GB T 29271.1-2012 识别卡 集成电路卡编程接口 第1部分：体系结构.pdf

《GB T 29271.1-2012 识别卡 集成电路卡编程接口 第1部分：体系结构.pdf》由会员分享，可在线阅读，更多相关《GB T 29271.1-2012 识别卡 集成电路卡编程接口 第1部分：体系结构.pdf（24页珍藏版）》请在麦多课文档分享上搜索。

1、 .川飞，.:.f?!i.ii!.:!，!.:，!.!. ，剖面_f.:.，_-=一二十二牛二_fSi!，马.汗江.二、，_r:.:_ . -. .-r.-一二二、_-.A:.:.:!:!l.:.工古:、a:，飞.工:.: 巳:-凶ICS 35.220.10 L 64 共和国国家标准中华人民GB/T 29271.1-2012月SO/IEC24727-1 : 2007 识别卡集成电路卡编程接口第1部分:体系结构Identification cards-Integrated circuit card programming interfaces一Part 1 : Architecture (lSO

2、/IEC 24727-1 :2007 ,IDT) 2013-06-01实施2012-12-31发布发布中华人民共和国国家质量监督检验检蜜总局中国国家标准化管理委员会今飞乱叫什夕阳S作川-、气川盹回渎蕴Mm副主-drbH川PM咄TA，f、/即制而GB/T 29271. 1-20 12/ISO/IEC 24727-1 :2007 自次EWH111344444556666678 例口一和服捕问即出实愧qnuu口性构服.u卖)件川川UU属结性用口时一录文-uuuu构系立应述型接口刊附用义结体独端描模卡接的性引定性构要系辑议户力据用接时则料性和语作结概体逻协客能数通连E原资围范语略操系。全um范规术缩互

3、体J2345678JJ安i言言666队6.队6.666录前引1234567附I GB/T 29271.1-2012月SO/IEC24727-1 : 2007 目。GB/T 29271识别卡集成电路卡编程接口分为以下6个部分z一一第1部分z体系结构z一-第2部分z通用卡接口;一一第3部分z应用接口;二一第4部分z应用编程接口(APD管理E一一第5部分z测试规程z第6部分z实现互操作的鉴别协议的注册管理规程。本部分为GB/T29271的第1部分。本部分按照GB/T1. 1-2009给出的规则起草。本部分使用翻译法等同采用ISO/IEC24727-1: 2007(识别卡集成电路卡编程接口第1部分z体

4、系结构。与本部分中规范性引用的国际文件有一致性对应关系的我国文件如下zGB/T 16649.15-2010识别卡集成电路卡第15部分z密码信息应用(lSO/IEC7816-15: 2004 ,IDT) 一-GB/T16263-2006 信息技术ASN.1编码规则(lSO/IEC8825: 2002 , IDT) 一一-GB/T29271. 2-2012 识别卡集成电路卡编程接口第2部分z通用卡接口(lSO/IEC 24727-2:2008 ,IDT) 本部分做了下列编辑性修改z将国际标准中范围的第一段描述性的文字改至引言中z在规范性引用文件中增加了文中引用到的标准z增加了部分缩略语z一一删除国

5、际标准中的参考文献。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本部分由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。本部分起草单位z中国电子技术标准化研究院、东信和平智能卡股份有限公司、北京华大智宝电子系统有限公司、深圳市特种证件研究制作中心。本部分主要起草人z金倩、黄小鹏、李金良、严金波阳山GB/T 29271.1-2012月SO/IEC24727-1 : 2007 51 吉同GB/T 29271定义了一组集成电路卡(lCC)和外部应用之间交互的编程接口，包括多部门使用的通用服务。ICC的组织和操作符合ISO/IEC7816-4 0 GB/T

