（DB45T 2123-2020）《高速公路聯(lián)網(wǎng)電子不停車收費(fèi)技術(shù)規(guī)范》

ICS03.220.20

R10

DB45

廣西壯族自治區(qū)地方標(biāo)準(zhǔn)

DB45/T2123—2020

高速公路聯(lián)網(wǎng)電子不停車收費(fèi)技術(shù)規(guī)范

Technicalspecificationforelectronictollcollectionfornetworkingonexpressway

2020-07-10發(fā)布2020-07-30實(shí)施

廣西壯族自治區(qū)市場監(jiān)督管理局發(fā)布

DB45/T2123—2020

高速公路聯(lián)網(wǎng)電子不停車收費(fèi)技術(shù)規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了高速公路聯(lián)網(wǎng)電子不停車收費(fèi)技術(shù)的術(shù)語和定義、縮略語、關(guān)鍵信息編碼、PSAM卡數(shù)

據(jù)格式和技術(shù)要求、CPU用戶卡數(shù)據(jù)格式和技術(shù)要求、OBE-SAM數(shù)據(jù)格式和技術(shù)要求、OBU初始化設(shè)備、

IC讀卡器、RSU與車道控制器接口、基于DSRC的ETC交易、非現(xiàn)金支付卡交易流程、車道技術(shù)要求、ETC

標(biāo)志標(biāo)線設(shè)置指南、ETC專用形象標(biāo)識(shí)設(shè)置規(guī)范。

本標(biāo)準(zhǔn)適用于廣西境內(nèi)高速公路聯(lián)網(wǎng)電子不停車收費(fèi)的項(xiàng)目，高速公路運(yùn)營管理單位、設(shè)計(jì)單位、

設(shè)備制造商和系統(tǒng)集成商參與實(shí)施的相關(guān)項(xiàng)目宜參照使用。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB5768.2道路交通標(biāo)志和標(biāo)線第2部分：道路交通標(biāo)志

