GB/T 30001.4-2013
基本信息
标准号: GB/T 30001.4-2013
中文名称:信息技术 基于射频的移动支付 第4部分:卡应用管理和安全
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:2160KB
相关标签: 信息技术 基于 射频 移动 支付 应用 管理 安全
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 30001.4-2013 信息技术 基于射频的移动支付 第4部分:卡应用管理和安全
GB/T30001.4-2013
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.240.15
中华人民共和国国家标准
GB/T30001.4—2013
信息技术
基于射频的移动支付
第4部分:卡应用管理和安全
Information technology-Mobile payment based on radio frequency-Part 4:Card application management and security2013-10-10发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2014-05-01实施
GB/T30001.4-2013
规范性引用文件
3术语和定义
4缩略语
5多应用安全单元管理模式
5.1以安全单元载体发行机构为中心的管理模式5.2以多方机构合作的管理模式
6多通道管理
基本逻辑通道
辅助逻辑通道
生命周期管理
安全单元生命周期管理
应用生命周期管理
安全域生命周期管理
生命周期状态的编码
生命周期状态迁移的命令
安全单元系统平台安全要求
系统平台固有的防护机制
系统平台存储管理
系统平台状态管理·
安全引导·
安全恢复
安全通讯机制·
防攻击要求
密钥管理
识别与认证
9多应用管理安全要求
应用安全
用户安全
附录A(资料性附录)
多应用安全单元的安全防护措施参考文献
GB/T30001&信息技术基于射频的移动支付》分为五个部分:第1部分:射频接口;
第2部分:卡技术要求;
第3部分:设备技术要求;
第4部分:卡应用管理和安全;
第5部分:射频接口测试方法。
本部分为GB/T30001的第4部分。本部分按照GB/T1.1—2009给出的规则起草。GB/T30001.4—2013
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本部分由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。本部分起草单位:中国电子技术标准化研究院、武汉天喻信息产业股份有限公司、中国银联股份有限公司、上海复旦微电子集团股份有限公司、北京握奇数据系统有限公司、北京同方微电子有限公司、中国移动通信集团、中国电信集团公司、中国联合网络通信集团有限公司、普天信息技术研究院。本部分主要起草人:耿力、赵波、柴洪峰、董逢华、高林、单长胜、冯敬、李洁、金倩、丁义民、李蔚、严光文
1范围
信息技术基于射频的移动支付
第4部分:卡应用管理和安全
GB/T30001.4--2013
GB/T30001的本部分规定了基于射频的移动支付卡中安全单元的多应用安全单元管理模式、多通道管理、生命周期管理、安全单元系统平台安全要求和多应用管理安全要求。本部分适用于基于射频的移动支付卡的设计,生产和使用,2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T30001.1信息技术基于射频的移动支付第1部分射频接口3术语和定义
GB/T30001.1界定的以及下列术语和定义适用于本文件。3.1
安全单元securityelement
组成基于射频的移动支付卡的主要器件,主要负责交易关键数据的安全存储和运算功能。3.2
应用application
为满足特定功能所需的数据结构、数据元和程序模块。[GB/T16649.4—2010,定义3.3]3.3
应用提供者applicationprovider提供安全单元上应用组成部分的实体。3.4
安全单元系统平台
systemplatformonsecurityelement安全单元上负责基本功能的组件。3.5
securitydomain
安全域
向应用提供者提供控制、安全和通信支持的卡上实体。4缩略语
下列缩略语适用于本文件。
应用定义文件(ApplicationDefinitionFile)应用标识符(ApplicationIdentifier)1
rrKicaOnaiKAca
GB/T30001.4—2013
应用协议数据单元(ApplicationProtocolDataUnit)复位响应(AnswerToReset)
类别字节(ClassByte)
专有文件(DedicatedFile)
基本文件(ElementaryFile)
密钥校验和(MessageAuthenticationCode)主文件(MasterFile)
