IC卡國(guó)際標(biāo)準(zhǔn)

1、1第二章 IC卡國(guó)際標(biāo)準(zhǔn)主要內(nèi)容2.1 概述2.2 ISO 7816-1，接觸式IC卡的物理特性2.3 ISO 7816-2，接觸式IC卡的觸點(diǎn)尺寸和位置2.4 ISO 7816-4，行業(yè)間交換用命令2.1 概述2.1.1 接觸式IC卡概述2.1.2 接觸式IC卡的國(guó)際標(biāo)準(zhǔn)2.1.3 非接觸式IC卡概述2.1.4 非接觸式IC卡的國(guó)際標(biāo)準(zhǔn)2.1.5 與應(yīng)用相關(guān)的標(biāo)準(zhǔn)2.1.1 接觸式IC卡概述所謂接觸式IC卡，就是在使用時(shí)，通過(guò)有形的金屬電極觸點(diǎn)將卡的集成電路與外部接口設(shè)備直接接觸連接，提供集成電路工作的電源并進(jìn)行數(shù)據(jù)交換的IC卡。其特點(diǎn)是在卡的表面有符合ISO/IEC 7816標(biāo)準(zhǔn)的多個(gè)金屬

2、觸點(diǎn)。2.1.2 接觸式IC卡的國(guó)際標(biāo)準(zhǔn)ISO（International Standard Organization）：國(guó)際標(biāo)準(zhǔn)化組織IEC（International Electrotechnical Commission）：國(guó)際電子技術(shù)委員會(huì)在信息技術(shù)領(lǐng)域，ISO和IEC共同建立了一個(gè)技術(shù)委員會(huì)，即ISO/IEC JTC1，被該委員會(huì)所采納的國(guó)際標(biāo)準(zhǔn)草案由各國(guó)家團(tuán)體投票，被發(fā)布作為國(guó)際標(biāo)準(zhǔn)至少需要得到75%參加投票的國(guó)家團(tuán)體的贊成。接觸式IC卡國(guó)際標(biāo)準(zhǔn)的總名稱為：識(shí)別卡接觸式集成電路卡；國(guó)際標(biāo)準(zhǔn)為ISO/IEC 7816。 ISO 7816-1， 物理特性 ISO 7816-2， 觸點(diǎn)尺

3、寸和位置 ISO/IEC 7816-3，電信號(hào)和傳輸協(xié)議 ISO/IEC 7816-4，行業(yè)間交換用命令 ISO/IEC 7816-5，應(yīng)用標(biāo)識(shí)符號(hào)系統(tǒng)和 注冊(cè)過(guò)程 ISO/IEC 7816-6， 行業(yè)間數(shù)據(jù)元 ISO/IEC 7816-7， 關(guān)于結(jié)構(gòu)化卡詢問(wèn)語(yǔ)言的行業(yè)間命令 ISO/IEC 7816-8， 與安全有關(guān)的行業(yè)間命令 ISO/IEC 7816-9， 附加的行業(yè)間命令和復(fù)位應(yīng)答 ISO/IEC 7816-10，用于同步卡的電信號(hào)和復(fù)位應(yīng)答 2.1.3 非接觸式IC卡概述非接觸式IC卡，又稱射頻卡、感應(yīng)卡，通信時(shí)不需要觸點(diǎn)接觸。非接觸式IC卡由IC芯片和感應(yīng)天線組成，并完全密封在一個(gè)

