56所加密机指令集

1、目录 TOC o 1-3 h z HYPERLINK l _Toc6 第1章密钥说明 PAGEREF _Toc6 h 3 HYPERLINK l _Toc7 密码机利用的密钥类型 PAGEREF _Toc7 h 3 HYPERLINK l _Toc8 主密钥MK PAGEREF _Toc8 h 3 HYPERLINK l _Toc9 存储加密密钥SEK PAGEREF _Toc9 h 3 HYPERLINK l _Toc0 传输加密密钥TEK PAGEREF _Toc0 h 3 HYPERLINK l _Toc1 终端主密钥TMK PAGEREF _Toc1 h 4 HYPERLINK l _

2、Toc2 PIN密钥PIK PAGEREF _Toc2 h 4 HYPERLINK l _Toc3 MAC密钥MAK PAGEREF _Toc3 h 4 HYPERLINK l _Toc4 各类密钥之间的关系 PAGEREF _Toc4 h 5 HYPERLINK l _Toc5 密钥利用方式 PAGEREF _Toc5 h 6 HYPERLINK l _Toc6 第2章密码机消息格式 PAGEREF _Toc6 h 7 HYPERLINK l _Toc7 TCP/IP通信 PAGEREF _Toc7 h 7 HYPERLINK l _Toc8 串行口通信 PAGEREF _Toc8 h 7

3、HYPERLINK l _Toc9 接收缓冲区 PAGEREF _Toc9 h 8 HYPERLINK l _Toc0 读写方式 PAGEREF _Toc0 h 8 HYPERLINK l _Toc1 字母缩写说明 PAGEREF _Toc1 h 8 HYPERLINK l _Toc2 MAC数听说明 PAGEREF _Toc2 h 8 HYPERLINK l _Toc3 第3章密钥治理软件的功能 PAGEREF _Toc3 h 9 HYPERLINK l _Toc4 密钥输入 PAGEREF _Toc4 h 9 HYPERLINK l _Toc5 密钥查询 PAGEREF _Toc5 h 9

4、 HYPERLINK l _Toc6 密钥备份 PAGEREF _Toc6 h 9 HYPERLINK l _Toc7 系统设置 PAGEREF _Toc7 h 9 HYPERLINK l _Toc8 口令治理 PAGEREF _Toc8 h 9 HYPERLINK l _Toc9 其它功能 PAGEREF _Toc9 h 9 HYPERLINK l _Toc0 第4章密码机指令说明 PAGEREF _Toc0 h 10 HYPERLINK l _Toc1 检查密码机信息（HR/HS） PAGEREF _Toc1 h 10 HYPERLINK l _Toc2 检查主密钥MK状态（K4/K5）

5、PAGEREF _Toc2 h 11 HYPERLINK l _Toc3 检查SEK/TEK（K6/K7） PAGEREF _Toc3 h 12 HYPERLINK l _Toc4 导入SEKTEK（KU/KV） PAGEREF _Toc4 h 13 HYPERLINK l _Toc5 导出SEKTEK（KY/KZ） PAGEREF _Toc5 h 14 HYPERLINK l _Toc6 将用旧MK加密的SEK/TEK转为用新MK加密（KK/KL） PAGEREF _Toc6 h 15 HYPERLINK l _Toc7 生成终端主密钥TMK（K0/K1） PAGEREF _Toc7 h 1

6、6 HYPERLINK l _Toc8 在SEK和TEK之间转换TMK（KE/KF） PAGEREF _Toc8 h 17 HYPERLINK l _Toc9 生成数据密钥PIK/MAK（K2/K3） PAGEREF _Toc9 h 18 HYPERLINK l _Toc0 在SEK和TMK之间转换PIK/MAK（KI/KJ） PAGEREF _Toc0 h 19 HYPERLINK l _Toc1 PIN BLOCK转换（P0/P1） PAGEREF _Toc1 h 20 HYPERLINK l _Toc2 MAC计算（M0/M1） PAGEREF _Toc2 h 21 HYPERLINK

7、l _Toc3 MAC计算（M4/M5） PAGEREF _Toc3 h 22 HYPERLINK l _Toc4 验证MAC（M2/M3） PAGEREF _Toc4 h 23 HYPERLINK l _Toc5 生成密钥的校验值（3A/3B） PAGEREF _Toc5 h 24 HYPERLINK l _Toc6 加密一个PIN（60/61） PAGEREF _Toc6 h 25 HYPERLINK l _Toc7 由密码机产生一个随机数（RA/RB） PAGEREF _Toc7 h 26 HYPERLINK l _Toc8 生成RSA公、私钥对，并输出公钥 PAGEREF _Toc8

