56所加密機指令集

1、目錄 TOC o 1-3 h z HYPERLINK l _Toc6 第1章密鑰說明 PAGEREF _Toc6 h 3 HYPERLINK l _Toc7 密碼機利用的密鑰類型 PAGEREF _Toc7 h 3 HYPERLINK l _Toc8 主密鑰MK PAGEREF _Toc8 h 3 HYPERLINK l _Toc9 存儲加密密鑰SEK PAGEREF _Toc9 h 3 HYPERLINK l _Toc0 傳輸加密密鑰TEK PAGEREF _Toc0 h 3 HYPERLINK l _Toc1 終端主密鑰TMK PAGEREF _Toc1 h 4 HYPERLINK l _

2、Toc2 PIN密鑰PIK PAGEREF _Toc2 h 4 HYPERLINK l _Toc3 MAC密鑰MAK PAGEREF _Toc3 h 4 HYPERLINK l _Toc4 各類密鑰之間的關系 PAGEREF _Toc4 h 5 HYPERLINK l _Toc5 密鑰利用方式 PAGEREF _Toc5 h 6 HYPERLINK l _Toc6 第2章密碼機消息格式 PAGEREF _Toc6 h 7 HYPERLINK l _Toc7 TCP/IP通信 PAGEREF _Toc7 h 7 HYPERLINK l _Toc8 串行口通信 PAGEREF _Toc8 h 7

3、HYPERLINK l _Toc9 接收緩沖區(qū) PAGEREF _Toc9 h 8 HYPERLINK l _Toc0 讀寫方式 PAGEREF _Toc0 h 8 HYPERLINK l _Toc1 字母縮寫說明 PAGEREF _Toc1 h 8 HYPERLINK l _Toc2 MAC數(shù)聽說明 PAGEREF _Toc2 h 8 HYPERLINK l _Toc3 第3章密鑰治理軟件的功能 PAGEREF _Toc3 h 9 HYPERLINK l _Toc4 密鑰輸入 PAGEREF _Toc4 h 9 HYPERLINK l _Toc5 密鑰查詢 PAGEREF _Toc5 h 9

4、 HYPERLINK l _Toc6 密鑰備份 PAGEREF _Toc6 h 9 HYPERLINK l _Toc7 系統(tǒng)設置 PAGEREF _Toc7 h 9 HYPERLINK l _Toc8 口令治理 PAGEREF _Toc8 h 9 HYPERLINK l _Toc9 其它功能 PAGEREF _Toc9 h 9 HYPERLINK l _Toc0 第4章密碼機指令說明 PAGEREF _Toc0 h 10 HYPERLINK l _Toc1 檢查密碼機信息（HR/HS） PAGEREF _Toc1 h 10 HYPERLINK l _Toc2 檢查主密鑰MK狀態(tài)（K4/K5）

5、PAGEREF _Toc2 h 11 HYPERLINK l _Toc3 檢查SEK/TEK（K6/K7） PAGEREF _Toc3 h 12 HYPERLINK l _Toc4 導入SEKTEK（KU/KV） PAGEREF _Toc4 h 13 HYPERLINK l _Toc5 導出SEKTEK（KY/KZ） PAGEREF _Toc5 h 14 HYPERLINK l _Toc6 將用舊MK加密的SEK/TEK轉為用新MK加密（KK/KL） PAGEREF _Toc6 h 15 HYPERLINK l _Toc7 生成終端主密鑰TMK（K0/K1） PAGEREF _Toc7 h 1

6、6 HYPERLINK l _Toc8 在SEK和TEK之間轉換TMK（KE/KF） PAGEREF _Toc8 h 17 HYPERLINK l _Toc9 生成數(shù)據(jù)密鑰PIK/MAK（K2/K3） PAGEREF _Toc9 h 18 HYPERLINK l _Toc0 在SEK和TMK之間轉換PIK/MAK（KI/KJ） PAGEREF _Toc0 h 19 HYPERLINK l _Toc1 PIN BLOCK轉換（P0/P1） PAGEREF _Toc1 h 20 HYPERLINK l _Toc2 MAC計算（M0/M1） PAGEREF _Toc2 h 21 HYPERLINK

