GB T 16649.15-2010 识别卡 集成电路卡 第15部分：密码信息应用.pdf

《GB T 16649.15-2010 识别卡 集成电路卡 第15部分：密码信息应用.pdf》由会员分享，可在线阅读，更多相关《GB T 16649.15-2010 识别卡 集成电路卡 第15部分：密码信息应用.pdf（76页珍藏版）》请在麦多课文档分享上搜索。

1、道BICS 35.240.15 L 64 和国国家标准主t-飞、中华人民G/T 16649. 15-2010/ISO/IEC 7816-15:2004 识别卡集成电路卡第15部分:密码信息应用Identification cards-Integraed circuit cards Part 15: Cryptographic nformaton application (ISO/IEC 7816-15: 2004 , IDT) 2011-04心1实施2010-12-01发布发布中华人民共和国国家质量监督检验检菇总局中国国家标准化管理委员会队舍AVa割草/F-R 切时可楠、付mmJV飞川、凶6、

2、-M非窍，9崎GB/T 16649.15-201 O/ISO/IEC 7816-15: 2004 目次前言I引言.EI 范围2 规范性引用文件.3 术语和定义.4 符号和缩略语.4 5 通则.6 密码信息对象.7 CIO文件.8 ASN.1中的信息语法10附录A(规范性附录)ASN.1模块M附录B(资料性附录)具有数字签名鉴别功能的卡的CIA示例.附录C(资料性附录)示例拓扑结构附录D(资料性附录)CIO值和它们的编码的示例参考文献.70G/T 16649.15-201 O/ISO/IEC 7816-15: 2004 目。昌GB/T 16649在总标题识别卡集成电路卡下目前由下述部分构成:一一

3、第1部分:带触点的卡物理特性;一一第2部分:带触点的卡触点的尺寸和位置;一一第3部分:带触点的卡电信号和传输协议;一一第4部分:用于交换的结构、安全和命令;一一第5部分:应用标识符的国家编号体系和注册规程;一一第6部分:行业间数据元;一一第7部分:用于结构化卡查询语言(SCQL)的行业间命令;一一第8部分:与安全相关的行业间命令;一一第9部分:用于卡管理的命令;一一第10部分:带触点的卡同步卡的电信号和复位应答;一一第11部分:通过生物识别方法的个人验证(制定中); 一一一第12部分:带触点的卡USB电气接口和操作规程;一一第13部分:在多应用环境中用于应用管理的命令(制定中); 一一第15部

4、分:密码信息应用。本部分为GB/T16649的第15部分。本部分等同采用国际标准ISO/IEC7816-15: 2004(识别卡集成电路卡第15部分:密码信息应用)(英文版)。为便于使用，本部分作了下列编辑性修改:a) 删除国际标准前言;b) 将本文件改为本部分。本部分的附录A是规范性附录，附录B、附录C和附录D是资料性附录。本部分由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。本部分起草单位:中国电子技术标准化研究所、北京华大智宝电子系统有限公司。本部分主要起草人:金倩、冯敬、李金良、耿力、袁理、王文峰、乔申杰。I G/T 16649. 15-20 1 O/ISO/IEC 78

5、16-15:2004 引GB/T 16649是规定集成电路卡参数和交换中集成电路卡使用的国家标准。具有密码功能的集成电路卡可以用于信息系统使用者的安全识别，以及其他核心安全服务，例如通过数字签名达成不可否认性、发行用于保密的编码密钥。GB/T16649的本部分的目的是基于可用的标准对这些服务提供一种构架。一个主要目的是提供解决方案，其可用于为具有若干可兼容卡的发行者的大型系统提供交换。该系统足够灵活以用于多种不同环境，同时还保持了对交互性的要求。已经提供了多种数据结构来管理私有密钥和关键数据，以支持公共密钥证书基础设施、灵活管理用户和实体鉴别。GB/T 16649的本部分是基于PKCS# 15

6、 v l. 1(见参考文献)这些文件之间的关系如下:两个文件的共同核心部分相同;删除了PKCS# 15中不涉及IC卡的内容;GB/T 16649的本部分包括了满足特定IC卡要求的增加部分。E GB/T 16649. 15-20 1 O/ISO/IEC 7816-15:2004 识别卡集成电路卡第15部分:密码信息应用1 范围GB/T 16649的本部分规定了卡的一种应用。该应用包含密码功能的信息。本部分定义了用于密码信息的通用语法和格式，以及在适当时共享该信息的机制。本部分旨在:一一便于运行于不同平台的各部分间的交立性t平台元关); 一一使外部应用能利用多个制造商的产品和部分(厂商元关h吏无需

