中国电信RFID卡管理平台技术规范（暂行）.doc

保密等级：公开发放中国电信集团公司 发布实施发布中国电信RFID卡管理平台技术规范（暂行）RFID Card Management Platform Technology Specification of China Telecom（V1.0）Q/CTXXXX-2009中国电信集团公司技术标准前 言本规范是对中国电信RFID卡管理平台内容提出全面要求，是RFID卡管所需要遵从的纲领性技术文件。本规范主要包括以下几方面内容：业务描述、平台架构、承载方式、功能模块、业务流程、接口要求、系统设备要求等。本技术规范起草单位：中国电信股份有限公司上海研究院本技术规范归口单位：中国电信集团公司个客部本技术规范主要起草人：王勇、彭昭、蒋岩、徐博斌目 录1.范围42.规范性引用文件53.术语、定义和缩略语63.1术语63.2缩略语64.业务描述74.1主要特征74.2业务模式74.3运营模式84.3.1自有应用84.3.2第三方应用85.平台架构95.1网络结构95.2逻辑架构95.3平台功能要求105.3.1卡应用管理(JAVA卡)105.3.2卡信息管理115.3.3业务数据管理115.3.4密钥管理(JAVA卡)115.3.5系统管理126.承载方式136.1功能描述136.2承载方式137.全国系统功能模块147.1供应商管理147.2应用管理(JAVA卡)157.3AID管理167.4用户管理167.4.1卡空间管理(JAVA卡)167.4.2卡信息管理167.5系统管理177.5.1基础数据管理177.5.2监控告警177.5.3性能管理177.5.4故障管理178.省级系统功能模块198.1供应商管理198.2应用管理198.2.1省级应用管理 (JAVA卡)198.2.2卡应用管理(JAVA卡)198.3密钥管理198.3.1安全域密钥(JAVA卡)208.3.2密钥产生(JAVA卡)218.3.3密钥存储218.3.4密钥更新(JAVA卡)228.3.5密钥使用(JAVA卡)228.3.6 Native卡密钥228.4AID管理228.5用户管理228.5.1用户卡信息管理228.5.2用户卡状态管理238.5.3用户卡及应用状态查询管理238.6系统管理239.业务流程(JAVA卡)249.1应用下载249.2应用个人化279.2.1自有及代管应用的个人化289.2.2第三方自管应用的个人化299.3应用删除309.4安全域密钥更新319.5应用锁定和解锁339.6卡片解锁/锁定359.7安全域的删除3610.与RFID卡管理平台相关的发卡流程3711.RFID卡密钥生成3812.接口要求4012.1与UIM卡的接口4012.1.1GP指令协议4012.2与应用提供方的接口4711.2.1应用同步接口4711.2.2同步安全域接口4711.2.3应用下载请求接口4811.2.4应用删除请求接口4811.2.5创建安全域请求接口4811.2.6安全域删除请求接口4811.2.7安全域密钥更新接口4911.2.8应用锁定/解锁请求接口4911.2.9应用指令请求接口4911.2.10卡端操作结果通知接口4911.2.11与读卡器控件接口5012.3与ISAG的接口5012.4与OTA平台接口5012.5全国平台与省RFID卡管理平台接口5113.系统设备要求5313.1UIM卡5313.2业务设备5313.2.1系统性能5313.2.2系统稳定性和安全性5313.2.3数据安全531. 范围本规范对中国电信RFID卡管理平台支撑的业务、平台架构、承载方式、功能模块、业务流程、接口要求、设备要求等方面进行了描述和规范。本规范原则上在中国电信集团内部使用，用于集团公司和省公司开展RFID应用提供技术指导和参考。2. 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。