QB-╳╳-╳╳╳-╳╳╳╳
Technical Specification of China Mobile
Security and Multi-Space Application Card
2 (CMSAC)
版本号:1.0.0
╳╳╳ ╳-╳╳-╳╳发布 ╳╳╳╳-╳╳-╳╳实施
中国移动通信企业标准
中国移动SIM卡多安全域多应
用管理技术规范
中国移动通信有限公司 发布
QB-╳╳-╳╳╳-╳╳╳╳
目 录
1. 范围........................................................................................................................................... 1 2. 规范性引用文件 ....................................................................................................................... 1 3. 术语、定义和缩略语 ............................................................................................................... 1 4. CMS2AC概述 .......................................................................................................................... 3 5. 系统架构 ................................................................................................................................... 3 6. 卡片架构 ................................................................................................................................... 4
6.2. 主安全域(ISD) .................................................................................................... 5 6.3. 辅助安全域(SSD) ............................................................................................... 6 6.4. CMS2AC API ............................................................................................................ 6 7. 安全架构 ................................................................................................................................... 6
7.1. 目标 ........................................................................................................................... 6 7.2. 安全职责 ................................................................................................................... 7
7.2.1. 中国移动安全职责 ........................................................................................... 7 7.2.2. 应用提供方安全职责 ....................................................................................... 7 7.2.3. 卡上组件安全要求 ........................................................................................... 7 7.2.4. 后台系统安全要求 ........................................................................................... 9 7.3. 密码支持 ................................................................................................................... 9
7.3.1. 卡应用管理完整性及鉴权 ............................................................................... 9 7.3.2. 安全通信 ......................................................................................................... 10
8. 生命周期模型 ......................................................................................................................... 10
8.1. 卡生命周期 ............................................................................................................. 11
8.1.1. 卡生命周期状态 ............................................................................................. 11 8.1.2. 卡生命周期状态变迁 ..................................................................................... 13 8.1.3. 卡生命周期状态说明 ..................................................................................... 14 8.2. 可执行加载文件/可执行模块生命周期 ................................................................ 14
8.2.1. 可执行加载文件生命周期 ............................................................................. 14 8.2.2. 可执行模块生命周期 ..................................................................................... 15 8.3. 应用及安全域生命周期 ......................................................................................... 15
8.3.1. 应用生命周期状态 ......................................................................................... 15 8.3.2. 安全域生命周期状态 ..................................................................................... 17 8.3.3. INSTALLED状态 .......................................................................................... 18 8.4. 生命周期示例 ......................................................................................................... 19 9. 安全域..................................................................................................................................... 21
9.1. 概述 ......................................................................................................................... 21
9.1.1. 主安全域 ......................................................................................................... 21 9.2. ISD 与SSD 的关联 .............................................................................................. 22 9.3. 安全域服务 ............................................................................................................. 23
9.3.1. 应用访问安全域服务 ..................................................................................... 23 9.3.2. 安全域访问应用服务 ..................................................................................... 24 9.3.3. 安全域空间管理 ............................................................................................. 24 9.3.4. 应用个人化的支持 ......................................................................................... 24
I
QB-╳╳-╳╳╳-╳╳╳╳
安全域数据 ............................................................................................................. 28 9.4.1. 主安全域的数据 ............................................................................................. 28 9.4.2. 辅助安全域 ..................................................................................................... 29 9.5. 安全域密钥 ............................................................................................................. 30
9.5.1. 卡上密钥信息 ................................................................................................. 30 9.5.2. 密钥访问权限 ................................................................................................. 31 9.6. 数据和密钥管理 ..................................................................................................... 31 10. 卡和应用管理 ................................................................................................................. 31
10.1. 卡管理器概述 ......................................................................................................... 31
10.1.1. 主安全域 ......................................................................................................... 32 10.1.2. 应用访问主安全域服务 ................................................................................. 33 10.2. 卡命令分发 ............................................................................................................. 33
10.2.1. 基本逻辑信道(Basic Logical Channel) ..................................................... 34 10.2.2. 辅助逻辑信道 ................................................................................................. 36 10.3. 卡应用管理 ............................................................................................................. 39
