IC卡國(guó)際標(biāo)準(zhǔn).ppt

1、1,第二章 IC卡國(guó)際標(biāo)準(zhǔn),主要內(nèi)容,2.1 概述 2.2 ISO 7816-1，接觸式IC卡的物理特性 2.3 ISO 7816-2，接觸式IC卡的觸點(diǎn)尺寸和位置 2.4 ISO 7816-4，行業(yè)間交換用命令,2.1 概述,2.1.1 接觸式IC卡概述 2.1.2 接觸式IC卡的國(guó)際標(biāo)準(zhǔn) 2.1.3 非接觸式IC卡概述 2.1.4 非接觸式IC卡的國(guó)際標(biāo)準(zhǔn) 2.1.5 與應(yīng)用相關(guān)的標(biāo)準(zhǔn),2.1.1 接觸式IC卡概述,所謂接觸式IC卡，就是在使用時(shí)，通過(guò)有形的金屬電極觸點(diǎn)將卡的集成電路與外部接口設(shè)備直接接觸連接，提供集成電路工作的電源并進(jìn)行數(shù)據(jù)交換的IC卡。 其特點(diǎn)是在卡的表面有符合ISO/

2、IEC 7816標(biāo)準(zhǔn)的多個(gè)金屬觸點(diǎn)。,2.1.2 接觸式IC卡的國(guó)際標(biāo)準(zhǔn),ISO（International Standard Organization）：國(guó)際標(biāo)準(zhǔn)化組織 IEC（International Electrotechnical Commission）：國(guó)際電子技術(shù)委員會(huì) 在信息技術(shù)領(lǐng)域，ISO和IEC共同建立了一個(gè)技術(shù)委員會(huì)，即ISO/IEC JTC1，被該委員會(huì)所采納的國(guó)際標(biāo)準(zhǔn)草案由各國(guó)家團(tuán)體投票，被發(fā)布作為國(guó)際標(biāo)準(zhǔn)至少需要得到75%參加投票的國(guó)家團(tuán)體的贊成。,接觸式IC卡國(guó)際標(biāo)準(zhǔn)的總名稱(chēng)為：識(shí)別卡接觸式集成電路卡；國(guó)際標(biāo)準(zhǔn)為ISO/IEC 7816。 ISO 7816-1，

3、物理特性 ISO 7816-2， 觸點(diǎn)尺寸和位置 ISO/IEC 7816-3，電信號(hào)和傳輸協(xié)議 ISO/IEC 7816-4，行業(yè)間交換用命令 ISO/IEC 7816-5，應(yīng)用標(biāo)識(shí)符號(hào)系統(tǒng)和 注冊(cè)過(guò)程,ISO/IEC 7816-6， 行業(yè)間數(shù)據(jù)元 ISO/IEC 7816-7， 關(guān)于結(jié)構(gòu)化卡詢(xún)問(wèn)語(yǔ)言的行業(yè)間命令 ISO/IEC 7816-8， 與安全有關(guān)的行業(yè)間命令 ISO/IEC 7816-9， 附加的行業(yè)間命令和復(fù)位應(yīng)答 ISO/IEC 7816-10，用于同步卡的電信號(hào)和復(fù)位應(yīng)答,2.1.3 非接觸式IC卡概述,非接觸式IC卡，又稱(chēng)射頻卡、感應(yīng)卡，通信時(shí)不需要觸點(diǎn)接觸。 非接觸式IC

4、卡由IC芯片和感應(yīng)天線(xiàn)組成，并完全密封在一個(gè)標(biāo)準(zhǔn)尺寸的卡片中，無(wú)外露部分。 非接觸式IC卡的讀、寫(xiě)通過(guò)射頻電磁波的發(fā)射與接收來(lái)完成。,2.1.4 非接觸式IC卡的國(guó)際標(biāo)準(zhǔn),ISO/IEC 10536 ISO/IEC 14443 ISO/IEC 15693,2.1.5 與應(yīng)用相關(guān)的標(biāo)準(zhǔn),在卡片國(guó)際標(biāo)準(zhǔn)的基礎(chǔ)上，國(guó)內(nèi)的行業(yè)監(jiān)管部門(mén)都在此基礎(chǔ)上制定了多個(gè)行業(yè)應(yīng)用規(guī)范，指導(dǎo)本行業(yè)的智能卡應(yīng)用發(fā)展。 中國(guó)金融集成電路（IC）卡規(guī)范（1998年） 社會(huì)保障（個(gè)人）卡規(guī)范（2000年） 中國(guó)石化加油集成電路（IC）卡應(yīng)用規(guī)范（2001年）,EMV標(biāo)準(zhǔn),EMV標(biāo)準(zhǔn)是由國(guó)際三大銀行卡組織-Europay(歐陸卡