7、l _Toc3 MAC計算（M4/M5） PAGEREF _Toc3 h 22 HYPERLINK l _Toc4 驗證MAC（M2/M3） PAGEREF _Toc4 h 23 HYPERLINK l _Toc5 生成密鑰的校驗值（3A/3B） PAGEREF _Toc5 h 24 HYPERLINK l _Toc6 加密一個PIN（60/61） PAGEREF _Toc6 h 25 HYPERLINK l _Toc7 由密碼機產(chǎn)生一個隨機數(shù)（RA/RB） PAGEREF _Toc7 h 26 HYPERLINK l _Toc8 生成RSA公、私鑰對，并輸出公鑰 PAGEREF _Toc8

8、h 27 HYPERLINK l _Toc9 請求用指定私鑰解密特定數(shù)據(jù)并用輸入的PIK按DES/3DES算法加密PIN PAGEREF _Toc9 h 28 HYPERLINK l _Toc0 第5章PIN塊格式 PAGEREF _Toc0 h 29 HYPERLINK l _Toc1 格式01 (ISO 9564-1Format 0或ANSI PAGEREF _Toc1 h 29 HYPERLINK l _Toc2 格式02（Docutel） PAGEREF _Toc2 h 29 HYPERLINK l _Toc3 格式03(Diebold) PAGEREF _Toc3 h 29 HYPE

9、RLINK l _Toc4 格式04 PAGEREF _Toc4 h 29 HYPERLINK l _Toc5 格式05(ISO 9564-1Format 1) PAGEREF _Toc5 h 30 HYPERLINK l _Toc6 格式06 PAGEREF _Toc6 h 30 HYPERLINK l _Toc7 第6章算法說明 PAGEREF _Toc7 h 31 HYPERLINK l _Toc8 64比特密鑰DES加/解密 PAGEREF _Toc8 h 31 HYPERLINK l _Toc9 128比特密鑰DES加/解密 PAGEREF _Toc9 h 32 HYPERLINK

10、l _Toc0 192比特密鑰DES加/解密 PAGEREF _Toc0 h 33 HYPERLINK l _Toc1 XOR MAC算法 PAGEREF _Toc1 h 33 HYPERLINK l _Toc2 ANSI 算法 PAGEREF _Toc2 h 34 HYPERLINK l _Toc3 ANSI MAC算法描述： PAGEREF _Toc3 h 35 HYPERLINK l _Toc4 第7章錯誤代碼表 PAGEREF _Toc4 h 37 HYPERLINK l _Toc5 第8章公鑰編碼 PAGEREF _Toc5 h 39 HYPERLINK l _Toc6 一、填充方式

11、 PAGEREF _Toc6 h 40密鑰說明為了知足中國銀聯(lián)3DES改造的需求，特制定此命令集。密碼機利用的密鑰類型主密鑰MK數(shù)量：1個。產(chǎn)生：三人手工輸入。用途：用于加密SEK和TEK，加密SEK和TEK時采納不同的變種。存儲：密碼機內(nèi)。其分量保留在三張IC卡上。長度：192比特。愛惜：受硬件愛惜。存儲加密密鑰SEK數(shù)量：1024個，以索引方式挪用，索引號從S0000S1023。產(chǎn)生：多人（29人）手工輸入。用途：用于加密TMK、PIK、MAK做本地存儲。存儲：密碼機內(nèi)。同時可用MK加密后保留到主機數(shù)據(jù)庫中。長度：64128192比特可選。愛惜：受硬件主密鑰MK愛惜。傳輸加密密鑰TEK數(shù)量

12、：1024個，以索引方式挪用，索引號從T0000T1023。產(chǎn)生：多人（29人）手工輸入。用途：用于加密TMK做異地傳輸。存儲：密碼機內(nèi)。同時可用MK加密后保留到主機數(shù)據(jù)庫中。長度：64128192比特可選。愛惜：受硬件主密鑰MK愛惜。終端主密鑰TMK數(shù)量：不受密碼機限制，以SEK加密的密文方式送入密碼機利用。產(chǎn)生：密碼機隨機產(chǎn)生。用途：用于加密PIK和MAK做異地傳輸。存儲：用SEK加密后保留到主機數(shù)據(jù)庫中。長度：64128192比特可選。愛惜：受存儲加密密鑰SEK、傳輸加密密鑰TEK愛惜。PIN密鑰PIK數(shù)量：不受密碼機限制，以SEK加密的密文方式送入密碼機利用。產(chǎn)生：密碼機隨機產(chǎn)生。用途