10.3.2. 卡应用加载和安装 ......................................................................................... 39 10.3.3. 卡应用删除 ..................................................................................................... 48 10.3.4. 内容迁移 ......................................................................................................... 52 10.3.5. 卡应用管理的断电保护及异常处理 ............................................................. 52 10.4. 注册表 ..................................................................................................................... 54
10.4.1. 主安全域数据元素描述 ................................................................................. 55 10.4.2. 应用/可执行加载文件/可执行模块数据元素 ............................................... 55 10.5. 安全管理 ................................................................................................................. 57
10.5.1. 应用锁定 ......................................................................................................... 58 10.5.2. 卡锁定 ............................................................................................................. 59 10.5.3. 卡废止 ............................................................................................................. 60 10.5.4. 操作频次检查 ................................................................................................. 61 10.5.5. 跟踪及事件日志 ............................................................................................. 62 10.5.6. 加密内容加载及安装 ..................................................................................... 62 10.6. DAP验证 ................................................................................................................ 63 10.7. 委托管理 ................................................................................................................. 64
10.7.1. 委托加载 ......................................................................................................... 64 10.7.2. 委托安装 ......................................................................................................... 65 10.7.3. 委托迁移 ......................................................................................................... 66 10.7.4. 委托删除 ......................................................................................................... 67 10.8. 委托管理令牌、响应和DAP验证 ....................................................................... 68
10.8.1. 加载令牌 ......................................................................................................... 68 10.8.2. 加载响应 ......................................................................................................... 69 10.8.3. 安装和迁移令牌 ............................................................................................. 69 10.8.4. 安装响应 ......................................................................................................... 69 10.8.5. 迁移响应 ......................................................................................................... 70 10.8.6. 删除响应 ......................................................................................................... 70 10.8.7. 加载文件数据块Hash值 ............................................................................... 71 10.8.8. 加载文件数据块签名(DAP验证) ............................................................ 71
II
9.4.
QB-╳╳-╳╳╳-╳╳╳╳
11.
安全通信 ......................................................................................................................... 71 11.1. 安全信道 ................................................................................................................. 72 11.2. 显式安全信道 ......................................................................................................... 72
11.2.1. 初始化显示安全信道 ..................................................................................... 72 11.2.2. 终止安全信道 ................................................................................................. 72 11.3. 直接/间接处理安全信道协议 ................................................................................ 73 11.4. 实体鉴权 ................................................................................................................. 73 11.5. 安全报文 ................................................................................................................. 73 11.6. 安全信道协议标识 ................................................................................................. 73 12. APDU命令参考 ............................................................................................................. 74
12.2. 通用编码规则 ......................................................................................................... 75
12.2.1. 生命周期状态编码 ......................................................................................... 75 12.2.2. 应用权限编码 ................................................................................................. 76 12.2.3. 通用错误状态 ......................................................................................... 77 12.2.4. 类别字节编码 ......................................................................................... 77 12.2.5. APDU命令和响应数据 ............................................................................ 77 12.2.6. 密钥类型编码 ......................................................................................... 78 12.2.7. 委托管理响应报文的可选响应 ............................................................. 78 12.3. DELETE命令 ............................................................................................................ 79
12.3.1. 定义和范围 ............................................................................................. 79 12.3.2. 命令报文 ................................................................................................. 79 12.3.3. 命令报文中发送的数据域 ..................................................................... 79 12.3.4. 响应报文 ................................................................................................. 80 12.3.5. 响应报文中返回的数据域 ..................................................................... 80 12.3.6. 响应报文中返回的处理状态 ................................................................. 80 12.4. GET DATA命令 ........................................................................................................ 81
12.4.1. 定义和范围 ............................................................................................. 81 12.4.2. 命令报文 ................................................................................................. 81 12.4.3. 响应报文 ................................................................................................. 84 12.5. GET STATUS命令 .................................................................................................... 85