6、 29271与不同应用领域之间有互操作要求的ICC应用相关。GB/T 29271定义了接口以实现独立的实现方法之间的互操作。GB/T 29271详细定义了服务的查找机制，其查找方法包括为客户端应用提供的查找方法:一一ICC中可选的卡端应用z一每一个卡端应用的相关信息。GB/T 29271的第1部分规定体系结构，它为本标准后续部分提供了基本的背景信息。鼓励使用GB/T 29271的开发者阅读这一介绍性质的第1部分。第1部分中规定的概念的技术细节在其他部分中提供。GB/T 29271的第2部分详述功能和相关信息结构，它们可用于GB/T29271的第3部分中定义的接口的实现。GB/T 29271的第

7、3部分详述由一个客户端应用拉起使用的服务访问机制。GB/T 29371的第4部分详述通信校中两个相邻组件之间的可信机制和连接机制。GB/T 29271的第5部分详述测试规程。GB/T 29271的第6部分规定实现互操作的鉴别协议的注册管理规程。用于第3部分的功能通常存在于ICC之外，用于第2部分的功能通常存在于ICC之内。N GB/T 29271. 1-20 12/ISO/IEC 24727-1 :2007 1 范围识别卡集成电路卡编程接口第1部分:体系结构GB/T 29271的本部分规定了z一一系统结构和操作原理s能力查找机制;一-安全原理。本部分与接口技术的物理层无关。2 规范性引用文件下

8、列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单适用于本文件。GB/T 16649.4-2010识别卡集成电路卡第4部分z用于交换的结构、安全和命令(lSO/IEC7816-4: 2005 , IDT) ISO/IEC 7816-15识别卡集成电路卡第15部分E密码信息应用(Identificationcards-Integrated circuit cards-P.缸t15: Cryptographic information application) ISO/IEC 8825 信息技术ASN.1编码规

9、则Onformationtechnology-ASN. 1 encoding rules) ISO/IEC 24727亿识别卡集成电路卡编程接口第2部分z通用卡接口(Identificationcards Integrated circuit card programming interfaces-Part 2: Generic card interface) ISO/IEC 24727-3识别卡集成电路卡编程接口第3部分z应用接口(Identificationcards Integrated circuit card programming interfaces-Part 3: Applic

10、ation interface) ISO/IEC 24727-4识别卡集成电路卡编程接口第4部分z应用编程接口(APl)管理口dentificationcards-Integrated circuit card programming interfaces-P缸t4: Application programming interface (APl) administrationJ 3 术语和定义3. 1 3.2 下列术语和定义适用于本文件。鉴别autbentication 在身份或识别中评估信任级别的过程。鉴别协议autbentication prot配01鉴别的具体过程。1 GB/T 2927

11、1. 1-20 12/ISO/IEC 24727-1 :2007 3.3 3.4 3.5 3.6 3. 7 3.8 卡card集成电路卡。卡端应用card-application ICC中可唯一寻址的功能集，能向客户端应用提供数据存储和计算服务。害户端应用client-application 需要访问一个或多个卡端应用的处理软件。费量据元data element 在接口处可见的信息项，可以是名称、逻辑内容描述、格式和编码。GB/T 16649.4一201).定义3.12J 数据集d;t饱回t实现互操作的数据结构的名称集合。用于互操作的数据结构data structure for interop

12、e,rability GB/T 16649. 4文件结柏(由两个字节作为文件标识特)，或ISO/IEC8825 BER-TL V数据对象(由人位位串编码的ASN.1标签)。3.9 差异特征diffrential-identity 由名称、标识和鉴别协议组戚的信忌集。3. 10 通用卡访问层generic由rdacc四slayer 向服务访问层提供lSO/IEC剖727-2接口的组件。3. 11 t只iidentification 可以使一个实体被辨别或感知的一组特征和过程的集合。3. 12 接口interface 实现独立或不相关的系统之间衔接、相互操作或相互通信。3. 13 互操作性inte

13、roperability 符合GB/T29271的任何卡端应用接口可以被符合GB/T29271的任何客户端应用使用的性能。3. 14 标识marker 差异特征中代表一个实体唯一特征的信息项。2 GB/T 29271.1-2012月SO/IEC24727-1 :2007 3. 15 中间件middleware 连接两个其他方面独立的应用的软件。3. 16 服务service 在接口处可见的处理功能的集合。3. 17 服务访问层service access layer 向客户端应用提供ISO/IEC24727-3 A凹的组件。4 缩略语下列缩略语适用于本文件。AID: 应用标识符(applica

