SJL05金融数据加密机程序员手册1.9.5

1、SJL05 型金融数据加密机型金融数据加密机程序员手册程序员手册卫士通信息产业股份有限公司卫士通信息产业股份有限公司二五年十月二五年十月四川省成都市高新区创业大道 6 号邮政编码：610041电话：（028）85141541 8008861133SJL05金融数据加密机程序员手册 JRIC第五版（2005年6月）本手册是由卫士通信息产业股份有限公司编撰，仅赠送给用户和其他合作伙伴。 “卫士通”及是卫士通信息产业股份有限公司在中国境内的注册商标，卫士通信息产业股份有限公司保留对本书的所有版权，任何单位和个人未经许可，不得以任一方式进行仿制、拷贝、誊写或转译。卫士通公司保留对本书进行重新修订的权利

2、，随时可能对本书中的打印错误、与最新资料不符之处、程序或设备的更新做必要的改动，这些改动恕不另行通知，但会编入新版书内。本书主要为命令参考，适合以下读者：SJL05 应用开发人员，及其他所有对 SJL05 产品感兴趣的读者。请妥善保存本手册以备以后使用请妥善保存本手册以备以后使用卫士通信息产业股份有限公司http:/ i -目目录录1简介简介.1加密机主要功能.1加密机与主机的通信.21.1.1接口与协议.21.1.2数据格式.31.1.3调用加密机过程.3SJL05 命令集划分.42磁条卡业务类磁条卡业务类.4请求返回系统信息.4返回本地主密钥状态.6返回指定区域主密钥状态.7定义打印格式.

3、8产生并存储一个指定长度的主密钥，并打印明文到密码信封.10产生并存储一个指定长度的区域主密钥分量，并打印明文到密码信封.13产生一个数据密钥，并用 BMK 加密后返回.16产生索引的区域主密钥.17产生一个直联 POS 的数据密钥.18生成随机 POK，并用 ZMK 和 TMK 加密后返回.19产生指定长度的随机区域数据密钥.20存储一个索引的区域主密钥.22产生并存储指定长度的 TMK.23存储一个索引的区域主密钥.26银行主密钥加密的密钥转换成次主密钥.28取回一个索引的区域主密钥.29取回一个索引的终端主密钥.30加密一个 TMK 密钥.31卫士通信息产业股份有限公司http:/ ii

4、 -用 BMK 解密 PIK.32SSF02 加密的 PINBLOCK验证.33SSF02 算法计算 MAC.35SSF02 验证 MAC.36SSF02 加/解密.37注：在数据加密时，数据长度不够 8 的倍数时，在数据后补 0X00 补齐。SSF02 PINBLOCK转换.39产生动态通信密钥.41用通信密钥对数据算 MAC，验证 MAC.43用通信密钥对数据计算 MAC.45用通信密钥对 PIN 密文解密.47用通信密钥转换 PIN.49计算TAC.51产生工作密钥.52转换工作密钥.53计算 MAC.54对输入数据加/解密.55PIN 转换 .56产生并打印密钥 .57产生并输出密钥

5、.58转换 PIN.59请求产生一个加密的 PIN.60请求转换一个 PIN 从银行 1 到银行 2（无帐号）.62请求验证一个 PIN.64请求转换一个 PIN 从 ATK 到 PIK.66请求转换一个 PIN 从 PIK 到 ATK.68请求转换一个 PIN 从 POK 到 PIK.70请求转换一个 PIN 从 PIK 到 POK.72请求转换一个 PIN 从银行 1 到银行 2（含一个主帐号） .74卫士通信息产业股份有限公司http:/ iii -请求转换一个 PIN 从 PPK（加密得到）到 PIK.76请求转换一个 PIN 从 PIK1（解密得到）到 PIK2.78转换 PIN 从

6、输入的 PIK1 到 PIK2（含两个主帐号）.79转换 PIN 从 TMK1 到 TMK2.81转换 PIN 从 TMK 到输入 PIK .82加密（或解密）PIN .84转换 PIN 从 PIK 加密到 TMK 加密 .85生成用 ZMK 和 RSA 加密的随机密钥 .86用输入密钥对数据加/解密.87用区域主密钥对数据加/解密.89数据密钥转换.91转换工作密钥主密钥.93转换密钥.94生成用 ZMK 和 RSA 加密的随机密钥 .95数据密钥转换.96验证和生成 MAC.98验证 MAC.100计算卡属性和密文数据的 MAC .102验证卡属性与数据串的 MAC .1042.46 请求

7、产生 MAC,并可选择地转换 PIN .106转换 MAC.108转换一个 MAC 和 PIN.110请求验证 MAC，可选择地验证 PIN.113产生随机密钥，用 TMK 加密后返回.115生成弱 MAC.116用终端主密钥加密数据.118用输入密钥对输入数据作加/解密.119产生 MAC.120校验 MAC.122卫士通信息产业股份有限公司http:/ iv -请求产生一个商户 MAC.124请求验证一个商户 MAC.126用 TMK 计算 MAC .127请求验证用 TMK 计算的 MAC.128打印 PIN.130计算密钥的 CHECKVALUE .132解密 PIN.133转换 PI

8、N 从 ATK 到 PIK.134转换任意长度的数据密钥.136PINBLOCK转换（任意长度 PIK）.138请求转换一个 PIN 从 ATK (任意长度) 到 PIK (任意长度) .141产生一个数据密钥（任意长奇校验）和校验码.145用任意长数据密钥加密 PIN BLOCK .147PINBLOCK转换（任意长度 MMK 及格式） .149PINBLOCK转换 .152用任意长数据密钥解密 PIN BLOCK (推荐使用 0X0422) .155请求产生 MAC（变长 MAK）.157请求验证 MAC（变长 MAK）.159请求产生 MAC，并可选转换 PIN（密钥长度可变）.161请

