中国移动用户卡制卡数据技术要求V1.1.0

中 国 移 动 通 信 企 业 标 准 中 国 移 动 用 户 卡 制 卡 数 据 技 术 要 求 版 本 号 ： 1 . 1 . 0 中国移动通信集团公司 发布 ╳ ╳ ╳ ╳ -╳ ╳ -╳ ╳ 发 布 ╳ ╳ ╳ ╳ -╳ ╳ -╳ ╳ 实 施 QB-╳╳-╳╳╳-╳╳╳╳ S e c u r i t y R e q u i r e m e n t s I 目 录 前 言............................................................................................................................................ II 1. 范围........................................................................................................................................... 1 2. 性引用文件 ....................................................................................................................... 1 3. 术语、定义和缩略语 ............................................................................................................... 1 4. 制卡数据的生成安全要求 ....................................................................................................... 1 4.1. 子密钥分散参数文件技术要求 ............................................................................... 1 4.1.1. 子密钥分散参数文件生成安全要求 ............................................................... 1 4.1.2. 子密钥分散参数文件传输安全要求 ............................................................... 2 4.2. 子密钥生成要求 ....................................................................................................... 2 4.2.1. 加密机设备要求 ............................................................................................... 2 4.2.2. 数据准备软件要求 ........................................................................................... 2 5. 制卡数据的传输安全要求 ....................................................................................................... 3 5.1. 线上传输要求 ........................................................................................................... 3 5.2. 线下传输要求 ........................................................................................................... 3 6. 编制历史 ................................................................................................................................... 4 附录-A 制卡数据保护密钥及算法要求 ......................................................................................... 5 A-1 密钥层次结构 .......................................................................................................... 