JT-T-825.2-2012IC卡道路運輸證件第2部分：IC卡技術(shù)要求

中華人民共和國交通運輸行業(yè)標準IC卡道路運輸證件第2部分：IC卡技術(shù)要求2012-02-20發(fā)布中華人民共和國交通運輸部發(fā)布前言 1范圍 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 5基本技術(shù)要求 6物理特性、信號接口及傳輸協(xié)議 7文件和命令 8安全機制 9應(yīng)用選擇 本部分為JT/T825的第2部分。本部分由交通運輸部信息通信及導(dǎo)航標準化技術(shù)本部分參加起草單位：交通運輸部公路科學(xué)研究院、山西省交通運輸管理局、甘肅省公路運輸管IC卡道路運輸證件第2部分：IC卡技術(shù)要求下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文GB/T14916識別卡物理特性GB/T16649.1識別卡帶觸點的集成電路卡第1部分：物理特性GB/T16649.2識別卡帶觸點的集成電路卡第2部分：觸點的尺寸和位置GB/T16649.3識別卡帶觸點的集成電路卡第3部分：電信號和傳輸協(xié)議JR/T0025中國金融集成電路(IC)卡規(guī)范(2.0版)ISO/IEC7816-4信息技術(shù)識別卡有觸點的集成電路卡第4部分：用于交換的行業(yè)間信令[Identificationcards-Integratedcircuit(s)cardswithcontactsPart4:Interin-tegratedcircuitcardsPart5:Registrationofapptactlessintegratedcircuit(s)cards-ProximityISO/IEC14443-2識別卡無觸點集成電路卡第2部分：耦合區(qū)域的尺寸和位置[Identifica-tioncards-Contactlessintegratedcircuit(s)cards-ProximitycardsPart2:Radiocards-Contactlessintegratedcircutactlessintegratedcircuit(s)cards-ProximitycardsPart4:Transmissionproto-TSAM卡transportationsecureaccessmodulecard應(yīng)用于IC卡道路運輸證件系統(tǒng)中的安全控報文鑒別代碼messageauthenticationcode物理卡號physicalcardnumberDEA——數(shù)據(jù)加密算法(dataencryptionalgorithm)EF——基本文件(elementaryfile)INS——命令報文的指令字節(jié)(instructionbyteofcommanLc——終端發(fā)出的命令數(shù)據(jù)的實際長度(exactlengthofdatasentbythetalinacase3or4command)Le——響應(yīng)數(shù)據(jù)的最大期望長度(maximumlengthofdataexpectedbythetalinresponsetoacase2orPICC——接近式卡(proximitycard)SFI——短文件標識符(shortfi—非接觸式CPU卡；—卡片通信協(xié)議符合ISO/IEC14443規(guī)定的通信協(xié)議；—存儲容量不小于16kbytes;——芯片工作溫度-25℃~+70℃,靜電保護2000V以上；—數(shù)據(jù)保存時間在10年以上，擦寫次數(shù)10萬次以上； —在通信過程中支持多種安全保護機制(信息的機密性和完整性保護);——支持第8章所規(guī)定的3DES算法，支持國家認可的加密算法。 接觸界面應(yīng)支持PPS,握手通信速率從9600bit/s開始，可以支持更高通信速率—存儲容量不小于8kbytes,存儲器為NVM;——數(shù)據(jù)保存時間在10年以上，擦寫次數(shù)10萬次以上；——芯片工作溫度-25℃~+70℃,靜電保護4000V以上； ——支持第8章所規(guī)定的3DES算法，支持國家認可的加密算法； IC卡道路運輸證件的物理特性應(yīng)符合ISO/IEC14443-1中有關(guān)物理特性的要求。