9、求验证 MAC，可选择地验证 PIN变长工作密钥，任意类型PINBLOCK.165终端主密钥的生成.169数据密钥的生成.170解密 PIN .172生成 CHECKVALUE（变长密钥） .173用输入密钥对输入数据作加/解密.173用本地主密钥加密终端主密钥.175产生成员行的数据密钥（用 ZMK 和 LMK 加密） （.177产生终端数据密钥（用 TMK 和 LMK 加密）.179卫士通信息产业股份有限公司http:/ v -转换成员行数据密钥（由 ZMK 转换为 LMK 加密）.181转换成员行数据密钥二（由 LMK 转换为 ZMK 加密）.183转换终端数据密钥（由 TMK 转换为

10、LMK 加密）.184转换终端数据密钥二（由 LMK 转换为 TMK 加密）.185取回索引的 ZMK（用 LMK 加密）.186存储索引的 ZMK.187PIK 加密 PINBLOCK，PIK 由 LMK 加密 .188加密 PINBLOCK，PIK 用 ZMK 加密.189转换 PINBLOCK，PIK 用 LMK 加密.190转换 PINBLOCK，PIK 用 ZMK 加密.192转换 PINBLOCK，PIK 用 MK 加密 .194转换 PINBLOCK，PIK 用 MK 加密 .195转换 PINBLOCK，PIK 用 ZMK 加密.196转换 PINBLOCK，PIK 用 ZMK

11、 加密.198产生 MAC，MAK 用 LMK 加密.200产生 MAC，MAK 用 ZMK 加密.203校验 MAC，MAK 用 LMK 加密.205校验 MAC，MAK 用 ZMK 加密.206产生两个不同长度的随机密钥，由 LMK 加密.208将 ZMK 加密的密钥转换为 LMK 加密.209将 LMK 加密的密钥转换为 BMK 加密.210将送入的数据由 LMK 加密输出.211转换 PIN.211计算 MAC.214产生随机密钥.215导出工作密钥.216导入工作密钥.217产生随机 PIN.218产生 PIN OFFSET .219卫士通信息产业股份有限公司http:/ vi -校

12、验 PIN OFFSET .220转换 PINBLOCK .222转换 PINBLOCK.223产生 CVK 对.224产生 CVV .225校验 CVV .226用索引号为 000 的 BMK 加密数据密钥.227产生被加密的随机传输密钥和工作密钥 .228生成两个随机工作密钥（3DES 加密）.229生成两个随机工作密钥（DES 加密）.230生成两个随机工作密钥（3DES 加密）.231用输入传输密钥加密输入工作密钥 .232用输入密钥解密数据 .233用终端主密钥解密数据 .234PINBLOCK转换一（从终端到区域）.235PINBLOCK转换二（从终端到区域）.237PINBLOC

13、K转换三（从区域到区域）.239MAC 验证一（终端）.241生成 MAC（终端）.243MAC 验证（区域一）.244MAC 生成（区域一）.246MAC 验证（区域二）.247生成 MAC（区域二）.249验证区域 MAB.250生成弱 MAC（区域）.252验证区域 MAB.2543IC 卡业务类卡业务类 .255传输密钥初始化.255卫士通信息产业股份有限公司http:/ vii -装载次主密钥（？）.257装载次主密钥.259将应用主密钥导入加密机中.261分散次主密钥产生 MAC.263分散次主密钥验证 MAC.265请求产生一个随机密钥.267导出分散子密钥.268导入次主子密钥

14、.270外部认证.271请求产生一个 16 字节的奇校验随机密钥 .271请求返回指定次主密钥状态 .273产生一个 64 位或 128 位的数据密钥 .274产生一个随机次主密钥(用主密钥加密).275存储指定的次主密钥 .276取回指定的次主密钥 .277产生并验证 MAC.278用指定的次主密钥对输入数据做 3DES 加密.279数据转换 .280用指定密钥对输入数据进行 3DES 加/解密.282初始化 CRC 表 .283签名 .285数据转换和 CRC 校验 .287输出加密的单长度密钥 .289单 DES 密钥的 MAC 计算.290单 DES 密钥的 MAC 验证.292注入用

15、 RSA 公钥加密的次主密钥.293计算 MAC.295转换 PIN .296用指定的次主密钥分散并对分散结果加密 .297卫士通信息产业股份有限公司http:/ viii -用指定的次主密钥分散数据 .299用分散出的数据密钥请求产生 MAC.300请求用分散出的数据密钥产生并验证 MAC.302验证 MAC 并生成 MAC.304请求产生 TAC .307请求验证一个 TAC .309安全计算 .311不用临时密钥生成 MAC.313验证 0XB086 命令产生的 MAC .315验证并生成 MAC.317数据加密并产生 MAC 一.319导出分散子密钥.321导出交主密钥.322数据加密

16、并计算 MAC 二.323用输入密钥计算弱 MAC .3263DESMAC 验证 .328DESMAC 验证.330通用 3DES 加密.331用分散密钥加密数据 .332请求解密数据 .334分散次主密钥产生 MAC.336分散次主密钥和加密 .338请求用种子密钥产生子密钥 .340多类型数据加密 .341加密分散子密钥和计算 MAC.343加密分散子密钥和计算 MAC.345加密分散子密钥和计算 MAC.347加密分散子密钥和计算 MAC .349导出应用子密钥.351卫士通信息产业股份有限公司http:/ ix -加密分散子密钥和计算 MAC.355加密分散子密钥和计算 MAC .35

