SJL05接口手册使用说明

编程手册

Racal接口手册

编程手册

目录

第一篇编程指南....................................................8

1.1简要介绍.................................................8

1.2一般说明.................................................8

1.3三倍DES运算............................................9

1.3.1密钥的用法...........................................9

1.3.2密钥的加密方案.......................................9

1.ANSIX9.17方式.........................................9

2.变量方式...............................................9

1.4密钥的生成、输入和输出..................................10

1.5命令消息格式............................................11

1.5.1TCP/IP方式..........................................11

1.5.2串口Async方式.......................................11

1.6响应消息格式............................................12

1.6.1TCP/IP方式..........................................12

1.6.2串口Async方式.......................................13

1.7数据的表示..............................................13

1.7.1ASCII字符编码......................................14

1.7.2EBCDIC字符编码....................................14

1.7.3EBCDIC码至ASCH码的转换表.........................16

1.8输入/输出流控制..........................................18

1.9错误控制................................................18

1.10多HSM的使用...........................................19

1.11用户存储................................................19

1.11.1分配和使用索引...................................20

1.11.2指定存储数据.....................................21

1.12通过一台连接在HSM上的打印机打印.......................22

1.13禁止弱密钥和半弱密钥....................................22

1.13.1DES弱密钥..........................................22

1.13.2DES半弱密钥.......................................23

1.14本地上密钥..............................................23

1.14.1LMK表.............................................23

1.14.2标准测试用LMK集..................................24

1.15本地主密钥变种..........................................25

1.16本地主密钥三DES变量方案...............................26

1.16.1一般说明.........................................26

1.16.2密钥类型表.......................................27

1.16.3密钥方案表.......................................28

第二篇主机命令...................................................29

2.1一般说明................................................29

2.2通用密钥管理命令........................................29

2.2.1生成密钥.............................................30

2.2.2生成并打印一个成份..................................31

编程手册

2.2.3生成一个密钥并以分开的成份形式打印..................33

2.2.4由密的成份组成一个密钥..............................35

2.2.5输入一个密钥........................................36

2.2.6输出一个密钥........................................37

2.2.7转换密钥方案（不支持）..............................38

2.3区域主密钥（ZMK）管理.................................39

2.3.1生成并打印一个ZMK成份..........................._40

2.3.2由三个ZMK成份组成一个ZMK....................................................42

2.3.3由2到9个ZMK成份组成一个ZMK............................................43

2.3.4将ZMK由ZMK转为LMK加密.......................45

2.4区域PIN密钥（ZPK）管理................................47

2.4.1生成一个ZPK.......................................................................................48

2.4.2将ZPK由ZMK转为LMK加密........................49

2.4.3将ZPK由LMK转为ZMK加密........................51

2.5区域加密密钥，区域认证密钥管理..........................52

2.5.1生成一个ZEK/ZAK.............................................................................53

2.5.2将ZEK/ZAK从ZMK转为LMK加密....................54

2.5.3将ZEK/ZAK从LMK转为ZMK加密....................55

2.6终端主密钥，终端PIN密钥和终端认证密钥管理.............56

2.6.1生成并打印一个TMK、TPK或PVK.............................................57

2.6.2生成一个TMK、TPK或PVK..........................................................59

2.6.3将TMK、TPK或PVK从LMK转为另一TMK、TPK或PVK

加密59

2.6.4将TMK、TPK或PVK从ZMK转为LMK加密...........60

2.6.5将TMK、TPK或PVK从LMK转为ZMK加密...........61

2.6.6生成一对PVKs.....................................................................................62

2.7终端认证密钥管理........................................64

2.7.1生成一个TAK.......................................................................................65

2.72将TAK从ZMK转为LMK加密........................66

2.7.3将TAK从LMK转为ZMK加密........................67

2.7.4将TAK从LMK转为TMK加密........................68

2.8PIN和Offset的生成......................................69

2.8.1使用IBM方式得到一个PIN.............................................................70

