GB/T 29271.3-2014 识别卡 集成电路卡编程接口 第3部分：应用接口

ICS35.240.15

L64

中华人民共和国国家标准

/—

GBT29271.32014

识别卡集成电路卡编程接口

:

第部分应用接口

3

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

——

IdentificationcardsInteratedcircuitcardrorammininterfaces

gpgg

:

Part3Alicationinterface

pp

(/:,)

ISOIEC24727-32008MOD

2014-09-03发布2015-02-01实施

中华人民共和国国家质量监督检验检疫总局

发布

中国国家标准化管理委员会

/—

GBT29271.32014

目次

前言…………………………Ⅲ

引言…………………………Ⅳ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4缩略语……………………3

5用于互操作的组织………………………3

5.1概要…………………3

5.2计算模型……………3

5.3应用接口上的实体关系……………4

5.4安全模型……………8

6卡端应用服务访问………………………11

6.1概要…………………11

6.2初始化()…………………

Initialize11

6.3终止()…………………

Terminate12

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

6.4CardAlicationPath………………13

pp

7连接服务…………………13

7.1概要…………………13

7.2CardAlicationConnect…………13

pp

7.3CardAlicationDisconnect………………………14

pp

7.4CardAlicationStartSession……………………15

pp

7.5CardAlicationEndSession………………………16

pp

8卡端应用服务……………17

8.1概要…………………17

8.2CardAlicationList………………17

pp

8.3CardAlicationCreate……………18

pp

8.4CardAlicationDelete……………18

pp

8.5CardAlicationServiceList………………………19

pp

8.6CardAlicationServiceCreate……………………20

pp

8.7CardAlicationServiceLoad……………………21

pp

8.8CardAlicationServiceDelete……………………21

pp

ribe…………………22

8.9CardAlicationServiceDesc

pp

8.10ExecuteAction……………………23

9命名数据服务……………24

9.1概要…………………24

9.2DataSetList………………………24

Ⅰ

/—

GBT29271.32014

9.3DataSetCreate……………………25

9.4DataSetSelect………………………25

9.5DataSetDelete……………………26

9.6DSIList……………27

9.7DSICreate…………………………28

9.8DSIDelete…………………………28

9.9DSIWrite…………………………29

9.10DSIRead…………………………30

10加密服务………………31

10.1概要………………31

10.2Enciher…………………………31

p

10.3Deciher…………………………32

p

10.4GetRandom………………………33

10.5Hash………………34

10.6Sin………………34

g

10.7VerifSinature…………………35

yg

10.8VerifCertificate…………………36

y

11差异特征服务…………………………37

11.1概要………………37

11.2DIDList…………………………37

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

11.3DIDCreate………………………38

11.4DIDGet……………39

11.5DIDUdate………………………40

p

11.6DIDDelete…………………………41

11.7DIDAuthenticate…………………42

12认证服务………………43

12.1概要………………43

12.2ACLList…………………………43

12.3ACLModif………………………44

y

()……………

附录规范性附录鉴别协议

A45

参考文献……………………120

Ⅱ

/—

GBT29271.32014

前言

/《》:

GBT29271识别卡集成电路卡编程接口分为以下六个部分

———:;

第部分体系结构

1

———:;

第部分通用卡接口

2

———:;

第部分应用接口

3

———:();

第部分应用编程接口API管理

4

———:;

第部分测试规程

5

———:。

第部分实现互操作的鉴别协议的注册管理规程

6

本部分为/的第部分。

GBT292713

本部分按照/—给出的规则起草。

GBT1.12009

本部分使用重新起草法修改采用/:《识别卡集成电路卡编程接口第部

ISOIEC24727-320083

:》/:/:。

分应用接口和ISOIEC24727-32008Cor12010

/:/:/:,

本部分与和相比在结构和技术内容

ISOIEC24727-32008ISOIEC24727-32008Cor12010

、。、

上删除了规范性附录规范性附录和规范性附录国际标准附录规定的加密算法附录规定

BCDBC

的表示法和附录规定的命令,。

ASN.1D模块由于稳定性和可用性的原因本部分将其删除使用本部分

,。

的各方如有需要可参看英文版标准及其勘误

/:/:,

本部分纳入了ISOIEC24727-32008Cor12010的技术勘误内容这些技术勘误内容涉及的条款

()国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页。

已通过在其外侧页边空白位置的垂直双线‖进行了标示

本部分还作了下列编辑性修改:

———,;

删除国际标准前言增加国家标准前言

———,;

为了标准各部分之间的协调一致依据本标准第部分的引言内容修改了引言

1

。

———增加了A.3.1

。。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

Ⅲ

/—

GBT29271.32014

引言

/(),

GBT29271定义了一组集成电路卡ICC和外部应用之间交互的编程接口包括多部门使用的通

用服务。的组织和操作符合/。

ICCISOIEC7816-4

/与不同应用领域之间有互操作要求的应用相关。

GBT29271ICC

/定义了接口以实现独立的实现方法之间的互操作。

GBT29271

/,:

GBT29271详细定义了服务的查找机制其查找方法包括为客户端应用提供的查找方法

———ICC中可选的卡端应用;

