VISA体系编程加密机指令.docx-淘文阁

资源描述

《VISA体系编程加密机指令.docx》由会员分享，可在线阅读，更多相关《VISA体系编程加密机指令.docx（36页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、VISA 件,2009年07月Visa体系指令集1.0版ASCIIHJEXASCIIHEXASCIIHEXASCHHEXNUL00SP204060SOH0121A41a61STX0222B42b62ETX03#23C43c63EOT04S24D44d64ENQ05%25E45e65ACK06&26_F46f一66BEL07927G47g67BS08(28H48b68HT09)29I49 1169LF0A2AJ4A.J6AVTOB+2BK4Bk6BFFOC2CL4CI6CCR0D2DM4Dm6DSOOE2EN4En6ESIOF/2F04F06FDLEDo030P50P70DC111131Q51q

2、71DC212232R52r72DC113333S53s73DC414434T54t74NAK15535U55u75SYN16636V56V16ETBI 17737W57w77CAN18838X58X78EM19939Y59y79SUB1A3AZ5Az7AESCIB3B5B,7BFSIC3EA5E7EUSI IF?3F5FDEL7F172 EBCDrC字符编码下表列出了 ASCH字符及其相关的十六进制值,EBCDICHEXEBCDIC |HEXEBCDICHEXEBCDICHEXNUL00SP4080COSOH01141a81AClSTX0242b82一 BC2r南科友科技股份石俅公司地址(A

3、dd).济16号广州信息港C桥1.603率7电话(Tel) ：(86 20)85533289传真(Fa&t): (86 20)区160邮编(P.C):50665http：, Visa体系指令集1.0版ETX0343c83CC30444d84DC4HT0545e85E|C50646f86FC6DEL0747g:87GC70848h88HC80949I89IC9OA4A8ACAVTOB4B(8BCBFFOC4C8cCCCROD(4D8DCDSOOE+4E8ECESTOF14F8FCFDLE10&5090DODC11151J91JDIDC21252k92KD2DC31353193LD31454m94

4、MD41555n95ND5BS1656o96O)D617S7p97PD7CAN1858q98-q 1D8EM1959r99R|D91A! .5A9ADAIB$5B)9BDBIC*5C9CDCID)5D9DDDIE95E9EDEIF5F9FDF20-(minus)60AO EO21/61AlElFS2262sA2SE22363tA3TE32464uA4uIE4LF2565VA5V1E5ETB2666wA6wE6ESC2767XA7XE72868yA8Y|E82969zA9zE92A6AAAEA2B,(comma)6BABEB2C%6CACECENQ2D6EAEEEBEL2F?6FAFEF3070

5、BO01F0对nBI1FISYN.,3272B22F23373B331F33474B44iF43573B35.1F53676B66F6EOT3777B77 F73878B&81FS39(触唠79B99F93A.7ABAFA13B#7BBBFBDC43 c7 cBCrcNAK3Dt7DBDFD3E.=IEBEFESUB3F，t7FBFFF1.7.3 EBCDIC码至ASCII码的转换表、下表列出了 EBCDIC码至ASOT码的转换表*EBCDICASCIIfcBCDfCASCIIEBCDICASCIIEBCDICASCIIHEXChar HEXHEXChar HEXHEXChw HEXHEXCh

6、ar HEX00NU.L (X)衲SP 2。80COOfS例 014J81a61ClA. 4102STX 024282b62C2B 4203ETX433c63C3C434484d64C4D 4405HT Q945H5.e655；E45砥4686f的C6F领07DEL 7F4787g67C7O 47隔4g88h的C8M 4S094989i693I：490A4A8ACAOBVT 0B4B,2E&B7BCB0CFF 0C4CIEIE建；、3B9e醯IFIF5F5F9FDF，至四-20AGEOSC,2161/2FAl七7EEI22FS IC62A2s73E2S5323阴A3t74JE3T542464A

7、4u力E4U 5525LP 0A座A5v76E5V 5626ETB J766Aftw 77E6W 5727BSC IB67A7x78E7X 582868.My酒E&Y a29嫩A9z7AE9Z 5A2A6A.AAEA2B6B,2CABEB2G6C%25.AcEC2DENQ 6,能5FAD(5BED2EACK 066E3EAEEE2FBBL 07犯7E= 3DBEFE3FSUBIA7F022BFFFVisa体系指令集1.。版11foL8输入/输出流控制HSM并不提供流控制。应用程序欣该确保加密机的输入缓冲器（2048字节长）不会被溢出嫉C用于SNASDLC环境下HSM的缓冲翳为1024字节。任

