1、L ICS 17.220.20 N 22 共GB/T 18460.2 2001 IC 2音:IC 理Pre-payment vending system using integrated circuit(s) cards with contacts-Part 2: IC card and its management 2001-10-08发布2002- 05-01实施V宇宁中华国民共和国督检验检菇总局发布一一GB!T 18460. 2-2001 目次前言. . . . . . . . . . . . . E 1 范围. 1 2 引用标准. . . . . . . . . . . . . . .
2、 . . . . . . 1 3 定义. . . . . . . . . . . . . . . . . . . 1 4 IC卡传递的数据内容. . . . . . . 3 5 基本介质的数据交换方式. . . . . 5 6 IC卡管理流程 . . . 6 附录A(提示的附录)存储卡地址单元分配. . . . . . . . . . . 8 附录B(提示的附录)常用逻辑加密卡地址单元分配. . . . . 8 附录C(提示的附录)安全存取模块(SAM)以及CPU卡结构. . . . . 9 GB/T 18460.2-2001 前:包含数据标识和数据,其结构随命令码的不同而改变。5.2.5 校
3、验码(CS):从命令码开始到校验码之前的所有字节的模256之和,即各字节二进制算术和,不计超过255的溢出值.5.2.6 帧结束符2标识一帧数据的结束,其值为16H=OOOI0110B.5.2.7 传输次序2所有数据项均先传送高位字节,后传送低位字节。5.2.8 差错控制z数据接收方检测到数据帧不完整或校验码出错则放弃该数据帧,不予响应。5.3应用层5. 3. 1 初始化数据帧68H OlH L 用户户号报警电量其他数据校验码16H 电度表接受初始化数据后,应能完成一表一卡的对应工作,电度表将用户户号读人并存储,作为表卡对应的判断依据p报警电量为电度表工作的基本数据,应在初始化工作中输入电度表
4、。如果初始化过程允许为用户购电,可以将购电量添加到其他数据中,根据实际需要,也可以添加其他所需的数据.5.3.2 购电数据帧68H 02H L 用户户号购电量购电次数其他数据校验码16H 电度表接受购电数据帧后,首先根据用户户号判断表卡是否对应,然后根据购电次数判断是否为有效购电卡,判断正确后将购电量追加到电度表中。5 GB/T 18460.2-2001 5.3.3 检测卡数据帧68H 03H L 电卡类型其他数据校验码16H 电度表接受检测卡数据帧后,可以直接向检测卡返写数据或(和)启动数码显示部分显示数据。5. 3. 4 电度表返写数据帧81H L 剩余累计购累计用过零电表电度表其他校验码
5、68H 16H 电量表号状态字电量电量电量数据电度表接受购电数据帧后,经判断确认表卡对应,就向购电卡中返写数据z售电系统在为用户进行售电前,应首先判断用户购电卡中是否有返写数据,无返写数据拒绝售电s有返写数据后应根据累计购电量判断购电卡的合理性,并将其他数据追加到售电系统数据库中,作分析统计的基本数据。5.3.5 检测卡返写数据帧68日82H L 计量数据状态数据其他数据校验码16H 电度表接受到检测卡数据帧后,不需通过密钥(码)认证就可向检测卡中返写数据。5.3.6 自定义数据帧格式同上,数据内容自行定义。6 IC卡管理流程6. 1 制造状态测试卡管理流程制造状态测试卡由电度表制造厂制作发行