SW1/SW2状态字1/状态字2(StatusWordOne/StatusWordTwo)5多应用安全单元管理模式
5.1以安全单元载体发行机构为中心的管理模式在以安全单元载体发行机构为中心的管理模式下,安全单元载体中多应用安全单元的主控密钥由安全单元载体发行机构管理,安全单元平台的个人化,安全单元应用的下载、安装和删除以及安全单元密钥管理都受安全单元载体发行机构的控制和药束。以安全单元载体发行机构为中心的管理模式还可以进行多方位的扩展,形成更多更具体的管理模式,例如:
a)授权模式:通过授权方式将部分管理权限转移给应用下载机构。例如:应用安装下载权限转移给应用下载机构,由应用下载机构负责安全单元载体发行后的应用下载安装功能。代理模式:通过代理方式将令牌授予应用下载机构,在应用下载机构执行下载功能时进行令b)
牌检验,通过检验方可执行该项功能。5.2以多方机构合作的管理模式
在以多方机构合作的安全单元管理模式下,不同的机构、行业可以通过合作的方式并约定规则管理多应用安全单元,合作的多个机构可以自由地对多应用安全单元进行个人化,应用的下载,安装,密钥管理等操作,多应用安全单元的安全则由所有合作机构共同负责。多方机构合作的安全单元管理模式同样可以分为更多更具体的管理模式,如不同的机构间管理权限是否处于同一级水平;或是不同机构对安全单元的配额是否均等。6多通道管理
6.1概述
基于射频的移动支付卡中的安全单元应支持至少3个逻辑通道的多通道管理,每个逻辑通道上允许运行不同的应用。通道号为0、1、2,通道0是基本逻辑通道,其他通道是辅助逻辑通道。逻辑通道之间的应用访问是独立的,互不影响6.2基本逻辑通道
6.2.1基本逻辑通道上应用的选择在基本逻辑通道上应支持如下两种选定应用的方法:a)安全单元复位应答后的隐式选定;b)通过选择命令根据应用AID进行的显式选定。2
6.2.2基本逻辑通道上的隐式选定GB/T30001.4—2013
在复位应答之后,且在向安全单元发送新命令之前,基本逻辑通道上被选定的应用应是缺省选定的应用。
6.2.3基本逻辑通道上的显式选定在支持选择命令的安全单元会话的任意时刻,都可在基本逻辑通道上接收选择其他应用的命令请求,安全单元将确定请求的AID是否匹配或部分匹配,并确定这个应用是否可选定。对于通过AID方式用选择命令选择应用,如果以下情况均出现,则被选定的应用成为基本逻辑通道上的应用:
a)请求的AID匹配(完全匹配或部分匹配)应用的AID;b)正被选定的应用处于正确的生命周期状态;c)应用没有因为被多个通道同时选定而受到限制。6.2.4基本逻辑通道上的逻辑通道管理在安全单元会话期间的任一时刻,都可在基本逻辑通道上接收到一条打开或关闭辅助逻辑通道的求。
如果接收到打开通道命令,新打开的辅助逻辑通道上被选定的应用为缺省可选择应用。缺省可选择的应用应支持被多个通道同时选定。如果接收到关闭通道命令,终止关闭通道命令中所指定的辅助逻辑通道上当前应用的会话,然后关闭该逻辑通道。不能关闭基本逻辑通道。6.2.5基本逻辑通道上应用命令的发送一个应用成为基本逻辑通道上被选定的应用后,所有其他命令(除通过AID方式进行应用选择的命令以及逻辑通道管理命令外)直接发送给基本逻辑通道上当前被选定的应用。本部分不规定应用对命令的处理。
6.3辅助逻辑通道
6.3.1辅助逻辑通道上的应用选择允许在一个辅助逻辑通道上选定一个应用,同时可以在其他逻辑通道上选定其他应用。在一个可用的辅助逻辑通道上支持以下两种对应用的选定:a)成功执行打开通道命令后的隐式选定,b)通过选择命令根据应用AID进行的显式选定。6.3.2辅助逻辑通道上的隐式选定依赖于辅助逻辑通道是从基本逻辑通道打开还是从另一个辅助逻辑通道上打开,隐式选定的动作有所不同。
从基本逻辑通道上打开辅助逻辑通道发起的隐式选定的动作见6.2.4从辅助逻辑通道上打开辅助逻辑通道发起的隐式选定的动作见6.3.4,6.3.3辅助逻辑通道上的显式选定在一个打开的辅助逻辑通道上的任一时刻,都可接收到一条在该辅助逻辑通道上选定应用的请求。3
iiKacaonaiKAca
GB/T30001.4—2013
安全单元将确定请求的AID是否匹配或部分匹配,并确定这个应用是否可选定。在一个打开的且支持选择命令的辅助逻辑通道上,在任意时刻这个辅助逻辑通道都可以接收选择其他应用的请求。安全单元将确定请求的AID是否匹配或部分匹配,并确定这个应用是否可选定。对于通过AID方式用选择命令选定应用,如果以下情况均出现,则被选定的应用成为辅助逻辑通道上的应用:
a)请求的AID匹配(完全匹配或部分匹配)应用的AID;b)正被选定的应用处于正确的生命周期状态;c)应用没有因为被多个通道同时选定而受到限制。6.3.4辅助逻辑通道上的逻辑通道管理在一个打开的辅助逻辑通道上的任一时刻,都可接收到一条打开或关闭辅助逻辑通道的请求。如果接收到打开通道命令,并且在原辅助逻辑通道上被选定的应用支持被多个通道同时选定,那么这个应用成为新打开的辅助逻辑通道上被选定的应用。如果接收到关闭通道命令,终止关闭通道命令中所指定的辅助逻辑通道上当前应用的会话,然后关闭该逻辑通道。不能关闭基本逻辑通道。6.3.5辅助逻辑通道上应用命令的发送一个应用成为辅助通道上被选定的应用后,所有其他命令(除通过AID方式进行应用选择的命令以及逻辑通道管理命令外)直接发送给辅助逻辑通道上当前被选定的应用。本部分不规定应用对命令的处理。
