第4章接触式集成电路(IC)卡国际标准.ppt

上传人：文库蛋蛋多

文档编号：2696832

上传时间：2023-02-22

格式：PPT

页数：86

大小：650.51KB

《第4章接触式集成电路(IC)卡国际标准.ppt》由会员分享，可在线阅读，更多相关《第4章接触式集成电路(IC)卡国际标准.ppt（86页珍藏版）》请在三一办公上搜索。

1、第4章接触式集成电路(IC)卡国际标准（二）,第4章接触式集成电路(IC)卡国际标准,4.1 概述4.2 ISO7816-4 行业间交换命令规定的范围4.3 数据结构4.4 卡的安全结构4.5 应用协议数据单元（APDU）信息结构4.6 基本行业间命令4.7 面向传输的行业间命令4.8 历史字节4.9 与应用无关的卡服务4.10 ISO/IEC 7816-5应用标识符的编号系统和注册过程,ISO/IEC 7816-4，行业间交换用命令。ISO/IEC 7816-5，应用标识符号系统和注册过程。,接触式IC卡的国际标准为ISO/IEC 7816。,ISO/IEC 7816-13 在第3

2、章中已介绍，本章主要介绍7816-4 5。,4.1 概述,return,ISO/IEC 7816-6，行业间数据元。ISO/IEC 7816-7，关于结构化卡询问语言的行业间命令。ISO/IEC 7816-8，与安全有关的行业间命令。ISO/IEC 7816-9，附加的行业间命令和复位应答。ISO/IEC 7816-10，用于同步卡的电信号和复位应答。,return,4.2 ISO7816-4 行业间交换命令规定的范围,在接口设备与IC卡之间传送的命令和应答信息的内容。在复位应答期间由IC卡发送的历史字节内容。当处理交换用行业间命令时，在接口见到的文件结构和数据。在卡中的文件和数据的

3、访问方法。定义在卡中的文件和数据访问权限的安全结构。安全报文的交换方法。对由卡处理的算法的访问方法。,return,4.3.1 文件的组织结构（P70图）,4.3 数据结构,主文件MF（master file）根文件，必有的。专用文件 DF(dedicated file)，可选的。基本文件 EF(elementary file)，可选的。,return,DF,DF,逻辑文件组织,return,内部基本文件工作基本文件,2.基本文件的结构（P70图）,基本文件,1.基本文件的分类,四种,透明结构具有固定长度记录的线性文件具有可变长度记录的线性文件具有固定长度记录的环形文件,?,return,1.

4、文件访问方式,4.3.2 数据访问（存取）方式,当文件不能被默认选择时，可采用：,利用文件标识符 MF标识符=3F00依靠路径链接当前文件标识符被选文件标识符利用短EF标识符短EF标识符5位代码利用DF名字 DF名字长度（1-16字节）,return,2.数据访问方式,记录访问数据对象访问数据单元访问,数据访问,（1）对记录结构的EF访问,用记录标识符或记录编号访问，（无符号8位整数，值01-FE，00、FF保留）。记录标识符由应用提供，记录是 Simple-TLV数据对象，则数据对象的第一个字节为记录标识符。,return,按数据对象的头（标志tag）进行访问,（2）对数据对象的访问,B

5、ER(basic encoding rules)-TLV(tag length value)包括2个或3个字段，其中T字段由1个或几个字节组成，L字段由1个或几个字节组成；V字段由L字段决定，L字段不空，则V字段的长度为L个字节，若L字段为空，则无V字段。,ISO/IEC 7816-4协议支持两种数据对象：BER-TLV Simple-TLV,return,T字段,T字段的第一个字节是数据对象的类别（class）、类型（type）和编号（number）。,类别由b8b7表示：b8b700，为通用类；b8b701，为应用类；b8b710，为上下文特定类；b8b711，为私用b8b7类。,retu

6、rn,类型由b6表示：b60，为原型数据类；b61，为结构数据类；,编号由b5b1决定，但与长度有关。如长度为1个字节，b5b1为标志的编号；如长度大于1个字节，则b5b1为全“1”，下一字节的b8位为1，b7b1为编号，而最后一个编号字节的b8位为0。,return,L字段,L字段为单字节时，b80，b7b1的数据是V字段的字节数。L字段为多字节时，b81，b7b1的数值表示本字段后跟的字节数，这些字节的数值是V字段的字节数。,V字段,原型BER-TLV数据对象的V字段由0个，1个或多个simple-TLV数据对象组成。结构数据对象的V字段由0个、1个或3个字段组成。,return,Simp