14、tionidentifier) ACD:应用能力描述(applicationcapabi1ity description) APDU: 应用协议数据单元(applicationprotocol data unit) API:应用编程接口(applicationprogramming interface) BER:基本编码规则1(basic encoding rules) CCD:卡片能力描述(cardcapability description) DSI:实现互操作的数据结构(datastructure for interoperability) GCAL: 通用卡访问层(genericcar

15、d access layer) GCI:通用卡接口(genericcard interface) IAS:身份、鉴别和数字签名服务identity，authentication, and (digitaD signature servicesJ ICC:集成电路卡(integratedcircuit card) IFD:接口设备(interfacedevice) OID:对象标识符(objectidentifier) PKI:公钥基础设施(publickey infrastructure) RFU: ISO/IEC保留供将来使用(reservedfor future use by ISO/IE

16、C) SAL:服务访问层(serviceaccess layer) SM:安全报文传输(securemessaging) SMC:安全报文传输控制(securemessaging controD 3 GB/T 2927 1. 1-20 12/ISO/IEC 24727-1 :2007 TLV:标签-长度，值(tag-length-value) URL:统一资源定位符(uniformresource locator) 注:OID的获取见GB/T26231-2010信息技术开放系统互连O囚的国家编号体系和注册规程儿5 互操作性互操作即实现了对于任何符合GB/T29271的卡端应用提供的接口都可以被

17、任何符合GB/T29271的客户端应用使用。GB/T29271定义的一组接口和查找机制可视为被测试验证过的独立的实现方法。GB/T 29271在两个层面上定义了接口z一一客户端应用和服务接口之间z一一服务访问层和通用卡接口之间。对每个具体的接口，其所支持的功能在GB/T29271的相关部分中定义。GB/T 29271适用于ICC直接提供或间接提供的能力描述，这些能力在6.6中描述。服务接口、通用卡接口和能力描述可以根据将来ICC技术的发展而进一步扩展。6 体系结构6. 1 概要GB/T 29271将在主机平台上运行的客户端应用和能被客户端应用调用的一组分层服务分开。服务的组织结构将在服务接口、

18、通用卡接口和ICC上的卡端应用中进一步定义。6.2 体系结构属性服务接口的实现特征见6.5。通用卡接口的实现特征见6.80连接接口的实现特征见6.9。可信信道接口的实现特征见6.100卡端应用管理数据集。命名每个数据集，并且数据集列表对于客户端应用是可见的，可以通过直接信息或者查找的方式获取。当客户端应用请求在数据集上运行服务时，将会使用到数据集名称。数据集的访问是通过访问控制列表来控制的。访问控制列表描述了在数据集上运行一个操作应满足的安全条件。ISO/IEC24727-3提供了访问控制列表、身份和操作的额外细节。在ICC上，卡端应用被组织为一个阿尔法卡端应用和一个或多个卡端应用。卡端应用在

19、服务接口处可通过AID来选择。6.3 逻辑体系结构图1说明了GB/T29271中定义的客户端应用、分层及接口与存在于ICC中的卡端应用之间的关系。从客户端应用到卡端应用的请求流程以表示请求或确认的方向性箭头标示。每个箭头的命名表达了GB/T29271所支持的功能。本部分将不对一个请求或一个确认的实际格式和语法进行详述。GB/T 2927 1. 1-20 12/ISO/IEC 24727-1 :2007 客户精应用臼蛐?臻、mu m 配w 陆丁.务访问层通用请求ISO/IEC 24121-2通用卡接口|:2| Hnn版务通用卡访问层卡端应用这些机制可能不存在、可能存在一个，或两者都有.GB/T