7、重写应用层的软件也能使用更先进的技术(哎用无关); 一一一在维持现有的j目关的标准一致性的同时，进行必要的和可行的扩展。本部分支持下列功能:一一一在卡中存储密码信息的多个实例s一一使用密码信息;检索密码信息，这一功能的关键因素在干fI录文扑的慨念，它提供了卡上对象和这些对象的实际格式之间的一个间接层;一一适当时，用GB/T16649的其他部分中定义的数据对象末交叉引用密码信):J、;一一不同的鉴别机制;一一多个密码算法(它们的适用性不属于GI3/T16(:)49的水部分的范围)。本部分不包括卡内和/或外部的内部实现。不强制要求执行，仨部分的所有选项。在本部分主要部分和附录A的模块中对ASN.1

8、的定义有差异的情况下，以附录A为准。2 规范性引用文件下列文件中的条款通过GB/T16649的本部分的引用而成先水部分的条款。儿是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。GB/T 13000 信息技术通用多八位编码字符集(UCS)CISO/IEC 10646: 2003 , IDT) GB/T 16262(所有部分)信息技术抽象语法记法l(ASN.1) (idt ISO/IEC 8824) GB/T 16263.1 信息技术ASN.1编码

9、规则第1部分:基本编码规则(BER)、规范编码规则(CER)和非典型编码规则(DER)的规范(GB/T16263.1-2006 , ISO/IEC 8825一1:2002 , IDT) GB/T 16264.8 信息技术开放系统互连目录第8部分:公钥和属性证书框架(GB/T16264.8 2005 ,ISO/IEC 9594-8: 2001 , IDT) GB/T 16649(所有部分)识别卡集成电路卡CISO/IEC7816 , IDT) GB/T 21078. 1 银行业务个人识别码的管理与安全第1部分:ATM和POS系统中联机PIN处理的基本原则和要求(GB/T21078.1-2007

10、, ISO/IEC 9564-1:2002 ,MOD) ISO/IEC 7816-11 识别卡集成电路卡第11部分:通过生物识别方法的身份验证3 术语和定义下列术语和定义适用于本部分。GB/T 16649. 15-2010/ISO/IEC 7816-15:2004 3. 1 3.2 3.3 绝对路径absolute path 以文件标识符3FOO开始的路径。应用application 为满足特定功能所需的数据结构、数据元和程序模块。GB/T 16649. 4-2010J 应用标识符application identifier 标识应用的数据元(最多16字节)。注:根据GB/T16649.4-2

11、010改编。3.4 3.5 3.6 3. 7 应用提供者application provider 提供卡上应用的组成部分的实体。GB/T 16649.4一2010J鉴别信息对象authentication information object 提供关于鉴别(例如口令)的有关数据的信息的密码信息对象。鉴别对象目录文件authentication object directory file 包含鉴别信息对象的基本文件。二进制编码的+进制binary coded decimal 一种数字的表示方法，这里的数字以一串十进制数字表示，而每一位十进制数字被编码为一个4位的二进制数。3.8 3.9 3.10

12、 3. 11 3.12 3.13 2 持卡者cardholder 被发给卡的人。发卡者card issuer 发行卡的机构或实体。证书目录文件certificate directory file 包含证书信息对象的基本文件。证书信息对象certificate information object 提供关于证书信息的密码信息对象。命令command 启动一个操作并请求卡响应的报文。密码信息应用cryptographic information application 包含密码民息对象、其他安全数据元及其预定使用的信息的卡中应用。G/T 16649. 15-20 1 O/ISO/IEC 7816-

13、15:2004 3. 14 密码信息对象cryptographic information object 包含在CIA中的构造信息，它描述密码数据元，例如公共密钥或证书。3. 15 数据容器信息对象data container information object 提供有关数据容器的信息的密码信息对象，例如一个文件。3. 16 数据窑器对象目录文件data container object directory file 包含数据容器信息对象的基本文件。3. 17 专用文件dedicated file 包含文件控制信息和可分配的存储空间(可选)的结构。GB/T 16649. 4-2010J 3.