7、le-TLV数据对象,由2个或3个字段组成。T字段为单字节，值从1到254，可用作标识符。L字段由1个字节或3个字节组成。如L字段的第一个字节的内容从00到FE，则表示L字段由1个字节组成。如为FF，则表示第2，3两个字节为L的值。如L字段为空，则无V字段。,return,数据单元的访问由命令的偏移值给出。其下一个数据单元的位置由命令的偏移值加1后产生。默认数据单元长度为1个字节。,（3）对数据单元的访问,return,三种模式文件控制参数（FCP）文件管理数据（FMD）文件控制信息（FCI）,4.3.3 文件控制信息（FCI）,文件控制信息为数据字节串，在选择文件命令的应答信息中。,ret

8、urn,文件控制参数（FCP）：传送文件控制参数，其数据对象有：,return,文件管理数据（FMD）模式：传送文件管理数据，在本协议、ISO/IEC7816-5或7816-6中指定的BER-TLV数据对象。,文件控制信息（FCI）模式：传送FCP和FMD。,return,4.4.1 安全状态（完成操作后的当前状态）,4.4 卡的安全结构,ATR与PPS后完成认证过程的命令后通过password认证后通过密钥认证后通过安全信息后,当前状态:,全局安全状态、特定文件安全状态、特定命令安全状态,三种安全状态:,return,4.4.2 安全属性,定义了允许执行的操作及操作过程。,每一文件都有安全属

9、性，应满足一定的安全条件，才允许对文件进行操作。文件的安全属性依赖于：,文件的种类（DF或EF）；在文件中和/或其父文件中控制信息的可选参数,return,password鉴别密钥鉴别数据鉴别（数字签名）数据加密,4.4.3 安全机制,鉴别的结果登录在EF中。,return,4.5 应用协议数据单元（APDU）信息结构(Application Protocol Data Unit),应用协议的操作步骤：发送一个命令（command）、在接收此命令的实体中进行处理、回送一个应答。,特点：命令应答成对接口设备卡间的互传,return,命令信息和应答信息可包含数据，也可不包含数据，有4种数据

10、组合：,命令无数据，应答无数据；命令无数据，应答有数据；命令有数据，应答无数据；命令有数据，应答有数据。,return,命令APDU包含一个必备的命令头（4字节）和一个可选的可变长度的命令体。,4.5.1 命令APDU,1.命令APDU,命令头（4字节）,命令体,return,命令头（4字节）,命令体,命令头为命令的编码，其中：类别字节 CLA指令字节 INS参数字节 P1参数字节 P2命令体：Lc为体内数据长度，Data 为发送的数据，Le为期望应答数据字段的长度。,return,命令APDU的四种结构,其中Lc和Le有短型（S）和扩展型（E），长度分别为1字节和3字节。,return,2.

11、命令体的编码,return,4.5.2 应答APDU,应答APDU由可变长度的体（可选的）和2字节尾部（必备的）组成：,可变长度的体,2字节尾部,其中，体的字节数由命令APDU的Le指出。Data是接收设备接收命令APDU并进行处理后送回发送设备的数据。SW1和SW2为状态代码。,return,4.5.3 命令头部、数据字段、应答尾部的规定,表 4.5 命令APDU内容,1.类别字节CLA,CLA的编码和意义，见表4.6。,2.指令字节INS,指令码为6或9的指令是无效的。,return,3.参数字节P1、P2,P1、P2可为任意值，如不用该参数则将它置成“00”。,4.应答状态字节SW1-S

12、W2,SW1-SW2是在卡接收到命令并经过处理后送出的应答信号，指出卡的处理状况。,return,SW1-SW2,正常处理,警告,执行错误,检查错误,900061,62,63,64,65,67 6F,状态字节的结构图,return,4.6 基本行业间命令,这些命令是在接口设备和IC卡之间传送的，IC卡执行异步传输协议（T0或T1）。,一个命令的功能由若干条CPU指令完成。,1.读二进制命令（Read Binary Command）,功能：读出基本文件（EF）内容,当命令包含一个有效的短EF标识符时，则将此文件作为当前EF。本命令对当前EF进行处理。仅当安全状态与此EF的安全属性相适应，才执行。