12.5.1. 定义和范围 ............................................................................................. 85 12.5.2. 命令报文 ................................................................................................. 85 12.5.3. 响应报文 ................................................................................................. 86 12.6. INSTALL命令 .......................................................................................................... 88
12.6.1. 定义和范围 ............................................................................................. 88 12.6.2. 命令报文 ................................................................................................. 88 12.6.3. 响应报文 ................................................................................................. 93 12.7. LOAD命令 ................................................................................................................ 93
12.7.1. 定义和范围 ............................................................................................. 93 12.7.2. 命令报文 ................................................................................................. 94 12.7.3. 响应报文 ................................................................................................. 95 12.8. MANAGE CHANNEL命令 ............................................................................................ 96
12.8.1. 定义和范围 ............................................................................................. 96 12.8.2. 命令报文 ................................................................................................. 96
III
QB-╳╳-╳╳╳-╳╳╳╳
12.8.3. 响应报文 ................................................................................................. 97 12.9. PUT KEY命令 .......................................................................................................... 97
12.9.1. 定义和范围 ............................................................................................. 97 12.9.2. 命令报文 ................................................................................................. 98 12.9.3. 响应报文 ............................................................................................... 100 12.10. SELECT命令 .................................................................................................. 101
12.10.1. 定义和范围 ........................................................................................... 101 12.10.2. 命令报文 ............................................................................................... 101 12.10.3. 响应报文 ............................................................................................... 102 12.11. SET STATUS命令 .......................................................................................... 103
12.11.1. 定义和范围 ........................................................................................... 103 12.11.2. 命令报文 ............................................................................................... 103 12.11.3. 响应报文 ............................................................................................... 104 12.12. STORE DATA命令 .......................................................................................... 105
12.12.1. 定义和范围 ........................................................................................... 105 12.12.2. 命令报文 ............................................................................................... 105 12.12.3. 响应报文 ............................................................................................... 106
附录A CMS2AC API for Javacard ............................................................................................ 107 A.1. 特定需求 ....................................................................................................................... 107 A.2. 对于兼容Global platform 2.1.1 API的类继承关系 ................................................... 109 A.3. Javacard上实现兼容Global platform 2.1.1 API ......................................................... 109 附录B 算法(加密和Hash计算) ................................................................................. 109 B.1. DES算法 ...................................................................................................................... 109 B.1.1. 加解密 ........................................................................................................................... 109 B.1.1.1. CBC模式 .............................................................................................................. 109 B.1.1.2. ECB模式 .............................................................................................................. 110 B.1.2. MAC计算..................................................................................................................... 110 B.1.2.1. 完整的3DES MAC .............................................................................................. 110 B.1.2.2. 单独的DES及最后的3DES MAC ..................................................................... 110 B.2. Hash算法 ..................................................................................................................... 110 B.2.1. 安全Hash算法(SHA-1) ......................................................................................... 110 B.3. 公钥加密方案1(PKCS#1) ...................................................................................... 110 B.3.1. RSA-PCKS#1-v1_5填充 ............................................................................................. 111 B.4. DES填充 ...................................................................................................................... 111 附录C 安全内容管理 ....................................................................................................... 111 C.1. 密钥 ............................................................................................................................... 111 C.1.1. 主安全域密钥 ............................................................................................................... 111 C.1.1.1. 令牌密钥 ............................................................................................................... 112 C.1.1.2. 响应密钥 ............................................................................................................... 112 C.1.2. 安全域密钥 ................................................................................................................... 112 C.2. 密钥校验值的计算 ....................................................................................................... 112 C.3. 加载文件数据块Hash值............................................................................................. 113 C.4. DAP验证 ...................................................................................................................... 113 C.4.1. PKC方案 ...................................................................................................................... 114
IV