20、29271的逻辑体系结构圄1GB/T 29271中的功能能够以多种方式实现。协议独立性GB/T 29271定义的接口是以独立于(在客户端应用和卡端应用之间建立通信所需的协议的方式6.4 规定的。图1表示了层和接口的堆拢。代理是按元素接口的一种实现方式，它允许枝元素分开实现。例如，图1中的卡端应用就是实际卡片的代理。附录A详细说明了堆技实现的结构。5 害户端应用服务访问层接口ISO/IEC 24727-3中对服务接口进行了详细的描述。6.5 G/T 29271.1-2012月SO/IEC24727斗:2007服务接口的实现方式有z一将一个操作请求转化为一个或多个通用请求z将一个或多个通用确认转化

21、为一个操作确认。服务接口包括z一使用通用卡接口实现客户端到卡端的连接z一一客户端应用到卡端应用的安全性依据安全原则实现;一一密码服务P一一差异特征服务。6.6 能力描述服务接口和通用卡接口的规定是为了能简单方便地查找存在于ICC中的卡端应用的能力。实现这种查找机制的信息结构即为能力描述。GB/T 29271详述了两个级别的能力描述zCCD用于查找一个或多个存在于ICC中的卡端应用。CCD存在于阿尔法卡端应用中。CCD提供APDU转换信息。ACD可与卡端应用一起被提供。如果ACD存在，通常用于告知额外请求实体的出现或卡能力的改进。ISO/IEC 24727-2详述了能力描述。能力描述的目的是在通

22、用卡接口和服务接口中实现查找。任何通用卡接口和服务接口之间的命令响应对的转换都可以使用能力描述来规定。ISO/IEC 24727-2将进一步详述关于使用ICC中的卡端应用如何组织、保护、恢复和更新信息的能力描述方法。6. 7 数据模型数据模型定义数据元及其之间的相互关系。数据模型是应用程序特定的，可被客户端应用查找。6.8 通用卡接口ISO/IEC 24727-2定义了一种访问ICC中卡端应用的方法。ISO/IEC24727-2中详述的通用卡接口提供一组固定的功能。通用卡接口的实现方式有z一一转化一个通用请求为一个或多个特定请求z转化一个或多个特定确认为一个通用确认。ISO/IEC 24727

23、-2定义了适用于数据处理、安全管理和管理的功能。6.9 连接接口ISO/IEC 24727-4提供应用于组件间的连接接口的详细描述。一个连接接口的实现通常为在通信校中两个相邻的组件之间建立通信信道。6. 10 可信信道接口ISO/IEC 24727-4提供应用于组件间的可信信道接口的详细描述。一个可信信道接口的实现通常为在通信战中的两个相邻的组件之间建立安全通信信道。. GB/T 29271. 1-20 12/ISO/IEC 24727-1 :2007 7 安全原则GB/T 29271使用GB/T16649.4-2010的5.4中定义的安全概念和机制。GB/T 29271支持源于GB/T166

24、49.4的安全报文传输的特殊模式。GB/T 29271实现方式的安全依赖于将GB/T16649. 4定义的安全体系结构机制映射到ICC支持的安全体系结构机制的性能。密码信息查找可以用多种方式来实现，例如=能力描述的使用;一-ISO/IEC7816-15的使用。ISO/IEC 24727-3从客户端应用的角度详细描述了基本安全机制。7 GB/T 29271.1-2012月SO/IEC24727-1 :2007 A.1 概要附录A(资料性附录实现结构示倒本附录描述了每一个设想的结构。请注意，并不包含所有的结构。下面的图中体现了IFD与其他传输层的连接细节，但是关于在卡端应用、IFD、一个或多个GB

25、/T 29271分层和客户端应用之间实现通信方面的讨论则超出GB/T29271的范围。提供下面的客户端应用的服务可以使用APDU命令响应对作为发送一个请求和接收一个确认的方法。本附录没有详述所示接口的语法和语义。每个图代表一个单一客户端应用和一个单一卡端应用通信的物理体系结构，如图A.l所示。图中并未详述任何在卡端接口的请求/确认交换的可能扩展。阳I-ICC纽件ICC 中间件ICC服务客户端应用圄A.1物理体系结构第6章中的图1和图A.l从不同的角度展示了相同的系统。图1从逻辑角度阐明了体系结构，图A.l则是从物理角度阐述。在逻辑和物理角度之间的组件的映射依赖于本附录下面章条列出的实现结构的选