13、,使用条件与安全：,return,命令信息与应答信息,表 4.17 读二进制命令APDU,return,表 4.18 读二进制应答APDU,警告条件,SW162，且SW281 部分返回数据可能是错的；82 在读出Le字节之前，文件已结束。,return,出错条件,（1）SW167，且SW200 长度错误（错误Le域）；,（2）SW169，且SW281 命令与文件组织不适配；82 安全状态不满足；86 命令不允许（没有当前EF）。,（3）SW16A，且SW281 功能不支持；82 没有找到文件。,return,（4）SW16B，且SW200 参数错误（偏移值超出EF）。,（5）SW16C，且SW

14、2 长度错误（Le有错，指出合适的长度）。,2.写二进制命令（Write Binary Command）,功能：将二进制数据写入基本文件（EF）使用条件与安全命令信息与应答信息警告条件出错条件,return,功能使用条件与安全命令信息与应答信息警告条件出错条件,3.修改二进制命令（Update Binary Command）,4.擦除二进制命令（Erase Binary Command）,功能使用条件与安全命令信息与应答信息警告条件出错条件,return,5.读记录命令（Read Records Command）,6.写记录命令（Write Records Command）,功能使用条件与安

15、全命令信息与应答信息警告条件出错条件,功能使用条件与安全命令信息与应答信息警告条件出错条件,return,7.增加记录命令（Append Record Command）,8.修改记录命令（Update Record Command）,功能使用条件与安全命令信息与应答信息警告条件出错条件,功能使用条件与安全命令信息与应答信息警告条件出错条件,return,9.取数据命令（Get Data Command）,10.存数据命令（Put Data Command）,功能使用条件与安全命令信息与应答信息警告条件出错条件,功能使用条件与安全命令信息与应答信息警告条件出错条件,return,11.选择文件命

16、令（Select File Command）,12.验证命令（Verify Command）,功能使用条件与安全命令信息与应答信息警告条件出错条件,功能使用条件与安全命令信息与应答信息警告条件出错条件,return,13.内部鉴别命令（Internal Authenticate Command）,14.外部鉴别命令（External Authenticate Command）,功能使用条件与安全命令信息与应答信息警告条件出错条件,功能使用条件与安全命令信息与应答信息警告条件出错条件,return,15.取口令命令（Get challenge Command）,16.管理通道命令（Manage

17、channel Command）,功能使用条件与安全命令信息与应答信息警告条件出错条件,功能使用条件与安全命令信息与应答信息警告条件出错条件,return,4.7 面向传输的行业间命令,1.取应答命令（Get Response Command）,功能：卡向接口设备发送APDU。（用其他命令不能发送的部分）使用条件和安全：无命令信息和应答信息：,表4.62 取应答Get Response 命令APDU,return,表 4.63 取应答（Get Response）应答APDU,表 4.64 应答APDU 的状态字节,return,2.信封命令（Envelope Command）,功能：用于发送

18、APDU，或部分APDU，或数据串。（用其他命令不能发送的部分）使用条件和安全：无命令信息和应答信息：,表4.65 信封Envelope 命令APDU,return,表 4.66 信封（Envelope）应答APDU,在Envelope Command的Data字段发出的命令状态字节有可能在信封应答的数据字段中找到。,出错条件：SW167，SW200 长度错误（Le字段不正确）。,return,4.8 历史字节,4.8.1 目的和一般结构,确立了7816-3作为传输协议后，历史字节告诉外部环境如何使用卡。历史字节的信息可以在ART文件中找到。,由3个字段组成：,1.类型指示符（1字节）2.可

19、选COMPACT-TLV对象 3.条件状态指示符（3字节）,return,4.8.2 类型指示符（必备的）,第一个历史字节是类型指示符。,return,1.国家/发行者指示符,4.8.3 可选COMPACT-TLV对象,此数据对象由1Y或2Y引出。,2.卡的服务数据,此数据对象由31引出。当该数据对象不存在时，卡仅支持隐含的应用选择。,return,3.初始访问数据,7816协议中允许被检索的数据对象串。,此数据对象由41、42、或45引入。,4.卡的发行者数据,此数据对象是可选的且长度可变。由卡发行者定义结构和编码。该数据对象由5Y引入。,return,5.发行前数据,该数据对象是可选的且长