6、,只能在电度表制造过程中使用,其操作内容和使用流程由电度表制造厂自行定义。制造状态测试卡不能在现场对正在使用的或有故障的电度表进行读写操作。6.2 出厂设置卡管理流程出厂设置卡由电度表制造厂制作!t行,其操作内容由售电管理部门提供,只能在电度表制造检验合格后,出厂之前使用,不能在现场对正在使用的或有故障的电度表进行读写操作。6.3 修改密钥(码)卡管理流程修改密钥(码)卡由售电管理部门制作发行,其操作内容和使用流程由售电管理部门定义,此卡用于对售电管理部门订购的电度表进行密钥(码)的初始化修改工作,插过修改密钥(码)卡的电度表的安全机制保证将全部由售电管理部门负责,与电度表制造厂元关。根据实际
7、情况,修改密钥(码)卡由售电管理部门制作完毕后,可以由售电管理部门掌握使用,也可以委托给电度表制造厂在电度表出厂前使用.由电度表制造厂使用时,使用不同的修改密钥(码)卡操作的电度表将提供给不同的售电管理部门。6.4 初始化卡管理流程初始化卡由售电管理部门制作发行,其操作内容和使用流程由售电管理部门定义,此卡用于售电管理部门完成一表一卡的对应工作.初始化卡的安全机制保证将全部由售电管理部门负责,与电度表创造厂无关。初始化卡的操作流程如下2a)售电管理部门为用户安装电度表,并将用户信息与所安装的电度表一一对应建立管理档案.b)售电管理部门为每一用户制作一张初始化卡,卡中含有用户信息以及所对应的电度
8、表的信息,并将初始化卡发放到用户。用户将初始化卡插入自己的电度表中,完成一表一卡的对应工作,同时将初始化卡转化成属于用户自己的售电卡。d)用户持售电卡到售电管理部门缴费购电-6.5 售电卡管理流程6 、GB/T 18460.2-2001 售电卡是由初始化卡转换生成的,由售电管理部门制作发行.售电卡用于完成将用户所购的电量或金额传递到用户自己的电度表中的过程,其安全机制保证将全部由售电管理部门负责,与电度表制造广无关。售电卡的操作流程如下a)用户在购电前将售电卡插入自己的电度表中,用于将电度表中的信息返写到售电卡中。b)用户持售电卡到售电管理部门缴费购电,售电管理部门通过通用读写卡器将用户所购电
9、量或电费写入售电卡,同时将售电卡中的电度表信息读入售电管理系统保存。c)用户将已购电的售电卡插入自己的电度表中,将所购电量或金额传递到电度表,同时将电度表中的信息返写到售电卡中。d)用户将售电卡收起保存,以便下次购电时再用。根据实际需要,售电管理部门可以在初始化卡中为用户写入首次购电量或购电金额,将初始化过程和首次购电过程合并以简化用户操作流程,但要切实保证一表一卡的对应过程不出现错误。6.6 补卡管理流程补卡由售电管理部门制作发行,其作用是为丢失售电卡的用户补发售电卡以便用户能够继续缴费购电。所补发的售电卡安全机制保证全部由售电管理部门负责,与电度表制造厂无关.补卡的操作流程如下ga)从售电
10、管理系统中调出用户上次购电信息,通过通用读写卡器写入到一张新的IC卡中.b)用户持卡插入自己的电度表中,若上次购电信息还未输人到电度表中,则将购电信息读入电度表,用户将此卡保存以便下次购电时再用。c)若上次购电信息已经输入到电度表中,则不能将上次购电信息再次读人到电度表,用户应持卡到售电管理部门再次购电。6.7 检测卡管理流程检测卡可以分别由售电管理部门和电度表制造厂独立发行,其作用是用来检测电度表中各种数据信息是否正确。检测卡不能对电度表进行任何改写操作,也不存在安全机制保证问题.由售电管理部门或电度表制造厂制作的检测卡都可以对现场运行的电度表进行操作.6.8 自定义卡管理流程售电管理部门和