5 A-2 密钥分布 .......................................................................................................................... 5 A-3 算法要求 .......................................................................................................................... 5 A-4 密钥属性及参数 .............................................................................................................. 6 附录-B 制卡数据文件格式要求 ..................................................................................................... 7 B-1 总体要求 ........................................................................................................................... 7 B-1-1 文件结构及名称定义 ........................................................................................... 7 B-1-2 制卡数据文件的加密及校验要求 ........................................................................ 8 B-1-3 制卡数据文件的格式要求及 TAG 定义 .............................................................. 8 B-2 主安全域制卡数据文件构成 ......................................................................................... 10 B-3 手机钱包（自有密钥）制卡数据文件构成 ................................................................. 11 B-4 一卡通应用制卡数据文件构成 ..................................................................................... 12 B-5 SE 访问控制规则制卡文件构成 .................................................................................... 13 B-6 辅助安全域制卡数据文件构成 ..................................................................................... 14 附录-C 制卡数据类型定义 ........................................................................................................... 15 附录-D 省公司编码 ...................................................................................................................... 16 II 前 言 本对中国移动用户卡制卡数据提出技术要求，是相关系统设计所需要遵 从的纲领性技术文件。 本标准主要包括制卡数据的生成安全要求、制卡数据的传输安全要求等内 容。 本标准的附录A为标准性附录。 本标准由中移 号文件印发。 本标准由集团公司数据部提出，集团公司技术部归口。 本标准起草单位：中国移动通信研究院。 本标准主要起草人： 1 1. 范围 本标准提出了中国移动用户卡制卡数据的技术要求，供中国移动和相关厂商共同使用； 适用于2G/3G网络环境。 2. 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其 随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标 准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新 版本适用于本标准。 表2-1 规范性引用文件 [1] QB-F-009-2009 《中国移动手机支付业务-密钥安全 管理总体技术要求》 中国移动通信集团公司 3. 术语、定义和缩略语 下列术语、定义和缩略语适用于本标准： 表3-1 术语、定义与缩略语 词语 解释 4. 制卡数据的生成安全要求 4.1. 子密钥分散参数文件技术要求 4.1.1. 