8、h 27 HYPERLINK l _Toc9 请求用指定私钥解密特定数据并用输入的PIK按DES/3DES算法加密PIN PAGEREF _Toc9 h 28 HYPERLINK l _Toc0 第5章PIN块格式 PAGEREF _Toc0 h 29 HYPERLINK l _Toc1 格式01 (ISO 9564-1Format 0或ANSI PAGEREF _Toc1 h 29 HYPERLINK l _Toc2 格式02（Docutel） PAGEREF _Toc2 h 29 HYPERLINK l _Toc3 格式03(Diebold) PAGEREF _Toc3 h 29 HYPE

9、RLINK l _Toc4 格式04 PAGEREF _Toc4 h 29 HYPERLINK l _Toc5 格式05(ISO 9564-1Format 1) PAGEREF _Toc5 h 30 HYPERLINK l _Toc6 格式06 PAGEREF _Toc6 h 30 HYPERLINK l _Toc7 第6章算法说明 PAGEREF _Toc7 h 31 HYPERLINK l _Toc8 64比特密钥DES加/解密 PAGEREF _Toc8 h 31 HYPERLINK l _Toc9 128比特密钥DES加/解密 PAGEREF _Toc9 h 32 HYPERLINK

10、l _Toc0 192比特密钥DES加/解密 PAGEREF _Toc0 h 33 HYPERLINK l _Toc1 XOR MAC算法 PAGEREF _Toc1 h 33 HYPERLINK l _Toc2 ANSI 算法 PAGEREF _Toc2 h 34 HYPERLINK l _Toc3 ANSI MAC算法描述： PAGEREF _Toc3 h 35 HYPERLINK l _Toc4 第7章错误代码表 PAGEREF _Toc4 h 37 HYPERLINK l _Toc5 第8章公钥编码 PAGEREF _Toc5 h 39 HYPERLINK l _Toc6 一、填充方式

11、 PAGEREF _Toc6 h 40密钥说明为了知足中国银联3DES改造的需求，特制定此命令集。密码机利用的密钥类型主密钥MK数量：1个。产生：三人手工输入。用途：用于加密SEK和TEK，加密SEK和TEK时采纳不同的变种。存储：密码机内。其分量保留在三张IC卡上。长度：192比特。爱惜：受硬件爱惜。存储加密密钥SEK数量：1024个，以索引方式挪用，索引号从S0000S1023。产生：多人（29人）手工输入。用途：用于加密TMK、PIK、MAK做本地存储。存储：密码机内。同时可用MK加密后保留到主机数据库中。长度：64128192比特可选。爱惜：受硬件主密钥MK爱惜。传输加密密钥TEK数量

12、：1024个，以索引方式挪用，索引号从T0000T1023。产生：多人（29人）手工输入。用途：用于加密TMK做异地传输。存储：密码机内。同时可用MK加密后保留到主机数据库中。长度：64128192比特可选。爱惜：受硬件主密钥MK爱惜。终端主密钥TMK数量：不受密码机限制，以SEK加密的密文方式送入密码机利用。产生：密码机随机产生。用途：用于加密PIK和MAK做异地传输。存储：用SEK加密后保留到主机数据库中。长度：64128192比特可选。爱惜：受存储加密密钥SEK、传输加密密钥TEK爱惜。PIN密钥PIK数量：不受密码机限制，以SEK加密的密文方式送入密码机利用。产生：密码机随机产生。用途

13、：用于加密PIN。存储：用SEK加密后保留到主机数据库中。长度：64128192比特可选。爱惜：受存储加密密钥SEK、终端主密钥TMK爱惜。MAC密钥MAK数量：不受密码机限制，以SEK加密的密文方式送入密码机利用。产生：密码机随机产生。用途：用于产生MAC。存储：用SEK加密后保留到主机数据库中。长度：64128192比特可选。爱惜：受存储加密密钥SEK、终端主密钥TMK爱惜。各类密钥之间的关系其中主密钥的治理相当重要，现采纳三人一起输入的方式。具体方式如下：主管一输入主密钥分量一，直接写入IC卡，密码机内不做存储。主管二输入主密钥分量二，直接写入IC卡。主管三输入主密钥分量三，直接写入IC