IC卡道路運輸證件的初始化和防沖突應(yīng)符合ISO/IEC14443-3中的初始化、防沖突等要求。在初始廠商標識卡片COS標識符卡片COS版本號卡片COS修訂號一個字節(jié)一個字節(jié)一個字節(jié)一個字節(jié)注：卡片COS標識符使用A～Z中的任意一個字母表示。接觸式CPU卡封裝形式的TSAM卡的物理特性應(yīng)符合GB/T16649.1的要求。是一個ADF。一個ADF是一個或多個AEF的入口點。一個ADF及其相關(guān)數(shù)據(jù)文件處于樹的同一分——包含一個FCI的DF(ISO/IEC7816-4中定義)被映象為ADF,可通過它來訪問EF和DF,在卡中——包含一組記錄中的EF(ISO/IEC7816-4中定義)被映象為AEF,EF不能作為進入另一個不同目錄結(jié)構(gòu)采用以其AID的方式進入一個應(yīng)用，或以AI由包括在每個DDF中的FCI的目錄SFI數(shù)據(jù)對象指定可通過其文件標識符查詢，每個文件的標識符在給定的應(yīng)用中應(yīng)是唯SFI用于選擇AEF。對給定應(yīng)用中的任何AEF,可以通過SFI(五位代碼，取值范圍1～30)查詢。SFIData命令A(yù)PDU中發(fā)送的數(shù)據(jù)字節(jié)數(shù)用Lc(命令數(shù)據(jù)域的長度)表示。響應(yīng)APDU中期望返回的數(shù)據(jù)字節(jié)數(shù)用Le(期望數(shù)據(jù)長度)表示。當Le存在且值為0時，表示需要長度(字節(jié))CLA命令類別1指令代碼1指令參數(shù)11指令參數(shù)21命令數(shù)據(jù)域中存在的字節(jié)數(shù)Data命令發(fā)送的數(shù)據(jù)位串(=Lc)可變響應(yīng)數(shù)據(jù)域中期望的最大數(shù)據(jù)字節(jié)數(shù)表3響應(yīng)APDU的內(nèi)容長度(字節(jié))Data響應(yīng)中接收的數(shù)據(jù)位串(=Lr)變長命令處理狀態(tài)1命令處理限定1IC卡道路運輸證件基本命令集見表4。編號CLA1APPLICATIONBLOCK應(yīng)用鎖定2APPLICATIONUNBLOCK應(yīng)用解鎖3CARDBLOCK卡片鎖定4CHANGEPIN修改個人識別碼5PINUNBLOCK解鎖個人識別碼6RELOADPIN重裝個人識別碼7VERIFY校驗個人識別碼8GETCHALLENGE取隨機數(shù)9GETRESPONSE取響應(yīng)數(shù)據(jù)EXTERNALAUTHENTICATE外部認證INTERNALAUTHENTICATE內(nèi)部認證READBINARYBO讀二進制文件READRECORDB2讀記錄文件UPDATEBINARYD6寫二進制文件UPDATERECORDDC寫記錄文件APPENDRECORD添加記錄SELECTA4選擇文件注：編號1～9命令參見JR/T0025。TSAM卡基本命令集見表5。編號CLA1GETCHALLENGE取隨機數(shù)2GETRESPONSE取響應(yīng)數(shù)據(jù)3EXTERNALAUTHENTICATE外部認證4SELECTFILEA4選擇文件5READBINARYB0讀二進制文件6UPDATEBINARYD6寫二進制文件7READRECORDB2讀記錄文件8UPDATERECORDDC寫記錄文件9WRITEKEYD4裝載/更新密鑰INIT_FOR_DESCRYPT準備密鑰為數(shù)據(jù)計算CIPHERDATA對數(shù)據(jù)進行安全計算注：編號1～2命令參見JR/T0025。代碼CLAP1P2b8b7b6b5b4b3b2bl0XXxxXXX全局密鑰標識1XXXXXXX局部密鑰標識00000000DATA認證數(shù)據(jù)不存在命令報文數(shù)據(jù)域中包含對取隨機數(shù)命令(GETCHALLENGE)取回的數(shù)據(jù)按照第8章定義計算的命令執(zhí)行成功使用條件不滿足認證失敗，還可以認證x次功能不支持寫EEPROM失敗P1、P2參數(shù)錯Lc長度錯誤未找到密鑰數(shù)據(jù)不滿足安全狀態(tài)命令不存在認證密鑰鎖定引用數(shù)據(jù)無效(未申請隨機數(shù))應(yīng)用永久鎖定代碼0XXxXXXX全局密鑰標識1XXXXXXX局部密鑰標識00000000輸入數(shù)據(jù)命令報文數(shù)據(jù)域的內(nèi)容是接口設(shè)備發(fā)來的數(shù)據(jù)(隨機數(shù)或雙方定義好的數(shù)據(jù))。