17、7转换 PIN .360分散子密钥，产生 MAC.361产生认证码.363导出分散的子密钥（单长度）.364生成 MAC（单长度分散） .366验证 MAC（单长度） .368生成 TAC(单长度).370验证 TAC（单长度）.372用临时密钥（双长度）进行加/解密 .374用临时密钥（单长度）进行加/解密 .376更改密钥属性.378生成 MAC .379推导子密钥，加密数据，计算 MAC .381用输入的密钥对数据进行加解密 .383用输入的密钥对数据计算 MAC.384请求产生 TAC.385请求验证一个 TAC.388读取密钥版本号 .390产生随机数 .391交易下行加密 .392

18、密钥申请数据解密 .394交易下行 MAC 生成.396密钥申请 MAC 校验.398OTA 密钥下传.400交易上行转换 PIN .401转换 PIN.403用临时密钥（双长度）进行加/解密.404卫士通信息产业股份有限公司http:/ x -用临时密钥（双长度）进行加/解密.406分散次主密钥产生 MAC.407将 SAM 卡交易密钥加密的 PIN 转换为用区域 PIK 加密(ANSI9.8).408数据加密 .410计算 MAC 四.4114电子商务类命令电子商务类命令.413请求产生一对 RSA 密钥（私钥）.413请求修改一个 RSA 私钥的访问口令.414请求输出一个 RSA 密钥

19、对中的公钥.415请求进行一次 RSA 私钥加密（NO PADDING）.416请求用指定的 RSA 公钥加密（NO PADDING）.418删除一对 RSA 密钥.419产生一个 DES 密钥并输出.420用输入 DES 密钥加密输入的 8 字节数据.421用输入的 DES 密钥解密 8 字节输入数据.422用公钥加密数据（HAVE PADDING）.423RSA 私钥加密（HAVE PADDING）.424取出 RSA 密钥.425存储 RSA 密钥.426产生随机数 .427SHA1 做摘要(OPTIONAL) .428输入 RSA 密钥（管理用）.429输入 RSA 密钥（管理用） .

20、431请求用指定的私钥解密 (NOPADDING) .433用输入的公钥解密(NO PADDING) .434请求进行 RSA 签名.435请求进行 RSA 签名验证.437卫士通信息产业股份有限公司http:/ xi -请求用指定的私钥解密 ( PADDING).438用输入的公钥解密 (PADDING).439MD5 摘要数据.440SHA1 做摘要（分段） .441MD5 做摘要（分段） .442产生并存储随机密钥，用 RSA 公钥加密后输出.443产生随机密钥并用输入公钥和指定主密钥加密后输出 .444导出指定 RSA 公钥.445产生一对 RSA 密钥.446导出 RSA 密钥对.4

21、47对输入数据做摘要 .448产生双长度的对称密钥 .449对输入数据进行 3DES 加密.4505.变种密钥指令集变种密钥指令集.4515.1 密钥转换.4525.2 导入密钥.4525.3 导出密钥.4535.4 产生随机工作密钥.4555.5 产生随机工作密钥.4555.6 加密明文密钥.4565.7 校验密钥 .4575.8 用密钥分量合成密钥.4585.8 导出区域主密钥 .4595.9 更新区域主密钥.4605.10 存储区域主密钥.4615.11 用输入密钥加密数据.4615.12 用输入密钥解密数据.4625.13 加密 PIN.463卫士通信息产业股份有限公司http:/ x

22、ii -5.14 PIN 转换.4645.15 解密 PIN.4655.16 产生 PIN.4665.17 校验 PIN.4675.18 密信打印.4685.19 计算 MAC.4695.20 校验 MAC.4705.21 计算 CVV.4715.21 校验 CVV.472.22 打印密钥和数据.4735.23 产生并打印区域主密钥.4745.24 用输入密钥对输入数据作加/解密.475分散根密钥并导出.477产生随机工作密钥.479附录附录 A 加密机通用出错代码表加密机通用出错代码表.480附录附录 B ATM 和和 POS 机类型和机类型和 PIN 的格式的格式.482附录附录 C DO

23、UBLE-ONE-WAY.483附录附录 D 安全计算安全计算 (SECURE CALCULATION).484附录附录 E 命令命令 0X500X54 使用算法使用算法 .485动态通信密钥.485通信主密钥加密通信密钥算法.485分散算法.485MAC 算法.486附录附录 F 弱弱 MAC 计算计算.487附录附录 G 分散推导子密钥算法分散推导子密钥算法.488双长度分散：.488卫士通信息产业股份有限公司http:/ xiii -单长度分散：.488卫士通信息产业股份有限公司http:/ 1 -1 简介简介1.1 加密机主要功能加密机主要功能SJL05 金融数据加密机是金融数据安全保

24、护的一种有效物理工具，它能可靠、安全地保护金融网络中的 PIN（个人身份识别号） ，包括对 PIN 的加/解密、验证及转发；消息来源正确性验证（MAC）的产生、验证及转发，有效地防止伪卡的诈骗行为。SJL05 金融数据加密机还有完善的密钥管理体系，能提供由全硬件噪声源产生的随机密钥以及密钥的人工输入接口。能有效防止通信信道上的主动攻击行为。该加密机本身提供多种物理接口，能方便地与各种银行主机系统相连接。 在金融网络中由于在线路上传输的所有数据全是经加密机加密后的密文，而明文只在加密机内部才拥有，并且所有的密钥明文不会出现在加密机之外，因此我们对加密机自身的安全性也作了周全的设计，使其不仅具有物

