居民健康卡用户卡命令集.docx

1、居民健康卡用户卡命令集居民健康卡用户卡命令集V1.0中华人民共和国卫生部2011年11月1 适用范围 12 规范性引用文件 23 定义和缩略语 33.1 定义 33.2 缩略语 44 复位应答 75 命令 85.1 命令APDU格式 95.2 响应APDU格式 95.3 基本命令 105.4 应用命令 261 适用范围本规范规定了居民健康卡用户卡应支持的功能、复位应答的格式以及卡片的命令与响应列表。本规范适用于所有制作、发行、使用居民健康卡的医疗卫生机构、第三方联合发卡机构、持卡人和生产企业。2 规范性引用文件下列文件中的条款通过本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有

2、的修改单（不包括勘误的内容）或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。GB/T 16649.42010 识别卡 带触点的集成电路卡 第4部分GB/T 16649.52002 识别卡 带触点的集成电路卡 第5部分ISO/IEC 14443 识别卡 非接触式集成电路卡 接近式卡JR/T 00252010 中国金融集成电路（IC）卡规范卫生部居民健康卡技术规范（卫办发201160号）3 定义和缩略语3.3 定义3.3.2 居民健康卡（Residents Health Card）居民健康卡是中华人民共和国居

3、民拥有的，在医疗卫生服务活动中用于身份识别，满足健康信息存储，实现跨地区和跨机构就医、数据交换和费用结算的基础载体，是计算机可识别的CPU卡。3.3.3 CPU卡（Central Processing Unit Card）带有中央处理器（CPU）、存储单元以及卡片操作系统的集成电路卡。3.3.4 芯片（Chip）本规范中特指居民健康卡中用于完成数据处理和存储功能的集成电路器件。3.3.5 芯片操作系统（COS，Card Operating System）CPU卡芯片中存储和可运行的，以保护应用数据和程序的机密性和完整性，控制CPU卡芯片与外界信息交换为目的的嵌入式软件。3.3.6 加密算法（C

4、ryptographic Algorithm）为了隐藏或显现数据信息内容的变换算法。3.3.7 对称加密算法（Symmetric Cryptographic Algorithm）加密密钥可以从解密密钥中推算出来，反过来也成立，在大多数算法中加/解密密钥是相同的。3.3.8 非对称加密算法（Asymmetric Cryptographic Algorithm）加密算法的加密密钥和解密密钥是不一样的，不能由一个密钥推导出另一个密钥。3.3.9 密钥（Key）加密转换中控制操作的符号序列。3.3.10 对称密钥（Symmetric Key）在对称加密算法中使用的密钥。3.3.11 非对称密钥（Asy

5、mmetric Key）在非对称加密算法中使用的密钥，包括公钥和私钥。3.3.12 公钥（Public Key）在一个实体使用的非对称密钥对中可以被公众使用的密钥。在数字签名方案中，公钥用于验证。3.3.13 私钥（Private Key）在一个实体使用的非对称密钥对中仅被该实体使用的密钥。在数字签名方案中，私钥用于签名。3.3.14 数字签名（Digital Signature）对数据的一种非对称加密变换。该变换可以使数据接收方确认数据的来源和完整性，保护数据发送方发出和接收方收到的数据不被第三方篡改，也保护数据发送方发出的数据不被接收方篡改。3.3.15 生物标识（Biomarker）人的

6、某种特异性的生物学特征，具有遗传性和终身携带性，如血型。3.3.16 医学警示（Medical Alert）患者在就医、急诊或抢救时需要特别提醒医生注意的信息，包括疾病史、体内装置、药物过敏史、对某些物质的不耐受史等。3.4 缩略语以下缩略语和符号表示适用于本规范。表3-1缩略语和符号列表缩略语中文名英文名0-9 A-F十六进制数字AID应用标识符Application IdentifierAn字母数字型AlphanumericAns特殊字母数字型Alphanumeric SpecialB二进制BinaryCBC密码块链接Cipher Block ChainingCLA命令报文的类别字节Cla

7、ss Byte of Command MessageCn压缩数字Compressed NumericCOS芯片操作系统Card Operating SystemCPU中央处理器Central Processing UnitCVN卡安全码Card Verification NumberDDF目录定义文件Directory Definition FileDF专用文件Dedicated FileEF基本文件Elementary FileFCI文件控制信息File Control InformationFID文件标识符File IdentifierIC集成电路Integrated CircuitIEC