13、：用于加密PIN。存儲：用SEK加密后保留到主機數(shù)據(jù)庫中。長度：64128192比特可選。愛惜：受存儲加密密鑰SEK、終端主密鑰TMK愛惜。MAC密鑰MAK數(shù)量：不受密碼機限制，以SEK加密的密文方式送入密碼機利用。產(chǎn)生：密碼機隨機產(chǎn)生。用途：用于產(chǎn)生MAC。存儲：用SEK加密后保留到主機數(shù)據(jù)庫中。長度：64128192比特可選。愛惜：受存儲加密密鑰SEK、終端主密鑰TMK愛惜。各類密鑰之間的關系其中主密鑰的治理相當重要，現(xiàn)采納三人一起輸入的方式。具體方式如下：主管一輸入主密鑰分量一，直接寫入IC卡，密碼機內(nèi)不做存儲。主管二輸入主密鑰分量二，直接寫入IC卡。主管三輸入主密鑰分量三，直接寫入IC

14、卡。通過以上三步，完成主密鑰IC卡的制作。三位主管從IC卡上將主密鑰的三個分量導入密碼機臨時緩沖區(qū)。密碼機將三個分量進行異或，取得MK種子，然后再由MK種子生成最終的主密鑰MK。MK分量1MK分量1MK分量3MK分量2MK種子保密算法主密鑰MKSEKTEKTMKTMK/PIK/MAKPIK/MAK密鑰利用方式主密鑰存儲在密碼機內(nèi)，只有一個，利歷時無需指定。SEK存儲在密碼機內(nèi)，有1024個，利歷時以索引方式指定，索引從S0000S1023。TEK存儲在密碼機內(nèi)，有1024個，利歷時以索引方式指定，索引從T0000T1023。TMKPIKMAK用SEK加密后存儲在主機數(shù)據(jù)庫中，利歷時以密文方式送

15、入密碼機，同時要指定加密密鑰SEK的索引。密鑰長度能夠是64128192比特，利歷時別離以XYZ表示。可將128比特密鑰擴展為192比特密鑰，擴展后的密鑰與原密鑰等價。如將128比特密鑰表示為：Left(64bits) + Right(64bits)，擴展成192比特密鑰后變成：Left(64bits) + Right(64bits) + Left(64bits) 密碼機消息格式TCP/IP通信命令格式：消息長度（2字節(jié)）+ 消息頭（099字節(jié)）+消息內(nèi)容（n字節(jié)）2字節(jié)長度：【消息頭】與【消息內(nèi)容】的字節(jié)總數(shù)。消息頭：密碼機應答時，原封不動地返回消息頭。消息內(nèi)容：按命令格式組織的消息包。例如

16、，當消息頭為0 x120 x340 x560 x78，要發(fā)送的消息包為0 x31, 0 x32兩字節(jié)時，那么向密碼機發(fā)送的內(nèi)容為：0 x000 x060 x120 x340 x560 x780 x310 x32注意：若是采納EBCDIC碼進行通信，【消息長度】不要做EBCDIC碼轉換。消息頭缺省長度為0。串行口通信消息格式：STXCOUNTDATALRCETXSTX：起始標志，一個字節(jié)，值為X02。COUNT：兩字節(jié)的十六進制值。表示DATA的字節(jié)長度，不包括STX、COUNT、LRC、ETX。DATA：按命令格式組織的消息包。LRC：一個字節(jié)的檢查值，是DATA所有字節(jié)異或的結果。不包括ST

17、X、COUNT、LRC、ETX。ETX：結束標志，一個字節(jié)，值為X03。通信參數(shù)：波特率115200bps，8位數(shù)據(jù)位，1位停止位，無奇偶校驗位。注意：串行口通信譽作密鑰治理，只采納ASCII編碼方式。接收緩沖區(qū)密碼機的接收緩沖區(qū)大小為8704字節(jié)。因此每次發(fā)送給密碼機的消息不能大于8704字節(jié)。讀寫方式對串行通信和TCP/IP通信，都采納同步讀寫方式。即：密碼機處置完一個命令，才接收下一個命令。字母縮寫說明A：可打印字符B：任意字符，0 x00-0 xFFH：十六進制字符09、AN：十進制字符0-n：可變長度域MAC數(shù)聽說明MAC數(shù)據(jù)的長度不該大于8192字節(jié)。密鑰治理軟件的功能進入密鑰治理