子密钥分散参数文件生成安全要求 对于子密钥分散参数文件及签名文件的格式要求参考《中国移动手机支付业务用户卡发 卡系统设备规范》。 2 4.1.2. 子密钥分散参数文件传输安全要求 子密钥分散参数文件传输可以采用如下两种方式：  WEB 方式传输  子密钥分散参数文件可以通过业务平台提供的 WEB Protal，基于 HTTPS 协议 进行安全传输  邮件传输  采用 RAR 工具对子密钥分散参数文件进行压缩并加密  RAR 加密的密码应必须包含大小写字母、数字及特殊字符，长度应至少 8 字 符 4.2. 子密钥生成要求 4.2.1. 加密机设备要求 子密钥生成需要密钥管理加密机和发卡加密机的支持，具体技术要求如下表所示： 表4-1 加密机设备要求 设备 要求 密钥管理加密机 功能：用于对密钥进行各种管理操作（生成、传输等） 规范要求：密钥管理加密机应符合《中国移动手机支付业务-密钥 管理系统设备规范》 用户卡发卡加密机 功能说明：用于完成用户卡子密钥的生成 规范要求：用户卡发卡加密机应符合《中国移动手机支付业务-用 户卡发卡系统设备规范》、《手机支付业务用户卡发卡加密机接口规 范》的要求 4.2.2. 数据准备软件要求 数据准备软件完成如下功能： 表4-2 数据准备软件要求 主要功能要求 说明 需求管理 数据准备软件至少应提供如下的需求管理功能：  省公司发卡需求管理：对各省发卡需求进行统一管理， 包括各省发卡数量、配送时间要求、物流地点等信息。  卡商信息管理：针对各省公司需求，对不同卡商信息、 每个卡商分配的制卡数量及比例等信息进行管理 3 制卡数据文件生成 数据准备软件按照附录-B 所述的文件格式要求，针对每一 张卡片分别调用用户卡发卡加密机的相应接口，完成如下操作：  生成指定的子密钥  生成其它个人化信息  生成文件校验值信息  打包完整的制卡数据文件  加密文件 完成以上所有操作均需要记录操作日志。 数据安全存储 制卡数据需要保存在数据存储系统中，数据存储系统应安全 保存所有数据，并对如下两类用户进行授权访问：  数据存储系统管理员：通过系统管理界面访问数据存储 系统  制卡数据操作人员：通过数据准备软件登录数据存储系 统后，可以通过专用接口访问制卡数据 数据存储系统应对所有的访问操作记录日志 对数据准备软件的具体的功能/性能要求参考《中国移动数据准备系统技术》。 5. 制卡数据的传输安全要求 5.1. 线上传输要求 制卡数据通过线上方式传递时，需要采用中国移动与卡商之间的专线或VPN方式进行传 递，卡商需要采用专门的服务器用于接收数据。具体要求如下： 1、采用VPN方式的情况下，要求采用通过国家权威部门认证的基于IPSEC或SSL的硬件VPN 设备。 2、对于制卡数据文件传送方式，可以采用移动主动发送或者卡商主动获取的方式。其 中：  移动主动发送方式：可以通过数据准备系统的管理终端完成，从管理终端到卡商服 务器之间的端到端文件传输应采用加密协议；  卡商主动获取方式：移动侧需要采用独立的服务器提供文件服务，从文件服务器到 卡商数据接收服务器之间的端到端文件传输应采用加密协议。该服务器应由数据准 备管理人员统一管理，且该服务器不能具有除需要完成文件传输功能以外的其它权 限。 5.2. 线下传输要求 制卡数据采用数据盘邮寄和人工递送方式进行传输时，必须选择可靠的邮递机构和运输 4 手段，并验证递送人员的身份。 6. 编制历史 表6-1 编制历史 版本号 更新时间 主要内容或重大修改 0.5.0 2011-11-14 初稿 1.0.0 2012-3-19 修订如下功能： 1、B-1-1，明确制卡数据文件结构和名称及压缩格式 2、B-1-3，明确TLV格式各字段长度 1.1.0 2012-8-22 修订如下内容： 1、制卡数据保护密钥的名称进行调整 2、附录B-1中调整制卡数据文件打包目录结构 3、附录-B中增加访问控制及辅助安全域制卡数据文件 的相关TAG 4、附录-B中增加访问控制及辅助安全域制卡数据文件 格式定义 5 附录-A 制卡数据保护密钥及算法要求 中国移动与每个卡商之间共享制卡数据保护密钥，用于加密传输制卡数据。 制卡数据保护密钥包括两种类型：  加密密钥：DATA_DEK 该密钥用于加密密钥等敏感信息。  传输密钥：DATA_TK 该密钥用于加密其它信息，如整个文件、文件中其它信息等。 A-1 密钥层次结构设计 制卡数据保护密钥采用两级结构，根密钥->批次密钥：  分散参数：传输日期 分散参数格式为日期（4 字节）+填充，即：0xYYYYMMDD80000000，共 8 个字节。 作为分散因子的日期从本应用的制卡数据目录名中获取。 在传输每个批次的制卡数据过程中，均采用生成本批次制卡数据的当前日期作为分散因 子得到制卡数据批次密钥，并采用该组密钥进行加密和 MAC计算。 A-2 密钥分布 制卡数据保护密钥的分布如下表所示： 表A-1 制卡数据保护密钥分布 密钥类型 业务基地/业务支撑省密管中心 卡商 制卡数据保护密钥 存储所有卡商的制卡数据保护密钥 存储本卡商的制卡数据 保护密钥 A-3 算法要求 制卡数据保护密钥的算法要求如下表所示： 表A-2 算法要求 用途 算法要求 密钥分散 （DATA_DEK/DATA_TK） 采用标准的 PBOC分散算法 密钥加密（DATA_DEK） 3DES-ECB 文件加密（DATA_TK） 3DES-ECB，具体的填充规则在具体的文件传输格式中说明 6 A-4 密钥属性及参数 制卡数据保护密钥长度：128Bit。 