GLOBALPLATFORM規(guī)范培訓_第1頁
GLOBALPLATFORM規(guī)范培訓_第2頁
GLOBALPLATFORM規(guī)范培訓_第3頁
GLOBALPLATFORM規(guī)范培訓_第4頁
GLOBALPLATFORM規(guī)范培訓_第5頁
已閱讀5頁,還剩28頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、 GP系統(tǒng)培訓 Global platform 介紹介紹GP組織組織 Global Platform是來自支付和通信行業(yè)的公司、政府部門、銷售團體建立起來的一個組織,它是一個促進跨行業(yè)智能卡業(yè)務(wù)實現(xiàn)的全球組織。目標目標 減少多應(yīng)用智能卡跨行業(yè)發(fā)展的障礙。GP規(guī)范規(guī)范 Visa、Global Platform與芯片卡廠商一起發(fā)表了一份硬件無關(guān)、不依賴于應(yīng)用的卡管理規(guī)范。這個新的規(guī)范提供了共同的安全及卡管理架構(gòu)目前主要版本是GP2.2Global platform 內(nèi)容概要內(nèi)容概要GP系統(tǒng)構(gòu)架GP卡片構(gòu)架GP安全構(gòu)架生命周期管理Card Manager安全域安全通訊術(shù)語和定義術(shù)語和定義術(shù)語術(shù)語定義

2、定義應(yīng)用(Application)一個可執(zhí)行裝載模塊的實例,這個可執(zhí)行模塊已經(jīng)被裝載到卡里并完成了安裝,它所處的生命周期狀態(tài)為可選。 應(yīng)用協(xié)議數(shù)據(jù)單元(APDU) 卡和讀寫器之間標準的通訊協(xié)議卡發(fā)行者擁有卡,并且最終對卡上行為負責的實體。GP系統(tǒng)構(gòu)架系統(tǒng)構(gòu)架GP系統(tǒng)構(gòu)架系統(tǒng)構(gòu)架GP系統(tǒng)架構(gòu)為卡發(fā)行者提供了管理java卡的管理架構(gòu)。GP為卡發(fā)行者提供了靈活的方式來管理那些想在卡發(fā)行者的卡上運行應(yīng)用的商業(yè)伙伴。GP允許卡發(fā)行者與商業(yè)伙伴共享卡片的部分控制權(quán),給予了卡發(fā)行者最大的靈活性來管理他們的卡。最終的控制總是在卡發(fā)行者這里,但是通過GP,卡發(fā)行者的商業(yè)伙伴被允許在卡發(fā)行者的卡上適當?shù)墓芾硭麄冏?/p>

3、己的應(yīng)用。GP卡片構(gòu)架卡片構(gòu)架 運行時環(huán)境運行時環(huán)境負責為其它的應(yīng)用提供硬件無關(guān)的API接口為卡片上應(yīng)用提供安全的存儲和運行空間確保應(yīng)用間代碼和數(shù)據(jù)的獨立性為卡片和外界提供通訊服務(wù)ISO/IEC 7816-3, ISO/IEC 7816-4, ISO/IEC 14443-3等(可以從ATR中得知卡片支持的協(xié)議類型,邏輯通道等系列相關(guān)信息)GlobalPlatform Environment (OPEN)為應(yīng)用提供API命令分發(fā)應(yīng)用選擇邏輯通道管理卡片內(nèi)容管理管理GP注冊表GP APIGP的API為應(yīng)用提供服務(wù)卡持有者的校驗、個人化、安全服務(wù)為應(yīng)用提供了一些卡內(nèi)容管理服務(wù)卡的鎖定、應(yīng)用生命周期狀

4、態(tài)的更新org.globalplatform.Applicationorg.globalplatform.SecureChannelorg.globalplatform.GPSystemorg.globalplatform.CVM安全域安全域Issuer Security Domain強制存在代表卡片發(fā)行者Supplementary Security Domains可選的代表應(yīng)用提供商,卡片發(fā)行者或者其他代理Controlling Authority Security Domains一種特殊的SSD 用于增強裝載到卡里所有應(yīng)用的代碼的安全策略 總結(jié):總結(jié): 安全域為它們的所有者(卡發(fā)行者,應(yīng)用

5、提供者和控制授權(quán)中心機構(gòu))的應(yīng)用提供的安全服務(wù),包括:密鑰處理,數(shù)據(jù)加密,數(shù)據(jù)解密,數(shù)字簽名的生成和校驗。Card content本規(guī)范所定義的所有卡內(nèi)容最初在卡里是以可執(zhí)行裝載文件的形式存在的,一個可執(zhí)行裝載文件可能存在于:卡內(nèi)不可改變的存儲區(qū)(ROM)這種情況下,可執(zhí)行裝載文件在卡片生產(chǎn)過程中就被裝載到卡里,并且不可被改變(可以被禁止)卡內(nèi)可變存儲區(qū)中(EEPROM)在這種情況下,可執(zhí)行裝載文件可以在發(fā)行前階段或發(fā)行后階段被裝載或刪除。 Card content 每一個可執(zhí)行裝載文件包含一個或多個可執(zhí)行模塊,也叫應(yīng)用的代碼。應(yīng)用的安裝會從一個可執(zhí)行模塊里創(chuàng)建一個實例連同該應(yīng)用相關(guān)的數(shù)據(jù)一起