GB5768.3道路交通標(biāo)志和標(biāo)線第3部分：道路交通標(biāo)線

GB/T2260中華人民共和國行政區(qū)劃代碼

GB/T16649.1識(shí)別卡帶觸點(diǎn)的集成電路卡第1部分：物理特性

GB/T16649.2識(shí)別卡帶觸點(diǎn)的集成電路卡第2部分：觸點(diǎn)的尺寸和位置

GB/T16649.3識(shí)別卡帶觸點(diǎn)的集成電路卡第3部分：電信號(hào)和傳輸協(xié)議

GB/T18239集成電路（IC）卡讀寫機(jī)通用規(guī)范

GB/T20851.1電子收費(fèi)專用短程通信第1部分：物理層

GB/T20851.2電子收費(fèi)專用短程通信第2部分：數(shù)據(jù)鏈路層

GB/T20851.3電子收費(fèi)專用短程通信第3部分：應(yīng)用層

GB/T20851.4電子收費(fèi)專用短程通信第4部分：設(shè)備應(yīng)用

GB/T28423電子收費(fèi)路側(cè)單元與車道控制器接口

JR/T0025.2中國金融集成電路（IC）卡規(guī)范第2部分：電子錢包/電子存折應(yīng)用規(guī)范

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

車道控制器lanecontroller

工業(yè)控制計(jì)算機(jī)與車道路測設(shè)備及其他外圍設(shè)備相連，配合車道控制軟件，控制車道邏輯流程。

1

DB45/T2123—2020

3.2

自動(dòng)欄桿automaticrailing

安裝在ETC車道內(nèi)，車道控制器用I/O信號(hào)控制其開啟與關(guān)閉，判斷到來車輛合法時(shí)欄桿自動(dòng)開啟，

判斷到來車輛非法時(shí)欄桿自動(dòng)關(guān)閉。

3.3

報(bào)警設(shè)備alarmingdevice

用于提示駕駛員和現(xiàn)場工作人員本次交易失敗，車道發(fā)生異常等。

3.4

信息顯示屏messagedisplay

用于向駕駛員提示賬戶信息，如本次通行費(fèi)額、余額、提示續(xù)費(fèi)等。

3.5

雨棚信號(hào)燈canopysignallamp

指示ETC車道當(dāng)前工作狀態(tài)。

3.6

車道信號(hào)燈lanesignallamp

用于提示駕駛員本次交易狀態(tài)，是否能正常通行等。

3.7

車輛檢測器vehicledetector

用I/O信號(hào)的電平方式輸入檢測系統(tǒng)車輛的到來和離去，又稱為地感線圈。

3.8

車道攝像機(jī)lanecamera

信號(hào)直接與監(jiān)控中心連接，用于實(shí)現(xiàn)對車道狀況的全天候監(jiān)視。

3.9

合法ETC車輛legalETCvehicle

裝有能夠與路測設(shè)備成功交易的車載設(shè)備的車輛。

3.10

非法ETC車輛illegalETCvehicle

包括無OBU、非法OBU、CPU卡片沒有插好、黑名單車輛等情況造成與路側(cè)設(shè)備交易失敗的車輛。

3.11

ETC車道警告通行狀態(tài)ETClanewarningtrafficcondition

ETC車道通行車輛為合法ETC用戶但列入灰名單，則ETC車道被置于警告通行狀態(tài)，車道信號(hào)燈變紅，

自動(dòng)欄桿抬起，信息顯示屏顯示警告信息。

2

DB45/T2123—2020

3.12

ETC車道交易ETClanetrading

對于ETC入口車道，交易是指向用戶卡寫入入口車道信息；對于ETC出口車道，交易是指讀取入口信

息，計(jì)算本次通行費(fèi)額，并成功扣款。

3.13

ETC過車記錄ETCpassingrecord

對于ETC入口車道，主要包括OBU的ID、用戶卡ID、車輛基本信息、入口車道信息以及車輛圖像數(shù)據(jù)

