社会服务一卡通（北京通）卡片技术规范

序号标准号标准名称行业主管部门 915. DB11/T 1174-2015 山区河流生态监测技术导则 916. DB11/T 1175-2015 园林绿地工程建设规范北京市园林绿化局 917. DB11/T 1176-2015 花卉产品等级月季北京市园林绿化局 918. DB11/T 1178-2015 919. DB11/T 1179-2015 920. DB11/T 1180-2015 921. DB11/T 1182-2015 专利代理机构等级评定规范 922. DB11/T 1183-2015 牌匾标识设置规范 923. DB11/T 1184-2015 城市绿地土壤施肥技术规程北京市园林绿化局 924. DB11/T 1185-2015 彩色马蹄莲设施栽培技术规程北京市园林绿化局 925. DB11/T 1186-2015 枣疯病综合防治技术规程北京市园林绿化局 926. DB11/T 1187-2015 地铁车辆段、停车场区域建设敏感建筑物项目环境噪声与振动控制规范社会服务一卡通（北京通）卡片技术规范清洁生产评价指标体系汽车整车制造业自然保护区珍稀濒危树种监测技术规程备注北京市水务局北京市生态环境局北京市经济和信息化局北京市经济和信息化局北京市知识产权局北京市城市管理委员会北京市园林绿化局 84 将规范性引用文件及正文中的“ GA 461”更新为“ GA/T 461” ICS 35.240.60 L 67 备案号: 45818-2015 北京市地方标准 DB11/T 1179-2015 社会服务一卡通（北京通）卡片技术规范 Technology specification for social services card （Beijing card） 2015-04-30 发布 2015-06-01 实施北京市质量技术监督局发布 DB11/T 1179-2015 目次目次............................................................................... I 前言............................................................................. III 1 范围 ................................................................................. 1 2 规范性引用文件 ....................................................................... 1 3 术语、定义和缩略语 ................................................................... 1 3.1 术语和定义 ...................................................................... 1 3.2 缩略语 .......................................................................... 4 4 卡种类 ............................................................................... 5 4.1 北京通社保卡 .................................................................... 5 4.2 北京通基本卡 .................................................................... 5 4.3 北京通临时卡 .................................................................... 5 5 北京通号 ............................................................................. 5 6 卡介质 ............................................................................... 5 6.1 芯片要求 ........................................................................ 5 6.2 COS 要求 ........................................................................ 6 6.3 卡体材料 ........................................................................ 6 6.4 卡片外形规格 .................................................................... 6 6.5 卡面规范 ........................................................................ 6 7 机电特性与通讯协议 .................................................................. 17 7.1 机电特性 ....................................................................... 17 7.2 通讯协议和复位应答 ............................................................. 17 8 应用构成 ............................................................................ 18 8.1 北京通社保卡 ................................................................... 18 8.2 北京通基本卡 ................................................................... 19 8.3 北京通临时卡 ................................................................... 19 9 密钥管理 ............................................................................ 20 9.1 主管理密钥 ..................................................................... 20 9.2 密钥管理应用构成 ............................................................... 20 9.3 北京通应用密钥管理 ............................................................. 20 9.4 密钥管理系统 ................................................................... 21 10 文件和数据规划 ..................................................................... 21 10.1 基本信息 ...................................................................... 21 10.2 社保应用 ...................................................................... 23 10.3 金融应用 ...................................................................... 23 10.4 健康应用 ...................................................................... 23 10.5 交通应用 ...................................................................... 23 10.6 证书应用 ...................................................................... 23 10.7 北京通应用 .................................................................... 23 10.8 自主应用 ...................................................................... 23 I DB11/T 1179-2015 11 应用选择 ........................................................................... 23 11.1 应用标识符 .................................................................... 23 11.2 终端的应用选择 ................................................................ 