7 附录-B 制卡数据文件格式要求 B-1 总体要求 B-1-1 文件结构及名称定义 为了实现数据准备系统和卡商之间对文件的解析，制卡数据文件需要按照标准格式打 包，打包的目录结构定义如下： 通用目录 制卡数据文件#1 制卡数据文件#2 … 制卡数据文件#N 应用目录#1 制卡数据文件#1 制卡数据文件#2 … 制卡数据文件#N 应用目录#2 制卡数据文件#1 制卡数据文件#2 … 制卡数据文件#N … 应用目录#N 其中制卡数据文件采用二进制数据方式，一张卡中的不同应用及主安全域子密钥分别存 储在不同的制卡数据文件中，文件命名要求如下表所示： 表B-1 制卡数据文件命名要求 制卡数据文件类型 文件名 主安全域制卡数据文件 CMSAC+卡片序列号.dat 辅助安全域制卡数据文件 CMSAC-SSD+AID.dat 手机钱包制卡数据文件 MPURSE+应用序列号.dat 企业一卡通制卡数据文件 EPASS+应用序列号.dat SE访问控制规则制卡数据文件 AC.dat 8 一个批次的制卡数据按照应用分别存放在不同目录（即上面目录结构中的应用目录）中 进行打包，每个目录名字的格式如下： [应用类型]-[日期（8 位，4 字节）]-[省公司编码（2 位，1 字节）]-[卡商代码（2 位，1 字节）].zip 其中： 应用类型：包括主安全域、手机钱包、一卡通等，应用类型定义见附录-C 日期：格式为 YYYYMMDD，共 8 位数字 省公司编码：2 位 16 进制数字，见附录-D 卡商名称：卡商的中文或英文名称缩写（发卡单位维护名称的唯一性） 扩展名：zip。应用目录采用标准的 ZIP 格式进行压缩打包 如：2011 年 12 月 1 日，湖南公司提交手机钱包制卡数据订单，该订单由卡商【A 卡商】 制卡，则制卡数据的打包文件名为：MPURSE-20111201-12-A 卡商.zip B-1-2 制卡数据文件的加密及校验要求 对制卡数据文件采用校验+加密的方式处理： 1、校验值要求：制卡数据文件末尾需要附带一个校验值，要求对整个制卡数据使用标 准的SHA-1算法，产生20个字节的哈希校验值，附在制卡数据末尾，以供校验。 2、加密要求：文件加密使用3DES-ECB算法，文件长度为8字节整数倍，则后补“0x80 00 00 00 00 00 00 00”，否则后补“0x80 00…”至补足8字节整数倍为止。 卡商对制卡数据文件的处理方式： 1、 首先对制卡数据文件解密 2、 按照填充规则，去掉文件末尾的填充数据 3、 读取文件末尾的文件校验值（去掉TAG信息），采用SHA-1算法计算文件的校验值， 并与读取的校验值进行比对 4、 去掉校验值后，按照相应的文件格式要求对文件进行解析 B-1-3 制卡数据文件的格式要求及 TAG 定义 制卡数据文件由不同的数据字段构成，其中每个字段采用TLV格式存储，说明如下： 其中对T、L、V的长度要求如下：  数据单元TAG：长度为2字节  数据单元长度：2字节，以16进制字节数表示 数据单元TAG 数据单元长度 数据单元内容 9  数据单元内容：长度为“数据单元长度”的数据 各数据单元TAG定义如下表所示： 表B-2 制卡数据TAG定义 TAG 说明 0001 【通用】文件校验值 0100 【主安全域】卡片序列号（SE-ID） 0101～0105 【主安全域】S-ENC密钥属性/密钥值/校验值，5 个版本（版本#1～版本#5） 0106～010A 【主安全域】S-MAC密钥属性/密钥值/校验值，5 个版本（版本#1～版本#5） 010B～010F 【主安全域】DEK密钥属性/密钥值/校验值，5 个版本（版本#1～版本#5） 0110 【主安全域】DAP密钥属性/密钥值/校验值，1 个版本（0x73） 0111 【主安全域】Receipt密钥属性/密钥值/校验值，1 个版本（0x71） 0112 【主安全域】Token密钥属性/密钥值/校验值，1 个版本（0x70） 0200 【手机钱包】手机钱包应用序列号 0201 【手机钱包】应用主控密钥属性/密钥值/校验值 0202 【手机钱包】应用维护密钥属性/密钥值/校验值 0203～0207 【手机钱包】消费密钥属性/密钥值/校验值，钱包应用支持 5 个消费密钥索 引（索引#1～索引#5） 0208 【手机钱包】充值密钥属性/密钥值/校验值 0209 【手机钱包】TAC 密钥属性/密钥值/校验值 020A 【手机钱包】PIN 重装密钥属性/密钥值/校验值 020B 【手机钱包】空中报文 MAC 密钥属性/密钥值/校验值 020C 【手机钱包】透支额度维护密钥属性/密钥值/校验值 020D 【手机钱包】敏感数据加密密钥属性/密钥值/校验值 0300 【一卡通】一卡通应用序列号 0301 【一卡通】应用管理密钥属性/密钥值/校验值 0302 【一卡通】空中传输密钥属性/密钥值/校验值 0303 【一卡通】空中报文 MAC 密钥属性/密钥值/校验值 0400 【访问控制】ACRF 文件的个人化数据 0401～047F 【访问控制】存储普通规则的 ACCF 文件个人化数据（文件 ID：4301～43FF） 0480～04FF 【访问控制】存储包含 APDU 权限规则的 