5、,已被萬(wàn)事達(dá)收購(gòu)）、MasterCard和Visa共同發(fā)起制定的銀行卡從磁條卡向智能IC卡轉(zhuǎn)移的技術(shù)標(biāo)準(zhǔn)，是基于IC卡的金融支付標(biāo)準(zhǔn)，目前已成為公認(rèn)的全球統(tǒng)一標(biāo)準(zhǔn)。 其目的是在金融IC卡支付系統(tǒng)中建立卡片和終端接口的統(tǒng)一標(biāo)準(zhǔn)，使得在此體系下所有的卡片和終端能夠互通互用。 目前正式發(fā)布的版本有EMV96和EMV2000,2.2 ISO 7816-1，接觸式IC卡的物理特性,接觸式IC卡的基本構(gòu)成,此外，還提出了以下附加特性 防護(hù)紫外線(xiàn)的能力 X光照射的劑量 觸點(diǎn)的表面輪廓 卡和觸點(diǎn)的機(jī)械強(qiáng)度 觸點(diǎn)電阻 磁條與集成電路之間的電磁干擾 指定強(qiáng)度磁場(chǎng)的影響 靜電影響 熱耗等,2.3 ISO 7816-

6、2，接觸式IC卡的觸點(diǎn)尺寸和位置,接觸式IC卡有8個(gè)觸點(diǎn)，即集成電路引腳，從C1到C8。國(guó)際標(biāo)準(zhǔn)ISO/IEC 7816-2對(duì)接觸式集成電路卡的觸點(diǎn)尺寸和芯片位置以及功能作了具體的規(guī)定。,接觸式IC卡的觸點(diǎn)尺寸和位置,接觸式IC卡的觸點(diǎn)功能,2.4 ISO78164，行業(yè)間交換用命令,ISO7816-4規(guī)定的范圍 在接口設(shè)備與IC卡之間傳送的命令和應(yīng)答信息的內(nèi)容 在卡中的文件和數(shù)據(jù)的訪(fǎng)問(wèn)方法 定義在卡中的文件和數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限的安全結(jié)構(gòu) 安全報(bào)文的交換方法 等等,2.4 ISO78164，行業(yè)間交換用命令,2.4.1 數(shù)據(jù)結(jié)構(gòu) 2.4.2 卡的安全結(jié)構(gòu) 2.4.3 應(yīng)用協(xié)議數(shù)據(jù)單元（APDU）的信

7、息結(jié)構(gòu) 2.4.4 基本行業(yè)間命令,2.4.1 數(shù)據(jù)結(jié)構(gòu),文件的組織結(jié)構(gòu) 數(shù)據(jù)訪(fǎng)問(wèn)方式,1 、文件的組織結(jié)構(gòu) 主文件MF（master file）根文件，必有的。 專(zhuān)用文件 DF (dedicated file)，可選的。 基本文件 EF (elementary file) ，可選的。,基本文件的結(jié)構(gòu),透明結(jié)構(gòu)（二進(jìn)制文件） 具有固定長(zhǎng)度記錄的線(xiàn)性文件（定長(zhǎng)記錄文件） 具有可變長(zhǎng)度記錄的線(xiàn)性文件（變長(zhǎng)記錄文件） 具有固定長(zhǎng)度記錄的環(huán)形文件（循環(huán)定長(zhǎng)記錄文件）,2、 數(shù)據(jù)訪(fǎng)問(wèn)方式 文件訪(fǎng)問(wèn)方式 數(shù)據(jù)訪(fǎng)問(wèn)方式 數(shù)據(jù)單元（二進(jìn)制文件） 記錄（記錄文件）,文件訪(fǎng)問(wèn)方式,當(dāng)文件不能被默認(rèn)選擇時(shí)，可采用：