26、择。8 下面筒要描述图A.l中的物理体系结构。ICC服务z实现向客户端应用和ICC使用端提供服务。ICC: ICC服务的一个元素。其组件与物理ICC相同。GB/T 2927 1. 1-20 12/ISO.月EC24727-1 :2007 Non-ICC组件z该元素代表在ICC服务中提供的所有其他功能。该元素是对ICC的补充。电信号:ICC服务的两个主要功能部分通过一个被称为电信号的信道来通信。电信号的具体类型例如zISO/IEC 7816-3(T=O , T=l)、ISO/IEC7816-12 USB, ISO/IEC 14443非接触不在GB/T29271规定范围内。ICC 1/0: 这是I

27、CC的一个组件。它的目的是将从电信号信道接收到的信息转化为发送到卡端应用的请求。此外，该组件还将从卡端应用接收到的确认转化为电信号，并通过电信号信道发送它们。ICC 1/0不在GB/T29271规定范围内。IFD 1/0: 该功能包含在non-ICC组件中，和I1/0的功能类似。IFD1/0不在GB/T29271规定范围内。卡端应用z见3.4.中间件z见3.5。A.2 离散层结构离散层结构如图A.2所示。Noo-JC级铃客户端应用ICC 卡端应用说明gGCI一一通用卡接口gACD一一应用能力描述sCCD一一卡能力描述.圄A.2每个接口和层的离散实现ICC服务9 GB/T 29271. 1-20

28、 12/ISO/IEC 24727-1 :2007 该结构阐明了ISO/IEC24727-2和ISO/IEC24727-3是通过不同的组件来实现的。该结构的提出是为了满足不断进化的需求。作为ICC代理的服务，通用卡访问层能向现存配置的、可调用的ICC提供必要的转化。A.3 组合的结构组合的结构如图A.3所示。N锢-ICC级待ICC 中间件未指定卡端应用ICC服务说明:ACD-一应用能力描述gCCD一一卡能力描述.客户端应用圄A.3组合的实现该结构建议服务接口、查找和任何APDU的转化都由一个单一的软件组件来实现。lSO月配24727-2通用卡接口和lSO/配24727-3服务访问层之间的相互作

29、用没有在该图中规定。10 GB/T 29271.1-2012月SO/IEC24727-1 : 2007 On-ICC通用卡访问层结构A.4 On-ICC通用卡访问层结构如图A.4所示。议19J.GCl 遁用卡接口sACD一一应用能力描述sCCD-一一卡能力描述.曰曰.cc 卡端应用ICC服务。-mHH口部on-ICC级待配I确认OCI请求客户端应用11 通用卡访问层在ICC上实现该结构建议通用卡接口和访问层都在ICC上的实现。APDU命令响应对的转化不可预期。图A.4GB/T 29271. 1-20 12/ISO/IEC 24727-1 :2007 A.5 On-ICC服务访问和通用卡访问层的

30、实现On-ICC服务访问和通用卡访问层的实现如图A.5所示。Non-ICC经ft:操作请求操作确认客户端应用lCC 卡端应用回回ICC服务说明zSAL一一服务访问层gGCAL-通用卡访问层gACD一一应用能力描述gCCD一一卡能力描述.固A.5服务坊间和通用卡访问层在ICC上的实现该结构表明，GB/T16649.4没有将封装操作定义为标准APDU。12 GB/T 29271. 1-20 12/ISO/IEC 24727-1 :2007 A.6 可加载的/固定的non-ICC组件能力描述集合可加载的/固定的non-ICC组件能力描述集合如图A.6所示。客户端应用ICC 卡端应用ICC服务说叨:G

