎng)度/類(lèi)型內(nèi)容指令消息格式命令碼2AK6密鑰索引1A4NSEK：S4位索引TEK：T4位索引返回消息格式返回碼2AK7錯(cuò)誤碼2A00：正確02：無(wú)密鑰密鑰長(zhǎng)度1AXYZ密鑰的校驗(yàn)值16H導(dǎo)入SEKTEK（KU/KV）功能將用MK加密的SEK/TEK導(dǎo)入密碼機(jī)。說(shuō)明SEK/TEK必須符合奇校驗(yàn)域長(zhǎng)度/類(lèi)型內(nèi)容指令消息格式命令碼2AKU

20、密鑰索引1A4NSEK：S4位索引TEK：T4位索引密鑰長(zhǎng)度1AXYZ密鑰密文16/32/48H用MK加密的SEK/TEK返回消息格式返回碼2AKV錯(cuò)誤碼2H00：正確04：密鑰奇偶校驗(yàn)錯(cuò)密鑰的校驗(yàn)值16H導(dǎo)出SEKTEK（KY/KZ）功能將密碼機(jī)內(nèi)的SEK/TEK用MK加密后的輸出。說(shuō)明域長(zhǎng)度/類(lèi)型內(nèi)容指令消息格式命令碼2AKY密鑰索引1A4NSEK：S4位索引TEK：T4位索引返回消息格式返回碼2AKZ錯(cuò)誤碼2H00：正確02：無(wú)密鑰密鑰長(zhǎng)度1AXYZ密鑰密文16/32/48H用MK加密的SEK/TEK密鑰的校驗(yàn)值16H將用舊MK加密的SEK/TEK轉(zhuǎn)為用新MK加密（KK/KL）功能將用舊

21、MK加密的SEK/TEK用新MK加密后輸出。說(shuō)明在更換主密鑰時(shí)，所有SEK/TEK密鑰應(yīng)改用新的主密鑰加密。保存在密碼機(jī)內(nèi)的SEK/TEK密鑰會(huì)自動(dòng)轉(zhuǎn)用新的主密鑰加密。保存在密碼機(jī)外的SEK/TEK密鑰則應(yīng)調(diào)用該命令進(jìn)行轉(zhuǎn)加密。該命令要求輸入的密鑰明文符合奇校驗(yàn)。*在輸入新的主密鑰時(shí)，密碼機(jī)會(huì)自動(dòng)備份前一版本的主密鑰。域長(zhǎng)度/類(lèi)型內(nèi)容指令消息格式命令碼2AKK密鑰類(lèi)型1AS：SEKT：TEK密鑰長(zhǎng)度1AXYZSEK/TEK密鑰密文16/32/48H用舊MK加密的SEK/TEK返回消息格式返回碼2AKL錯(cuò)誤碼2H00：正確04：密鑰奇偶校驗(yàn)錯(cuò)SEK/TEK密鑰密文16/32/48H用新MK加密的

22、SEK/TEK密鑰的校驗(yàn)值16H生成終端主密鑰TMK（K0/K1）功能生成終端主密鑰，并將其密文和檢查值返回給主機(jī)。說(shuō)明生成的終端主密鑰符合奇校驗(yàn)。域長(zhǎng)度/類(lèi)型內(nèi)容指令消息格式命令碼2AK0SEK索引1A4NS4位索引TEK索引1A4NT4位索引TMK密鑰長(zhǎng)度1AX：64比特密文Y：128 比特密文Z：192 比特密文返回消息格式返回碼2AK1錯(cuò)誤碼2A00：正確TMK密文116/32/48H用SEK加密TMK密文216/32/48H用TEK加密TMK密鑰檢查值16H用TMK加密64比特0在SEK和TEK之間轉(zhuǎn)換TMK（KE/KF）功能將用SEK加密的TMK轉(zhuǎn)換為用TEK加密，或者將用TEK加