14、 18 目录(DIR)文件directory (DIR) file 可选的EF.包含卡支持的应用列表和可选相关数据元。GB/T 16649.4一2010J3. 19 3.20 3.21 3.22 基本文件elementary file 共用同一文件标识符和同一安全属性的数据单元或记录或数据对象的集合。GB/T 16649.4一2010J文件标识符file identifier 用于寻址文件的数据元(2个字节)。GB/T 16649. 4-2010J 函数function 由一个或多个命令及合成作用完成的过程。主文件master file 唯一的DF.它代表卡上层次结构文件的根。GB/T 166

15、49. 4-2010J 注:MF具有文件标识符3FOO。3.23 报文message 通过接口设备向卡传输的字节串，或反向传输的字节串，不包括面向传输的(transmission oriented)字符。3.24 对象目录文件object directory file 包含关于其他CIA目录文件信息的必备基本文件。3.25 口令password 应用可能需要的、用来鉴别卡的用户的数据。3 GB/T 16649. 15-20 1 O/ISO/IEC 7816-15:2004 GB/T 16649.4一2010J3.26 路径path 无定界的文件标识符的链接。GB/T 16649. 4-2010

16、J 3.27 私高密钥目录文件private key directory file 包含私有密钥信息对象的基本文件。3.28 私高密钥信息对象private key information object 提供关于私有密钥信息的密码信息对象。3.29 提供者provider 具有或已经获得权力来创建卡中DF的权力机构。GB/T 16649.4-户2010)3.30 3.31 公共密钥目录文件public key directory file 包含公共密钥信息对象的基本文仲。公共密钥信息对象public key informatin object 提供关于公共峦钥信息的密码信息对象。3.32 3.

17、33 3.34 3.35 3.36 记录record 在支持EF的记录中，可以被卡引用和处理的字节串。GB/T 16649.4 -2010J 相对路径relative path 以当前DF的文件标识符开始的路径。保密密钥目录文件Sfcret ke directory file 包含保密密钥信息对象的基本文件。保密密钥信息对象secret key information obje-ct 提供关于保密密钥信息的密码信息对象。模板template 构成结构化BER-TLV数据对象值宇段的BER-TLV数据对象的集合。注:根据GB/T16649.4-2010改编。4 符号和缩暗语4. 1 符号DF.x

18、 EF. x 4 专用文件x，其中x是文件的首字母缩写基本文件x，其中x是文件的首字母缩写GB/T 16649.15一201 O/ISO/IEC 7816-15:2004 o9和AF十六进制数字4.2 缩略语下列缩略语适用于本部分。A1D 应用标识符AOD 鉴别对象目录BCD 二进制编码的十进制数CD 证书目录CDE 密码数据元CIA 密码信息应用CIO 密码信息对象CV 可校验卡DCOD 数据容器对象目录DDO 自由数据对象DF 专用文件DH 密钥交换算法DSA 数字签名算法EC 椭圆曲线EF 基本文件1DO 行业间数据对象，如GB/T16649.6-所定义IFD 接口设备KEA 密钥交换算

19、法MF 主文件OD 对象目录PKCS 公共密钥密码标准PrKD 私有密钥目录PuKD 公共密钥目录RSA 公共密钥加密算法SKD 保密密钥目录SPKI 简单公共啻钥基础设施UCS 通用多八位编码字符集(见GB/T13000. 1) URL 统一资掠定位符UTC 世界标准时间UTF-8 UCS转换格式8WTLS 无线应用传输层安全协议5 通则本部分以加粗的Helvetica字体表示ASN.1符号。当ASN.1类型和值在标准文本中被引用时，它们通过以加粗的Helvetica字体表示而与标准文本相区分。涉及卡与IFD间的指定信息交换的命令名称，通过以Courier字体表示而与标准文本相区分。如果在列

20、表中的项以数字编号(而不是使用一或字酌，则表示那些项是在一个过程中的步骤。5 GB/T 16649. 15-2010/ISO/IEC 7816-15:2004 6 密码信息对象6. 1号|言本部分提供:一一说明包含在卡中的密码信息的对象描述;一一该信息的预计使用的描述;一一检索该信息的方式(当适当时); 一用于提供编码基础信息的抽象语法;二一用于信息的对象模型。以CIO形式描述的信息还可能包括访问控制信息。6.2 CIO类本部分定义了4个CIO类:一一密码密钥信息对象;证书信息对象;一一数据容器信息对象;一一鉴别信息对象。这些CIO的逻辑结构在图1中示出。密码密钥信息对象类具有3个子类:私有密

