SJL05金融數(shù)據(jù)加密機(jī)程序員手冊(cè)

1、SJL05 型金融數(shù)據(jù)加密機(jī)型金融數(shù)據(jù)加密機(jī)程序員手冊(cè)程序員手冊(cè)衛(wèi)衛(wèi)士士通通信信息息產(chǎn)產(chǎn)業(yè)業(yè)股股份份有有限限公公司司二五年十月二五年十月四川省成都市高新區(qū)創(chuàng)業(yè)大道 6 號(hào)郵政編碼：610041電話：（028）85141541 8008861133SJL05金融數(shù)據(jù)加密機(jī)程序員手冊(cè) JRIC第五版（2005年6月）本手冊(cè)是由衛(wèi)士通信息產(chǎn)業(yè)股份有限公司編撰，僅贈(zèng)送給用戶和其他合作伙伴。 “衛(wèi)士通”及是衛(wèi)士通信息產(chǎn)業(yè)股份有限公司在中國(guó)境內(nèi)的注冊(cè)商標(biāo)，衛(wèi)士通信息產(chǎn)業(yè)股份有限公司保留對(duì)本書的所有版權(quán)，任何單位和個(gè)人未經(jīng)許可，不得以任一方式進(jìn)行仿制、拷貝、謄寫或轉(zhuǎn)譯。衛(wèi)士通公司保留對(duì)本書進(jìn)行重新修訂的權(quán)利

2、，隨時(shí)可能對(duì)本書中的打印錯(cuò)誤、與最新資料不符之處、程序或設(shè)備的更新做必要的改動(dòng)，這些改動(dòng)恕不另行通知，但會(huì)編入新版書內(nèi)。本書主要為命令參考，適合以下讀者：SJL05 應(yīng)用開發(fā)人員，及其他所有對(duì) SJL05 產(chǎn)品感興趣的讀者。請(qǐng)妥善保存本手冊(cè)以備以后使用請(qǐng)妥善保存本手冊(cè)以備以后使用衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ i -目目錄錄1.簡(jiǎn)介簡(jiǎn)介11.1加密機(jī)主要功能.11.2加密機(jī)與主機(jī)的通信.21.2.1接口與協(xié)議.21.2.2數(shù)據(jù)格式.31.2.3調(diào)用加密機(jī)過程.31.3SJL05 命令集劃分.42磁條卡業(yè)務(wù)類磁條卡業(yè)務(wù)類.42.1請(qǐng)求返回系統(tǒng)信息.42.2返回本地主密鑰狀態(tài).62.3返回

3、指定區(qū)域主密鑰狀態(tài).72.4定義打印格式.82.5產(chǎn)生并存儲(chǔ)一個(gè)指定長(zhǎng)度的主密鑰，并打印明文到密碼信封.102.6產(chǎn)生并存儲(chǔ)一個(gè)指定長(zhǎng)度的區(qū)域主密鑰分量，并打印明文到密碼信封.132.7產(chǎn)生一個(gè)數(shù)據(jù)密鑰，并用 BMK 加密后返回.162.8產(chǎn)生索引的區(qū)域主密鑰.172.9產(chǎn)生一個(gè)直聯(lián) POS 的數(shù)據(jù)密鑰.182.10生成隨機(jī) POK，并用 ZMK 和 TMK 加密后返回.192.11產(chǎn)生指定長(zhǎng)度的隨機(jī)區(qū)域數(shù)據(jù)密鑰.202.12存儲(chǔ)一個(gè)索引的區(qū)域主密鑰.222.13產(chǎn)生并存儲(chǔ)指定長(zhǎng)度的 TMK.232.14存儲(chǔ)一個(gè)索引的區(qū)域主密鑰.262.15產(chǎn)生并存儲(chǔ)指定長(zhǎng)度的 BMK.272.16銀行主密鑰

4、加密的密鑰轉(zhuǎn)換成次主密鑰.292.17取回一個(gè)索引的區(qū)域主密鑰.30衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ ii -2.18取回一個(gè)索引的終端主密鑰.312.19加密一個(gè) TMK 密鑰.322.20用 BMK 解密 PIK.332.21SSF02 加密的 PINBLOCK驗(yàn)證.342.22SSF02 算法計(jì)算 MAC.362.23SSF02 驗(yàn)證 MAC.372.24SSF02 加/解密.382.25注：在數(shù)據(jù)加密時(shí)，數(shù)據(jù)長(zhǎng)度不夠 8 的倍數(shù)時(shí)，在數(shù)據(jù)后補(bǔ) 0X00 補(bǔ)齊。SSF02 PINBLOCK轉(zhuǎn)換.402.26產(chǎn)生動(dòng)態(tài)通信密鑰.422.27用通信密鑰對(duì)數(shù)據(jù)算 MAC，驗(yàn)證 MAC.44

5、2.28用通信密鑰對(duì)數(shù)據(jù)計(jì)算 MAC.462.29用通信密鑰對(duì) PIN 密文解密.482.30用通信密鑰轉(zhuǎn)換 PIN.502.31計(jì)算TAC.522.32產(chǎn)生工作密鑰.532.33轉(zhuǎn)換工作密鑰.542.34計(jì)算 MAC.552.35對(duì)輸入數(shù)據(jù)加/解密.562.36PIN 轉(zhuǎn)換 .572.37產(chǎn)生并打印密鑰 .582.38產(chǎn)生并輸出密鑰 .592.39轉(zhuǎn)換 PIN.602.40請(qǐng)求產(chǎn)生一個(gè)加密的 PIN.612.41請(qǐng)求轉(zhuǎn)換一個(gè) PIN 從銀行 1 到銀行 2（無帳號(hào)）.632.42請(qǐng)求驗(yàn)證一個(gè) PIN.652.43請(qǐng)求轉(zhuǎn)換一個(gè) PIN 從 ATK 到 PIK.672.44請(qǐng)求轉(zhuǎn)換一個(gè) PIN

6、從 PIK 到 ATK.692.45請(qǐng)求轉(zhuǎn)換一個(gè) PIN 從 POK 到 PIK.71衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ iii -2.46請(qǐng)求轉(zhuǎn)換一個(gè) PIN 從 PIK 到 POK.732.47請(qǐng)求轉(zhuǎn)換一個(gè) PIN 從銀行 1 到銀行 2（含一個(gè)主帳號(hào)） .752.48請(qǐng)求轉(zhuǎn)換一個(gè) PIN 從 PPK（加密得到）到 PIK.772.49請(qǐng)求轉(zhuǎn)換一個(gè) PIN 從 PIK1（解密得到）到 PIK2.792.50轉(zhuǎn)換 PIN 從輸入的 PIK1 到 PIK2（含兩個(gè)主帳號(hào)）.802.51轉(zhuǎn)換 PIN 從 TMK1 到 TMK2.822.52轉(zhuǎn)換 PIN 從 TMK 到輸入 PIK .832.

