标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
JTT825.2-2012 IC卡道路运输证件 第2部分:IC卡技术要求7.1.1文件存储方式
文件中数据元以记录方式或二进制方式存储
7.1.2. 1基本要求
本部分文件结构符合GB/T16649.4的相关规定。 IC卡中RTSA的路径可以通过明确选择RTSE来激活。一个成功的RTSE选择能够对目录结构进行 访问。 从终端角度来看,RTSA相关的RTSE文件呈一种可通过日录结构访问的树形结构。树的每一分支 是一个ADF。一个ADF是一个或多个AEF的人口点。一个ADF及其相关数据文件处于树的同一分 支上。
SLZ 589-2013 水利信息化业务流程设计方法通用指南7.1.2.2应用数据文件
ADF的树形结构应满足以下要求: 能够将数据文件与应用联系起来; 确保应用之间的独立性; 可以通过应用选择实现对其逻辑结构的访问。 从终端角度看,ADF是一个只包含其FCI中纯数据对象的文件。
7.1.2.3应用基本文件
7.1.2.4文件结构中文件的映象
7.1.2.5且录结构
IC卡支持用于RTSE应用列表的目录结构,RTSE由发卡方通过目录选择。目录结构包括一个必备 的道路运输系统IIR文件和一些可选的由DDF引用的附加目录。 目录结构采用以其AID的方式进人个应用,或以AID的前N个字节作为DDF名的方式进人一组 应用。 在RTSE选择的响应报文中对DIR文件进行编码(参见SELECT命令)。
7.1.3.1通过文件名查询
卡中的任何ADF、DDF可通过其DF名查询,ADF的DF名对应其AID,每个DF名在给定 推一的。
7.1.3.2通过文件标识符(FID)查询
卡中的任何ADF、DDF、EF可通过其文件标识符查询,每个文件的标识符在给定的应 一的。
7.1.3.3通过短文件标识符(SFI)查询
I用于选择AEF。对给定应用中的任何AEF,可以通过SFI(五位代码,取值范围1~30)查询 在每个用到它的命令中描述,在一个给定的应用中SFI应是唯一的,专用SFI的使用由应用决 APDU命今
7.2.1APDU命令的内容及格式
图1命令APDU结构
命令APDU中发送的数据字节数用Lc(命令数据域的长度)表示。 响应APDU中期望返回的数据字节数用Le(期望数据长度)表示,当Le存在且值为0时,表示需要 最大字数(256个字节)。在命令报文需要时,Le始终被设为“00”。 命令APDU报文的内容见表2。
表2命令APDU的内容
.2APDU响应的内容
图2响应APDU结构
表3响应APDU的内容
7.2.3.1基本命令集
IC卡道路运输证件基本命令集见表4。
表4IC卡道路运输证件基本命令集
M卡基本命令集见表5。
表5TSAM卡基本命令集
7.2.3.2 EXTERNAL AUTHENTICATION 命令
7.2.3.2.1定义和范围
EXTERNALAUTHENTICATION命令要求IC卡中的应用验证密码。 IC卡的响应包括命令处理状态的回送。
7.2.3.2.2命令报文
NALAUTHENTICATION命令报文编码见表6
表6EXTERNALAUTHENTICATION命令报文
EXTERNALAUTHENTICATION命令使用的算法参考值(P1)编码为“0O”,表示无信息。 在命令发出之前是已知的,或者在数据域中提供
JT/T825.2—20127.2.3.2.3命令报文数据域命令报文数据域中包含对取随机数命令(GETCHALLENGE)取回的数据按照第8章定义计算的3DES加密值。如果取随机数命令(CETCHALLENCE)取回八个字节数据,则作为输人数据进行3DES计算。7.2.3.2.4响应报文数据域响应报文数据域不存在。7.2.3.2.5响应报文状态字IC卡可能回送的响应信息状态码见表7。表7EXTERNALAUTHENTICATION响应信息状态码SW1SW2说明SW1SW2说明9000命令执行成功6985使用条件不满足63Cx认证失败,还可以认证x次6A81功能不支持6581写EEPROM失败6A86P1、P2参数错6700Lc长度错误6A88未找到密钥数据6982不满足安全状态6D00命令不存在6983认证密钥锁定6F.00 CIA错6984引用数据无效(未中请随机数)9303应用永久锁定7.2.3.3INTERNALAUTHENTICATION命令7.2.3.3.1定义和范围INTERNALAUTHENTICATION命令提供了利用接口设备发来的数据(随机数或双方定义好的数据)和自身存储的相关密钥进行数据认证的功能。7.2.3.3.2命令报文INTERNALAUTHENTICATION命令报文编码见表8。表8INTERNALAUTHENTICATION命令报文代码数值CLA00INS88P100b8b7b6b5b4b3b2b1说明0xxxxxxx全局密钥标识P21xxxxxx局部密钥标识00000000当前DF下的MKLc08DATA输人数据Le0821