7生命周期管理
7.1安全单元生命周期管理
7.1.1安全单元生命周期的状态
7.1.1.1概述
安全单元应具有负责维护自身及其所承载内容的所有安全和管理工作的角色(可以是安全单元管理者),该角色的生命周期可以看作是安全单元的生命周期。安全单元的生命周期开始于准备状态,终止于终止状态。安全单元的生命周期包括以下5个状态:a)准备状态;
b)初始状态;
c)安全状态;
锁定状态;
e)终止状态。
安全单元生命周期状态中的准备状态和初始状态用于安全单元载体的发行前阶段。安全状态、锁定状态和终止状态用于安全单元载体的发行后阶段,尽管在安全单元生命周期期间任何时候可能会终止该安全单元载体。
7.1.1.2准备状态
准备状态表明安全单元载体已经可以使用,安全单元管理者已经存在,可以接收、执行和响应安全单元外部实体发过来的命令。
GB/T30001.4——2013
这时安全单元载体将能够为发行时需要使用的应用改变安全单元内容,可以装载安全单元上不存在的包含应用的装载文件。
可以从可执行装载文件中安装任何应用。另外,如果在这个阶段,个人化信息可用,则应用可以被个人化。推备状态可以被安全单元外部实体用来执行下面的动作:a)可以装载和/或安装安全域(不包括发行者安全域):b)可以插人(安装)安全域密钥,以维护一个与发行者安全域相独立的加密密钥。7.1.1.3初始状态
初始状态表明安全单元载体中安全单元上的一些初始数据已经装载(例如:发行者安全域密钥和/或数据),但是该安全单元载体还不能发给持有者。该状态是一个可管理的安全单元载体产品状态。从准备状态到初始状态的迁移是不可逆的7.1.1.4安全状态
安全状态是安全单元载体发行后趋向于操作的安全单元生命周期状态,这个状态被安全单元管理者用于执行发行后与安全单元行为相关的安全策略,如:应用的装载、安装、激活。安全单元能够改变其内容和应用内容。安全状态应用于向安全单元外部实体表明发行者安全域包含了全部功能所需要的所有密钥和安全元素。
从初始状态到安全状态的迁移是不可的。7.1.1.5锁定状态
锁定状态为安全单元载体发行者提供了在安全单元上禁用安全域功能和应用功能的方法。将安全单元设置为该状态,意味着安全单元除了使用发行者安全域的基本功能外不再具有其他功能。在这个阶段不允许包括类型数据管理(特别是发行者安全域密钥和数据)在内的任何内容的改变。从安全状态到锁定状态的安全单元生命周期状态的迁移是可逆的。安全单元管理者、安全单元上具有相关权限的应用或经发行者安全域认证过的安全单元外部实体可以发起从安全状态到锁定状态的迁移。7.1.1.6终止状态
终止状态表明安全单元载体和安全单元生命周期的终止。在终止状态下,所有安全单元外部实体发过来的命令将被发送给发行者安全域,发行者安全域只对安全单元状态命令进行响应。从任何其他状态到终止状态的迁移都是不可逆的,终止状态将被用于永久地禁用所有安全单元功能,包括发行者安全域自身的大多数功能。该状态可以看作是一种机制,允许应用由于一些原因(如:检测到严重的安全威胁或者安全单元有效期已满)逻辑上“销毁”安全单元。
安全单元管理者自身、具有相关权限的应用或经发行者安全域认证过的安全单元外部实体可以发起从前述的任意状态到终止状态的迁移。7.1.2安全单元生命周期迁移
安全单元生命周期的状态迁移如图1所示。5
iiKacaoaiKAca
GB/T30001.4—2013
准备状态
初始状态
安全状态
锁定状态
终止状态
特权应用
图1安全单元生命周期状态迁移
7.1.3安全单元生命周期和应用生命周期状态的迁移图2描述了安全单元载体中安全单元从制作到被终止的整个生命周期的状态迁移,以及几种不同典型应用的状态与安全单元生命周期之间的关系应用A:应用的代码表现为在安全单元中非易失性存储器中的一个可执行装载文件中的可执行模块。它是在制作安全单元时以实现的特定方式安装的。除锁定状态外,应用A在安全单元的整个生命周期内自始至终都在被使用,直到安全单元被终止。,应用B:应用的代码表现为在安全单元中永久性存储器中的一个可执行装载文件中的可执行模块。它在安全单元被初始化之前就安装了。应用B连同它的可执行装载文件在安全单元被终止前的某个时刻被删除。因为应用B:的可执行装载文件存储在不可变永久存储器中,所以它不能从安全单元上进行物理删除。
应用C:应用的代码表现为在安全单元中非易失性存储器中的一个可执行装载文件中的可执行模块,并以实现时采用的具体方式装载的。它是在安全单元载体发行后安全单元处在安全状态时安装的。应用C使用了一段时间后,在安全单元终止前连同它的可执行装载文件一起被删除了。因为应用C和它的可执行装载文件存储在可变永久存储器中,所以该应用、相关联的可执行装载文件连同它的所有可执行模块从可变永久存储器中清除,内存空间被回收重用。应用D:应用的代码表现为在安全单元中非易失性存储器中的一个可执行装载文件中的可执行模块,并以实现时采用的具体方式装载的:除锁定状态外,应用D在安全单元的整个生命周期内,自始至终都在被使用,直到安全单元被终止。应用E:应用的代码表现为在安全单元中非易失性存储器中的一个可执行装载文件中的可执行模块,它是在安全单元载体发行后安全单元处在安全状态时被装载和安装的:应用E在安全单元终止前,除了安全单元处在锁定状态外一直被使用。应用F:应用的代码表现为与应用E相同的可执行装载文件中的可执行模块。它是在安全单元载体发行后安全单元处在安全状态时被装载和安装的。应用F在安全单元的生命周期中某个时刻将被删除