14、卡。通过以上三步，完成主密钥IC卡的制作。三位主管从IC卡上将主密钥的三个分量导入密码机临时缓冲区。密码机将三个分量进行异或，取得MK种子，然后再由MK种子生成最终的主密钥MK。MK分量1MK分量1MK分量3MK分量2MK种子保密算法主密钥MKSEKTEKTMKTMK/PIK/MAKPIK/MAK密钥利用方式主密钥存储在密码机内，只有一个，利历时无需指定。SEK存储在密码机内，有1024个，利历时以索引方式指定，索引从S0000S1023。TEK存储在密码机内，有1024个，利历时以索引方式指定，索引从T0000T1023。TMKPIKMAK用SEK加密后存储在主机数据库中，利历时以密文方式送

15、入密码机，同时要指定加密密钥SEK的索引。密钥长度能够是64128192比特，利历时别离以XYZ表示。可将128比特密钥扩展为192比特密钥，扩展后的密钥与原密钥等价。如将128比特密钥表示为：Left(64bits) + Right(64bits)，扩展成192比特密钥后变成：Left(64bits) + Right(64bits) + Left(64bits) 密码机消息格式TCP/IP通信命令格式：消息长度（2字节）+ 消息头（099字节）+消息内容（n字节）2字节长度：【消息头】与【消息内容】的字节总数。消息头：密码机应答时，原封不动地返回消息头。消息内容：按命令格式组织的消息包。例如

16、，当消息头为0 x120 x340 x560 x78，要发送的消息包为0 x31, 0 x32两字节时，那么向密码机发送的内容为：0 x000 x060 x120 x340 x560 x780 x310 x32注意：若是采纳EBCDIC码进行通信，【消息长度】不要做EBCDIC码转换。消息头缺省长度为0。串行口通信消息格式：STXCOUNTDATALRCETXSTX：起始标志，一个字节，值为X02。COUNT：两字节的十六进制值。表示DATA的字节长度，不包括STX、COUNT、LRC、ETX。DATA：按命令格式组织的消息包。LRC：一个字节的检查值，是DATA所有字节异或的结果。不包括ST

17、X、COUNT、LRC、ETX。ETX：结束标志，一个字节，值为X03。通信参数：波特率115200bps，8位数据位，1位停止位，无奇偶校验位。注意：串行口通信誉作密钥治理，只采纳ASCII编码方式。接收缓冲区密码机的接收缓冲区大小为8704字节。因此每次发送给密码机的消息不能大于8704字节。读写方式对串行通信和TCP/IP通信，都采纳同步读写方式。即：密码机处置完一个命令，才接收下一个命令。字母缩写说明A：可打印字符B：任意字符，0 x00-0 xFFH：十六进制字符09、AN：十进制字符0-n：可变长度域MAC数听说明MAC数据的长度不该大于8192字节。密钥治理软件的功能进入密钥治理

18、系统必需输入密码机口令、插入治理员IC卡并输入IC卡密码。建议密码机口令与治理员IC卡由两人别离治理。密钥输入制作主密钥IC卡从IC卡导入主密钥输入SEK输入TEK密钥查询查询主密钥查询SEK查询TEK密钥备份导入导出SEK导入导出TEK删除SEKTEK系统设置密码机效劳端口IP子网掩码网关客户IP增加删除TCP/IP通信消息头、字符编码口令治理修改密码机口令修改IC卡口令其它功能产生随机数密码机指令说明检查密码机信息（HR/HS）功能本指令测试密码机硬件状态，并返回密码机软件版本信息。说明域长度/类型内容指令消息格式命令码2AHR返回消息格式返回码2AHS错误码2A00：正确版本信息nB返回

19、密码机软件版本号等信息检查主密钥MK状态（K4/K5）功能检查主密钥状态说明域长度/类型内容指令消息格式命令码2AK4返回消息格式返回码2AK5错误码2A00：正确01：无主密钥MKMK检查值16H检查SEK/TEK（K6/K7）功能检查SEK/TEK密钥状态说明域长度/类型内容指令消息格式命令码2AK6密钥索引1A4NSEK：S4位索引TEK：T4位索引返回消息格式返回码2AK7错误码2A00：正确02：无密钥密钥长度1AXYZ密钥的校验值16H导入SEKTEK（KU/KV）功能将用MK加密的SEK/TEK导入密码机。说明SEK/TEK必须符合奇校验域长度/类型内容指令消息格式命令码2AKU