25、理锁防撬的防拆设计，而且在情况紧急时，即使断电的情况下，也能快速的进行人工毁钥等技术手段，来有效的防止内外部人员的攻击。在跨行交易中以个人身份号PIN 在 ATM/POS 网络的传输为例，个人身份号 PIN 从收卡行到交换中心再由交换中心到发卡行受校验过程大致如下：PIN 在 ATM/POS 跨行交易的过程其中：(1) 顾客输入私人密码(2) 传送被 ATM/POS 加密的私人密码屏幕(3) 收卡行翻译私人密码(1) 顾客输入 私人密码发卡行交换中心收卡行POSATM(6)(2)(4)(3)(5)(7)卫士通信息产业股份有限公司http:/ 2 -(4) 传送被收卡行加密的私人密码(5) 交换

26、中心转换私人密码(6) 传送被交换中心转换后的私人密码(7) 发卡行校验私人密码1.2 加密机与主机的通信加密机与主机的通信1.2.1 接口与协议接口与协议SJL05 提供以太网口、异步口等多种接口，支持以下协议与主机（或前置机）之间通信：TCP/IP（V4） 、V.24/RS232-C，SJL05 与主机（前置机）通过上述通信协议交换数据报文。SJL05 与主机（前置机）采用服务器/客户机工作模式，具体是 SJL05 为服务器，主机（前置机）为客户机，SJL05 等候主机发起的请求，处理后再将结果发送给主机，写成一次交易处理工作。下面以 TCP/IP协议为例讲解具体通信过程。 （具体通信配置

27、请参见SJL05 金融数据加密机操作员手册第六章参数配置。 ）加密机的操作采用命令、响应的方式，主机应用程序在请求加密机服务之前，应先根据加密机的 IP 地址、端口号与加密机建立会话连接（加密机必须处于交易状态才允许建立连接） ，主机向加密机发命令，然后等待加密机响应。在这里加密机作为 Server，主机作为 Client。其示意如下：命令响应主机与加密机之间的数据流向卫士通信息产业股份有限公司http:/ 3 -1.2.2 数据格式数据格式 请求数据格式请求数据格式命令码数据命令码如：0 xB0, 0 x060数据：0 x06, 0 x12, 0 x34, 0 x56, 0 x

28、ff, 0 xff, 0 xff, 0 xff 等 应答数据格式应答数据格式应答码数据或错误码应答码：0 x41（A ） 正确应答。0 x45（E ） 错误应答。1.2.3 调用加密机过程调用加密机过程主机（前置机）应用调用加密机的过程如下：1)根据加密机配置的 IP 地址和端口号，建立与加密机的 Socket 连接；2)根据加密机提供的命令格式，封装消息报文；3)将消息报文发送给加密机；4)从加密机接受响应报文；5)根据响应做出相应的判断和操作；6)连续做 2）至 5）操作；7)断开与加密机的连接。卫士通信息产业股份有限公司http:/ 4 -1.3 SJL05 命令集划分命令

29、集划分SJL05 系统命令按业务可分为三类： 磁条卡业务类：包含 SJL05 原命令集，命令字为一个字节或两个字节；命令为两个字节时，第一字节为命令类别，第二字节为命令。命令类别值为 0 x05或 0 xB1。IC 卡业务类：命令为两个字节，第一字节为命令类别，第二字节为命令，IC 卡业务类命令；电子商务类命令：命令为两个字节，第一字节为命令类别，值为 0 xC0，第二字节为命令。2 磁条卡业务类磁条卡业务类0X00 请求返回系统信息请求返回系统信息说明：返回系统信息。消息格式：输入域长度类型备注命令1H0 x00输出域长度类型备注应答码1A“A”版本4A版本号协议4A修订日期8A系统最后修订

30、日期或应答码1A“E”卫士通信息产业股份有限公司http:/ 5 -错误码1H出错类型SJL05 处理过程：1)如果成功，取出并返回系统版本号、协议、最后的修订日期。卫士通信息产业股份有限公司http:/ 6 -0X01 返回本地主密钥状态返回本地主密钥状态说明：测试本地主密钥是否存在消息格式：输入域长度类型备注命令1H0 x01输出域长度类型备注应答码1A“A”或应答码1A“E”错误码1H0 x 01：无主机主密钥SJL05 处理过程：1)读取本地主密钥；2)如果成功，正常返回，否则返回本地主密钥不存在出错代码 0 x01。卫士通信息产业股份有限公司http:/ 7 -0X03 返回指定区域

31、主密钥状态返回指定区域主密钥状态说明：测试并返回指定区域主密钥的状态。消息格式：输入域长度类型备注命令1H0 x03银行索引号2H区域主密钥索引号输出域长度类型备注应答码1A“A”或应答码1A“E”错误码1H0 x 0C：非法银行主密钥索引号SJL05 处理过程：1)读取指定的区域主密钥；2)如果成功，正常返回；否则，返回指定的区域主密钥不存在出错代码 0 x0C。卫士通信息产业股份有限公司http:/ 8 -0X07 定义打印格式定义打印格式说明：定义串口打印机打印格式。消息格式输入域长度类型备注命令码2H0 x07打印格式定义符NA打印控制符字节串输出域长度类型备注应答码1AA或应答码1A

