QB-╳╳-╳╳╳-╳╳╳╳
C.4.2. C.5. C.6. C.6.1. C.6.2. C.6.3. C.7. 附录D D.1. D.1.1. D.1.2. D.1.2.1. D.1.3. D.1.4. D.1.5. D.2. D.3. D.3.1. D.3.2. D.3.3. D.4. D.4.1. D.4.2. D.4.2.1. D.4.2.2. D.4.3. D.4.4. D.4.5. D.4.6. D.5. D.5.1. D.5.1.1. D.5.1.2. D.5.1.3. D.5.1.4. D.5.1.5. D.5.1.6. D.5.1.7. D.5.2. D.5.2.1. D.5.2.2. D.5.2.3. D.5.2.4. D.5.2.5.
DES方案 ...................................................................................................................... 114 加载文件数据块Hash和DAP的比较 ....................................................................... 114 令牌机制 ....................................................................................................................... 115 加载令牌 ....................................................................................................................... 115 安装令牌 ....................................................................................................................... 116 迁移令牌 ....................................................................................................................... 117 安全域密钥标识 ........................................................................................................... 118
安全信道协议“02” ........................................................................................... 118 安全通信 ....................................................................................................................... 118 SCP02安全信道 ........................................................................................................... 119 实体鉴权 ....................................................................................................................... 119
显式安全信道初始化 ........................................................................................... 120 报文完整性 ................................................................................................................... 121 报文数据机密性 ........................................................................................................... 121 安全等级 ....................................................................................................................... 121 加密密钥 ....................................................................................................................... 122 加密算法 ....................................................................................................................... 123 加密块链接(CBC)模式 ........................................................................................... 123 利用显式安全信道初始化的报文完整性ICV ........................................................... 123 ICV加密 ....................................................................................................................... 123 加密用途 ....................................................................................................................... 123 DES会话密钥 .............................................................................................................. 123 显式安全信道初始化中的鉴权算法 ........................................................................... 124
卡片鉴权密文 ....................................................................................................... 124 主机鉴权密文 ....................................................................................................... 124 APDU命令C-MAC的生成和验证 ............................................................................ 124 APDU响应R-MAC的生成和验证 ............................................................................ 126 APDU命令数据域加解密 ........................................................................................... 127 敏感数据加解密 ........................................................................................................... 128 安全信道APDU命令 .................................................................................................. 128 INITIALIZE UPDATE命令 ......................................................................................... 129
定义和范围 ........................................................................................................... 129 命令报文 ............................................................................................................... 129 引用控制参数P1-密钥版本号 ............................................................................ 130 引用控制参数P2.................................................................................................. 130 命令报文中发送的数据域 ................................................................................... 130 响应报文 ............................................................................................................... 130 处理响应报文中的状态 ....................................................................................... 130 EXTERNAL AUTHENTICATE命令 .......................................................................... 131
定义和范围 ........................................................................................................... 131 命令报文 ............................................................................................................... 131 引用控制参数P1-安全等级 ................................................................................ 131 引用控制参数P2.................................................................................................. 132 命令报文中发送的数据域 ................................................................................... 132
V
QB-╳╳-╳╳╳-╳╳╳╳
D.5.2.6. D.5.2.7. 附录E E.1. E.2. E.2.1. E.2.1.1. E.2.1.2. E.2.1.3. E.2.1.4. E.2.1.5. E.2.1.6. E.2.2. E.3. E.4. E.5. E.5.1. E.5.2. E.5.2.1. E.5.2.2. E.5.3. E.5.3.1. E.5.3.2. E.5.3.3. E.5.3.4. E.5.3.5. 附录F F.1. F.2. 附录G G.1. G.2. 附录H H.1. H.2. 附录I I.1. I.1.1. I.1.2. I.2. I.2.1. I.2.2. 附录J 附录K
