WS/T 543.4-2017 居民健康卡技术规范 第4部分：用户卡命令集

ICS11.020

C07

WSWSXXXXX.3-2013

中华人民共和国卫生行业标准

WS/T543.4—2017

居民健康卡技术规范

第4部分：用户卡命令集

Residents‟healthcardtechnicalspecifications——

Part4：Commandsetoftheusercard

2017-07-25发布2017-12-01实施

中华人民共和国国家卫生和计划生育委员会发布

WS/T543.4-2017

前言

本标准按照GB/T1.1—2009给出的规则起草。

WS/T543《居民健康卡技术规范》分为6个部分：

——第1部分：总则;

——第2部分：用户卡技术规范;

——第3部分：用户卡应用规范;

——第4部分：用户卡命令集;

——第5部分：终端技术规范;

——第6部分：用户卡及终端产品检测规范;

本部分为WS/T543的第4部分。

本部分起草单位：国家卫生计生委统计信息中心、内蒙古自治区卫生信息中心、四川省卫生和计划

生育委员会信息中心、重庆市卫生信息中心。

本部分主要起草人：李岳峰、胡建平、王存库、王成亮、龙虎、陈文、余中心、马靖、尹华、孟群。

2

WS/T543.4-2017

居民健康卡技术规范第4部分：用户卡命令集

1适用范围

WS/T543的本部分规定了居民健康卡用户卡应支持的功能、复位应答的格式以及卡片的命令与响应

列表。

本部分适用于所有制作、发行、使用居民健康卡的医疗卫生机构、第三方联合发卡机构、持卡人和

生产企业。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

WS/T543.2−2017居民健康卡技术规范第2部分：用户卡技术规范

3缩略语

WS/T543.2界定的以及表1中的缩略语和符号适用于本文件。

表1缩略语和符号列表

缩略语中文名英文名

„0‟-„9‟„A‟-„F‟十六进制数字

AID应用标识符ApplicationIdentifier

An字母数字型Alphanumeric

Ans特殊字母数字型AlphanumericSpecial

B二进制Binary

CBC密码块链接CipherBlockChaining

CLA命令报文的类别字节ClassByteofCommandMessage

Cn压缩数字CompressedNumeric

COS芯片操作系统CardOperatingSystem

CPU中央处理器CentralProcessingUnit

CVN卡安全码CardVerificationNumber

DDF目录定义文件DirectoryDefinitionFile

DF专用文件DedicatedFile

EF基本文件ElementaryFile

FCI文件控制信息FileControlInformation

FID文件标识符FileIdentifier

IC集成电路IntegratedCircuit

IEC国际电工委员会InternationalElectrotechnicalCommission

INS命令报文的指令字节InstructionByteofCommandMessage

ISO国际标准化组织InternationalOrganizationforStandardization

1

WS/T543.4-2017

表1（续）

缩略语中文名英文名

M必选型Mandatory

MAC报文鉴别代码MessageAuthenticationCode

MF主控文件MasterFile

O可选型Optional

PIX专用应用标识符扩展码ProprietaryApplicationIdentifierExtension

SAM安全存取模块SecureAccessModule

PVC聚氯乙烯PolyvinylChloride

RID已注册的应用提供者标识RegisteredApplicationProviderIdentifier

RS232串行通信接口

USB通用串行总线UniversalSerialBUS

Xx任意值

4复位应答

复位应答中历史字节的前8个字节依次固定为芯片提供机构注册标识（2字节，由国家IC卡注册中心

分配的注册标识号）、卡片制造机构注册标识（2字节，由国家IC卡注册中心分配的注册标识号）和卡

片序列号（4字节）。

5命令

5.1概述

在卡片读写过程中，卡片处于空闲状态（卡片没有获得读写权限）或者安全状态（获得了一定的读

写授权，可以进行读写操作），不同状态下执行命令的不同。卡片上不同应用之间构建了“防火墙”，以

防止跨过应用进行非法访问。卡片通过EXTERNALAUTHENTICATION命令获得一定的读写授权，当

卡片从终端接收到一条命令时，它必须首先检查当前状态是否允许执行该命令。在命令执行成功后，卡