2.8.2使用Diebold的方式得到一个PIN（不支持）.............72

2.8.3生成一个随机的PIN...........................................................................73

2.8.4生成一个IBM方式的PINOffset.....................................................74

2.8.5生成一个Diebold的PINO岳et（不支持）...............75

2.8.6生成一个VISA的PIN校验值..........................76

2.9PIN校验................................................77

2.9.1校验一个用IBM方式的终端PIN....................................................77

2.9.2校验一个用IBM方式的、用于交换的PIN...................................79

2.9.3校验一个用Diebold方式的终端PIN（不支持）...........81

2.9.4校验一个用Diebold方式的、用于交换的PIN（不支持）.......82

2.9.5校验一个用VISA方式的终端PIN..................................................83

编程手册

2.9.6校验一个用VISA方式的、用于交换的PIN.................................84

2.9.7校验一个用比对方式的终端PIN......................................................85

2.9.8校验一个用比对方式的、用于交换的PIN.....................................86

2.10PIN翻译................................................87

2.10.1将PIN从一个ZPK翻译到另一个ZPK（已升级）......88

2.10.2将PIN从TPK翻译到ZPK.........................................................90

2.10.3将PIN从ZPK翻译到LMK........................................................91

2.10.4将PIN从TPK翻译到LMK.......................................................92

2.10.5将PIN从LMK翻译到ZPK.......................................................93

2.10.6翻译PIN算法（不支持）...........................94

2.11PIN信封打印............................................95

2.11.1打印PIN/PIN和请求数据...........................96

2.11.2打印一个PIN请求信封.............................98

2.11.3验证PIN/PIN和请求信封密码......................100

2.11.4验证请求信封密码................................101

2.12PIN请求数据处理.......................................102

2.12.1装载请求数据至用户存储区（不支持）..............105

2.12.2请求数据至用户存储区的最后装载（不支持）.........106

2.13清除PIN支持...........................................108

2.13.1加密一个明文的PIN...................................................................108

2.13.2解密一个已加密的PIN...............................................................109

2.14主机口令支持...........................................110

2.14.1生成一个口令密钥（不支持）......................110

2.14.2将口令密钥从LMK下加密转为ZMK下加密（不支持）

111

2.14.3将口令密钥从ZMK下加密转为LMK下加密（不支持）

112

2.14.4校验口令响应（不支持）..........................113

2.14.5生成一个十进制的MAC（不支持）..................114

2.14.6校验一个十进制的MAC（不支持）..................115

2.15消息认证码支持.........................................116

2.15.1生成一个MAC..............................................................................117

2.15.2校验一个MAC..............................................................................118

2.15.3校验并转换一个MAC.................................................................118

2.15.4对大消息生成MAC（MAB）...................................................119

2.15.5用ANSIX9.19方式对大消息生成MAC（MAB）...............120

2.16BASE24二进制MAC命令................................122

2.16.1生成一个二进制MAC（Base24）（不支持）...........123

2.16.2校验一个二进制MAC（Base24）（不支持）..........124

2.16.3校验并转换一个二进制MAC（Base24）（不支持）....125

2.17用户存储支持...........................................126

2.17.1装载数据至用户存储区............................127

2.17.2从用户存储区读取数据.............................127

2.17.3校验用户存储区的Diebold表（不支持）.............128

编程手册

2.18打印输出的格式.........................................129

2.18.1字格式打印PINs..........................................................................132

2.18.2以列形式打印PINs......................................................................133

2.18.3装载格式化数据至HSM............................................................134

2.18.4装载附加格式化数据至HSM....................................................135

2.18.5装载PIN文本字符串..............................136

2.19在LMK变化之后转换数据................................137

2.19.1转换一个ZMK..............................................................................137

2.19.2转换一个ZPK...............................................................................138

2.19.3转换一个TMK、TPK或PVK.................................................139

2.19.4转换一个TAK...............................................................................140