24 12 北京通应用流程 ..................................................................... 24 12.1 北京通应用预处理流程 .......................................................... 24 12.2 北京通应用处理流程 ............................................................ 26 13 安全机制 ........................................................................... 26 13.1 加密算法保护 .................................................................. 26 13.2 报文传输方式 .................................................................. 27 13.3 数字证书 ...................................................................... 27 附录 A（规范性附录）北京通应用命令集 ................................................. 28 A.1 命令报文 ....................................................................... 28 A.2 北京通应用命令 ................................................................. 29 A.3 相关行业命令见相关行业技术规范 ................................................. 57 附录 B（规范性附录）北京通应用安全计算 ............................................... 58 B.1 北京通应用的 SM1 算法 ........................................................... 58 B.2 安全报文传送的命令情况 ......................................................... 61 附录 C（规范性附录）北京通引用密钥分散流程 ........................................... 63 C.1 北京通密钥分散流程 ............................................. 错误！未定义书签。参考文献.............................................................................. 64 II DB11/T 1179-2015 前言本标准按照 GB/T 1.1-2009 给出的规则起草。本标准由北京市经济和信息化委员会提出并归口。本标准由北京市经济和信息化委员会组织实施。本标准起草单位：北京市经济和信息化委员会、北京中电华大电子设计有限责任公司、中国农业银行股份有限公司北京市分行、北京数字认证股份有限公司、北京市政交通一卡通公司、北京德鑫泉物联网科技股份有限公司、大唐微电子技术有限公司、太极计算机股份有限公司、北京华大智宝电子系统有限公司、中国软件与技术服务股份有限公司。本标准主要起草人：张伯旭、童腾飞、潘锋、沈丽普、高顺尉、韩鹏、李佳、葛晨、傅佳杰、李中元、闫晗、尹寒、张晓冬、焦华清、黄圆圆、陈跃、程智友。 III DB11/T 1179-2015 社会服务一卡通（北京通）卡片技术规范 1 范围本标准规定了社会服务一卡通（以下简称北京通）卡种类、卡介质、机电特性与通讯协议、应用构成、密钥管理、文件和数据规划、应用选择、北京通应用流程和安全机制等方面的内容。本标准适用于北京通卡的设计、制造、管理、发行和应用。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 2260 中华人民共和国行政区划代码 GB/T 2261.1 个人基本信息分类与代码第1部分：人的性别代码 GB/T 3304 中国各民族名称的罗马字母拼写法和代码 GB/T 7408 数据元和交换格式信息交换日期和时间表示法 GB 11643 公民身份号码 GB/T 14916 识别卡物理特性 GB/T 16649（所有部分）识别卡带触点的集成电路卡 GA 214.3 常住人口管理信息规范第3部分：居民身份证管理信息数据项 GA 461 居民身份证制证用数字相片技术要求 LD/T 32 （所有部分）社会保障卡规范 JR/T 0025（所有部分）中国金融集成电路（IC）卡规范 DB11/T 159（所有部分）市政交通一卡通技术规范 ISO/IEC 14443（所有部分）识别卡非接触式集成电路卡接近式卡 3 术语、定义和缩略语 3.1 术语和定义下列术语和定义适用于本文件。 3.1.1 北京通应用 Beijing tong application 北京通卡中与社保、金融、交通等应用并存，且有独立密钥控制的一个应用。 3.1.2 CPU 卡 central processing unit card 带有中央处理器（CPU）、存储单元以及芯片操作系统的集成电路卡。 1 DB11/T 1179-2015 3.1.3 芯片 chip 卡中用于完成数据处理和存储功能的集成电路器件。 3.1.4 芯片操作系统 chip operating system（COS） CPU 卡芯片中存储和可运行的，保护应用数据和程序的机密性和完整性、控制CPU 卡芯片与外界信息交换的嵌入式软件。 3.1.5 命令 command 终端向 IC 卡发出的一条信息，该信息启动一个操作或请求一个应答。 3.1.6 连接 concatenation 两个元素的连接是指将第二个元素附加到第一个元素的末尾。注：每个元素的字节在结果串中的排列顺序与其从 IC 卡发送到终端的顺序相同，即：高位字节先送。每个字节位按照从最高位到最低位的顺序排列。一组元素或对象可以通过最先两个相连的方式连接成一个新元素，即第一个与第二个相连，再与第三个相连，…，依次类推。 3.1.7 触点 contact 在集成电路卡和外部接口设备之间保持电流连续性的导电元件。 3.1.8 响应 response IC 卡处理完成收到的命令报文后，返回给终端的报文。 3.1.9 交易 transaction 持卡者和业务、管理部门之间根据卡所支持的应用接受、提供服务的行为。 3.1.10 功能 function 由一个或多个命令实现的处理过程，其操作结果用于完成全部或部分交易。 3.1.11 报文 message 由终端向卡或卡向终端发出的，不含传输控制字符的字节串。 3.1.12 报文鉴别代码 message authentication code 对交易数据及其相关参数进行运算后产生的、用于验证报文完整性的代码。 2 DB11/T 1179-2015 3.1.13 明文 plain text 没有加密的信息。 3.1.14 密文 cipher text 通过密码系统产生的不可理解的文字或信号。 3.1.15 密钥 key 控制加密转换操作的符号序列。 3.1.16 加密算法 cryptographic algorithm 为了隐藏或揭露信息内容而变换数据的算法。 3.1.17 对称加密技术 symmetric cryptographic technique 发送方和接收方使用相同保密密钥进行数据变换的加密技术。 3.1.18 非对称加密技术 asymmetric cryptographic technique 采用两种相关变换进行加密的技术，一种是公开变换（由公共密钥定义），另一种是私有变换（由私有密钥定义）。这两种变换具有以下属性，即私有变换不能通过给定的公开变换导出。 3.1.19 私有密钥 private key 一个实体的非对称密钥对中仅供实体自身使用的密钥，在数字签名模式中，私有密钥用于签名功能。 3.1.20 公共密钥 public key 一个实体的非对称密钥对中可以公开的密钥，在数字签名模式中，公共密钥用于验证功能。 3.1.21 保密密钥 secret key 对称加密技术中仅供指定实体所用的密钥。 3.1.22 数字签名 digital signature 3 DB11/T 1179-2015 对数据的一种非对称加密变换。该变换使数据接收方确认数据的来源和完整性，保护数据发送方发出和接收方收到的数据不被第三方篡改，也保护数据发送方发出的数据不被接收方篡改。 3.1.23 数字证书（或证书） digital certificate 由国家认可的，具有权威性、可信性和公正性的第三方证书认证机构（CA）进行数字签名的一个可信的数字化文件。数字证书包括公开密钥拥有者的信息、公开密钥、签名算法和CA的数字签名。 3.1.24 数据完整性 data integrity 数据不受未经许可的方法变更或破坏的属性。 3.1.25 T=0 协议 T=0 protocol 面向字符的异步半双工传输协议。 3.2 缩略语下列缩略语适用于本文件。 