4、標(biāo)準(zhǔn)尺寸的卡片中，無(wú)外露部分。非接觸式IC卡的讀、寫通過(guò)射頻電磁波的發(fā)射與接收來(lái)完成。2.1.4 非接觸式IC卡的國(guó)際標(biāo)準(zhǔn)ISO/IEC 10536ISO/IEC 14443ISO/IEC 156932.1.5 與應(yīng)用相關(guān)的標(biāo)準(zhǔn)在卡片國(guó)際標(biāo)準(zhǔn)的基礎(chǔ)上，國(guó)內(nèi)的行業(yè)監(jiān)管部門都在此基礎(chǔ)上制定了多個(gè)行業(yè)應(yīng)用規(guī)范，指導(dǎo)本行業(yè)的智能卡應(yīng)用發(fā)展。 中國(guó)金融集成電路（IC）卡規(guī)范（1998年） 社會(huì)保障（個(gè)人）卡規(guī)范（2000年） 中國(guó)石化加油集成電路（IC）卡應(yīng)用規(guī)范（2001年）EMV標(biāo)準(zhǔn)EMV標(biāo)準(zhǔn)是由國(guó)際三大銀行卡組織-Europay(歐陸卡,已被萬(wàn)事達(dá)收購(gòu)）、MasterCard和Visa共同發(fā)起制定

5、的銀行卡從磁條卡向智能IC卡轉(zhuǎn)移的技術(shù)標(biāo)準(zhǔn)，是基于IC卡的金融支付標(biāo)準(zhǔn)，目前已成為公認(rèn)的全球統(tǒng)一標(biāo)準(zhǔn)。其目的是在金融IC卡支付系統(tǒng)中建立卡片和終端接口的統(tǒng)一標(biāo)準(zhǔn)，使得在此體系下所有的卡片和終端能夠互通互用。目前正式發(fā)布的版本有EMV96和EMV2000 2.2 ISO 7816-1，接觸式IC卡的物理特性接觸式IC卡的基本構(gòu)成電極膜片塑料基片0.76 mm85.6 mm53.98 mm此外，還提出了以下附加特性防護(hù)紫外線的能力 X光照射的劑量觸點(diǎn)的表面輪廓 卡和觸點(diǎn)的機(jī)械強(qiáng)度觸點(diǎn)電阻磁條與集成電路之間的電磁干擾指定強(qiáng)度磁場(chǎng)的影響靜電影響 熱耗等2.3 ISO 7816-2，接觸式IC卡的觸點(diǎn)尺

6、寸和位置 接觸式IC卡有8個(gè)觸點(diǎn)，即集成電路引腳，從C1到C8。國(guó)際標(biāo)準(zhǔn)ISO/IEC 7816-2對(duì)接觸式集成電路卡的觸點(diǎn)尺寸和芯片位置以及功能作了具體的規(guī)定。接觸式IC卡的觸點(diǎn)尺寸和位置C1C2C3C4C5C6C7C810.25max12.25min17.87max19.87min19.23max20.93min21.77max23.47min24.31max26.01min26.85max28.55min左邊沿塑料基片上邊沿接觸式IC卡的觸點(diǎn)功能觸點(diǎn)編號(hào) 功能C1Vcc（電源電壓）C2RST（復(fù)位信號(hào)）C3CLK（時(shí)鐘）C4ISO/IEC JTC1/SC17 保留使用C5GND（地）C6

7、Vpp（編程電壓）C7I/O（數(shù)據(jù)輸入/輸出端）C8ISO/IEC JTC1/SC17 保留使用2.4 ISO78164，行業(yè)間交換用命令I(lǐng)SO7816-4規(guī)定的范圍 在接口設(shè)備與IC卡之間傳送的命令和應(yīng)答信息的內(nèi)容 在卡中的文件和數(shù)據(jù)的訪問(wèn)方法 定義在卡中的文件和數(shù)據(jù)訪問(wèn)權(quán)限的安全結(jié)構(gòu) 安全報(bào)文的交換方法 等等2.4 ISO78164，行業(yè)間交換用命令2.4.1 數(shù)據(jù)結(jié)構(gòu)2.4.2 卡的安全結(jié)構(gòu)2.4.3 應(yīng)用協(xié)議數(shù)據(jù)單元（APDU）的信息結(jié)構(gòu)2.4.4 基本行業(yè)間命令2.4.1 數(shù)據(jù)結(jié)構(gòu)文件的組織結(jié)構(gòu)數(shù)據(jù)訪問(wèn)方式1 、文件的組織結(jié)構(gòu)主文件MF（master file）根文件，必有的。專用文