32、E错误码1H0 x30：打印机未准备好0 x68：输入数据长度错加密机处理过程：加密机判断定义符长度是否超出最大打印缓存空间，如果是，返回出错信息。打印控制符符号ASCII含义L3E 4C回车按行V3E 56纵向 TabH3E 48横向 TabF3E 46换页nnn3E 3n 3n 3nnnn 为 3 位十进制数，表示相对于左边界右移多少列P5E 50插入明文 PIN 或者明文密钥的第一段（最前 64bit）,用于打印 64bit、128bit 或 192bit 的密钥Q5E 51插入明文密钥的第二段(中间 64bit)，用于打印 128bit或 192bit 的密钥R5E 52插入明文密钥的

33、第三段(最后 64bit)，用于打印 192bit卫士通信息产业股份有限公司http:/ 9 -的密钥T5E 56插入密钥的校验码05E 30插入第 0 个打印字段15E 31插入第 1 个打印字段.95E 39插入第 10 个打印字段A5E 41插入第 11 个打印字段.F5E 46插入第 16 个打印字段卫士通信息产业股份有限公司http:/ 10 -0X08 产生并存储一个指定长度的主密钥，并打印产生并存储一个指定长度的主密钥，并打印明文到密码信封明文到密码信封说明： 产生一个指定长度的区域主密钥或终端主密钥或本地主密钥，存储在加密机指定位置，同时将明文密钥通过串口打印机打印到密码信封上

34、，如果密钥类型为区域主密钥或终端主密钥，将同时返回用 LMK 加密的密文。 用此命令可以产生单分量的区域主密钥或作为产生多分量区域主密钥的第一个分量产生；注意：运行此命令时必须满足以下条件才会有正确结果返回：i. 通过打印格式定义功能正确定义打印格式；ii. 加密机处于打印授权状态（通过控制台控制） 。消息格式：输入域长度类型备注命令1H值为 0 x08银行索引号2H值为 0-999 表示产生的密钥是区域主密钥，对应为区域主密钥索引号；值为 0 xFFFF 表示产生的密钥是本地主密钥，银行索引号无实际意义，此时密钥长度必须为0 x10；值为 0 xF000-0 xF063 表示产生终端主密钥，

35、其中其低字节 0-0 x63表示终端主密钥的密钥索引。密钥长度1H0 x08：产生 64bit 长度密钥；0 x10：产生 128bit 长度密钥；打印附加信息 1N1A同时打印到密码信封上的第一串信息，其打印位置对应于0 符号；卫士通信息产业股份有限公司http:/ 11 -分隔符1A;打印附加信息 2N2A同时打印到密码信封上的第一串信息，其打印位置对应于1 符号；分隔符1A;.打印附加信息 nNnA同时打印到密码信封上的第一串信息，其打印位置对应于n 符号；其中 nF;输出域长度类型备注应答码1A“A”密钥长度1H返回密文密钥的长度，与输入密钥长度域值相同密文密钥NHN=8 或 16,用

36、 LMK 加密的 ZMK或 LMK 加密的 TMK，仅当密钥不为 LMK 时才有。或应答码1A“E”错误码1H0 x 0C：非法银行主密钥索引号SJL05 处理过程：1)判断加密机授权状态是否允许此功能，如果未授权，返回出错，否则产生指定长度的随机密钥；2)如果密钥为区域主密钥或终端主密钥，将随机密钥存储在加密机中区域主密钥或终端主密钥存储区域的指定索引位置，如果该密钥长卫士通信息产业股份有限公司http:/ 12 -度为 64bit，则存储的区域主密钥左右半边均使用此密钥，如果该密钥长度为 128bit，则直接存储该密钥；如果密钥为本地主密钥，将随机密钥作为本地主密钥存储在加密机中。3)按照

37、预定义的打印格式，通过串口打印机打印密钥；4)如果产生的密钥类型为 ZMK 或 TMK，取出加密机内存储的LMK，用 LMK 对随机密钥做 3DES 加密，返回加密结果（如果是LMK，则不返回密文密钥） 。卫士通信息产业股份有限公司http:/ 13 -0X09 产生并存储一个指定长度的区域主密钥分量，产生并存储一个指定长度的区域主密钥分量，并打印明文到密码信封并打印明文到密码信封说明：产生一个指定长度的区域主密钥分量或终端主密钥分量或本地主密钥分量，并与存储在加密机指定位置的主密钥作位异或，用异或结果覆盖原来的主密钥，同时将产生的随机明文密钥分量通过串口打印机打印到密码信封上，如果产生的是区

38、域主密钥或终端主密钥，将同时返回用异或后主密钥用 LMK 加密的密文。注意：运行此命令时必须满足以下条件才会有正确结果返回：i.通过打印格式定义功能正确定义打印格式；ii.加密机处于打印授权状态（通过控制台控制） ；iii.之前已经使用 0 x08 命令，在指定位置已经存在原始区域主密钥，否则通过串口打印机打印的密钥分量与联机返回的密文密钥没有对应关系。消息格式：输入域长度类型备注命令1H值为 0 x09银行索引号2H值为 0-999 表示产生的密钥是区域主密钥，对应为区域主密钥索引号；值为 0 xFFFF 表示产生的密钥是本地主密钥，银行索引号无实际意义，此时密钥长度必须为0 x10；值为