1GSM 11.11Digital cellular telecommunications system （Phase 2+）： Specification of the Subscriber Identity Module Mobile Equipment (SIM-ME) interface (V8.3.0:2000)2GSM 11.14Digital cellular telecommunications system （Phase 2+）：Specification of the SIM Application Toolkit for the Subscriber Identity Module Mobile Equipment(SIM-ME) interface (V8.3.0:2000)3GSM 03.40Digital cellular telecommunications system (Phase 2+)（V7.4.0 :1999-12）3GSM 03.48Digital cellular telecommunications system (Phase 2+); Security Mechanisms for the SIM application toolkit（V6.1.0 :1998-07）5GP2.2Globle Platform3. 术语、定义和缩略语下列术语、定义和缩略语适用于本标准：3.1 术语词语解释MEMobile EquipmentMOMobile OriginatingMTMobile TerminatingMSISDNMobile Station International ISDN Number，移动台国际ISDN号码IMSIInternational Mobile Subscriber Identity，国际移动用户识别码UIMUser Identity ModuleGGSNGateway GPRS Support NodeGPRSGeneral Packet Radio SystemSMSShort Message Service，短消息业务OTAOver The Air，空中下载STKSIM card Tool Kit，SIM卡开发工具包COSChip Operating System，卡片操作系统GPGloble Platform3.2 缩略语名词解释安全域是一种具有特殊权限的应用。每个安全域负责管理自己的密钥，以确保来自于不同应用提供方的应用及数据可以在同一张卡片上共存，而不会破坏彼此的机密性及完整性。主安全域也称“发卡方安全域”，作为发卡方对卡片内容进行管理时的操作代理，支持RFID的UIM卡片必须实现此安全域应用。发卡方可以利用此授权程序加载、安装、删除发卡方或其他应用提供方的应用。发卡方安全域同卡上其它的安全域很相似。辅助安全域类似发卡方安全域，是某个应用提供方或控制机构在卡上的代表。4. 业务描述RFID应用是一种以手机为载体，把非接触式IC卡应用结合于UIM卡中，以卡、阅读器、点对点三种应用模式，实现手机支付、行业应用、积分兑换、电子票务、身份识别、防伪、广告等多种应用的服务产品。RFID应用的使用通过手机用户对终端的操作来完成，UIM卡做为应用在用户端的存储和操作平台，用户和运营商都可以根据需要对卡上的业务进行更新和下载等操作。为了保证RFID应用的推广和使用，运营商需要建立一个平台，对RFID应用和用户进行管理，通过这个平台，运营商可以对UIM卡上的RFID应用进行下载、删除等操作，实现对手机用户和RFID应用的管理，并实现与RFID应用提供平台和其他应用相关平台的接口。4.1 主要特征RFID卡管理平台负责管理UIM卡实现的各类RFID应用的发行、密钥、用户信息、应用数据、生命周期等。RFID卡管理平台支持电信自有业务和第三方应用的接入，提供对自有及第三方业务的认证及授权，提供安全的应用下载、发行通道及应用管理。4.2 业务模式RFID业务的实现和使用涉及用户、卡提供商、POS提供商、终端提供商、运营商、应用提供商。