21、钥、保密密钥和公共密钥信息对象。CIO从更高级类继承属性，并且可以在卡上实例化。密码信息对象私有保密公共X.509 信对其证象他书息数据数据国生物外部巳Y识别密钥密钥密钥证书证书文件对象数据鉴别信息信息信息信息信息信息信息信息信息对象对象对象对象对象对象对象对象对象图1CIO类层次6.3 属性所有的CIO具有多个属性。类型特定属性总是存在的。组特定属性和所有CIO共有的属性可以按图2中所示继承。属性在第8章中定义。共有CIO属性类特定CIO属性子类特定CIO属性类型特定CIO属性图2属性继承概念6.4 访问限制CDE可以是私有的或公有的，私有表示它们不允许未授权访问。对私有CDE的访问(读、写

22、等)由鉴别信息对象描述(其也包括鉴别过程)。条件访问(从持卡者角度)用用户信息、用户生物识别信息或密码方式的获知来实现。公有CDE不保护读操作。GB/T 16649. 15-2010/ISO/IEC 7816-15:2004 7 CIO文件7. 1 概述CIO包含在基本文件中，并且通常引用CDE;CIO在一些情况下可以直接包含CDE。专用文件CDF. CIA)包含CIO基本文件。某些CIO文件可以存在于其他专用文件下，在这种情况下，它们从DF. CIA被引用。7.2 IC卡要求当使用时，卡应符合GB/T16649的有关部分:一一层次逻辑文件系统;一一直接或间接应用选择;访问控制机制;读操作;密

23、码操作。7.3 卡文件结构支持本部分的典型的卡具有如下布局:注:在本部分中，卡上的EF.DIR只在不支持如GB/T16649.4中定义的使用AID作为DF名的应用选择，或者当多个CIA位于单张卡上时才需要。图3DF. CIA的示例内睿其他可能的拓扑结构在附录C中讨论。每个文件和目录的内容和用途在下面说明。7.4 EF. DIR 如果在MF下存在EF.DIR C文件标识符:2FOO勺，则应包括一个或多个应用模板，如GB/T 16649.4的定义。用于CIA的应用模板(标签61)应至少包括下列IDO:一一应用标识符(标签4F勺，数值在7.5.5中定义;一一路径(标签51勺，其值由应用提供者指定。G

24、B/T 16649.4的其他IDO也可能存在，取决于应用提供者自由定义，特别建议应包括自由数据对象数据对象(标签73)和应用标签数据对象(标签50勺。应用标签应包含由应用提供者选择的应用UTF-8编码的标签。如果存在自由数据对象数据对象，应包含ASN.1类型的DER编码CGB/T 16263. 1)的值CIODDO:CIODDO : = SEQUENCE providerld odfPath cialnfoPath OBJECT IDENTIFIER OPTIONAL , Path OPTIONAL , 0 Path OPTIONAL , 7 GB/T 16649. 15-20 1 O/ISO

25、/IEC 7816-15:2004 aid APPLl CATION 15OCTET STRING CSIZE (1. 16) , (CONSTRAINED BY -必须是按照GB/T16649.4的AID-) OPTIONAL , .一用于将来扩展)上下文标签1是过去用的，并且不再使用注1:PKCS # 15使用此标签。注2:根据GB/T16649.4，并且当在应用模板中存在时，由于隐含标签，标签APPLICATION19J (73)替代CIODDO SEQUENCE(30)标签。示例见D.8。如果存在providerID域，则应包含唯一标识CIA提供者的对象标识符。如果存在odfPath和

26、ciaInfoPath域，则应分别包含基本文件EF.OD和EF.CIAInfo的路径。这为发卡者提供了对这些文件使用非标准文件标识符而不影响互操作性的途径。当几个CI八位于一个卡上，这还给发卡者提供在CIA之间共享CIAInfo文件的桃会。如果存有aid域，则应指示此CIA运用到的应用。当卡上有几个CIA时.DIR文件用于应用选择。其应用在G扫，T1664. 1.中说明。7.5 DF. CIA的内容7.5. 1 概述表1列出了DF.CI中的基本(必备和可选)文件，以没它们的伴留的文件标识符如文件类型(线性记录或透明)在最后一拦指出。文伺必备的表1DF. CIA申的基本文件(缺省)文件标识符|短