7、53加密（或解密）PIN .852.54轉(zhuǎn)換 PIN 從 PIK 加密到 TMK 加密 .862.55生成用 ZMK 和 RSA 加密的隨機(jī)密鑰 .872.56用輸入密鑰對(duì)數(shù)據(jù)加/解密.882.57用區(qū)域主密鑰對(duì)數(shù)據(jù)加/解密.902.58數(shù)據(jù)密鑰轉(zhuǎn)換.922.59轉(zhuǎn)換工作密鑰主密鑰.942.60轉(zhuǎn)換密鑰.952.61生成用 ZMK 和 RSA 加密的隨機(jī)密鑰 .962.62數(shù)據(jù)密鑰轉(zhuǎn)換.972.63驗(yàn)證和生成 MAC.992.64驗(yàn)證 MAC.1012.65計(jì)算卡屬性和密文數(shù)據(jù)的 MAC .1032.66驗(yàn)證卡屬性與數(shù)據(jù)串的 MAC .1052.672.46 請(qǐng)求產(chǎn)生 MAC,并可選擇地轉(zhuǎn)換

8、PIN .1072.68轉(zhuǎn)換 MAC.1092.69轉(zhuǎn)換一個(gè) MAC 和 PIN.1112.70請(qǐng)求驗(yàn)證 MAC，可選擇地驗(yàn)證 PIN.1142.71產(chǎn)生隨機(jī)密鑰，用 TMK 加密后返回.1162.72生成弱 MAC.1172.73用終端主密鑰加密數(shù)據(jù).1192.74用輸入密鑰對(duì)輸入數(shù)據(jù)作加/解密.120衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ iv -2.75產(chǎn)生 MAC.1212.76校驗(yàn) MAC.1232.77請(qǐng)求產(chǎn)生一個(gè)商戶 MAC.1252.78請(qǐng)求驗(yàn)證一個(gè)商戶 MAC.1272.79用 TMK 計(jì)算 MAC .1282.80請(qǐng)求驗(yàn)證用 TMK 計(jì)算的 MAC.1292.81打印 PI

9、N.1312.82計(jì)算密鑰的 CHECKVALUE .1332.83解密 PIN.1342.84轉(zhuǎn)換 PIN 從 ATK 到 PIK.1352.85PIN CRYP加密.1372.86PIN DESPSWD加/解密.1372.87轉(zhuǎn)換任意長(zhǎng)度的數(shù)據(jù)密鑰.1382.88轉(zhuǎn)換任意長(zhǎng)度的數(shù)據(jù)密鑰.1392.89PINBLOCK轉(zhuǎn)換（任意長(zhǎng)度 PIK）.1412.90請(qǐng)求轉(zhuǎn)換一個(gè) PIN 從 ATK (任意長(zhǎng)度) 到 PIK (任意長(zhǎng)度) .1442.91產(chǎn)生一個(gè)數(shù)據(jù)密鑰（任意長(zhǎng)奇校驗(yàn)）和校驗(yàn)碼.1482.92用任意長(zhǎng)數(shù)據(jù)密鑰加密 PIN BLOCK .1502.93PINBLOCK轉(zhuǎn)換（任意長(zhǎng)度 M

10、MK 及格式） .1522.94PINBLOCK轉(zhuǎn)換 .1552.95用任意長(zhǎng)數(shù)據(jù)密鑰解密 PIN BLOCK (推薦使用 0X0422) .1582.96請(qǐng)求產(chǎn)生 MAC（變長(zhǎng) MAK）.1602.97請(qǐng)求驗(yàn)證 MAC（變長(zhǎng) MAK）.1632.98請(qǐng)求產(chǎn)生 MAC，并可選轉(zhuǎn)換 PIN（密鑰長(zhǎng)度可變）.1652.99請(qǐng)求驗(yàn)證 MAC，可選擇地驗(yàn)證 PIN變長(zhǎng)工作密鑰，任意類型PINBLOCK.1692.100終端主密鑰的生成.1732.101數(shù)據(jù)密鑰的生成.1742.102解密 PIN .176衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ v -2.103生成 CHECKVALUE（變長(zhǎng)密鑰） .

11、1772.104產(chǎn)生密鑰.1782.105PINBLOCK轉(zhuǎn)換（只用 ZMK）.1792.106用本地主密鑰加密終端主密鑰.1812.107產(chǎn)生成員行的數(shù)據(jù)密鑰（用 ZMK 和 LMK 加密） （.1832.108產(chǎn)生終端數(shù)據(jù)密鑰（用 TMK 和 LMK 加密）.1852.109轉(zhuǎn)換成員行數(shù)據(jù)密鑰（由 ZMK 轉(zhuǎn)換為 LMK 加密）.1872.110轉(zhuǎn)換成員行數(shù)據(jù)密鑰二（由 LMK 轉(zhuǎn)換為 ZMK 加密）.1892.111轉(zhuǎn)換終端數(shù)據(jù)密鑰（由 TMK 轉(zhuǎn)換為 LMK 加密）.1902.112轉(zhuǎn)換終端數(shù)據(jù)密鑰二（由 LMK 轉(zhuǎn)換為 TMK 加密）.1912.113取回索引的 ZMK（用 LMK

12、加密）.1922.114存儲(chǔ)索引的 ZMK.1932.115PIK 加密 PINBLOCK，PIK 由 LMK 加密 .1942.116加密 PINBLOCK，PIK 用 ZMK 加密.1952.117轉(zhuǎn)換 PINBLOCK，PIK 用 LMK 加密.1962.118轉(zhuǎn)換 PINBLOCK，PIK 用 ZMK 加密.1982.119轉(zhuǎn)換 PINBLOCK，PIK 用 MK 加密 .2002.120轉(zhuǎn)換 PINBLOCK，PIK 用 MK 加密 .2012.121轉(zhuǎn)換 PINBLOCK，PIK 用 ZMK 加密.2022.122轉(zhuǎn)換 PINBLOCK，PIK 用 ZMK 加密.2042.123產(chǎn)

13、生 MAC，MAK 用 LMK 加密.2062.124產(chǎn)生 MAC，MAK 用 ZMK 加密.2092.125校驗(yàn) MAC，MAK 用 LMK 加密.2112.126校驗(yàn) MAC，MAK 用 ZMK 加密.2122.127產(chǎn)生兩個(gè)不同長(zhǎng)度的隨機(jī)密鑰，由 LMK 加密.2142.128將 ZMK 加密的密鑰轉(zhuǎn)換為 LMK 加密.2152.129將 LMK 加密的密鑰轉(zhuǎn)換為 BMK 加密.2162.130將送入的數(shù)據(jù)由 LMK 加密輸出.2172.131轉(zhuǎn)換 PIN.218衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ vi -2.132計(jì)算 MAC.2202.133根據(jù)標(biāo)識(shí)計(jì)算 MAC.2212.134

14、產(chǎn)生隨機(jī)密鑰.2222.135導(dǎo)出工作密鑰.2232.136導(dǎo)入工作密鑰.2242.137產(chǎn)生隨機(jī) PIN.2252.138產(chǎn)生 PIN OFFSET .2262.139校驗(yàn) PIN OFFSET .2272.140轉(zhuǎn)換 PINBLOCK .2292.141轉(zhuǎn)換 PINBLOCK.2302.142產(chǎn)生 CVK 對(duì).2312.143產(chǎn)生 CVV .2322.144校驗(yàn) CVV .2332.145用索引號(hào)為 000 的 BMK 加密數(shù)據(jù)密鑰.2342.146產(chǎn)生被加密的隨機(jī)傳輸密鑰和工作密鑰 .2352.147生成兩個(gè)隨機(jī)工作密鑰（3DES 加密）.2362.148生成兩個(gè)隨機(jī)工作密鑰（DES 加