8、件 DF (dedicated file)，可選的。基本文件 EF (elementary file) ，可選的?；疚募慕Y(jié)構(gòu)透明結(jié)構(gòu)（二進(jìn)制文件）具有固定長(zhǎng)度記錄的線性文件（定長(zhǎng)記錄文件）具有可變長(zhǎng)度記錄的線性文件（變長(zhǎng)記錄文件）具有固定長(zhǎng)度記錄的環(huán)形文件（循環(huán)定長(zhǎng)記錄文件）2、 數(shù)據(jù)訪問(wèn)方式文件訪問(wèn)方式數(shù)據(jù)訪問(wèn)方式 數(shù)據(jù)單元（二進(jìn)制文件） 記錄（記錄文件）文件訪問(wèn)方式當(dāng)文件不能被默認(rèn)選擇時(shí)，可采用： 利用文件標(biāo)識(shí)符 MF標(biāo)識(shí)符=3F00 利用短文件標(biāo)識(shí)符短文件標(biāo)識(shí)符有5位代碼 利用DF名字DF名字長(zhǎng)度（1-16字節(jié)）數(shù)據(jù)訪問(wèn)方式 對(duì)數(shù)據(jù)單元的訪問(wèn)對(duì)數(shù)據(jù)單元的訪問(wèn)由命令的偏移值給出其下一個(gè)

9、數(shù)據(jù)單元的位置由命令的偏移值加1后產(chǎn)生數(shù)據(jù)訪問(wèn)方式 對(duì)記錄的訪問(wèn)在記錄結(jié)構(gòu)的EF中，可以用記錄標(biāo)識(shí)符或記錄號(hào)訪問(wèn)，（無(wú)符號(hào)8位整數(shù)，值01-FE，00、FF保留）在一個(gè)記錄文件中，每一個(gè)記錄的記錄號(hào)是唯一的，且是順序安排的變長(zhǎng)記錄文件中的記錄一般采用 TLV格式，每條記錄的第一個(gè)字節(jié)為記錄標(biāo)識(shí)符。TLV T（Tag）字段為單字節(jié)，其值從1到254，例如用作記錄標(biāo)識(shí)符 L（Length）字段由1個(gè)字節(jié)或3個(gè)字節(jié)組成。 如L字段的第1個(gè)字節(jié)的內(nèi)容從00到FE，則表示L字段由1個(gè)字節(jié)組成 如為FF，則標(biāo)識(shí)第2、3兩個(gè)字節(jié)表示L的值，即L字段由3個(gè)字節(jié)組成 V（Value）字段為實(shí)際數(shù)據(jù)2.4 ISO

10、78164，行業(yè)間交換用命令2.4.1 數(shù)據(jù)結(jié)構(gòu)2.4.2 卡的安全結(jié)構(gòu)2.4.3 應(yīng)用協(xié)議數(shù)據(jù)單元（APDU）的信息結(jié)構(gòu)2.4.4 基本行業(yè)間命令2.4.2 卡的安全結(jié)構(gòu)主要涉及三方面內(nèi)容 安全狀態(tài)（=卡片狀態(tài)/應(yīng)用狀態(tài)） 安全屬性（=文件訪問(wèn)權(quán)限） 安全機(jī)制在執(zhí)行命令或訪問(wèn)文件時(shí)，安全狀態(tài)要與安全屬性進(jìn)行比較1、安全狀態(tài)安全狀態(tài)表明完成下列操作后的當(dāng)前狀態(tài) 復(fù)位應(yīng)答 通過(guò)通行字password認(rèn)證（例如使用檢驗(yàn)命令Verify Command） 通過(guò)密鑰認(rèn)證（例如使用一條取口令命令Get Challenge Command，后跟一條外部鑒別命令External Authenticate C