8、国际电工委员会International Electrotechnical CommissionINS命令报文的指令字节Instruction Byte of Command MessageISO 国际标准化组织International Organization for StandardizationM必选型MandatoryMAC报文鉴别代码Message Authentication CodeMF 主控文件Master FileO可选型OptionalPIX专用应用标识符扩展码Proprietary Application Identifier ExtensionSAM安全存取模块Sec

9、ure Access ModulePVC聚氯乙烯Polyvinyl ChlorideRID已注册的应用提供者标识Registered Application Provider IdentifierRS232串行通信接口USB通用串行总线Universal Serial BUSXx任意值4 复位应答复位应答中历史字节的前8个字节固定为芯片提供机构注册标识（2字节，由国家IC卡注册中心分配的注册标识号）|卡片制造机构注册标识（2字节，由国家IC卡注册中心分配的注册标识号）|卡片序列号（4字节）。5 命令在卡片读写过程中，卡片总是处于以下状态之一，在一种状态下，只有某些命令能够被执行。卡片具有的状态

10、如下：(1)空闲状态：此时卡片没有获得读写权限；(2)安全状态：此时卡片获得了一定的读写授权，可以进行读写操作。卡片上不同应用之间通过“防火墙”以防止跨过应用进行非法访问，在选择其它应用后，所获得的安全状态消失。卡片通过EXTERNAL AUTHENTICATION命令获得一定的读写授权，当卡片从终端接收到一条命令时，它必须首先检查当前状态是否允许执行该命令。在命令执行成功后，卡片将如表5- 1所示进入另一个状态（或同一个）。表5- 1说明了命令执行成功后的状态变化。第一行表示命令发出时卡片的当前状态，第一列表示发出的命令，整张表给出的是在当前状态下某个命令执行成功后的状态。阴影部分表示在卡片

11、处于相应状态时发出此命令是无效的。在这种情况下，卡片不执行该命令。表5- 1命令执行成功后的状态变化命令空闲安全SELECT（选择当前应用）空闲安全SELECT（选择其它应用）空闲空闲EXTERNAL AUTHENTICATION安全安全SELECT（选择文件或记录）空闲安全READ BINARY（一般二进制文件）空闲安全READ RECORD（一般记录文件）空闲安全READ BINARY（限制二进制文件）N/A安全READ RECORD（限制记录文件）N/A安全ERASE RECORDN/A安全WRITE RECORDN/A安全5.3 命令APDU格式命令APDU的格式如表5-2所示表5-2

12、命令APDU的结构CLAINSP1P2LcDataLe 必备头 条件体 命令APDU中发送的数据字节数用Lc(命令数据域的长度)表示。响应APDU中期望返回的数据字节数用Le(期望数据长度)表示。当Le存在且值为0时，表示需要最大字节数(256字节)。命令APDU报文的内容见表5-3：表5-3命令APDU的内容代码描述长度CLA命令类别1INS指令代码1P1指令参数11P2指令参数21Lc命令数据域中存在的字节数0或1Data命令发送的数据字节串(=Lc)变长Le响应数据域中期望的最大数据字节数0或15.4 响应APDU格式响应APDU格式由一个变长的条件体和后随两字节长的必备尾组成，见表5-

13、4：表5-4 响应APDU的结构DataSW1SW2 条件体 尾 响应APDU的内容见表5- 5：表5- 5 响应APDU的内容代码描述长度Data响应中接收的数据字节串(=Le)变长SW1命令处理状态1SW2命令处理限定15.5 基本命令5.5.2 APPLICATION BLOCK命令5.5.2.1 定义和范围APPLICATION BLOCK命令使当前选择的应用失效。当APPLICATION BLOCK命令成功地完成后，用SELECT命令选择已临时锁定的应用时，将回送状态码 6283（选择文件无效），同时返回FCI。对其他命令的影响根据不同应用而定。5.5.2.2 命令报文APPLICA

14、TION BLOCK命令报文编码见表5-6表5-6 APPLICATION BLOCK命令报文代码值CLA84INS1EP100，其他值保留为将来使用P200，临时锁定应用，锁定后可用APPLICATION_UNBLOCK解锁01，永久锁定应用Lc04Data报文鉴别代码(MAC)数据元；根据居民健康卡技术规范第9.4.2章中的规定进行编码。Le不存在5.5.2.3 命令报文数据域命令报文数据域包括根据居民健康卡技术规范第9.4.2章中的规定进行编码的报文鉴别码(MAC)数据元。5.5.2.4 响应报文数据域响应报文数据域不存在。5.5.2.5 响应报文状态码无论应用是否已经失效，此命令执行成

