TF卡扩展接口命令.docVIP

1 extend_authentication_1 (扩展认证1) 1．1 定义与范围 extend_authentication_1命令是将母密钥对机器指纹进行加密运算的结果作为认证密钥的认证方式。认证成功后通过对当前后续状态的判断开放存储区相应的权限。 1．2 注意事项 1．母密钥为扩展的密钥类型，定为0xAA，在个人化时写入。 1．3 命令报文 代码 长度（byte） 值（Hex） 描述 CLA 1 00 - INS 1 F0 - P1 1 XX 母密钥版本 P2 1 XX 母密钥标识 Lc 1 0x18 Data 0x18 XX…XX 机器指纹+认证数据 Le - - 不存在 1．4 命令报文数据域 命令报文数据的内容是16字节机器指纹+8字节认证数据。 1．5 响应报文数据域 响应报文数据的内容是相关认证数据，即运算的结果。 1．6 响应报文状态码 IC卡可能回送是状态如下所示 SW1 SW2 意义 90 00 正确执行 61 XX 正确执行 XX表示响应数据长度，可用Get Response命令取回响应数据（仅用于T=0） 67 00 长度错误 94 03 未找到密钥 62 81 回送的数据可能有错 1．7 扩展认证1过程 说明： 1．终端从卡片取随机数RND； 2．终端用相应的密钥对RND进行DES加密运算，产生鉴别数据D1； 3．终端向卡片发出该命令，送入D1到卡片内； 00 F0 00 Kid 18 机器指纹 + 4．卡片收到机器指纹后，用卡内的母密钥对机器指纹进行DES加密运算（ECB模式），其运算结果为K1； 4．用K1对RND进行DES加密得到D2； 5．在卡片比较RND和D2； 若一致则表示认证通过，置安全状态为该密钥规定的后续状态值，错误计数器恢复成初始值；然后判断当前后续状态具备的对存储区操作的权限。 若不一致则认证失败，可再试错误数减一，且不改变安全状态值。 2 extend_authentication_2 (扩展认证2) 2．1 定义与范围 extend_authentication_2命令是将母密钥作为认证密钥的认证方式。认证成功后直接返回0x9000，不改变当前后续状态，也不作存储区操作权限的判断。 2．2 注意事项 母密钥为扩展密钥，密钥类型定义为0xAA，在个人化时写入。 命令报文 代码 长度（byte） 值（Hex） 描述 CLA 1 00 - INS 1 F1 - P1 1 XX 母密钥版本 P2 1 XX 母密钥标识 Lc 1 0x08 Data 0x08 XX…XX 认证数据 Le - - 不存在 2．4 命令报文数据域 命令报文数据为加密后的随机数。 2．5 响应报文数据域 响应报文数据不存在。 2．6 响应报文状态码 IC卡可能回送是状态如下所示 SW1 SW2 意义 90 00 正确执行 63 Cx 还剩x次错误机会 67 00 长度错误 69 84 引用数据无效 94 03 未找到密钥 69 83 外部认证密钥锁定 2．7 扩展认证2过程 说明： 1．终端从卡片取随机数RND； 2．终端用相应的密钥对RND进行DES加密运算，产生鉴别数据D1； 3．终端向卡片发出外部认证命令，送入D1到卡片内； 00 F0 00 Kid 08 4．卡片收到机器指纹后，用卡内的母密钥对对RND进行DES加密得到D2； 5．在卡片比较RND和D2； 若一致则表示认证通过，直接返回0x9000，不改变当前后续状态。 若不一致则认证失败，可再试错误数减一，且不改变安全状态值。 3 binding_machine_finger (绑定机器指纹命令) 3．1 定义与范围 binding_machine_finger命令是将机器指纹与TF卡当前存储的机器指纹进行比较，若不同则替换，并且重新产生存储区的加解密密钥。 3．2 注意事项 1．执行该命令时，需对当前安全状态进行判断，当前安全状态由认证获得。 2．若机器指纹被替换，则重新产生存储区的加解密密钥，使得读取存储取数据为乱数据，则提示设备需格式化。 3．替换密钥后改变后续状态，并且用当前后续状态进行判断是否开放存储区相应的权限。 3．3 命令报文 代码 长度（byte） 值（Hex） 描述 CLA 1 00 - INS 1 F2 - P1 1 00 - P2 1 00 - Lc 1 0x10 Data 0x10 XX…XX 机器指纹 Le - - 不存在 3．4 命令报文数据域 命令报文数据的内容是16字节机器指纹。 3．5 响应报文数据域 无响应报文数据域。 3．6 响应报文状态码 IC卡可能回送是状态如下所示 SW1 SW2 意义 90 00 正确执行 67 00 长度错误 94 0