23、密的TMK轉(zhuǎn)換為用SEK加密。說(shuō)明域長(zhǎng)度/類(lèi)型內(nèi)容指令消息格式命令碼2AKESEK密鑰索引1A4NSEK：S4位索引TEK密鑰索引1A4NTEK：T4位索引轉(zhuǎn)換標(biāo)志1N0：從SEK到TEK加密1：從TEK到SEK加密TMK密鑰長(zhǎng)度1AXYZTMK密鑰密文16/32/48H返回消息格式返回碼2AKF錯(cuò)誤碼2H00：正確其它：錯(cuò)誤TMK密鑰密文16/32/48H轉(zhuǎn)換標(biāo)志為0：用TEK加密的TMK轉(zhuǎn)換標(biāo)志為1：用SEK加密的TMK密鑰的校驗(yàn)值16H生成數(shù)據(jù)密鑰PIK/MAK（K2/K3）功能生成數(shù)據(jù)密鑰PIK/MAK，并將其密文和檢查值返回給主機(jī)。說(shuō)明對(duì)于生成的數(shù)據(jù)密鑰（PIK、MAK）需要同時(shí)各生

24、成兩對(duì)密文，其中一對(duì)用TMK加密用于通過(guò)聯(lián)機(jī)報(bào)文方式在簽到應(yīng)答消息中傳給終端，另一對(duì)用SEK加密后，將密文保存在POSP數(shù)據(jù)庫(kù)中。域長(zhǎng)度/類(lèi)型內(nèi)容指令消息格式命令碼2AK2SEK1索引1A4N用于解密TMKSEK2索引1A4N用于加密PIK/MAKTMK密文1A16/32/48H用SEK1加密PIK/MAK密鑰長(zhǎng)度1AX：64比特密文Y：128 比特密文Z：192 比特密文返回消息格式返回碼2AK3錯(cuò)誤碼2A00：正確PIK/MAK密文116/32/48H用SEK2加密PIK/MAK密文216/32/48H用TMK加密PIK/MAK密鑰檢查值16H用PIK/MAK加密64比特0在SEK和TMK

25、之間轉(zhuǎn)換PIK/MAK（KI/KJ）功能將用SEK加密的PIK/MAK轉(zhuǎn)換為用TMK加密，或者將用TMK加密的PIK/MAK轉(zhuǎn)換為用SEK加密。說(shuō)明域長(zhǎng)度/類(lèi)型內(nèi)容指令消息格式命令碼2AKISEK1密鑰索引1A4N用于解密PIK/MAKSEK2密鑰索引1A4N用于解密TMKTMK密鑰長(zhǎng)度1AXYZTMK密鑰密文16/32/48H用SEK2加密的TMK轉(zhuǎn)換標(biāo)志1N0：從SEK到TMK加密1：從TMK到SEK加密PIK/MAK密鑰長(zhǎng)度1AXYZPIK/MAK密鑰密文16/32/48H返回消息格式返回碼2AKJ錯(cuò)誤碼2H00：正確其它：錯(cuò)誤PIK/MAK密鑰密文16/32/48H轉(zhuǎn)換標(biāo)志為0：用TM

26、K加密的PIK/MAK轉(zhuǎn)換標(biāo)志為1：用SEK加密的PIK/MAK密鑰的校驗(yàn)值16HPIN BLOCK轉(zhuǎn)換（P0/P1）功能將源PIN密文用源PIK解密，進(jìn)行PIN格式轉(zhuǎn)換，然后用目的PIK加密輸出。說(shuō)明當(dāng)PinBlock格式為02時(shí)，PIN長(zhǎng)度為46位，當(dāng)PinBlock格式為04時(shí)，PIN長(zhǎng)度為6位，其它PinBlock格式PIN長(zhǎng)度最少4位，最長(zhǎng)12位。此指令中PinBlock格式為01時(shí)，要求輸入16位帳號(hào)，目的是為了包容某些特殊的PinBlock格式。上層應(yīng)用需要按照自己的要求組織此域。HSM直接用此域（帳號(hào)域）與PIN域異或，形成PinBlock。域長(zhǎng)度/類(lèi)型內(nèi)容指令消息格式命令碼2