ADF（Application Definition File）应用数据文件 AID（Application Identifier）应用标识符 an（Alphanumeric）字母数字型 APDU（Application Protocol Data Unit）应用协议数据单元 ATQA（Answer To reQuest, Type A）Type A 的请求应答 ATR（Answer To Reset）复位应答 ATS（Answer To Select, Type A）Type A 的选择应答 B（Binary）二进制 CLA（Chip Card Payment Service）命令类别 cn（Compressednumeric）压缩数字 DDF（Directory Definition File）目录数据文件 DF（Dedicated File）专用文件 EF（Elementary File）基本文件 F（Frequency）频率 FCI（File Control Information）文件控制信息 FID（File Identifier）文件标识符 INS（Instruction Byte of Command Message）命令报文的指令字节 Lc（Exatct Length of Data Sent）终端发出的命令数据的实际长度 Le（Maximum Length of Data Expected）响应数据中的最大期望长度 MAC（Message Authentication Code）报文鉴别代码 MF（Mater File）主控文件 N（Numeric）数字型 NFC（Near Field Communication）近场通信 O（Optional）可选型 4 DB11/T 1179-2015 P1（Parameter 1）参数1 P2（Parameter 2）参数2 PIN（Personal Identification Number）个人密码 PPS（Protocol and Parameters Selection）协议和参数选择 RATS（Request for Answer To Select, Type A） Type A 的选择应答请求 REQA（REQuest command, Type A） Type A 的请求命令 SAM（Secure Access Module）安全存取模块 SAK（Select AcKnowledge, Type A） Type A 的选择确认 SW1（Status Word One）状态码1 SW2（Status Word Two）状态码2 SM1（SM1 Cryptographic Algorithm）国家密码管理局发布的密码分组标准对称算法 SM2（SM2 Cryptographic Algorithm）国家密码管理局发布的椭圆曲线公钥密码算法 SM3（SM3 Cryptographic Algorithm）国家密码管理局发布的密码杂凑算法 TLV（Tag Length Value）标签、长度、值 WUPA（Wake-UP command, Type A） Type A 的唤醒命令 4 卡种类 4.1 北京通社保卡 4.1.1 北京通社保卡包括北京通应用、社保应用、金融应用、交通应用、健康应用、自主应用等。 4.1.2 发放对象为在京缴纳社保的常住居民（含北京户籍人口和非北京户籍人口）。 4.2 北京通基本卡 4.2.1 北京通基本卡包括北京通应用、金融应用、交通应用、健康应用、自主应用等。 4.2.2 发放对象为在京未缴纳社保的常住居民（含北京户籍人口和非北京户籍人口）。 4.3 北京通临时卡 4.3.1 北京通临时卡包括北京通应用、交通应用、健康应用、自主应用等。 4.3.2 发放对象为临时来京人员。 5 北京通号 5.1 采用映射降位的办法，对 18 位身份证号码进行压缩，降位至 12 位数字。 5.2 无身份证号人员参照身份证号格式进行编码并压缩。 6 卡介质 6.1 芯片要求 a) b) c) 双界面、高性能、安全可控的CPU芯片；应用存储空间不低于80K；符合GB/T 16649关于芯片的要求； 5 DB11/T 1179-2015 d) e) f) g) h) 符合ISO/IEC 14443 TYPE A关于芯片的要求；符合JR/T 0025关于芯片的要求；符合DB11/T 159关于芯片的要求；符合LD/T 32关于芯片的要求；符合《居民健康卡技术规范》关于芯片的要求。 6.2 COS 要求 a) b) c) d) e) 符合JR/T 0025关于COS的要求；符合DB11/T 159关于COS的要求；符合LD/T 32关于COS的要求；符合《居民健康卡技术规范》关于COS的要求；符合《北京社会保障（个人）卡公钥密码应用规范》要求。 6.3 卡体材料应使用环保材料。 6.4 卡片外形规格卡片外形尺寸应符合 GB/T 14916 中对卡规格的规定。表1 标准卡片尺寸参数尺寸卡片宽度 L 85.60mm 85.47 mm -85.72 mm 卡片高度 W 53.98mm 53.92 mm -54.03 mm 卡片厚度 T 0.81mm ±0.03mm 倒角半径 R 3.18mm ±0.30mm 注：倒角是在圆柱型工件的末端加工出一个具有角度的边。图1 卡片外形 6.5 卡面规范 6.5.1 北京通社保卡面规范 6.5.1.1 卡 A 面要素及布局 6 公差 DB11/T 1179-2015 卡 A 面遵循 LD/T 32 的要求。卡 A 面应包括以下要素：国徽、卡名（中华人民共和国社会保障卡）。卡 A 面布局见图 2 和表 2。图2 北京通社保卡 A 面布局表2 北京通社保卡 A 面布局参数参数规格及要求公差国徽图案中华人民共和国国徽中心到卡的左边沿的距离 42.80mm ±0.25mm 上边沿到卡的下边沿的距离 46.00mm ±0.25 mm 下边沿到卡的下边沿的距离 27.00mm ±0.25 mm 中华人民共和国社会保障卡 “中华人民共和国”字样宋体 4 号 / 左边沿到卡的左边沿的距离 26.00mm ±0.25 mm 下边沿到卡的下边沿的距离 20.00mm ±0.25 mm “社会保障卡”字样隶书 2 号加粗 / 左边沿到卡的左边沿的距离 20.00mm ±0.25 mm 下边沿到卡的下边沿的距离 10.00mm ±0.25 mm 6.5.1.2 卡 B 面要素及布局 6.5.1.2.1 卡 B 面应包括以下要素：北京通标识区、金融标识、银行定义区、持卡人照片、持卡人个人信息区、接触式 IC 芯片、发卡单位信息区、二维码、功能标志区、制卡厂商代码区等。卡片指定区域可以包括地方人力资源社会保障自定义内容（照片右侧框区域）。 6.5.1.2.2 卡 B 面参考布局及各区域内容说明见图 3 和表 3。 7 DB11/T 1179-2015 图3 北京通社保卡 B 面布局表3 北京通社保卡 B 面布局参数参数规格及要求公差北京通标识区区域高度 5.00mm ±0.10mm 区域长度 56.00mm ±0.10mm 区域上边距离卡片上边沿 2.00mm ±0.30mm 区域左边距离卡片左边沿 4.00mm ±0.30mm 区域内容北京通标识、编码北京通编码宋体六号 12 位证件名称区区域高度 5.00mm ±0.10mm 区域长度 15.00mm ±0.10mm “证件名称”字体宋体六号 / “证件名称”左边沿到卡的左边沿的距离 45.00mm ±0.30mm “证件名称”上边沿到卡的上边沿的距离 2.00mm ±0.30mm “证件名称”内容残疾人证、老年人证和学生证等金融标识金融标识的高度 15.00mm ±0.30mm 金融标识的投影宽度 22.00mm ±0.30mm 金融标识图案与上、下边框间的距离 1.60mm ±0.15mm 金融标识右上端外框边沿垂直线与同侧卡片边沿间的距离 2.00mm ±0.30mm 金融标识上方水平外框边沿与同侧卡片边沿间的距离 2.00mm ±0.30mm 金融标识右上角、左下角的圆角半径 2.00mm ±0.30mm 20.00mm ±0.10mm 持卡人照片区 “照片”的宽度 8 DB11/T 1179-2015 表 3 (续) 参数规格及要求公差 “照片”的高度 25.00mm ±0.10mm “照片”左边沿到卡的左边沿的距离 4.00mm ±0.30mm “照片”上边沿到卡的上边沿的距离 11.00mm ±0.30mm 持卡人个人信息区持卡人信息内容姓名、社会保障号码、发证日期 “姓名”字体宋体六号 / “姓名”左边沿到卡的左边沿的距离 28.00mm ±0.30mm “姓名”上边沿到卡的上边沿的距离 14.50mm ±0.30mm “社会保障号码”字体宋体六号 / “社会保障号码”左边沿到卡的左边沿的距离 28.00mm ±0.30mm 宋体六号 / 发证日期二维码定义区内容大小不大于 80 字节内容信息使用须知、服务网站、服务电话、监督电话支持扫描进入服务网站或 APP 下载二维码宽度 12.3mm ±0.30mm 二维码高度 12.3mm ±0.30mm 码制发卡单位自行定义接触式 IC 芯片符合 GB/T 16649.2 中相关要求和规定触点的最小尺寸和芯片位置插卡方向箭头标识标识宽度 2.50mm ±0.10mm 标识高度 10.00mm ±0.10mm 标识右边距离卡片右边 2.00mm ±0.30mm 标识下边距离卡片下边 19.00mm ±0.30mm 区域长度 20.00mm ±0.10mm 区域高度 10.00mm ±0.10mm 区域右边到卡片的右边 21.00mm ±0.30mm 区域下边到卡片的下边 3.00mm ±0.30mm 区域左边到卡片的左边沿 3.00mm ±0.30mm 发卡单位信息区发卡单位信息内容发卡单位名称或印章发卡单位名称字体宋体五号印章的直径 12.00mm ±0.10mm 印章上边沿到卡片的上边沿的距离 37.00mm ±0.30mm 印章左边沿到卡的左边沿的距离 2.00mm ±0.30mm 区域长度 60.00mm ±0.10mm 区域高度 6.00mm ±0.10mm 银行定义区 9 DB11/T 1179-2015 表 3 (续) 参数规格及要求公差区域右边到卡片的右边 5.00mm ±0.30mm 区域下边到卡片的下边 7.00mm ±0.30mm 区域内容合作银行标识、银行卡号区域左边首位的中心距离卡片左边 15.5mm ±0.20mm 区域左边首位的中心距离卡片下边 12.5mm ±0.20mm 区域长度 15.00mm ±0.10mm 区域高度 4.00mm ±0.10mm “服务电话”下边沿到卡片下边沿 2.00mm ±0.30mm “服务电话”左边沿到卡片左边沿 2.00mm ±0.30mm 制卡厂商代码区宽度 15.00mm ±0.10mm 制卡厂商代码区高度 1.50mm ±0.10mm 区域右边距离卡片右边 2.00mm ±0.30mm 区域下边距离卡片下边 2.00mm ±0.30mm 功能标志区宽度 8.00mm ±0.30mm 功能标志区高度 4.00mm ±0.30mm 功能标志区内容功能标志服务电话信息制卡厂商代码区功能标志区 6.5.1.2.3 卡 B 面部分要素的表示形式见表 4。