———每一个卡端应用的相关信息。

/规定体系结构。

GBT29271.1

/,。

GBT29271.2详述功能和相关信息结构它们可用于本部分中定义的接口的实现

/的本部分详述由一个客户端应用发起使用的服务访问机制。

GBT29271

,。

本部分指定了独立于语言和实现的应用层接口它用于与卡片进行信息和事务的交换该应用接

/。,:

口采用GBT9387.1的分层结构也就是说应用接口假定存在这样的协议栈通过它可以利用命令

。/。

来交换卡片间的信息和事务传送这些命令的报文结构在ISOIEC7816中定义应用接口访问的命

(,/):

令的语义参考应用协议数据单元APDU在GBT29271.2中有描述及以下标准

———/:、

识别卡集成电路卡第部分用于交换的结构安全和命令

ISOIEC7816-44

———/:

识别卡集成电路卡第部分与安全相关的行业间命令

ISOIEC7816-88

———/国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页:

识别卡集成电路卡第部分用于卡管理的命令

ISOIEC7816-99

。

本部分的目标是最佳化提供应用接口以支持卡片已知应用的软件工具的可用性和解决空间该工

:、,,

作包括当卡片变得更强大同级伙伴存在以及将来应用的时候支持卡片系统的进化从而使得对遵守

本部分的已有方案的影响最小。

本部分中涉及的加密算法和ASN.1表示法可以参看英文版标准及其勘误。

/详述通信栈中两个相邻组件之间的可信机制和连接机制。

GBT29271.4

/29271.5详述测试规程。

GBT

/规定实现互操作的鉴别协议的注册管理规程。

GBT29271.6

,/。

用于本部分的功能通常存在于ICC之外用于GBT29271.2的功能通常存在于ICC之内

Ⅳ

/—

GBT29271.32014

识别卡集成电路卡编程接口

:

第部分应用接口

3

1范围

/,

GBT29271的本部分定义了客户端应用服务接口支持的服务这些服务以操作请求和操作响应

。。

的方式来表述以独立于编程语言的方式描述这些服务

/—。

本部分是在GBT9387.11998中定义的开放系统互连参考模型的应用接口它提供用于客户

,。

端应用的高层接口该客户端应用使用卡端应用的信息存储及处理操作作为通用卡接口

本部分不被授权定义该接口的具体实现方法。

2规范性引用文件

。,

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,()。

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

/—:(

信息技术开放系统互连基本参考模型第部分基本模型

GBT9387.119981idt

/:)

ISOIEC7498-11994

/—国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页:(/:

识别卡集成电路卡编程接口第部分体系结构

GBT29271.120121ISOIEC24727-1

,)

2007IDT

/—:(/:

识别卡集成电路卡编程接口第部分通用卡接口

GBT29271.220122ISOIEC24727-2

,)

2008IDT

/:(

识别卡集成电路卡第部分通过生物方法的身份验证

ISOIEC7816-1111Identification

——:)

cardsInteratedcircuitcardsPart11Personalverificationthrouhbiometricmethods

gg

语法年月

IETFRFC2141URN19975

3术语和定义

/—、/—中界定的以及下列术语和定义适用于本文件。

GBT29271.12012GBT29271.22012

3.1

访问控制列表accesscontrollist

访问规则的集合。

3.2

访问许可accessermission

p

准许执行某一操作的能力。

3.3

访问规则accessrule

卡端应用的上下文内操作与安全条件的联系。

1

/—

GBT29271.32014

3.4

操作action

在/应用接口中客户端应用要求的卡端应用的操作。

GBT29271.3

3.5

阿尔法卡端应用alhacard-alication

ppp

,/,。

管理卡端应用具体到GBT29271为负责发现卡片及应用并提供管理服务

3.6

卡端应用路径card-alication-ath

ppp

网络中连接客户端应用到卡端应用的协议终点的有序集。

3.7

卡端应用服务card-alication-service

pp

操作的集合。

3.8

信道channel

客户端应用和卡端应用之间传输位信息的物理通道。

3.9

客户端应用client-alication

pp

,。

软件组件其运行在使用由卡端应用提供的数据存储和计算服务的平台上

3.10

连接connection

逻辑引用信道。国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

3.11

全局差异特征lobaldifferential-identit

gy

被同一阿尔法卡端应用管理的所有的卡端应用中被识别的差异特征。

3.12

局部差异特征localdifferential-identit

y

只在其被定义的卡端应用中被识别的差异特征。

3.13

参数arameter

p

要求定义的信息或者影响操作的信息。

3.14

返回码returncode

,,。

信息包括状态作为操作结果而返回

3.15

安全条件securitcondition

y

差异特征的鉴别状态的布尔表达式。

3.16

会话session

用于特定安全上下文时的连接。

3.17

对象taret

g

通过卡端应用服务的操作被操纵的实体。

2

/—

GBT29271.32014

4缩略语

/—、/—中给出的和下列缩略语适用于本文件。

GBT29271.12012GBT29271.22012

:()

ACL访问控制列表accesscontrollist

:()

AID应用标识符alicationidentifier

pp

:()