8、何一条单独命令（包括STX和ETX等字符在内）的长度都不会超过204S字节CSNA&）LC环境为1024字节%异步连接的HSM在半双工模式下对一条命令产生相应的响应符，此响应消息必须先被搂收，然后才会爰送一条新的命令请求。19 错误控制HSM产生四种类型的错误。致命错根不可恢复错误可恢复错误编程错误致命铸误显示在设备中的一个硬件错误力这样的错误应当登记下来并且报告给用户以便采取措施（例如士报告给超级用户工不可恢复错误是指不可通过程序改正、需要用户干预（例如品通过HSM设置为授权抉态以干预八这样的错误也应当登记下来并且报告给用户以值采取措施（例如: 报告给超纵用户h这种类型的错误并不意味

9、者HSM不会处理其它类型的命令. 、，、， * 可恢复错误可能是数据破坏的结果,也可能是因为HSM在此之前需要先作T 处理，所以未能处理该条命令。布电程序应当通过以下几种方式来进行恢无：重新输入命令：尝试恢复被破坏的数据；通过完成被遗漏的步骤例如：HSM报告没有装载打印格式定义.因此程序应当装载其定义，再重新发出该指令）.编程错谡通常在测试时发现，但是如果这些错谡在其它时候发生，则有可能是不可恢复的正另外*应用程序应当监视HSM接口是否超时我如果发生了上述任意一种类型地错误于应用程庠应当尝试使用另一台HSM来处理命令以保证程序的顺利运行如果错误还会发生，则可能表示所有HSM都遇到了

10、灾难性的错误；或者是电力错误t或者是程序错误套应用程序展当监视所有HSM的使用/这样,当其中的HSM发生致命错误时, 或者持续报告不可恢复错谟时，应用程序可以将其标识为“不可使用工二，南秣外勰公倒Mmu广:，而玳他叫kM澄曲丁颇拿nK确辆谢洒郑如保熊E魏）祗微约）跖5301的停峋骐幽：5骑艇下期呦晔挺贸喻流Visa体系指令集1.。版江南科友1.10多HSM的使用一个典型的系统包含两个或多个以运行状态相连接的HSM。选择，肖运行中需要哆个HSM时可以提高其能力，同时，当HSM发生错误时也可以作为备份机使用。如果主机的可用端口被限制，.那么可以使用共享端口。尽管如此，一般每一台 HSM还是通

11、过一个独立的白SM端口和主机相连“姐果使用共享设置,则当端口或 ,共享该端口的HSM出现问题时，就无法提供备份支持，如果使用一台并不连接到主机上、但是准备代替有问题HSM以连接到主机的备份机，寂种棺况也是可以选择的。但是因为备份的HSM有可能在很长一段时间内处于空闲状态,或有其自身也可能存在错误，所以这种选择并不推荐.除了处于运行状态的HSM之外,一个典型的系统一般还包含了至少一HSM 以连接测试机或开发机系统。这样就允许环境改变以便于测试，面不会扰乱当前正在运行的系统屿 111用户存储 HSM的存储区域被分配来存储运行时需要用到的数据a透个设餐允许常用的数据可以保存在HSM中，而不

12、用在需要该数据的每条命令中传输。这样可以降低传输时间,从而提高了工作能力6用户数据以8字节块的形式存储，每一块包含16位十六进制位。存储在用户存储域的密钥大小通过CS （configuresecurity）脩令设置。用户存储域是以密钥的大小;来建立索引的於如果长度短的密铜或十进制表要被装薪，则其后必须附加 /二有效的存储区域如下图所/标准速度HSM*HSM存储区819298304最大索引单倍长度密钥1024(3FF4096(FFF)双倍长度密钥512(1FF)4096(FFF)三倍长度密钥341(154)409 贸 FFF)1414分配和使用索引为了装载用户数据.锯要提供一条指向详细存储位置

13、的索引* 一条有效的索引是由三位十走进制位表示，其范围在XW 到XTFF之间6条索引指向一个密钥块，密钥块的具体长度随：C （Configure Security）命令所设置氏度的不同而不鼠。例如，：如果装载两个工作密钥的密文（指定X500Q为基础索引），第一个已加密的前密钥存储在0-7字节,第二个已加密的密切存储在& 一6字节例数据可以存储在连续的字节数中或者是在内存中不连续的区域号索引分物的门段解0%同况,二微谈歌确信必澄（微1阳裳12K确辆谢洒郑如保熊E魏）祗微约）跖5301的停峋骐幽：5骑艇下期呦晔挺贸喻流Visa体系指令集1.。版uni n江南科友唯一要求是符合DieboM表