密鑰索引對應(yīng)的密鑰為加密密鑰進行3DES加密運算的結(jié)果。IC卡可能回送的響應(yīng)信息狀態(tài)碼見表9。命令執(zhí)行成功功能不支持返回數(shù)據(jù)可能有錯P1、P2參數(shù)錯標志狀態(tài)位未變未找到密鑰數(shù)據(jù)Lc長度錯誤命令不存在不滿足安全狀態(tài)使用條件不滿足應(yīng)用永久鎖定表10READBINARY命令報文代碼BO0XXXXXXX當前文件高位地址100XXXXX通過SFI方式訪問若P1的b8=0,P2為文件的低位地址若P1的b8=1,P2為文件地址表10(續(xù))代碼CLA=00時，不存在CLA=04時，Lc=04DATACLA=00時，不存在CLA=04時，為MAC數(shù)據(jù)期望返回的數(shù)據(jù)長度表11READBINARY響應(yīng)信息狀態(tài)碼命令執(zhí)行成功安全信息(MAC和加密)數(shù)據(jù)錯誤還有xx個字節(jié)數(shù)據(jù)要返回功能不支持返回數(shù)據(jù)可能有錯未找到文件P1、P2參數(shù)錯Lc長度錯誤未找到密鑰數(shù)據(jù)當前文件不是二進制文件起始地址超出范圍不滿足安全狀態(tài)Le長度錯誤，xx表示實際長度認證密鑰鎖定命令不存在引用數(shù)據(jù)無效(未申請隨機數(shù))使用條件不滿足應(yīng)用永久鎖定沒有選擇當前文件表12READRECORD命令報文代碼00或04記錄號00000當前文件XXXXX——————通過SFI方式訪問100P1作為記錄號CLA=00時，不存在CLA=04時，Lc=04DATACLA=00時，不存在CLA=04時，為MAC數(shù)據(jù)期望返回的記錄數(shù)據(jù)IC卡可能回送的響應(yīng)信息狀態(tài)碼見表13。命令執(zhí)行成功沒有選擇當前文件XX還有xx個字節(jié)數(shù)據(jù)要返回安全信息(MAC和加密)數(shù)據(jù)錯誤返回數(shù)據(jù)可能有錯功能不支持標志狀態(tài)位未變未找到文件未找到記錄Lc長度錯誤P1、P2參數(shù)錯當前文件不是記錄文件未找到密鑰數(shù)據(jù)不滿足安全狀態(tài)起始地址超出范圍認證密鑰鎖定XXLe長度錯誤，xx表示實際長度引用數(shù)據(jù)無效(未申請隨機數(shù))CLA錯使用條件不滿足應(yīng)用永久鎖定表14UPDATEBINARY命令報文代碼CLAD6P1b8b7b6b5b4b3b2b10XXXXXXX當前文件高位地址00XXXXX通過SFI方式訪問P2若P1的b8=0,P2為文件的低位地址若P1的b8=1,P2為文件地址DATA數(shù)據(jù)域長度DATA修改用的數(shù)據(jù)+報文鑒別代碼(MAC)數(shù)據(jù)元(四個字節(jié))不存在IC卡可能回送的響應(yīng)信息狀態(tài)碼見表15。命令執(zhí)行成功安全信息(MAC和加密)數(shù)據(jù)錯誤功能不支持Lc長度錯誤未找到文件當前文件不是二進制文件P1、P2參數(shù)錯不滿足安全狀態(tài)未找到密鑰數(shù)據(jù)認證密鑰鎖定起始地址超出范圍引用數(shù)據(jù)無效(未申請隨機數(shù))命令不存在使用條件不滿足沒有選擇當前文件應(yīng)用永久鎖定表16UPDATERECORD命令報文代碼CLADCP1記錄號P2b8b7b6b5b4b3b2b100000—當前文件XXXXX通過SFI方式訪問00P1作為記錄號000第一個記錄00最后一個記錄00上一個記錄01下一個記錄DATA數(shù)據(jù)域長度DATA更新原有記錄的新記錄+報文鑒別代碼(MAC)數(shù)據(jù)元(四個字節(jié))不存在命令報文數(shù)據(jù)域由更新原有記錄的新記錄和報文鑒別代碼(MAC)數(shù)據(jù)元(四個字節(jié))組成。