39、0 xF000-0 xF063 表示产生终端主密钥，其中其低字节 0-0 x63表示终端主密钥的密钥索引。密钥长度1H0 x08：产生 64bit 长度密钥；0 x10：产生 128bit 长度密钥；卫士通信息产业股份有限公司http:/ 14 -打印附加信息 1N1A同时打印到密码信封上的第一串信息，其打印位置对应于0 符号；分隔符1A;打印附加信息 2N2A同时打印到密码信封上的第一串信息，其打印位置对应于1 符号；分隔符1A;.打印附加信息 nNnA同时打印到密码信封上的第一串信息，其打印位置对应于n 符号；其中 nF;输出域长度类型备注应答码1A“A”密钥长度1H返回密文随机密钥的长度

40、密文密钥NHN=8 或 16,用 LMK 加密的 ZMK或 TMK或应答码1A“E”错误码1H0 x 0C：非法银行主密钥索引号SJL05 处理过程：1)判断加密机授权状态是否允许此功能，如果未授权，返回出错；2)如果产生的密钥类型为本地主密钥，且密钥长度为 64bit，则返回出错；否则产生指定长度的随机密钥分量 RKC；3)如果 RKC 为 64bit,则将 RKC 复制到其右边，得到 128bit 的卫士通信息产业股份有限公司http:/ 15 -RKC1，使 RKC1 的左半边与右半边都同时等于 RKC；4)读取指定索引的区域主密钥或终端主密钥或本地主密钥 MK，如果读取密钥失败，则设

41、MK 为 16 字节 0；5)将 RKC 与 MK 做位异或，得到结果 MK1，将 MK1 作为指定密钥类型存储在指定位置；6)按照预定义的打印格式，通过串口打印机打印 RKC；7)如果密钥类型为区域主密钥或终端主密钥，取出加密机内存储的LMK，用 LMK 对 ZMK1 做 3DES 加密，返回加密结果（如果是LMK，则不返回密文密钥） 。卫士通信息产业股份有限公司http:/ 16 -0X10 产生一个数据密钥，并用产生一个数据密钥，并用 BMK 加密后返回加密后返回说明：产生一个 64 位的随机数，并将它用所请求银行的区域主密钥加密后返回给请求者。消息格式：输入域长度类型备注命令1H0 x

42、10银行索引号2H区域主密钥索引号输出域长度类型备注应答码1A“A”数据密钥8H用 BMK 加密后的数据密钥校验值8H数据密钥的校验值或应答码1A“E”错误码1H0 x 0C：非法银行主密钥索引号0 x 02：无银行主密钥SJL05 处理过程：1)取出索引的区域主密钥 ZMK；2)产生 8 位随机密钥 DK；3)用区域主密钥 ZMK 对 DK 进行 3DES 加密，得到 CKEY；4)如果成功，返回加密结果 CKEY 和校验值。 卫士通信息产业股份有限公司http:/ 17 -0X11 产生索引的区域主密钥产生索引的区域主密钥说明：产生一个随机数，并将它用本地主密钥加密后返回给请求者。消息格式

43、：输入域长度类型备注命令1H0 x11银行索引号2H区域主密钥索引号输出域长度类型备注应答码1A“A”区域主密钥16H用 LMK 加密后数据密钥或应答码1A“E”错误码1H0 x 0C：非法银行主密钥索引号0 x 01：无主机主密钥SJL05 处理过程：1)取出本地主密钥 LMK；2)产生 16 字节随机密钥 ZMK；3)存储随机密钥在指定的区域主密钥位置；4)用 LMK 对 ZMK 进行 3DES 加密 C_ZMK；5)如果成功，返回加密结果 C_ZMK。卫士通信息产业股份有限公司http:/ 18 -0X2 产生一个直联产生一个直联 POS 的数据密钥的数据密钥说明：产生一个随机数，并将它

44、用所请求的终端主密钥加密后返回给请求者（64 位长） 。消息格式：输入域长度类型备注命令1H0 x12TMK8H用区域主密钥加密后的 TMK银行索引号2H区域主密钥索引号输出域长度类型备注应答码1A“A”数据密钥8H用 TMK 加密后的数据密钥校验值8H或应答码1A“E”错误码1H0 x 0C：非法银行主密钥索引号0 x 02：无银行主密钥SJL05 处理过程：1. 取出索引的区域主密钥 ZMK2. 用 ZMK 对输入的 TMK 密文做 3DES 解密，得到 8 字节 TMK明文 KEY1；3. 随机产生 8 字节数据密钥 DK；4. 用 KEY1 对 DK 进行 DES 加密，得到密文 CK

45、EY；5. 如果成功，返回加密结果 CKEY。卫士通信息产业股份有限公司http:/ 19 -0X13 生成随机生成随机 POK，并用，并用 ZMK 和和 TMK 加密后返加密后返回回说明：产生一个随机 POK，并将它用所请求银行的区域主密钥和 TMK 加密后返回给请求者（64 位） 。消息格式：输入域长度类型备注命令1H0 x13TMK8H用区域主密钥加密后的 TMK银行索引号2H区域主密钥索引号输出域长度类型备注应答码1A“A”数据密钥8H用 ZMK 加密后的数据密钥数据密钥8用 TMK 加密后的数据密钥校验码8密钥的校验值或应答码1A“E”错误码1H0 x 0C：非法银行主密钥索引号0