8、 利用文件標(biāo)識(shí)符 MF標(biāo)識(shí)符=3F00 利用短文件標(biāo)識(shí)符 短文件標(biāo)識(shí)符有5位代碼 利用DF名字 DF名字長(zhǎng)度（1-16字節(jié)）,數(shù)據(jù)訪(fǎng)問(wèn)方式 對(duì)數(shù)據(jù)單元的訪(fǎng)問(wèn),對(duì)數(shù)據(jù)單元的訪(fǎng)問(wèn)由命令的偏移值給出 其下一個(gè)數(shù)據(jù)單元的位置由命令的偏移值加1后產(chǎn)生,數(shù)據(jù)訪(fǎng)問(wèn)方式 對(duì)記錄的訪(fǎng)問(wèn),在記錄結(jié)構(gòu)的EF中，可以用記錄標(biāo)識(shí)符或記錄號(hào)訪(fǎng)問(wèn)，（無(wú)符號(hào)8位整數(shù)，值01-FE，00、FF保留） 在一個(gè)記錄文件中，每一個(gè)記錄的記錄號(hào)是唯一的，且是順序安排的 變長(zhǎng)記錄文件中的記錄一般采用 TLV格式，每條記錄的第一個(gè)字節(jié)為記錄標(biāo)識(shí)符。,TLV T（Tag）字段為單字節(jié)，其值從1到254，例如用作記錄標(biāo)識(shí)符 L（Length）

9、字段由1個(gè)字節(jié)或3個(gè)字節(jié)組成。 如L字段的第1個(gè)字節(jié)的內(nèi)容從00到FE，則表示L字段由1個(gè)字節(jié)組成 如為FF，則標(biāo)識(shí)第2、3兩個(gè)字節(jié)表示L的值，即L字段由3個(gè)字節(jié)組成 V（Value）字段為實(shí)際數(shù)據(jù),2.4 ISO78164，行業(yè)間交換用命令,2.4.1 數(shù)據(jù)結(jié)構(gòu) 2.4.2 卡的安全結(jié)構(gòu) 2.4.3 應(yīng)用協(xié)議數(shù)據(jù)單元（APDU）的信息結(jié)構(gòu) 2.4.4 基本行業(yè)間命令,2.4.2 卡的安全結(jié)構(gòu),主要涉及三方面內(nèi)容 安全狀態(tài)（=卡片狀態(tài)/應(yīng)用狀態(tài)） 安全屬性（=文件訪(fǎng)問(wèn)權(quán)限） 安全機(jī)制 在執(zhí)行命令或訪(fǎng)問(wèn)文件時(shí)，安全狀態(tài)要與安全屬性進(jìn)行比較,1、安全狀態(tài),安全狀態(tài)表明完成下列操作后的當(dāng)前狀態(tài) 復(fù)位

10、應(yīng)答 通過(guò)通行字password認(rèn)證（例如使用檢驗(yàn)命令Verify Command） 通過(guò)密鑰認(rèn)證（例如使用一條取口令命令Get Challenge Command，后跟一條外部鑒別命令External Authenticate Command）,2、安全屬性,安全屬性定義了文件或者文件某一部分的訪(fǎng)問(wèn)的權(quán)限 每一個(gè)文件有與其相聯(lián)系的安全屬性，應(yīng)滿(mǎn)足一定的安全條件，才允許對(duì)文件進(jìn)行操作 文件的安全屬性依賴(lài)于文件的種類(lèi)。,3、安全機(jī)制,通行字鑒別 卡與讀卡器的相互鑒別 保證數(shù)據(jù)的完整性 保證數(shù)據(jù)的保密性,2.4 ISO78164，行業(yè)間交換用命令,2.4.1 數(shù)據(jù)結(jié)構(gòu) 2.4.2 卡的安全結(jié)構(gòu) 2

11、.4.3 應(yīng)用協(xié)議數(shù)據(jù)單元（APDU）的信息結(jié)構(gòu) 2.4.4 基本行業(yè)間命令,2.4.3 應(yīng)用協(xié)議數(shù)據(jù)單元（APDU）的信息結(jié)構(gòu),APDU：Application Protocol Data Unit 應(yīng)用協(xié)議的操作步驟： 讀卡器發(fā)送一個(gè)命令（command） 在接收此命令的實(shí)體中進(jìn)行處理 卡回送一個(gè)應(yīng)答（response） 特點(diǎn)：命令應(yīng)答 成對(duì) 接口設(shè)備卡間的互傳,命令信息和應(yīng)答信息可包含數(shù)據(jù)，也可不包含數(shù)據(jù)，有4種數(shù)據(jù)組合： 命令無(wú)數(shù)據(jù)，應(yīng)答無(wú)數(shù)據(jù)； 命令無(wú)數(shù)據(jù)，應(yīng)答有數(shù)據(jù)； 命令有數(shù)據(jù)，應(yīng)答無(wú)數(shù)據(jù)； 命令有數(shù)據(jù)，應(yīng)答有數(shù)據(jù)。,1、命令A(yù)PDU,命令A(yù)PDU包含一個(gè)必備的命令頭（4字節(jié)）和