15、密）.2372.149生成兩個(gè)隨機(jī)工作密鑰（3DES 加密）.2382.150用輸入傳輸密鑰加密輸入工作密鑰 .2392.151用輸入密鑰解密數(shù)據(jù) .2402.152用終端主密鑰解密數(shù)據(jù) .2412.153PINBLOCK轉(zhuǎn)換一（從終端到區(qū)域）.2422.154PINBLOCK轉(zhuǎn)換二（從終端到區(qū)域）.2442.155PINBLOCK轉(zhuǎn)換三（從區(qū)域到區(qū)域）.2462.156MAC 驗(yàn)證一（終端）.2482.157生成 MAC（終端） .2502.158MAC 驗(yàn)證（區(qū)域一）.2512.159MAC 生成（區(qū)域一）.2532.160MAC 驗(yàn)證（區(qū)域二）.254衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:

16、/ vii -2.161生成 MAC（區(qū)域二） .2562.162驗(yàn)證區(qū)域 MAB.2572.163生成弱 MAC（區(qū)域） .2592.164驗(yàn)證區(qū)域 MAB.2612.165用分散出的數(shù)據(jù)密鑰請(qǐng)求產(chǎn)生 MAC.2622.166數(shù)據(jù)轉(zhuǎn)加密 .2642.167計(jì)算 MAC.2652.168校驗(yàn) MAC.2662.169MAC 計(jì)算.2673IC 卡業(yè)務(wù)類卡業(yè)務(wù)類 .2693.1傳輸密鑰初始化.2693.2裝載次主密鑰.2723.3裝載次主密鑰.2743.4將應(yīng)用主密鑰導(dǎo)入加密機(jī)中.2763.5分散次主密鑰產(chǎn)生 MAC.2783.6分散次主密鑰驗(yàn)證 MAC.2803.7請(qǐng)求產(chǎn)生一個(gè)隨機(jī)密鑰.282

17、3.8導(dǎo)出分散子密鑰.2833.9導(dǎo)入次主子密鑰.2853.10外部認(rèn)證.2863.11過程密鑰計(jì)算 MAC.2863.12過程密鑰加/解數(shù)據(jù) .2873.13批量產(chǎn)生指定密鑰加密的 KI.2883.14加密數(shù)據(jù)或分散密鑰 .2893.15產(chǎn)生 DER 編碼 RSA 密鑰對(duì).2903.16產(chǎn)生密鑰并用 LMK 和公鑰加密.2903.17過程密鑰計(jì)算 MAC.2913.18導(dǎo)入應(yīng)用密鑰到加密機(jī)中.292衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ viii -3.19MAC 計(jì)算.2943.20請(qǐng)求產(chǎn)生一個(gè) 16 字節(jié)的奇校驗(yàn)隨機(jī)密鑰 .2953.21請(qǐng)求返回指定次主密鑰狀態(tài) .2973.22產(chǎn)生一個(gè)

18、 64 位或 128 位的數(shù)據(jù)密鑰 .2983.23產(chǎn)生一個(gè)隨機(jī)次主密鑰(用主密鑰加密).2993.24存儲(chǔ)指定的次主密鑰 .3003.25取回指定的次主密鑰 .3013.26產(chǎn)生并驗(yàn)證 MAC.3023.27用指定的次主密鑰對(duì)輸入數(shù)據(jù)做 3DES 加密.3033.28數(shù)據(jù)轉(zhuǎn)換 .3043.29用指定密鑰對(duì)輸入數(shù)據(jù)進(jìn)行 3DES 加/解密.3063.30初始化 CRC 表 .3073.31簽名 .3093.32數(shù)據(jù)轉(zhuǎn)換和 CRC 校驗(yàn) .3113.33輸出加密的單長(zhǎng)度密鑰 .3133.34單 DES 密鑰的 MAC 計(jì)算.3143.35單 DES 密鑰的 MAC 驗(yàn)證.3163.36注入用 R

19、SA 公鑰加密的次主密鑰.3173.37計(jì)算 MAC.3193.38轉(zhuǎn)換 PIN.3203.39轉(zhuǎn)換 PIN.3213.40用指定的次主密鑰分散并對(duì)分散結(jié)果加密 .3223.41用指定的次主密鑰分散數(shù)據(jù) .3243.42用分散出的數(shù)據(jù)密鑰請(qǐng)求產(chǎn)生 MAC.3253.43請(qǐng)求用分散出的數(shù)據(jù)密鑰產(chǎn)生并驗(yàn)證 MAC.3283.44驗(yàn)證 MAC 并生成 MAC.3303.45請(qǐng)求產(chǎn)生 TAC .3333.46請(qǐng)求驗(yàn)證一個(gè) TAC .3353.47安全計(jì)算 .337衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ ix -3.48不用臨時(shí)密鑰生成 MAC.3393.49驗(yàn)證 0XB086 命令產(chǎn)生的 MAC .3

20、413.50驗(yàn)證并生成 MAC.3433.51數(shù)據(jù)加密并產(chǎn)生 MAC 一.3453.52導(dǎo)出分散子密鑰.3473.53導(dǎo)出交主密鑰.3483.54數(shù)據(jù)加密并計(jì)算 MAC 二.3493.55用輸入密鑰計(jì)算弱 MAC .3523.563DESMAC 驗(yàn)證 .3543.57DESMAC 驗(yàn)證.3563.58通用 3DES 加密.3573.59用分散密鑰加密數(shù)據(jù) .3583.60請(qǐng)求解密數(shù)據(jù) .3603.61分散次主密鑰產(chǎn)生 MAC.3623.62分散次主密鑰和加密 .3643.63請(qǐng)求用種子密鑰產(chǎn)生子密鑰 .3663.64多類型數(shù)據(jù)加密 .3673.65加密分散子密鑰和計(jì)算 MAC.3693.66加

21、密分散子密鑰和計(jì)算 MAC.3713.67加密分散子密鑰和計(jì)算 MAC.3733.68加密分散子密鑰和計(jì)算 MAC .3753.69導(dǎo)出應(yīng)用子密鑰.3773.70加密分散子密鑰和計(jì)算 MAC.3813.71加密分散子密鑰和計(jì)算 MAC .3833.72轉(zhuǎn)換 PIN.3863.73分散子密鑰，產(chǎn)生 MAC.3873.74產(chǎn)生認(rèn)證碼.3893.75導(dǎo)出分散的子密鑰（單長(zhǎng)度）.3903.76生成 MAC（單長(zhǎng)度分散） .392衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ x -3.77驗(yàn)證 MAC（單長(zhǎng)度） .3943.78生成 TAC(單長(zhǎng)度).3963.79驗(yàn)證 TAC（單長(zhǎng)度）.3983.80用臨時(shí)