15、功的状态码是9000。IC卡可能回送的错误状态码如表5-7所示：表5-7 APPLICATION BLOCK错误状态SW1SW2含义6581内存失败6700Lc长度错误6982不满足安全状态6984引用数据无效6985使用条件不满足6987安全报文数据项丢失6988安全报文数据项不正确6A86参数P1 P2不正确6A88未找到引用数据5.5.3 APPLICATION UNBLOCK命令5.5.3.1 定义和范围APPLICATION UNBLOCK命令可以对临时锁定的应用解锁，当APPLICATION UNBLOCK命令成功地完成后，用SELECT命令可以正确选择此应用，应用功能同时被恢复。

16、5.5.3.2 命令报文APPLICATION UNBLOCK命令报文编码见表5-8：表5-8 APPLICATION UNBLOCK命令报文代码数值CLA84INS18P100P200Lc04DATA报文鉴别代码(MAC)数据元；根据居民健康卡技术规范第9.4.2章中的规定进行编码。Le不存在5.5.3.3 命令报文数据域命令报文数据域包括根据居民健康卡技术规范第9.4.2章中的规定进行编码的报文鉴别码(MAC)数据元。5.5.3.4 响应报文数据域响应报文数据域不存在。5.5.3.5 响应报文状态码此命令执行成功的状态码是9000。IC卡可能回送的错误状态码如表5-9所示：表5-9 APP

17、LICATION UNBLOCK错误状态SW1SW2含义6581内存失败6700Lc长度错误6982不满足安全状态6984引用数据无效6985使用条件不满足6987安全报文数据项丢失6988安全报文数据项不正确6A86参数P1 P2不正确6A88未找到引用数据5.5.4 CARD BLOCK命令5.5.4.1 定义和范围CARD BLOCK命令使卡中所有应用永久失效。当CARD BLOCK命令成功地完成后，所有后续的命令都将回送状态码“不支持此功能”(SW1SW2=6A81)，且不执行任何其他操作。5.5.4.2 命令报文CARD BLOCK命令报文编码见表5-10：表5-10 CARD BL

18、OCK命令报文代码值CLA84INS16P100，其他值保留为将来使用P200，其他值保留为将来使用Lc04Data报文鉴别代码(MAC)数据元；根据居民健康卡技术规范第9.4.2章中的规定进行编码Le不存在5.5.4.3 命令报文数据域命令报文数据域包括根据居民健康卡技术规范第9.4.2章中的规定进行编码的报文鉴别代码(MAC)数据元。5.5.4.4 响应报文数据域响应报文数据域不存在。5.5.4.5 响应报文状态码此命令执行成功的状态码是9000。IC卡可能回送的错误状态码如表5-11所示：表5-11 CARD BLOCK错误状态SW1SW2含义6581内存失败6700Lc长度错误6982

19、不满足安全状态6984引用数据无效6985使用条件不满足6987安全报文数据项丢失6988安全报文数据项不正确6A86参数P1或/和P2错误6A88未找到引用数据5.5.5 EXTERNAL AUTHENTICATION命令5.5.5.1 定义和范围EXTERNAL AUTHENTICATION命令要求IC卡中的应用验证接口设备中保密模块的有效性，以使接口设备获得某种授权。IC卡的响应包括命令处理状态的回送。5.5.5.2 命令报文EXTERNAL AUTHENTICATION命令报文编码见表5-12：表5-12 EXTERNAL AUTHENTICATION命令报文代码值CLA00INS82

20、P100P2密钥标识符（见表5-12表5-13）Lc11Data鉴别用数据Le不存在表5-13定义了命令报文中的密钥标识符：表5-13密钥标识符的结构b8b7b6b5b4b3b2b1含义00000000默认密钥0全局参考数据1专用参考数据xxxx密钥号EXTERNAL AUTHENTICATION命令使用的算法参考值(P1)编码为00表示无信息。算法参考值在命令发出之前是已知的。5.5.5.3 命令报文数据域命令报文数据域中包含17个字节的数据：第1至第8个字节为鉴别数据；第9至第16个字节是鉴别所需的原始信息；第17个字节表示密钥版本。其中，鉴别数据根据居民健康卡技术规范第9.7.3章中的规