IC卡可能回送的響應(yīng)信息狀態(tài)碼見表17。表17UPDATERECORD響應(yīng)信息狀態(tài)碼命令執(zhí)行成功當前文件不是記錄文件不滿足安全狀態(tài)Lc長度錯誤認證密鑰鎖定表17(續(xù))引用數(shù)據(jù)無效(未申請隨機數(shù))存儲空間不夠使用條件不滿足P1、P2參數(shù)錯沒有選擇當前文件未找到密鑰數(shù)據(jù)安全信息(MAC和加密)數(shù)據(jù)錯誤起始地址超出范圍功能不支持命令不存在未找到文件未找到記錄應(yīng)用永久鎖定7.2.3.8.1定義和范圍表18APPENDRECORD命令報文代碼CLA00000000當前的EF文件XXXXX000用SFI方式DATA域數(shù)據(jù)長度DATA添加新記錄用的數(shù)據(jù)+報文鑒別代碼(MAC)數(shù)據(jù)元(四個字節(jié))不存在響應(yīng)信息中可能出現(xiàn)的狀態(tài)碼見表19。命令執(zhí)行成功功能不支持未找到文件Lc長度錯誤記錄空間已滿當前文件不是記錄文件Lc與TLV結(jié)構(gòu)不匹配不滿足安全狀態(tài)P1、P2參數(shù)錯認證密鑰鎖定未找到密鑰數(shù)據(jù)引用數(shù)據(jù)無效(未申請隨機數(shù))命令不存在使用條件不滿足沒有選擇當前文件應(yīng)用永久鎖定安全信息(MAC和加密)數(shù)據(jù)錯誤用條件限制。該命令不能用于選擇安全文件(SF)。表20SELECT命令報文代碼代碼CLAP202,選擇下一個文件(P1=04)A4P100,通過FID選擇DF、EF,當Lc=00時01,通過FID選擇DF02,通過FID選擇當前DF下的EF03,選擇父目錄(Lc=00)04,通過DF名選擇應(yīng)用P1=00時，Lc=00或02P1=01～02時，Lc=02P1=03時，Lc=00P1=04時，Lc=01～10Data文件標識符(FID——兩個字節(jié))文件名(P1=04)FCI文件的信息長度(選擇DF時)響應(yīng)報文數(shù)據(jù)域應(yīng)包括所選擇的DDF或ADF的FCI。本部分不規(guī)定FCI中回送的附加標志表21定義了成功選擇DDF后回送的FCI。表21SELECTDDF的響應(yīng)報文(FCI)標簽值存在性FCI模板MDF名MA5FCI數(shù)據(jù)專用模板M目錄基本文件的SFIM9F0CFCI文件內(nèi)容0注：M——必備，0——可選。表22定義了成功選擇ADF后回送的FCI。表22SELECTADF的響應(yīng)報文(FCI)標簽值存在性FCI模板MDF名MA5FCI數(shù)據(jù)專用模板M9F0CFCI文件內(nèi)容09F08版本信息0注：M——必備，0——可選。7.2.3.9.5響應(yīng)報文狀態(tài)碼響應(yīng)信息中可能出現(xiàn)的狀態(tài)碼見表23。命令執(zhí)行成功功能不支持選擇文件無效未找到文件FCI格式與P2指定的不符P1、P2參數(shù)錯誤標志狀態(tài)位未變Lc與P1、P2不匹配Lc長度錯誤命令不存在7.2.3.10.1定義和范圍WRITEKEY命令可向卡中裝載密鑰或更新卡中已存在的密鑰。本命令可支持八個字節(jié)或16個字在密鑰裝載前應(yīng)用GETCHALLENGE命令從TSAM卡取一個四個字節(jié)的隨機數(shù)。代碼代碼CLA14或1CD4Data加密后的密鑰信息和報文鑒別代碼(MAC)數(shù)據(jù)元不存在命令報文數(shù)據(jù)域包括要裝載的密鑰密文信息和MAC。密鑰密文信息是用主控密鑰對以下數(shù)據(jù)加密(按所列順序)產(chǎn)生的：——CLA; ——P1;——P2;——Lc;加密和MAC計算的方法遵循8.6.3.5的規(guī)定。裝載八個字節(jié)的單長度密鑰時，數(shù)據(jù)長度為14h;裝載16個字節(jié)的雙長度密鑰時，數(shù)據(jù)長度為1Ch,TSAM卡可能回送的錯誤狀態(tài)字見表25。