20、密钥索引1A4NSEK：S4位索引TEK：T4位索引密钥长度1AXYZ密钥密文16/32/48H用MK加密的SEK/TEK返回消息格式返回码2AKV错误码2H00：正确04：密钥奇偶校验错密钥的校验值16H导出SEKTEK（KY/KZ）功能将密码机内的SEK/TEK用MK加密后的输出。说明域长度/类型内容指令消息格式命令码2AKY密钥索引1A4NSEK：S4位索引TEK：T4位索引返回消息格式返回码2AKZ错误码2H00：正确02：无密钥密钥长度1AXYZ密钥密文16/32/48H用MK加密的SEK/TEK密钥的校验值16H将用旧MK加密的SEK/TEK转为用新MK加密（KK/KL）功能将用旧

21、MK加密的SEK/TEK用新MK加密后输出。说明在更换主密钥时，所有SEK/TEK密钥应改用新的主密钥加密。保存在密码机内的SEK/TEK密钥会自动转用新的主密钥加密。保存在密码机外的SEK/TEK密钥则应调用该命令进行转加密。该命令要求输入的密钥明文符合奇校验。*在输入新的主密钥时，密码机会自动备份前一版本的主密钥。域长度/类型内容指令消息格式命令码2AKK密钥类型1AS：SEKT：TEK密钥长度1AXYZSEK/TEK密钥密文16/32/48H用旧MK加密的SEK/TEK返回消息格式返回码2AKL错误码2H00：正确04：密钥奇偶校验错SEK/TEK密钥密文16/32/48H用新MK加密的

22、SEK/TEK密钥的校验值16H生成终端主密钥TMK（K0/K1）功能生成终端主密钥，并将其密文和检查值返回给主机。说明生成的终端主密钥符合奇校验。域长度/类型内容指令消息格式命令码2AK0SEK索引1A4NS4位索引TEK索引1A4NT4位索引TMK密钥长度1AX：64比特密文Y：128 比特密文Z：192 比特密文返回消息格式返回码2AK1错误码2A00：正确TMK密文116/32/48H用SEK加密TMK密文216/32/48H用TEK加密TMK密钥检查值16H用TMK加密64比特0在SEK和TEK之间转换TMK（KE/KF）功能将用SEK加密的TMK转换为用TEK加密，或者将用TEK加

23、密的TMK转换为用SEK加密。说明域长度/类型内容指令消息格式命令码2AKESEK密钥索引1A4NSEK：S4位索引TEK密钥索引1A4NTEK：T4位索引转换标志1N0：从SEK到TEK加密1：从TEK到SEK加密TMK密钥长度1AXYZTMK密钥密文16/32/48H返回消息格式返回码2AKF错误码2H00：正确其它：错误TMK密钥密文16/32/48H转换标志为0：用TEK加密的TMK转换标志为1：用SEK加密的TMK密钥的校验值16H生成数据密钥PIK/MAK（K2/K3）功能生成数据密钥PIK/MAK，并将其密文和检查值返回给主机。说明对于生成的数据密钥（PIK、MAK）需要同时各生

24、成两对密文，其中一对用TMK加密用于通过联机报文方式在签到应答消息中传给终端，另一对用SEK加密后，将密文保存在POSP数据库中。域长度/类型内容指令消息格式命令码2AK2SEK1索引1A4N用于解密TMKSEK2索引1A4N用于加密PIK/MAKTMK密文1A16/32/48H用SEK1加密PIK/MAK密钥长度1AX：64比特密文Y：128 比特密文Z：192 比特密文返回消息格式返回码2AK3错误码2A00：正确PIK/MAK密文116/32/48H用SEK2加密PIK/MAK密文216/32/48H用TMK加密PIK/MAK密钥检查值16H用PIK/MAK加密64比特0在SEK和TMK