27、EF你以符CIAlnfo X X . 3J:2 12 型一时一翻5031 -i l . PrKD、十一- -_卜一一一卜; 十二二士J一:JJT SKDs CDs DCODs 捏一叫一叫一叫时-t一些PuKDs 7. 5. 2 CIAInfo EF CIAInfo EF应包含关于卡和其功能的信息，属于CIO的使剧。下列信息应总是存在:版本号;一一卡特征。下列信息可以找到zCIA序列号;制造商标识符;一一卡标签;设置的安全环境;文件结构;一支持算法;一一发卡者标识符;一一持卡者鉴别;最后一次更新时间。8 GB/T 16649. 15-20 1 O/ISO/IEC 7816-15:2004 7.5

28、.3 EF.OD 对象目录文件(EF.OD)是基本文件，可以包含对其他CIOEF的引用。图4示出了EF.OD和其他CIOEF之间的关系(为简单起见，仅示出每种类型的一个引用文件)。用于EF.OD内容的ASN.l语法在8.3中说明。EF. OD PuKD reference PrKD reference SKD reference CD reference AO D reference DCO D reference 图4使用EF.OD间接检索clO7.5.4 CIO目录文件每个CIOW录文件包含某吱种类的CIO;一一一私有密钥目录文件包含私有密钥frr且对象;公共密制目录文件包含公共密切信息对

29、象;保密密钥目录文件包含保密密饲信息对象;一一证书n录文件包含证书信息对象1一一数据窑器目录文件包含数据容器信，也对象在一一鉴别对象目录文件包含鉴别信息对象。在DF.CIA中可以存在多个相同种类的C10tl 过文件。对象目录文件EF.OD是唯一的.且包含对CIQ目录文件的号|用。注1;如果某一种类的CIO目录文件:字在于DF.CIA中.则其涵常不为空。注2:C10目录文件可以在卡的其他DF中找到。注3:CIO可以直接存储在EF.()D(没有任何间接性中.或CIO目录文件中。CDE同样可以直接存储在CIO中或被CiO引用注4:间接使用简化了个性化，允许更灵活的访问规则z国此建议使用、当CIO引用

30、逻辑连接的CDE(例如:私有密钥CIO和对应的公共密钥(10)时，CDE应与CIO具有相同的标识符。图5说明了这些文件的一般结构。CIOx#n n 忡忡 x EL D nL / / / F/ ，l飞、飞J CIOX#l CIOx#2 J / / 、 、注:在图中，字母x代表保存信息的信息对象的种类。图5使用CIO间接检索CDE9 GB/T 16649. 15-20 1 O/ISO/IEC 7816-15:2004 7.5.5 DF. CIA选择DF. CIA的AID包括两个字段，标准的标识符E828 BD 08 OF(必备).其后可选跟随以下之一:-一一范围在OO7F的1个字节索引，其后是一个

31、专有应用标识符扩展(PIX);或-一个(可能是右侧截断的)AID(例如一个使用CIA的应用).其使用来自注册分类A或D的已注册的应用提供者标识符(见GB/T16649.的。AID的长度不得超过16个字节。因此AID的格式为:28B0080F 28B0080F 索引(OO7F)或Ax/Ox 专有应用标识符扩展(PIX)分类A或0AIO的剩余图6AID格式支持直接应用选择功能的卡.DF.CIA可以使用AID选择。注:由于历史原因，DF.CIA可以使用AID:AO00 00 006350 4B 4353 2D 31 35选择。如果直接应用选择不可能，应使用具有如7.4中规定的内容的EF.DIR文件。

32、当卡上存在多个DF.CIA时，可通过EF.DIR中应用模板的信息加以区分。建议使用应用标签(标签50)简化人机接口(例如厂商的简称)。8 ASN.1中的信息语法8. 1 指导原则和编码约定本部分使用ASN.l(GB/T 16262所有部分)来说明CIO。当存储于卡中时，CIO值的DER编码是假定的。附录A包含所有CIO在ASN.1中的完整定义，本章仅是文字性说明。CIO目录文件的内容是0，1或更多相同类型的DER编码值的级连，见附录D的示例。8.2 基本ASN.1定义的类型8. 2. 1 Identifier Identifier : = OCTET STRING (SIZE (0. cia-