18、系統(tǒng)必需輸入密碼機口令、插入治理員IC卡并輸入IC卡密碼。建議密碼機口令與治理員IC卡由兩人別離治理。密鑰輸入制作主密鑰IC卡從IC卡導入主密鑰輸入SEK輸入TEK密鑰查詢查詢主密鑰查詢SEK查詢TEK密鑰備份導入導出SEK導入導出TEK刪除SEKTEK系統(tǒng)設置密碼機效勞端口IP子網(wǎng)掩碼網(wǎng)關客戶IP增加刪除TCP/IP通信消息頭、字符編碼口令治理修改密碼機口令修改IC卡口令其它功能產(chǎn)生隨機數(shù)密碼機指令說明檢查密碼機信息（HR/HS）功能本指令測試密碼機硬件狀態(tài)，并返回密碼機軟件版本信息。說明域長度/類型內(nèi)容指令消息格式命令碼2AHR返回消息格式返回碼2AHS錯誤碼2A00：正確版本信息nB返回

19、密碼機軟件版本號等信息檢查主密鑰MK狀態(tài)（K4/K5）功能檢查主密鑰狀態(tài)說明域長度/類型內(nèi)容指令消息格式命令碼2AK4返回消息格式返回碼2AK5錯誤碼2A00：正確01：無主密鑰MKMK檢查值16H檢查SEK/TEK（K6/K7）功能檢查SEK/TEK密鑰狀態(tài)說明域長度/類型內(nèi)容指令消息格式命令碼2AK6密鑰索引1A4NSEK：S4位索引TEK：T4位索引返回消息格式返回碼2AK7錯誤碼2A00：正確02：無密鑰密鑰長度1AXYZ密鑰的校驗值16H導入SEKTEK（KU/KV）功能將用MK加密的SEK/TEK導入密碼機。說明SEK/TEK必須符合奇校驗域長度/類型內(nèi)容指令消息格式命令碼2AKU

20、密鑰索引1A4NSEK：S4位索引TEK：T4位索引密鑰長度1AXYZ密鑰密文16/32/48H用MK加密的SEK/TEK返回消息格式返回碼2AKV錯誤碼2H00：正確04：密鑰奇偶校驗錯密鑰的校驗值16H導出SEKTEK（KY/KZ）功能將密碼機內(nèi)的SEK/TEK用MK加密后的輸出。說明域長度/類型內(nèi)容指令消息格式命令碼2AKY密鑰索引1A4NSEK：S4位索引TEK：T4位索引返回消息格式返回碼2AKZ錯誤碼2H00：正確02：無密鑰密鑰長度1AXYZ密鑰密文16/32/48H用MK加密的SEK/TEK密鑰的校驗值16H將用舊MK加密的SEK/TEK轉為用新MK加密（KK/KL）功能將用舊

21、MK加密的SEK/TEK用新MK加密后輸出。說明在更換主密鑰時，所有SEK/TEK密鑰應改用新的主密鑰加密。保存在密碼機內(nèi)的SEK/TEK密鑰會自動轉用新的主密鑰加密。保存在密碼機外的SEK/TEK密鑰則應調(diào)用該命令進行轉加密。該命令要求輸入的密鑰明文符合奇校驗。*在輸入新的主密鑰時，密碼機會自動備份前一版本的主密鑰。域長度/類型內(nèi)容指令消息格式命令碼2AKK密鑰類型1AS：SEKT：TEK密鑰長度1AXYZSEK/TEK密鑰密文16/32/48H用舊MK加密的SEK/TEK返回消息格式返回碼2AKL錯誤碼2H00：正確04：密鑰奇偶校驗錯SEK/TEK密鑰密文16/32/48H用新MK加密的

22、SEK/TEK密鑰的校驗值16H生成終端主密鑰TMK（K0/K1）功能生成終端主密鑰，并將其密文和檢查值返回給主機。說明生成的終端主密鑰符合奇校驗。域長度/類型內(nèi)容指令消息格式命令碼2AK0SEK索引1A4NS4位索引TEK索引1A4NT4位索引TMK密鑰長度1AX：64比特密文Y：128 比特密文Z：192 比特密文返回消息格式返回碼2AK1錯誤碼2A00：正確TMK密文116/32/48H用SEK加密TMK密文216/32/48H用TEK加密TMK密鑰檢查值16H用TMK加密64比特0在SEK和TEK之間轉換TMK（KE/KF）功能將用SEK加密的TMK轉換為用TEK加密，或者將用TEK加