业务整体模型如下：其中用户是RFID应用的最终使用者，卡提供商负责生产支持RFID应用的UIM卡，POS提供商负责提供给用户的RFID应用使用的POS终端和POS管理服务器，终端提供商负责提供支持RFID应用的手机，运营商负责提供RFID应用数据交互的安全通道，应用提供商负责对RFID应用的开发并提供业务服务，对订购等关系管理。4.3 运营模式4.3.1 自有应用自有应用是指电信自己开发维护的应用，业务的整个生命周期都在RFID卡管理平台上管理，电信可通过统一的业务管理平台提供服务。4.3.2 第三方应用l 电信代管电信代管的应用是指下载的业务数据在RFID卡管理平台统一管理的应用。l 第三方自营第三方自营的应用是指应用的业务数据下载和使用完全由第三方自行管理的业务。对于第三方应用电信提供安全的数据交互通道。5. 平台架构5.1 网络结构RFID卡管理平台负责密钥、业务、卡应用、用户和系统的管理以及提供门户网站功能。第三方和自有应用系统负责提供应用。UIM卡数据管理系统负责支持RFID功能的UIM卡的初始数据（包括初始密钥）管理，POS终端、前置和管理服务器负责RFID业务使用时的POS终端服务和管理，RFID卡管理平台和ISAG、PDSN、全国RFID卡管理平台以及其他与应用业务相关的平台有接口。全国RFID卡管理平台负责对各省RFID卡管理平台进行管理，并为部分没有建设省RFID卡管理平台的省份提供服务。5.2 逻辑架构RFID卡管理平台的整体架构如下图所示：5.3 平台功能要求5.3.1 卡应用管理(JAVA卡)RFID卡管理平台对所有RFID应用进行管理，其中对第三方应用，提供安全通道，实现业务管理。应用管理支持POS、短信等多种模式。l 应用下载是指通过空中或POS方式，将应用安装到UIM卡中的过程，应用下载根据需要可以直接进行个人化操作，数据的写入通过各卡商读卡器的写卡组件完成。l 应用个人化是指通过空中或POS方式将指定应用的个人化数据加载到卡上，应用完成个人化后才可以使用。l 应用删除是指通过POS方式，将已经安装在UIM卡中的应用删除的过程。应用删除时可以有删除整个应用程序和个人化数据两种模式，平台可针对不同应用需求灵活配置。l 应用锁定/解锁可以利用空中或POS渠道对运行于UIM 卡中的应用进行管理。一旦应用被锁定，则应用一切正常的业务操作都被禁止。解锁需要通过POS方式进行，解锁后，业务就可以正常使用。5.3.2 卡信息管理l 卡空间管理(JAVA卡)RFID卡管理平台可以实时管理在本平台注册的UIM卡的空间使用，卡空间管理遵照GP规范。l 安全域空间管理(JAVA卡)安全域分为主安全域和辅助安全域，它是UIM卡中划分的逻辑区域，拥有UIM卡内容管理的权限。主安全域在UIM卡发行时写入，由电信管理，辅助安全域可以根据业务需要给应用提供商使用，安全域中可以安装应用，安全域拥有应用安装、删除和管理的权限。辅助安全域可通过预置或由RFID卡管理平台动态创建，RFID卡管理平台拥有UIM卡中安全域与安全域中安装应用的完整视图，可以实现上述两种模式的空间管理。l 卡信息管理RFID卡管理平台对卡片类型、批次、COS版本号、卡上已存在的应用、剩余空间、应用状态等卡信息进行统计或规划。5.3.3 业务数据管理RFID卡管理平台对应用进行管理，包括对应用、应用提供商、安全域、业务发行策略、AID等数据进行管理，对应用生命周期进行控制。l 业务数据管理RFID卡管理平台对各类业务数据进行配置管理，即对应用发行业务涉及到的对象的静态数据进行管理，如应用提供商、应用、安全域和订购关系等。l 生命周期管理业务管理功能负责对应用整个生命周期进行管理，对工作流进行控制。应用生命周期包括初始、已审核、已测试、发布、更新和已归档等等。l AID管理系统对每个RFID应用的AID进行统一的分配和管理。5.3.4 密钥管理(JAVA卡)RFID卡管理平台可实现对卡的主安全域、辅助安全域和相关密钥的管理。l 密钥产生RFID卡管理平台通过加密机生成RFID卡的主安全域以及电信控制的辅助安全域密钥。