25、之间转换PIK/MAK（KI/KJ）功能将用SEK加密的PIK/MAK转换为用TMK加密，或者将用TMK加密的PIK/MAK转换为用SEK加密。说明域长度/类型内容指令消息格式命令码2AKISEK1密钥索引1A4N用于解密PIK/MAKSEK2密钥索引1A4N用于解密TMKTMK密钥长度1AXYZTMK密钥密文16/32/48H用SEK2加密的TMK转换标志1N0：从SEK到TMK加密1：从TMK到SEK加密PIK/MAK密钥长度1AXYZPIK/MAK密钥密文16/32/48H返回消息格式返回码2AKJ错误码2H00：正确其它：错误PIK/MAK密钥密文16/32/48H转换标志为0：用TM

26、K加密的PIK/MAK转换标志为1：用SEK加密的PIK/MAK密钥的校验值16HPIN BLOCK转换（P0/P1）功能将源PIN密文用源PIK解密，进行PIN格式转换，然后用目的PIK加密输出。说明当PinBlock格式为02时，PIN长度为46位，当PinBlock格式为04时，PIN长度为6位，其它PinBlock格式PIN长度最少4位，最长12位。此指令中PinBlock格式为01时，要求输入16位帐号，目的是为了包容某些特殊的PinBlock格式。上层应用需要按照自己的要求组织此域。HSM直接用此域（帐号域）与PIN域异或，形成PinBlock。域长度/类型内容指令消息格式命令码2

27、AP0源SEK索引1A4NS4位索引目的SEK索引1A4NS4位索引源PIK密钥密文1A16/32/48H用源SEK加密：X64比特密文Y128 比特密文Z192 比特密文目的PIK密钥密文1A16/32/48H用目的SEK加密源PinBlock格式2N参见PinBlock格式附表目的PinBlock格式2N参见PinBlock格式附表源PIN PinBlock密文16H用源PIK加密源帐号16N当源PinBlock格式为01时有此域其它PinBlock格式：无此域目的帐号16N当目的PinBlock格式为01时有此域其它PinBlock格式：无此域返回消息格式返回码2AP1错误码2A00：正

28、确其它：错误目的PinBlock密文16H用目的PIK加密MAC计算（M0/M1）功能用ANSI MAC算法对数据做MAC。说明域长度/类型内容指令消息格式命令码2AM0MAC算法1N1：XOR2：3：SEK索引1A4NMAK密钥密文1A16/32/48H用SEK加密：X64比特密文Y128 比特密文Z192 比特密文数据长度4N【数据】域的字节数数据nB返回消息格式返回码2AM1错误码2A00：正确MAC8HMAC计算（M4/M5）功能用ANSI MAC算法对数据做MAC。说明域长度/类型内容指令消息格式命令码2AM4MAC算法1N1：XOR2：3：SEK索引1A4NMAK密钥密文1A16/

29、32/48H用SEK加密：X64比特密文Y128 比特密文Z192 比特密文数据长度4N【数据】域的字节数数据nB返回消息格式返回码2AM5错误码2A00：正确MAC16H验证MAC（M2/M3）功能用ANSI MAC算法对数据做MAC，并与输入的MAC进行比较，返回比较结果。说明域长度/类型内容指令消息格式命令码2AM2MAC算法1N1：XOR2：3：SEK索引1A4NMAK密钥密文1A16/32/48H用SEK加密：X64比特密文Y128 比特密文Z192 比特密文MAC8H要验证的MAC数据长度4N【数据】域的字节数数据nB返回消息格式返回码2AM3错误码2A00：正确生成密钥的校验值（

30、3A/3B）功能加密一个明文的PIN，并输出指定格式（0106）的PIN密码块说明SEK/TEK必须符合奇校验域长度/类型内容指令消息格式命令码2A3A密钥索引1A4NSEK：S4位索引TEK：T4位索引PIK密钥密文1A16/32/48H用SEK或TEK加密：X64比特密文Y128 比特密文Z192 比特密文返回消息格式返回码2A3B错误码2H检查值16H单、双、三倍长密钥加密64比特0的结果加密一个PIN（60/61）功能加密一个明文的PIN，并输出指定格式（0106）的PIN密码块说明SEK/TEK必须符合奇校验域长度/类型内容指令消息格式命令码2A60密钥索引1A4NSEK：S4位索引