11、电度表制造厂根据实际管理需要可以自定义新的卡类型,但在卡的安全机制保证上应该有严格区分,对卡的使用范围应该严格限制,要确保电度表制造广自定义的卡不能在现场运行的电度表中操作。售电管理部门自行定义的卡的安全机制保证与电度表制造厂元关。7 L GB/T 18460.2-2001 附录A (提示的附录)存储卡地址单元分配A1 存储卡类型及使用范围A 1.1 存储卡类型目前使用的存储卡按数据传输方式可以分为两大类型,SPI总线制和12C总线制,典型对应的存储卡分别为93C46卡和24C01卡,其容量均为128字节。存储卡对数据均按地址读写操作,对读写元加密保护。A 1.2 存储卡使用范围由于存储卡本身
12、无加密逻辑,对数据读写的安全性完全依赖于外部的加密算法。A2 存储卡地址单元分配常用存储卡地址编码从OOH到7FH.如表A1所示z表A1存储卡地址分配示意OH lH 2H 3H 4H 5H 6H 7H 8H 9日AH BH CH DH EH FH OH R R R R R R R R R R R R R R R R 1H R R R R R R R R R R R R R R R R 2H R R R R R R R R R R R R R R R R 3H R R R R R R R R R R R R R R R R 4H w w w W W w w w w W w w w w 飞目W 5
13、H w w w w w w w w 飞VW W w w W W w 6H w W w W w W W w W w w w w w w w 7H w W w w W W W w w w w w W w w w 在存储空间上严格区分购电区和返写区,表中从OOH-3FH标有字符R的区域为购电区,只允许电度表进行读操作,不能对该区数据进行写操作g从40H-7FH标有字符W的区域为返写区,电度表可以对该区数据进行写操作。A3 安全机制保证使用存储卡作为传输介质的电度表必须具有一寇的安全机制保证,由于存储卡本身不具备任何安全机制保证,在使用时售电管理部门和电度表制造厂应共同制定安全机制即密码加密算法,加密
14、算法应各不相同且不可公开,售电管理系统的安全机制保证由售电管理部门与电度表制造厂共同负责.附录B (提示的附录常用逻辑加密卡地址单元分配B1 常用逻辑加密卡类型及使用范围B1.1 常用逻辑加密卡类型8 L GB/T 18460.2-2001 目前常用的逻辑加密卡主要有两种,AT88SCI02卡和SLE4442卡,其特点是只有通过密码认证后才能对IC卡上的数掘进行改写,SLE4442卡的密码认证只控制对IC卡上数据的改写操作,而AT88SCI02卡的密码认证可以控制j对IC卡数据的读出和改写操作。使用逻辑加密卡时应只设置对数据改写进行密码控制,而不对数据读出操作进行密码控制。逻辑加密卡均按地址对
15、数据进行读写操作。B1.2 逻辑加密卡的使用范围逻辑加密卡只有通过密码认证后才能使用,由于密码认证存在被破译的可能性,故密码算法不能公开。B2 常用逻辑加密卡地址单元分配B2.1 AT88SCI02卡地址单元分配AT88SCI02卡数据区有1024位,在数据读写时是按位寻址的,分为两个数据应用区。规定数据应用区l(位地址176-687)为购电区,只允许电度表进行读操作,不能对该区数据进行写操作p数据应用区2(位地址736一1247)为返写区,电度表可以对该区数据进行写操作。B2. 2 SLE4442卡地址单元分配SLE4442卡数据区有256字节,在数据读写时是按字节寻址的,前32字节可作为其
16、他用途,规定字节地址20H-4FH为购电区,只允许电度表进行读操作,不能对该区数据进行写操作;字节地址50H一7FH为返写区,电度表可以对该区数据进行写操作.B3 安全机制保证使用逻辑加密卡作为传输介质的电度表具有一定的安全机制保证,售电管理侧和电度表例都必须通过密码认证后才能够对IC卡进行改写操作,但密码的生成过程容易被截获,因此生成密码的加密算法不能公开。在使用时售电管理部门和电度表制造厂应共同制定安全机制即密码加密算法,不同售电管理部门的加密算法应各不相同且不可公开g售电管理系统的安全机制保证由售电管理部门与电度表制造厂共同负责.附录C(提示的附录)安全存取模块(SAM)以及CPU卡结构