22、密鑰（雙長(zhǎng)度）進(jìn)行加/解密 .4003.81用臨時(shí)密鑰（單長(zhǎng)度）進(jìn)行加/解密 .4023.82更改密鑰屬性.4043.83生成 MAC .4053.84推導(dǎo)子密鑰，加密數(shù)據(jù)，計(jì)算 MAC .4073.85用輸入的密鑰對(duì)數(shù)據(jù)進(jìn)行加解密 .4093.86用輸入的密鑰對(duì)數(shù)據(jù)計(jì)算 MAC.4103.87移動(dòng)發(fā)卡.4113.88請(qǐng)求產(chǎn)生 TAC.4123.89請(qǐng)求驗(yàn)證一個(gè) TAC.4143.90讀取密鑰版本號(hào) .4163.91產(chǎn)生隨機(jī)數(shù) .4173.92交易下行加密 .4183.93密鑰申請(qǐng)數(shù)據(jù)解密 .4203.94交易下行 MAC 生成.4223.95密鑰申請(qǐng) MAC 校驗(yàn).4243.96OTA 密鑰

23、下傳.4263.97交易上行轉(zhuǎn)換 PIN .4274電子商務(wù)類命令電子商務(wù)類命令.4304.1請(qǐng)求產(chǎn)生一對(duì) RSA 密鑰（私鑰）.4304.2請(qǐng)求修改一個(gè) RSA 私鑰的訪問口令.4314.3請(qǐng)求輸出一個(gè) RSA 密鑰對(duì)中的公鑰.4324.4請(qǐng)求進(jìn)行一次 RSA 私鑰加密（NO PADDING）.4334.5請(qǐng)求用指定的 RSA 公鑰加密（NO PADDING）.4354.6刪除一對(duì) RSA 密鑰.436衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ xi -4.7產(chǎn)生一個(gè) DES 密鑰并輸出.4374.8用輸入 DES 密鑰加密輸入的 8 字節(jié)數(shù)據(jù).4384.9用輸入的 DES 密鑰解密 8 字節(jié)輸

24、入數(shù)據(jù).4394.10用公鑰加密數(shù)據(jù)（HAVE PADDING）.4404.11RSA 私鑰加密（HAVE PADDING）.4414.12取出 RSA 密鑰.4424.13存儲(chǔ) RSA 密鑰.4434.14產(chǎn)生隨機(jī)數(shù) .4444.15SHA1 做摘要(OPTIONAL) .4454.16輸入 RSA 密鑰（管理用）.4464.17輸入 RSA 密鑰（管理用） .4484.18請(qǐng)求用指定的私鑰解密 (NOPADDING) .4504.19用輸入的公鑰解密(NO PADDING) .4524.20請(qǐng)求進(jìn)行 RSA 簽名.4534.21請(qǐng)求進(jìn)行 RSA 簽名驗(yàn)證.4554.22請(qǐng)求用指定的私鑰解密

25、 ( PADDING).4564.23用輸入的公鑰解密 (PADDING).4574.24MD5 摘要數(shù)據(jù).4584.25SHA1 做摘要（分段） .4594.26MD5 做摘要（分段） .4604.27產(chǎn)生并存儲(chǔ)隨機(jī)密鑰，用 RSA 公鑰加密后輸出.4614.28產(chǎn)生隨機(jī)密鑰并用輸入公鑰和指定主密鑰加密后輸出 .4624.29導(dǎo)出指定 RSA 公鑰.4634.30產(chǎn)生一對(duì) RSA 密鑰.4644.31導(dǎo)出 RSA 密鑰對(duì).4654.32對(duì)輸入數(shù)據(jù)做摘要 .4664.33產(chǎn)生雙長(zhǎng)度的對(duì)稱密鑰 .4674.34對(duì)輸入數(shù)據(jù)進(jìn)行 3DES 加密.468衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ xii

26、-5.變種密鑰指令集變種密鑰指令集.4694.355.1 密鑰轉(zhuǎn)換.4704.365.2 導(dǎo)入密鑰.4714.375.3 導(dǎo)出密鑰.4734.385.4 產(chǎn)生隨機(jī)工作密鑰.4754.395.5 產(chǎn)生隨機(jī)工作密鑰.4764.405.6 加密明文密鑰.4774.415.7 校驗(yàn)密鑰 .4784.425.8 用密鑰分量合成密鑰.4794.435.8 導(dǎo)出區(qū)域主密鑰 .4804.445.9 更新區(qū)域主密鑰.4814.455.10 存儲(chǔ)區(qū)域主密鑰.4824.465.11 用輸入密鑰加密數(shù)據(jù).4844.475.12 用輸入密鑰解密數(shù)據(jù).4854.485.13 加密 PIN.4874.495.14 PIN

27、轉(zhuǎn)換.4884.505.15 解密 PIN.4894.515.16 產(chǎn)生 PIN.4904.525.17 校驗(yàn) PIN.4914.535.18 密信打印.4934.545.19 計(jì)算 MAC.4944.555.20 校驗(yàn) MAC.4954.565.21 計(jì)算 CVV.4964.575.21 校驗(yàn) CVV.4974.585.22 打印密鑰和數(shù)據(jù).4984.595.23 產(chǎn)生并打印區(qū)域主密鑰.5004.605.24 分散數(shù)據(jù)密鑰(0XD156).5024.615.25 用分散后的密鑰解密數(shù)據(jù)(0XD157).503衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ xiii -6.PBOC2.0 指令集指令集

28、.5044.626.1 刪除密鑰 .5044.636.2 用 LMK 導(dǎo)出 DES 密鑰.5054.646.3 用 LMK 導(dǎo)入 DES 密鑰.5064.656.4 產(chǎn)生 RSA 密鑰對(duì) .5074.666.5 用 LMK 導(dǎo)出 RSA 密鑰.5094.676.6 用 LMK 導(dǎo)入 RSA 密鑰.5114.686.7 用 RSA 公鑰加解密 .5124.696.8 用指定索引的 RSA 私鑰加密.5144.706.9 用指定索引的 RSA 私鑰解密.5154.716.10 用傳入的 RSA 私鑰加解密.5164.726.11 產(chǎn)生 IC 卡外部認(rèn)證密文.5174.736.12 產(chǎn)生 IC 卡密

29、鑰密文.5194.746.13 產(chǎn)生 IC 卡個(gè)人密碼密文.5214.756.14 產(chǎn)生 IC 卡 RSA 密鑰密文.5224.766.15 產(chǎn)生 IC 卡 RSA 密鑰密文.5254.776.16 驗(yàn)證 ARQC，并計(jì)算 ARPC.5264.786.17 產(chǎn)生 IC 卡修改 KMC 密文.5284.796.18 轉(zhuǎn)加密數(shù)據(jù).5304.806.19 轉(zhuǎn)加密 PINBLOCK.5324.816.20 對(duì)發(fā)卡行腳本數(shù)據(jù)加解密.5354.826.21 修改 IC 卡脫機(jī) PIN.5374.836.22 計(jì)算發(fā)卡行腳本 MAC.5384.846.23 計(jì)算 MAC.5404.856.24 產(chǎn)生 DES

30、 密鑰.5434.866.25 導(dǎo)出分散密鑰.545附錄附錄 A 加密機(jī)通用出錯(cuò)代碼表加密機(jī)通用出錯(cuò)代碼表.548附錄附錄 B ATM 和和 POS 機(jī)類型和機(jī)類型和 PIN 的格式的格式.549衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ xiv -附錄附錄 C DOUBLE-ONE-WAY.550附錄附錄 D 安全計(jì)算安全計(jì)算 (SECURE CALCULATION).551附錄附錄 E 命令命令 0X500X54 使用算法使用算法 .5524.87動(dòng)態(tài)通信密鑰.5524.88通信主密鑰加密通信密鑰算法.5524.89分散算法.5524.90MAC 算法.553附錄附錄 F 弱弱 MAC 計(jì)算計(jì)