完全由第三方控制的辅助安全域的密钥由第三方应用平台产生。各具体应用的密钥由各应用平台产生。RFID卡管理平台通知第三方应用平台进行密钥更新。l 密钥下发RFID卡管理平台负责下发安全域密钥。其中主安全域密钥，由卡商预置、可由电信控制的辅助安全域密钥由电信自行写入、由第三方控制的辅助安全域密钥由第三方自行写入。l 密钥存储RFID卡管理平台以密文存储安全域密钥并保证存储安全性。l 密钥更新RFID卡管理平台支持对主安全域密钥及会话密钥的生成，并支持对辅助安全域密钥的生成及更新操作。5.3.5 系统管理l 参数配置对RFID卡管理平台的IP、与ISAG接口、与其他系统接口的参数的管理。l 权限管理平台系统用户的权限和功能的分配管理。l 日志管理平台上应用的使用情况日志数据管理。l 统计分析对应用的使用情况的查询统计。l 备份管理对系统关键数据的备份管理。l 监控告警对系统性能例如CPU使用率、内存和硬盘的剩余空间等进行监控，可设定各项性能的阀值，在性能到达指定的阀值时给出警告。6. 承载方式6.1 功能描述承载方式是指在USIM卡多应用接入管理平台与卡片之间进行数据传输的形式。可选择的指令传输方式有两种：读卡器方式及短信方式。其中POS方式是应用下载、删除及应用管理等操作最主要的传输方式。短信方式适用于应用删除、应用管理等数据量小的操作。6.2 承载方式(1) 短信方式短信方式为目前最为常用的数据承载方式，其特点为：a) 手机开机即进行鉴权，无需额外的通道建立流程；b) 对手机终端无特殊要求，兼容性好；c) 数据量小；d) 基于无连接方式，存在数据丢失的可能；e) 在短信方式下，通过0348协议保证应用下载的安全性。(2) 读卡器发行方式通过读写卡可以实现应用及辅助安全域的下载、删除、更新等业务管理操作，称之为读卡器发行。读卡器发行必须在RFID卡管理平台的监控下实施，保持平台和UIM卡的信息同步。如果卡片未注册，则读卡器业务发行前，应首先通过读卡器进行用户注册，并RFID卡管理平台中建立该客户的注册记录。读卡器应通过内置或安装在联机电脑上的读卡器组件，联网接入RFID卡管理平台。RFID卡管理平台中保存RFID应用程序的数据，控制RFID应用程序的读卡器发行。读卡器发行特点为：a) 通道建立快，只需要实现对RFID卡管理平台的登录即可进行操作；b) 基于IP网络进行大数据量传输，传输速度高；c) 数据传输可靠性高；d) 用户必须到营业厅进行操作，同时需要将UIM卡从手机取出；e) 在读卡器发行方式下，通过SCP02协议保证应用下载的安全性。7. 全国系统功能模块7.1 供应商管理全国系统提供全国级应用供应商管理，具体包含如下方面：l 应用提供商管理全国RFID应用管理平台管理全国级应用提供商，提供注册、查询、修改和注销等多种管理功能。l 属性应用提供商的属性分为基本属性和扩展属性，应用提供商可以通过管理界面自行修改扩展属性，基本属性只能由移动系统管理员修改。基本属性主要包括：应用提供商编号、应用提供商名称、应用提供商类型、工商局注册编号、经营许可证编号、提供应用类型和合作类型等；扩展属性包括：地址、邮编、电话、传真、联系人信息等内容。l 应用提供商注册应用提供商注册时需要具有审批权限的管理员进行审批，审批通过后，将为应用提供商分配其编号及RFID应用管理平台登录账号和密码，并将账号和密码通知应用提供商。操作员将注册资料信息存储在RFID应用管理平台。l 应用提供商信息查询全国RFID应用管理平台系统提供对已经成功注册的全国级第三方应用提供商信息进行查询的功能，包括审核成功、在审和审核失败三种状态的提供商。l 应用提供商信息修改全国RFID应用管理平台对全国级应用的应用提供商的注册资料、已提交的应用文件及参数配置进行存储管理。应用提供商可以通过中国电信为其分配的应用提供商操作员ID登录RFID应用管理平台的应用提供商门户，修改其扩展材料。应用提供商如需要对基本资料进行修改，需先向中国电信书面申请，获取审批后，由RFID应用管理平台管理员对其基本资料进行修改。