17、Cl 采用安全存取模块(SAM)和CPU卡的售电管理安全机制保证C1.1 安全机制模式安全存取模块(SAM)是封装成模块形状的CPU卡芯片,CPU卡在对数据进行读写时必须经过密钥认证,由于密钥是不可读取的并且在实际操作中也是不可被截获的,因此具有高的安全机制.所有需要的密钥由售电管理部门产生,与电度表制造厂无关,每次进行密钥认证时所进行的密码核对算法可以采用公开算法。安全存取模块(SAM)由售电管理部门进行密钥初始化后提供给电度表制造厂安装在每一块电度表中,用于存储用户的购电量.在实际使用时,售电管理部门再将采用相同密钥初始化的CPU卡提供给用户使用。用户将已购屯的CPU卡插入电度表后,由CP
18、U卡和SAM模块进行双向的密钥认证,任何一方认证不通过都不能对CPU卡和SAM模块进行数据改写操作,不能将购电量追加到电度表中。C1.2 采用安全存取模块(SAM)和CPU卡的售电管理系统的使用范围由于采用这种方式的售电管理系统具有很高的安全性,其只与售电管理部门有关而与电度表制造9 GB/T 18460. 2-2001 厂元关的安全机制保证十分有效,解决了售电管理系统对电度表制造厂的依赖性,特别适合于数量较大的售电管理系统使用,如大中城市的售电管理系统可以采用CPU卡作为传输介质,安装带有SAM模块的电度表。C2 安全存取模块CSAM)和CPU卡的结构CPU卡是采用文件方式对数据进行读写操作
19、的,与具体的存放地址无关。C2.1 安全存取模块CSAM)的文件结构SAM筷块在电度表中有两个作用g一是进行一表一卡的安全认证工作P二是作为电度表内数据存储区,其结构如下zMF主文fKEY文简电度表外部认证主工作密钥内部认证主工作密钥电量外部认证密钥脉冲常数外部认证密钥外部认证密钥线路保护密钥钱包文件(剩余电量)二迸制文件(脉冲常数)二进制信息,文件(偏移量从OOH开始)在SAM槟块中,KEY文件中的电度表外部认证主工作密钥和内部认证主工作密钥用于售电卡与电度表安全认证s外部认证密钥和线路保护密钥用于更换电度表应用主工作密钥,电量外部认证密钥用来对钱包文件进行认证,剩余电量增加时必须经过认证才
20、能写入SAM模块,剩余电量递减时不需通过认证,脉冲常数外部认证密钥用来对脉冲常数二进制文件进行安全认证,修改脉冲常数必须通过认证,但读操作不需认证P二进制信息文件用于存放电度表内部数据,不需认证可自由读写,其格式由各电度表制造厂自定。C2.2 CPU卡文件结构为考虑今后发行联名卡,将电度表应用设计为一个DF文件,MF主文件结构保留,今后开放给其他应用。在设计中做到不经过MF级就可直接访问电度表应用DF目录。.在电度表应用DF日录中包含三个文件,其中购电应用二进制文件是售电系统写购电信息的文件,电度表返写应用二进制文件是电度表返写数据的文件。对它们的写操作分别由KEY文件中购电外部认证密钥、电表
21、外部认证密钥和屯最外部认证密钥控制,用户卡必须通过内部认证以及相应的外部认证后才可以进行写操作,但对用户卡所有二进制文件的读操作则不需任何认证即可进行.电卡发行密钥与售电流程操作无关,是供电部门在初始化IC卡时的外部认证密钥,通过此认证才可以更改IC卡中的密钥。10 MF主文件KEY文件电度表应用DF,KEY文f句电度表外部认证密钥购电外部认证密钥电量外部认证密钥内部认证密钥IC卡发行密钥二进制文件(购电应用二进制文件(电度表返写应用)其他应用DFC视情况而定,如不联合发卡,则不需要此DF)G/T 18460.2-2001 C3 密钥类型C3. 1 购电外部认证密钥此密钥控制对IC卡上购电区的