31、算.554附錄附錄 G 分散推導(dǎo)子密鑰算法分散推導(dǎo)子密鑰算法.5554.91雙長(zhǎng)度分散：.5554.92單長(zhǎng)度分散：.555衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 1 -1 簡(jiǎn)介簡(jiǎn)介1.1 加密機(jī)主要功能加密機(jī)主要功能SJL05 金融數(shù)據(jù)加密機(jī)是金融數(shù)據(jù)安全保護(hù)的一種有效物理工具，它能可靠、安全地保護(hù)金融網(wǎng)絡(luò)中的 PIN（個(gè)人身份識(shí)別號(hào)） ，包括對(duì) PIN 的加/解密、驗(yàn)證及轉(zhuǎn)發(fā)；消息來源正確性驗(yàn)證（MAC）的產(chǎn)生、驗(yàn)證及轉(zhuǎn)發(fā)，有效地防止偽卡的詐騙行為。SJL05 金融數(shù)據(jù)加密機(jī)還有完善的密鑰管理體系，能提供由全硬件噪聲源產(chǎn)生的隨機(jī)密鑰以及密鑰的人工輸入接口。能有效防止通信信道上的主動(dòng)攻擊行為

32、。該加密機(jī)本身提供多種物理接口，能方便地與各種銀行主機(jī)系統(tǒng)相連接。 在金融網(wǎng)絡(luò)中由于在線路上傳輸?shù)乃袛?shù)據(jù)全是經(jīng)加密機(jī)加密后的密文，而明文只在加密機(jī)內(nèi)部才擁有，并且所有的密鑰明文不會(huì)出現(xiàn)在加密機(jī)之外，因此我們對(duì)加密機(jī)自身的安全性也作了周全的設(shè)計(jì)，使其不僅具有物理鎖防撬的防拆設(shè)計(jì)，而且在情況緊急時(shí)，即使斷電的情況下，也能快速的進(jìn)行人工毀鑰等技術(shù)手段，來有效的防止內(nèi)外部人員的攻擊。在跨行交易中以個(gè)人身份號(hào)PIN 在 ATM/POS 網(wǎng)絡(luò)的傳輸為例，個(gè)人身份號(hào) PIN 從收卡行到交換中心再由交換中心到發(fā)卡行受校驗(yàn)過程大致如下：PIN 在 ATM/POS 跨行交易的過程其中：(1) 顧客輸入私人密碼(

33、2) 傳送被 ATM/POS 加密的私人密碼屏幕(3) 收卡行翻譯私人密碼(1) 顧客輸入 私人密碼發(fā)卡行交換中心收卡行POSATM(6)(2)(4)(3)(5)(7)衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 2 -(4) 傳送被收卡行加密的私人密碼(5) 交換中心轉(zhuǎn)換私人密碼(6) 傳送被交換中心轉(zhuǎn)換后的私人密碼(7) 發(fā)卡行校驗(yàn)私人密碼1.2 加密機(jī)與主機(jī)的通信加密機(jī)與主機(jī)的通信1.2.1 接口與協(xié)議接口與協(xié)議SJL05 提供以太網(wǎng)口、異步口等多種接口，支持以下協(xié)議與主機(jī)（或前置機(jī)）之間通信：TCP/IP（V4） 、V.24/RS232-C，SJL05 與主機(jī)（前置機(jī)）通過上述通信協(xié)議交換數(shù)

34、據(jù)報(bào)文。SJL05 與主機(jī)（前置機(jī)）采用服務(wù)器/客戶機(jī)工作模式，具體是 SJL05 為服務(wù)器，主機(jī)（前置機(jī)）為客戶機(jī)，SJL05 等候主機(jī)發(fā)起的請(qǐng)求，處理后再將結(jié)果發(fā)送給主機(jī)，寫成一次交易處理工作。下面以 TCP/IP協(xié)議為例講解具體通信過程。 （具體通信配置請(qǐng)參見SJL05 金融數(shù)據(jù)加密機(jī)操作員手冊(cè)第六章參數(shù)配置。 ）加密機(jī)的操作采用命令、響應(yīng)的方式，主機(jī)應(yīng)用程序在請(qǐng)求加密機(jī)服務(wù)之前，應(yīng)先根據(jù)加密機(jī)的 IP 地址、端口號(hào)與加密機(jī)建立會(huì)話連接（加密機(jī)必須處于交易狀態(tài)才允許建立連接） ，主機(jī)向加密機(jī)發(fā)命令，然后等待加密機(jī)響應(yīng)。在這里加密機(jī)作為 Server，主機(jī)作為 Client。其示意如下：命

35、令響應(yīng)主機(jī)與加密機(jī)之間的數(shù)據(jù)流向衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 3 -1.2.2 數(shù)據(jù)格式數(shù)據(jù)格式 請(qǐng)求數(shù)據(jù)格式請(qǐng)求數(shù)據(jù)格式命令碼數(shù)據(jù)命令碼如：0 xB0, 0 x060數(shù)據(jù)：0 x06, 0 x12, 0 x34, 0 x56, 0 xff, 0 xff, 0 xff, 0 xff 等 應(yīng)答數(shù)據(jù)格式應(yīng)答數(shù)據(jù)格式應(yīng)答碼數(shù)據(jù)或錯(cuò)誤碼應(yīng)答碼：0 x41（A ） 正確應(yīng)答。0 x45（E ） 錯(cuò)誤應(yīng)答。1.2.3 調(diào)用加密機(jī)過程調(diào)用加密機(jī)過程主機(jī)（前置機(jī)）應(yīng)用調(diào)用加密機(jī)的過程如下：1)根據(jù)加密機(jī)配置的 IP 地址和端口號(hào)，建立與加密機(jī)的 Socket 連接；2)根

36、據(jù)加密機(jī)提供的命令格式，封裝消息報(bào)文；3)將消息報(bào)文發(fā)送給加密機(jī)；4)從加密機(jī)接受響應(yīng)報(bào)文；5)根據(jù)響應(yīng)做出相應(yīng)的判斷和操作；6)連續(xù)做 2）至 5）操作；7)斷開與加密機(jī)的連接。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 4 -1.3 SJL05 命令集劃分命令集劃分SJL05 系統(tǒng)命令按業(yè)務(wù)可分為三類： 磁條卡業(yè)務(wù)類：包含 SJL05 原命令集，命令字為一個(gè)字節(jié)或兩個(gè)字節(jié)；命令為兩個(gè)字節(jié)時(shí)，第一字節(jié)為命令類別，第二字節(jié)為命令。命令類別值為 0 x05或 0 xB1。IC 卡業(yè)務(wù)類：命令為兩個(gè)字節(jié)，第一字節(jié)為命令類別，第二字節(jié)為命令，IC 卡業(yè)務(wù)類命令；電子商務(wù)類命令：命令為兩個(gè)字節(jié)，第一字節(jié)為