21、定进行编码。5.5.5.4 响应报文数据域响应报文数据域不存在。5.5.5.5 响应报文状态码此命令执行成功的状态码是9000。IC卡可能回送的警告状态码如表5-14所示：表5-14 EXTERNAL AUTHENTICATION警告状态SW1SW2含义63Cx鉴别失败，x表示允许继续尝试的次数(0-F)IC卡可能回送的错误状态码如表5-15所示：表5-15 EXTERNAL AUTHENTICATION错误状态SW1SW2含义6700Lc不正确6983鉴别方法锁定6984引用数据无效6985使用条件不满足6A86参数P1 P2不正确6A88密钥未找到5.5.6 GET CHALLENGE命令

22、5.5.6.1 定义和范围GET CHALLENGE命令请求一个用于安全相关过程（例如：安全报文、安全鉴别）的随机数。随机数在使用后失效，不能被下一个命令再次使用。5.5.6.2 命令报文GET CHALLENGE命令报文编码见表5-16：表5-16 GET CHALLENGE命令报文代码值CLA00INS84P100P200Lc不存在Data不存在Le 085.5.6.3 命令报文数据域命令报文数据域不存在。5.5.6.4 响应报文数据域响应报文数据域包括随机数，长度为8字节。5.5.6.5 响应报文状态码此命令执行成功的状态码是9000。IC卡可能回送的错误状态码如表5-17所示：表5-1

23、7GET CHALLENGE错误状态SW1SW2含义6700Le长度错6A81不支持此功能6A86参数P1 P2不正确5.5.7 INTERNAL AUTHENTICATION命令5.5.7.1 定义和范围INTERNAL AUTHENTICATION命令提供了利用接口设备发来的随机数和自身存储的相关密钥进行数据鉴别的功能。5.5.7.2 命令报文INTERNAL AUTHENTICATION命令报文编码见表5-18：表5-18 INTERNAL AUTHENTICATION命令报文代码值CLA00INS88P100P200Lc11Data鉴别用数据Le00INTERNAL AUTHENTIC

24、ATION命令的参数P1和P2为00表示无信息，它们的值是事先确定的。5.5.7.3 命令报文数据域命令报文数据域的内容是卡片或应用专用的鉴别数据，包含17个字节的数据：第1至第8个字节是过程密钥计算使用的数据，由终端产生；第9至第16个字节是鉴别所需的原始信息；第17个字节表示密钥版本。5.5.7.4 响应报文数据域响应报文数据域内容是相关的鉴别数据，其值根据居民健康卡技术规范第9.7.3章中的规定进行计算。5.5.7.5 响应报文状态码此命令执行成功的状态码是9000。IC卡可能回送的警告状态码如表5-19所示：表5-19 INTERNAL AUTHENTICATION警告状态SW1SW2

25、含义6281回送的数据可能有错IC卡可能回送的错误状态码如表5-20所示：表5-20 INTERNAL AUTHENTICATION错误状态SW1SW2含义6700Lc不正确6882不支持安全报文6985不满足使用条件6A80数据域参数不正确6A86参数P1 P2不正确6A88密钥未找到5.5.8 READ BINARY命令5.5.8.1 定义和范围READ BINARY命令用于读取透明文件的内容（或部分内容）。5.5.8.2 命令报文READ BINARY命令报文编码见表5-21表5-21 READ BINARY命令报文代码值CLA00INSB0P1见表5-22P2见表5-22Lc不存在Da

26、ta不存在Le00或要读出的数据的长度表5-22定义了命令报文中的引用控制参数：表5-22 READ BINARY命令引用控制参数P1P2含义b8b7b6b5b4b3b2b1b8b7b6b5b4b3b2b10XXXXXXXYYYYYYYYP1 0x100+P2为要读的首字节距离文件首字节的偏移量。5.5.8.3 命令报文数据域命令报文数据域不存在。5.5.8.4 响应报文数据域当Le的值为零时，读出自要读的首字节起的256个字节；如果在读出256个字节前已到达文件最后一个字节，则自要读的首字节起的全部字节将被读出。5.5.8.5 响应报文状态码此命令执行成功的状态码是9000。IC卡可能回送的警告状态码如表5-23所示：表5-23 READ BINARY警告状态SW1SW2含义6281部分回送的数据可能有错IC卡可能回送的错误状态码如表5-24所示：表5-24 READ BINARY错误状态SW1SW2含义6981命令与文件结构不相容6982