l 应用提供商注销应用提供商不再与电信公司合作时，全国RFID应用管理平台的管理员将从RFID应用管理平台删除应用提供商的账号及相关资料信息，并通知应用提供商。l 业务展现密码更新应用提供商可通过业务展现功能提请修改密码，业务管理更新其新的密码信息并通知应用提供商密码更新成功。l 应用查询应用提供商通过Portal提交查询请求，RFID应用管理平台处理请求并返回查询结果。l 应用提供商黑名单管理全国级RFID应用管理平台系统管理员可以对应用提供商黑名单进行管理，包括将应用提供商添加至黑名单，从黑名单移除应用提供商。同时提供查询黑名单操作。7.2 应用管理(JAVA卡)全国级RFID应用管理平台实现全国级应用的管理及应用下载方式的能力封装，并下发给各省平台，应用管理模块应该包含如下功能：Ø 生命周期根据卡片应用在不同阶段的状态不同，卡片应用生命周期分为初始、已审核、已定义、已测试、发布和已归档几个状态。其中，已定义、已测试和已发布属于产品管理阶段。Ø 应用上传应用提供商提交应用程序，RFID应用管理平台管理员向相关职能部门申请为该应用分配新的AID，并录入相关信息到系统，其中系统管理的卡片应用程序版本号格式为：AID+软件版本号+日期。Ø 应用审核具有审核权限的审核员对提交的应用程序进行审核，给出审核结果（通过或者不通过）。Ø 应用测试具有测试权限的测试人员对通过审核后的全国级应用程序进行测试。若测试通过，记录该应用支持的批次号。管理员可以在RFID应用管理平台确认测试完成。Ø 应用归档成功发布后的应用可以进行“注销”操作，当管理员确认注销某应用，应用程序进入归档状态且不再使用。Ø 应用发行模式针对不同应用提供商和业务的需求，RFID应用管理平台提供多种应用发行模式，主要包括应用下载及个人化模式和个人化模式，对未预置应用的卡片选择执行应用下载及应用个人化操作，对预置应用的卡片仅需执行应用个人化操作。Ø 应用删除模式 与应用发行相对，RFID应用管理平台提供多种应用删除模式。在应用需要被更新或者应用已经无效的情况下，RFID应用管理平台可以删除UIM卡上的应用代码及所有相关的个人化信息。应用被删除后，应用空间将会被卡片回收并用于新的应用的下载。RFID应用管理平台可以仅删除UIM卡上的应用的实例的清除个人化信息，应用的代码被保留在卡片中，需要重新使用应用时，仅需要创建应用的实例并下载应用个人化信息。Ø 应用下发全国级RFID应用管理平台可以进行将全国级应用下发到省的管理，可以指定应用下发的省份，对于全国级应用只有下发到省后，该省才可以进行应用的下载删除等管理。7.3 AID管理全国级RFID应用管理平台提供对AID的管理，具体如下：l 对全国和地方性应用分配不同的AID编号范围l 实现应用的整体规划管理及全国范围的推广7.4 用户管理用户UIM卡在首次进入RFID应用前，会进行自动注册，管理平台收到卡片的注册信息后，向卡下发注册确认，UIM卡收到注册确认后，就不再上发注册信息。注册信息包括：卡片类型、批次、COS版本号、卡上已存在的应用、剩余空间、应用状态等信息。平台端也可以主动发起注册请求，要求用户卡注册。卡片密钥等信息在每批次卡下发给用户前必须存储在平台端，以保证用户正常使用，在有省级平台的情况下，该部分功能可由省级平台管理。用户管理，是在RFID卡管理平台中对于涉及到最终用户的管理部分，运营商可以通过用户管理模块实现对于用户的卡空间管理及卡信息管理。7.4.1 卡空间管理(JAVA卡)全国RFID卡管理平台可以对已注册卡内空间进行规划。7.4.2 卡信息管理卡信息包括：卡片类型、批次、COS版本号、卡上已存在的应用、剩余空间、应用状态的 统计及规划，通过短信方式实现对已注册卡内的信息管理上报，上报方式分为自动上报和平台查询两种方式l 自动上报：1、卡片上报卡信息至平台 2、平台下发上报确认消息l 平台查询：1、平台主动下发卡信息查询消息 2、卡片上报卡内信息 3、平台下发上报确认消息7.5 系统管理7.5.1 基础数据管理l 参数配置：系统应具备对于系统中相关参数配置的功能。