等。對于ETC出口車道，主要包括OBU的ID、用戶卡ID、車輛信息、本次扣款費(fèi)額、入口車道信息、出口

車道信息、交易狀態(tài)以及車輛圖像數(shù)據(jù)等。

3.14

黑名單blacklist

禁止通過收費(fèi)車道的非現(xiàn)金支付卡列表。

3.15

灰名單graylist

儲(chǔ)值卡中的余額低于特定限額所組成的非現(xiàn)金支付卡集合。

3.16

清分目標(biāo)日localclearingparty

收費(fèi)服務(wù)方預(yù)設(shè)的原始交易清分歸屬日期，用于簡化清分?jǐn)?shù)據(jù)核對。

4縮略語

下列縮略語定義適用于本文件。

ADF：應(yīng)用數(shù)據(jù)文件（ApplicationDefinitionFile）；

AID：應(yīng)用標(biāo)識(shí)（ApplicationIdentifier)；

APDU：應(yīng)用協(xié)議數(shù)據(jù)單元（ApplicationProtocolDataUnit）；

API：應(yīng)用編程接口（ApplicationProgrammingInterface）；

ASN.1：抽象語法記法一（AbstractSyntaxNotationOne）；

An：字母數(shù)字型（Alphanumeric）；

BER：位誤碼率（BitErrorRate）；

BST：信標(biāo)服務(wù)表（BeaconServiceTable）；

B：二進(jìn)制（Binary）；

CA：證書認(rèn)證機(jī)構(gòu)（CertificationAuthority）；

CLA：命令類別（ChipCardPaymentService）；

Cn：壓縮數(shù)字（CompressedNumeric）；

COS：卡片操作系統(tǒng)（ChipOperatingSystem）；

CPU：中央處理單元（CentralProcessUnit）；

CRC：循環(huán)冗余校驗(yàn)(CyclicRedundancyCheck)；

CRL：證書注銷列表（CertificateRevocationList）；

3

DB45/T2123—2020

DEA：數(shù)據(jù)加密算法（DataEncrpytionAlgorithm）；

DES：數(shù)據(jù)加密標(biāo)準(zhǔn)(DataEncryptionStandard)；

DID：目錄標(biāo)識(shí)（DirectoryIdentifier）；

DIR：目錄（Directory）；

DSRC：專用短程通信（DedicatedShortRangeCommunication）；

EF：基本文件（ElementaryFile）；

ETC：電子不停車收費(fèi)（ElectronicTollCollection）；

FCI：文件控制信息（FileControlInformation）；

FID：文件標(biāo)識(shí)（FileIdentifier）；

I/O：輸入/輸出（Input/Output）；

IC：集成電路(IntegratedCircuit)；

ICC：集成電路卡（IntegrateCircuitCard）；

ID：身份標(biāo)識(shí)號(hào)碼（Identity）；

INS：命令報(bào)文的指令字節(jié)（InstructionByteofCommandMessage）；

Lc：終端發(fā)出的命令數(shù)據(jù)的實(shí)際長度（ExactLengthofDataSent）；

LDAP：輕量目錄訪問協(xié)議（LightweightDirectoryAccessProtocol）；

Le：響應(yīng)數(shù)據(jù)中的最大期望長度（MaximumLengthofDataExpected）；

LLC：邏輯鏈路控制（LogicalLinkControl）；

MAC：報(bào)文鑒別碼（MessageAuthenticationCode）；

MF：主控文件（MasterFile）；

MTBF：平均無故障時(shí)間(MeanTimeBetweenFailures)；

MTC：人工半自動(dòng)收費(fèi)（ManualTollCollection）；

OBE：車載設(shè)備（OnBoardEquipment）；

OBU：車載單元（OnBoardUnit）；

P1：參數(shù)1（Parameter1）；

P2：參數(shù)2（Parameter2）；

PBOC：中國人民銀行（PeopleBankOfChina）；

PIN：個(gè)人密碼（PersonalIdentificationNumber）；

PSAM：消費(fèi)安全訪問模塊（PaymentSecurityAccessModule）；

RA：證書注冊機(jī)構(gòu)（RegistrationAuthority）；

RFU：保留為將來所用（ReservedforFutureUse）；

RSE：路側(cè)設(shè)備（RoadsideEquipment）；

RSU：路側(cè)單元（RoadsideUnit）；

SAM：安全存取模塊(SecureAccessModule)；

SW1：狀態(tài)碼1（StatusWordOne）；

SW2：狀態(tài)碼2（StatusWordTwo）；

TAC：交易認(rèn)證碼（TransactionAuthorizationCryptogram）；

TDES：三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)（TripleDataEncryptionStandard）；

VST：車輛服務(wù)表（VehicleServiceTable)。

4

DB45/T2123—2020

5關(guān)鍵信息編碼

5.1OBU的MAC地址編碼規(guī)則

5.1.1OBU的專用MAC地址應(yīng)采用4字節(jié)的二進(jìn)制進(jìn)行編碼。

5.1.2OBU的專用MAC地址應(yīng)劃分為制造商代碼和OBU制造商內(nèi)部編碼兩個(gè)部分，見圖1。

XXXXXXXX

OBU制造商內(nèi)部編碼

制造商代碼

圖1OBU的專用MAC地址組成

注1：制造商代碼應(yīng)由收費(fèi)公路電子收費(fèi)密鑰管理單位統(tǒng)一管理，OBU制造商應(yīng)提交書面申請，經(jīng)核準(zhǔn)后獲取其唯一

代碼。取值范圍為：0x00～0xFF，其中：0x00～0xFE分配給廠商，0xFF保留做測試等用途。

注2：OBU制造商內(nèi)部編碼應(yīng)由OBU制造商根據(jù)其生產(chǎn)、管理等方面的需要自行定義。其值范圍為：0x000000～

0xFFFFFF。

5.2OBU序號(hào)編碼規(guī)則

OBU序號(hào)應(yīng)為16位，省級(jí)區(qū)域代碼、運(yùn)營商序號(hào)、生產(chǎn)年份、發(fā)行方序號(hào)應(yīng)采用BCD編碼。OBU序號(hào)

的編號(hào)見圖2，其中，OBU序號(hào)字段具體意義見表1。

16151314121011987654312

省

運(yùn)OO

級(jí)生

營BBOBU序號(hào)，由mac地址轉(zhuǎn)換

區(qū)產(chǎn)

商UU

域年

序廠類

代份

號(hào)商別

碼

圖2OBU序號(hào)編碼規(guī)則

表1OBU序號(hào)字段具體意義

序號(hào)字段名稱長度（位）解釋

1省級(jí)區(qū)域代碼2廣西的區(qū)域代碼是45

2運(yùn)營商序號(hào)2收費(fèi)公路電子收費(fèi)密鑰管理單位應(yīng)統(tǒng)一分配并登記備案

3生產(chǎn)年份2取后兩位，如2015為15

4OBU廠商1與國家標(biāo)準(zhǔn)編碼規(guī)則一致

0廠商免費(fèi)提供測試電子標(biāo)簽、1～4采購批次、5～7代銷電子標(biāo)簽、

5OBU類別1

8質(zhì)量異常免費(fèi)更換產(chǎn)品、9預(yù)留

6OBU序列號(hào)8OBU制造商內(nèi)部編碼（十六進(jìn)制），轉(zhuǎn)成十進(jìn)制

5.3RSU的BeaconID編碼規(guī)則

RSU的BeaconID編碼規(guī)則應(yīng)和OBU的MAC地址編碼規(guī)則相同，即：

——manufacturerID應(yīng)采用“制造商代碼”；

——individualID應(yīng)由RSU制造商根據(jù)其生產(chǎn)、管理等方面的需要自行定義。其取值范圍為：

5

DB45/T2123—2020

0x000000～0xFFFFFF。

5.4發(fā)行方標(biāo)識(shí)編碼規(guī)則

5.4.1“發(fā)行方標(biāo)識(shí)”應(yīng)是OBE-SAM中“系統(tǒng)信息文件”的第1～8字節(jié)和CPU用戶卡中“卡片發(fā)行基

本數(shù)據(jù)文件”的第1～8字節(jié)，發(fā)行方標(biāo)識(shí)應(yīng)由收費(fèi)公路電子收費(fèi)密鑰管理單位統(tǒng)一分配并登記備案。

發(fā)行方標(biāo)識(shí)編碼應(yīng)由4字節(jié)“區(qū)域代碼”、2字節(jié)“運(yùn)營商標(biāo)識(shí)”、1字節(jié)“保留”、1字節(jié)“密鑰分

散標(biāo)識(shí)”組成，見圖3。

XXXXXXXXXXXXXXXXX

密鑰分散標(biāo)識(shí)

