交易安全认证系统开发接口V

1、交易安全认证系统接口编写：评审：批准：项目名称：日期：2012年3月2日文档修订记录版本号修改日期编写评审修改内容1.02012-03-02创建文档目录 TOC o 1-3 h z u HYPERLINK l _Toc354387975 1 文档说明 PAGEREF _Toc354387975 h 6 HYPERLINK l _Toc354387976 2 应用场景 PAGEREF _Toc354387976 h 7 HYPERLINK l _Toc354387977 2.1 管理服务功能 PAGEREF _Toc354387977 h 7 HYPERLINK l _Toc354387978

2、2.2 联机服务功能 PAGEREF _Toc354387978 h 7 HYPERLINK l _Toc354387979 3 联机服务接口 PAGEREF _Toc354387979 h 8 HYPERLINK l _Toc354387980 3.1 密钥管理接口 PAGEREF _Toc354387980 h 8 HYPERLINK l _Toc354387981 工作密钥更新 PAGEREF _Toc354387981 h 8 HYPERLINK l _Toc354387982 保护密钥更新 PAGEREF _Toc354387982 h 9 HYPERLINK l _Toc35438

3、7983 保存ZMK加密的密钥 PAGEREF _Toc354387983 h 10 HYPERLINK l _Toc354387984 生成TSSC的RSA对 PAGEREF _Toc354387984 h 10 HYPERLINK l _Toc354387985 数据信封申请ZMK PAGEREF _Toc354387985 h 11 HYPERLINK l _Toc354387986 创建节点实例并用指定ZMK导出节点保护密钥 PAGEREF _Toc354387986 h 12 HYPERLINK l _Toc354387987 根据节点文件创建ZMK保护的节点保护密钥文件 PAGER

4、EF _Toc354387987 h 13 HYPERLINK l _Toc354387988 生成第三方RSA对 PAGEREF _Toc354387988 h 15 HYPERLINK l _Toc354387989 3.2 数据处理接口 PAGEREF _Toc354387989 h 16 HYPERLINK l _Toc354387990 数据加密 PAGEREF _Toc354387990 h 16 HYPERLINK l _Toc354387991 数据解密 PAGEREF _Toc354387991 h 18 HYPERLINK l _Toc354387992 3.2.3 HMA

5、C计算 PAGEREF _Toc354387992 h 19 HYPERLINK l _Toc354387993 3.2.4 HMAC校验 PAGEREF _Toc354387993 h 20 HYPERLINK l _Toc354387994 3.3 文件处理接口 PAGEREF _Toc354387994 h 21 HYPERLINK l _Toc354387995 文件加密 PAGEREF _Toc354387995 h 21 HYPERLINK l _Toc354387996 文件解密 PAGEREF _Toc354387996 h 22 HYPERLINK l _Toc3543879

6、97 3.4 MAC接口 PAGEREF _Toc354387997 h 23 HYPERLINK l _Toc354387998 3.4.1 MAC计算（X9.19） PAGEREF _Toc354387998 h 23 HYPERLINK l _Toc354387999 3.4.2 MAC校验（X9.19） PAGEREF _Toc354387999 h 24 HYPERLINK l _Toc354388000 3.4.3 MAC计算（银联） PAGEREF _Toc354388000 h 25 HYPERLINK l _Toc354388001 3.4.4 MAC校验（银联） PAGER

7、EF _Toc354388001 h 26 HYPERLINK l _Toc354388002 银联ZMK加密的密钥计算MAC PAGEREF _Toc354388002 h 27 HYPERLINK l _Toc354388003 银联ZMK加密的密钥校验MAC PAGEREF _Toc354388003 h 28 HYPERLINK l _Toc354388004 3.5 PIN处理接口 PAGEREF _Toc354388004 h 29 HYPERLINK l _Toc354388005 3.5.1 PIN转加密(ZPK转ZPK) PAGEREF _Toc354388005 h 29

8、HYPERLINK l _Toc354388006 3.5.2 PIN转加密(TPK转ZPK) PAGEREF _Toc354388006 h 30 HYPERLINK l _Toc354388007 3.5.3 PIN转加密(PK转ZPK) PAGEREF _Toc354388007 h 31 HYPERLINK l _Toc354388008 3.5.4 IBM PIN OFFSET计算(ZPK转PVK加密的IBM PIN OFFSET) PAGEREF _Toc354388008 h 32 HYPERLINK l _Toc354388009 3.5.5 IBM PIN OFFSET校验(