应用包
应用类人
应用A
使用应用A
应用A不能使用
7.2应用生命周期管理
7.2.1应用生命周期状态
应用包
应用类B
应用B
使用应用B
准备状态
初始状态
应用包
应用类c
应用C
应用包
应用类D
应用D
安全状态
使用应用C
使用应用D
锁定状态
终止状态
应用包
应用类E
GB/T30001.4-2013
应用类所
应用E
使用应用F
使用应用E
应用D、E不能使用
2几种不同典型应用的状态迁移
本部分定义了以下应用生命周期状态:a)安装状态;
b)可选择状态;
c)锁定状态。
除了上述生命周期状态以外,应用还可以定义其自身特定的生命周期状态。一旦处在可选择状态,应用应负责其自身特定生命周期状态的后续管理。应用可以使用自己定义的任意状态,只要这些状态与本部分定义的状态不冲突。安全单元管理者在没收到应用的指令前不会执行这些状态之间的迁移。应用有责任定义这些状态之间的迁移规则,并且保证遵守。7
rrKicaonaiKAca
GB/T30001.4—2013
7.2.2安装状态
安装状态表明安全单元已经正确连接到应用可执行代码,并且已经完成必要的内存分配。认证过的安全单元外部实体可以访问该应用,但还不可选定该应用应用的个人化过程可以与应用的安装过程合并在一起执行,也可以作为一个独立的步骤执行。7.2.3可选择状态
可选择状态表明应用可以接收来自安全单元外部实体的命令。在设置应用的状态为可选择状态之前,应正确安装应用,且应在迁移到可选择状态之前完成应用的个人化过程。从安装状态到可选择状态的状态迁移是不可逆的,该状态迁移过程可以与应用的安装过程组合。应用在可选择状态的行为超出了本部分的范围。7.2.4锁定状态
安全单元管理者或经发行者安全域认证过的安全单元外部实体可使用锁定状态作为安全控制来阻止应用的选定或进一步执行。
如果安全单元管理者监测到来自安全单元内的一个威胁,并且确定了该威胁是与某个应用相关,那么安全单元管理者可以将这个应用的状态设置为锁定状态,以阻止该应用被进一步选择。经发行者安全域认证过的安全单元外部实体确定安全单元上某一个应用由于商业或安全的原因需要被锁定,可以通过安全单元管理者将这个应用的状态设置为锁定状态。一旦状态是锁定状态,只允许发行者安全域解锁这个应用。安全单元管理者将保证解锁后该应用的生命周期状态返回到它的前一个状态。7.2.5应用的删除
在应用生命周期的任何节点,安全单元管理者都可以接收一个请求来删除该应用。先前用于被删除应用的物理存储空间可以被回收并再次被使用。7.2.6应用生命周期的状态迁移
应用生命周期的状态迁移如图3所示。锁定
主安全域
应用安装状态
应用可选择状态
应用自定义状态
一应用私有安全域·应用
图3应用生命周期的状态迁移
7.3安全域生命周期管理
7.3.1安全域生命周期状态wwW.bzxz.Net
本部分对安全域定义了以下生命周期状态:a)安装状态;
b)可选择状态;
e)个人化状态;
d)锁定状态。
7.3.2安装状态
GB/T30001.4—2013
安装状态意味着安全域已经成为安全单元注册表中的一个条目,并且经过认证的安全单元外部实体可以访问这个条目。安全域还是不可选定的,因此安全域的服务不能被应用使用。7.3.3可选择状态
可选择状态表明安全域能够接收来自安全单元外部实体的命令。在该状态,安全域还不能被可执行装载文件或应用关联,因此安全域的服务还不能被应用使用。从安装状态到可选择状态的状态迁移是不可逆的。到该可选择状态的状态迁移可以与安全域的安装过程组合。
7.3.4个人化状态
安全域迁移到个人化状态表明安全域已经具有了完全运行时所需的所有必要的个人化数据和密钥。从可选择状态到个人化状态的状态迁移是不可逆的,在个人化状态下,安全域可以被应用关联,并且它的服务也可以被相关联的应用使用。7.3.5锁定状态
安全单元系统平台或经发行者安全域认证过的安全单元外部实体使用锁定状态作为安全控制来阻止安全域的选定。
如果安全单元系统平台监测到来自安全单元内部的一个威胁,并且确定了该威胁是与某个安全域相关,那么安全单元系统平台可以将这个安全域的生命周期状态设置为锁定状态,以阻止该安全域被进一步选择。
经发行者安全域认证过的安全单元外部实体确定安全单元上某一个安全域由于商业或安全的原因需要被锁定,可以通过安全单元系统平台发起这个应用状态的迁移一旦生命周期状态是锁定状态,只允许发行者安全域解锁这个安全域。安全单元系统平台将保证该安全域的生命周期状态返回到它的前一个状态。7.3.6安全域的删除