27、AP0源SEK索引1A4NS4位索引目的SEK索引1A4NS4位索引源PIK密鑰密文1A16/32/48H用源SEK加密：X64比特密文Y128 比特密文Z192 比特密文目的PIK密鑰密文1A16/32/48H用目的SEK加密源PinBlock格式2N參見(jiàn)PinBlock格式附表目的PinBlock格式2N參見(jiàn)PinBlock格式附表源PIN PinBlock密文16H用源PIK加密源帳號(hào)16N當(dāng)源PinBlock格式為01時(shí)有此域其它PinBlock格式：無(wú)此域目的帳號(hào)16N當(dāng)目的PinBlock格式為01時(shí)有此域其它PinBlock格式：無(wú)此域返回消息格式返回碼2AP1錯(cuò)誤碼2A00：正

28、確其它：錯(cuò)誤目的PinBlock密文16H用目的PIK加密MAC計(jì)算（M0/M1）功能用ANSI MAC算法對(duì)數(shù)據(jù)做MAC。說(shuō)明域長(zhǎng)度/類(lèi)型內(nèi)容指令消息格式命令碼2AM0MAC算法1N1：XOR2：3：SEK索引1A4NMAK密鑰密文1A16/32/48H用SEK加密：X64比特密文Y128 比特密文Z192 比特密文數(shù)據(jù)長(zhǎng)度4N【數(shù)據(jù)】域的字節(jié)數(shù)數(shù)據(jù)nB返回消息格式返回碼2AM1錯(cuò)誤碼2A00：正確MAC8HMAC計(jì)算（M4/M5）功能用ANSI MAC算法對(duì)數(shù)據(jù)做MAC。說(shuō)明域長(zhǎng)度/類(lèi)型內(nèi)容指令消息格式命令碼2AM4MAC算法1N1：XOR2：3：SEK索引1A4NMAK密鑰密文1A16/

29、32/48H用SEK加密：X64比特密文Y128 比特密文Z192 比特密文數(shù)據(jù)長(zhǎng)度4N【數(shù)據(jù)】域的字節(jié)數(shù)數(shù)據(jù)nB返回消息格式返回碼2AM5錯(cuò)誤碼2A00：正確MAC16H驗(yàn)證MAC（M2/M3）功能用ANSI MAC算法對(duì)數(shù)據(jù)做MAC，并與輸入的MAC進(jìn)行比較，返回比較結(jié)果。說(shuō)明域長(zhǎng)度/類(lèi)型內(nèi)容指令消息格式命令碼2AM2MAC算法1N1：XOR2：3：SEK索引1A4NMAK密鑰密文1A16/32/48H用SEK加密：X64比特密文Y128 比特密文Z192 比特密文MAC8H要驗(yàn)證的MAC數(shù)據(jù)長(zhǎng)度4N【數(shù)據(jù)】域的字節(jié)數(shù)數(shù)據(jù)nB返回消息格式返回碼2AM3錯(cuò)誤碼2A00：正確生成密鑰的校驗(yàn)值（

30、3A/3B）功能加密一個(gè)明文的PIN，并輸出指定格式（0106）的PIN密碼塊說(shuō)明SEK/TEK必須符合奇校驗(yàn)域長(zhǎng)度/類(lèi)型內(nèi)容指令消息格式命令碼2A3A密鑰索引1A4NSEK：S4位索引TEK：T4位索引PIK密鑰密文1A16/32/48H用SEK或TEK加密：X64比特密文Y128 比特密文Z192 比特密文返回消息格式返回碼2A3B錯(cuò)誤碼2H檢查值16H單、雙、三倍長(zhǎng)密鑰加密64比特0的結(jié)果加密一個(gè)PIN（60/61）功能加密一個(gè)明文的PIN，并輸出指定格式（0106）的PIN密碼塊說(shuō)明SEK/TEK必須符合奇校驗(yàn)域長(zhǎng)度/類(lèi)型內(nèi)容指令消息格式命令碼2A60密鑰索引1A4NSEK：S4位索引