33、ub-identifier) Identifier类型用作CIO标识符。为实现交叉引用，两个或更多个CIO可以具有相同的Identifier值。一个示例是私有密钥和一个或多个对应的证书。8. 2. 2 Reference Reference : = INTEGER (0. cia-ub-reference) 此类型用于一般的引用目的。8.2.3 Label Label : = UTF8String (SIZE(O. cia-ub-Iabel) 此类型用于所有的标签(即用户分配的对象名)。8.2.4 CredentialIdentifier 10 Credentialldentifier KEY

34、-IDENTIFIER : IdentifierSet : = SEQUENCE idType KEY-IDENTIFIER.& id ( IdentifierSet) , idValue KEY-IDENTIFIER.& Value ( IdentifierSet idType) Keyldentifiers KEY-IDENTIFIER : = issuerAndSerialNumber I issuerAndSerialNumberHash I subjectKeyld GB/T 16649. 15-2010/ISO/IEC 7816-15:2004 subjectKeHash issu

35、erKeyHash issuerNameHash subjectNameHash, pgp2Keyld, openPGPKeyld , KEY-IDENTIFIER : = CLASS & id INTEGER UNIQUE , & Value WITH SYNT AX SYNTAX&Value IDENTIFIED BY & id CredentialIdentifier类型用于标识特定的密钥或证书。目前在私有密钥和证书的标识符KeyIdentifiers的集合中有9个成员:一一切suerAndSerialNumber:此类型的值应是包含了与私有密钥相配合的公共密钥的证书中的发行方专有名称和

36、证书序列号的序列(SEQUENCE)。一一issuerAndSerialN um ber Hash:与issuerAndSerialN um ber相关，但是其值是八位位组(OCTET STRING)，为节省空间包含的是该信息的SHA-1哈希值。一-subjectKeyId:此类型的值应是八位位组，其值和包含与私有密钥相配合的公共密钥的GB/T 16264.8证书的subjectKeyIdentjfier证书扩展相同。此标识符可用于证书链的遍历。一-subjectKeyHash:包含与私有密钥相配合的公共密钥的SHA-1哈希的八位位组。一一IssuerKeyHash:包含用于对请求的证书签名的

37、公共密钥的SHA-1哈希的八位位组。一一IssuerNameHash:包含出现在证书中的发行者名称的SHA-1哈希的八位位组。注:此标识符结合subjectNameHash标识符还可用于构造证书链。一-SubjectNameHash:包含出现在证书中的主题名称的SHA-1哈希的八位位组。pgp2KeyId:包含PGP2密钥标识符的八位位组(大小(8)注:PGP2密钥标识符定义在IETFRFC 2440中(见参考文献)。一一openPGPKeyId:包含OpenPGP密钥标识符的八位位组(大小(8)注:OpenPGP密钥标识符定义在IETFRFC 2440中(见参考文献)8.2.5 Refere

38、ncedvalue和PathReferencedValue : = CHOICE Path Path , ur1 URL -对象的语法由上下文确定URL : = CHOICE ur1 CHOICE printable PrintableString , ia5 IA5String , urlWithDigest 3J SEQUENCE ur1 IA5String , digest DigestlnfoWithDefault 11 GB/T 16649. 15-20 1 O/ISO/IEC 7816-15:2004 Path : = SEQUENCE efidOrPath index OCTET

39、 STRING , INTEGER (0. cia-ub-index) OPTIONAL , length OJ INTEGER (0. cia-ub-index) OPTIONAL ( WITH COMPONENTS . , index PRESENT , length PRESENT I WITH COMPONENTS . , index ABSENT, length ABSENT) ReferencedValue是对一些种类的CIO值的引用。这可以是一些外部的引用(通过url选项获得), 或者是对卡上文件的引用(path标识符)。该值的语法由上下文确定。在Path的情况下，标识符inde

40、x和length可以指明文件内特定的位置。如果该文件是线性记录文件，则当存在index时，应指明记录号(在G丘T16649.4中定义)，而length可置为O(如果卡操作系统允许READRECORD命令中的Le参数等于1)勺主长记录的长屈;也可在CIAlnfo文件中找到(见8.10)。如果文件是透明文件，则当存在index时，应指出在文刊巾的偏移.而length是段的长度(在READBINARY命令中，inclcx则变成委会坡肉和/或P2.而length是参数L，)。通过使用index和length，几个对象可以被保在在相同时透f1月立:f于!注:上述length为n表示片iefidOrPat