23、密的TMK轉換為用SEK加密。說明域長度/類型內(nèi)容指令消息格式命令碼2AKESEK密鑰索引1A4NSEK：S4位索引TEK密鑰索引1A4NTEK：T4位索引轉換標志1N0：從SEK到TEK加密1：從TEK到SEK加密TMK密鑰長度1AXYZTMK密鑰密文16/32/48H返回消息格式返回碼2AKF錯誤碼2H00：正確其它：錯誤TMK密鑰密文16/32/48H轉換標志為0：用TEK加密的TMK轉換標志為1：用SEK加密的TMK密鑰的校驗值16H生成數(shù)據(jù)密鑰PIK/MAK（K2/K3）功能生成數(shù)據(jù)密鑰PIK/MAK，并將其密文和檢查值返回給主機。說明對于生成的數(shù)據(jù)密鑰（PIK、MAK）需要同時各生

24、成兩對密文，其中一對用TMK加密用于通過聯(lián)機報文方式在簽到應答消息中傳給終端，另一對用SEK加密后，將密文保存在POSP數(shù)據(jù)庫中。域長度/類型內(nèi)容指令消息格式命令碼2AK2SEK1索引1A4N用于解密TMKSEK2索引1A4N用于加密PIK/MAKTMK密文1A16/32/48H用SEK1加密PIK/MAK密鑰長度1AX：64比特密文Y：128 比特密文Z：192 比特密文返回消息格式返回碼2AK3錯誤碼2A00：正確PIK/MAK密文116/32/48H用SEK2加密PIK/MAK密文216/32/48H用TMK加密PIK/MAK密鑰檢查值16H用PIK/MAK加密64比特0在SEK和TMK

25、之間轉換PIK/MAK（KI/KJ）功能將用SEK加密的PIK/MAK轉換為用TMK加密，或者將用TMK加密的PIK/MAK轉換為用SEK加密。說明域長度/類型內(nèi)容指令消息格式命令碼2AKISEK1密鑰索引1A4N用于解密PIK/MAKSEK2密鑰索引1A4N用于解密TMKTMK密鑰長度1AXYZTMK密鑰密文16/32/48H用SEK2加密的TMK轉換標志1N0：從SEK到TMK加密1：從TMK到SEK加密PIK/MAK密鑰長度1AXYZPIK/MAK密鑰密文16/32/48H返回消息格式返回碼2AKJ錯誤碼2H00：正確其它：錯誤PIK/MAK密鑰密文16/32/48H轉換標志為0：用TM

26、K加密的PIK/MAK轉換標志為1：用SEK加密的PIK/MAK密鑰的校驗值16HPIN BLOCK轉換（P0/P1）功能將源PIN密文用源PIK解密，進行PIN格式轉換，然后用目的PIK加密輸出。說明當PinBlock格式為02時，PIN長度為46位，當PinBlock格式為04時，PIN長度為6位，其它PinBlock格式PIN長度最少4位，最長12位。此指令中PinBlock格式為01時，要求輸入16位帳號，目的是為了包容某些特殊的PinBlock格式。上層應用需要按照自己的要求組織此域。HSM直接用此域（帳號域）與PIN域異或，形成PinBlock。域長度/類型內(nèi)容指令消息格式命令碼2

27、AP0源SEK索引1A4NS4位索引目的SEK索引1A4NS4位索引源PIK密鑰密文1A16/32/48H用源SEK加密：X64比特密文Y128 比特密文Z192 比特密文目的PIK密鑰密文1A16/32/48H用目的SEK加密源PinBlock格式2N參見PinBlock格式附表目的PinBlock格式2N參見PinBlock格式附表源PIN PinBlock密文16H用源PIK加密源帳號16N當源PinBlock格式為01時有此域其它PinBlock格式：無此域目的帳號16N當目的PinBlock格式為01時有此域其它PinBlock格式：無此域返回消息格式返回碼2AP1錯誤碼2A00：正