表4 北京通社保卡 B 面要素表示形式参数表示形式姓名使用汉字。当姓名长度超过 6 个汉字时，通过缩小字号或缩小字号并换行处理。社会保障号码符合 GB 11643 规定持卡人照片符合 GA 461 规定发卡单位印章发卡单位印章二维码完整 6.5.2 北京通基本卡面规范 6.5.2.1 卡 A 面要素及布局卡 A 面应包括北京通标识、 “北京市社会服务通”等内容，卡 A 面布局见图 4 和表 5。 10 DB11/T 1179-2015 图4 北京通基本卡 A 面布局表5 北京通基本卡 A 面布局参数参数规格及要求公差北京通标识图案天坛外形内嵌北京通字样 / 中心到卡的左边沿的距离 42.80mm ±0.25mm 上边沿到卡的下边沿的距离 46.00mm ±0.25 mm 下边沿到卡的下边沿的距离 27.00mm ±0.25 mm 北京市社会服务通 “北京市”字样宋体四号 / 左边沿到卡的左边沿的距离 36.00mm ±0.25 mm 下边沿到卡的下边沿的距离 20.00mm ±0.25 mm “社会服务通”字样隶书二号加粗 / 左边沿到卡的左边沿的距离 20.00mm ±0.25 mm 下边沿到卡的下边沿的距离 10.00mm ±0.25 mm 6.5.2.2 卡 B 面要素及布局 6.5.2.2.1 卡 B 面要素包括北京通标识区、证件名称区、金融标识、芯片区、二维码、照片、持卡人个人信息区、发卡单位标识区、服务电话区、银行定义区、功能标志区、制卡厂商代码区等。 6.5.2.2.2 卡 B 面参考布局及各区域内容说明见图 5 和表 6。 11 DB11/T 1179-2015 图5 北京通基本卡 B 面布局表6 北京通基本卡 B 面布局参数参数规格及要求公差区域高度 5.00mm ±0.10mm 区域长度 56.00mm ±0.10mm 区域上边距离卡片上边沿 2.00mm ±0.30mm 区域左边距离卡片左边沿 4.00mm ±0.30mm 区域内容北京通标识、编码北京通编码宋体六号 12 位北京通标识区证件名称区区域高度 5.00mm ±0.10mm 区域长度 15.00mm ±0.10mm “证件名称”字体宋体六号 / “证件名称”左边沿到卡的左边沿的距离 45.00mm ±0.30mm “证件名称”上边沿到卡的上边沿的距离 2.00mm ±0.30mm “证件名称”内容残疾人证、老年人证和学生证等金融标识金融标识的高度 15.00mm ±0.30mm 金融标识的投影宽度 22.00mm ±0.30mm 金融标识图案与上、下边框间的距离 1.60mm ±0.15mm 金融标识右上端外框边沿垂直线与同侧卡片边沿间的距离 2.00mm ±0.30mm 金融标识上方水平外框边沿与同侧卡片边沿间的距离 2.00mm ±0.30mm 金融标识右上角、左下角的圆角半径 2.00mm ±0.30mm “照片”的宽度 20.00mm ±0.10mm “照片”的高度 25.00mm ±0.10mm “照片”左边沿到卡的左边沿的距离 4.00mm ±0.30mm 持卡人照片区 12 DB11/T 1179-2015 表 6 (续) 参数规格及要求 “照片”上边沿到卡的上边沿的距离公差 ±0.30mm 11.00mm 持卡人个人信息区持卡人信息内容姓名、编号、发证日期 “姓名”字体宋体六号 / “姓名”左边沿到卡的左边沿的距离 28.00mm ±0.30mm “姓名”上边沿到卡的上边沿的距离 14.50mm ±0.30mm “编号”字体宋体六号 / “编号”左边沿到卡的左边沿的距离 28.00mm ±0.30mm 宋体六号 / 发证日期二维码定义区内容大小不大于 80 字节内容信息使用须知、服务网站、服务电话、监督电话支持扫描进入服务网站或 APP 下载二维码宽度 12.3mm ±0.30mm 二维码高度 12.3mm ±0.30mm 码制由发卡单位自行定义接触式 IC 芯片符合 GB/T 16649.2 中相关要求和规定触点的最小尺寸和芯片位置插卡方向箭头标识标识宽度 2.50mm ±0.10mm 标识高度 10.00mm ±0.10mm 标识右边距离卡片右边 2.00mm ±0.30mm 标识下边距离卡片下边 19.00mm ±0.30mm 区域长度 20.00mm ±0.10mm 区域高度 10.00mm ±0.10mm 区域右边到卡片的右边 21.00mm ±0.30mm 区域下边到卡片的下边 3.00mm ±0.30mm 区域左边到卡片的左边沿 3.00mm ±0.30mm 发卡单位信息区发卡单位信息内容发卡单位名称或印章发卡单位名称字体宋体五号印章的直径 12.00mm ±0.10mm 印章上边沿到卡片的上边沿的距离 37.00mm ±0.30mm 印章左边沿到卡的左边沿的距离 2.00mm ±0.30mm 区域长度 60.00mm ±0.10mm 区域高度 6.00mm ±0.10mm 区域右边到卡片的右边 5.00mm ±0.30mm 区域下边到卡片的下边 7.00mm ±0.30mm 银行定义区 13 DB11/T 1179-2015 表 6 (续) 参数规格及要求区域内容合作银行标识、银行卡号区域左边首位的中心距离卡片左边 15.5mm ±0.20mm 区域左边首位的中心距离卡片下边 12.5mm ±0.20mm 区域长度 15.00mm ±0.10mm 区域高度 4.00mm ±0.10mm “服务电话”下边沿到卡片下边沿 2.00mm ±0.30mm “服务电话”左边沿到卡片左边沿 2.00mm ±0.30mm 制卡厂商代码区宽度 15.00mm ±0.10mm 制卡厂商代码区高度 1.50mm ±0.10mm 区域右边距离卡片右边 2.00mm ±0.30mm 区域下边距离卡片下边 2.00mm ±0.30mm 功能标志区宽度 8.00mm ±0.30mm 功能标志区高度 4.00mm ±0.30mm 功能标志区内容功能标志服务电话信息制卡厂商代码区功能标志区 6.5.2.2.3 卡 B 面要素的表示形式见表 7。表7 北京通基本卡 B 面要素表示形式参数表示形式姓名使用汉字。当姓名长度超过 6 个汉字时，通过缩小字号或缩小字号并换行处理。编号符合 GB 11643 规定持卡人照片符合 GA 461 规定二维码完整 6.5.3 北京通临时卡卡面规范 6.5.3.1 卡 A 面要素及布局卡 A 面应包括以下要素：北京通标识、“北京市社会服务通”。卡 A 面布局见图 6 和表 8。 14 DB11/T 1179-2015 图6 卡 A 面布局表8 卡 A 面布局参数参数规格及要求公差北京通标识图案天坛外形内嵌”北京通”字样 / 中心到卡的左边沿的距离 42.80mm ±0.25mm 上边沿到卡的下边沿的距离 46.00mm ±0.25 mm 下边沿到卡的下边沿的距离 27.00mm ±0.25 mm 北京市社会服务通 “北京市”字样宋体四号 / 左边沿到卡的左边沿的距离 36.00mm ±0.25 mm 下边沿到卡的下边沿的距离 20.00mm ±0.25 mm “社会服务通”字样隶书二号加粗 / 左边沿到卡的左边沿的距离 20.00mm ±0.25 mm 下边沿到卡的下边沿的距离 10.00mm ±0.25 mm 6.5.3.2 卡 B 面要素及布局 6.5.3.2.1 卡 B 面要素包括北京通标识区、芯片、二维码、持卡人信息区、发卡单位信息区、服务电话区等。 6.5.3.2.2 卡 B 面参考布局见图 7 和表 9。 15 DB11/T 1179-2015 图7 卡 B 面布局表9 卡 B 面布局参数参数规格及要求公差北京通标识区区域高度 5.00mm ±0.10mm 区域长度 56.00mm ±0.10mm 区域上边距离卡片上边沿 2.00mm ±0.30mm 区域左边距离卡片左边沿 4.00mm ±0.30mm 区域内容北京通标识、编码北京通编码宋体六号 12 位持卡人个人信息区持卡人信息内容姓名、编号、发证日期 “姓名”字体宋体六号 / “姓名”左边沿到卡的左边沿的距离 28.00mm ±0.30mm “姓名”上边沿到卡的上边沿的距离 14.50mm ±0.30mm “编号”字体宋体六号 / “编号”左边沿到卡的左边沿的距离 28.00mm ±0.30mm 宋体六号 / 发证日期接触式 IC 芯片符合 GB/T 16649.2 中相关要求和规定触点的最小尺寸和芯片位置二维码定义区内容大小不大于 80 字节内容信息使用须知、服务网站、服务电话、监督电话支持扫描进入服务网站或 APP 下载二维码宽度 12.3mm ±0.30mm 二维码高度 12.3mm ±0.30mm 码制 16 由发卡单位自行定义 DB11/T 1179-2015 表 9 （续）参数规格及要求公差发卡单位信息区区域长度 20.00mm ±0.10mm 区域高度 10.00mm ±0.10mm 区域右边到卡片的右边 21.00mm ±0.30mm 区域下边到卡片的下边 3.00mm ±0.30mm 区域左边到卡片的左边沿 3.00mm ±0.30mm 发卡单位信息内容发卡单位名称或印章印章的直径 12.00mm ±0.10mm 印章上边沿到卡片的上边沿的距离 37.00mm ±0.30mm 印章左边沿到卡的左边沿的距离 2.00mm ±0.30mm 区域长度 15.00mm ±0.10mm 区域高度 4.00mm ±0.10mm “服务电话”下边沿到卡片下边沿 2.00mm ±0.30mm “服务电话”左边沿到卡片左边沿 2.00mm ±0.30mm 服务电话区 6.5.3.2.3 卡 B 面要素的表示形式见表 10。表10 北京通临时卡 B 面要素表示形式参数表示形式姓名使用汉字。当姓名长度超过 6 个汉字时，通过缩小字号或缩小字号并换行处理。编号符合 GB 11643 规定持卡人照片符合 GA 461 规定二维码完整 7 机电特性与通讯协议 7.1 机电特性北京通卡的机电特性（包括 IC 卡的物理特性和电气特性）应符合 GB/T 16649 系列标准、ISO/IEC 14443 系列标准的相关要求。 7.2 通讯协议和复位应答 7.2.1 接触接口 7.2.1.1 通讯协议符合 T=0 通讯协议。 