在安全域生命周期的任何节点,安全单元系统平台都可以接收一条请求来删除一个安全域先前用于被删除安全域的物理存储空间可以被回收并可以被再次使用。安全单元注册表中的条目也被移除,不再要求安全单元系统平台维护被删除安全域以前存在的记录。7.4生命周期状态的编码
可执行的装载文件的生命周期应按照表1编码。9
iiKacaoaiKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T30001.4—2013
信息技术
基于射频的移动支付
第4部分:卡应用管理和安全
Information technology-Mobile payment based on radio frequency-Part 4:Card application management and security2013-10-10发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2014-05-01实施
GB/T30001.4-2013
规范性引用文件
3术语和定义
4缩略语
5多应用安全单元管理模式
5.1以安全单元载体发行机构为中心的管理模式5.2以多方机构合作的管理模式
6多通道管理
基本逻辑通道
辅助逻辑通道
生命周期管理
安全单元生命周期管理
应用生命周期管理
安全域生命周期管理
生命周期状态的编码
生命周期状态迁移的命令
安全单元系统平台安全要求
系统平台固有的防护机制
系统平台存储管理
系统平台状态管理·
安全引导·
安全恢复
安全通讯机制·
防攻击要求
密钥管理
识别与认证
9多应用管理安全要求
应用安全
用户安全
附录A(资料性附录)
多应用安全单元的安全防护措施参考文献
GB/T30001&信息技术基于射频的移动支付》分为五个部分:第1部分:射频接口;
第2部分:卡技术要求;
第3部分:设备技术要求;
第4部分:卡应用管理和安全;
第5部分:射频接口测试方法。
本部分为GB/T30001的第4部分。本部分按照GB/T1.1—2009给出的规则起草。GB/T30001.4—2013
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本部分由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。本部分起草单位:中国电子技术标准化研究院、武汉天喻信息产业股份有限公司、中国银联股份有限公司、上海复旦微电子集团股份有限公司、北京握奇数据系统有限公司、北京同方微电子有限公司、中国移动通信集团、中国电信集团公司、中国联合网络通信集团有限公司、普天信息技术研究院。本部分主要起草人:耿力、赵波、柴洪峰、董逢华、高林、单长胜、冯敬、李洁、金倩、丁义民、李蔚、严光文
1范围
信息技术基于射频的移动支付
第4部分:卡应用管理和安全
GB/T30001.4--2013
GB/T30001的本部分规定了基于射频的移动支付卡中安全单元的多应用安全单元管理模式、多通道管理、生命周期管理、安全单元系统平台安全要求和多应用管理安全要求。本部分适用于基于射频的移动支付卡的设计,生产和使用,2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T30001.1信息技术基于射频的移动支付第1部分射频接口3术语和定义
GB/T30001.1界定的以及下列术语和定义适用于本文件。3.1
安全单元securityelement
组成基于射频的移动支付卡的主要器件,主要负责交易关键数据的安全存储和运算功能。3.2
应用application
为满足特定功能所需的数据结构、数据元和程序模块。[GB/T16649.4—2010,定义3.3]3.3
应用提供者applicationprovider提供安全单元上应用组成部分的实体。3.4
安全单元系统平台
systemplatformonsecurityelement安全单元上负责基本功能的组件。3.5
securitydomain
安全域
向应用提供者提供控制、安全和通信支持的卡上实体。4缩略语
下列缩略语适用于本文件。
应用定义文件(ApplicationDefinitionFile)应用标识符(ApplicationIdentifier)1
rrKicaOnaiKAca
GB/T30001.4—2013
应用协议数据单元(ApplicationProtocolDataUnit)复位响应(AnswerToReset)
类别字节(ClassByte)
专有文件(DedicatedFile)
基本文件(ElementaryFile)
密钥校验和(MessageAuthenticationCode)主文件(MasterFile)
SW1/SW2状态字1/状态字2(StatusWordOne/StatusWordTwo)5多应用安全单元管理模式
5.1以安全单元载体发行机构为中心的管理模式在以安全单元载体发行机构为中心的管理模式下,安全单元载体中多应用安全单元的主控密钥由安全单元载体发行机构管理,安全单元平台的个人化,安全单元应用的下载、安装和删除以及安全单元密钥管理都受安全单元载体发行机构的控制和药束。以安全单元载体发行机构为中心的管理模式还可以进行多方位的扩展,形成更多更具体的管理模式,例如:
a)授权模式:通过授权方式将部分管理权限转移给应用下载机构。例如:应用安装下载权限转移给应用下载机构,由应用下载机构负责安全单元载体发行后的应用下载安装功能。代理模式:通过代理方式将令牌授予应用下载机构,在应用下载机构执行下载功能时进行令b)
牌检验,通过检验方可执行该项功能。5.2以多方机构合作的管理模式
在以多方机构合作的安全单元管理模式下,不同的机构、行业可以通过合作的方式并约定规则管理多应用安全单元,合作的多个机构可以自由地对多应用安全单元进行个人化,应用的下载,安装,密钥管理等操作,多应用安全单元的安全则由所有合作机构共同负责。多方机构合作的安全单元管理模式同样可以分为更多更具体的管理模式,如不同的机构间管理权限是否处于同一级水平;或是不同机构对安全单元的配额是否均等。6多通道管理
6.1概述
基于射频的移动支付卡中的安全单元应支持至少3个逻辑通道的多通道管理,每个逻辑通道上允许运行不同的应用。通道号为0、1、2,通道0是基本逻辑通道,其他通道是辅助逻辑通道。逻辑通道之间的应用访问是独立的,互不影响6.2基本逻辑通道
6.2.1基本逻辑通道上应用的选择在基本逻辑通道上应支持如下两种选定应用的方法:a)安全单元复位应答后的隐式选定;b)通过选择命令根据应用AID进行的显式选定。2
6.2.2基本逻辑通道上的隐式选定GB/T30001.4—2013
在复位应答之后,且在向安全单元发送新命令之前,基本逻辑通道上被选定的应用应是缺省选定的应用。
6.2.3基本逻辑通道上的显式选定在支持选择命令的安全单元会话的任意时刻,都可在基本逻辑通道上接收选择其他应用的命令请求,安全单元将确定请求的AID是否匹配或部分匹配,并确定这个应用是否可选定。对于通过AID方式用选择命令选择应用,如果以下情况均出现,则被选定的应用成为基本逻辑通道上的应用:
a)请求的AID匹配(完全匹配或部分匹配)应用的AID;b)正被选定的应用处于正确的生命周期状态;c)应用没有因为被多个通道同时选定而受到限制。6.2.4基本逻辑通道上的逻辑通道管理在安全单元会话期间的任一时刻,都可在基本逻辑通道上接收到一条打开或关闭辅助逻辑通道的求。
如果接收到打开通道命令,新打开的辅助逻辑通道上被选定的应用为缺省可选择应用。缺省可选择的应用应支持被多个通道同时选定。如果接收到关闭通道命令,终止关闭通道命令中所指定的辅助逻辑通道上当前应用的会话,然后关闭该逻辑通道。不能关闭基本逻辑通道。6.2.5基本逻辑通道上应用命令的发送一个应用成为基本逻辑通道上被选定的应用后,所有其他命令(除通过AID方式进行应用选择的命令以及逻辑通道管理命令外)直接发送给基本逻辑通道上当前被选定的应用。本部分不规定应用对命令的处理。
6.3辅助逻辑通道
6.3.1辅助逻辑通道上的应用选择允许在一个辅助逻辑通道上选定一个应用,同时可以在其他逻辑通道上选定其他应用。在一个可用的辅助逻辑通道上支持以下两种对应用的选定:a)成功执行打开通道命令后的隐式选定,b)通过选择命令根据应用AID进行的显式选定。6.3.2辅助逻辑通道上的隐式选定依赖于辅助逻辑通道是从基本逻辑通道打开还是从另一个辅助逻辑通道上打开,隐式选定的动作有所不同。
从基本逻辑通道上打开辅助逻辑通道发起的隐式选定的动作见6.2.4从辅助逻辑通道上打开辅助逻辑通道发起的隐式选定的动作见6.3.4,6.3.3辅助逻辑通道上的显式选定在一个打开的辅助逻辑通道上的任一时刻,都可接收到一条在该辅助逻辑通道上选定应用的请求。3
iiKacaonaiKAca
GB/T30001.4—2013
安全单元将确定请求的AID是否匹配或部分匹配,并确定这个应用是否可选定。在一个打开的且支持选择命令的辅助逻辑通道上,在任意时刻这个辅助逻辑通道都可以接收选择其他应用的请求。安全单元将确定请求的AID是否匹配或部分匹配,并确定这个应用是否可选定。对于通过AID方式用选择命令选定应用,如果以下情况均出现,则被选定的应用成为辅助逻辑通道上的应用:
a)请求的AID匹配(完全匹配或部分匹配)应用的AID;b)正被选定的应用处于正确的生命周期状态;c)应用没有因为被多个通道同时选定而受到限制。6.3.4辅助逻辑通道上的逻辑通道管理在一个打开的辅助逻辑通道上的任一时刻,都可接收到一条打开或关闭辅助逻辑通道的请求。如果接收到打开通道命令,并且在原辅助逻辑通道上被选定的应用支持被多个通道同时选定,那么这个应用成为新打开的辅助逻辑通道上被选定的应用。如果接收到关闭通道命令,终止关闭通道命令中所指定的辅助逻辑通道上当前应用的会话,然后关闭该逻辑通道。不能关闭基本逻辑通道。6.3.5辅助逻辑通道上应用命令的发送一个应用成为辅助通道上被选定的应用后,所有其他命令(除通过AID方式进行应用选择的命令以及逻辑通道管理命令外)直接发送给辅助逻辑通道上当前被选定的应用。本部分不规定应用对命令的处理。
7生命周期管理
7.1安全单元生命周期管理
7.1.1安全单元生命周期的状态
7.1.1.1概述
