当前位置：首页 > news >正文

SD和MNO SD的创建

news 2024/9/23 20:42:02

8.6 安全域

8.6.1 安全域PE

安全域（SDs）的安装使用“ApplicationInstance”类型（如第0节中定义），这也用于应用程序的安装。应使用为补充SDs标准化的值。

使用规则：此PE（Profile Element）必须用于每个SD的创建，从MNO-SD开始。

8.6.2 SD和MNO SD的创建

创建的第一个SD相当于UICC的ISD（发行者安全域），它是此SD下所有其他SD的根，被称为MNO-SD（移动网络运营商安全域）。它需要使用Profile Package内的“PE-SecurityDomain”显式安装。MNO-SD必须在任何其他SD、任何RFM参数设置之前或任何应用程序创建之前安装。此外，可能还有属于独立SD层次结构的SSDs，以自提取的SSD作为根SD。

由于没有为MNO-SD标准化包AID或classAID，它可能使用[GP CIC]第3.3.1.1节中定义的补充SD创建的值。eUICC可以忽略Profile中为MNO-SD提供的包AID和class AID的值，并可能使用供应商特定的值代替。根据定义，Profile Package序列中的第一个SD将被归类为MNO-SD，并且应使用GSMA [GS RPT]定义的特殊MNO-SD特权进行安装。对于符合GlobalPlatform Card Specification UICC配置的Profile，[GP UC]的第3.2节（由ISD支持的安全通道协议）将适用于MNO-SD。后续的SD实例应像GlobalPlatform Card Specification [GP CS]中所知的常规补充SD一样进行安装。

8.6.3 密钥个性化

在创建安全域（SD）之后，需要安装的密钥可以通过相应的SD PE（Profile Element）进行描述。参数基于GlobalPlatform Card Specification [GP CS]第11.11.4节中指定的SD个性化DGIs（Data Group Identifiers）。结构已经优化，以避免数据结构中的冗余。

对于SCP80和SCP81，以下参数的编码应遵循GlobalPlatform Card Specification UICC配置[GP UC]。对于其他安全通道协议，以下参数的编码应遵循GlobalPlatform Card Specification [GP CS]：

keyUsageQualifier：请参见下文。
keyAccess：请参见下文。
keyIdentifier
keyVersionNumber

ETSI规范没有为SCP80和SCP81密钥定义访问或使用规则。因此，当"KeyObject"传输这些密钥时，eUICC应忽略"keyAccess"和"keyUsageQualifier"字段。对于其他GP密钥，"keyUsageQualifier"字段可以在密钥使用由密钥版本和索引隐式定义时忽略。

每个需要个性化的密钥必须只列出一次。这意味着不应有具有相同"keyIdentifier"和"keyVersionNumber"的密钥被列出两次。

如果"keyCounterValue"存在，它指示与该密钥集关联的初始计数器。如果不存在，eUICC应根据相关协议的默认值设置初始计数器值（例如，对于SCP02密钥集，默认值是‘0000’h，对于SCP03是‘000000’h，对于SCP80是‘0000000000’h）。

注意：此字段可能被忽略，对于SCP02、SCP03或SCP80协议使用的密钥，这些协议要求在初始化后立即将初始计数器设置为默认值。

为了简化PKI密钥（公钥基础设施密钥）的安装，这些密钥由不同类型的多个密钥组件组成，因此定义了"keyCompontents"结构。这样可以避免冗余信息。只有在GlobalPlatform Card Specification [GP CS]表11-16中定义的"keyTypes"可以包含在列表中。任何具有这些密钥类型的密钥或密钥组件应使用"KeyObject"定义。每个"keyComponents"应针对每个密钥指定一次（例如，在一个"KeyObject"中包含两次相同的"keyType"将导致错误）。