37、命令類別，值為 0 xC0，第二字節(jié)為命令。2 磁條卡業(yè)務(wù)類磁條卡業(yè)務(wù)類2.1 請(qǐng)求返回系統(tǒng)信息請(qǐng)求返回系統(tǒng)信息說明：返回系統(tǒng)信息。消息格式：輸入域長(zhǎng)度類型備注命令1H0 x00輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”版本4A版本號(hào)協(xié)議4A修訂日期8A系統(tǒng)最后修訂日期或應(yīng)答碼1A“E”衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 5 -錯(cuò)誤碼1H出錯(cuò)類型SJL05 處理過程：1)如果成功，取出并返回系統(tǒng)版本號(hào)、協(xié)議、最后的修訂日期。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 6 -2.2 返回本地主密鑰狀態(tài)返回本地主密鑰狀態(tài)說明：測(cè)試本地主密鑰是否存在消息格式：輸入域長(zhǎng)度類型備注命令1H0 x01輸出域長(zhǎng)度類

38、型備注應(yīng)答碼1A“A”或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x 01：無主機(jī)主密鑰SJL05 處理過程：1)讀取本地主密鑰；2)如果成功，正常返回，否則返回本地主密鑰不存在出錯(cuò)代碼 0 x01。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 7 -2.3 返回指定區(qū)域主密鑰狀態(tài)返回指定區(qū)域主密鑰狀態(tài)說明：測(cè)試并返回指定區(qū)域主密鑰的狀態(tài)。消息格式：輸入域長(zhǎng)度類型備注命令1H0 x03銀行索引號(hào)2H區(qū)域主密鑰索引號(hào)輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x 0C：非法銀行主密鑰索引號(hào)SJL05 處理過程：1)讀取指定的區(qū)域主密鑰；2)如果成功，正常返回；否則，返回指定的區(qū)域主密鑰不存在

39、出錯(cuò)代碼 0 x0C。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 8 -2.4 定義打印格式定義打印格式說明：定義串口打印機(jī)打印格式。消息格式輸入域長(zhǎng)度類型備注命令碼2H0 x07打印格式定義符NA打印控制符字節(jié)串輸出域長(zhǎng)度類型備注應(yīng)答碼1AA或應(yīng)答碼1AE錯(cuò)誤碼1H0 x30：打印機(jī)未準(zhǔn)備好0 x68：輸入數(shù)據(jù)長(zhǎng)度錯(cuò)加密機(jī)處理過程：加密機(jī)判斷定義符長(zhǎng)度是否超出最大打印緩存空間，如果是，返回出錯(cuò)信息。打印控制符符號(hào)ASCII含義L3E 4C回車按行V3E 56縱向 TabH3E 48橫向 TabF3E 46換頁nnn3E 3n 3n 3nnnn 為 3 位十進(jìn)制數(shù)，表示相對(duì)于左邊界右移多少列P5E

40、 50插入明文 PIN 或者明文密鑰的第一段（最前 64bit）,用于打印 64bit、128bit 或 192bit 的密鑰Q5E 51插入明文密鑰的第二段(中間 64bit)，用于打印 128bit或 192bit 的密鑰R5E 52插入明文密鑰的第三段(最后 64bit)，用于打印 192bit衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 9 -的密鑰T5E 56插入密鑰的校驗(yàn)碼05E 30插入第 0 個(gè)打印字段15E 31插入第 1 個(gè)打印字段.95E 39插入第 10 個(gè)打印字段A5E 41插入第 11 個(gè)打印字段.F5E 46插入第 16 個(gè)打印字段衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/

41、 10 -2.5 存儲(chǔ)一個(gè)索引的區(qū)域主密鑰存儲(chǔ)一個(gè)索引的區(qū)域主密鑰說明：輸入兩個(gè)區(qū)域主密鑰的分量和各自 CheckValue 以及管理員口令，合成區(qū)域主密鑰存儲(chǔ)在指定位置。消息格式：輸入域長(zhǎng)度類型備注命令1H0 x22銀行索引號(hào)2H區(qū)域主密鑰索引號(hào)分量一16H區(qū)域主密鑰分量一分量一校驗(yàn)和4H分量一的校驗(yàn)和分量二16H區(qū)域主密鑰的分量二分量二校驗(yàn)和4H分量二的校驗(yàn)和管理員口令8H銀行密鑰管理員一的口令(ASCII碼)輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”區(qū)域主密鑰16H用本地主密鑰加密后的區(qū)域主密鑰校驗(yàn)碼4H合成的 BMK 的校驗(yàn)碼或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x 0C：非法銀行主密鑰索引號(hào)0 x

42、 80：口令錯(cuò)誤0 x 81：無效的校驗(yàn)值0 x 01：無主機(jī)主密鑰SJL05 處理過程：衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 11 -1)驗(yàn)證管理員口令；2)計(jì)算分量一的校驗(yàn)和，與輸入校驗(yàn)和對(duì)比，驗(yàn)證分量一有效性；3)計(jì)算分量二的校驗(yàn)和，與輸入校驗(yàn)和對(duì)比，驗(yàn)證分量二有效性；4)將分量一與分量二按位異或，生成 16 字節(jié)的區(qū)域主密鑰 ZMK；5)將 ZMK 存儲(chǔ)在區(qū)域主密鑰區(qū)中指定的索引位置；6)取出本地主密鑰 LMK；7)用 LMK 對(duì) ZMK 做 3DES 加密，得到結(jié)果 C_ZMK；8)如果成功，返回加密結(jié)果，區(qū)域主密鑰 C_ZMK 和校驗(yàn)碼。2.6 取回一個(gè)索引的區(qū)域主密鑰取回一個(gè)索

43、引的區(qū)域主密鑰說明：從加密機(jī)中取回指定索引的區(qū)域主密鑰。消息板式：輸入域長(zhǎng)度類型備注命令1H0 x31銀行索引號(hào)2H區(qū)域主密鑰索引號(hào)輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”區(qū)域主密鑰16H用本地主密鑰加密后的區(qū)域主密鑰CheckeValue8H校驗(yàn)值或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x 01：無主機(jī)主密鑰0 x 02 ：無銀行主密鑰0 x 0C：非法銀行主密鑰索引號(hào)衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 12 -SJL05 處理過程：1)取出本地主密鑰 LMK 和索引的區(qū)域主密鑰 ZMK；2)用 LMK 對(duì) ZMK 進(jìn)行 3DES 加密，得到區(qū)域主密鑰的密文C_ZMK；3)如果成功，返回加密結(jié)果 C_

44、ZMK。2.7 取回一個(gè)索引的終端主密鑰取回一個(gè)索引的終端主密鑰說明：從加密機(jī)中取回指定索引的終端主密鑰。消息板式：輸入域長(zhǎng)度類型備注命令1H0 x32終端索引號(hào)2H終端主密鑰索引號(hào)輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”終端主密鑰16H用本地主密鑰加密后的終端主密鑰CheckeValue8H校驗(yàn)值或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x 01：無主機(jī)主密鑰0 x0d：非法終端主密鑰索引號(hào)衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 13 -2.8 加密一個(gè)加密一個(gè) TMK 密鑰密鑰說明：用區(qū)域主密鑰加密一個(gè) TMK 密鑰。消息格式：輸入域長(zhǎng)度類型備注命令1H0 x40TMK 密鑰8HTMK 密鑰明文銀行索引號(hào)