12、一個(gè)可選的可變長(zhǎng)度的命令體。,命令頭（4字節(jié)）,命令體,命令頭 類(lèi)別字節(jié) CLA 指令字節(jié) INS 參數(shù)字節(jié) P1 參數(shù)字節(jié) P2,命令頭（4字節(jié)）,命令體,1） 類(lèi)別字節(jié)CLA CLA的編碼和意義，見(jiàn)表4.6/8.2&8.3。 2）指令字節(jié)INS指令碼,3）參數(shù)字節(jié)P1、P2 P1、P2可為任意值，如不用該參數(shù)則將它置成“00”,命令頭（4字節(jié)）,命令體,命令體 Lc為體內(nèi)數(shù)據(jù)長(zhǎng)度 Data為發(fā)送的數(shù)據(jù) Le為期望應(yīng)答數(shù)據(jù)字段的長(zhǎng)度,命令A(yù)PDU的四種結(jié)構(gòu),2、應(yīng)答APDU,應(yīng)答APDU由可變長(zhǎng)度的體（可選的）和2字節(jié)尾部（必備的）組成：,可變長(zhǎng)度的體,2字節(jié)尾部,1）Data 接收設(shè)備接收

13、命令A(yù)PDU并進(jìn)行處理后送回發(fā)送設(shè)備的數(shù)據(jù)，其字節(jié)數(shù)由命令A(yù)PDU的Le指出 2）狀態(tài)碼SW1/SW2 卡接收到命令并經(jīng)過(guò)處理后送出的應(yīng)答信號(hào)，指出卡的處理狀況,SW1 - SW2,正常處理,警告,執(zhí)行錯(cuò)誤,檢查錯(cuò)誤,9000 61XX,62XX,63XX,64XX,65XX,67 XX 6FXX,狀態(tài)碼的結(jié)構(gòu)圖,2.4 ISO78164，行業(yè)間交換用命令,2.4.1 數(shù)據(jù)結(jié)構(gòu) 2.4.2 卡的安全結(jié)構(gòu) 2.4.3 應(yīng)用協(xié)議數(shù)據(jù)單元（APDU）的信息結(jié)構(gòu) 2.4.4 基本行業(yè)間命令,2.4.4 基本行業(yè)間命令,這些命令是在接口設(shè)備和IC卡之間傳送的（適用于內(nèi)含微處理器的智能卡）。 IC卡接收到

14、命令后，由片內(nèi)操作系統(tǒng)COS（chip operating system）分析命令，并由卡內(nèi)的中央處理部件CPU執(zhí)行。,實(shí)驗(yàn)平臺(tái),2.4.4 基本行業(yè)間命令,管理卡和文件的命令 數(shù)據(jù)單元處理命令 記錄處理命令 安全處理命令,1、管理卡和文件的命令,1）創(chuàng)建文件命令（Create File） 功能 創(chuàng)建一個(gè)文件，該文件直接處于當(dāng)前DF之下 使用條件與安全 在同一個(gè)DF中不允許存在多個(gè)具有相同文件標(biāo)識(shí)符的EF。 僅在安全狀態(tài)滿(mǎn)足當(dāng)前DF安全屬性的情況下才能只能該命令。 命令與應(yīng)答信息,2）選擇文件命令（Select File） 功能 選擇一個(gè)文件作為當(dāng)前文件 使用條件與安全 命令與應(yīng)答信息,3）刪

15、除文件命令（Delete File） 功能 刪除指定的DF或EF文件 使用條件與安全 MF不允許被刪除 命令與應(yīng)答信息,2、數(shù)據(jù)單元處理命令,1）讀二進(jìn)制命令（ Read Binary ） 功能 讀出基本文件（EF）內(nèi)容 使用條件與安全 命令中需包含一個(gè)有效的文件標(biāo)識(shí)符 僅當(dāng)安全狀態(tài)與此EF的安全屬性相適應(yīng)，才執(zhí)行,命令與應(yīng)答信息,SW190，且SW200 正確執(zhí)行 SW162，且SW2 81 部分返回?cái)?shù)據(jù)可能是錯(cuò)的； 82 在讀出Le字節(jié)之前，文件已結(jié)束。 SW167，且SW200 長(zhǎng)度錯(cuò)誤（錯(cuò)誤Le域）； SW16A，且SW2 81 功能不支持； 82 沒(méi)有找到文件。,SW1-SW2值,S