ACCF 文件个人化数据（文件 ID： 4401～44FF） 05XX～7FXX 预留应用 TAG 空间 8000 【辅助安全域】AID 10 8001～8005 【辅助安全域】S-ENC密钥属性/密钥值/校验值，5 个版本（版本#1～版本#5） 说明：对于中国移动自有的辅助安全域以及委托中国移动管理的 SP 辅助安 全域，可以预置多个版本的密钥；对于 SP 自行管理的辅助安全域，则只需 预置 1 个版本的初始密钥即可，S-MAC 及 DEK 密钥要求与此相同 8006～800A 【辅助安全域】S-MAC密钥属性/密钥值/校验值，5 个版本（版本#1～版本#5） 800B～800F 【辅助安全域】DEK密钥属性/密钥值/校验值，5 个版本（版本#1～版本#5） 8010 【辅助安全域】DAP密钥属性/密钥值/校验值，1 个版本（0x73） 81XX～FFXX 预留 TAG空间 B-2 主安全域制卡数据文件构成 主安全域制卡数据文件包含SE-ID、S-ENC密钥、S-MAC密钥、DEK密钥、DAP密钥和Token 密钥及各密钥的校验值。文件末尾带有哈希校验值。 主安全域制卡数据文件格式如下表所示： 表B-3 主安全域制卡数据文件格式 组成部分 长度（字节） 格式 值描述 卡片序列号（SE-ID） 10 二进制 S-ENC 密钥属性/密钥 值/校验值 （版本#1） 21 二进制 该字段格式为：密钥属性+密钥值密文+校验值， 要求如下： 1、密钥属性：2字节，KeyID（1）+密钥版本（1） 2、密钥值：16 字节，使用加密密钥（DATA_DEK） 用 3DES-ECB算法对密钥明文加密得到的密文值 3、校验值（KCV）：由对应密钥对 8字节 00加密 后取密文值的高 3字节 以下密钥属性/密钥值及校验值的要求与此相同。 S-MAC 密钥属性/密钥 值/校验值 （版本#1） 21 二进制 DEK 密钥属性/密钥值 /校验值 （版本#1） 21 二进制 S-ENC、S-MAC、DEK 密钥属性/密钥值/校 验值 （版本#2～版本#5） 21 二进制 S-ENC、S-MAC、DEK 每个密钥属性/密钥值/校 验值的其余 4 个版本 DAP 密钥属性/密钥值 /校验值 21 二进制 密钥属性（KeyID+密钥版本）：0x0173 Receipt 密钥属性/密 钥值/校验值 21 二进制 密钥属性（KeyID+密钥版本）：0x0171 11 组成部分 长度（字节） 格式 值描述 Token 密钥属性/密钥 值/校验值 139 二进制 该字段格式为：密钥属性+模数（128 字节）+模 数校验值（3 字节）+指数（3 字节）+指数校验 值（3字节） 1、密钥属性（KeyID+密钥版本）：0x0170 2、校验值：计算方法为：用 16 字节的 00 作为 3DES密钥，用 Token密钥值（模数和指数分别计 算）作为 3DES 算法的明文输入数据，进行 3DES-CBC的 MAC计算，以“0x00 00 00 00 00 00 00 00”为初始向量。如果明文数据是 8 的整数 倍，则补“0x80 00 00 00 00 00 00 00”,否则 在其后填充 0x80 00 „，至明文数据长度为 8的 整数倍。密钥校验值 KCV取以上计算结果的最高 3 字节。模数和指数的校验值连接，得到整个 Token密钥的校验值。 文件校验值 20 二进制 对本表格数据的卡序号开始到 HASH 前的所有数 据计算 SHA-1 HASH值（20字节） B-3 手机钱包（自有密钥）制卡数据文件构成 手机钱包（自有密钥）制卡数据文件中包含应用主控密钥、应用维护密钥、消费密钥、 充值密钥、TAC密钥、PIN重装密钥、空中报文MAC密钥、透支额度维护密钥、敏感数据加密 密钥及各密钥的校验值。文件末尾带有哈希校验值。 手机钱包制卡数据格式要求，如下表所示： 表B-4 手机钱包制卡数据格式 组成部分 长度（字节） 格式 值描述 手机钱包应用序 列号 10 二进制 应用主控密钥属 性/密钥值/校验值 23 二进制 该字段格式为：密钥属性+密钥值密文+校验值， 要求如下： 1、密钥属性：4字节，密钥标识（1）+密钥索 引（1）+密钥版本（1）+密钥算法标识（1） 2、密钥值：16 字节，使用加密密钥（DATA_DEK） 用 3DES-ECB 算法对密钥明文加密得到的密文 值 3、校验值（KCV）：由对应密钥对 8 字节 00 加 密后取密文值的高 3字节 以下密钥属性/密钥值及校验值的要求与此相 同 应用维护密钥属 性/密钥值/校验值 23 二进制 12 消费密钥属性 /密 钥值/校验值（索引 #1） 23 二进制 第一个索引的消费密钥属性/密钥值/校验值信 息 消费密钥属性 /密 钥值/校验值（索引 #2～索引#5） 23 二进制 其余 4 个索引的消费密钥信息为可选字段 充值密钥属性 /密 钥值/校验值 23 二进制 TAC密钥属性/密 钥值/校验值 23 二进制 PIN重装密钥属性 /密钥值/校验值 23 二进制 空中报文 MAC 密 钥属性/密钥值/校 验值 23 二进制 透支额度维护密 钥属性/密钥值/校 验值 23 二进制 敏感数据加密密 钥属性/密钥值/ 校验值 23 二进制 文件校验值 20 二进制 对本表格数据的卡序号开始到 HASH 前的所有 数据计算 SHA-1 HASH值（20字节） B-4 一卡通应用制卡数据文件构成 一卡通制卡数据文件包含一卡通应用序列号、应用管理密钥、空中传输密钥、空中报文 MAC密钥属性/密钥密文及相应密钥的校验值。