內(nèi)存失敗不支持此功能Lc長度錯參數(shù)P1、P2不正確認證密鑰鎖定未找到密鑰參數(shù)引用數(shù)據(jù)無效(未取隨機數(shù))命令不存在使用條件不滿足(應(yīng)用非永久鎖定)安全報文數(shù)據(jù)項不正確應(yīng)用永久鎖定數(shù)據(jù)域參數(shù)不正確INITFORDESCRYPT命令用來初始化通用密鑰計算過程。TSAM卡將利用卡中指定的密鑰進行——重裝PIN密鑰。表26INIT_FOR_DESCRYPT命令報文代碼代碼CLA待處理數(shù)據(jù)的長度00,分散級數(shù)為0時08,分散級數(shù)為1時10,分散級數(shù)為2時其他值保留P1密鑰用途P2密鑰標識Data分散因子(Ic=“00”,不存在)不存在命令報文數(shù)據(jù)域包括待處理的輸人數(shù)據(jù)。數(shù)據(jù)長度為8的整數(shù)倍，長度也可以為0。密鑰類型取密TSAM卡可能回送的錯誤狀態(tài)字見表27。Lc長度錯參數(shù)P1、P2不正確不滿足安全狀態(tài)未找到密鑰數(shù)據(jù)認證密鑰鎖定命令不存在使用條件不滿足(應(yīng)用非永久鎖定)不支持此功能應(yīng)用永久鎖定7.2.3.12.1定義和范圍CIPHERDATA命令利用指定的密鑰進行運算。若一條命令無法傳輸所有的待處理數(shù)據(jù)，可分幾條MAC計算遵循8.6.3.5的規(guī)定，數(shù)據(jù)的填充在卡片外面進行，卡片只支持長度為8的整數(shù)倍數(shù)據(jù)的MAC計算、CIPHERDATA命令應(yīng)在INITFORDESCRYPT命令成功執(zhí)行后才能進行?？ㄆ瑺顟B(tài)在執(zhí)行無后表28CIPHERDATA命令報文代碼代碼CLA要加密的數(shù)據(jù)長度FADATA要加密的數(shù)據(jù)P1命令引用控制參數(shù)，見表29不存在P2表29CIPHERDATA命令引用控制參數(shù)b8b7b6b5b4b3b2blX計算模式：——0,加密；——1,MAC計算X后續(xù)塊：——0,無后續(xù)塊；——1,有后續(xù)塊X初始值(僅對MAC計算有效):——0,無初始值；——1,有初始值P1值如下：——00h,無后續(xù)塊加密；——01h,下一塊MAC計算；——02h,有后續(xù)塊加密；——03h,最后一塊MAC計算；——其他，保留。7.2.3.12.3命令報文數(shù)據(jù)域命令報文數(shù)據(jù)域包括要加密的數(shù)據(jù)，加密數(shù)據(jù)的長度為8的整數(shù)倍。在P1的b3位為1時，待處理數(shù)據(jù)的前八個字節(jié)為MAC計算的初始值。7.2.3.12.4響應(yīng)報文數(shù)據(jù)域在P1的b1位為0時，響應(yīng)報文數(shù)據(jù)域包括加密結(jié)果，數(shù)據(jù)長度是8的整數(shù)倍。在P1的b1位為1,且P1的b2位為0時，響應(yīng)報文數(shù)據(jù)域包括四個字節(jié)的MAC。7.2.3.12.5響應(yīng)報文狀態(tài)字此命令執(zhí)行成功的狀態(tài)字是“9000”。TSAM卡可能回送的錯誤狀態(tài)字見表30。表30CIPHERDATA警告狀態(tài)Lc長度錯參數(shù)P1、P2不正確不滿足安全狀態(tài)未找到密鑰數(shù)據(jù)認證密鑰鎖定命令不存在使用條件不滿足(應(yīng)用非永久鎖定)不支持此功能應(yīng)用永久鎖定用于一種特定功能(如年審)的加密/解密密鑰不能被任何其他功能所使用，包括保存在IC卡中的密8.2.1密鑰關(guān)系表IC卡中使用的密鑰均為雙倍長DEA密鑰(128bit長),表31描述了IC卡密鑰的推導(dǎo)方法和密鑰產(chǎn)內(nèi)部認證密鑰內(nèi)部認證主密鑰(MIAK)內(nèi)部認證子密鑰(DIAK),由MIAK分散推導(dǎo)獲得外部認證密鑰外部認證主密鑰(MEAK)外部認證子密鑰(DEAK),由MEAK分散推導(dǎo)獲得應(yīng)用維護密鑰應(yīng)用維護主密鑰(MAMK)應(yīng)用維護子密鑰(DAMK),由MAMK分散推導(dǎo)獲得文件維護密鑰文件維護主密鑰(MFMK)文件維護子密鑰(DFMK),由MFMK分散推導(