14、的存储要求。这种表必须按照256个连续字节的形式存储. 这样，当Di曲okT表被装载或访问时，井3EQ是可能的最大基础索弓九分配并且明确索引段序员的职责。当一条索引被提供来装载新数据时，HSM 并不会检查内存的存储单元以确定其是否存有数据如果提供了一条错误的索引3 则新数据会覆盖愎来的数据.例如，当装载了Diebold表时，并且TOGO被设置为基他索引,如果此时潴一条已加密的密钥存在基础索引的位置上，那么这整张表就失效了！!Single LenjgthDouble LehtfrTriple Len城 hLocation 000ByteOA A Byte 7Byte 8a/Byte 15B

15、yte 16Byte 23Locat2n 001Location 154L 艇 tk)n 155Byte8184Byte8192Locat的n LEELocatron I FFByte8I84Byte8192Loeatk加 3FELocation 3FFByte 8184Byte8192Location FFELocat&nifJETByte 塞为3指定存储数据为了在用户内存中使用密铜和数据，HSM必须有指向正确存糖单元的索甜。生机提供代替被加密的密钥或其它数据元素的索引；如果主机不提供该索引，则需要提供金钥或数据元素本身。为了标识替换数据元素的索引，交易中的数据元素必须以索引标识符“K”

16、开始, 其后踉三位索引值。这样的四位字符代替了密钳觌它的数据T准确长度的密钥是基于密钥方案和命令中所指定的密钥长度来提取。但以下情况例外：如果 HSM版设置为单倍长度密钥；命令为了向后兼容即需要两个被指定的索引时，祢令可以读出32位十六进制长度的密钥6：|；市用岭同砌、!山谭”.F总和E感S增翎觥:第雌2（嫡3则倭期除榨嫡兼吟530侬 *宴创问簸 I似p：.、k，3u.3Visa体系指令集1.。版11fo如果枭用三倍长度密钥方案，则存在以下情况:1）使用所有的密钥长度*设置为单倍成三倍长度工23使用单倍或双倍馋度密钥，设置为单倍或双倍长度； 3）使用单倍或三倍长度密钥:设置为单脩或三

17、偌长度;4）使用双倍长度密钥：设置为单倍或双倍长度;5 ）使用三倍长度密钥:设置为单倍或三倍长度;例如为了支持命令中的一个单语桧度密钥，此时没有密钥方案，只有一条单独的索引 -K000为了支持命令中一个使用U方案的双倍长度密钥，.此时必须提供密钥方窠和f条单独的索引 -UK000为了支持命令中一个使用T方案的双倍长度密钥皂此时必须提供密钥方案和一条单独的索号I-一TKO0。如果HSM设置为单倍长度密钥,则：1 .如果没有指兔密钥方案,则返回一个单倍长度的密钥：2 .如果指定了密钥方案，则返回一个相对应的密钥例如：向命令提供一个单倍长度的密钥，则没有密钥方奥，只有T单独的索弓L -KOOO

18、向命令提供一个双倍长度的密钥.则没有密钥方案，并且必须提供两个索引京-UKOO0向命令提供一个三倍长度的密钥,则必须提供密钥方案和 f 单独的索引：当以下情况发生时,；户存储区域被擦除:-TK09Q.HSM被打开:1 .如果存储区域被用来PIN请求数据；.从控制台发出HSM诊断信息；2 .摔电:3 .通过按“R第ET键使HSM重启今如果HSM报告用户存储区域被擦擦,或者存在一个密钥奇粥校验错，则应用程序应当重新装教用户存储区域Q1.12通过一台连接在HSM上的打印机打印打印机连接在HBM Jb此时如果需要，主机指示HSM打印（例如打印PIN 以发送给银行客户兀其信封应当为复写样式.，使用这种