7.2.1.2 复位应答（ATR） 7.2.1.2.1 在终端发出复位信号后，IC 卡以一串字节作为应答。这些传输到终端的字节规定了卡和终端之间即将建立的通信的特征。 7.2.1.2.2 北京通卡应支持 PPS 协商高速通讯。 7.2.1.2.3 北京通卡加载北京市社会保障卡应用时，卡片的复位应答（ATR）信息如下： 17 DB11/T 1179-2015 3B 7x（'0'~'F'） FiDi 00 00 历史字节（0~15 字节）其中 FiDi 符合北京市社会保障卡技术要求设定。其中历史字节定义： 2 字节芯片商注册标识号 3 字节 2 字节 6 字节 COS 名称和版本卡制造商注册标识号唯一序列号 7.2.2 非接触接口 7.2.2.1 通讯协议 7.2.2.1.1 7.2.2.1.2 7.2.2.1.3 符合 ISO/IEC 14443 TYPE A 通讯协议。 NFC 通讯协议兼容 ISO/IEC 14443 TYPE A 通讯协议。使用 NFC 手机终端与卡片进行数据交换，可以读取卡片信息。 7.2.2.2 复位应答（ATS） 7.2.2.2.1 IC 卡上电检测到处于非接触通讯方式后，等待接收 REQA 或 WUPA 命令，如果接收到 REQA 或 WUPA 命令，则 IC 卡返回 ATQA。 7.2.2.2.2 接收到 ATQA 后，读卡器发出防冲突和选卡指令，当 IC 卡被选中时，IC 卡返回 SAK；读卡器接收到 SAK 后，如果 IC 卡支持 ISO/IEC 14443，则读卡器发送 RATS 命令给 IC 卡，IC 卡接收到 RATS 命令后，返回一个 ATS。 7.2.2.2.3 北京通卡加载居民健康卡应用时，卡片的复位应答（ATS）信息如下： XX(‘05’~‘14’) ‘78’ TA1 TB1 ‘02’ 历史字节（0~15 字节）其中，历史字节定义： 2 字节芯片商注册标识号 7.2.2.2.4 定。 2 字节 4 字节卡片制造商注册标识唯一序列号如卡片加载北京市政交通一卡通应用，则 ATQA 值应符合 DB11/T 159 的规 8 应用构成 8.1 北京通社保卡 8.1.1 北京通社保卡应用北京通社保卡应用包括北京通应用、社保应用、金融应用、交通应用、健康应用、自主应用六个应用。 8.1.2 基本信息基本信息包含个人信息、照片数据等内容。 8.1.3 证书应用证书应用可由市民可自主选择加载。 8.1.4 北京通社保卡空间分配 8.1.5 18 DB11/T 1179-2015 表11 应用区北京通社保卡空间分配表通讯方式应用数据空间规划内容基本信息 1（218 字节）基本信息接触/非接触 3.5K 基本信息 2（217 字节）照片数据（3K 字节）北京通应用接触/非接触 3K 遵循本标准 10.7 的要求社保应用接触 16K 遵循 LD/T 32 要求金融应用接触/非接触 8K~16K 遵循 JR/T 025 要求交通应用非接触 8K 遵循 DB11/T 159 要求健康应用非接触 32K 遵循《居民健康卡技术规范》要求自主应用接触/非接触 3K 遵循本标准 10.8 的要求，满足社区、街道等应用证书接触/非接触 5K 遵循本标准 13.3 的要求 8.2 北京通基本卡 8.2.1 北京通基本卡应用北京通基本卡包括北京通应用、金融应用、交通应用、健康应用、自主应用五个应用。 8.2.2 基本信息基本信息包含个人信息、照片数据等内容。 8.2.3 证书应用证书应用可由市民自主选择加载。 8.2.4 北京通基本卡空间分配表12 应用区通讯方式北京通基本卡空间分配表应用数据空间规划内容基本信息 1（218 字节）基本信息接触/非接触 3.5K 基本信息 2（217 字节）照片数据（3K 字节）北京通应用接触/非接触 3K 遵循本标准 10.7 的要求金融应用接触/非接触 8K~16K 遵循 JR/T 025 要求交通应用非接触 8K 遵循 DB11/T 159 要求健康应用非接触 32K 遵循《居民健康卡技术规范》要求自主应用接触/非接触 3K 遵循本标准 10.8 的要求证书接触/非接触 5K 遵循本标准 13.3 的要求 8.3 北京通临时卡 8.3.1 北京通临时卡应用北京通临时卡包括北京通应用、交通应用、健康应用、自主应用四个应用。。 8.3.2 基本信息 19 DB11/T 1179-2015 基本信息包含个人信息、照片数据等内容。 8.3.3 证书应用证书应用可由市民自主选择加载。 8.3.4 北京通临时卡空间分配表13 应用区北京通临时卡空间分配表通讯方式应用数据空间规划内容基本信息 1（218 字节）基本信息接触/非接触 3.5K 基本信息 2（217 字节）照片数据（3K 字节）北京通应用接触/非接触 3K 遵循本标准 10.7 的要求交通应用非接触 8K 遵循 DB11/T 159 要求健康应用非接触 32K 遵循《居民健康卡技术规范》要求自主应用接触/非接触 3K 遵循本标准 10.8 的要求证书接触/非接触 5K 遵循本标准 13.3 的要求 9 密钥管理 9.1 主管理密钥 9.1.1 主管理密钥由主发卡机构管理并生成。 9.1.2 主管理密钥负责创建应用区。 9.2 密钥管理应用构成表14 密钥管理应用构成应用区密钥管理系统基本信息区北京通密钥管理系统北京通应用北京通密钥管理系统社保应用北京社保卡密钥管理系统金融应用银行卡密钥管理系统交通应用北京一卡通密钥管理系统健康应用健康卡密钥管理系统自主应用可设置密钥控制 9.3 北京通应用密钥管理 9.3.1 密钥生成 9.3.1.1 密钥的生成方式密钥采用集中方式生成，由北京通密钥管理系统负责生成相应的主密钥组，其他密钥由该组主密钥分散生成。密钥生成的方式为可重复的密钥生成方式，即采用密钥变换、衍生的生成方式，在需要的情况下，能够重新得到与原来相同的密钥值。 20 DB11/T 1179-2015 9.3.1.2 密钥生成的安全技术可重复生成的密钥采用密钥变换或密钥衍生的办法生成，确保密钥变换或密钥衍生的过程安全。 9.3.2 密钥的发行密钥的发行采用梯级生成、下发。由上一级生成下一级所需的各种子密钥，并以指定形式传递给下一级。 9.3.3 密钥的管理 9.3.3.1 所有涉及到读取或修改卡中敏感数据的交易，应使用加密密钥保证应用的安全性。应用密钥的管理由发卡方负责，见图 15。表15 分类用于卡片合法性验证及基本信息管理的应用密钥密钥鉴别密钥用途适用的应用范围 IRK 鉴别发卡方的密钥基本信息应用应用数据更新密 UK 钥发卡方或应用提供方控制应用数据基本信息文件 1、基本信息文更新操作的密钥件 2、照片信息文件应用数据读取密 RK 钥发卡方或应用提供方控制部分应用基本信息文件 2 数据读取操作的密钥 9.3.3.2 北京通应用密钥分散流程见附录 C。 9.4 密钥管理系统各应用密钥管理，遵循各应用管理机构的密钥管理系统要求。 10 文件和数据规划 10.1 基本信息 10.1.1 基本信息文件结构说明表16 应用区基本信息文件标识基本信息文件结构说明文件内容文件结构读控制写控制 ‘EF05’ 基本信息文件 1 变长无 UK ‘EF06’ 基本信息文件 2 变长 RK UK ‘EF07’ 照片信息文件透明无 UK 10.1.2 数据结构与信息基本信息区： a) EF05 基本信息文件 1，见表 17：表17 文件标识符 ‘EF05’ 标志 ‘01’ SFI ‘05’ EF05 基本信息文件 1 读控制无数据项姓名写控制 UK 文件结构变长记录类型长度 an ‘1E’ 21 DB11/T 1179-2015 表 17 （续） ‘EF05’ 文件标识符 ‘05’ SFI 读控制无写控制 UK 文件结构变长记录 ‘02’ 性别 an ‘01’ ‘03’ 北京通号 an ‘0C’ ‘04’ 北京通卡的类别 cn ‘01’ ‘05’ 证件名称 an ‘20’ ‘06’ 发卡机构 an ‘20’ ‘07’ 免责声明 an ‘3F’ ‘08’ 服务电话以及网站 an ‘2F’ 姓名：持卡人的姓名应使用全国通用文字，本规范规定卡内存储的姓名用汉字表达； 2) 性别：性别分为未知的性别、男性、女性和未说明的性别等四类。持卡人性别用一个字符的阿拉伯数字代码表示，其表示方法应符合 GB/T 2261.1 的规定； 3) 北京通号：依照本规范第 5 章节规定； 4) 北京通卡的类别:包括北京通社保卡‘01’、北京通基本卡‘02’、北京通临时卡 ‘03’； 5) 证件名称：证件名称是指此类卡片具有的证件类型，包含残疾人证、学生证、老年人证等内容。可存储多个证件类型，卡内存储的第一个证件类型与卡面证件信息区的内容一致； 6) 发卡机构：发卡机构是指卡片的主发行机构名称； 7) 免责声明：免责声明与卡面上的二维码中的免责声明内容一致； 8) 服务电话及网站：服务电话及网站与卡面上的二维码服务电话及网站内容一致。 EF06 基本信息文件 2，见表 18： 1) b) 表18 文件标识符 ‘EF06’ SFI 标志 ‘06’ EF06 基本信息文件 2 读控制数据项 RK 写控制 UK 文件结构变长记录类型长度 ‘0A’ 民族 cn ‘01’ ‘0B’ 出生日期 cn ‘04’ ‘0C’ 公民身份证号码 an ‘12’ ‘0D’ 固定电话 an ‘0F’ ‘0E’ 移动电话 an ‘0F’ ‘0F’ 居住地 an ‘50’ ‘10’ 户籍地址 an ‘50’ ‘11’ 制卡时间 cn ‘04’ 1) 2) 3) 22 民族：采用国家认定的民族名称来记录持卡人的民族信息。本规范规定民族名称用二个字符的阿拉伯数字代码表示，其表示方法应符合 GB/T 3304 的规定；出生日期：出生日期采用公历日期，其表示方法应符合 GB/T 7408 的规定；公民身份号码：公民身份号码是由公安机关对具有中华人民共和国国籍的公民给出的一个唯一的、终身不变的法定号码。公民身份号码的结构和表示形式应符合 GB 11643 的规定； DB11/T 1179-2015 固定电话：能与持卡人保持联系的电话号码；移动电话：能与持卡人保持联系的电话号码；居住地：持卡人现居住地址。居住地址可以是常住户口地址，也可以是常住户口以外的地址，表示方法应符合 GB /T 2260 的规定； 7) 户籍地址：常住户口所在地地址是指户口所在地的详细地址。