11、ommand）2、安全屬性安全屬性定義了文件或者文件某一部分的訪問(wèn)的權(quán)限每一個(gè)文件有與其相聯(lián)系的安全屬性，應(yīng)滿足一定的安全條件，才允許對(duì)文件進(jìn)行操作文件的安全屬性依賴于文件的種類。3、安全機(jī)制通行字鑒別卡與讀卡器的相互鑒別保證數(shù)據(jù)的完整性保證數(shù)據(jù)的保密性2.4 ISO78164，行業(yè)間交換用命令2.4.1 數(shù)據(jù)結(jié)構(gòu)2.4.2 卡的安全結(jié)構(gòu)2.4.3 應(yīng)用協(xié)議數(shù)據(jù)單元（APDU）的信息結(jié)構(gòu)2.4.4 基本行業(yè)間命令2.4.3 應(yīng)用協(xié)議數(shù)據(jù)單元（APDU）的信息結(jié)構(gòu)APDU：Application Protocol Data Unit應(yīng)用協(xié)議的操作步驟： 讀卡器發(fā)送一個(gè)命令（command） 在接

12、收此命令的實(shí)體中進(jìn)行處理 卡回送一個(gè)應(yīng)答（response）特點(diǎn)：命令應(yīng)答 成對(duì) 接口設(shè)備卡間的互傳命令信息和應(yīng)答信息可包含數(shù)據(jù)，也可不包含數(shù)據(jù)，有4種數(shù)據(jù)組合： 命令無(wú)數(shù)據(jù)，應(yīng)答無(wú)數(shù)據(jù)； 命令無(wú)數(shù)據(jù)，應(yīng)答有數(shù)據(jù)； 命令有數(shù)據(jù)，應(yīng)答無(wú)數(shù)據(jù)； 命令有數(shù)據(jù)，應(yīng)答有數(shù)據(jù)。1、命令A(yù)PDU命令A(yù)PDU包含一個(gè)必備的命令頭（4字節(jié)）和一個(gè)可選的可變長(zhǎng)度的命令體。CLA INS P1 P2 Lc Data Le命令頭（4字節(jié)）命令體命令頭 類別字節(jié) CLA 指令字節(jié) INS 參數(shù)字節(jié) P1 參數(shù)字節(jié) P2CLA INS P1 P2 Lc Data Le命令頭（4字節(jié)）命令體代碼名字長(zhǎng)度(Byte)說(shuō)明CL

13、A類別1指令類別INS指令1指令代碼P1參數(shù)11指令參數(shù)1P2參數(shù)21指令參數(shù)21） 類別字節(jié)CLA CLA的編碼和意義，見(jiàn)表4.6/8.2&8.3。2）指令字節(jié)INS指令碼INS編碼命令名0E2082A4擦除二進(jìn)制驗(yàn)證外部鑒別選擇文件3）參數(shù)字節(jié)P1、P2 P1、P2可為任意值，如不用該參數(shù)則將它置成“00”CLA INS P1 P2 Lc Data Le命令頭（4字節(jié)）命令體命令體 Lc為體內(nèi)數(shù)據(jù)長(zhǎng)度 Data為發(fā)送的數(shù)據(jù) Le為期望應(yīng)答數(shù)據(jù)字段的長(zhǎng)度代碼名字長(zhǎng)度說(shuō)明Lc長(zhǎng)度1或3字節(jié)在命令數(shù)據(jù)字段中存在的字節(jié)數(shù)Data數(shù)據(jù)可變長(zhǎng)度=Lc發(fā)送的字節(jié)串Le長(zhǎng)度1或3字節(jié)期望應(yīng)答送回的