安全单元应具有负责维护自身及其所承载内容的所有安全和管理工作的角色(可以是安全单元管理者),该角色的生命周期可以看作是安全单元的生命周期。安全单元的生命周期开始于准备状态,终止于终止状态。安全单元的生命周期包括以下5个状态:a)准备状态;
b)初始状态;
c)安全状态;
锁定状态;
e)终止状态。
安全单元生命周期状态中的准备状态和初始状态用于安全单元载体的发行前阶段。安全状态、锁定状态和终止状态用于安全单元载体的发行后阶段,尽管在安全单元生命周期期间任何时候可能会终止该安全单元载体。
7.1.1.2准备状态
准备状态表明安全单元载体已经可以使用,安全单元管理者已经存在,可以接收、执行和响应安全单元外部实体发过来的命令。
GB/T30001.4——2013
这时安全单元载体将能够为发行时需要使用的应用改变安全单元内容,可以装载安全单元上不存在的包含应用的装载文件。
可以从可执行装载文件中安装任何应用。另外,如果在这个阶段,个人化信息可用,则应用可以被个人化。推备状态可以被安全单元外部实体用来执行下面的动作:a)可以装载和/或安装安全域(不包括发行者安全域):b)可以插人(安装)安全域密钥,以维护一个与发行者安全域相独立的加密密钥。7.1.1.3初始状态
初始状态表明安全单元载体中安全单元上的一些初始数据已经装载(例如:发行者安全域密钥和/或数据),但是该安全单元载体还不能发给持有者。该状态是一个可管理的安全单元载体产品状态。从准备状态到初始状态的迁移是不可逆的7.1.1.4安全状态
安全状态是安全单元载体发行后趋向于操作的安全单元生命周期状态,这个状态被安全单元管理者用于执行发行后与安全单元行为相关的安全策略,如:应用的装载、安装、激活。安全单元能够改变其内容和应用内容。安全状态应用于向安全单元外部实体表明发行者安全域包含了全部功能所需要的所有密钥和安全元素。
从初始状态到安全状态的迁移是不可的。7.1.1.5锁定状态
锁定状态为安全单元载体发行者提供了在安全单元上禁用安全域功能和应用功能的方法。将安全单元设置为该状态,意味着安全单元除了使用发行者安全域的基本功能外不再具有其他功能。在这个阶段不允许包括类型数据管理(特别是发行者安全域密钥和数据)在内的任何内容的改变。从安全状态到锁定状态的安全单元生命周期状态的迁移是可逆的。安全单元管理者、安全单元上具有相关权限的应用或经发行者安全域认证过的安全单元外部实体可以发起从安全状态到锁定状态的迁移。7.1.1.6终止状态
终止状态表明安全单元载体和安全单元生命周期的终止。在终止状态下,所有安全单元外部实体发过来的命令将被发送给发行者安全域,发行者安全域只对安全单元状态命令进行响应。从任何其他状态到终止状态的迁移都是不可逆的,终止状态将被用于永久地禁用所有安全单元功能,包括发行者安全域自身的大多数功能。该状态可以看作是一种机制,允许应用由于一些原因(如:检测到严重的安全威胁或者安全单元有效期已满)逻辑上“销毁”安全单元。
安全单元管理者自身、具有相关权限的应用或经发行者安全域认证过的安全单元外部实体可以发起从前述的任意状态到终止状态的迁移。7.1.2安全单元生命周期迁移
安全单元生命周期的状态迁移如图1所示。5
iiKacaoaiKAca
GB/T30001.4—2013
准备状态
初始状态
安全状态
锁定状态
终止状态
特权应用
图1安全单元生命周期状态迁移
7.1.3安全单元生命周期和应用生命周期状态的迁移图2描述了安全单元载体中安全单元从制作到被终止的整个生命周期的状态迁移,以及几种不同典型应用的状态与安全单元生命周期之间的关系应用A:应用的代码表现为在安全单元中非易失性存储器中的一个可执行装载文件中的可执行模块。它是在制作安全单元时以实现的特定方式安装的。除锁定状态外,应用A在安全单元的整个生命周期内自始至终都在被使用,直到安全单元被终止。,应用B:应用的代码表现为在安全单元中永久性存储器中的一个可执行装载文件中的可执行模块。它在安全单元被初始化之前就安装了。应用B连同它的可执行装载文件在安全单元被终止前的某个时刻被删除。因为应用B:的可执行装载文件存储在不可变永久存储器中,所以它不能从安全单元上进行物理删除。
应用C:应用的代码表现为在安全单元中非易失性存储器中的一个可执行装载文件中的可执行模块,并以实现时采用的具体方式装载的。它是在安全单元载体发行后安全单元处在安全状态时安装的。应用C使用了一段时间后,在安全单元终止前连同它的可执行装载文件一起被删除了。因为应用C和它的可执行装载文件存储在可变永久存储器中,所以该应用、相关联的可执行装载文件连同它的所有可执行模块从可变永久存储器中清除,内存空间被回收重用。应用D:应用的代码表现为在安全单元中非易失性存储器中的一个可执行装载文件中的可执行模块,并以实现时采用的具体方式装载的:除锁定状态外,应用D在安全单元的整个生命周期内,自始至终都在被使用,直到安全单元被终止。应用E:应用的代码表现为在安全单元中非易失性存储器中的一个可执行装载文件中的可执行模块,它是在安全单元载体发行后安全单元处在安全状态时被装载和安装的:应用E在安全单元终止前,除了安全单元处在锁定状态外一直被使用。应用F:应用的代码表现为与应用E相同的可执行装载文件中的可执行模块。它是在安全单元载体发行后安全单元处在安全状态时被装载和安装的。应用F在安全单元的生命周期中某个时刻将被删除