41、h Hi阳的文(中也处t1:i :支仲J当efidOrPath是:一一空，则它没有引用文件;一一1字节长，则它在高5位引用;.1EF协识符(低3位应设问)1); 2宇节民，则官通过它的文件川、i川忏引用文忡:长于2宇节，并且由偶数字节:11此，则豆边过绝对成柑对内j;，( P.文件标识符的级是)之一引用文刊;长于2字节并且由奇数字韦;11)J飞.刚正J IftJ tr :;- ; (，卡的山忏飞IGB/T 16649. 1)。在url的情况下，URL可以是简耳1(i J lJRL，或是Li.RL与在括在仆重存储的对象的密码啥希值的组合。假定CIO卡是完整性受保护的.JJr5么柿l哎(diges

42、t)也保护外邵阳j户的对象。注:URL语法在lETFRFC 2396中定义(I)参号t以j8.2.6 ObjectValut ObjectValue Type : = CHOICE Indirect ReferencedValue, Direct OJ Type , .一用于将来扩展ObjectValue类型的对象值，除非另外提及，应通过问提引用(即通过指向实际值驻留的另一个位置)存储。8.2. 7 PatilOrObjects PathOrObjects ObjectType : = CHOICE Path Path , Objects OJ SEQUENCE OF ObjectType,

43、.用于将来扩展PathOrObjects类型用于引用驻留在OD内或另一个文件中的对象的序列。如果使用了path选项，则引用的文件应包含0，1或更多个给定类型的DER编码值的级连。任何数目的FF八位宇节可以出现在该值的前面、之间或后面而没有任何含义(即作为未使用空间或删除的值的补位)。强烈建议path选项(见7.5.4中的注4)。GB/T 16649. 15-20 1 O/ISO/IEC 7816-15:2004 8. 2. 8 CommonObjedAttributes 注:此类型是所有CIO共有属性的容器。CommonObjectAttributes : = SEQUENCE Label L

44、abel OPTIONAL, flags CommonObjectFlags OPTIONAL, authld Identifer OPTIONAL , userConsent INTEGER (1. ca-ub-userConsent) OPTIONAL , accessControlRules SEQUENCE SIZE (1. MAX) OF AccessControlRule OPTIONAL, (CONSTRAINED BY 如果诠且flags. privte.则authld应存在。-其应在AOD中的，个鉴别对象巾咎于authlD一) CommonObjectFlags : : =

45、BIT STRING Private (0) , Modifiable (1) , Internal (2) -8it(2)卤于历史原f.J;I( i: .斤1、j半被仪川AccessControlRule : = SEQUENC I: accessMode AccessMode , securityConditon SecurityCondition. ,. -J II于将来扩展AccessMode : = BIT STRING read (0) , update (1) , execute (2) , delete (3) SecurityCondtion : :;: CHOICE Alw

46、ays NULL, Authld Identifier, authReference not AuthReference, oJ SecurtyCondition, and or 1JE QUENCE SIZE (2. cia-ub-serityCondtions) OF臼rityConditon，2J SEQUENCE SIZE (2. ca-ub-srity臼nditons)OF SecurityCondtion, .用于将来扩展AuthReference : = SEQUENCE authMethod AuthMethod , seldentfier Reference OPTIONAL

47、 AuthMethod : = BIT STRING sereMessaging(Q)， extAuthentcation(l), userAuthenti臼tion(2) label纯粹用于显示的目的(人机接口)，例如当用户拥有对应一个密钥对的几个证书时(例如，银行证书飞E-mail证书勺。13 G/T 16649.15-201 O/ISO/IEC 7816-15: 2004 flags域表示特定的对象是否是私有的，以及是否是只读类型。private对象可能只能在恰当的鉴别(如口令校验)之后被访问。如果一个对象被标为modifiable，则对象的值应能够更新。然而，如果一个对象是private和modifiable的，则只允许在鉴别成功之后才能更新。authId域，在私有对象的情况下，给出指回用于保护此对象的鉴别对象的交叉引用(鉴别对象的描述见8.的。userConsent域，在私有对象(或已指明访问条件的对象)的情况下，给出应用未经用户明确同意可以访问对象的次数(例如:值3表示在第1次、第4次、第7次等访问之前要求执行新的鉴别)。卡可以指定该值，例如通过使用计数器对象(见GB/T16649. 8)。值为1意味着每次