文件末尾带有哈希校验值。 需要说明的是，制卡文件中的数据并不是完整的制卡数据，而是每张卡片均不同的制卡 数据，对于每张卡片均相同的数据，可以由卡商参考制卡数据规范写入。 一卡通应用制卡数据格式如下表所示： 表B-5 一卡通制卡数据格式 组成部分 长度（字节） 格式 值描述 一卡通应用序列 号 二进制 应用管理密钥属 性 密钥值 校验值 二进制 该字段格式为：密钥属性+密钥值密文+校验值， 要求如下： 1、密钥属性：0x01010100（密钥标识+版本+ 索引+算法标识） 13 2、密钥值：16 字节，使用加密密钥（DATA_DEK） 用 3DES-ECB 算法对密钥明文加密得到的密文 值 3、校验值（KCV）：由对应密钥对 8 字节 00 加 密后取密文值的高 3 字节 以下密钥值及校验值的要求与此相同 空中传输密钥属 性 密钥值 校验值 二进制 密钥属性取值为： 空中报文 密 钥属性 密钥值 校 验值 二进制 密钥属性取值为： 文件校验值 二进制 对本表格数据的卡序号开始到 前的所有 数据计算 值（ 字节） B-5 SE访问控制规则制卡文件构成 SE访问控制规则制卡数据文件包含EF ACRules文件和EF ACConditions文件的个人化数 据，文件末尾带有哈希校验值。 需要说明的是，一个批次的每张卡的SE访问控制规则制卡文件内容是相同的，因此可以 放入通用目录中。 SE访问控制规则制卡数据格式如下表所示： 表B-6 SE访问控制规则制卡数据格式 组成部分 长度（字节） 格式 值描述 ACRF文件的个人化数据 （文件长度由 实际数据长度 得到，下同） 二进制 文件的个人化数据 存储普通规则的ACCF文件 个人化数据#1 二进制 文件 ID为 4301的 ACCF文件个人化 数据 存储普通规则的ACCF文件 个人化数据#2~#N 二进制 文件 ID为 4302~43FF 的 ACCF 文件 个人化数据（文件个数根据实际需 求确定） 存储包含APDU权限规则的 ACCF 文件个人化数据#1 （文件 ID：4400～44FF） 二进制 文件 ID为 4400的 ACCF文件个人化 数据 存储包含APDU权限规则的 ACCF文件个人化数据#2～ 二进制 文件 ID为 4401~44FF 的 ACCF 文件 个人化数据（文件个数根据实际需 14 #N 求确定） 文件校验值 二进制 对本表格数据的卡序号开始到 HASH 前的所有数据计算 SHA-1 HASH 值（20 字节） B-6 辅助安全域制卡数据文件构成 辅助安全域制卡数据文件包含S-ENC密钥、S-MAC密钥、DEK密钥、DAP密钥及各密钥的校 验值。文件末尾带有哈希校验值。 辅助安全域制卡数据文件格式如下表所示： 表B-7 辅助安全域制卡数据文件格式 组成部分 长度（字节） 格式 值描述 AID 16 二进制 S-ENC 密钥属性/密钥 值/校验值 （版本#1） 21 二进制 该字段格式为：密钥属性+密钥值密文+校验值， 要求如下： 1、密钥属性：2字节，KeyID（1）+密钥版本（1） 2、密钥值：16 字节，使用加密密钥（DATA_DEK） 用 3DES-ECB算法对密钥明文加密得到的密文值 3、校验值（KCV）：由对应密钥对 8字节 00加密 后取密文值的高 3字节 以下密钥属性/密钥值及校验值的要求与此相同。 S-MAC 密钥属性/密钥 值/校验值 （版本#1） 21 二进制 DEK 密钥属性/密钥值 /校验值 （版本#1） 21 二进制 S-ENC、S-MAC、DEK 密钥属性/密钥值/校 验值 （版本#2～版本#5） 21 二进制 S-ENC、S-MAC、DEK 每个密钥属性/密钥值/校 验值的其余 4 个版本（如果有的话） DAP 密钥属性/密钥值 /校验值 21 二进制 密钥属性（KeyID+密钥版本）：0x0173 文件校验值 20 二进制 对本表格数据的卡序号开始到 HASH 前的所有数 据计算 SHA-1 HASH值（20字节） 15 附录-C 制卡数据类型定义 表 B-8 制卡数据文件类型定义 制卡数据类型 制卡数据类型标识 CMS 2 AC 主安全域个人化数据 CMSAC CMS 2 AC 辅助安全域个人化数据 CMSAC-SSD 手机钱包个人化数据 MPURSE 一卡通个人化数据 EPASS AC 个人化数据 AC 16 附录-D 省公司编码 省编码定义如下表所示： 表D-1 省编码定义 省区市 10 进制代码 16 进制代码 省区市 10 进制代码 16 进制代码 北京 01 01 河南 16 10 天津 02 02 湖北 17 11 河北 03 03 湖南 18 12 山西 04 04 广东 19 13 内蒙古 05 05 广西 20 14 辽宁 06 06 海南 21 15 吉林 07 07 四川 22 16 黑龙江 08 08 贵州 23 17 上海 09 09 云南 24 18 江苏 10 0A 西藏 25 19 浙江 11 0B 陕西 26 1A 安徽 12 0C 甘肃 27 1B 福建 13 0D 青海 28 1C 江西 14 0E 宁夏 29 1D 山东 15 0F 新疆 30 1E 重庆 31 1F