31、CI 一一通用卡接口zGCAL-通用卡访问品ACO一一应用能力描述gCCD 卡能力描述.图A.6可下毒或固定的结构可加载结构是提供给不支持加载能力描述的ICC的。CCD和ACD通过米指明方法的中间件来提供。固定结构也是提供给不支持加载能力描述的ICC的。另外，该中间件支持一组已知的ICC实现方法。该能力描述可以被明显的提供或隐藏在中间件的功能中(例如=一个可加载的APl).注2当不存在用于CCP/ACD查我的ISO/IEC24727-2实现的互操作的具体的方法时，该特殊的结构类型可以引起一个challenge命令来达到互操作.13 GB/T 2927 1. 1-20 12/ISO/mC 247

32、27-1 :2007 A.7 Web服务结构Web服务结构如图A.7所示。沁盟-ICC级ff电信号服务软件封装的客户端应用圄A.7服务结构ICC 卡端应用回日说明zACD一一应用能力描述gCCD一一卡能力描述gWS一-Web服务.该结构建议可通过Web应用访问Web服务接口。可将Web服务层视为一个本地客户端应用，该应用对于web应用ISO/IEC24727-3定义的服务接口或非指定的)私有接口是公开的。14 1 A.8 多应用结构多应用结构如图A.8所示。Non-ICC级待符合Iso/c24727的客户端应用GB/T 29271.1-2012月SO/IEC24727-1 :2007 符合78

33、16APDU响应符合ISO/IEC7816的客户端应用说明zGCI-一通用卡接口zACD一一应用能力描述sCCD一一卡能力描述.圄A.8多应用结构民二CICC服务该结构图说明在ICC中ISOjIEC24727卡端应用与其他ISOjIEC7816卡端应用可以共存。15 GB/T 2927 1. 1-20 12/ISO/IEC 24727-1 :2007 A.9 堆榜的分布式实现堆榜的分布式实现如图A.9所示。远程主机服务访问层普通词用私有卡端应用代理的私有调用服务访问层普通词用私有通用代理私有调用本地主机私有卡端应用代理的私有调用在商接口服务代理普通调用遐用卡访问层普通调用私有卡端应用代理私有词

34、用圄A.9堆榜的分布式实现卡+读卡器私有毒集口ICC 这些图使用相同的语法(普通调用、框图的粗体底线)来访问具体的API和通用卡接口(斑纹框架。该结构确保嵌入到堆按中的层或者通过代理例如z卡模拟器、一致性测试工具的访问不会影响到标准模块，还规定那些层也提供通用卡接口并使用公有的调用。16 2 喝.GB/T 2927 1. 1-20 12/ISO/IEC 24727-1 :2007 服务调用被标为私有是因为它们没有访问相关标准的接口。例如，在本地主机和远程主机间传送可以使用安全包。当一个堆钱元素的用户主张堆梳元素不能在相同的机器上实现时，此处需要定义一个代理。A.10 使用可信机制的分布式实现使

35、用可信机制的分布式实现见图A.I0.本地PC客户端应用(浏览器)服务客户端应用翅赂尔:袋口通用卡访问层可信机制雨一-t-圄A.10使用可信机制的分布式实现该结构体现了如何实现可信机制。当服务端通用卡访问层发送一个请求给服务端通用接口，即表明需要使用可信机制。在SMC的帮助下，可信机制产生一个安全请求，通过可信信道来发送，并处理来自可信信道的安全确认。任何响应数据都以纯文本形式传送给服务端通用卡访问层。面hOONHFEhNh叮NU时间。自NFON|二hNmNH阁。华人民共和国家标准识别卡集成电路卡编程接口第1部分z体系结构GB/T 29271. 1-2012/ISO/IEC 24727-1 :2007 国中 中国标准出版社出版发行北京市朝阳区和平里西街甲2号(100013)北京市西城区三里河北街16号(100045)网址总编室:(010)64275323发行中心:(010)51780235读者服务部:(010)68523946中国标准出版社秦皇岛印刷厂印刷各地新华书店经销* 印张1.5字数39千字2013年5月第一次印刷开本880X 1230 1/16 2013年5月第一版秘书号:155066. 1-46948定价24.00元如有印装差错由本社发行中心调换版权专有侵权必究举报电话:(010)68510107G8/T 29271.1-2012 打印日期:2013年5月17日F002A