20、度可变。其结构和编码不在ISO/IEC部分定义，它用于指示：,卡制造商集成电路类型集成电路制造商ROM掩膜版本操作系统版本,该数据对象由6Y引入。,return,6.卡的能力,该数据对象是可选的且长度可变。其数值字段由第一个软件功能表，或开始两个软件功能表，或三个软件功能表组成。,该数据对象由71、72或73引入。,return,4.8.4 状态信息,状态信息由三个字节组成：卡的生命状态（1字节）；SW1-SW2（2个状态字节）。,卡的生命状态的值为00表示不提供卡的生命状态，值80到FE是专用的，所有其他值保留于将来使用。,SW1-SW2为 9000 表示正常处理。SW1-SW2为 0000

21、表示不指示状态。,return,4.8.5 DIR 数据访问,如果类别指示符为10，其后随字节是DIR数据访问，该字节的编码及意义已超出本协议。,return,4.9 与应用无关的卡服务,4.9.1 定义和范围,与应用无关的卡服务是提供卡与终端之间的交换机制。支持卡服务的有：,1.历史字节；2.一个或多个保留的EF内容；3.行业间命令的序列。,return,1.卡鉴别服务：允许终端识别此卡，并知道如何处理；2.应用选择服务：允许终端知道在卡中哪种应用在活动以及如何去选择和启动在卡中的应用；数据对象检索服务：允许检索在7816某一部分中定义的数据对象；文件选择服务：允许选择不知名的DF和EF；

22、文件I/O服务：允许访问存储在EF中的数据。,卡服务定义如下：,return,4.9.2 卡识别服务,包括卡向外部提供有关其逻辑内容的信息以及所有应用均感兴趣的若干个通用数据。,卡识别数据的信息包含：历史字节中；复位应答后立即选择的隐含文件中。,return,4.9.3 应用选择服务,可以由卡隐含选择一个服务，或用它的名字显式选择一项应用。,1.隐含应用选择,隐含选择一项应用时，应用标识符应该在卡标识数据中指示出。如不存在于卡标识数据中，应存在于ATR文件中。,return,2.直接应用选择,在多应用环境中的卡，对字节应用选择确实地作出应答，该命令指定应用标识符作为DF名。在命令APDU中提供

23、应用标识符。,表4.77 命令编码（直接应用选择）,return,4.9.4 数据对象检索服务,数据对象的检索依赖于下述方法：,数据对象存在于卡识别数据中。数据对象存在于DIR文件。,检索数据对象所需信息通过间接方法在ISO/IEC7816-6中定义。,return,4.9.5 文件选择服务,从当前的DF到一个被选的EF。（选择文件的数量路径长度/21）,如何路径长度4字节，则路径中所有有效的DF标识符被选到，此时执行的选择文件命令可能多于一个。,return,4.9.6 文件I/O服务,当用于行业间交换的文件已被选择好，有关交换的内容将由下列命令APDU完成：,1.如第一个功能表缺，或不支持

24、面向记录的命令，将执行下表：,表4.80 读透明文件的命令编码,2.如第一个功能表表示支持面向记录的命令，将执行下表：,表4.81 读面向记录的命令编码,return,4.10 ISO/IEC 7816-5应用标识符的编号系统和注册过程,应用标识符（AID）的作用确定卡应用的地址。,注册应用提供者向主管当局申请分配标识符RID。,编号系统的作用规定卡应用的寻址方式和机制。,return,4.10.1 定义和缩写,应用标识符（AID）识别卡中应用的一个数据单元，应用标识符可以包括注册应用提供者标识符。,应用提供者是一个实体，它提供了用于实现不同应用的卡上的一个应用的组成部分。,return,应

25、用标签一个用于人机接口的数据单元。,应用模板一个数据单元，可能存在于一个DIR文件中，包含一个或多个与应用相关的ASN.1对象。,ASN.1对象包含1字节标志，后跟1字节体长信息，随后是至多127字节的一个体。,return,目录（DIR）文件一个可选的基本文件，包含被卡所支持的应用列表，还包含定义在ISO/IEC 7816-5中可选的相关数据单元。,主文件（MF）、路径（Path）、复位应答（ATR）文件、数据单元（data element）定义在7816-3和7816-4中。,return,4.10.2 数据单元,应用标识符（AID）AID使用十六进制编码，首字节最高的4位是注册类