l 权限管理：系统应具备分级的权限管理能力，可以创建，修改和删除行为（action），角色（role）和管理员权限，并且将相应的行为，角色分配给不同的管理员权限。l 日志管理：系统应具备日志管理能力，包括包括业务日志、网关通信日志等l 统计分析：系统应提供业务数据的查询和统计，如全国级应用的统计等。7.5.2 监控告警系统应具备对于系统本身的性能管理和对于故障告警的管理能力。7.5.3 性能管理性能管理是向网络运营者提供网络设备的性能特征，以供网络趋势分析、网络扩建、网络控制时参考。l 监视网络性能，定期收集网络中所有网元设备包括卡片管理系统、应用管理系统等的性能参数统计；l 监视所有网元设备的运行状况，如响应速度、用户连接并发情况、用户访问分布等；l 检查其他相关服务的运行状况，如数据库的响应性能；l 在性能分析的基础上，对制约网络性能的相关参数进行调整，提高网络性能。7.5.4 故障管理故障管理负责监视网络设备的故障告警，进行故障诊断及定位分析。提供对各个网络设备及网络的状态跟踪，在某个网络设备出现故障或异常时，能够及时醒目地通知管理人，迅速恢复故障。l 实时监视网络运行状态和设备故障，以图形和文本方式显示网络告警；l 所有网络设备都必须提供状态通知功能，定期将各自的各项状态指标通知相关的管理人员；l 所有网络设备都必须有报警功能，设置必要的报警条件，另外报警手段也不能过于单一；l 对产生的故障告警及事件信息进行记录，以便用户对历史告警进行查询。定期进行告警日志的维护及删除；l 当一个物理设备发生故障时，可能产生多个失效告警，网管系统应能够进行故障定位，确定与实际失效有关的告警。故障可定位到设备的端口级；l 应能够在不影响网络正常业务的情况下，完成连通性测试、网络传送能力测试等。网络测试可在故障发生前有计划地进行，也可以在发现问题后作为诊断手段；l 为便于故障定位分析或链路性能分析，各种服务器应接收网管系统发来的连通性测试要求，并返回测试结果。8. 省级系统功能模块省级系统提供省级应用供应商管理，具体包含如下方面：8.1供应商管理省级RFID应用管理平台管理省级应用提供商，提供注册、查询、修改和注销等多种管理功能，省级系统针对省级应用的应用提供商进行管理，具体功能与全国级类似，参见7.1 8.2应用管理省级RFID应用管理平台实现省级应用的管理及应用下载方式的能力封装管理及卡应用管理功能。8.2.1省级应用管理 (JAVA卡)省级RFID应用管理平台实现省级应用的管理及应用下载方式的能力封装，提供对省级应用生命周期管理、应用上传、应用审核、应用测试、应用归档、应用发行模式及应用删除模式的管理，具体功能与全国级类似，参见7.28.2.2卡应用管理(JAVA卡)省级RFID应用管理平台提供对省级应用及全国级应用的下载、个人化、删除、锁定及解锁功能，详见5.3.1。8.3密钥管理中国电信作为卡片发行商负责卡片及应用初始密钥的导入、存储及生成。根据实际的需要，也可以扩展为独立的卡密钥密钥管理和应用密钥管理系统。应用提供商建立私有的密钥体系来负责应用的密钥管理，供自有或可信任的第三方的应用管理系统使用。各个密钥系统之间相互隔离，以便为卡片及应用提供相互隔离的安全环境。省级密钥管理平台从密钥传输卡中获取对应省份的应用根密钥和卡管理根密码，进一步分散成卡的密钥。密钥管理具备以下主要的功能：l 保证会话安全密钥管理系统可以为一个新创建的会话生成一个临时的会话密钥，以保证整个会话的安全性。l 数据加密使用同一个会话密钥对同一会话中的一系列命令数据进行加密，保证数据能够被安全地传送到目标用户。l 数据解密将从用户卡片发回的响应数据进行解密。l 密钥导入密钥管理系统允许第三方进行密钥的导入操作。当新的卡片被提交给用户后，如果这些卡片的密钥不是通过对一个给定的主密钥的分散操作后获取的话。系统允许用户直接为这些卡片导入一组全新的密钥。发行后的密钥管理主要包括如下的内容：l 安全域密钥的管理(JAVA卡)包括主控密钥和维护密钥。l 应用密钥的管理(JAVA卡)包括签名密钥等等。