片将进入指定状态。命令执行成功后的状态变化见表1，整张表给当前状态下某个命令执行成功后的状

态，第一行表示命令发出时卡片的当前状态，第一列表示发出的命令，N/A表示发出此命令无效。

表2命令执行成功后的状态变化

命令空闲安全

SELECT（选择当前应用）空闲安全

SELECT（选择其它应用）空闲空闲

EXTERNALAUTHENTICATION安全安全

SELECT（选择文件或记录）空闲安全

READBINARY（一般二进制文件）空闲安全

READRECORD（一般记录文件）空闲安全

READBINARY（限制二进制文件）N/A安全

READRECORD（限制记录文件）N/A安全

ERASERECORDN/A安全

WRITERECORDN/A安全

2

WS/T543.4-2017

5.2命令APDU格式

命令APDU的格式见表3。

表3命令APDU的结构

CLAINSP1P2LcDataLe

———————必备头———————————条件体————

命令APDU中发送的数据字节数用Lc(命令数据域的长度)表示。

响应APDU中期望返回的数据字节数用Le(期望数据长度)表示。当Le存在且值为0时，表示需要最大

字节数(256字节)。

命令APDU报文的内容见表4。

表4命令APDU的内容

代码描述长度

CLA命令类别1

INS指令代码1

P1指令参数11

P2指令参数21

Lc命令数据域中存在的字节数0或1

Data命令发送的数据字节串(=Lc)变长

Le响应数据域中期望的最大数据字节数0或1

5.3响应APDU格式

响应APDU格式由一个变长的条件体和后随两字节长的必备尾组成，见表5。

表5响应APDU的结构

DataSW1SW2

——条件体————尾——

响应APDU的内容见表6。

表6响应APDU的内容

代码描述长度

Data响应中接收的数据字节串(=Le)变长

SW1命令处理状态1

SW2命令处理限定1

5.4基本命令

5.4.1APPLICATIONBLOCK命令

5.4.1.1定义和范围

3

WS/T543.4-2017

APPLICATIONBLOCK命令使当前选择的应用失效。

当APPLICATIONBLOCK命令成功地完成后，用SELECT命令选择已临时锁定的应用时，将回送状

态码„6283‟（选择文件无效），同时返回FCI。

对其他命令的影响根据不同应用而定。

5.4.1.2命令报文

APPLICATIONBLOCK命令报文编码见表7。

表7APPLICATIONBLOCK命令报文

代码值

CLA„84‟

INS„1E‟

P1„00‟，其他值保留为将来使用

P2„00‟，临时锁定应用，锁定后可用APPLICATION_UNBLOCK解锁

„01‟，永久锁定应用

Lc„04‟

Data报文鉴别代码(MAC)数据元；根据WSXXXXX.1第9.4.2章中的规定进行编码。

Le不存在

5.4.1.3命令报文数据域

命令报文数据域包括根据WS/T543.2—2017第8.4.2章中的规定进行编码的报文鉴别码(MAC)数据

元。

5.4.1.4响应报文数据域

响应报文数据域不存在。

5.4.1.5响应报文状态码

无论应用是否已经失效，此命令执行成功的状态码是„9000‟。

IC卡可能回送的错误状态码见表8。

表8APPLICATIONBLOCK错误状态

SW1SW2含义

„65‟„81‟内存失败

„67‟„00‟Lc长度错误

„69‟„82‟不满足安全状态

„69‟„84‟引用数据无效

„69‟„85‟使用条件不满足

„69‟„87‟安全报文数据项丢失

„69‟„88‟安全报文数据项不正确

„6A‟„86‟参数P1P2不正确

„6A‟„88‟未找到引用数据

4

WS/T543.4-2017

5.4.2APPLICATIONUNBLOCK命令

5.4.2.1定义和范围

APPLICATIONUNBLOCK命令可以对临时锁定的应用解锁，当APPLICATIONUNBLOCK命令成

功地完成后，用SELECT命令可以正确选择此应用，应用功能同时被恢复。

5.4.2.2命令报文

APPLICATIONUNBLOCK命令报文编码见表9。

表9APPLICATIONUNBLOCK命令报文

代码数值

CLA„84‟

INS„18‟

P1„00‟

P2„00‟

Lc„04‟

DATA报文鉴别代码(MAC)数据元；根据WSXXXXX.1第9.4.2章中的规定进行编码。

Le不存在

5.4.2.3命令报文数据域

命令报文数据域包括根据WS/TXXXXX.2第8.4.2章中的规定进行编码的报文鉴别码(MAC)数据元。

5.4.2.4响应报文数据域

响应报文数据域不存在。

5.4.2.5响应报文状态码

此命令执行成功的状态码是„9000‟。

IC卡可能回送的错误状态码见表10。