19、样式，可以使信封内的信息只有在信封被打开时才能读到6打印时,HSM也应当处于授权状态，否则，会返回一条镣误信息“为了使HSM 在向打印机发送数据之前格式化主机必须先向HSM提供格式化的细节。HSM保留该细节信息直到提供了新的细节倍息或以下情况发生,h HSM被打开#二而；：，工魂公司蹒山；二:潞二总基澄（E七小庭MS6,2（小 332咫） ,VAiU.l.ax 由收 M N” M16Q 哪掰修G）. :“*、（、5 1】即二飞vw.k，迎通Visa体系指令集1.0版.从控制台发出HSM诊断信息：2 .掉电；.通过按“RESET”键使HSM重启当打印机已连接，HSM处于授权状态，并且格式化

20、的信息已提供，则以下情况按顺序发生：1 .主机发送一条打印加密数据的命令给HSM；. HSM验证该数据，然后返回一条响应信息给主机。如果在数据中有错误发生，则下一步不会发生；2 .HSM格式化该数据并且将其发送到打印机。当打印完之后，HSM再发送一条响应消息给主机，报告打印已完成，可以发送下一条打印命令。1.13 禁止弱密钥和半弱密钥所有的生成密钥的HSM命令应当确保不会使用标准的DES弱密钥或半弱密钥。如果新密钥匹配如下所列的一个弱密钥或半弱密钥，则该密钥被拒绝，同时重复密钥生成过程。L13.1 DES弱密钥0101010101010101FEFEFEFEFEFEFEFE1F1F1F

21、1F1F1F1F1FE0E0EOEOEOEOEOEOL13.2 DES半弱密钥厂州汀.南科友科技股份不限公司地址(Add):.广州市太河口M16号广州信息港C桥1003室1501FE01FE01FE01FEFE01FE01FE01FE011FE01FE00EF10EF1EOIFEOIFF10EF10E01E001E001F101F1E001E001F101F1011FFE1FFEOEFEOEFEFE1FFE1FFEOEFEOE电话(Tel) ;(S632X9Fax): (86 2C):5N)665 ht(p: /uni n江南科友uni n江南科友Visa体系指令集1.。版01 IF0HF01

22、0EOIBELF01IF010E010E01E0FEEQFEFIFEFIFEFEE0FEE0FEF1FEF11.14 本地主密钥一尸 HSM本地主密钥（LMKs）从key。计数至心外以它们是按照对来使用的，并且每一对如下表所示，都有一个功能6L14.1 LMK 表LMK对功能Q0-01包含两个需要用来将RSM设鸳为授权状态的智能卡“密钥C如果HSM 设置为密码模式魂J为翻码入电Q3加密保存在主机存储域内的PIG0495加南区域生播钥ZMK）和双储长度的区域主密钥（ZMKM 加密变量F区域主密铜的成份,屿07为互换交易而加密区域HN密钥（ZPK）.08-09用于生成随机数.iwii用于加落存

23、储在HSM缓冲器中的密朗。12-13用户血建琬融而给酸星；用至生成所有的其官生密银江1446加密终端主密用（TMK）,终端PIN密切（TPK）和PIN校验密用（ PVK）o 加密变盘下的卡确认密钥（CVK）.16/7加密终端认证密钥EUO.18-19如密清亲精封的参考效?.20-21加密怀用的变盘下的P【N校验密钥（PVK）和卡确认密钥CVKh终23加密口令密钥。24-25，加密区域传送密钥（ZTKX26-27加密区域认证密钥（ZAK）.28-29加密函版轴导密函（TDK）.30-31加密底域加密密钥(*、(界，/，*4摩”jam，-儿?一2密钥的生成输入和输出,L5LSI152 ，丁命令

24、消息格式一”scL。，*，* 2，7& - 3 八虾神*%TCMP方式 * * *XF J. * K* *-* a* WAft *4 ，a y二4串口 As加c近式TCP/IP方式八串口 Asynt方式,；八5L7IXISL7.3b*QC4，.*,xZ*tii*A*l*b2Vb7、a第2ICa,36百回,.； .*.y q.a.f f .c“3.zEBCDIC码至ASCH码的转软表“、，缶、，*、，：.* 4、bm42/l，-j1.101J1错制”Tfbr多耶M的使用,用户存储1112144本地主密钥1.14.1 LMK 表.我.：.- * _* *.*e，21,14.2 标准测试用讣猴柒ye