对于签名密钥，GP规范采用RSA算法的CA机制，考虑实际需要，也可采用其他算法来保证。8.3.1安全域密钥(JAVA卡)8.3.1.1安全域安全域分成两类管理：(1) ISD（主安全域）：ISD是卡必备的一个安全域，由电信控制，主安全域可增加或删除SSD，主安全域一般存放电信自己的应用。ISD在卡片出厂前预置。(2) SSD（从安全域）：存放中国电信代管的第三方应用以及第三方自主管理的应用，该安全域的控制方可以对存放的应用进行操作和维护，如下载新应用、应用升级和删除。SSD分为：a) 中国电信控制的SSD：由电信控制管理，该安全域存放委托的第三方应用。应用/数据等由第三方产生，安全域密钥、应用/数据等都由中国电信操作。b) 第三方控制的SSD：该安全域存放的应用由第三方自行操作维护，有两种操作模式： 第三方获得电信授权，对安全域存放的应用进行操作（使用Token密钥的方式）；（实验初步阶段暂不实现）； 第三方不需电信授权，对安全域存放的应用进行操作（无Token密钥）。Token说明：令牌用于第三方在从安全域中进行操作的授权管理，用于授权第三方对卡所做的操作。一旦使用该功能，当第三方应用平台要对卡进行操作（下载、安装、更新、删除）时，除了掌握卡安全域密钥或应用密钥外，还必须临时获得RFID卡管理平台授予的令牌。RFID卡管理平台的Token管理模块为第三方应用平台的本次操作生成Token并记录第三方应用平台对卡的操作信息。卡片接收第三方应用平台操作指令后要验证临时Token，验证通过则执行操作指令。8.3.1.2安全域密钥安全域密钥，包括主控密钥，用于在安全信道的初始化和使用过程中保证应用程序数据的完整性和机密性，以及卡和卡外实体的互认证。每个安全域，包括主安全域，拥有一组密钥，分别是密钥S-ENC，密钥S-MAC和密钥DEK。其中，l 密钥S-ENC为安全信道加解密密钥，密钥长度16bytes，用于安全信道的认证和数据加解密，加解密算法为DES。l 密钥S-MAC为安全信道消息验证码密钥，密钥长度16bytes，用于安全信道MAC值的生成和校验。l 密钥DEK为数据加解密密钥，密钥长度为16bytes，用于敏感数据的加解密，采用DES算法。上述安全域密钥均为种子密钥，在安全信道的初始化和使用过程中分别通过分散算法分散出相应的会话密钥。实际使用的是分散得到的会话密钥。安全域密钥存放在卡上的安全区域内，由COS统一管理。8.3.2密钥产生(JAVA卡)l RFID卡管理平台可以获取由加密机实时计算的卡片的主安全域密钥。l ISD Key或电信自有的SSD Key由加密机产生，加密机存储各省公司的主密钥。l 第三方SSD Key由第三方管理并产生。l Dat key：对于第三方安全域电信不需知道，由第三方管理；ISD的DAP Key（私钥）保存在RFID卡管理平台上，由加密机产生公私钥对，将公钥通知给卡管，并由卡管负责写入卡片中。l 第三方密钥加密密钥Key：由第三方管理并产生，RFID卡管理平台通知第三方put Key。8.3.3密钥存储l RFID卡管理平台要保证密钥存储的安全性。必须以秘文方式存储，由卡商自己确定加密方式。l 卡片存储各类传输相关密钥及GP相关密钥，卡片需确保密钥存储的安全性。8.3.4密钥更新(JAVA卡)l RFID卡管理平台支持对辅助安全域(SSD)密钥的生成、更新操作。l RFID卡管理平台支持对主安全域密钥的生成，会话密钥生成，安全信道中加解密计算，MAC计算。8.3.5密钥使用(JAVA卡)l 与GP协议相关的ISD、SSD、DAP等密钥的使用，遵循GP规范中的相关要求。8.3.6 Native卡密钥l Native卡密钥分主控密钥和维护密钥两种，主控密钥类似与JAVA卡安全域的密钥，维护密钥对应于应用密钥，Native卡的密钥的使用参考JAVA卡的密钥。8.4AID管理l 省级RFID应用管理平台提供对卡内应用下载及预置应用提供索引功能 8.5用户管理用户管理，是在RFID卡管理平台中对于涉及到最终用户的管理部分，运营商可以通过用户管理模块实现对于用户的订购关系管理，用户卡片和应用状态查询，并可以根据需要对于中国电信客服系统或者AP系统提供查询统计和同步接口。