46、x 02：无银行主密钥SJL05 处理过程：1)取出索引的区域主密钥 ZMK2)用 ZMK 对输入的 TMK 密文做 3DES 解密，得到 8 字节 TMK 明文 KEY1；3)随机产生 8 字节数据密钥 POK；4)用 ZMK 对 DK 进行 3DES 加密，得到密文 CKEY15)用 KEY1 对 DK 进行 DES 加密，得到密文 CKEY2；6)如果成功，返回加密结果 CKEY1CKEY2+校验码。卫士通信息产业股份有限公司http:/ 20 -0X15 产生指定长度的随机区域数据密钥产生指定长度的随机区域数据密钥说明：产生指定长度的随机密钥，并返回用指定区域主密钥加密和 LMK 加密

47、的密钥密文。消息格式：输入域长度类型备注命令1H值为 0 x15索引号2H值为 0-999 表示区域主密钥索引号；值为 0 xF000-0 xF063 表示终端主密钥索引，其中其低字节 0-0 x63表示终端主密钥的密钥索引。密钥长度1H8 或 16 或 24输出域长度类型备注应答码1A“A”密钥长度1H8 或 16 或 24密文数据密钥 18/16/24H用 LMK 加密后的数据密钥密文数据密钥 28/16/24H用 ZMK 或 TMK 加密后的数据密钥或应答码1A“E”错误码1H0 x 0C：非法银行主密钥索引号0 x 01：无本地主密钥0 x 02：无银行主密钥0 x 05：无终端主密钥

48、0 x32：无效的密钥长度SJL05 处理过程：1) 产生指定长度的随机密钥 RK；卫士通信息产业股份有限公司http:/ 21 -2) 取出指定的区域主密钥 ZMK 或终端主密钥 TMK 和本地 主密钥 LMK；3) 用 LMK 对 RK 做 3DESECB 方式加密，得到密文密钥CRK1；4) 用 ZMK 或 TMK 对 RK 做 3DESECB 方式加密，得到密文密钥 CRK2；5) 返回 CRK1 和 CRK2。卫士通信息产业股份有限公司http:/ 22 -0X20 存储一个索引的区域主密钥存储一个索引的区域主密钥说明：输入一个用本地主密钥加密的区域主密钥，将它存储在加密机上。消息格

49、式：输入域长度类型备注命令1H0 x20银行索引号2H区域主密钥索引号区域主密钥密文16H用本地主密钥加密后的区域主密钥输出域长度类型备注应答码1A“A”或应答码1A“E”错误码1H0 x 0C：非法银行主密钥索引号0 x 01： 无主机主密钥SJL05 处理过程：1）取出本地主密钥 LMK；2）用 LMK 对输入的区域主密钥 ZMK 做 3DES 解密得到结果 P_ZMK；3）将 P_ZMK 存储在指定的区域主密钥区中索引号指定的位置。4）如果成功，正常返回。卫士通信息产业股份有限公司http:/ 23 -0X21 产生并存储指定长度的产生并存储指定长度的 TMK说明：输入 TMK 存储的索

50、引号和 TMK 的长度，随机产生指定长度的密钥，存储在相应的索引号中，并将 TMK 的密文和 CheckValue 送出。消息格式：输入域长度类型备注命令1H0 x21TMK 索引号2H存储 TMK 的索引号TMK 密钥长度1H8/16/24输出域长度类型备注应答码1A“A”TMK 密钥密文8/16/24H用 LMK 加密后的 TMK 密钥CheckValue8TMK 密钥的校验值或应答码1A“E”错误码1H0 x 0D：非法 TMK 索引号0 x 01：没有本地主密钥0 x06：写 TMK 错误0 x 5F：密钥长度无效SJL05 处理过程：1取出本地主密钥 LMK；2随机产生指定长度的密钥

51、 TMK；3将 TMK 存储在指定的终端主密钥区中索引号指定的位置。4用 LMK 对输入的终端主密钥 TMK 做 3DES 加密得到结果C_TMK；5返回 C_TMK 和校验值。卫士通信息产业股份有限公司http:/ 24 -卫士通信息产业股份有限公司http:/ 25 -卫士通信息产业股份有限公司http:/ 26 -0X22 存储一个索引的区域主密钥存储一个索引的区域主密钥说明：输入两个区域主密钥的分量和各自 CheckValue 以及管理员口令，合成区域主密钥存储在指定位置。消息格式：输入域长度类型备注命令1H0 x22银行索引号2H区域主密钥索引号分量一16H区域主密钥分量一分量一校验

52、和4H分量一的校验和分量二16H区域主密钥的分量二分量二校验和4H分量二的校验和管理员口令8H银行密钥管理员一的口令(ASCII码)输出域长度类型备注应答码1A“A”区域主密钥16H用本地主密钥加密后的区域主密钥校验码4H合成的 BMK 的校验码或应答码1A“E”错误码1H0 x 0C：非法银行主密钥索引号0 x 80：口令错误0 x 81：无效的校验值0 x 01：无主机主密钥卫士通信息产业股份有限公司http:/ 27 -SJL05 处理过程：1)验证管理员口令；2)计算分量一的校验和，与输入校验和对比，验证分量一有效性；3)计算分量二的校验和，与输入校验和对比，验证分量二有效性；4)将分

53、量一与分量二按位异或，生成 16 字节的区域主密钥 ZMK；5)将 ZMK 存储在区域主密钥区中指定的索引位置；6)取出本地主密钥 LMK；7)用 LMK 对 ZMK 做 3DES 加密，得到结果 C_ZMK；8)如果成功，返回加密结果，区域主密钥 C_ZMK 和校验码。卫士通信息产业股份有限公司http:/ 28 -0X24 银行主密钥加密的密钥转换成次主密钥银行主密钥加密的密钥转换成次主密钥说明：将银行主密钥加密的密钥转换成次主密钥并存储在加密机中消息板式：输入域长度类型备注命令1H0 x24银行密钥索引号2H区域主密钥索引号次主密钥索引号2H密钥密文16HBMK 加密的密文输出域长度类型