45、2H區(qū)域主密鑰索引輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”終端密鑰8H用區(qū)域主密鑰加密后的終端主密鑰或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x 0C：非法銀行主密鑰索引號(hào)0 x 1C：沒有指定索引的 BMKSJL05 處理過程：1)取出指定的區(qū)域主密鑰 ZMK2)用 ZMK 對(duì)輸入的終端密鑰 TMK 做 3DES 加密，得到 TMK 的密文C_TMK；3)如果成功，返回加密結(jié)果 C_TMK。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 14 -2.9 用用 BMK 解密解密 PIK說明：用 BMK 解密 PIK（采用 3DES 方式） 。消息格式：輸入域長(zhǎng)度類型備注命令1H0 x41PIK 密文8H銀行索引號(hào)2H

46、區(qū)域主密鑰索引輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”PIK 明文8H用區(qū)域主密鑰解密或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x 0C：非法銀行主密鑰索引號(hào)0 x 1C：沒有銀行主密鑰SJL05 處理過程：1)取出指定索引的 BMK。2)用 BMK 對(duì) PIK 進(jìn)行 3DES 解密。3)如果成功返回 PIK 明文。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 15 -2.10 產(chǎn)生動(dòng)態(tài)通信密鑰產(chǎn)生動(dòng)態(tài)通信密鑰說明：產(chǎn)生隨機(jī)通信密鑰。消息格式：輸入域長(zhǎng)度類型備注命令1H0 x50通信主密鑰索引2H區(qū)域主密鑰索引DES/3DES 算法標(biāo)識(shí)1H0：DES1：3DES通信密鑰支持算法1H分散次數(shù) N1H對(duì)通信主密鑰分散次

47、數(shù)（02）分散數(shù)據(jù)N*8H對(duì)通信主密鑰分散的數(shù)據(jù)輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”數(shù)據(jù)長(zhǎng)度2H密文數(shù)據(jù)LH通信密鑰密文或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x E0：無效的索引號(hào)0 x E1：無銀行主密鑰0 x E2：消息長(zhǎng)度錯(cuò)誤0 x E3：無效的標(biāo)志SJL05 處理過程：1)隨機(jī)產(chǎn)生通信密鑰數(shù)據(jù)（DES：8 字節(jié)，3DES：16 字節(jié)） ；2)分散通訊主密鑰（分散算法見附錄 E） ；3)用分散后的通信主密鑰加密通信密鑰（加密算法見附錄 E） 。4)如果成功，返回通信密鑰的長(zhǎng)度及密文。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 16 -2.11 用通信密鑰對(duì)數(shù)據(jù)算用通信密鑰對(duì)數(shù)據(jù)算 MAC，驗(yàn)證，驗(yàn)證

48、MAC說明：用通信密鑰對(duì)數(shù)據(jù)計(jì)算 MAC，與輸入的 MAC 值比較，驗(yàn)證 MAC。消息格式：輸入域長(zhǎng)度類型備注命令1H0 x51通信主密鑰索引2H區(qū)域主密鑰索引DES/3DES 算法標(biāo)識(shí)1H0：DES1：3DESCBC 算法標(biāo)識(shí)1H0：CBC_X98 1：CBC_XORMAC 值4HMAC 值的左四字節(jié)分散次數(shù) N1H對(duì)通信主密鑰分散次數(shù)（02）數(shù)據(jù)長(zhǎng)度 L2H數(shù)據(jù)LH分散因子N*8H對(duì)通信主密鑰分散的數(shù)據(jù)通信密鑰密值16/24HDES：16 字節(jié)3DES：24 字節(jié)輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x E0：無效的索引號(hào)0 x E1：無銀行主密鑰0 x E2：

49、消息長(zhǎng)度錯(cuò)誤0 x E3：無效的標(biāo)志0 x E4：解密錯(cuò)誤0 x E5：無支持的算法0 x E6：驗(yàn)證 MAC 失敗SJL05 處理過程：衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 17 -1)分散通訊主密鑰（分散算法見附錄 E） ；2)用分散后的通信主密鑰解密通信密鑰，并判斷其支持算法是否滿足要求（加密算法見附錄 E） 。3)用通信密鑰對(duì)數(shù)據(jù)計(jì)算 MAC（MAC 算法見附錄 E） 。 4)與輸入的 MAC 值比較。5)如果成功，即計(jì)算 MAC 與輸入 MAC 一致，則正常返回。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 18 -2.12 用通信密鑰對(duì)數(shù)據(jù)計(jì)算用通信密鑰對(duì)數(shù)據(jù)計(jì)算 MAC說明：用通信密

50、鑰對(duì)輸入數(shù)據(jù)計(jì)算 MAC。消息格式：輸入域長(zhǎng)度類型備注命令1H0 x52通信主密鑰索引2H區(qū)域主密鑰索引DES/3DES 算法標(biāo)識(shí)1H0：DES1：3DESCBC 算法標(biāo)識(shí)1H0：CBC_X98 1：CBC_XOR分散次數(shù) N1H對(duì)通信主密鑰分散次數(shù)（02）數(shù)據(jù)長(zhǎng)度 L2H分散因子N*8H對(duì)通信主密鑰分散的數(shù)據(jù)通信密鑰密值16/24HDES：16 字節(jié)3DES：24 字節(jié)輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”MAC4HMAC 值的左四字節(jié)或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x E0：無效的索引號(hào)0 x E1：無銀行主密鑰0 x E2：消息長(zhǎng)度錯(cuò)誤0 x E3：無效的標(biāo)志0 x E4：解密錯(cuò)誤0 x E

51、5：無支持的算法SJL05 處理過程： 1)分散通訊主密鑰（分散算法見附錄 E） ；2)用分散后的通信主密鑰解密通信密鑰，并判斷其支持算法是否滿足衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 19 -要求（加密算法見附錄 E） 。3)用通信密鑰對(duì)數(shù)據(jù)計(jì)算 MAC（MAC 算法見附錄 E） 。4）如果成功，返回 MAC（左邊四個(gè)字節(jié)） 。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 20 -2.13 用通信密鑰對(duì)用通信密鑰對(duì) PIN 密文解密密文解密說明：用通信密鑰對(duì) PIN 密文做解密，返回密文 PIN 的解密結(jié)果。輸入域長(zhǎng)度類型備注命令1H0 x53通信主密鑰索引2H區(qū)域主密鑰索引PIN8HPinBlo

52、ck 密值DES/3DES 算法標(biāo)識(shí)1H0：DES1：3DES分散次數(shù) N1H對(duì)通信主密鑰分散次數(shù)（02）數(shù)據(jù)LH分散因子N*8H對(duì)通信主密鑰分散的數(shù)據(jù)通信密鑰密值16/24HDES：16 字節(jié)3DES：24 字節(jié)輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”PIN8HPinBlock 明文或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x E0：無效的索引號(hào)0 x E1：無銀行主密鑰0 x E2：消息長(zhǎng)度錯(cuò)誤0 x E3：無效的標(biāo)志0 x E4：解密錯(cuò)誤0 x E5：無支持的算法SJL05 處理過程：1)分散通訊主密鑰（分散算法見附錄 E） ；2)用分散后的通信主密鑰解密通信密鑰，并判斷其是否支持 PIN 解密算法（加