28、確其它：錯誤目的PinBlock密文16H用目的PIK加密MAC計算（M0/M1）功能用ANSI MAC算法對數(shù)據(jù)做MAC。說明域長度/類型內(nèi)容指令消息格式命令碼2AM0MAC算法1N1：XOR2：3：SEK索引1A4NMAK密鑰密文1A16/32/48H用SEK加密：X64比特密文Y128 比特密文Z192 比特密文數(shù)據(jù)長度4N【數(shù)據(jù)】域的字節(jié)數(shù)數(shù)據(jù)nB返回消息格式返回碼2AM1錯誤碼2A00：正確MAC8HMAC計算（M4/M5）功能用ANSI MAC算法對數(shù)據(jù)做MAC。說明域長度/類型內(nèi)容指令消息格式命令碼2AM4MAC算法1N1：XOR2：3：SEK索引1A4NMAK密鑰密文1A16/

29、32/48H用SEK加密：X64比特密文Y128 比特密文Z192 比特密文數(shù)據(jù)長度4N【數(shù)據(jù)】域的字節(jié)數(shù)數(shù)據(jù)nB返回消息格式返回碼2AM5錯誤碼2A00：正確MAC16H驗證MAC（M2/M3）功能用ANSI MAC算法對數(shù)據(jù)做MAC，并與輸入的MAC進行比較，返回比較結果。說明域長度/類型內(nèi)容指令消息格式命令碼2AM2MAC算法1N1：XOR2：3：SEK索引1A4NMAK密鑰密文1A16/32/48H用SEK加密：X64比特密文Y128 比特密文Z192 比特密文MAC8H要驗證的MAC數(shù)據(jù)長度4N【數(shù)據(jù)】域的字節(jié)數(shù)數(shù)據(jù)nB返回消息格式返回碼2AM3錯誤碼2A00：正確生成密鑰的校驗值（

30、3A/3B）功能加密一個明文的PIN，并輸出指定格式（0106）的PIN密碼塊說明SEK/TEK必須符合奇校驗域長度/類型內(nèi)容指令消息格式命令碼2A3A密鑰索引1A4NSEK：S4位索引TEK：T4位索引PIK密鑰密文1A16/32/48H用SEK或TEK加密：X64比特密文Y128 比特密文Z192 比特密文返回消息格式返回碼2A3B錯誤碼2H檢查值16H單、雙、三倍長密鑰加密64比特0的結果加密一個PIN（60/61）功能加密一個明文的PIN，并輸出指定格式（0106）的PIN密碼塊說明SEK/TEK必須符合奇校驗域長度/類型內(nèi)容指令消息格式命令碼2A60密鑰索引1A4NSEK：S4位索引

31、TEK：T4位索引PIK密鑰密文1A16/32/48H用SEK或TEK加密：X64比特密文Y128 比特密文Z192 比特密文PIN塊格式2N0106PIN塊明文16H要加密的PIN明文，不足16位填充F。如123456FFFFFFFFFF。帳號16N當目的PinBlock格式為01時有此域其它PinBlock格式無此域返回消息格式返回碼2A61錯誤碼2H加密后的PIN塊16H用PIK密鑰加密后的PIN塊由密碼機產(chǎn)生一個隨機數(shù)（RA/RB）功能由密碼機產(chǎn)生一個指定長度的隨機數(shù)。說明產(chǎn)生的隨機數(shù)符合奇校驗。域長度/類型內(nèi)容指令消息格式命令碼2ARA隨機數(shù)長度3N隨機數(shù)的字符長度返回消息格式返回碼

32、2AKZ錯誤碼2H00：正確其它：錯誤隨機數(shù)nH生成RSA公、私鑰對，并輸出公鑰功能生成RSA公、私鑰對，將其存儲在加密機中，并輸出公鑰的明文。輸入域長度/類型內(nèi)容指令消息格式命令碼2A34RSA模長4N至少支持1024RSA密鑰索引2N返回消息格式返回碼2A待定錯誤碼2A00：正確私鑰長度4N私鑰密文字節(jié)數(shù)私鑰密文nB用主密鑰加密的私鑰公鑰nB DER編碼方式見附錄導入私鑰將用主密鑰加密的私鑰導入密碼機，并保留在密碼機內(nèi)。除非人為銷毀，不然密鑰將一直保留在密碼機中。輸入域長度類型說明命令代碼2A值“35”私鑰索引2N“00”“20”私鑰長度4N私鑰密文字節(jié)數(shù)?！?000”表示刪除該私鑰。私鑰