54、备注应答码1A“A”或应答码1A“E”错误码1H0 x 01：无主机主密钥0 x 0C：非法银行主密钥索引号SJL05 处理过程：1）读出指定索引的 BMK，并用 BMK 解密数据密钥得到 DK2）将 DK 作为次主密钥存入到加密机中卫士通信息产业股份有限公司http:/ 29 -0X31 取回一个索引的区域主密钥取回一个索引的区域主密钥说明：从加密机中取回指定索引的区域主密钥。消息板式：输入域长度类型备注命令1H0 x31银行索引号2H区域主密钥索引号输出域长度类型备注应答码1A“A”区域主密钥16H用本地主密钥加密后的区域主密钥CheckeValue8H校验值或应答码1A“E”错误码1H0

55、 x 01：无主机主密钥0 x 02 ：无银行主密钥0 x 0C：非法银行主密钥索引号SJL05 处理过程：1)取出本地主密钥 LMK 和索引的区域主密钥 ZMK；2)用 LMK 对 ZMK 进行 3DES 加密，得到区域主密钥的密文C_ZMK；3)如果成功，返回加密结果 C_ZMK。卫士通信息产业股份有限公司http:/ 30 -0X32 取回一个索引的终端主密钥取回一个索引的终端主密钥说明：从加密机中取回指定索引的终端主密钥。消息板式：输入域长度类型备注命令1H0 x32终端索引号2H终端主密钥索引号输出域长度类型备注应答码1A“A”终端主密钥16H用本地主密钥加密后的终端主密钥Check

56、eValue8H校验值或应答码1A“E”错误码1H0 x 01：无主机主密钥0 x0d：非法终端主密钥索引号卫士通信息产业股份有限公司http:/ 31 -0X40 加密一个加密一个 TMK 密钥密钥说明：用区域主密钥加密一个 TMK 密钥。消息格式：输入域长度类型备注命令1H0 x40TMK 密钥8HTMK 密钥明文银行索引号2H区域主密钥索引输出域长度类型备注应答码1A“A”终端密钥8H用区域主密钥加密后的终端主密钥或应答码1A“E”错误码1H0 x 0C：非法银行主密钥索引号0 x 1C：没有指定索引的 BMKSJL05 处理过程：1)取出指定的区域主密钥 ZMK2)用 ZMK 对输入的

57、终端密钥 TMK 做 3DES 加密，得到 TMK 的密文C_TMK；3)如果成功，返回加密结果 C_TMK。卫士通信息产业股份有限公司http:/ 32 -0X41 用用 BMK 解密解密 PIK说明：用 BMK 解密 PIK（采用 3DES 方式） 。消息格式：输入域长度类型备注命令1H0 x41PIK 密文8H银行索引号2H区域主密钥索引输出域长度类型备注应答码1A“A”PIK 明文8H用区域主密钥解密或应答码1A“E”错误码1H0 x 0C：非法银行主密钥索引号0 x 1C：没有银行主密钥SJL05 处理过程：1)取出指定索引的 BMK。2)用 BMK 对 PIK 进行 3DES 解密

58、。3)如果成功返回 PIK 明文。卫士通信息产业股份有限公司http:/ 33 -0X42 SSF02 加密的加密的 PINBLOCK验证验证说明：验证用 SSF02 算法加密的 PINBlock。消息格式：输入域长度类型备注命令1H0 x42主密钥索引 12H区域主密钥索引PINBlock18H要验证的 PINBlockPIK116HPINBlock1 加密密钥主密钥索引 22H区域主密钥索引PIK216H加密 PINBlock2 的密钥PINBlock28H参考为正确的 PINBlock输出域长度类型备注应答码1A“A”或应答码1A“E”错误码1H0 x 0C：非法银行主密钥索引号0 x

59、02：无银行主密钥0 x 1E：PIN 效验失败SJL05 处理过程：1. 取出 BMK1 和 BMK2。2. 用 BMK1，BMK2 对 PIK1，PIK2 分别进行 SSF02 算法解密，得到 D_PIK1, D_PIK2。3. 用 D_PIK1，D_PIK2 对 PINBlock1，PINBlock2 分别进行 SSF02算法解密。得到 D_ PINBlock1, D_ PINBlock2.卫士通信息产业股份有限公司http:/ 34 -4. 比较 D_ PINBlock1，D_ PINBlock1 是否相同。如果成功，正常返回。卫士通信息产业股份有限公司http:/ 35 -0X43

60、SSF02 算法计算算法计算 MAC说明：用 SSF02 算法替换 DES 算法计算输入数据的 MAC 码。消息格式：输入域长度类型备注命令1H0 x43主密钥索引2H区域主密钥索引MAK16HMAC 计算密钥数据长度2H计算 MAC 的数据长度MAC 数据nH计算 MAC 的数据输出域长度类型备注应答码1A“A”MAC8H或应答码1A“E”错误码1H0 x 6 8：输入的数据长度错误0 x 0C：非法银行主密钥索引号0 x 0 2：无银行主密钥SJL05 处理过程：1.取出指定区域主密钥。2.用 BMK 对 MAK 进行解密。得到 MAK 明文。3.用 MAK 明文对 MAC 进行 SSF0