INTERNALAUTHENTICATION命令的参数PI为“OO”时的含义是无信息。PI的值可事先得到,也 可以在数据域中提供
7.2.3.3.3命令报文数据域
域的内容是接口设备发来的数据(随机数或双
7.2.3.3.4响应报文数据域
应报文数据域的内容是相关认证数据,是以命令报文数据域的内容作为输入,以P2参数所指 引对应的密钥为加密密钥进行3DES加密运算的结果
7.2.3.3.5响应报文状态字
IC卡可能回送的响应信息状态码见表9。
表9INTERNALAUTHENTICATION响应信息状态码
7.2.3.4READBINARY命令
7.2.3.4.1定义和范围
ADBINARY命令用于读出二进制文件的内容。
7.2.3.4.2命令报文
READBINARY命令报文编码见表10
表10READBINARY命令报文
7.2.3.4.3命令报文数据域
一般情况下,命令报义数据域不存在。当使用安全报文时,命令报文数据域中应包含MAC。M 方法和长度由应用决定。
7.2.3.4.4响应报文数据域
应报文数据域的内容是明文或密文数据。
7.2.3.4.5响应报文状态字
.4.5响应报文状态宇
IC卡可能回送的响应信状态码见表11。
表11READBINARY响应信息状态码
5READRECORD命
7.2.3.5.1定义和范围
READRECORD命令用于读出记录文件的内容。
7.2.3.5.2命令报文
READRECORD命令报文编码见表12
表12READRECORD命令报文
7.2.3.5.3命令报文数据域
般情况下,命令报文数据域不存在。当使用安全报文时,命令报文数据域巾应包含MAC。M 法和长度由应用决定。
7.2.3.5.4响应报文数据域
7.2.3.5.5响应报文状态字
IC卡可能回送的响应信息状态码见表13
表13READRECORD响应信息状态码
JT/T825.2—20127.2.3.6UPDATEBINARY命令7.2.3.6.1定义和范围UPDATEBINARY命令用于更新二进制文件的内容。7.2.3.6.2命令报文UPDATEBINARY命令报文编码见表14。表14UPDATEBINARY命令报文代码数值CLA00或04INSD6b8b7b6b5b4b3b2b1说明P10xxxxxxx当前文件高位地址100xxX通过SFI方式访问若P1的b8=0,P2为文件的低位地址P2若P1的b8=1,P2为文件地址LcDATA数据域长度DATA修改用的数据+报文鉴别代码(MAC)数据元(四个字节)Le不存在7.2.3.6.3命令报文数据域命令报文数据域包括更新原有数据的新数据。报文鉴别代码(MAC)数据元:四个字节。7.2.3.6.4响应报文数据域响应报文数据域不存在。7.2.3.6.5响应报文状态字IC卡可能回送的响应信息状态码见表15。表15UPDATEBINARY响应信息状态码SW1SW2说明SW1SW2说明9000命令执行成功6988安全信息(MAC和加密)数据错误6581写EEPROM失败6A81功能不支持6700Le长度错误6A82未找到文件6981当前文件不是二进制文件6A86P1、P2参数错6982不满足安全状态6A88未找到密钥数据6983认证密钥锁定6B00起始地址超出范围6984引用数据无效(未申请随机数)6D00命令不存在6985使用条件不满足6E00CLA错6986没有选择当前文件9303应用永久锁定25
JT/T825.2—2012表17(续)SW1SW2说明SW1SW2说明6984引用数据无效(未申请随机数)6A84存储空间不够6985使用条件不满足6A86P1、P2参数错6986没有选择当前文件6A88未找到密钥数据6988安全信息(MAC和加密)数据错误6B00起始地址超出范围6A81功能不支持6D00命令不存在6A82未找到文件6E00CLA错6A83未找到记录9303应用永久锁定7.2.3.8APPENDRECORD命令7.2.3.8.1定义和范围APPENDRECORD命令用于向记录文件中添加新记录。对循环记录文件,可无限添加记录;对其他记录文件,只能添加到文件的最后条记录。APPENDRECORD命令的执行应满足访问文件的添加权限和添加属性。7.2.3.8.2命令报文APPENDRECORD命令报文格式见表18。表18APPENDRECORD命令报文代码数值CLA00或04INSE2P100b8b7b6b5b4b3b2b1说明P200000000当前的EF文件xxx000用SFI方式LeDATA域数据长度DATA添加新记录用的数据+报文鉴别代码(MAC)数据元(四个字节)Le不存在7.2.3.8.3命令报文数据域命令报文数据域包括添加新记录的新数据。报文鉴别代码(MAC)数据元:四个字节。7.2.3.8.4响应报文数据域响应报文数据域不存在。27
7.2.3.8.5响应报文状态码
中可能出现的状态码见
表19APPENDRECORD响应信息状态码