常住户口所在地由中华人民共和国行政区划名称、街道（乡、镇）和街、路、巷、村等名称以及门牌号码及居室号码构成。行政区划名称应符合 GB/T 2260 的规定； 8) 制卡时间：卡生成的年和月，按照年/月的格式。 EF07 照片信息文件，见表 19： 4) 5) 6) c) 表19 文件标识符 ‘EF07’ SFI 标志 -- ‘07’ EF07 照片信息文件读控制无写控制 UK 数据项文件结构透明类型长度 B ‘C00’ 照片数据其中，照片数据的存储持卡人照片信息，符合 GA 214.3 规定。注：本章中所定义的所有应用数据的标志、长度都以十六进制值表示。 10.2 社保应用社保应用文件结构与数据信息，应符合《北京市社会保障卡结构说明》定义。 10.3 金融应用金融应用文件结构与数据信息，应符合 JR/T 0025 规范定义。 10.4 健康应用健康应用文件结构与数据信息，应符合《居民健康卡技术规范》定义。 10.5 交通应用交通应用文件结构与数据信息，应符合 DB11/T 159 规范定义。 10.6 证书应用证书应用文件结构与数据信息，预留 5K 空间备用。 10.7 北京通应用北京通应用文件结构与数据信息，预留 3K 空间备用。 10.8 自主应用预留 3K 空间备用。 11 应用选择 11.1 应用标识符北京通应用标识符（AID）定义为：D15600001600。AID 的结构应符合 GB/T 16649.5 的规定，包含两个部分： a) 一个经过注册的应用提供者标识符（长度为 5 字节），它唯一标识应用提供者； 23 DB11/T 1179-2015 b) 一个可选的专用应用标识符扩展码（PIX）域，最长 11 字节，由应用提供者定义。 11.2 终端的应用选择表20 应用通讯方式终端应用选择方式应用选择方式 AID FID ‘1102’ 备注北京通应用接触 /非接触 AID ‘D15600001600’ 社保应用接触 AID ‘7378312E73682EC9E7BBE1B1A3 D5CF’ “ Sxl.sh. 社会保障” 金融应用接触 /非接触 AID ‘315041592E5359532E4444463031’ ‘325041592E5359532E4444463031’ “ 1PAY.SYS.D DF01” “ 2PAY.SYS.D DF01” 居民健康应用非接触 AID ‘57532E5359532E4444463031’ “ WS.SYS.DD F01” 交通应用非接触 FID 基本信息接触 /非接触 AID ‘D15600001601’ 1101 自主应用接触 /非接触 AID ‘D15600001609’ 1103 证书应用接触 /非接触 AID ‘D15600001605’ 1104 3F00 注：自主应用应用选择方式可由应用提供方自行定义，AID 为 ASCII 码。 12 北京通应用流程 12.1 北京通应用预处理流程 24 DB11/T 1179-2015 图8 应用预处理流程图 12.1.1 建立通信通道终端按照 GB/T 16649 或者 ISO/IEC 14443 TYPE A 的通信协议方式与进入场内的”北京通卡建立通信通道。 12.1.2 卡有效性检查及持卡人身份认证检查及认证过程如下： ——首先使用 SELECT 命令通过 AID 选择基本信息区； ——然后使用 IRK 对发卡方进行验证，步骤如下： a) 终端产生 1 个 8 字节的随机数，作为“INTERNAL AUTHENTICATION”命令的数据域；注：随机数用于产生鉴别数据。 b) 终端发送“INTERNAL AUTHENTICATION”命令，卡将计算鉴别数据并回送； c) 终端在收到鉴别数据后，进行比较验证。 ——如果验证不通过，则退出预处理流程；如果验证通过，则用“READ RECORD”命令读取基本信息数据，终端将对这些数据进行以下检查： d) 该卡是否在终端存储的黑名单卡之列（使用北京通号）； e) 终端是否支持从 IC 卡回送的北京通卡的类别所代表的卡类型； f) 卡是否在有效期内。 ——如果以上任一条件不满足，将进行错误处理；否则，终端继续执行后续步骤。 12.1.3 错误处理终端对交易预处理出错的处理方法不属于本标准的范围。 25 DB11/T 1179-2015 12.1.4 应用选择使用 SELECT 命令通过 AID 对北京通应用进行选择。 12.2 北京通应用处理流程 12.2.1 查询应用信息 12.2.1.1 持卡人或业务管理部门的操作员通过查询应用信息获得卡中想了解的或与办理具体事务相关的信息。 12.2.1.2 该交易对终端是否联机无要求，对应用信息的读取操作仅受终端中 SAM 卡的控制。 12.2.2 更新应用信息 12.2.2.1 业务管理部门的操作员通过更新应用信息在卡中记录持卡人办理具体事务时产生变动的相关信息。 12.2.2.2 该交易对终端是否联机无要求，对应用信息的更新操作仅受终端中 SAM 卡的控制。 12.2.2.3 北京通应用相关指令见附录 A。 13 安全机制 13.1 基本安全要求 13.1.1 共存应用：为了独立地管理一张卡上不同应用间的安全问题，每一个应用单独存放。即在应用之间设计一道“防火墙”，防止跨应用进行非法访问。每—个应用不应与个人化要求和卡中共存的其他应用规则发生冲突； 13.1.2 密钥的独立性：用于一种特定功能（如：读取数据）的加密/解密密钥不能被任何其他功能所使用，包括保存在 IC 卡中的密钥和用来产生、派生、传输这些密钥的密钥； 13.1.3 如果应用要求使用 SAM，其对终端、发卡方和私有 SAM 的安全要求参阅各行业 SAM 模块规范。 13.1.4 密钥和个人密码存放：在没有授权的情况下，选定的加密/解密算法的非对称私有密钥或对称加密密钥和个人密码都不应被泄露出来。 13.1.5 北京通应用采用的安全计算方法见附录 B。 13.2 加密算法保护 13.2.1 北京通应用、基本信息区应用等使用 SM1 算法进行保护。 13.2.2 社保应用算法遵循《北京社会保障卡结构说明》、《北京社会保障（个人）卡公钥密码应用规范》要求。 13.2.3 金融应用算法遵循 JR/T 0025 要求。 13.2.4 健康应用算法参照《居民健康卡技术标准》要求。 13.2.5 交通应用算法遵循 DB11/T 159 要求。 13.2.6 证书应用使用 SM2、SM3 算法保护。 26 DB11/T 1179-2015 13.3 报文传输方式 13.3.1 明文模式如果对数据传输的安全性、完整性以及对发送方的认证都没有要求，可采用明文模式。 13.3.2 加密模式如果侧重于数据在传输中的安全性，可以采用加密模式。 13.3.3 校验模式如果侧重于数据在传输中的完整性和对数据发送方进行认证，可采用校验模式。 13.3.4 加密校验模式如果既要求数据在传输中的安全性又要求数据在传输中的完整性和对数据发送方进行认证，可以采用加密校验模式。 13.4 数字证书 13.4.1 数字证书包括加密证书和签名证书两张证书，用于为持卡人提供身份验证功能和数字签名功能，该两张证书应安全存储在 IC 卡证书应用区内。 13.4.2 数字证书采用 SM2、SM3 等算法，并由具有资质的第三方 CA 认证机构进行签发并提供数字证书生命周期的管理。 27 DB11/T 1179-2015 附录A （规范性附录）北京通应用命令集 A.1 命令报文 A.1.1 命令 APDU 格式表A.1 CLA INS 命令 APDU 格式 P1 P2 Lc ←必备头→ Data Le ←条件体→ 命令 APDU 中发送的数据字节数用 Lc 表示。响应 APDU 中期望返回的数据字节数用 Le 表示。当 Le 存在且值为 0 时，表示需要最大字节数(256 字节)。命令 APDU 报文的内容见：表A.2 代码 A.1.2 命令 APDU 的内容描述长度 CLA 命令类别 1 INS 指令代码 1 P1 指令参数 1 1 P2 指令参数 2 1 Lc 命令数据域中存在的字节数 0或1 Data 命令发送的数据字节串(=Lc) 可变 Le 响应数据域中期望的最大数据字节数 0或1 响应 APDU 格式响应 APDU 格式由一个变长的条件体和后随两字节长的必备尾组成：表A.3 响应 APDU 格式 Data SW1 ←条件体→ 表A.4 代码 28 SW2 ←尾→ 响应 APDU 的结构描述长度 Data 响应中接收的数据字节串(=Lr) 变长 SW1 命令处理状态 1 SW2 命令处理限定 1 DB11/T 1179-2015 表A.5 序号 APDU 命令汇总表命令 CLA INS 1 APPEND RECORD 00 E2 2 CARD BLOCK 84 16 3 EXTERNAL AUTHENTICATION 00 82 4 GET CHALLENGE 00 84 5 GET RESPONSE 00 C0 6 INTERNAL AUTHENTICATION 00 88 7 READ BINARY 00 B0 8 READ RECORD 00 B2 9 SELECT FILE 00 A4 10 UPDATE BINARY 00 D6 11 UPDATE RECORD 00 DC 12 COMPUTE SIGNATURE 80 36 13 VERIFY SIGNATURE 80 38 14 PKI ENCIPHER 80 30 15 PKI DECIPHER 80 32 16 GENERATE ENVELOP 80 3A 17 OPEN ENVELOP 80 3C 18 CIPHER DATA 80 3E 19 HASH OPERATION 80 34 20 SM2 KEY EXCHANGE 80 4C 21 SM2 GETZA 80 4E 22 GENERATE KEY PAIR 80 46 23 GET PUBLIC KEY 80 48 24 STORE PKI KEY 80 4A A.2 北京通应用命令 A.2.1 APPEND RECORD 命令 A.2.1.1 定义和范围 APPEND RECORD 命令用于向记录文件中追加新的记录。对于循环记录文件，可以无限循环追加记录；对于线性记录文件，追加的记录只能追加到文件尾。 