53、密算法見附錄 E） 。3)用通信密鑰對(duì) PIN 密文做解密。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 21 -4)如果成功，返回 PinBlock 明文。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 22 -2.14 用通信密鑰轉(zhuǎn)換用通信密鑰轉(zhuǎn)換 PIN說明：轉(zhuǎn)換 PinBlock。消息格式：輸入域長(zhǎng)度類型備注命令1H0 x54通信主密鑰 1 索引2H區(qū)域主密鑰索引通信主密鑰 2 索引2HPIN18HPinBlock 密值DES/3DES 算法標(biāo)識(shí) 11H0：DES1：3DESDES/3DES 算法標(biāo)識(shí) 21H0：DES1：3DES分散次數(shù) N11H對(duì)通信主密鑰 1 分散次數(shù)（0-2）分散次數(shù) N21

54、H對(duì)通信主密鑰 2 分散次數(shù)（0-2）分散因子 1N*8H對(duì)通信主密鑰 1 分散的數(shù)據(jù)分散因子 2N*8H對(duì)通信主密鑰 2 分散的數(shù)據(jù)通信密鑰密值 116/24HDES：16 字節(jié)3DES：24 字節(jié)通信密鑰密值 216/24HDES：16 字節(jié)3DES：24 字節(jié)輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”PIN 密值 28H用通信密鑰 2 加密明文 Pin或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 x E0：無效的索引號(hào)0 x E1：無銀行主密鑰0 x E2：消息長(zhǎng)度錯(cuò)誤0 x E3：無效的標(biāo)志0 x E4：解密錯(cuò)誤衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 23 -E5：無支持的算法SJL05 處理過程：1)分散

55、通訊主密鑰 1 和通信主密鑰 2（分散算法見附錄 E） ；2)用分散后的通信主密鑰 1 解密通信密鑰 1，并判斷其是否支持 PIN變換算法；用分散后的通信主密鑰 2 解密通信密鑰 2，并判斷其是否支持 PIN 加密算法（加密算法見附錄 E） 。3)用通信密鑰 1 對(duì) PIN 密文做解密，解密后的結(jié)果用通信密鑰 2 作加密。4)如果成功，返回 PIN 密文 2 值。衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 24 -2.15 計(jì)算計(jì)算TAC說明：對(duì)輸入數(shù)據(jù)計(jì)算 TAC消息格式：輸入域長(zhǎng)度類型備注命令1H0 x55密鑰索引號(hào)2H調(diào)帳子密鑰索引數(shù)據(jù)長(zhǎng)度2H數(shù)據(jù)NH計(jì)算 TAC 的數(shù)據(jù)輸出域長(zhǎng)度類型備注應(yīng)

56、答碼1A“A”TAC8H計(jì)算后的 TAC或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 xE0：非法銀行主密鑰索引號(hào)0 xE1：無銀行主密鑰0 xE2：數(shù)據(jù)長(zhǎng)度錯(cuò)SJL05 處理過程：1)取出指定的區(qū)域主密鑰 ZMK，用 ZMK 對(duì)輸入數(shù)據(jù)進(jìn)行 TAC 計(jì)算；2)輸出 TAC； 衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 25 -2.16 產(chǎn)生工作密鑰產(chǎn)生工作密鑰說明：產(chǎn)生工作密鑰消息格式：輸入域長(zhǎng)度類型備注命令1H0 x56密鑰索引號(hào)2H調(diào)帳子密鑰索引節(jié)點(diǎn)號(hào)16H下級(jí)節(jié)點(diǎn)終端號(hào)輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”工作密鑰 116H調(diào)帳子密鑰加密的密文工作密鑰 216H分散子密鑰加密的密文 MAC8H工作密鑰 2

57、的 MAC 值或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 xE0：非法銀行主密鑰索引號(hào)0 xE1：無銀行主密鑰SJL05 處理過程：1）出指定的區(qū)域主密鑰 ZMK，用 ZMK 對(duì)下級(jí)節(jié)點(diǎn)號(hào)分散得到子密鑰DTMK；2）產(chǎn)生隨機(jī)工作密鑰，用 ZMK 和 DTMK 加密并輸出3）對(duì) DTMK 加密的密文計(jì)算 MAC 輸出。 衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 26 -2.17 轉(zhuǎn)換工作密鑰轉(zhuǎn)換工作密鑰說明：工作密鑰由通信主密鑰 2 加密轉(zhuǎn)換為通信主密鑰 1 加密消息格式：輸入域長(zhǎng)度類型備注命令1H0 x57通信主密鑰索引號(hào) 12H通信子密鑰索引號(hào) 22H密鑰 116HTEK密鑰 1 的 MAC8HTEK 的

58、 MAC密鑰 216HTAK密鑰 2 的 MAC8HTAK 的 MAC輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”工作密鑰 116HTEK 的密文工作密鑰 216HTAK 的密文或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 xE0：非法銀行主密鑰索引號(hào)0 xE1：無銀行主密鑰0 xE7：MAC 校驗(yàn)錯(cuò)SJL05 處理過程：1）指定的區(qū)域主密鑰 ZMK 和 DTMK2）校驗(yàn) TEK 和 TAK，MAC 是用 DTMK 對(duì) TEK 和 TAK 計(jì)算的結(jié)果3）轉(zhuǎn)換 TEK 和 TAK 的加密密鑰。 衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 27 -2.18 計(jì)算計(jì)算 MAC說明：由輸入的密鑰計(jì)算 MAC消息格式：輸入域長(zhǎng)度類

59、型備注命令1H0 x58通信主密鑰索引號(hào)2H密鑰16H由通信主密鑰加密的 WK數(shù)據(jù)長(zhǎng)度2H數(shù)據(jù)NH輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”MAC8H或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 xE0：非法銀行主密鑰索引號(hào)0 xE1：無銀行主密鑰0 xE2：數(shù)據(jù)長(zhǎng)度錯(cuò)SJL05 處理過程：1）取出通信主密鑰 ZMK，用 ZMK 解密得到工作密鑰2）用 WK 對(duì)輸入數(shù)據(jù)計(jì)算 MAC 并輸出衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 28 -2.19 對(duì)輸入數(shù)據(jù)加對(duì)輸入數(shù)據(jù)加/解密解密說明：消息格式：輸入域長(zhǎng)度類型備注命令1H0 x59通信主密鑰索引號(hào)2H標(biāo)志1H0：加密 1：解密密鑰16H由通信主密鑰加密的 WK數(shù)據(jù)長(zhǎng)

60、度2H為 8 的倍數(shù)長(zhǎng)數(shù)據(jù)NH輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”數(shù)據(jù)長(zhǎng)度2 H數(shù)據(jù)NH明文/密文或應(yīng)答碼1A“E”錯(cuò)誤碼1H0 xE0：非法銀行主密鑰索引號(hào)0 xE1：無銀行主密鑰0 xE3：標(biāo)志錯(cuò)SJL05 處理過程：1）出通信主密鑰 ZMK，用 ZMK 解密得到工作密鑰2）WK 對(duì)輸入數(shù)據(jù)加密或解密（由標(biāo)志位決定）衛(wèi)士通信息產(chǎn)業(yè)股份有限公司http:/ 29 -2.20 PIN 轉(zhuǎn)換轉(zhuǎn)換說明：消息格式：輸入域長(zhǎng)度類型備注命令1H0 x5a通信主密鑰索引號(hào)2H密鑰 116H由通信主密鑰加密的 WKPIN 密文8密鑰 216H由通信主密鑰加密的 WK輸出域長(zhǎng)度類型備注應(yīng)答碼1A“A”PIN8H