9、ZPK转PVK加密的IBM PIN OFFSET并校验) PAGEREF _Toc354388009 h 33 HYPERLINK l _Toc354388010 计算明文pin的 PIN OFFSET PAGEREF _Toc354388010 h 34 HYPERLINK l _Toc354388011 使用ZPK加密明文PIN PAGEREF _Toc354388011 h 35 HYPERLINK l _Toc354388012 3.6 CVV处理接口 PAGEREF _Toc354388012 h 36 HYPERLINK l _Toc354388013 3.6.1 CVV计算 PA

10、GEREF _Toc354388013 h 36 HYPERLINK l _Toc354388014 3.6.2 CVV校验 PAGEREF _Toc354388014 h 37 HYPERLINK l _Toc354388015 3.7 证书接口 PAGEREF _Toc354388015 h 38 HYPERLINK l _Toc354388016 私钥签名 PAGEREF _Toc354388016 h 38 HYPERLINK l _Toc354388017 公钥验证签名 PAGEREF _Toc354388017 h 39 HYPERLINK l _Toc354388018 3.8

11、柜员身份认证接口 PAGEREF _Toc354388018 h 40 HYPERLINK l _Toc354388019 柜员UKey签名验证 PAGEREF _Toc354388019 h 40 HYPERLINK l _Toc354388020 3.9 终端服务接口 PAGEREF _Toc354388020 h 41 HYPERLINK l _Toc354388021 柜面终端注册接口 PAGEREF _Toc354388021 h 41 HYPERLINK l _Toc354388022 柜面终端PINPAD主密钥申请接口 PAGEREF _Toc354388022 h 42 HYP

12、ERLINK l _Toc354388023 柜员PIN转加密(数字信封转ZPK) PAGEREF _Toc354388023 h 44 HYPERLINK l _Toc354388024 3.10 金融IC卡交易验证接口(PBOC2.0) PAGEREF _Toc354388024 h 45 HYPERLINK l _Toc354388025 验证TC PAGEREF _Toc354388025 h 45 HYPERLINK l _Toc354388026 验证ARQC并产生ARPC(仅生成ARPC) PAGEREF _Toc354388026 h 46 HYPERLINK l _Toc35

13、4388027 3.10.3 IC卡脚本数据加密 PAGEREF _Toc354388027 h 47 HYPERLINK l _Toc354388028 3.10.4 IC卡脚本数据计算MAC PAGEREF _Toc354388028 h 48 HYPERLINK l _Toc354388029 3.10.5 IC卡脱机PIN数据加密 PAGEREF _Toc354388029 h 49 HYPERLINK l _Toc354388030 3.11 金融IC卡交易验证接口(PBOC1.0) PAGEREF _Toc354388030 h 51 HYPERLINK l _Toc3543880

14、31 离散密钥加密数据 PAGEREF _Toc354388031 h 51 HYPERLINK l _Toc354388032 离散密钥解密数据 PAGEREF _Toc354388032 h 52 HYPERLINK l _Toc354388033 离散密钥计算MAC PAGEREF _Toc354388033 h 54 HYPERLINK l _Toc354388034 离散密钥校验MAC PAGEREF _Toc354388034 h 55 HYPERLINK l _Toc354388035 4 安全系统错误码说明 PAGEREF _Toc354388035 h 58 HYPERLIN

15、K l _Toc354388036 5 环境变量配置(C) PAGEREF _Toc354388036 h 64 HYPERLINK l _Toc354388037 5.1 编译环境 PAGEREF _Toc354388037 h 64 HYPERLINK l _Toc354388038 5.2 运行环境变量 PAGEREF _Toc354388038 h 64文档说明本文档预期读者为交易业务系统的系统设计、开发、测试人员。应用场景本系统作为交易业务系统的安全支撑系统，主要提供以下功能：管理服务功能随机生成密钥打印密钥联机服务功能工作密钥TAK、TPK更新文件加密、解密数据加密、解密MAC计算