dǎo)獲得用于解鎖PIN的密鑰PIN解鎖主密鑰(MPUK)PIN解鎖子密鑰(DPUK),由MPUK分散推導(dǎo)獲得用于重裝PIN的密鑰PIN重裝主密鑰(MPRK)PIN解鎖子密鑰(DPRK),由MPRK分散推導(dǎo)獲得簡稱Diversify,是指將一個雙長度的密鑰MK,對八個字節(jié)的分散數(shù)據(jù)進行處理，推導(dǎo)出一個雙長度IC卡應(yīng)該能夠保證用于3DES算法的對稱密鑰及個人密碼PIN(如果使用)在IC卡中的安全存放，用終端設(shè)備發(fā)來的隨機數(shù)和自身存儲的密鑰進行加密計算，由終端設(shè)備根據(jù)計算結(jié)果認證IC卡的合命令“GETCHALLENGE”命令獲得的八個字節(jié)隨機數(shù)進行3D按照以下方式使用3DEA加密方式產(chǎn)生MAC: ——第二步：按照順序?qū)⒁韵聰?shù)據(jù)連接在一起形成數(shù)據(jù)塊：計算MAC的Lc的輸入值是4～FE,而不是0,CLA包括安全報文的表明(“X4”)。2)在命令的數(shù)據(jù)域中(如果存在)包含明文或加密的數(shù)據(jù)(例如：如果要更改車輛年審信息，加密后的車輛年審信息數(shù)據(jù)塊放在命令數(shù)據(jù)域中傳輸)?！谝徊剑簩⒁粋€八個字節(jié)長的初始變量設(shè)定為十六進制的“0x0000000000000000”;——第二步：新PIN值為輸入數(shù)據(jù)塊； 的長度有可能是一個至八個字節(jié)；一第四步：如果最后一個數(shù)據(jù)塊的長度是八個字節(jié)，則在其后加上十六進制數(shù)字“8000000000000000”,轉(zhuǎn)到第五步；如果最后一個數(shù)據(jù)塊的長度不足八個字節(jié)，則在其后加上十六進制數(shù)字“80”,如果達到八個字節(jié)長度，則轉(zhuǎn)入第五步；否則在其后加入十六進制數(shù)字“0”,直到長度達到八個字節(jié)； 第五步：對這些數(shù)據(jù)塊使用指定的MAC密鑰進行加密，密鑰按照8.2描述的方式產(chǎn)生；安全報文傳送的處理支持雙長度MACDEA密鑰，則使用MAC計算密鑰A和B(MAC的產(chǎn)生見圖3);注：根據(jù)第二步產(chǎn)生的數(shù)據(jù)塊的長度，計算過程有可能多于或少于四步。 第六步：最終得到從計算結(jié)果左側(cè)取得的四個字節(jié)長度的MAC。D1D1D2D3D4初始值KEY_LDEA(e)DEA(e)DEA(e)DKEY_RDEA(d)KEY_LDEA(e)MAC8.6.4數(shù)據(jù)可靠性8.6.4.1數(shù)據(jù)加密密鑰的計算在安全報文處理過程中用到的數(shù)據(jù)，加密過程中用到的密鑰是按照8.2中描述的方式產(chǎn)生的。8.6.4.2被加密數(shù)據(jù)的結(jié)構(gòu)當命令中要求的明文數(shù)據(jù)需要加密時，它先要被格式化為以下形式的數(shù)據(jù)塊：——填充字符(根據(jù)8.6.4.3)。數(shù)據(jù)塊使用按8.6.4所描述的方法產(chǎn)生的數(shù)據(jù)加密過程密鑰進行解密；采用雙長度數(shù)據(jù)加密的DEA密鑰，則數(shù)據(jù)塊的解密見圖5(使用數(shù)據(jù)加密過程密鑰A和B來進行解密);KEY_LDEA(e)DEA(d)KEY_RDEA(d)KEYRDEA(e)DEA(e)KEY_LDEA(d)明文圖4使用雙長度DEA密鑰的數(shù)據(jù)加密圖5使用雙長度DEA密鑰的數(shù)據(jù)解密 MAC有安全報文傳送要求的命令情況如下：CLAP1P2MAC命令數(shù)據(jù)命令數(shù)據(jù)MACCLA的第二個半字節(jié)是“4”,表明支持第二種情況的安全報文傳送技術(shù)。Lc為命令數(shù)據(jù)加上MACCLA命令數(shù)據(jù)命令數(shù)據(jù)MAC8.7加密算法8.7.1認可的加密算法8.7.2對稱算法(3DES)安全報文允許使用3DES加密算法，以下定義的3DES加密版本都可以用在加密運算和MAC機制中。3DES加密是指使用雙長度(16個字節(jié))密鑰K=