保留

運(yùn)營商標(biāo)識(shí)

區(qū)域代碼

圖3發(fā)行方標(biāo)識(shí)編碼規(guī)則

5.4.2發(fā)行方標(biāo)識(shí)編碼規(guī)則說明：

——區(qū)域代碼為廣西壯族自治區(qū)唯一標(biāo)識(shí)，應(yīng)用2個(gè)漢字（4個(gè)字節(jié)）表示；

——運(yùn)營商標(biāo)識(shí)為廣西區(qū)內(nèi)運(yùn)營商的唯一標(biāo)識(shí)，應(yīng)采用壓縮BCD編碼方式，由2個(gè)字節(jié)組成：第1

字節(jié)應(yīng)為省級(jí)行政區(qū)劃代碼，按照標(biāo)準(zhǔn)GB/T2260的規(guī)定執(zhí)行；第2字節(jié)應(yīng)為區(qū)內(nèi)運(yùn)營商的唯

一標(biāo)識(shí)號(hào)，由收費(fèi)公路電子收費(fèi)密鑰管理單位分配并登記；

——保留字節(jié)應(yīng)暫定一個(gè)字節(jié)0x00；

——密鑰分散標(biāo)識(shí)定義：

?通過兩級(jí)分散得到卡片密鑰，第一級(jí)應(yīng)采用區(qū)域代碼作為分散因子，第二級(jí)應(yīng)采用CPU

卡內(nèi)部編號(hào)作為分散因子；

?通過三級(jí)分散得到卡片密鑰，第一級(jí)應(yīng)采用區(qū)域代碼作為分散因子，第二級(jí)應(yīng)采用運(yùn)

營商標(biāo)識(shí)作為分散因子，第三級(jí)應(yīng)采用CPU卡內(nèi)部編號(hào)作為分散因子；

?通過三級(jí)分散得到卡片密鑰，第一級(jí)應(yīng)采用運(yùn)營商標(biāo)識(shí)作為分散因子，第二級(jí)應(yīng)采用

區(qū)域代碼作為分散因子，第三級(jí)應(yīng)采用CPU卡內(nèi)部編號(hào)作為分散因子,其它保留。

5.5OBU的合同序列號(hào)編碼規(guī)則

應(yīng)和OBU外殼的序號(hào)一致。

5.6CPU用戶卡的卡號(hào)編碼規(guī)則

5.6.1CPU用戶卡卡號(hào)

卡號(hào)為20位，應(yīng)采用BCD編碼。打印于卡面的編號(hào)見圖4。字段具體意義見表2，發(fā)行方編號(hào)見表3，

卡商編號(hào)見表4。

6

DB45/T2123—2020

2019181716141513121110987564321

省運(yùn)發(fā)卡

生生卡廠

級(jí)營行片

產(chǎn)產(chǎn)片商

區(qū)商方序

年日類代

域序編列

份期型碼

代號(hào)號(hào)號(hào)

碼

圖4CPU用戶卡卡號(hào)

表2字段具體意義

序號(hào)字段名稱長度（位）解釋

1省級(jí)區(qū)域代碼2廣西的區(qū)域代碼是45

2運(yùn)營商序號(hào)2由收費(fèi)公路電子收費(fèi)密鑰管理單位統(tǒng)一分配并登記備案

3生產(chǎn)年份2取后兩位，如2014為14

4生產(chǎn)星期2當(dāng)年的第n周

5卡片類型2根據(jù)交通部標(biāo)準(zhǔn)，22為儲(chǔ)值卡，23為記賬卡，及其他

6廠商代碼2詳見表3卡商編號(hào)對應(yīng)表，本省分配并登記備案

7發(fā)行方編號(hào)1詳見表2發(fā)行方編號(hào)對應(yīng)表，本省分配并登記備案

8卡片序列號(hào)70000001～9999999，順序編號(hào)

表3發(fā)行方編號(hào)對應(yīng)表

發(fā)行方發(fā)行方1發(fā)行方2發(fā)行方3其他

發(fā)行方編號(hào)0123～9

表4卡商編號(hào)對應(yīng)表

廠商廠商廠商廠商廠商廠商廠商廠商廠商廠商

其他

名稱123456789

廠商

01020304050607080910～50

代碼

返廠修復(fù)編碼515253545556575859—

5.6.2CPU卡內(nèi)部編號(hào)的編碼規(guī)則

與CPU用戶卡號(hào)后16位一致。

5.7PSAM序列號(hào)及終端機(jī)編號(hào)編碼規(guī)則

應(yīng)由收費(fèi)公路電子收費(fèi)密鑰管理單位統(tǒng)一編碼。

5.8分散代碼規(guī)則

省級(jí)和運(yùn)營商級(jí)分散代碼應(yīng)由收費(fèi)公路電子收費(fèi)密鑰管理單位統(tǒng)一規(guī)定。用戶卡分散應(yīng)采用CPU卡