25、171AL1分配和使用索引 3 ，凌丁“.,)切 ”，修“， zi、* 川，WZ *一=3、“4 4*力】29,过；一hsj 上印,.个尹.彳f141.13禁.止钥.wa”m. 2f “.) 一8“.“r”eihaw.2e, 1 51.13J DES弱赛铜,J51132 DE3聿弱密铜1.16 本土也二 DES19JiUp:. vx v：kc6u.Vn，毛丁 :，:厂二1 .一产一 -JiUp:. vx v：kc6u.Vn，毛丁 :，:厂二1 .一产一 -n 幅峨触般窗爨哪国他而对蝙广物朦游陋科赞路蹊唱门就认建也赫丁颂.宛僮底E领烟的油）跖5301瑜Visa体系指令集1.。版uni n江南科友

26、uni n江南科友L142 标准鲫试用LMK集标准的、测试用的LMK集;如下表所示:LMK对标准的测试用LMK集00-01G1010101010191017902CDIFD36EF8BA024320202020202.62020313131113131313164P5404040404040Q404051515 Kl5151515106-0761616161616161617070707070707070:08-09SOWwa8080mo91919191919191911&H*A1A1A1A1A1A1 AIAlBOBOBOBOBOBOBOBO12-13CICI010101010101D0D00

27、1010101om14-15ECFEOoioi0101oimF1F101010101oim16471C537F1C13924FEF010101010101010118/901010101010101010101010101010T0120-210202及（应0202 0202 r 、040404040404040422-23070707070707Q7G71010id io1010101024-2513131313131313。1515151515151515?6-271矶61616161616161919段191919191928491A1A1AIA1AIA1A1AtcicicicICICI

28、CIC30-31然232323232323232525,252525然2525323326262626雌626262g2929292929292934-352A2A2A2A2 A2A2A2A2c2c2C2C2C2C2C2C36,372F2F2F2F2F2F2F2E3131 J r ,313131313131神-39moi0301OJOIoim01010101OJtH0101密码 1=Q101 0101.0101 0101蚪 2=KOW 的 THE TIM E FOR A校验值为上 2686 0474 4491 2422。：U5本地主密钥变种HSM申的本地主密钥CLMK ）变种是用来加密已定义的

29、密钥或密钥成你.这些变种是按照以下步骤进行运算的：h选择合适的LMK对，例如:0123 4567 89AB CDEF 3131 3131, 3131 31312.确定所需要的LMK变种，选择合适的偏移值, 变量区5A3,用所选绛的偏移值对LMK对戢左边的的第一个字节（在.上例中为加遂行异或运算例蹄词 .#库.广烟族穴浊&芍激话靠17K确辆浏消郑如俅熊E魏）祗微约）跖5301的畤骐黑：5骑艇下期呦晔挺贸喻流Visa体系指令集1.。版4.用笫3;步所得的结果替换LMK对最左边的第一个字节,将所产生的密钥作为指定的密钥麦种工变种 2=5B23 4567 g9aB CDEF 3131 3131 3

30、131 3131具体的变量如下看变量L A6变量2： 5A变量至6A变量务DE变最5, 2B变量6150变74变量&宾当变量应用到标推的测试用LMK塞时，该LMK集最左边的第一4字节如下裹所示工LMK对LMK的第一个字节12.3=4567血切A75B6BDF2ASi75加降03867A4AEEOB7054BC04-05E6IA2A9E6BJQ34JX06-07C73B0BBF4 AiiISFDQ&Q926DAEA5EABDOF4IC104107FBCB7举2AFlD53D12-13679BABIFEA91B55D14J546BA8AIEBBO947C16。BA4676C2374C6880喙19

31、A75B6BDF2A51759口2a21A45868DC2952%9E2妁A15D6DD925773如24-25B549*CD驾43678F26-27B04C1CCS3D46628A28-29BC4070C451.4A6E30-31857949FD087357BF32-33807C4CFg0D7652BA34358c7040F4017A5EB63&37的75.4sFl047F5BB338-39A75B6BDF2A51759DM 宓及份你限公司地地燃崛;.广前略澄 R府2 吸您则鬟麴网徜鲤细跖530侬聚第黑6.51簸陶成磔迪承还Visa体系指令集l0版上江廓科友1.16本地主密钥三DES变量方案L16J 一般说明变量应用于HSM中的主密钥以加密双倍和三倍长度的密钥&这些变量是按照以下步骤进行运算的L选择合适的LMK对？例如二0123 4567 89AB CDEF 3131 3131 3131 3131.确定所需要的LMK变量,选择合适的偏移值：变量2; A5.用所选择的偏移值对LMK对中第二个密钥的第一个字节（在上例中为31）进行异或运算。2 .用第3步所得的结果替换LMK对第二个密铜的第一个字节，将

展开阅读全文