对于ECC密钥，密钥组件应使用上述"KeyObject"定义。ECC曲线参数应使用"sdPersoData"定义。GlobalPlatform Card Specification [GP CS]第11.11.4.2.2.1节中描述的DGIs应编码在立即连续的"sdPersoData"对象中。

macLength：对于AES KID密钥，指示MAC长度（以字节为单位），如TS 102 226 [102 226]所定义。此值对于其他密钥类型应被eUICC忽略。

8.6.4 安全域个性化

可选地，可以提供一系列命令来个性化安全域（SD），例如设置IIN（发行者标识号）、更改AID（应用标识符）等。任何可以通过STORE DATA命令发送的命令，这些命令符合GlobalPlatform Card Specification [GP CS]定义的SD个性化，都可以通过这种方式发送到SD。只需要提供STORE DATA命令的内容（不包括CLA、INS、P1、P2、Lc）。

内容不应加密，并应使用DGI（数据组标识符）格式。使用TLV（标签-长度-值）格式的参数可以包含在DGI '0070'中，如GlobalPlatform Card Specification [GP CS]所定义。由于"sdPersoData"参数中没有内容长度的限制，SD个性化的完整DGI结构应以一个完整的字节数组发送。每个DGI应提供在自己的"sdPersoData"记录中。只有符合GlobalPlatform Card Specification [GP CS]标准的DGI才能在指定SD时发送。

如果Profile中需要安装CASD（卡安全域），则使用相同的程序。

8.6.5 RAM / OTA HTTPs配置

在每个SD中，可以根据GlobalPlatform Card Specification [GP CS]和ETSI规范配置RAM和OTA HTTPs的设置。RAM的TAR值可以按照以下方式配置：

SD实例AID的字节13-15
SD安装参数中的TAR列表

eUICC应支持在"sdPersoData"中包含的DGI '0070'使用标签'85'的OTA HTTPs设置，如GlobalPlatform Amd B [GP AB]（第3.7.1节TLV：安全域管理会话参数）在相应的安全域的"PE-SecurityDomain"结构中所定义。

RAM的安全级别由SD安装参数中的MSL（最小安全级别）参数定义。强烈推荐根据TS 101 220 [101 220]为安全域分配TAR值。

PoR（收据证明）处理的配置不是Profile定义的一部分。eUICC应遵循最新的ETSI和3GPP发布，以提供必要的安全级别。

8.6.6 OPEN个性化

在GlobalPlatform Card Specification – Amendment C [GP AC]中，通过使用命令INSTALL [用于注册更新]（参见[GP AC] §11.2，表11-2）配置特定的卡参数，并通过指向OPEN实体（在INSTALL命令数据的空AID字段中）来获取此配置。OPEN实体在GlobalPlatform Card Specification [GP CS]中定义。

为了允许在可互操作的Profile格式中配置此类参数，定义了"openPersoData"参数。只有专门用于OPEN的参数可以出现在字节串中。这些字节串是根据系统特定参数标签定义的TLV编码的单独值。支持以下参数：

'Restrict参数'（参见[GP CS] §11.5.2.3.7）
包含以下内容的无接触协议参数（参见[GP AC] §11.2）：
- '初始无接触激活状态'（参见[GP AC] §8.3）
- '无接触协议类型状态'（参见[GP AC] §11.2.4）
- '协议数据类型A'（参见[GP AC] §4.6）
- '协议数据类型B'（参见[GP AC] §4.7）
- '协议数据类型F'（参见[GP AC] §4.8）
- '连续处理'（参见[GP AC] §6.4）

只有实例化MNO-SD的PE-SecurityDomain可以包括"openPersoData"参数，此参数禁止其他安全域使用。如果没有"openPersoData"参数存在，默认值将适用，如[GP CS]和[GP AC]规范所定义。

Profile的"openPersoData"参数仅在Profile启用时适用。

如果eUICC不支持Restrict参数，并且此参数存在于Profile Package中，应返回错误代码"feature-not-supported"，并且Profile Package的安装应被eUICC中止。