內(nèi)部編號(hào)，OBE-SAM分散應(yīng)采用合同序列號(hào)。

7

DB45/T2123—2020

6PSAM卡數(shù)據(jù)格式和技術(shù)要求

6.1PSAM卡基本要求

6.1.1基本功能要求

PSAM卡應(yīng)滿足以下功能要求：

——具有COS的接觸式CPU卡；

——支持一卡多應(yīng)用，各應(yīng)用之間相互獨(dú)立；

——支持多種文件類型，包括二進(jìn)制文件、定長記錄文件、變長記錄文件、循環(huán)文件；

——采用硬件DES協(xié)處理器和硬件真隨機(jī)數(shù)發(fā)生器；

——在通訊過程中支持多種安全保護(hù)機(jī)制；

——支持多種安全訪問方式和權(quán)限；

——支持SingleDES、TripleDES算法；

——支持多級(jí)密鑰分散機(jī)制。

6.1.2基本參數(shù)要求

PSAM卡的參數(shù)要求如下：

——存儲(chǔ)容量應(yīng)不低于8Kbytes，芯片為EEPROM；

——支持T=0通信協(xié)議；

——支持多種速率選擇；

——外部時(shí)鐘不低于7.5MHz；

——至少支持工作電壓：2.7V～3.3V，對應(yīng)的工作電流應(yīng)不超過6mA；

——工作溫度：-25℃～＋70℃，存儲(chǔ)溫度：-40℃～＋85℃，相對工作濕度：10％～95％。

6.1.3其它要求

卡片的物理特性、電氣特性和安全特性等應(yīng)通過具有相關(guān)檢測資質(zhì)的第三方機(jī)構(gòu)的檢測。

6.2PSAM卡數(shù)據(jù)格式

6.2.1PSAM卡文件結(jié)構(gòu)

6.2.1.1PSAM卡文件結(jié)構(gòu)見圖5。

8

DB45/T2123—2020

DIR目錄數(shù)據(jù)文件

MF

（0001h）

卡片公共信息文件

（0015h）

終端信息文件

（0016h）

密鑰文件

基本應(yīng)用目錄應(yīng)用公共信息文件

DF01（0017h）

終端應(yīng)用交易序號(hào)

（0018h）

密鑰文件

寬展應(yīng)用目錄

DF02

擴(kuò)展應(yīng)用目錄

DF03

圖5PSAM卡文件結(jié)構(gòu)

6.2.1.2PSAM卡詳細(xì)文件結(jié)構(gòu)見表5。

表5PSAM卡詳細(xì)文件結(jié)構(gòu)

文件名稱文件類型文件標(biāo)識(shí)符讀權(quán)寫權(quán)備注

MF主文件3F00建立權(quán)：MK_MF廠商交貨時(shí)已經(jīng)建立

增加密鑰通過卡片主控密鑰MK_MF采

密鑰文件密鑰文件—禁止

權(quán)：MK_MF用密文＋MAC方式寫入密鑰

自由讀，寫時(shí)使用卡片維護(hù)

DIR目錄數(shù)據(jù)文件變長記錄0001自由AMK_MF密鑰進(jìn)行線路保護(hù)（明文＋

MAC）

自由讀，寫時(shí)使用卡片維護(hù)

卡片公共信息文

二進(jìn)制文件0015自由AMK_MF密鑰進(jìn)行線路保護(hù)（明文＋

件

MAC）

自由讀，寫時(shí)使用卡片維護(hù)

終端信息文件二進(jìn)制文件0016自由AMK_MF密鑰進(jìn)行線路保護(hù)（明文＋

MAC）

DF01聯(lián)網(wǎng)電子收建立權(quán)：擦除權(quán)：卡片主控密鑰MK_MF認(rèn)證通

目錄文件DF01

費(fèi)應(yīng)用MK_MFMK_MF過后可以建立和擦除文件

9

DB45/T2123—2020

表5（續(xù)）

文件名稱文件類型文件標(biāo)識(shí)符讀權(quán)寫權(quán)備注

增加密鑰DF01應(yīng)用密鑰采用密文＋

密鑰文件密鑰文件—禁止

權(quán)：MK_DF01MAC方式寫入

自由讀，寫時(shí)使用應(yīng)用維護(hù)

應(yīng)用公共信息文

二進(jìn)制文件0017自由AMK_DF01密鑰AMK_DF01進(jìn)行線路保

件

護(hù)（明文＋MAC）

終端應(yīng)用交易號(hào)不可寫，COS用于存儲(chǔ)終端交易序號(hào)，由

二進(jìn)制文件0018自由

數(shù)據(jù)元維護(hù)COS維護(hù)