26、别，用来区别注册标识符和专用应用标识符。,数据单元：,原始ANS.1对象，含一个数据单元（用P表示）；结构ASN.1对象，含原始或结构对象（用C表示）；,return,表4.83 注册类别,注册类别,return,（1）注册类别09,应用标识符（AID）,IIN为发行者标识号，定义在ISO 7812中，IIN的第一个数字为注册类别（09），如IIN为奇数个数字，将在最低字节的14位填补F；PIX是专用应用表示扩展名，如存在，将前置一编码为FF的字节；IIN的长度未定义，AID的总长度216个字节。,return,（2）注册类别A,应用标识符（AID）,RID是应用提供者标识符，由4位注册类别（

27、1010）和36位（9个数字）注册应用提供者编号组成，其长度为5个字节；PIX是专用应用表示扩展名，长度11个字节。,return,（3）注册类别D,应用标识符（AID）,RID是应用提供者标识符，由4位注册类别（1010）和36位（9个数字）注册应用提供者编号组成，其长度为5个字节；PIX是专用应用表示扩展名，长度11个字节。,return,（4）注册类别F,应用标识符AID仅包含专用应用标识符一项。AID的长度为116字节。标识符不注册，不同应用提供者可能使用相同的AID。,应用标签,该应用单元可被应用提供者指定，用于人机接口，如商标。长度：016字节。,return,路径,在ISO/IE

28、C 7816-5中，所有路径开始于主文件。该数据单元的字节数为偶数，长度：0126。,可执行命令,该数据单元是关于应用选择的命令APDU。长度：4127字节。,任意数据,应用提供者可将任何有关信息填入该数据单元。长度：0127字节。,return,任意ANS.1 对象,长度：0127字节。,应用模板,包含一个或多个与应用有关的ASN.1对象，必须包含应用标识符。,return,4.10.3 检索ASN.1对象,7816-5中的ASN.1对象存在于：,ATR 历史字节中；DIR 文件中；ATR 文件中；ASN.1 被使用的任何命令或应答消息中。,return,4.10.4 数据单元的使用,1.应

29、用标识符,确定可以在卡中初始化的应用；识别在卡中一个特定应用的访问方法；,应用标识符的功能：,2.检索应用标识符,如果卡中提供了应用标识符检索，则在DIR文件、ATR文件中可以读到应用标识符。,return,3.应用选择,（1）使用AID直接应用选择使用Select File 命令来选择，指定AID为DF名。,卡支持下列应用选择方法：,（2）使用DIR文件或ATR文件选择一个DIR文件包含与序列应用模板ASN.1对象或AID ASN.1对象，这些序列可在ATR文件中。,return,（3）隐含应用选择在ATR或PPS后，可以隐含选择一个应用，在历史字节中指示。,4.命令执行ASN.1 对象的使

30、用,该ASN.1 对象包含有关应用程序选择的命令消息。,多应用卡不要使用隐含应用选择。,return,4.10.5 标识符的注册,1.请求分配RID,一个已命令和标识的应用提供者，可以向他的国家标准化团体提出分配RID的要求。国家标准化团体作为该请求的主管当局。,“全国信息技术标准化技术委员会”，其秘书处设在“信息产业部标准化研究所”。,return,2.主管当局,（1）请求分配分配RID的请求可以通过以下团体提交注册当局：,任何ISO的成员团体；负责ISO/IEC 7816-5的ISO技术团体；任何被ISO进行了有关RID授权的组织。,return,（2）主管当局的责任,从他们负责的国家或地区接收RID的注册表；提交给注册当局请求RID的注册表；,3.注册当局,ISO理事会指定：,KTASISO/IEC 7816-5 Registration authority Teglholmsgrade 1DK-1790 Copenhagen V,作为注册当局,return,注册当局的责任,分配应用提供者号，注册RID并通知主管当局安排请求；保存分配给应用提供者标识符的注册表；每年向负责ISO/IEC 7816-5的ISO技术团体秘书处提交注册表copy；国家标准化团体要求一份注册表copy的要求成为可能，该copy提供后不可散发到任何第三方。,return,