33、密文nB用主密鑰加密的私鑰輸出域長度類型說明響應代碼2A“36錯誤代碼2H導出私鑰將密碼機內(nèi)的私鑰用主密鑰加密導出。輸入域長度類型說明命令代碼2A值“36”私鑰索引2N“00”“20”輸出域長度類型說明響應代碼2A“37錯誤代碼2H私鑰長度4N私鑰密文字節(jié)數(shù)私鑰密文nB用主密鑰加密的私鑰轉換DES密鑰：從公鑰加密到主密鑰加密用于接收密鑰。輸入域長度類型說明命令代碼2A值“3A”私鑰索引2N“00”20”密鑰長度4NDES密鑰密文的字節(jié)數(shù)密鑰密文nB用公鑰加密的DES密鑰輸出域長度類型說明響應代碼2A“3B”錯誤代碼2HDES密鑰32H用主密鑰加密的DES密鑰檢查值16HDES密鑰加密64bit

34、s的0轉換DES密鑰：從主密鑰加密到公鑰加密用于分發(fā)密鑰。輸入域長度類型說明命令代碼2A值“3B”密鑰密文32H用主密鑰加密的DES密鑰公鑰nB輸出域長度類型說明響應代碼2A“3C”錯誤代碼2H檢查值16HDES密鑰加密64bits的0密鑰長度4NDES密鑰密文的字節(jié)數(shù)密鑰密文nB用公鑰加密的DES密鑰請求用指定私鑰解密特定數(shù)據(jù)并用輸入的PIK按DES/3DES算法加密PIN功能特定數(shù)據(jù)的構成：PINBLOCK+附加數(shù)據(jù)。用私鑰解密后截取前面的PINBLOCK部分用PIK加密，輸出PINBLOCK的密文及附加數(shù)據(jù)的明文。輸入域長度/類型內(nèi)容指令消息格式命令碼2A3IRSA密鑰索引2NSEK密鑰

35、索引1A4NS4位索引，用來加密工作密鑰的主密鑰索引PIK密鑰密文1A16/32/48H用SEK加密：X64比特密文Y128 比特密文Z192 比特密文數(shù)據(jù)長度4N數(shù)據(jù)nB用公鑰加密的PINBLOCK+附加數(shù)據(jù) 的明文返回消息格式返回碼2A待定錯誤碼2A00：正確PIN密文16HPIK加密后的密文附加數(shù)據(jù)nB明文用公鑰加密的PINBLOCK+附加數(shù)據(jù) 的明文 : 06 12 34 56 78 FF FF FF +附加數(shù)據(jù)(01 02 03 04 05 06)用指定密鑰加密數(shù)據(jù)域長度/類型內(nèi)容指令消息格式命令碼2AE加解密標志1N0：加密，1：解密加密算法1N0：ECB，1：CBC密鑰索引1A4

36、NSEK：S4位索引TEK：T4位索引輸入密鑰密文1A16/32/48H用SEK或TEK加密：X64比特密文Y128 比特密文Z192 比特密文初始向量16H64比特，CBC加密的初始向量,僅當加密算法為時有此域。數(shù)據(jù)長度4N輸入數(shù)據(jù)的字節(jié)數(shù)，為的倍數(shù)輸入數(shù)據(jù)nB需要加、解密的原始數(shù)據(jù)返回消息格式返回碼2AE錯誤碼2H數(shù)據(jù)長度4N輸出數(shù)據(jù)的字節(jié)數(shù)輸出數(shù)據(jù)nB加、解密后的結果數(shù)據(jù)處置進程：用密鑰索引對應的主密鑰解密輸入密鑰取得密鑰明文判定加解密標志；用明文密鑰對數(shù)據(jù)做加密或解密處置輸出處置結果PIN塊格式為了對PIN進行加密傳輸，密碼機要求將PIN以16位十六進制數(shù)輸入。密碼機支持六種PIN塊格

37、式，PIN 格式代碼為2位十進制數(shù)。格式01 (ISO 9564-1Format 0或ANSI 格式01采納ANSI ，PIN塊由用戶PIN和賬號按如下方式形成：由數(shù)字0、PIN長度，PIN，填充字符F，組成一個十六位的數(shù)據(jù)塊。例如：5位的PIN 92389，數(shù)據(jù)塊為0592 389F FFFF FFFF。另一個十六位的數(shù)據(jù)塊由四位0和最右12位賬號（不含檢查位）組成，例如：13位賬號“40000012 3456 2”，最后一名“2”是檢查位，數(shù)據(jù)塊為0000 4000 0012 3456上述兩數(shù)據(jù)塊進行異或（模2加）操作。05 92 38 9F FF FF FF FF00 00 40 00