卡片主控密鑰MK_MF認(rèn)證

建立權(quán)：擦除權(quán)：

DF02預(yù)留目錄1目錄文件DF02通過后可以建立和擦除文

MK_MFMK_MF

件

卡片主控密鑰MK_MF認(rèn)證

建立權(quán)：擦除權(quán)：

DF03預(yù)留目錄2目錄文件DF03通過后可以建立和擦除文

MK_MFMK_MF

件

6.2.1.3PSAM卡密鑰用途與用法：

——應(yīng)用主控密鑰應(yīng)在卡片主控密鑰的線路保護(hù)控制下裝載（密文＋MAC）；

——主控密鑰應(yīng)在自身的控制下更新（密文＋MAC）；

——本密鑰文件下其它密鑰應(yīng)在應(yīng)用主控密鑰的線路保護(hù)控制下裝載、更新（密文＋MAC）；

——應(yīng)用主控密鑰外部認(rèn)證通過后，宜在DF01目錄下進(jìn)行文件創(chuàng)建；

——應(yīng)用維護(hù)子密鑰應(yīng)用于DF01區(qū)域的應(yīng)用數(shù)據(jù)維護(hù)。

6.2.2MF下的卡片公共信息文件結(jié)構(gòu)

MF下的卡片公共信息文件結(jié)構(gòu)見表6。

表6MF下的卡片公共信息文件結(jié)構(gòu)

文件標(biāo)識(shí)0015

文件類型二進(jìn)制文件

文件大小14字節(jié)

文件存取控制讀=自由寫=AMK_MF線路保護(hù)寫（明文+MAC）

字節(jié)數(shù)據(jù)元長度（字節(jié)）

1～10PSAM序列號(hào)10

11PSAM序列號(hào)1

12密鑰卡類型1

13～14發(fā)卡方自定義FCI數(shù)據(jù)2

6.2.3MF下的終端信息文件

MF下的終端信息文件見表7。

10

DB45/T2123—2020

表7MF下的終端信息文件

文件標(biāo)識(shí)0016

文件類型二進(jìn)制文件

文件大小6字節(jié)

文件存取控制讀=自由寫=AMK_MF線路保護(hù)寫（明文＋MAC）

字節(jié)數(shù)據(jù)元長度（字節(jié)）

1～6終端機(jī)編號(hào)1～6

6.2.4DF01下的應(yīng)用公共信息文件

DF01下的應(yīng)用公共信息文件見表8。

表8DF01下的應(yīng)用公共信息文件

文件標(biāo)識(shí)0017

文件類型二進(jìn)制文件

文件大小25字節(jié)

文件存取控制讀=自由寫=AMK_DF01線路保護(hù)寫（明文＋MAC）

字節(jié)數(shù)據(jù)元長度（字節(jié)）

1密鑰索引號(hào)1

2～9發(fā)行方標(biāo)識(shí)8

10～17應(yīng)用區(qū)域標(biāo)識(shí)8

18～21應(yīng)用啟用日期4

22～25應(yīng)用有效日期4

6.3PSAM卡密鑰說明

6.3.1密鑰定義

6.3.1.1所有密鑰應(yīng)以記錄的形式存儲(chǔ)在密鑰文件中。每一條密鑰應(yīng)包括用途、標(biāo)識(shí)/版本、算法標(biāo)識(shí)

和密鑰數(shù)據(jù)等參數(shù)信息。

6.3.1.2PSAM卡中應(yīng)包括以下幾種密鑰類型：

——00h：主控密鑰；

——01h：維護(hù)密鑰；

——02h：消費(fèi)密鑰，能進(jìn)行消費(fèi)交易；

——06h：MAC密鑰，能進(jìn)行MAC計(jì)算；

——08h：MAC、加密密鑰，能進(jìn)行MAC和數(shù)據(jù)加密運(yùn)算；

——09h：圈存密鑰，能進(jìn)行圈存交易；

——19h：MAC、解密密鑰，能進(jìn)行MAC和數(shù)據(jù)解密運(yùn)算。

6.3.1.3密鑰用途字節(jié)的高3位應(yīng)表示密鑰分散級(jí)數(shù)。

6.3.2DF01下的密鑰文件結(jié)構(gòu)

DF01下的密鑰文件結(jié)構(gòu)見表9。

11

DB45/T2123—2020

表9DF01下的密鑰文件結(jié)構(gòu)

密鑰名稱密鑰用途密鑰標(biāo)識(shí)密鑰大小算法標(biāo)識(shí)錯(cuò)誤計(jì)數(shù)器

PSAM卡應(yīng)用1主控密鑰MK_DF01000010H003

PSAM卡應(yīng)用1維護(hù)密鑰AMK_DF01010110H003

CPU卡外部認(rèn)證密鑰UK_DF01480110H00—

CPU卡消費(fèi)密鑰1PK1420110H00—

CPU卡消費(fèi)密鑰2PK2420210H00—

OBU認(rèn)證主密鑰RK1480210H00—

OBU加密主密鑰RK2590310H00—

6.4安全管理

6.4.1安全計(jì)算方法

6.4.1.1總則

安全計(jì)算應(yīng)涉及用戶卡中的所有計(jì)算類型，包括數(shù)據(jù)加密計(jì)算、普通MAC計(jì)算、消費(fèi)MAC1計(jì)算和MAC2