应用包
应用类人
应用A
使用应用A
应用A不能使用
7.2应用生命周期管理
7.2.1应用生命周期状态
应用包
应用类B
应用B
使用应用B
准备状态
初始状态
应用包
应用类c
应用C
应用包
应用类D
应用D
安全状态
使用应用C
使用应用D
锁定状态
终止状态
应用包
应用类E
GB/T30001.4-2013
应用类所
应用E
使用应用F
使用应用E
应用D、E不能使用
2几种不同典型应用的状态迁移
本部分定义了以下应用生命周期状态:a)安装状态;
b)可选择状态;
c)锁定状态。
除了上述生命周期状态以外,应用还可以定义其自身特定的生命周期状态。一旦处在可选择状态,应用应负责其自身特定生命周期状态的后续管理。应用可以使用自己定义的任意状态,只要这些状态与本部分定义的状态不冲突。安全单元管理者在没收到应用的指令前不会执行这些状态之间的迁移。应用有责任定义这些状态之间的迁移规则,并且保证遵守。7
rrKicaonaiKAca
GB/T30001.4—2013
7.2.2安装状态
安装状态表明安全单元已经正确连接到应用可执行代码,并且已经完成必要的内存分配。认证过的安全单元外部实体可以访问该应用,但还不可选定该应用应用的个人化过程可以与应用的安装过程合并在一起执行,也可以作为一个独立的步骤执行。7.2.3可选择状态
可选择状态表明应用可以接收来自安全单元外部实体的命令。在设置应用的状态为可选择状态之前,应正确安装应用,且应在迁移到可选择状态之前完成应用的个人化过程。从安装状态到可选择状态的状态迁移是不可逆的,该状态迁移过程可以与应用的安装过程组合。应用在可选择状态的行为超出了本部分的范围。7.2.4锁定状态
安全单元管理者或经发行者安全域认证过的安全单元外部实体可使用锁定状态作为安全控制来阻止应用的选定或进一步执行。
如果安全单元管理者监测到来自安全单元内的一个威胁,并且确定了该威胁是与某个应用相关,那么安全单元管理者可以将这个应用的状态设置为锁定状态,以阻止该应用被进一步选择。经发行者安全域认证过的安全单元外部实体确定安全单元上某一个应用由于商业或安全的原因需要被锁定,可以通过安全单元管理者将这个应用的状态设置为锁定状态。一旦状态是锁定状态,只允许发行者安全域解锁这个应用。安全单元管理者将保证解锁后该应用的生命周期状态返回到它的前一个状态。7.2.5应用的删除
在应用生命周期的任何节点,安全单元管理者都可以接收一个请求来删除该应用。先前用于被删除应用的物理存储空间可以被回收并再次被使用。7.2.6应用生命周期的状态迁移
应用生命周期的状态迁移如图3所示。锁定
主安全域
应用安装状态
应用可选择状态
应用自定义状态
一应用私有安全域·应用
图3应用生命周期的状态迁移
7.3安全域生命周期管理
7.3.1安全域生命周期状态wwW.bzxz.Net
本部分对安全域定义了以下生命周期状态:a)安装状态;
b)可选择状态;
e)个人化状态;
d)锁定状态。
7.3.2安装状态
GB/T30001.4—2013
安装状态意味着安全域已经成为安全单元注册表中的一个条目,并且经过认证的安全单元外部实体可以访问这个条目。安全域还是不可选定的,因此安全域的服务不能被应用使用。7.3.3可选择状态
可选择状态表明安全域能够接收来自安全单元外部实体的命令。在该状态,安全域还不能被可执行装载文件或应用关联,因此安全域的服务还不能被应用使用。从安装状态到可选择状态的状态迁移是不可逆的。到该可选择状态的状态迁移可以与安全域的安装过程组合。
7.3.4个人化状态
安全域迁移到个人化状态表明安全域已经具有了完全运行时所需的所有必要的个人化数据和密钥。从可选择状态到个人化状态的状态迁移是不可逆的,在个人化状态下,安全域可以被应用关联,并且它的服务也可以被相关联的应用使用。7.3.5锁定状态
安全单元系统平台或经发行者安全域认证过的安全单元外部实体使用锁定状态作为安全控制来阻止安全域的选定。
如果安全单元系统平台监测到来自安全单元内部的一个威胁,并且确定了该威胁是与某个安全域相关,那么安全单元系统平台可以将这个安全域的生命周期状态设置为锁定状态,以阻止该安全域被进一步选择。
经发行者安全域认证过的安全单元外部实体确定安全单元上某一个安全域由于商业或安全的原因需要被锁定,可以通过安全单元系统平台发起这个应用状态的迁移一旦生命周期状态是锁定状态,只允许发行者安全域解锁这个安全域。安全单元系统平台将保证该安全域的生命周期状态返回到它的前一个状态。7.3.6安全域的删除
在安全域生命周期的任何节点,安全单元系统平台都可以接收一条请求来删除一个安全域先前用于被删除安全域的物理存储空间可以被回收并可以被再次使用。安全单元注册表中的条目也被移除,不再要求安全单元系统平台维护被删除安全域以前存在的记录。7.4生命周期状态的编码
可执行的装载文件的生命周期应按照表1编码。9
iiKacaoaiKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。