38、00 12 34 56取得PIN塊：05 92 78 9F FF ED CB A9格式02（Docutel）格式02由PIN長度，6位PIN，和用戶概念的填湊數(shù)字串組成。若是PIN不足6位，采納左對齊，后面補0，湊足6位。例如5位PIN“92389”，填充后為“923890”，加上填充串“98765 4321”，PIN塊是“5923 8909 8765 4321”格式03(Diebold)格式03不含PIN長度，PIN塊由用戶PIN和填充字符F組成。例如5位PIN“92389”，PIN塊是：9238 9FFF FFFF FFFF格式04格式04 PIN 塊由下述16位十六進制數(shù)組成：00003

39、P13P23P33P43P53P6例如：PIN為 123456時，PIN塊為 0000 3132 3334 3536。格式05(ISO 9564-1Format 1)格式05是ISO 9564-1格式1，PIN 塊由下述16位十六進制數(shù)組成：1NP1PNRR那個地址：N是PIN長度（4C）。P1PN是N位的PIN。,RR是隨機填充串。格式06格式06的PIN 塊由數(shù)字0、PIN長度、PIN、填充字符F組成。例如：5位的PIN 92389，PIN塊為 0592 389F FFFF FFFF。算法說明64比特密鑰DES加/解密DES加/解密DES加/解密密鑰64比特數(shù)據(jù)64比特結果密鑰左半部DES

40、加密64比特數(shù)據(jù)DES解密64比特結果密鑰右半部密鑰左半部DES加密64比特數(shù)據(jù)DES解密64比特結果密鑰右半部DES加密密鑰左半部64比特結果128比特密鑰DES加密過程密鑰左半部DES解密64比特數(shù)據(jù)DES加密64比特結果密鑰右半部DES解密密鑰左半部64比特結果128比特密鑰DES解密過程密鑰左部DES加密64比特數(shù)據(jù)DES解密64比特結果密鑰中部密鑰左部DES加密64比特數(shù)據(jù)DES解密64比特結果密鑰中部DES加密密鑰右部64比特結果192比特密鑰DES加密過程密鑰右部DES解密64比特數(shù)據(jù)DES加密64比特結果密鑰中部DES解密密鑰左部64比特結果192比特密鑰DES解密過程XOR

41、MAC算法XOR MAC算法能夠利用單倍長、雙倍長、三倍長密鑰。MAC數(shù)據(jù)先按8字節(jié)分組，表示為D0Dn，若是Dn不足8字節(jié)時，尾部以字節(jié)00補齊。D0Dn所有分組異或，然后用MAC密鑰加密。取加密結果的左半部作為MAC。ANSI 算法MAC數(shù)據(jù)先按8字節(jié)分組，表示為D0Dn，若是Dn不足8字節(jié)時，尾部以字節(jié)00補齊。用MAC密鑰加密D0，加密結果與D1異或作為下一次的輸入。將上一步的加密結果與下一分組異或，然后再用MAC密鑰加密。直至所有分組終止，取最后結果的左半部作為MAC。圖示如下，其中：DEA(e)表示 加密操作密鑰D0D1+DEA(e)DEA(e)D密鑰D0D1+DEA(e)DEA(

42、e)D2DEA(e)DEA(e)MACDn+DEA(e)+ANSI MAC算法描述：ANSI 算法只利用雙倍長密鑰。MAC數(shù)據(jù)先按8字節(jié)分組，表示為D0Dn，若是Dn不足8字節(jié)時，尾部以字節(jié)00補齊。用MAC密鑰左半部加密D0，加密結果與D1異或作為下一次的輸入。將上一步的加密結果與下一分組異或，然后用MAC密鑰左半部加密。直至所有分組終止。用MAC密鑰右半部解密(5)的結果。用MAC密鑰左半部加密(6)的結果。取(7)的結果的左半部作為MAC。圖示如下，其中：DEA(e)表示加密操作，DEA(d)表示解密操作， eq oac(,+)表示異或操作。密鑰右半部密鑰右半部密鑰左半部D0D1+DEA(e)DEA(e)D2DEA(e)DEA(d)DEA(e)MACDn+DEA(e)DEA(e)+錯誤代碼表00正確0