31、TEK：T4位索引PIK密鑰密文1A16/32/48H用SEK或TEK加密：X64比特密文Y128 比特密文Z192 比特密文PIN塊格式2N0106PIN塊明文16H要加密的PIN明文，不足16位填充F。如123456FFFFFFFFFF。帳號(hào)16N當(dāng)目的PinBlock格式為01時(shí)有此域其它PinBlock格式無(wú)此域返回消息格式返回碼2A61錯(cuò)誤碼2H加密后的PIN塊16H用PIK密鑰加密后的PIN塊由密碼機(jī)產(chǎn)生一個(gè)隨機(jī)數(shù)（RA/RB）功能由密碼機(jī)產(chǎn)生一個(gè)指定長(zhǎng)度的隨機(jī)數(shù)。說(shuō)明產(chǎn)生的隨機(jī)數(shù)符合奇校驗(yàn)。域長(zhǎng)度/類(lèi)型內(nèi)容指令消息格式命令碼2ARA隨機(jī)數(shù)長(zhǎng)度3N隨機(jī)數(shù)的字符長(zhǎng)度返回消息格式返回碼

32、2AKZ錯(cuò)誤碼2H00：正確其它：錯(cuò)誤隨機(jī)數(shù)nH生成RSA公、私鑰對(duì)，并輸出公鑰功能生成RSA公、私鑰對(duì)，將其存儲(chǔ)在加密機(jī)中，并輸出公鑰的明文。輸入域長(zhǎng)度/類(lèi)型內(nèi)容指令消息格式命令碼2A34RSA模長(zhǎng)4N至少支持1024RSA密鑰索引2N返回消息格式返回碼2A待定錯(cuò)誤碼2A00：正確私鑰長(zhǎng)度4N私鑰密文字節(jié)數(shù)私鑰密文nB用主密鑰加密的私鑰公鑰nB DER編碼方式見(jiàn)附錄導(dǎo)入私鑰將用主密鑰加密的私鑰導(dǎo)入密碼機(jī)，并保留在密碼機(jī)內(nèi)。除非人為銷(xiāo)毀，不然密鑰將一直保留在密碼機(jī)中。輸入域長(zhǎng)度類(lèi)型說(shuō)明命令代碼2A值“35”私鑰索引2N“00”“20”私鑰長(zhǎng)度4N私鑰密文字節(jié)數(shù)。“0000”表示刪除該私鑰。私鑰

33、密文nB用主密鑰加密的私鑰輸出域長(zhǎng)度類(lèi)型說(shuō)明響應(yīng)代碼2A“36錯(cuò)誤代碼2H導(dǎo)出私鑰將密碼機(jī)內(nèi)的私鑰用主密鑰加密導(dǎo)出。輸入域長(zhǎng)度類(lèi)型說(shuō)明命令代碼2A值“36”私鑰索引2N“00”“20”輸出域長(zhǎng)度類(lèi)型說(shuō)明響應(yīng)代碼2A“37錯(cuò)誤代碼2H私鑰長(zhǎng)度4N私鑰密文字節(jié)數(shù)私鑰密文nB用主密鑰加密的私鑰轉(zhuǎn)換DES密鑰：從公鑰加密到主密鑰加密用于接收密鑰。輸入域長(zhǎng)度類(lèi)型說(shuō)明命令代碼2A值“3A”私鑰索引2N“00”20”密鑰長(zhǎng)度4NDES密鑰密文的字節(jié)數(shù)密鑰密文nB用公鑰加密的DES密鑰輸出域長(zhǎng)度類(lèi)型說(shuō)明響應(yīng)代碼2A“3B”錯(cuò)誤代碼2HDES密鑰32H用主密鑰加密的DES密鑰檢查值16HDES密鑰加密64bit

34、s的0轉(zhuǎn)換DES密鑰：從主密鑰加密到公鑰加密用于分發(fā)密鑰。輸入域長(zhǎng)度類(lèi)型說(shuō)明命令代碼2A值“3B”密鑰密文32H用主密鑰加密的DES密鑰公鑰nB輸出域長(zhǎng)度類(lèi)型說(shuō)明響應(yīng)代碼2A“3C”錯(cuò)誤代碼2H檢查值16HDES密鑰加密64bits的0密鑰長(zhǎng)度4NDES密鑰密文的字節(jié)數(shù)密鑰密文nB用公鑰加密的DES密鑰請(qǐng)求用指定私鑰解密特定數(shù)據(jù)并用輸入的PIK按DES/3DES算法加密PIN功能特定數(shù)據(jù)的構(gòu)成：PINBLOCK+附加數(shù)據(jù)。用私鑰解密后截取前面的PINBLOCK部分用PIK加密，輸出PINBLOCK的密文及附加數(shù)據(jù)的明文。輸入域長(zhǎng)度/類(lèi)型內(nèi)容指令消息格式命令碼2A3IRSA密鑰索引2NSEK密鑰