6、放入卡片的可變存儲區(qū)中。任何應(yīng)用的實例及其相關(guān)的數(shù)據(jù)都可以被移除。一個GP卡將支持多個可執(zhí)行裝載文件、多個可執(zhí)行模塊以及多個應(yīng)用同時存在于一張GP卡上。 Card managerCM可以看作是以下三個實體:GlobalPlatform的運行時環(huán)境。發(fā)行者安全域。對卡持有者的校驗方法。GP 安全構(gòu)架安全構(gòu)架安全目標。卡發(fā)行者的職責。應(yīng)用提供者的職責??刂剖跈?quán)中心機構(gòu)。對卡上組件的安全要求。GP提供的加密算法支持安全目標安全目標GP的首要目標是在卡的生命周期中保證卡組件的安全性和完整性。這些組件包括:運行時環(huán)境OPEN發(fā)行者安全域安全域應(yīng)用為了保證卡的安全性和完整性,GP被設(shè)計用來支持下列范圍內(nèi)的

7、安全機制:數(shù)據(jù)的完整性資源的可利用性保密性可認證卡發(fā)行者安全職責卡發(fā)行者安全職責生成并裝載發(fā)行者安全域(ISD)密鑰創(chuàng)建和初始化應(yīng)用提供商的安全域為卡及應(yīng)用生命周期的管理、頻率檢查的級別、應(yīng)用權(quán)限、其它的安全參數(shù)確定安全策略在發(fā)行前或發(fā)行后階段,管理應(yīng)用代碼的裝載和安裝以加密的方式批準應(yīng)用提供者進行應(yīng)用的裝載、安裝和移交應(yīng)用提供商安全職責應(yīng)用提供商安全職責為其自己的安全域生成或從可信任的第三方獲得密鑰與卡發(fā)行者一起將生成的密鑰裝入應(yīng)用提供者的安全域提供滿足發(fā)行者安全標準和策略的應(yīng)用按照應(yīng)用提供者的安全策略提供應(yīng)用代碼的簽名從卡發(fā)行者那里預(yù)先獲得執(zhí)行應(yīng)用裝載、安裝和移交操作的授權(quán)按照卡發(fā)行者的安

8、全策略,返回在裝載、安裝、刪除和移交過程中生成的收條控制授權(quán)中心機構(gòu)的安全職責控制授權(quán)中心機構(gòu)的安全職責為其自己的安全域生成或從可信任的第三方獲得密鑰與卡發(fā)行者一起將生成或取得的密鑰裝入控制授權(quán)中心機構(gòu)的安全域按照其自身定義的安全標準及策略為卡發(fā)行者和應(yīng)用提供者提供應(yīng)用代碼的簽名卡上組件安全要求卡上組件安全要求運行時安全要求OPEN安全要求發(fā)行者安全域要求CVM安全要求SD安全要求應(yīng)用安全要求卡片生命周期卡片生命周期 安全域安全域安全域是一種享有特權(quán)的應(yīng)用每個卡片都有一個強制的安全域ISDISD的特性的特性ISD是卡片上安裝的得一個應(yīng)用不具備SD的生命周期,他的生命周期跟卡的生命周期相同如果沒

9、有指定默認選擇的應(yīng)用,ISD會被默認選擇卡內(nèi)容裝載和安裝卡內(nèi)容裝載和安裝 應(yīng)用裝載應(yīng)用裝載應(yīng)用安裝應(yīng)用安裝 個性化支持個性化支持 安全通訊安全通訊應(yīng)用會話期間,安全通道在卡和卡外實體之間提供一個安全通信通道三個安全級別 實體認證 完整性校驗 機密 傳輸(傳遞密鑰等敏感數(shù)據(jù))安全通道會話分為三個階段:安全通道發(fā)起 安全通道操作安全通道終止 安全通訊安全通訊卡外實體使用相應(yīng)的APDU命令或者卡上應(yīng)用使用相應(yīng)的API可以發(fā)起一個安全通道會話。這種方法就是顯式安全通道的建立。相應(yīng)的APDU命令允許卡外實體通知卡當前安全通道會話(完整性和/或保密性)所需要的安全級別??ㄍ鈱嶓w也可以選擇使用的密鑰。安全通道協(xié)議號安全通道協(xié)議號安全通道協(xié)議標志著在安全域中實現(xiàn)的是哪一個具體的安全通訊協(xié)議和一組安全服務(wù)。以下的值可以作為安全通道協(xié)議標識符:00 不可用01 定義在附錄D Secure Channel Protocol 01中的安全通道協(xié)議102 定義在附錄E Secure Channel Protocol 02中的安全通道協(xié)議203 to 7F 保留GlobalPlatform將來使用。80 to EF 保留用于GlobalPlatform注冊的個人用途。F0 to FF 保留用于未被GlobalPlatform注冊的個人用途。安全通道協(xié)議01是向后兼容Ope

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論