8.5.1用户卡信息管理 用户UIM卡在首次进入RFID应用前，会进行自动注册，管理平台收到卡片的注册信息后，向卡下发注册确认，UIM卡收到注册确认后，就不再上发注册信息。注册信息包括：卡片类型、批次、COS版本号、卡上已存在的应用、剩余空间、应用状态等信息。平台端也可以主动发起注册请求，要求用户卡注册。卡片密钥等信息在每批次卡下发给用户前必须存储在平台端，以保证用户正常使用。8.5.2用户卡状态管理管理平台根据卡上的操作，更新应用下载、删除、锁定、解锁等状态，更新卡片剩余空间，应用的个数等信息。8.5.3用户卡及应用状态查询管理根据用户手机号码，和对应的应用（已安装应用，及应用状态），查询用户的卡片和应用信息管理。8.6系统管理 同7.69. 业务流程(JAVA卡)9.1应用下载应用下载既通过读卡器方式将中国电信自有及托管应用下载到UIM卡片的ISD或者中国电信拥有的SSD中，对第三方自有应用下载方式平台暂不支持。l 应用下载流程：(1) 读卡器PC客户端与RFID卡管理平台建立连接；(2) 读卡器PC客户端下发卡片复位指令到卡片，并建立与卡片的连接；(3) 连接建好后，读卡器PC客户端向RFID卡管理平台发送应用下载请求；(4) RFID卡管理平台接收到应用下载请求后，获取由加密机实时计算的卡片主安全域密钥；(5) RFID卡管理平台卡片主安全域应用（此过程中，读卡器和读卡器PC客户端透传指令）；(6) 卡片向RFID卡管理平台返回主安全域选择确认信息（此过程中，读卡器和读卡器PC客户端透传指令）；(7) RFID卡管理平台与卡片之间使用卡片主安全域密钥建立安全信道（此过程中，读卡器和读卡器PC客户端透传指令），显式安全信道初始化；(8) RFID卡管理平台经由读卡器PC客户端和读卡器透传下载应用到卡片；(9) 卡片检验应用数据的完整性；(10) 卡片经由读卡器和读卡器PC客户端透传应用下载确认到RFID卡管理平台；(11) RFID卡管理平台经由读卡器PC客户端和读卡器透传应用安装指令到卡片；(12) 卡片执行应用安装；(13) 应用安装完成后，卡片把应用安装确认经由读卡器和读卡器PC客户端透传到RFID卡管理平台；(14) RFID卡管理平台接收到确认信息后，更新卡片信息数据库中相应的卡片信息；(15) RFID卡管理平台向读卡器PC客户端返回应用下载确认信息。l 应用及安全域数据安全域相关：项目安全域AIDLoadFileAID：516个字节，可空， HEX StringExeLoadFileAID：516个字节，可空， HEX StringExeModuleAID：516个字节，可空， HEX String应用安装参数：2n， HEX String应用加载参数：2n， HEX String应用cap文件hash值：20个字节， HEX String应用权限：标记是否安全域应用安装最小Size应用文件(.cap) 可为空所属安全域AID安全域管理最大空间安全域类型0，主安全域；1，移动自有辅安全域；2，移动代管第三方安全域；3，第三方安全域。安全域删除规则：应用为空是否删除安全域，1：删除0：不删所有者编号应用相关信息：项目应用AIDLoadFileAID：516个字节， HEX StringExeLoadFileAID：516个字节， HEX StringExeModuleAID：516个字节， HEX String应用安装参数：2n， HEX String应用加载参数：2n， HEX String应用cap文件hash值：20个字节， HEX String应用权限：标记是否安全域应用安装最小Size是否预置应用文件(.cap) ，文件开头包括0或多个DAP签名所属安全域AID应用名称应用版本JVM版本GP版本应用描述批次号数量卡片批次号l 应用下载流程图9.2应用个人化在应用下载后，对于某些应用，仍