当前位置: 首页 > news >正文

SD和MNO SD的创建

8.6 安全域

8.6.1 安全域PE

安全域(SDs)的安装使用“ApplicationInstance”类型(如第0节中定义),这也用于应用程序的安装。应使用为补充SDs标准化的值。

使用规则:此PE(Profile Element)必须用于每个SD的创建,从MNO-SD开始。

8.6.2 SD和MNO SD的创建

创建的第一个SD相当于UICC的ISD(发行者安全域),它是此SD下所有其他SD的根,被称为MNO-SD(移动网络运营商安全域)。它需要使用Profile Package内的“PE-SecurityDomain”显式安装。MNO-SD必须在任何其他SD、任何RFM参数设置之前或任何应用程序创建之前安装。此外,可能还有属于独立SD层次结构的SSDs,以自提取的SSD作为根SD。

由于没有为MNO-SD标准化包AID或classAID,它可能使用[GP CIC]第3.3.1.1节中定义的补充SD创建的值。eUICC可以忽略Profile中为MNO-SD提供的包AID和class AID的值,并可能使用供应商特定的值代替。根据定义,Profile Package序列中的第一个SD将被归类为MNO-SD,并且应使用GSMA [GS RPT]定义的特殊MNO-SD特权进行安装。对于符合GlobalPlatform Card Specification UICC配置的Profile,[GP UC]的第3.2节(由ISD支持的安全通道协议)将适用于MNO-SD。后续的SD实例应像GlobalPlatform Card Specification [GP CS]中所知的常规补充SD一样进行安装。

8.6.3 密钥个性化

在创建安全域(SD)之后,需要安装的密钥可以通过相应的SD PE(Profile Element)进行描述。参数基于GlobalPlatform Card Specification [GP CS]第11.11.4节中指定的SD个性化DGIs(Data Group Identifiers)。结构已经优化,以避免数据结构中的冗余。

对于SCP80和SCP81,以下参数的编码应遵循GlobalPlatform Card Specification UICC配置[GP UC]。对于其他安全通道协议,以下参数的编码应遵循GlobalPlatform Card Specification [GP CS]:

  • keyUsageQualifier:请参见下文。
  • keyAccess:请参见下文。
  • keyIdentifier
  • keyVersionNumber

ETSI规范没有为SCP80和SCP81密钥定义访问或使用规则。因此,当"KeyObject"传输这些密钥时,eUICC应忽略"keyAccess"和"keyUsageQualifier"字段。对于其他GP密钥,"keyUsageQualifier"字段可以在密钥使用由密钥版本和索引隐式定义时忽略。

每个需要个性化的密钥必须只列出一次。这意味着不应有具有相同"keyIdentifier"和"keyVersionNumber"的密钥被列出两次。

如果"keyCounterValue"存在,它指示与该密钥集关联的初始计数器。如果不存在,eUICC应根据相关协议的默认值设置初始计数器值(例如,对于SCP02密钥集,默认值是‘0000’h,对于SCP03是‘000000’h,对于SCP80是‘0000000000’h)。

注意:此字段可能被忽略,对于SCP02、SCP03或SCP80协议使用的密钥,这些协议要求在初始化后立即将初始计数器设置为默认值。

为了简化PKI密钥(公钥基础设施密钥)的安装,这些密钥由不同类型的多个密钥组件组成,因此定义了"keyCompontents"结构。这样可以避免冗余信息。只有在GlobalPlatform Card Specification [GP CS]表11-16中定义的"keyTypes"可以包含在列表中。任何具有这些密钥类型的密钥或密钥组件应使用"KeyObject"定义。每个"keyComponents"应针对每个密钥指定一次(例如,在一个"KeyObject"中包含两次相同的"keyType"将导致错误)。

对于ECC密钥,密钥组件应使用上述"KeyObject"定义。ECC曲线参数应使用"sdPersoData"定义。GlobalPlatform Card Specification [GP CS]第11.11.4.2.2.1节中描述的DGIs应编码在立即连续的"sdPersoData"对象中。

macLength:对于AES KID密钥,指示MAC长度(以字节为单位),如TS 102 226 [102 226]所定义。此值对于其他密钥类型应被eUICC忽略。

8.6.4 安全域个性化

可选地,可以提供一系列命令来个性化安全域(SD),例如设置IIN(发行者标识号)、更改AID(应用标识符)等。任何可以通过STORE DATA命令发送的命令,这些命令符合GlobalPlatform Card Specification [GP CS]定义的SD个性化,都可以通过这种方式发送到SD。只需要提供STORE DATA命令的内容(不包括CLA、INS、P1、P2、Lc)。

内容不应加密,并应使用DGI(数据组标识符)格式。使用TLV(标签-长度-值)格式的参数可以包含在DGI '0070'中,如GlobalPlatform Card Specification [GP CS]所定义。由于"sdPersoData"参数中没有内容长度的限制,SD个性化的完整DGI结构应以一个完整的字节数组发送。每个DGI应提供在自己的"sdPersoData"记录中。只有符合GlobalPlatform Card Specification [GP CS]标准的DGI才能在指定SD时发送。