AR访问规则accessrule

:()

DID差异特征differential-identit

y

:()

DSI用于互操作的数据结构datastructureforinteroerabilit

py

:()

GCAL通用卡访问层enericcardaccesslaer

gy

:()

OID对象标识符obectidentifier

j

:()

SAL服务访问层serviceaccesslaer

y

5用于互操作的组织

5.1概要

,。

客户端应用和卡端应用包含两个对等级实体它们通过明确定义的事务和通信机制进行交互

/,用。

GBT29271.3应用接口应是唯一接口通过它客户端应用与卡端应用相互作

/,

本章定义了GBT29271.3应用接口上的计算模型和永久实体通过它客户端应用和卡端应用交

。,。

互作用安全模型管理安全机制通过安全机制建立可信的交互

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

/,。

5.2介绍GBT29271.3应用接口上提供的概念实体并描述它们的操作行为与关系

详细说明/应用接口提供的实体及其之间的关系。

5.3GBT29271.3

详细说明/应用接口提供的安全模型。

5.4GBT29271.3

5.2计算模型

。,

5.2.1客户端应用可以识别到卡端应用的路径使用卡端应用路径客户端应用可以发起到卡端应用

。。

的连接卡端应用即为当前用于连接的卡端应用

/。

5.2.2GBT29271.3应用接口是提供给客户端应用的卡端应用服务每个卡端应用服务由操作组

,,。

成该操作可以被客户端应用请求并通过SAL返回来确认

,/

5.2.3如果客户端应用不认识卡端应用的路径它可以请求GBT29271.3应用接口以找到请求的卡

端应用的路径。

2.4卡端应用由AID唯一识别。

5.

5.2.5阿尔法卡端应用为客户端应用提供卡端应用可信管理的基础。

。,

5.2.6客户端应用可以开放多个连接客户端应用可以对同一卡端应用开放多个连接每个连接被索

引为不同的连接句柄。

,。

5.2.7使用开放连接客户端应用可以对卡端应用发起会话

。。

5.2.8客户端应用可以开放多个会话在一个连接中仅能打开一个会话

、、

5.2.9当前状态是指被当前的卡端应用定义的连接的当前状态当前的数据集被识别的差异特征的

鉴别状态以及连接上的会话表达式。

5.2.10卡端应用包含一个或多个卡端应用服务。

、,。

5.2.11特定卡端应用服务命名的数据服务提供入口访问零个或多个数据集

3

/—

GBT29271.32014

数据集包含零个或多个用于互操作的数据结构()。数据集提供其包含的用于的命名

5.2.12DSIDSI

范围及访问规则。

,。

5.2.13根据管理操作的访问规则可以从命名的数据服务中访问每个数据集

5.2.14当前卡端应用中被选择的数据集称为当前数据集。

/应用接口的单一操作请求可以转化为/通用卡接口的多个通用

5.2.15GBT29271.3GBT29271.2

请求。

,/。

5.2.16卡端应用可以支持多个操作客户端应用通过GBT29271.3应用接口对其发送请求

5.2.17一个操作请求应该产生一个操作确认。

。。

5.2.18访问规则由操作的名称以及安全条件组成安全条件与访问规则的操作有关

。。

5.2.19访问控制列表是零个或多个访问规则的集合访问控制列表与每个对象有关

,

5.2.20当且仅当与在对象的访问控制列表中访问规则的操作有关的安全条件计算为TRUE时包括

对象在内的操作才能被成功地执行。

5.2.21鉴别协议是差异特征证明标识所有权的过程。

。。

5.2.22鉴别是鉴别协议的成功完成在这种情况下的差异特征即为通过鉴别

,“”,“”。

5.2.23如果差异特征通过鉴别则差异特征的鉴别状态是为TRUE的布尔变量否则为FALSE

(/、

5.2.24客户端应用可以由卡端应用通过发现程序通过GBT29271.3应用接口提供的各种List

、)、。

Get以及Describe操作来作用来获悉信息状态或者服务

访问规则在/应用接口中出现。

5.2.25GBT29271.3

,/

5.2.26通常说来卡端应用对客户端应用的互操作程度取决于由GBT29271.3应用接口中卡端应用

给出的可发现信息。

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

5.3应用接口上的实体关系

5.3.1概要

,。

本节通过卡端应用描述可访问的实体即阿尔法卡端应用以及它管理的卡端应用更多直接涉及

安全模型的实体在5.4中描述。

图举例说明/下卡端应用的客户端应用范例。/应用接口简化了连接

1GBT29271GBT29271.3

,。

和会话机制如图所示

1

图应用连接范例

1

,。,

通过卡端应用路径客户端应用连接到指定的卡端应用通过这样的连接客户端应用可以利用

/。,

GBT29271.3应用接口来访问卡端应用服务除其固有的安全特征之外会话添加安全上下文到连

,。

接用于保护客户端应用和卡端应用之间流动的数据

4

/—

GBT29271.32014

。,

图举例说明在计算模型中定义的实体以及这些实体之间建立的关系该实体与关系图以描述

2

。。

个体卡端应用服务适用于相应操作的对