16、W169，且SW2 81 命令與文件組織不適配； 82 安全狀態(tài)不滿(mǎn)足； 86 命令不允許（沒(méi)有當(dāng)前EF） SW16B，且SW200 參數(shù)錯(cuò)誤（偏移值超出EF）。 SW16C，且SW2 長(zhǎng)度錯(cuò)誤（Le有錯(cuò)， 指出合適的長(zhǎng)度）。,2）寫(xiě)二進(jìn)制命令（ Write Binary ） 功能 將二進(jìn)制數(shù)據(jù)寫(xiě)入基本文件（EF） 3）修改二進(jìn)制命令（ Update Binary ） 功能 修改已存在于EF中的某些數(shù)據(jù)，修改內(nèi)容由命令A(yù)PDU給出。,3、記錄處理命令,1）讀記錄命令（ Read Record） 功能 讀記錄命令的應(yīng)答信息給出EF中指定記錄（或記錄的開(kāi)始部分）的內(nèi)容。,2）寫(xiě)記錄命令（ Writ

17、e Record） 功能 在規(guī)定EF中寫(xiě)入一條記錄 3）追加記錄命令（Append Record） 功能 在線(xiàn)性結(jié)構(gòu)EF末端增加一個(gè)記錄或在環(huán)形結(jié)構(gòu)EF寫(xiě)入編號(hào)為1的記錄。,4、安全處理命令,1）內(nèi)部鑒別命令（Internal Authenticate） 功能 使用接口設(shè)備送來(lái)的口令（challenge）和存儲(chǔ)在卡中的有關(guān)秘密（例如密鑰）進(jìn)行鑒別數(shù)據(jù)的計(jì)算。,2）外部鑒別命令（External Authenticate） 功能 利用卡的計(jì)算結(jié)構(gòu)（是或否）有條件地修改安全狀態(tài)，該結(jié)果基于卡以前發(fā)出的口令（例如用Get Challenged Command）、秘密存儲(chǔ)在卡中的密鑰和接口設(shè)備發(fā)送的鑒

18、別數(shù)據(jù)。,3）取口令命令（Get Challenge） 功能 本命令需要得到一個(gè)口令（如隨機(jī)數(shù)），用于安全有關(guān)的過(guò)程（如External Authenticate Command）。 4）驗(yàn)證命令（Verify） 功能 將來(lái)自接口設(shè)備的驗(yàn)證數(shù)據(jù)和存儲(chǔ)在卡中的參照數(shù)據(jù)進(jìn)行比較，根據(jù)比較結(jié)構(gòu)修改安全狀態(tài)。,5）HASH操作 功能 在卡內(nèi)完成哈什運(yùn)算 6）數(shù)字簽名（Compute Digital Signature） 功能 用私鑰對(duì)數(shù)據(jù)域中的數(shù)據(jù)進(jìn)行簽名運(yùn)算 7）數(shù)字簽名驗(yàn)證（Verify Digital Signature） 功能 用指定的公鑰對(duì)數(shù)據(jù)域中的簽名進(jìn)行驗(yàn)證。,本章小結(jié),1、接觸式IC卡的基本概念及其國(guó)際標(biāo)準(zhǔn) 8個(gè)觸點(diǎn) ISO/IEC 7816標(biāo)準(zhǔn) 2、非接觸式IC卡的基本概念及其國(guó)際標(biāo)準(zhǔn) 射頻卡，表面無(wú)觸點(diǎn)，內(nèi)部有天線(xiàn) ISO/IEC 14443標(biāo)準(zhǔn)（近耦合卡） 3、 ISO/IEC 7816-1和7816-2（接觸式IC卡的物理特性、觸點(diǎn)尺寸和位置）,4、 ISO/IEC 7816-4 1）數(shù)據(jù)結(jié)構(gòu) MF、DF和EF 對(duì)文件的訪(fǎng)問(wèn)（文件標(biāo)識(shí)符） 對(duì)數(shù)據(jù)的訪(fǎng)問(wèn) 命令中給定偏移值（二進(jìn)制文件） 記錄號(hào)/記錄標(biāo)識(shí)符（記錄文件） 2）安全結(jié)構(gòu) 安全狀態(tài)、安全屬性、安全機(jī)制,3）IC卡和讀寫(xiě)器之間數(shù)據(jù)交換的結(jié)構(gòu) 命令A(yù)PDU 命令頭：CLA INS P