2.19.5转换一个PIN和PIN长度..........................141

2.19.6将密钥从旧LMK下转换至新LMK下加密...........142

2.19.7清除密钥转变存储区..............................144

2.20复合命令...............................................145

2.20.1退出授权状态....................................145

2.20.2生成密钥校验值（非双倍长度ZMK）..................................146

2.20.3生成密钥校验值..................................147

2.20.4设置HSM响应延时（不支持）.....................149

2.20.5完成诊断........................................150

2.20.6HSM状态.......................................151

2.21美国运通卡安全码.......................................152

2.21.1算法说明........................................152

2.21.2生成一个*CSCK...........................................................................155

2.21.3导出一个*CSCK...........................................................................156

2.21.4导入一个*CSCK...........................................................................157

2.21.5计算卡安全码....................................159

2.21.6校验卡安全码....................................160

2.22VISA卡校验值..........................................161

2.22.1生成CVK对.....................................161

2.22.2将CVK对由LMK下加密转换为ZMK下加密........162

2.22.3将CVK对由ZMK下加密转换为LMK下加密........163

2.22.4将CVK对由旧LMK下转换为新LMK下加密........164

2.22.5生成VISACW............................................................................165

2.22.6校验VISACW............................................................................165

2.23每一交易中唯一的导出密钥...............................166

2.23.1生成一个基础导出密钥（*BDK）（不支持）..........167

2.23.2将PIN由*BDK下加密转换为交换密钥加密（不支持）.168

2.23.3用IBM方式校验PIN（不支持）....................169

2.23.4用VISAPVV方式校验PIN（不支持）..............170

2.23.5用Diebold方式校验PIN（不支持）.................171

2.23.6用已加密PIN的方式校验PIN（不支持）............172

2.23.7将BDK从*ZMK转为LMK下加密（不支持）........173

2.23.8麻BDK从LMK转为*ZMK下加密..................174

编程手册

2.24使用可选的RSA加密系统................................175

2.24.1生成一RSA密钥集...............................180

2.24.2装载一个私钥....................................182

2.24.3将私钥由旧LMK下加密转换为新LMK下加密.......183

2.24.4由公钥生成一个MAC................................184

2.24.5由公钥验证一个MAC................................185

2.24.6校验一个证书并在公钥下生成一个MAC...............186

2.24.7由公钥转换一个MAC................................188

2.24.8生成一个签名....................................189

2.24.9校验一个签名....................................191

2.24.10输入一个DES密钥...............................193

2.24.11输出一个DES密钥...............................194

2.24.12对一个数据块进行哈希运算........................195

2.25其他RSA命令..........................................196

2.25.1产生一对RSA密钥(34)............................196

2.25.2导入私钥(35)......................................197

2.25.3导出私钥(36)......................................197

2.25.4用私钥签名(37)...................................198

2.25.5用公钥验证(38)...................................199

2.25.6转换DES密钥：从公钥加密到主密钥加密(3A).....199

2.25.7转换DES密钥：从主密钥加密到公钥加密(3B)......200

2.25.8产生摘要(30.....................................201

2.25.9转换MAC密钥并做MAC(3E).....................201

2.25.10公钥加密(30).....................................202

2.25.11私钥解密(33).....................................203

225.12私钥加密(3D).....................................204

2.25.13公钥解密(39).....................................204

2.25.14PIN转换指令(41).................................205

2字节PIN数据长度+PIN明文+随机数据.............................206

2.25.15PIN转换指令(43).................................206

2.26补充命令...............................................207

2.26.1ARQC(orTC/ACCVerificationand/orARPCGeneration(EMV96)

207

2.26.2ARQC(orTC/ACCVerificationand/orARPCGeneration

l(EMV2000)..................................................208

2.26.3ARQC(orTC/ACCVerificationand/orARPC

Generation2(EMV2OOO)........................................210

2.26.4IC卡脚本加密......................................211

2.26.5IC卡脚本加密_PBOC2.0................................213

2.26.6IC卡脚本MAC计算.................................214

2.26.7IC卡脚本MAC计算_PBOC2.0..........................216

2.26.8MASTERCARD特丽用」DN验证...................217

2.26.9ARQC(orTC/ACCVerificationand/orARPCGeneration

(PBOC2.0).....................................................218

编程手册

2.26.10MASTERCARD特殊应用DAC验证................219

2.26.11PINBLOCK与ANSI9.8格式相互转换...............220

2.26.12PIN转换指令I......................................................................221