16、、校验PIN转加密证书处理联机服务接口密钥管理接口工作密钥更新接口定义int HisuApplyKeyByZMK(char*designID,char*nodeID,char*keyModelID,char*nodeID01,char*keyModelID01,char*keyValue,intsizeOfKeyValue,char*checkValue,intsizeOfCheckValue);接口说明输入参数域标识值域值备注designID安全系统提供（可配置）保护密钥方案标识nodeID安全系统提供（可配置）保护密钥节点标识keyModelID安全系统提供（可配置）保护密钥模板标识nod

17、eID01安全系统提供（可配置）工作密钥节点标识（keyModelID01安全系统提供（可配置）工作密钥模板标识sizeOfKeyValue业务系统提供密钥接收缓冲区大小sizeOfCheckValue业务系统提供密钥校验值接收缓冲区大小输出参数域标识值域值备注keyValue安全系统返回ZMK加密的工作密钥密文，十六进制表示checkValue安全系统返回工作密钥校验值，十六进制表示返回值=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0

18、正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确=0 正确0 错误接口示例安全系统错误码说明错误代码错误代码描述-10384AlarmStrategyDef的配置未定义 -10392AppDef的配置未定义 -10390AppGrpDef的配置未定义 -10395AppInstDef的配置未定义 -10437AppInstHsmDef的配置未定义 -10435AppInstPortDef的配置未定义 -10391AppI

19、nstResDef的配置未定义 -10329CRL处理出错 -10469CRL文件不是由合法的根CA签发 -10470CRL验证X509证书已经被吊销 -10319CVV不匹配 -10051CommPackConf的配置未定义 -10221ConfSvrCommConf的配置未定义 -100DB2数据库记录未找到 -10476DNS对应的地址类型不支持 -10141DevErrCodeConf的配置未定义 -10092ErrCodeConf的配置未定义 -10438HsmCmdDef的配置未定义 -10383IC卡证书长度必须小于等于发卡行证书长度 -10380IC卡证书失效日期在当前时间之前

20、 -10378IC卡证书失效日期在发卡行证书失效日期之后 -10164KeyAttrConf的配置未定义 -10324MAC校验失败 -10511PBOC20金融IC卡发卡行签名数据错误 -10510PBOC20金融IC卡根CA公钥文件自签名数据错误 -10332PIN OFFSET验证出错 -10370PIN 块格式错误 -10285PIN长度错 -10472PKCS7的根证书链文件中X509证书数目错误 -10212PackConfOfConfServiceHeader的配置未定义 -10402PackNameDef的配置未定义 -10436PortPackDef的配置未定义 -10398

21、ResDef的配置未定义 -10233RunningEnvVar的配置未定义 -10086ServiceRouter的配置未定义 -10126SocketClientConf的配置未定义 -10083SocketSvrInstance的配置未定义 -10399TblFldValueDef的配置未定义 -10426TransStat的配置未定义 -10335USBKEY的状态错误 -10333USBKEY已注册 -10202VarConf的配置未定义 -10471X509证书不是由合法的根CA签发 -10474X509证书还未生效 -10473X509证书已过期 -10357XML文件解析出错

22、-942acle-表还没有创建 -2292racle-还有子记录存在 -1403racle未找到记录 -10125报文域必须存在 -10120报文域不存在 -10131报文域索引超界了 -10097报文域值串太短 -10222报文正文的长度错误 -10121报文中包括了太多域 -10020变量不存在 -10203变量类型不是整数 -10291变量类型没有定义 -10292变量名称没有定义 -10217表包括了太多域 -10259表定义的机构号属性-本表域数目不等于源表域数目 -10247表记录没有找到 -10253表名称太长了 -1400碛虻闹挡荒苁强? -10252表域数目太多 -10012

23、不合法的c语言行 -10260不能是方案模板 -10244不是confSvr公开基础服务 -10270不是非对称密钥对 -10256不是开发发布服务 -10090不是请求服务报文 -1响应报文 -10122不是要读取的报文域 -10301不是整型常数 -10220不是整型的表域 -10219不是字符串型的表域 -10282不允许从当前状态转换到要设置的状态 -10262不允许存储密钥 -10240不支持的登录验证方式 -10303不支持的功能 -10018参数的值串出错了 -10019参数的值串引号不匹配 -10017参数的值太长 -10232操作员被锁住 -10288操作员不是当前操作员 -