A.2.1.2 命令报文 29 DB11/T 1179-2015 表A.6 命令代码及数值代码数值 CLA ‘00’ INS ‘E2’ P1 ‘00’ P2 b8 b7 b6 b5 b4 b3 b2 b1 说 0 0 0 0 0 0 0 0 当前的 EF 文件 X x x x X 0 0 0 用 SFI 方式 Lc 后续数据域的长度 DATA 向记录文件中追加的新记录 Le 不存在 A.2.1.3 命令报文数据域命令报文数据域为向记录文件中追加的新记录。 A.2.1.4 响应报文数据域响应报文数据域不存在。 A.2.1.5 响应报文状态码表A.7 SW1 响应信息中可能的状态码说 SW2 90 00 命令执行成功 65 81 写 EEPROM 失败 67 00 Lc 长度错误 69 81 当前文件不是记录文件 69 82 不满足安全状态 69 83 认证密钥锁定 69 84 引用数据无效 69 85 使用条件不满足 69 86 没有选择当前文件 69 88 安全信息数据错误 6A 81 功能不支持 6A 82 未找到文件 6A 84 记录空间已满 6A 85 Lc 与 TLV 结构不匹配 6A 86 P1、P2 参数错 6A 88 未找到密钥数据 6D 00 命令不存在 6E 00 CLA 错 93 03 应用永久锁定 A.2.2 CARD BLOCK 命令 A.2.2.1 定义和范围 CARD BLOCK命令使北京通应用区永久失效。 30 明明 DB11/T 1179-2015 当CARD BLOCK命令成功地完成后，在北京通应用区内所有后续的命令都将回送状态字 “不支持此功能”(SW1 SW2=’6A81’)，且不执行任何其他操作。命令报文 A.2.2.2 表A.8 命令代码代码数 CLA ‘84’ INS ‘16’ P1 ‘00’ P2 ‘00’ Lc ‘04’ DATA 报文鉴别码（MAC） Le 不存在值 A.2.2.3 命令报文数据域命令报文数据域包括报文鉴别码(MAC) 数据元。 A.2.2.4 响应报文数据域响应报文数据域不存在。 A.2.2.5 响应报文状态字表A.9 响应信息中可能的状态码含义 SW1 SW2 90 00 命令执行成功 65 81 写 EEPROM 失败 67 00 Lc 长度错误 69 83 认证密钥锁定 69 85 使用条件不满足 69 88 安全报文数据项不正确 6A 86 P1,P2 参数错 6D 00 命令不存在 6E 00 CLA 错 A.2.3 EXTERNAL AUTHENTICATE 命令 A.2.3.1 定义和范围 EXTERNAL AUTHENTICATE 命令要求 IC 卡中的应用验证接口设备的有效性，以使接口设备获得某种授权。 A.2.3.2 命令报文表A.10 代码命令代码数值 CLA ‘00’ INS ‘82’ 31 DB11/T 1179-2015 表 A.10 （续）代码数值 P1 ‘00’ P2 b8 b7 b6 b5 b4 b3 b2 b1 说 0 - - - - - - - 全局参考参数 1 - - - - - - - 局部参考参数 - x x x x x x x 密钥标识 0 0 0 0 0 0 0 0 当前 DF 下的 MK Lc ‘08’ DATA 鉴别数据（8 字节） Le 不存在 A.2.3.3 明命令报文数据域 8字节鉴别数据。 A.2.3.4 响应报文数据域响应报文数据域不存在。 A.2.3.5 响应报文状态码表A.11 SW1 响应信息中可能的状态码说明 SW2 90 00 命令执行成功 63 Cx 认证失败，还可认证 x 次 65 81 写 EEPROM 失败 67 00 Lc 长度错误 69 82 不满足安全状态 69 83 认证密钥锁定 69 84 引用数据无效 69 85 使用条件不满足 6A 81 功能不支持 6A 86 P1、P2 参数错 6A 88 未找到密钥数据 6D 00 命令不存在 6E 00 CLA 错 93 03 应用永久锁定 A.2.4 GET CHALLENGE 命令 A.2.4.1 定义和范围 GET CHALLENGE 命令从卡中读取与安全相关的随机数，用于接着的安全相关过程。 A.2.4.2 32 命令报文 DB11/T 1179-2015 表A.12 代码数值 CLA ‘00’ INS ‘84’ P1 ‘00’ P2 ‘00’ Lc 不存在 DATA 不存在 Le ‘04’或‘08’ 或‘10’ A.2.4.3 命令代码命令报文数据域命令报文数据域不存在。 A.2.4.4 响应报文数据域响应报文数据域包括随机数，长度为4字节或8字节或16字节。 A.2.4.5 响应报文状态码表A.13 SW1 响应信息中可能的状态码说明 SW2 90 00 命令执行成功 67 00 Lc 长度错误 6A 81 功能不支持 6A 86 P1、P2 参数错 6D 00 命令不存在 6E 00 CLA 错 A.2.5 GET RESPONSE 命令 A.2.5.1 定义和范围当 APDU 不能用现有协议传输时，GET RESPONSE 命令提供了一种从卡片向接口设备传送 APDU(或 APDU 的一部分)的传输方法。 A.2.5.2 命令报文表A.14 代码命令代码数值 CLA ‘00’ INS ‘C0’ P1 ‘00’ P2 ‘00’ Lc 不存在 DATA 不存在 Le 响应的最大数据长度 33 DB11/T 1179-2015 A.2.5.3 命令报文数据域命令报文数据域不存在。 A.2.5.4 响应报文数据域响应报文数据域的长度由 Le 的值决定。如果 Le 的值为零，在附加数据有效时，卡片应回送状态码’6CXX’，否则回送状态码’6F00’。 A.2.5.5 响应报文状态码响应报文数据域的长度由 Le 的值决定。如果 Le 的值为零，在附加数据有效时，卡片应回送状态码’6CXX’，否则回送状态码’6F00’。表A.15 SW1 响应信息中可能的状态码说明 SW2 90 00 命令执行成功 61 xx 还有 xx 字节需要返回 67 00 Le 长度错误 6A 86 P1、P2 参数错 6C xx 长度错误，‘xx’表示实际长度 6D 00 命令不存在 6E 00 CLA 错 6F 00 数据无效 A.2.6 INTERNAL AUTHENTICATE 命令 A.2.6.1 定义和范围 INTERNAL AUTHENTICATION 命令提供了利用接口设备发来的随机数和自身存储的相关密钥进行数据认证的功能。 A.2.6.2 命令报文表A.16 代码数值 CLA ‘00’ INS ‘88’ P1 ‘00’ P2 ‘00’ Lc ‘08’ DATA 鉴别数据输入因子（8 字节） Le ‘08’鉴别数据 A.2.6.3 命令代码命令报文数据域命令报文数据域为8字节鉴别数据输入因子。 34 DB11/T 1179-2015 A.2.6.4 响应报文数据域响应报文数据域内容是相关鉴别数据。 A.2.6.5 响应报文状态码表A.17 响应信息中的数据说明长度（字节）鉴别数据 8 表A.18 SW1 响应信息中可能的状态码说 SW2 90 00 命令执行成功 67 00 Lc 长度错误 69 82 不满足安全状态 69 85 使用条件不满足 6A 81 功能不支持 6A 86 P1、P2 参数错 6A 88 未找到密钥数据 6D 00 命令不存在 6E 00 CLA 错 93 03 应用永久锁定 A.2.7 READ BINARY 命令 A.2.7.1 定义和范围明 READ BINARY 命令用于读出透明文件的内容。 A.2.7.2 命令报文表A.19 命令代码代码数值 CLA ‘00’ INS ‘B0’ P1 b8 b7 b6 b5 b4 b3 b2 b1 说明 0 x x x x x x x 当前 EF 文件偏移地址高字节 1 0 0 x x x x x 通过 SFI 方式访问若 P1 的 b8=0，偏移地址低字节 P2 若 P1 的 b8=1，偏移地址 Lc 不存在 DATA 不存在 Le 期望返回的明文字节数 A.2.7.3 命令报文数据域命令报文数据域不存在。 35 DB11/T 1179-2015 A.2.7.4 响应报文数据域当Le的值为零时，只要文件的最大长度在256(短长度)或65536(扩展长度)之内，则其全部字节将被读出。 A.2.7.5 响应报文状态码响应信息中的数据为明文或密文数据。表A.20 SW1 响应信息中可能的状态码说明 SW2 90 00 命令执行成功 61 Xx 还有 xx 字节需要返回 65 81 写 EEPROM 失败 67 00 Lc 长度错误 69 81 当前文件不是透明文件 69 82 不满足安全状态 69 83 认证密钥锁定 69 84 引用数据无效 69 85 使用条件不满足 69 86 没有选择当前文件 69 88 安全信息数据错误 6A 81 功能不支持 6A 82 未找到文件 6A 86 P1、P2 参数错 6A 88 未找到密钥数据 6B 00 起始地址超出范围 6C Xx Le 长度错误。‘xx’表示实际长度 6D 00 命令不存在 6E 00 CLA 错 93 03 应用永久锁定 A.2.8 READ RECORD 命令 A.2.8.1 定义和范围 READ RECORD 命令读记录文件中指定的记录。 A.2.8.2 命令报文表A.21 代码命令代码数值 CLA ‘00’ INS ‘B2’ P1 记录号（‘00’表示当前记录）记录标识符（‘00’按记录号顺序指定第一个、最后一个、下一个、前一个） P2 36 b8 b7 b6 b5 b4 b3 b2 b1 说明 DB11/T 1179-2015 表 A.21 （续）代码数值 0 0 0 0 0 - - - 当前的 EF 文件 x x x x x - - - 用 SFI 方式 1 1 1 1 1 - - - 保留 - - - - - 1 x x 利用 P1 中的记录号 - - - - - 1 0 0 P1 记录号 - - - - - 1 0 1 从 P1 到记录尾 - - - - - 1 1 - - - - - 0 x x 利用 P1 中的记录标识符 - - - - - 0 0 0 P1 指定标识的第一个实例 - - - - - 0 0 1 P1 指定标识的最后一个实例 - - - - - 0 1 0 P1 指定标识的下一个实例 - - - - - 0 1 1 P1 指定标识的前一个实例任何其他值从记录尾到 P1 保留 Lc 不存在 DATA 不存在 Le 期望返回的明文字节数 A.2.7.6 0 命令报文数据域命令报文数据域不存在 A.2.7.7 响应报文数据域所有执行成功的READ RECORD命令的响应报文数据域由读取的记录组成。 