2.26.13加密PIN（顺德天迅版）..........................221

2.26.14计算MAC（顺德天迅版）.........................222

2.26.15分散生成TKEK,用ZMK加密输出（顺德天迅版）......223

2.26.16随机生成KEY,用指定ZMK加密输出（顺德天迅版）.224

2.26.17转换ZPK加密的PIN为另一ZPK加密（随机数）（顺德天

迅版）225

2.26.183DES密钥验证MAC并加解密PIN....................................226

2.26.19由ZMK或TPK下加密的PIN转换成TPK下加密.....227

2.26.20卡号密码检查（平安银行专用）....................228

2.26.21账号密码检查（平安银行专用）....................228

2.26.22邮政汇兑项目加密机增加两个特殊PIN格式（在CC命令

上增加）229

第三篇PIN格式...........230

3.1一般说明...............................................230

3.2格式01..................................................................................................230

3.3格式02..................................................................................................231

3.4格式03..................................................................................................231

3.5格式04..................................................................................................231

3.6格式05..................................................................................................232

1NP1...PNR...R.........................................................................................................232

第四篇错误代码..................................................233

4.1错误代码表.............................................233

第五篇名词表....................................................235

5.1一般说明...............................................235

编程手册

通用指令

1.1一般说明

HSM提供一系列的函数以实现密钥管理、PIN管理（包括PIN验证）和信

息认证码（MAC）运算的功能.

这一篇详细描述了所有有效的命令，包括其响应消息和可能产生的错误代

码.

许多简写将自始至终使用，具体如下表所示：

L加密的PIN长度。安装时设置。

M消息头长度。安装时设置。

n可变的长度域。

A字母数字（包括任何非控制类型）字符。

H十六进制字符.

N数字域。

C控制字符。

B二进制数据（类型），从X，00到X，FF.

例如：

32H：指示需要32位的十六进制字符。

mA：指示主机必须发送为消息头长度而设置的m个字母数字字符.

为方便起见，每条命令前后的STX和ETX控制字符在以下的细节描述中

将不显示.

在发送给HSM中的命令中，任何一个密钥都可以被内部用户存储区域的

一个引用所代替.在下列的细节描述中，密钥总是会显示，就像在每条命令中

被发送一样：在每一种情况下，密钥都可以被索引标识符“K”和三位数值所

提到.

HSM可以用于在其它网络节点中有Atalla安全设备的系统中。这可以通过

在那些将转换ZMK加密下的密钥的命令中包含一个Atalla变量来实现。此时，

ZMK在按照Atalla设备所使用的方式被用来加密或解密时将被修改.HSM支

持1或2位的Atalla变量。

编程手册

1.2通用密钥管理命令

1.2.1生成密钥

命令：生成一个密钥,同时可选的为交易在LMK下加密密钥.

注意：查看密钥类型表以找到密钥类型代码.

查看密钥方案表以找到加密密钥的有效方案.

域长度和类型说明

命令消息

消息头mA该消息头随后即被无变化地返回给主机.

命令代码2A值为*AD\

模式1H0一产生密钥.

1一产生密钥并在ZMKF加密.

密钥类型3H密钥类型.

密钥方案（LMK）1A密钥长度/LMK下加密密钥的方案.

ZMK16H或32H或仅当模式为1时才显示该ZMK域.

IA+32H或IA+48H

密钥方案（ZMK）IA加密输出密钥的密钥方案.仅当模式为1时才显示该域.

Atalla变量IN或2N可选项.Atalla变量：在有Atalla设备的系统中使用.仅当

模式为1时才显示读域.