14、最大字節(jié)數(shù)命令A(yù)PDU的四種結(jié)構(gòu)命令頭命令頭Le命令頭LcData命令頭LcDataLe2、應(yīng)答APDU應(yīng)答APDU由可變長(zhǎng)度的體（可選的）和2字節(jié)尾部（必備的）組成：處理后發(fā)回 Data狀態(tài) SW1 SW2可變長(zhǎng)度的體可變長(zhǎng)度的體2字節(jié)尾部字節(jié)尾部1）Data 接收設(shè)備接收命令A(yù)PDU并進(jìn)行處理后送回發(fā)送設(shè)備的數(shù)據(jù)，其字節(jié)數(shù)由命令A(yù)PDU的Le指出2）狀態(tài)碼SW1/SW2 卡接收到命令并經(jīng)過(guò)處理后送出的應(yīng)答信號(hào)，指出卡的處理狀況SW1 - SW2正常處理警告執(zhí)行錯(cuò)誤檢查錯(cuò)誤900061XX 62XX 63XX 64XX 65XX67 XX6FXX狀態(tài)碼的結(jié)構(gòu)圖2.4 ISO78164，行業(yè)間

15、交換用命令2.4.1 數(shù)據(jù)結(jié)構(gòu)2.4.2 卡的安全結(jié)構(gòu)2.4.3 應(yīng)用協(xié)議數(shù)據(jù)單元（APDU）的信息結(jié)構(gòu)2.4.4 基本行業(yè)間命令2.4.4 基本行業(yè)間命令這些命令是在接口設(shè)備和IC卡之間傳送的（適用于內(nèi)含微處理器的智能卡）。IC卡接收到命令后，由片內(nèi)操作系統(tǒng)COS（chip operating system）分析命令，并由卡內(nèi)的中央處理部件CPU執(zhí)行。實(shí)驗(yàn)平臺(tái)實(shí)驗(yàn)平臺(tái)2.4.4 基本行業(yè)間命令管理卡和文件的命令數(shù)據(jù)單元處理命令記錄處理命令安全處理命令1、管理卡和文件的命令1）創(chuàng)建文件命令創(chuàng)建文件命令（Create File）功能 創(chuàng)建一個(gè)文件，該文件直接處于當(dāng)前DF之下使用條件與安全 在同一

16、個(gè)DF中不允許存在多個(gè)具有相同文件標(biāo)識(shí)符的EF。 僅在安全狀態(tài)滿足當(dāng)前DF安全屬性的情況下才能只能該命令。命令與應(yīng)答信息2）選擇文件命令選擇文件命令（Select File）功能 選擇一個(gè)文件作為當(dāng)前文件使用條件與安全命令與應(yīng)答信息3）刪除文件命令刪除文件命令（Delete File）功能 刪除指定的DF或EF文件使用條件與安全 MF不允許被刪除命令與應(yīng)答信息2、數(shù)據(jù)單元處理命令1）讀二進(jìn)制命令讀二進(jìn)制命令（ Read Binary ）功能 讀出基本文件（EF）內(nèi)容使用條件與安全 命令中需包含一個(gè)有效的文件標(biāo)識(shí)符 僅當(dāng)安全狀態(tài)與此EF的安全屬性相適應(yīng)，才執(zhí)行命令與應(yīng)答信息CLAINSP1-P2

17、LcDataLe表4.6/表8.41B0短EF的標(biāo)識(shí)符和偏移量空空期望讀出的字節(jié)數(shù)數(shù)據(jù)字段SW1-SW2讀出數(shù)據(jù)（Le字節(jié)）狀態(tài)字節(jié)SW190，且SW200 正確執(zhí)行SW162，且SW2 81 部分返回?cái)?shù)據(jù)可能是錯(cuò)的； 82 在讀出Le字節(jié)之前，文件已結(jié)束。SW167，且SW200 長(zhǎng)度錯(cuò)誤（錯(cuò)誤Le域）； SW16A，且SW2 81 功能不支持； 82 沒(méi)有找到文件。SW1-SW2值SW169，且SW2 81 命令與文件組織不適配； 82 安全狀態(tài)不滿足； 86 命令不允許（沒(méi)有當(dāng)前EF）SW16B，且SW200 參數(shù)錯(cuò)誤（偏移值超出EF）。 SW16C，且SW2 長(zhǎng)度錯(cuò)誤（Le有錯(cuò)， 指出