A.2.8.3 响应报文状态码表A.22 SW1 响应信息中可能的状态码说明 SW2 90 00 命令执行成功 61 xx 还有 xx 字节需要返回 65 81 写 EEPROM 失败 67 00 Lc 长度错误 69 81 当前文件不是记录文件 69 82 不满足安全状态 69 83 认证密钥锁定 69 84 引用数据无效 69 85 使用条件不满足 69 86 没有选择当前文件 69 88 安全信息数据错误 6A 81 功能不支持 6A 82 未找到文件 6A 83 未找到记录 6A 85 Lc 与 TLV 结构不匹配 37 DB11/T 1179-2015 表 A.22 SW1 (续) 说明 SW2 6A 86 P1、P2 参数错 6A 88 未找到密钥数据 6C xx Le 错误，‘xx’表示实际长度 6D 00 命令不存在 6E 00 CLA 错 93 03 应用永久锁定 A.2.9 SELECT FILE 命令 A.2.9.1 定义和范围 SELECT FILE 命令通过文件标识或应用名来选择 IC 卡中的 MF、DDF、ADF 或 EF 文件。 A.2.9.2 命令报文表A.23 命令代码代码数值 CLA ‘00’ INS ‘A4’ P1 ‘00’通过 FID 选择 DF、EF ‘04’通过 DF 名选择应用 ‘00’ 第一个或仅有一个文件实例 P2 ‘02’ 下一个文件实例（P1=04h 时）若 P1=‘00’，‘02’ Lc 若 P1=‘04’，‘05’—‘10’DATA 域的数据长度 DATA 若 P1=‘00’，FID（2 字节）若 P1=‘04’，应用名（AID） ‘00’ Le A.2.7.8 命令报文数据域命令报文数据域应包括所选择的DF的AID或FID、EF的FID组成。 A.2.7.9 响应报文数据域响应报文数据域应包括所选择DF的FCI信息。 A.2.9.3 响应报文状态码表A.24 SW1 响应信息中可能的状态码说 SW2 90 00 命令执行成功 62 83 选择文件无效 67 00 Lc 长度错误 6A 81 功能不支持 38 明 DB11/T 1179-2015 表 A.24 SW1 说 SW2 6A 82 未找到文件 6A 86 P1、P2 参数错 6A 87 Lc 与 P1-P2 不匹配 6D 00 命令不存在 6E 00 CLA 错 93 03 应用永久锁定 A.2.10 (续) 明 UPDATE BINARY 命令 A.2.10.1 定义和范围 UPDATE BINARY 命令用给定的数据代替透明文件中已有的数据。 A.2.10.2 命令报文表A.25 命令代码代码数值 CLA ‘00’ INS ‘D6’ P1 b8 b7 b6 b5 b4 b3 b2 b1 说 0 x x x x x x x 当前 EF 文件偏移地址高字节 1 0 0 x x x x x 通过 SFI 方式访问明若 P1 的 b8=0，偏移地址低字节 P2 若 P1 的 b8=1，偏移地址 Lc 后续数据的长度 DATA 写入或更新原有数据的新数据 Le 不存在 A.2.10.3 命令报文数据域写入或更新的新数据。 A.2.10.4 响应报文数据域响应报文数据域不存在。 A.2.10.5 响应报文状态码表A.26 SW1 响应信息中可能的状态码说明 SW2 90 00 命令执行成功 65 81 写 EEPROM 失败 67 00 Lc 长度错误 69 81 当前文件不是透明文件 69 82 不满足安全状态 69 83 认证密钥锁定 39 DB11/T 1179-2015 表 A.26 SW1 说明 SW2 69 84 引用数据无效 69 85 使用条件不满足 69 86 未选择文件 69 88 安全信息数据错误 6A 81 功能不支持 6A 82 未找到文件 6A 86 P1、P2 参数错 6A 88 未找到密钥数据 6B 00 起始地址超出范围 6D 00 命令不存在 6E 00 CLA 错 93 03 应用永久锁定 A.2.11 (续) UPDATE RECORD 命令 A.2.11.1 定义和范围 UPDATE RECORD 命令用给定的数据代替记录文件中指定的记录。对循环定长记录文件，可以通过修改上一条记录的方式实现添加记录。 A.2.11.2 命令报文表A.27 命令代码代码数值 CLA ‘00’ INS ‘DC’ P1 记录号（‘00’表示当前记录）记录标识符（P1=‘00’时，按记录号顺序指定第一条、最后一条、下一条、前一条） P2 b8 b7 b6 b5 b4 b3 b2 b1 说 0 0 0 0 0 - - - 当前的 EF 文件 x x x x x - - - 用 SFI 方式 1 1 1 1 1 - - - 保留 - - - - - 1 x x 利用 P1 中的记录号 - - - - - 1 0 0 P1 记录号 - - - - - 0 x x 利用 P1 中的记录标识符 - - - - - 0 0 0 P1 指定标识的第一个实例 - - - - - 0 0 1 P1 指定标识的最后一个实例 - - - - - 0 1 0 P1 指定标识的下一个实例 - - - - - 0 1 1 P1 指定标识符的上一个实例任何其他值 Lc 后续数据长度 DATA 添加或更新原有记录的新记录 Le 不存在 40 保留明 DB11/T 1179-2015 A.2.11.3 命令报文数据域添加或更新原有记录的新记录 A.2.11.4 响应报文数据域响应报文数据域不存在。 A.2.11.5 响应报文状态码表A.28 SW1 响应信息中可能的状态码说明 SW2 90 00 命令执行成功 65 81 写 EEPROM 失败 67 00 Lc 长度错误 69 81 当前文件不是记录文件 69 82 不满足安全状态 69 83 认证密钥锁定 69 84 引用数据无效 69 85 使用条件不满足 69 86 未选择文件 69 88 安全信息数据错误 6A 81 功能不支持 6A 82 未找到文件 6A 83 未找到记录 6A 85 Lc 与 TLV 结构不匹配 6A 86 P1、P2 参数错 6A 88 未找到密钥数据 6D 00 命令不存在 6E 00 CLA 错 93 03 应用永久锁定 A.2.12 COMPUTE SIGNATURE 命令 A.2.12.1 定义和范围 COMPUTE SIGNATURE 命令用指定的私钥对数据签字。 SM2 签名不补位。 A.2.12.2 命令报文表A.29 代码数 CLA ‘80’ INS ‘36’ P1 b8 命令代码值 b7 b6 b5 b4 b3 b2 b1 说明 41 DB11/T 1179-2015 表 A.29 代码 (续) 数值 0 0 0 0 0 0 0 0 用当前的私钥文件 1 0 0 x x x x x 用 SFI 指定的私钥文件 P2 SM2 签名：送入 32 字节数据 Lc SM2 算法：Lc=’20’ DATA 待签名数据 Le SM2 算法：Le=‘40’ A.2.12.3 命令报文数据域待签名数据。 A.2.12.4 响应报文数据域签名数据。 A.2.12.5 响应报文状态码表A.30 A.2.13 响应信息中可能的状态码说 SW1 SW2 90 00 命令执行成功 61 xx 命令执行成功 67 00 Lc 长度错 69 81 文件类型不匹配 69 82 不满足安全状态 69 85 使用条件不满足 69 86 没有选择密钥文件 6A 80 数据域错 6A 81 功能不支持 6D 00 命令不存在 93 03 应用永久锁定明 VERIFY SIGNATURE 命令 A.2.13.1 定义和范围 VERIFY SIGNATURE 命令用指定的公钥对数据签字进行认证。输入和输出数据均为高字节在前。 A.2.13.2 命令报文 42 DB11/T 1179-2015 表A.31 代码命令代码数值 CLA ‘80’ INS ‘38’ P1 b8 b7 b6 b5 b4 b3 b2 b1 说明 0 0 0 0 0 0 0 0 用当前的公钥文件认证 1 0 0 x x x x x 用 SFI 指定的公钥文件认证 P2 0 0 0 0 0 0 0 0 SM2 算法 Lc SM2 算法：‘60’ DATA SM2 算法：待签名数据（‘20’）+签名结果（‘40’） Le SM2 算法：无 A.2.13.3 命令报文数据域待签名数据和签名结果。 A.2.13.4 响应报文数据域响应报文数据域不存在。 A.2.13.5 响应报文状态码响应信息中的数据：无响应数据。表A.32 SW1 响应信息中可能的状态码说 SW2 90 00 命令执行成功 61 Xx 命令执行成功 67 00 Lc 长度错 69 81 文件类型不匹配 69 82 不满足安全状态 69 85 使用条件不满足 69 86 没有选择密钥文件 69 88 签名认证失败 6A 80 数据域错 6A 81 功能不支持 6A 86 P1、P2 参数错 6D 00 命令不存在 93 03 应用永久锁定明 43 DB11/T 1179-2015 PKI ENCIPHER 命令 A.2.14 A.2.14.1 定义和范围 PKI ENCIPHER 命令用公钥加密数据。 SM2 算法不补位，可以进行 1 到 159 字节加密。 A.2.14.2 命令报文表A.33 命令代码代码数值 CLA ‘80’ INS ‘30’ P1 b8 b7 b6 b5 b4 b3 b2 b1 说明 0 0 0 0 0 0 0 0 用当前的公钥文件加密 1 0 0 x x x x x 用 SFI 指定的公钥文件加密 P2 ‘00’ SM2 算法 Lc SM2 算法：‘01’~‘9F’ DATA 待加密数据 Le SM2 算法：Lc+96 命令报文数据域为待加密数据(高字节在前)。 SM2 算法 P2=’00’，送入数据长度 0