终止信息分隔符IC可选项.如果显示消息尾域，则读域必须显示.值为“X，

19".

消息尾nA可选项.讨大长度为32个字符.

响应消息

消息头nA无变化地被返回给主机.

响应代码2A值为“A1”.

错误代码2N00：无错误.

10：ZMK奇偶校聆错.

12：用户存储区中没有装裁密钥.

13,LMK错误：报告给管理制.

15,输入数据错.

21：无效用户存储区索引.

密例(LMK)16H或LMK加密下的密钥.

1A+32H或1A+4SH

密钥(ZMK)16H或LMK加密下的福饵.

1A+32H或IA+48H

密的校验值6H密钥校验值.

终止信息分隔符IC仅当命令消息中有时才显示该域.值为"X'19".

消息尾nA仅当命令消息中有时才显示该域.坡大长度为32个字符.

编程手册

1.2.2生成并打印一个成份

命令：生成一个随机的成份，在与HSM相连接的打印机上打印出来并将加密值返

回给主机。

注意：HSM必须处于授权状态.

打印机必须连接到HSM辅助端口。

HSM必须有一个已定义的打印格式.

如果选择通道连接选项，则不会返回笫二个响应消息：第一个响应消息将直

到打印完成才会返回.（这是因为通道协议对每一个请求只允许一个响应.）

如果作为高速HSM“RG7X10”系列标准命令集的一部分则不可用.

查看密钥类型表以找到密钥类型代码.

查看密钥方案表以找到加密密钥的有效方案.

域长度和类型说明

命令消息

消息头mA该洎息头随后即被无变化地返回给主机.

命令代码2A值为-A2".

密俳类型3H密钥类型.

密钥方案（LMK）1A密钥长度/LMK下加密密钥的方案.

打印域0nA在打印格式定义中作为“PrintField。”定义的打印城

（一定不能包含字符）.

分隔符1A值为“；二

打印域1nA在打印格式定义中作为“PrintField1”定义的打印域

（一定不能包含“夷”字符）.

•■

•*

•>

最后打印城nA在打印格式定义中定义的总后打印域一定不能包含字

符.

终止信息分隔符IC可选项.如果显示消息尾域，则该域必须显示.但为“X'

19".

消息尾nA可选项.城大长度为32个字符.

编程手册

域长度和类型说明

响应消息（打印前）

消息头nA无变化地被返回给主机.

响应代码2A值为"A3".

错误代码2N00：无错误.

13：LMK错：报告给管理处.

15,输入数据错.

16：打印机没有准备好/没有连接上.

17.不在授权状态.

18：没有装我格式定义.

成份16H或LMK变种下加密的ZMK成份.

1A+32H或1A+48H

终止信息分隔符IC仅当命令消息中有时才显示流域.值为“X79”.

消息尾nA仅当命令消息中有时才显示该域.最大长度为32个字符.

响应消息（打印后）

消息头nA无变化地被返回给主机.

响应代码2A值为-AZ-.

错误代码2N00,无错误.

13：LMK错：报告给管理

15,输入数据错.

16：打印机没有准备好/没有连接上.

17,不在授权状态.

18.没有装我格式定义.

终止信息分隔符IC仅当命令消息中有时才显示该域.值为“X/9”.

洎息尾nA仅当命令消息中有时才显示读域.最大长度为32个字符.

编程手册

1.2.3由密的成份组成一个密钥

命令；生成一个密钥，同时可选的为交易在LMK下加密密钥.

注意：查看密钥类型表以找到密钥类型代码.

查看密钥方案表以找到加军密钥的有效方案.

域长度和类型说明

命令消息

消息头mA该消息头随后即被无变化地返回给主机.

命令代码2A值为“A4”.

成份号IN成份号由2到9.

密钥类型3H查看密铜类型表.

密钥方案（LMK）IALMK下加密密钥的方案.

密钥成份116H或IA+32H或己加密的密钥成份1.

1A+48H

密钥成