31、TEK：T4位索引PIK密钥密文1A16/32/48H用SEK或TEK加密：X64比特密文Y128 比特密文Z192 比特密文PIN块格式2N0106PIN块明文16H要加密的PIN明文，不足16位填充F。如123456FFFFFFFFFF。帐号16N当目的PinBlock格式为01时有此域其它PinBlock格式无此域返回消息格式返回码2A61错误码2H加密后的PIN块16H用PIK密钥加密后的PIN块由密码机产生一个随机数（RA/RB）功能由密码机产生一个指定长度的随机数。说明产生的随机数符合奇校验。域长度/类型内容指令消息格式命令码2ARA随机数长度3N随机数的字符长度返回消息格式返回码

32、2AKZ错误码2H00：正确其它：错误随机数nH生成RSA公、私钥对，并输出公钥功能生成RSA公、私钥对，将其存储在加密机中，并输出公钥的明文。输入域长度/类型内容指令消息格式命令码2A34RSA模长4N至少支持1024RSA密钥索引2N返回消息格式返回码2A待定错误码2A00：正确私钥长度4N私钥密文字节数私钥密文nB用主密钥加密的私钥公钥nB DER编码方式见附录导入私钥将用主密钥加密的私钥导入密码机，并保留在密码机内。除非人为销毁，不然密钥将一直保留在密码机中。输入域长度类型说明命令代码2A值“35”私钥索引2N“00”“20”私钥长度4N私钥密文字节数。“0000”表示删除该私钥。私钥

33、密文nB用主密钥加密的私钥输出域长度类型说明响应代码2A“36错误代码2H导出私钥将密码机内的私钥用主密钥加密导出。输入域长度类型说明命令代码2A值“36”私钥索引2N“00”“20”输出域长度类型说明响应代码2A“37错误代码2H私钥长度4N私钥密文字节数私钥密文nB用主密钥加密的私钥转换DES密钥：从公钥加密到主密钥加密用于接收密钥。输入域长度类型说明命令代码2A值“3A”私钥索引2N“00”20”密钥长度4NDES密钥密文的字节数密钥密文nB用公钥加密的DES密钥输出域长度类型说明响应代码2A“3B”错误代码2HDES密钥32H用主密钥加密的DES密钥检查值16HDES密钥加密64bit

34、s的0转换DES密钥：从主密钥加密到公钥加密用于分发密钥。输入域长度类型说明命令代码2A值“3B”密钥密文32H用主密钥加密的DES密钥公钥nB输出域长度类型说明响应代码2A“3C”错误代码2H检查值16HDES密钥加密64bits的0密钥长度4NDES密钥密文的字节数密钥密文nB用公钥加密的DES密钥请求用指定私钥解密特定数据并用输入的PIK按DES/3DES算法加密PIN功能特定数据的构成：PINBLOCK+附加数据。用私钥解密后截取前面的PINBLOCK部分用PIK加密，输出PINBLOCK的密文及附加数据的明文。输入域长度/类型内容指令消息格式命令码2A3IRSA密钥索引2NSEK密钥

35、索引1A4NS4位索引，用来加密工作密钥的主密钥索引PIK密钥密文1A16/32/48H用SEK加密：X64比特密文Y128 比特密文Z192 比特密文数据长度4N数据nB用公钥加密的PINBLOCK+附加数据 的明文返回消息格式返回码2A待定错误码2A00：正确PIN密文16HPIK加密后的密文附加数据nB明文用公钥加密的PINBLOCK+附加数据 的明文 : 06 12 34 56 78 FF FF FF +附加数据(01 02 03 04 05 06)用指定密钥加密数据域长度/类型内容指令消息格式命令码2AE加解密标志1N0：加密，1：解密加密算法1N0：ECB，1：CBC密钥索引1A4

36、NSEK：S4位索引TEK：T4位索引输入密钥密文1A16/32/48H用SEK或TEK加密：X64比特密文Y128 比特密文Z192 比特密文初始向量16H64比特，CBC加密的初始向量,仅当加密算法为时有此域。数据长度4N输入数据的字节数，为的倍数输入数据nB需要加、解密的原始数据返回消息格式返回码2AE错误码2H数据长度4N输出数据的字节数输出数据nB加、解密后的结果数据处置进程：用密钥索引对应的主密钥解密输入密钥取得密钥明文判定加解密标志；用明文密钥对数据做加密或解密处置输出处置结果PIN块格式为了对PIN进行加密传输，密码机要求将PIN以16位十六进制数输入。密码机支持六种PIN块格