响应报文 ............................................................................................................... 132 处理响应报文中的状态 ....................................................................................... 132 安全信道协议“80” ........................................................................................... 132 安全通信 ....................................................................................................................... 132 安全报文结构 ............................................................................................................... 133 命令报文包结构 ........................................................................................................... 133
SPI编码方案 ....................................................................................................... 135 KIC编码方案 ...................................................................................................... 136 KID编码方案 ...................................................................................................... 137 加密校验和的KID编码方案(CC) ............................................................... 137 冗余校验的KID编码方案(RC) ......................................................................... 137 计数器管理 ........................................................................................................... 138 响应报文包的结构 ....................................................................................................... 139 密钥说明 ....................................................................................................................... 140 最低安全级别 ............................................................................................................... 141 安全信道支持的指令 ................................................................................................... 141 应用私有指令 ............................................................................................................... 141 远程文件管理指令 ....................................................................................................... 141
UICC公共文件的远程管理 ............................................................................... 142 ADF文件的远程管理 ......................................................................................... 142 远程应用管理指令 ....................................................................................................... 142
INSTALL .............................................................................................................. 143 LOAD.................................................................................................................... 144 PUT KEY ............................................................................................................. 144 GET STATUS ....................................................................................................... 144 GET DATA ........................................................................................................... 145 安全域创建举例 ................................................................................................... 145 本地方式创建银行安全域 ........................................................................................... 145 空中方式创建银行安全域 ........................................................................................... 147
安全域个人化举例 ............................................................................................... 147 本地方式进行安全域个人化 ....................................................................................... 147 空中方式进行安全域个人化 ....................................................................................... 149
安全域删除举例 ................................................................................................... 149 本地方式删除安全域 ................................................................................................... 149 空中方式删除安全域 ................................................................................................... 150 应用个人化举例 ........................................................................................................... 151 利用应用访问安全域服务的能力 ............................................................................... 151 本地方式个人化流程 ................................................................................................... 151 空中方式个人化流程 ................................................................................................... 154 利用安全域访问应用的能力 ....................................................................................... 155 本地方式个人化流程 ................................................................................................... 155 空中方式个人化流程 ................................................................................................... 158 AID编码规定 ............................................................................................................... 160
辅助安全域的初始密钥 ....................................................................................... 161
VI
QB-╳╳-╳╳╳-╳╳╳╳
附录L 附录M
校验位计算 ........................................................................................................... 161 CMS2AC、GBA、PKI的比较 ........................................................................... 161
VII
QB-╳╳-╳╳╳-╳╳╳╳
前 言
本标准的目的。
本标准主要包括以下几方面内容 。
本标准的附录 为标准性附录,附录 为资料性附录。 本标准由中移 号文件印发。
本标准由中国移动通信有限公司 提出并归口。 本标准由标准归口部门负责解释。 本标准起草单位:中国移动通信研究院 本标准主要起草人:
VIII
1. 范围
本标准规定了 ,供中国移动内部和厂商共同使用;适用于 。 2. 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
表2-1
[1] QB-D-003-2005 《×××规范版本号》 中国移动通信有限公司 [2] 《GlobalPlatform Card GlobalPlatform Specification 2.1.1》
[3] 《Smart Cards; Secured ETSI TS 102.225 packet structure for UICC based applications》
[4] 《Smart cards; Remote APDU ETSI TS 102.226 structure for UICC based applications》 《GlobalPlatform Card GlobalPlatform [5]
Specifi-cation, 2.1.1》 version
Card GlobalPlatform
[7] 《GlobalPlatform Specification, version 2.2》
3. 术语、定义和缩略语 下列术语、定义和缩略语适用于本标准:
表3-1 术语、定义
词语 解释
表3-2 缩略语
词语 AID APDU API ASCII
解释
应用标识符(Application Identifier)
应用协议数据单元(Application Protocol Data Unit) 应用程序接口(Application Programming Interface)
美国信息交换标准代码(American Standard Code for Information Interchange)
1