校驗(yàn)等。MAC應(yīng)命令響應(yīng)數(shù)據(jù)域中最后一個(gè)數(shù)據(jù)元素。

6.4.1.2密鑰分散計(jì)算方法

密鑰分散應(yīng)通過分散因子產(chǎn)生子密鑰。分散因子應(yīng)為8字節(jié)，將一個(gè)雙長度的主密鑰MK，對分散數(shù)

據(jù)進(jìn)行處理，推導(dǎo)出一個(gè)雙長度的子密鑰DK，如圖6和圖7所示。推導(dǎo)方法應(yīng)如下所示：

——推導(dǎo)DK左半部分的方法是：

?應(yīng)將分散因子作為輸入數(shù)據(jù)；

?應(yīng)將MK作為加密密鑰；

?應(yīng)用MK對輸入數(shù)據(jù)進(jìn)行3DEA運(yùn)算。

輸入因子（8bytes）

MK_LDEA(e)

MK_RDEA(d)

MK_LDEA(e)

DK_L

圖6推導(dǎo)DK左半部分

——推導(dǎo)DK右半部分的方法是：

?應(yīng)將分散因子求反，作為輸入數(shù)據(jù)；

?應(yīng)將MK作為加密密鑰；

?應(yīng)用MK對輸入數(shù)據(jù)進(jìn)行3DEA運(yùn)算。

12

DB45/T2123—2020

輸入因子（8bytes）

MK_LDEA(e)

MK_RDEA(d)

MK_LDEA(e)

DK_R

圖7推導(dǎo)DK右半部分

6.4.1.3數(shù)據(jù)加密的計(jì)算方法

應(yīng)按照如下方式對數(shù)據(jù)進(jìn)行加密：

LD表示明文數(shù)據(jù)的長度，應(yīng)在明文數(shù)據(jù)前加上LD產(chǎn)生新的數(shù)據(jù)塊；

a)應(yīng)將數(shù)據(jù)塊分成8字節(jié)為單位的數(shù)據(jù)塊，分別表示為BLOCK1、BLOCK2、BLOCK3、BLOCK4等，

最后的數(shù)據(jù)塊為1～8字節(jié)；

b)如果最后（或唯一）的數(shù)據(jù)塊的長度是8字節(jié)的話，應(yīng)轉(zhuǎn)到第四步；如果不足8字節(jié)，則在

其后加入16進(jìn)制數(shù)“80”，如果達(dá)到8字節(jié)長度，應(yīng)轉(zhuǎn)到第四步；否則在其后加入16進(jìn)制

數(shù)“00”直到長度達(dá)到8字節(jié)；

c)應(yīng)按照圖8所述的算法使用指定密鑰對每一個(gè)數(shù)據(jù)塊進(jìn)行加密；

d)計(jì)算結(jié)束后，所有加密后的數(shù)據(jù)塊應(yīng)按照原順序連接在一起。

BLOCK1BLOCK2BLOCKn

KEY_LDEA(e)DEA(e)DEA(e)

KEY_RDEA(d)DEA(d)···DEA(d)

KEY_LDEA(e)DEA(e)DEA(e)

密文1密文2密文n

圖8雙倍長密鑰DEA數(shù)據(jù)加密算法

6.4.1.4安全報(bào)文的計(jì)算方法

安全報(bào)文的計(jì)算方法應(yīng)根據(jù)情況的不同分以下3類：

a)命令安全報(bào)文中的MAC：命令安全報(bào)文中的MAC應(yīng)使用命令的所有元素產(chǎn)生的。如下所述：

1)終端應(yīng)通過向IC卡發(fā)GETCHALLENGE命令獲得一個(gè)4字節(jié)隨機(jī)數(shù)，后補(bǔ)“00000000”

作為初始值；

13

DB45/T2123—2020

2)應(yīng)將5字節(jié)命令頭（CLA，INS，P1，P2，Lc）和命令數(shù)據(jù)域中的明文或密文數(shù)據(jù)連接在一

起形成數(shù)據(jù)塊，這里的Lc應(yīng)是數(shù)據(jù)長度加上將計(jì)算出的MAC的長度（4字節(jié)）后得到的

實(shí)際長度；

3)應(yīng)將該數(shù)據(jù)塊分成8字節(jié)為單位的數(shù)據(jù)塊，表示為BLOCK1、BLOCK2、BLOCK3、BLOCK4等

最后的數(shù)據(jù)塊為1～8字節(jié)；

4)如果最后的數(shù)據(jù)塊的長度是8字節(jié)的話，應(yīng)在該數(shù)據(jù)塊之后再加一個(gè)完整的8字節(jié)數(shù)據(jù)塊