37、式，PIN 格式代码为2位十进制数。格式01 (ISO 9564-1Format 0或ANSI 格式01采纳ANSI ，PIN块由用户PIN和账号按如下方式形成：由数字0、PIN长度，PIN，填充字符F，组成一个十六位的数据块。例如：5位的PIN 92389，数据块为0592 389F FFFF FFFF。另一个十六位的数据块由四位0和最右12位账号（不含检查位）组成，例如：13位账号“40000012 3456 2”，最后一名“2”是检查位，数据块为0000 4000 0012 3456上述两数据块进行异或（模2加）操作。05 92 38 9F FF FF FF FF00 00 40 00

38、00 12 34 56取得PIN块：05 92 78 9F FF ED CB A9格式02（Docutel）格式02由PIN长度，6位PIN，和用户概念的填凑数字串组成。若是PIN不足6位，采纳左对齐，后面补0，凑足6位。例如5位PIN“92389”，填充后为“923890”，加上填充串“98765 4321”，PIN块是“5923 8909 8765 4321”格式03(Diebold)格式03不含PIN长度，PIN块由用户PIN和填充字符F组成。例如5位PIN“92389”，PIN块是：9238 9FFF FFFF FFFF格式04格式04 PIN 块由下述16位十六进制数组成：00003

39、P13P23P33P43P53P6例如：PIN为 123456时，PIN块为 0000 3132 3334 3536。格式05(ISO 9564-1Format 1)格式05是ISO 9564-1格式1，PIN 块由下述16位十六进制数组成：1NP1PNRR那个地址：N是PIN长度（4C）。P1PN是N位的PIN。,RR是随机填充串。格式06格式06的PIN 块由数字0、PIN长度、PIN、填充字符F组成。例如：5位的PIN 92389，PIN块为 0592 389F FFFF FFFF。算法说明64比特密钥DES加/解密DES加/解密DES加/解密密钥64比特数据64比特结果密钥左半部DES

40、加密64比特数据DES解密64比特结果密钥右半部密钥左半部DES加密64比特数据DES解密64比特结果密钥右半部DES加密密钥左半部64比特结果128比特密钥DES加密过程密钥左半部DES解密64比特数据DES加密64比特结果密钥右半部DES解密密钥左半部64比特结果128比特密钥DES解密过程密钥左部DES加密64比特数据DES解密64比特结果密钥中部密钥左部DES加密64比特数据DES解密64比特结果密钥中部DES加密密钥右部64比特结果192比特密钥DES加密过程密钥右部DES解密64比特数据DES加密64比特结果密钥中部DES解密密钥左部64比特结果192比特密钥DES解密过程XOR

41、MAC算法XOR MAC算法能够利用单倍长、双倍长、三倍长密钥。MAC数据先按8字节分组，表示为D0Dn，若是Dn不足8字节时，尾部以字节00补齐。D0Dn所有分组异或，然后用MAC密钥加密。取加密结果的左半部作为MAC。ANSI 算法MAC数据先按8字节分组，表示为D0Dn，若是Dn不足8字节时，尾部以字节00补齐。用MAC密钥加密D0，加密结果与D1异或作为下一次的输入。将上一步的加密结果与下一分组异或，然后再用MAC密钥加密。直至所有分组终止，取最后结果的左半部作为MAC。图示如下，其中：DEA(e)表示 加密操作密钥D0D1+DEA(e)DEA(e)D密钥D0D1+DEA(e)DEA(

42、e)D2DEA(e)DEA(e)MACDn+DEA(e)+ANSI MAC算法描述：ANSI 算法只利用双倍长密钥。MAC数据先按8字节分组，表示为D0Dn，若是Dn不足8字节时，尾部以字节00补齐。用MAC密钥左半部加密D0，加密结果与D1异或作为下一次的输入。将上一步的加密结果与下一分组异或，然后用MAC密钥左半部加密。直至所有分组终止。用MAC密钥右半部解密(5)的结果。用MAC密钥左半部加密(6)的结果。取(7)的结果的左半部作为MAC。图示如下，其中：DEA(e)表示加密操作，DEA(d)表示解密操作， eq oac(,+)表示异或操作。密钥右半部密钥右半部密钥左半部D0D1+DEA(e)DEA(e)D2DEA(e)DEA(d)DEA(e)MACDn+DEA(e)DEA(e)+错误代码表00正确0