35、索引1A4NS4位索引，用來(lái)加密工作密鑰的主密鑰索引PIK密鑰密文1A16/32/48H用SEK加密：X64比特密文Y128 比特密文Z192 比特密文數(shù)據(jù)長(zhǎng)度4N數(shù)據(jù)nB用公鑰加密的PINBLOCK+附加數(shù)據(jù) 的明文返回消息格式返回碼2A待定錯(cuò)誤碼2A00：正確PIN密文16HPIK加密后的密文附加數(shù)據(jù)nB明文用公鑰加密的PINBLOCK+附加數(shù)據(jù) 的明文 : 06 12 34 56 78 FF FF FF +附加數(shù)據(jù)(01 02 03 04 05 06)用指定密鑰加密數(shù)據(jù)域長(zhǎng)度/類(lèi)型內(nèi)容指令消息格式命令碼2AE加解密標(biāo)志1N0：加密，1：解密加密算法1N0：ECB，1：CBC密鑰索引1A4

36、NSEK：S4位索引TEK：T4位索引輸入密鑰密文1A16/32/48H用SEK或TEK加密：X64比特密文Y128 比特密文Z192 比特密文初始向量16H64比特，CBC加密的初始向量,僅當(dāng)加密算法為時(shí)有此域。數(shù)據(jù)長(zhǎng)度4N輸入數(shù)據(jù)的字節(jié)數(shù)，為的倍數(shù)輸入數(shù)據(jù)nB需要加、解密的原始數(shù)據(jù)返回消息格式返回碼2AE錯(cuò)誤碼2H數(shù)據(jù)長(zhǎng)度4N輸出數(shù)據(jù)的字節(jié)數(shù)輸出數(shù)據(jù)nB加、解密后的結(jié)果數(shù)據(jù)處置進(jìn)程：用密鑰索引對(duì)應(yīng)的主密鑰解密輸入密鑰取得密鑰明文判定加解密標(biāo)志；用明文密鑰對(duì)數(shù)據(jù)做加密或解密處置輸出處置結(jié)果PIN塊格式為了對(duì)PIN進(jìn)行加密傳輸，密碼機(jī)要求將PIN以16位十六進(jìn)制數(shù)輸入。密碼機(jī)支持六種PIN塊格

37、式，PIN 格式代碼為2位十進(jìn)制數(shù)。格式01 (ISO 9564-1Format 0或ANSI 格式01采納ANSI ，PIN塊由用戶(hù)PIN和賬號(hào)按如下方式形成：由數(shù)字0、PIN長(zhǎng)度，PIN，填充字符F，組成一個(gè)十六位的數(shù)據(jù)塊。例如：5位的PIN 92389，數(shù)據(jù)塊為0592 389F FFFF FFFF。另一個(gè)十六位的數(shù)據(jù)塊由四位0和最右12位賬號(hào)（不含檢查位）組成，例如：13位賬號(hào)“40000012 3456 2”，最后一名“2”是檢查位，數(shù)據(jù)塊為0000 4000 0012 3456上述兩數(shù)據(jù)塊進(jìn)行異或（模2加）操作。05 92 38 9F FF FF FF FF00 00 40 00

38、00 12 34 56取得PIN塊：05 92 78 9F FF ED CB A9格式02（Docutel）格式02由PIN長(zhǎng)度，6位PIN，和用戶(hù)概念的填湊數(shù)字串組成。若是PIN不足6位，采納左對(duì)齊，后面補(bǔ)0，湊足6位。例如5位PIN“92389”，填充后為“923890”，加上填充串“98765 4321”，PIN塊是“5923 8909 8765 4321”格式03(Diebold)格式03不含PIN長(zhǎng)度，PIN塊由用戶(hù)PIN和填充字符F組成。例如5位PIN“92389”，PIN塊是：9238 9FFF FFFF FFFF格式04格式04 PIN 塊由下述16位十六進(jìn)制數(shù)組成：00003