“8000000000000000”，轉(zhuǎn)到第五步；

5)如果最后的數(shù)據(jù)塊的長度不足8字節(jié)，應(yīng)在其后加入16進(jìn)制數(shù)“80”，如果達(dá)到8字節(jié)

長度，應(yīng)轉(zhuǎn)到第六步；否則接著在其后加入16進(jìn)制數(shù)“00”直到長度達(dá)到8字節(jié)。按圖

9所述的算法對這些數(shù)據(jù)塊應(yīng)使用指定密鑰進(jìn)行加密來產(chǎn)生MAC；

6)應(yīng)取計(jì)算結(jié)果高4字節(jié)作為MAC。

BLOCK1BLOCK2BLOCK3BLOCK4

初始值

KEY_LDEA(e)DEA(e)DEA(e)DEA(e)

KEY_RDEA(d)

KEY_LDEA(e)

MAC

圖9安全報(bào)文中雙倍長密鑰MAC算法

b)交易中的MAC：應(yīng)先用指定密鑰產(chǎn)生過程密鑰，再用過程密鑰計(jì)算MAC，應(yīng)使用DEA加密方式

產(chǎn)生MAC。按照如下方式產(chǎn)生MAC：

1)應(yīng)將一個(gè)8字節(jié)長的初始值設(shè)定為16進(jìn)制數(shù)“0000000000000000”；

2)應(yīng)將所有輸入數(shù)據(jù)按指定順序連接成一個(gè)數(shù)據(jù)塊；

3)應(yīng)將該數(shù)據(jù)塊分成8字節(jié)為單位的數(shù)據(jù)塊，分別表示為BLOCK1、BLOCK2、BLOCK3、BLOCK4

等。最后的數(shù)據(jù)塊為1~8字節(jié)；

4)如果最后的數(shù)據(jù)塊的長度是8字節(jié)的話，應(yīng)在該數(shù)據(jù)塊之后再加一個(gè)完整的8字節(jié)數(shù)據(jù)塊

“8000000000000000”，轉(zhuǎn)到第五步。如果最后的數(shù)據(jù)塊的長度不足8字節(jié)，應(yīng)

在其后加入16進(jìn)制數(shù)“80”，如果達(dá)到8字節(jié)長度，應(yīng)轉(zhuǎn)到第五步；否則在其后加入16

進(jìn)制數(shù)“00”直到長度達(dá)到8字節(jié)；

5)按照圖10所述的算法對這些數(shù)據(jù)塊應(yīng)使用過程密鑰進(jìn)行加密來產(chǎn)生MAC；

6)應(yīng)取計(jì)算結(jié)果高4字節(jié)作為MAC。

14

DB45/T2123—2020

BLOCK1BLOCK2BLOCK3BLOCK4

‘00’

KEYDEA(e)DEA(e)DEA(e)DEA(e)

MAC

圖10交易中的MAC算法

c)此方法應(yīng)為公路電子收費(fèi)專用鑒別碼的計(jì)算方法：

1)應(yīng)將文件數(shù)據(jù)進(jìn)行CRC計(jì)算，產(chǎn)生兩字節(jié)CRC0和CRC1；

2)應(yīng)將送入的隨機(jī)數(shù)最低兩字節(jié)分別更換為CRC1、CRC0，形成8字節(jié)臨時(shí)數(shù)據(jù)；

3)應(yīng)使用計(jì)算密鑰對8字節(jié)數(shù)據(jù)進(jìn)行加密計(jì)算：MAC=TDES(KEY_MAC，CRC0||CRC1||Rand)。

6.4.2數(shù)據(jù)的安全計(jì)算步驟

6.4.2.1數(shù)據(jù)的安全計(jì)算應(yīng)指對外部提供的數(shù)據(jù)進(jìn)行DES變換。主要計(jì)算有：Triple-DES加密、

Triple-DESMAC計(jì)算。

6.4.2.2PSAM卡中完成數(shù)據(jù)的安全計(jì)算應(yīng)經(jīng)過兩個(gè)步驟：

a)應(yīng)使用DELIVERYKEY命令，在卡內(nèi)準(zhǔn)備好參與計(jì)算的密鑰；

b)應(yīng)使用CIPHERDATA命令，用產(chǎn)生的臨時(shí)密鑰對外部提供的數(shù)據(jù)進(jìn)行處理。

6.5應(yīng)用系統(tǒng)的兼容性

6.5.1密鑰分散

應(yīng)采用二級(jí)或三級(jí)密鑰分散，應(yīng)用程序在處理請求時(shí)，應(yīng)根據(jù)“發(fā)行方標(biāo)識(shí)”及“密鑰分散標(biāo)識(shí)”

判斷用戶終端內(nèi)密鑰的分散級(jí)數(shù)?！鞍l(fā)行方標(biāo)識(shí)”及“密鑰分散標(biāo)識(shí)”的詳細(xì)定義參見5.