18、合適的長(zhǎng)度）。2）寫二進(jìn)制命令寫二進(jìn)制命令（ Write Binary ）功能 將二進(jìn)制數(shù)據(jù)寫入基本文件（EF）3）修改二進(jìn)制命令修改二進(jìn)制命令（ Update Binary ）功能 修改已存在于EF中的某些數(shù)據(jù)，修改內(nèi)容由命令A(yù)PDU給出。3、記錄處理命令1）讀記錄命令讀記錄命令（ Read Record）功能 讀記錄命令的應(yīng)答信息給出EF中指定記錄（或記錄的開始部分）的內(nèi)容。2）寫記錄命令寫記錄命令（ Write Record）功能 在規(guī)定EF中寫入一條記錄3）追加記錄命令追加記錄命令（Append Record）功能 在線性結(jié)構(gòu)EF末端增加一個(gè)記錄或在環(huán)形結(jié)構(gòu)EF寫入編號(hào)為1的記錄。4、

19、安全處理命令1）內(nèi)部鑒別命令內(nèi)部鑒別命令（Internal Authenticate）功能 使用接口設(shè)備送來(lái)的口令（challenge）和存儲(chǔ)在卡中的有關(guān)秘密（例如密鑰）進(jìn)行鑒別數(shù)據(jù)的計(jì)算。2）外部鑒別命令外部鑒別命令（External Authenticate）功能 利用卡的計(jì)算結(jié)構(gòu)（是或否）有條件地修改安全狀態(tài)，該結(jié)果基于卡以前發(fā)出的口令（例如用Get Challenged Command）、秘密存儲(chǔ)在卡中的密鑰和接口設(shè)備發(fā)送的鑒別數(shù)據(jù)。3）取口令命令取口令命令（Get Challenge）功能 本命令需要得到一個(gè)口令（如隨機(jī)數(shù)），用于安全有關(guān)的過(guò)程（如External Authentic

20、ate Command）。4）驗(yàn)證命令驗(yàn)證命令（Verify）功能 將來(lái)自接口設(shè)備的驗(yàn)證數(shù)據(jù)和存儲(chǔ)在卡中的參照數(shù)據(jù)進(jìn)行比較，根據(jù)比較結(jié)構(gòu)修改安全狀態(tài)。5）HASH操作操作功能 在卡內(nèi)完成哈什運(yùn)算6）數(shù)字簽名數(shù)字簽名（Compute Digital Signature）功能 用私鑰對(duì)數(shù)據(jù)域中的數(shù)據(jù)進(jìn)行簽名運(yùn)算7）數(shù)字簽名驗(yàn)證數(shù)字簽名驗(yàn)證（Verify Digital Signature）功能 用指定的公鑰對(duì)數(shù)據(jù)域中的簽名進(jìn)行驗(yàn)證。本章小結(jié)1、接觸式IC卡的基本概念及其國(guó)際標(biāo)準(zhǔn) 8個(gè)觸點(diǎn) ISO/IEC 7816標(biāo)準(zhǔn)2、非接觸式IC卡的基本概念及其國(guó)際標(biāo)準(zhǔn) 射頻卡，表面無(wú)觸點(diǎn)，內(nèi)部有天線 ISO/IEC 14443標(biāo)準(zhǔn)（近耦合卡）3、 ISO/IEC 7816-1和7816-2（接觸式IC卡的物理特性、觸點(diǎn)尺寸和位置）4、 ISO/IEC 7816-41）數(shù)據(jù)結(jié)構(gòu) MF、