39、P13P23P33P43P53P6例如：PIN為 123456時(shí)，PIN塊為 0000 3132 3334 3536。格式05(ISO 9564-1Format 1)格式05是ISO 9564-1格式1，PIN 塊由下述16位十六進(jìn)制數(shù)組成：1NP1PNRR那個(gè)地址：N是PIN長(zhǎng)度（4C）。P1PN是N位的PIN。,RR是隨機(jī)填充串。格式06格式06的PIN 塊由數(shù)字0、PIN長(zhǎng)度、PIN、填充字符F組成。例如：5位的PIN 92389，PIN塊為 0592 389F FFFF FFFF。算法說(shuō)明64比特密鑰DES加/解密DES加/解密DES加/解密密鑰64比特?cái)?shù)據(jù)64比特結(jié)果密鑰左半部DES

40、加密64比特?cái)?shù)據(jù)DES解密64比特結(jié)果密鑰右半部密鑰左半部DES加密64比特?cái)?shù)據(jù)DES解密64比特結(jié)果密鑰右半部DES加密密鑰左半部64比特結(jié)果128比特密鑰DES加密過(guò)程密鑰左半部DES解密64比特?cái)?shù)據(jù)DES加密64比特結(jié)果密鑰右半部DES解密密鑰左半部64比特結(jié)果128比特密鑰DES解密過(guò)程密鑰左部DES加密64比特?cái)?shù)據(jù)DES解密64比特結(jié)果密鑰中部密鑰左部DES加密64比特?cái)?shù)據(jù)DES解密64比特結(jié)果密鑰中部DES加密密鑰右部64比特結(jié)果192比特密鑰DES加密過(guò)程密鑰右部DES解密64比特?cái)?shù)據(jù)DES加密64比特結(jié)果密鑰中部DES解密密鑰左部64比特結(jié)果192比特密鑰DES解密過(guò)程XOR

41、MAC算法XOR MAC算法能夠利用單倍長(zhǎng)、雙倍長(zhǎng)、三倍長(zhǎng)密鑰。MAC數(shù)據(jù)先按8字節(jié)分組，表示為D0Dn，若是Dn不足8字節(jié)時(shí)，尾部以字節(jié)00補(bǔ)齊。D0Dn所有分組異或，然后用MAC密鑰加密。取加密結(jié)果的左半部作為MAC。ANSI 算法MAC數(shù)據(jù)先按8字節(jié)分組，表示為D0Dn，若是Dn不足8字節(jié)時(shí)，尾部以字節(jié)00補(bǔ)齊。用MAC密鑰加密D0，加密結(jié)果與D1異或作為下一次的輸入。將上一步的加密結(jié)果與下一分組異或，然后再用MAC密鑰加密。直至所有分組終止，取最后結(jié)果的左半部作為MAC。圖示如下，其中：DEA(e)表示 加密操作密鑰D0D1+DEA(e)DEA(e)D密鑰D0D1+DEA(e)DEA(

42、e)D2DEA(e)DEA(e)MACDn+DEA(e)+ANSI MAC算法描述：ANSI 算法只利用雙倍長(zhǎng)密鑰。MAC數(shù)據(jù)先按8字節(jié)分組，表示為D0Dn，若是Dn不足8字節(jié)時(shí)，尾部以字節(jié)00補(bǔ)齊。用MAC密鑰左半部加密D0，加密結(jié)果與D1異或作為下一次的輸入。將上一步的加密結(jié)果與下一分組異或，然后用MAC密鑰左半部加密。直至所有分組終止。用MAC密鑰右半部解密(5)的結(jié)果。用MAC密鑰左半部加密(6)的結(jié)果。取(7)的結(jié)果的左半部作為MAC。圖示如下，其中：DEA(e)表示加密操作，DEA(d)表示解密操作， eq oac(,+)表示異或操作。密鑰右半部密鑰右半部密鑰左半部D0D1+DEA(e)DEA(e)D2DEA(e)DEA(d)DEA(e)MACDn+DEA(e)DEA(e)+錯(cuò)誤代碼表00正確0