22、写操作。售电网络通过购电外部认证密钥的认证,可以在IC卡购电区写人购电量等相关信息。C3.2 电度表外部认证密钥此密钥控制对IC卡上返写区的写操作。售电网络通过电表外部认证密钥的认证,可以擦除IC卡上返写区的数据,电度表通过电度表外部认证密钥的认证,可以向IC卡上返写区写入数据。C3. 3 电量外部认证密钥此密钥认证通过后,可以将IC卡中的购电量追加到电度表中。C3. 4 脉冲常数外部认证密钥此密钥认证通过后,可以修改电度表中的脉冲常数。C3.5 内部认证密钥此密钥认证通过后,确保IC卡和电度表是由同一个售电管理部门发行的,这样就保证了只有通过售电管理部门认可的电度表才能使用。C3.6 外部认
23、证密钥此密钥认证通过后,可以修改电度表SAM模块中的密钥组。C3.7线路保护密钥此密钥控制对电度表中SAM模块密钥组的更新。修改主密钥卡中存放的被线路保护密钥加密的新密钥密文传输到SAM模块后,SAM模块使用线路保护密钥对密文数据进行解密,得到真正的密钥纽用于修改SAM模块的密钥。线路保护密钥使被更新的密钥在传输过程中,以加密保护的方式传送,直到被更新的SAM模块内部以后,才得到真正的密钥数据。该数据在传送过程中如果被窃取,由于窃取者不知道线路保护密钥,也不可能得到真正的密钥。C3.8 IC卡发行密钥、此密钥控制对IC卡上密钥的更新。售电网络通过电卡发行密钥认证后可以修改IC卡上的密钥组。C4
24、 密钥认证流程C4.1 IC卡和电度表SAM模块的内部认证流程a)电度表读取IC卡上的卡序列号,送SAM槟块。b) SAM摸块用内部认证主工作密钥对卡序列号进行加密,生成内部认证工作密钥。c)电度表送加密指令及随机数给IC卡,IC卡用内部认证密钥加密,并将加密结果Dl送回电度表.d)电度表送加密指令及随机数给SAM模块,SAM模块将加密结果D2送回电度表。e)电度表比较Dl与D2,若相等,贝o内部认证成功;否则不成功。C4.2 IC卡和电度表SAM模块的外部认证流程(电度表外部认证a)电度表取IC卡的卡序列号,送SAM模块。的SAM模块用电表外部认证主工作密钥对卡序列号进行加密,生成电度表外部
25、认证工作密钥。c)电度表从IC卡取随机数。d)电度表将随机数送SAM模块,SAM模块用工作密钥对随机数加密,并将加密结果返回。e)电度表送加密结果给IC卡,并发外部认证指令。IC卡告诉电度表认证是否成功,若成功则将IC卡状态置为相应外部认证密钥规定的状态。C4.3 电度表SAM槟块的外部认证流程(外部认证、电量外部认证、脉冲常数外部认证)a)电度表从SAM模块中取随机数。11 GB/T 18460.2-2001 b)电度表将随机数送IC卡对脉冲常数外部认证,为制造状态测试).IC卡用相应的工作密钥对随机数进行加密,并将加密结果送回电度表。电度表将加密结果送SAM模块,并发外部认证指令.们SAM模块返回电度表认证是否成功,并允许电度表对SAM模块作相应的操作。12 FDON-NDUZF Mb筒。国华人民共和国家标准IC卡预付费售电系统第2部分:IC卡及其管理GB!T 18460.2 2001 中 中国标准出版社出版北京复兴门外三里河北街16号邮政编码:100045电话:6852394668517548 中国标准出版社秦皇岛印刷厂印刷新华书店北京发行所发行各地新华书店经售 开本880X1230 1(16 印张lY4字数26千字2001年10月第一版21年10月第二次印刷印数501-3000 书号:155066 1-17939 网址版权专有侵权必究举报电话:(010)68533533