24、10241操作员的密码过期 -10246操作员工作地点与登录地点不符 -10289操作员旧密码不对 -10245操作员没有登录 -10239操作员密码错 -10243操作员密码密文太长 -10242操作员密码太长 -10320操作员签名验证错误 -10321操作员使用非法的客户端登陆 -10231操作员已登录 -10403查找监控数据包定义出错 -10408查找应用实例报警策略定义出错 -10406查找应用实例定义出错 -10407查找应用实例资源定义出错 -10405查找应用组定义出错 -10404查找资源定义出错 -10304常量未定义 -10299常数名称没有定义 -10040程序已过期

25、 -10006程序员未指定错误码,采用缺省错误码 -10061创建socket连接超时 -10468从X509证书中读取RSA对结构出错 -10475从根证书链中读取根CA证书出错 -10001错误的函数参数 -10369打印格式未设置 -10346打印密钥分量出错 -10350打印密钥校验值出错 -10361当前时间比生效时间早 -10363当前时间比失效时间迟 -10494登录邮件服务器出错 -10033定义了太多服务 -10327读取PKCS12证书中的X509证书出错 -10325读取PKCS12证书中的公私钥出错 -10328读取PKCS7中的X509证书出错 -10326读取X50

26、9证书中的公钥出错 -10358读取XML文件根节点出错 -10266读取到的域值与预期不符 -10502断开邮件服务器连接出错 -10023队列中已没有数据 -10064对端发送的数据长度不对 -10063对端关闭了连接 -10381发卡行证书失效时间在当前时间之前 -10352方案标识不匹配 -10509非PBOC20金融IC卡根CA公钥文件名 -10283非法的DES密钥长度 -10022非法的IP地址 -10016非法的recStr -10218非法的表域名 -10297非法的常数类型 -10124非法的服务 -10293非法的关键字 -10294非法的基础变量类型 -10263非法的

27、密钥存储模式 -10003非法的日期 -10005非法的时间 -10041非法的授权码 -10309非法的文件类型 -10268非法的域读取方法 -10267非法的域设置方法 -10007非法指针 -10037服务报文头中的服务标识与预期不符 -10087服务路由表无法连接 -10088服务请求报文长度太短 -10091服务请求串长度错 -10035服务请求的标识不等于服务响应的标识 -10045服务请求过期了 -10036服务请求数据长度是负数 -10039服务请求与响应不一致 -10030服务通道没定义 -10258服务未授权给该级别 -10318服务响应超时 -10038服务响应的长度是

28、负值 -10132服务响应与预期不符 -10348根据密钥分量合成密钥出错 -10365公钥验证签名出错 -10026共享内存配置没有定义 -10341柜员标识不匹配 -10338柜员角色错误 -10264函数是空函数 -10317环境变量定义错误 -10010环境变量未在.profile中定义 -10011缓冲区太小 -10480获取临时文件名出错 -10069获取通讯服务器实例的地址出错 -10422计算逻辑表达式结果出错 -10347计算密钥分量校验值出错 -10349计算密钥校验值出错 -10255记录域名称太长 -10254记录域名含含非法字符 -10248记录重复 -10432交易

29、统计共享内存数据指针不存在 -10433交易统计共享内存已满 -10431交易统计共享内存指针不存在 -10306结构不对应配置文件 -10307结构不加载到共享内存 -10467解析PKCS7根证书链出错 -10312卡安全信息文件必须存在 -10311卡模板文件必须指定 -10281卡片的状态不是激活状态 -10013空行 -10367控制台或打印机没有准备好或者没有连接好 -10478连接报文定义共享内存出错 -10417连接表域赋值方法定义共享内存出错 -10095连接错误码池出错 -10457连接服务端口服务报文配置共享内存出错 -10031连接服务总线出错 -10434连接交易统计

30、共享内存出错 -10130连接密码机服务出错 -10458连接密码机检测指令报文配置共享内存出错 -10227连接数据库超时 -10418连接应用实例报警策略定义共享内存出错 -10420连接应用实例定义共享内存出错 -10456连接应用实例服务端口配置共享内存出错 -10455连接应用实例密码机配置共享内存出错 -10419连接应用实例资源定义共享内存出错 -10421连接应用组定义共享内存出错 -10504连接邮件服务器出错 -10477连接资源定义共享内存出错 -10167没有定义基础配置对应的宏 -10296没有定义数组大小 -10295没有定义数组维数 -10250没有设置本项目的编号 -10226没有设置当前配置管理服务 -10089没有为服务指定处理服务器 -10032没有为该服务指定服务通道 -102