如果Profile中需要安装CASD(卡安全域),则使用相同的程序。

8.6.5 RAM / OTA HTTPs配置

在每个SD中,可以根据GlobalPlatform Card Specification [GP CS]和ETSI规范配置RAM和OTA HTTPs的设置。RAM的TAR值可以按照以下方式配置:

  • SD实例AID的字节13-15
  • SD安装参数中的TAR列表

eUICC应支持在"sdPersoData"中包含的DGI '0070'使用标签'85'的OTA HTTPs设置,如GlobalPlatform Amd B [GP AB](第3.7.1节TLV:安全域管理会话参数)在相应的安全域的"PE-SecurityDomain"结构中所定义。

RAM的安全级别由SD安装参数中的MSL(最小安全级别)参数定义。强烈推荐根据TS 101 220 [101 220]为安全域分配TAR值。

PoR(收据证明)处理的配置不是Profile定义的一部分。eUICC应遵循最新的ETSI和3GPP发布,以提供必要的安全级别。

8.6.6 OPEN个性化

在GlobalPlatform Card Specification – Amendment C [GP AC]中,通过使用命令INSTALL [用于注册更新](参见[GP AC] §11.2,表11-2)配置特定的卡参数,并通过指向OPEN实体(在INSTALL命令数据的空AID字段中)来获取此配置。OPEN实体在GlobalPlatform Card Specification [GP CS]中定义。

为了允许在可互操作的Profile格式中配置此类参数,定义了"openPersoData"参数。只有专门用于OPEN的参数可以出现在字节串中。这些字节串是根据系统特定参数标签定义的TLV编码的单独值。支持以下参数:

  • 'Restrict参数'(参见[GP CS] §11.5.2.3.7)
  • 包含以下内容的无接触协议参数(参见[GP AC] §11.2):
    • '初始无接触激活状态'(参见[GP AC] §8.3)
    • '无接触协议类型状态'(参见[GP AC] §11.2.4)
    • '协议数据类型A'(参见[GP AC] §4.6)
    • '协议数据类型B'(参见[GP AC] §4.7)
    • '协议数据类型F'(参见[GP AC] §4.8)
    • '连续处理'(参见[GP AC] §6.4)

只有实例化MNO-SD的PE-SecurityDomain可以包括"openPersoData"参数,此参数禁止其他安全域使用。如果没有"openPersoData"参数存在,默认值将适用,如[GP CS]和[GP AC]规范所定义。

Profile的"openPersoData"参数仅在Profile启用时适用。

如果eUICC不支持Restrict参数,并且此参数存在于Profile Package中,应返回错误代码"feature-not-supported",并且Profile Package的安装应被eUICC中止。

8.6.7 CAT_TP个性化

对于按照[CAT_TP]定义的CAT_TP个性化,Profile Package可以指定最大SDU(服务数据单元)大小和最大PDU(协议数据单元)大小:

  • "catTpMaxSduSize"参数指示CAT-TP数据包的发射和接收的最大SDU大小。
  • "catTpMaxPduSize"参数指示CAT-TP数据包的发射和接收的最大PDU大小。

只有实例化MNO-SD的PE-SecurityDomain可以包括"catTpParameters"参数:这些参数禁止其他安全域使用。


http://www.mrgr.cn/news/34387.html

相关文章:

  • 动手学深度学习10.1. 注意力提示-笔记练习(PyTorch)
  • 数字后端教程之Innovus report_property和get_property使用方法及应用案例
  • spring cloud 入门笔记1(RestTemplate,Consul)
  • jmeter基础05_第1个http请求
  • JavaScript:loadScript 方法
  • ceph介绍和搭建
  • 怎么把kgm转换成mp3?5个kgm转mp3的方法,亲测管用!
  • 数据结构——顺序表、链表
  • pandas中数据的合并
  • 单链表练习
  • Linux重定向
  • Linux C# Day4
  • 文心智能体搭建步骤
  • 007——递归(树的前置知识点)
  • 华为HarmonyOS灵活高效的消息推送服务(Push Kit) -- 8 发送通知扩展消息
  • torch.nn系列函数学习 --- Conv2d函数
  • 二分查找算法(5) _山脉数组的峰顶索引
  • 处理京东商品详情信息爬取中的验证码问题
  • yuque-dl-语雀知识库下载为本地markdown
  • 安全审计与监控的核心作用!确保网络安全等级保护的有效性
  • 镜舟科技面对亿级数据分析场景,如何做到金融级放心用?
  • LN层和BN层的区别?
  • 0基础带你学前端(1)
  • 测试文件和数据库文件
  • 828华为云征文|云服务器Flexus X实例评测体验之搭建MySQL数据库
  • 阿里巴巴首页pc端1688店铺招牌店铺装修教程