7.2.3.9 SELECT 命令
7.2.3.9.1定义和范围
ELECT命令通过文件标识或文件名选择IC卡中的MF、DDF、ADF或EF文件。SELECT命 牛限制。该命令不能用于选择安全文件(SF)
7.2.3.9.2命令报文
SELECT命令报文编码见表20
SELECT命令报文编码见表20
表20SELECT命令报文
7.2.3.9.3命令报文数据域
命令报文数据域包括文件标识符或文件名
JT/T825.2—20127.2.3.9.4响应报文数据域响应报文数据域应包括所选择的DDF或ADF的FCI。本部分不规定FCI中回送的附加标志。表21定义了成功选择DDF后回送的FCI。表21SELECTDDF的响应报文(FCI)标签值存在性6FFCI模板M84DF名MA5FCI数据专用模板M88月录基本文件的SFIM9FOCFCI文件内容0注:M———必备,0—可选。表22定义了成功选择ADF后回送的FCI。表22SELECTADF的响应报文(FCI)标签值存在性6FFCI模板M84DF名MA5FCI数据专用模板M9FOCFCI文件内容09F08版本信息0注:M—一必备,0——可选。7.2.3.9.5响应报文状态码响应信息中可能出现的状态码见表23。表23SELECT响应报文SW1SW2说明SW1SW2说明9000命令执行成功6A81功能不支持6283选择文件无效6A82未找到文件6284FCI格式与P2指定的不符6A86P1、P2参数错误6400标志状态位未变6A87Lc与P1、P2不匹配6700Le长度错误6D00命令不存在29
7.2.3.10WRITEKEY命令
7.2.3.10.1定义和范围
WRITEKEY命令可向卡中装载密钥或更新卡中已存在的密钥。本命令可支持八个节或16个字 节的密钥,密钥写人应采用加密的方式,在主控密钥的控制下进行。 在密钥装载前应用GETCHALLENCE命令从TSAM卡取一个四个字节的随机数。
7.2.3.10.2命令报文
WRITEKEY命今报文编码见
表24WRITEKEY命令报文
3.10.3命令报文数据
3.10.4响应报文数据
响应报文数据域不存在。
7.2.3.10.5响应报文状态宇
无论应用是否已经失效,此命令执行成功的状态字是“9000”。 TSAM卡可能回送的错误状态字见表25,
表25WRITEKEY警告状态
7.2.3.11.1定义和范围
7.2. 3. 11. 2命令报文
INITFORDESCRYPT命令报文编码见表26
表26INITFORDESCRYPT命令报文
7.2.3.11.3 命令报文数据域
命令报文数据域包括待处理的输人数据。数据长度为8的整数倍,长度也可以为0。密钥类型取密 钥用途的低五位,密钥分散级数取密钥用途的高三位。 如待处理的输人数据包括多级分散因子,按最后一次分散因子在前、最先一次分散因子在后的顺序 输
3.11.4响应报文数据
响应报文数据域不存在。
7.2.3.11.5响应报文状态字
无论应用是否已经失效,此命令执行成功的状态 学是“9000” TSAM卡可能回送的错误状态字见表27
表27APPLICATIONBLOCK警告状态
7.2.3.12CIPHERDATA命令
7.2.3.12.1定义和范围
7.2.3.12.2命令报文
CIPHERDATA命令报文编码见表28
8 CIPHER DATA命
表29CIPHERDATA命令引用控制参数
7.2.3.12.3命令报文数据域
命令报文数据域包括要加密的数据, 加密数据的长度为8的整数借。 在P1的b3位为1时,待处理数据的前八个字节为MAC计算的初始值。
7.2.3.12.4响应报文数据域
7.2.3.12.5响应报文状态字
此命令执行成功的状态字是“9000”。 TSAM卡可能回送的错误状态宇见表30。
表30CIPHERDATA警告状态
了独立地管理张卡上不同应用间的安全问题,每一个应用应该放在一个单独的ADF中,即 应该设计道“防火墙”GB/T 22788-2016 玩具及儿童用品材料中总铅含量的测定,以防止跨过应用进行非法访问。另外,每一个应用也不应该与个人 中共存的其他应用规则发生冲突。
8.1.2密钥的独立性
于一种特定功能(如年审)的加密/解密密钥不能被任何其他功能所使用,包括保存在IC卡中 来产生、派生传输这些密钥的密钥。
IC卡中使用的密钥均为双倍长DEA密钥(128bit长),表31描述了IC卡密钥的推导方法和密钥产 生的方法(个人化密钥不在本范围之内)。
SN/T 4871-2017 芒果白轮蚧检疫鉴定方法8.2.2 子密钥的推导方法
简称Diversify,是指将一个双长度的密钥MK,对八个字节的分散数据进行处理,推导出一个双长度 密钥DK。 推导DK左半部分的方法是: 将分散数据作为输人数据; 一将MK作为加密密钥; 一用MK对输人数据进行3DES运算。 推导DK右半部分的方法是: 将分散数据求反,作为输人数据; 将MK作为加密密钥; 用MK对输人数据进行3DES运算,