识别卡集成电路卡大容量卡

识别卡集成电路卡大容量卡

国家标准 GB/T30962一2014 识别卡集成电路卡大容量卡 dentifieationeards一lntegratedeireuiteards一Hligheapaeity cards 2014-07-08发布 2014-12-01实施 国家质量监督检监检疫总局 发布 国家标准花管理委员会国家标准
GB/T30962一2014 目 次 前言 范围 规范性引用文件 术语和定义 缩略语 概述 大容量卡逻辑结构 大容量卡7816传输接口 7.1物理特性 7.2触点的尺寸和位置 7.3电信号和传输协议 大容量卡USB,.IcUSB传输接口 物理接口 8.1 8.2USB,Ic_USB接口电特性 大容量卡数据库概述 大容量卡数据库 9.1 9.2大容量卡数据表 9.3大容量卡数据库系统表 10大容量卡数据库相关命令 10.1概述 10.2命令分组和编码 10.3状态字节 1 10.4数据库的安全属性 10.5符号和特定译码 11大容量卡数据库操作 15 11.1 CREATEDB 1. O)PENDB 11.3CLOSEDB u. CREATETABIE 1 CREATEINDEX 1.s 20 GETRECORDOPEN 1.7GETREcoRDNExT 22 11.8GETREC(ORDCLOSE 11.9INSERTREC(ORD 23 1l.10UPDATERECORD 2 11.1 DELETERECORD 26
GB/T30962一2014 2r 11.12DELETEDB 28 12大容量卡数据库事务管理 12.1 28 -般概念 28 12.2事务操作 31 13数据库用户访问控制操作 31 13. -般概念 32 13.2角色管理 35 13.3资源管理 39 13.4用户管理 42 13.5角色授权管理 13. 用户授权管理 45 13.7会话接口管理 48 14大容量卡的识别 51 附录A(资料性附录)大容量卡操作用法示例 52 附录B(规范性附录)大容量卡数据库可能产生的错误码 53 附录c(资料性附录)网络字节次序和主机字节次序 55
GB/T30962一2014 前 言 本标准按照GB/T1.1一2009给出的规则起草 请注意本文件的某些内容可能涉及专利 本文件的发布机构不承担识别这些专利的责任 本标准由全国信息技术标准化技术委员会(SAC/TC28)提出并归口 本标淮起草单位电子技术标雅化研究院、北京握奇智能科技有限公司,东信和平智能卡股份 有限公司、深圳市特种证件研究制作中心,航天信息股份有限公司北京航天金卡分公司 本标准主要起草人.金情、龙德帆、那进春,王国猛,田志勇、冯敬、赵子渊、赵继红.、张脉江.
GB/T30962一2014 识别卡集成电路卡大容量卡 范围 本标准规定了大容量卡的概念、,逻辑结构、传输接口,大容量卡数据库的相关命令、操作,事务管理、 用户访问控制操作,以及大容量卡的识别等 本标准适用于大容量卡的研究、设计,生产和应用 规范性引用文件 下列文件对于本文件的应用是必不可少的 凡是注日期的引用文件,仅注日期的版本适用于本文 件 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T14916一2006识别卡物理特性 GB/T16649.1一2006识别卡带触点的集成电路卡第1部分:物理特性 GB/T16649.2一2006识别卡带触点的集成电路卡第2部分:触点的尺寸和位置 GB/T16649.!一200识别卡集成电路卡第4部分;用于交换的结构,安全和命令 ISO/IEC7816-3:2006 识驯卡集成电路卡第了部分;带触点的卡电信号和传输协议(den tificationcardsIntd atedcircuitcardsPart3:Cardswithcontacts一Electricalinterfaceandtrans- tegrat missionprotocols 通用串行总线规范2.0版(UniversalserialBusSpecifieation2.0y 洼;可以从以下网站获得;http://www.usb.org/developers/docs bpplene 芯片间USB规范1.0版(Inter-ChipUSBSu otheUSB2.0SpeeifieationV1.0) ntto 注:可以从以下网站获得;http://www.,usb.org/developers/devclass_docs 术语和定义 下列术语和定义适用于本文件 atedcireuit(s)card 集成电路卡 integra C卡 内部封装一个或多个集成电路的识别卡(如GB/T14916中所定义). [GB/T16649.l2006,定义3.2 3.2 大容量卡 highcapacityeards 带有大容量存储器的Ic卡 注，通常采用数据库的方式管理卡内数据,数据库访问采用授权和认证的方式,并采用安全加密算法进行数据的传 输和存储 3.3 传输接口 transmissioninterface 用于大容量卡与接口设备(见3.7)之间传输数据的通讯接口
GB/T30962一2014 3.4 universalserialbus 通用串行总线 USB组织制定的数据传输协议 由 3.5 芯片间通用串行总线interchipUSB 由UsB组织制定的用于芯片间数据传输的协议 3.6 触点eontact 保持集成电路和外部接口设备间电流连续性的导电元件 [GB/T16649.1一2006,定义3.3] 3.7 接口设备interfacedevice 在操作中与卡电连接的终端,通信设备或机器 3.8 卡操作系统earderutingsystemm 在Ic卡中存储和运行的,以保护存储在非易失性存储器中的应用数据或程序的机密性和完整性、 控制Ic卡与外界信息交换为目的的嵌人式软件 3.9 数据库平台 databaseplatform 用于统一管理大容量卡内数据的数据库程序 缩略语 下列缩略语适用于本文件 APDU;应用协议数据单元(ApplicationProtocolDataUnits) API;应用编程接口(ApplicationProgrammingInterface) ATR;复位应答(Answer-to-Reset) L.A;类别字节(classbyte) COS;卡操作系统(CardOperatingSystem HCC;大容量卡(highcapacitycards cC集成电路卡(IntegratedCireuitcards) Ic_USB;芯片间通用串行总线(inter-ehipUSB) IFD;接口设备(interlacedevice) INS;指令字节(instruetionbyte) Le;用于编码编号Ne的长度字段 Le:用于编码编号Ne的长度字段 P1,P2;参数字节 reservedforfutureuse RFU:保留供将来使用(re sQL;结构化查询语言(StructureQueryLanguage) TLV;标记长度-值(Tag-lLength-Value) versalSerialBus) USB;通用串行总线(Univ
GB/T30962一2014 概述 相对于传统的IC卡,大容量卡一般具有以下特征 -存储容量较大,通常在1M字节以上; 卡内数据通常由内部数据库引擎提供自主管理， -般可支持高安全性的数据传输和存储; 通常可支持一种或多种传输接口,例如,7816接口(见第7章),UsBc_UsB接口(见第8 章 大容量卡逻辑结构 大容量卡逻辑结构如图1所示 其他应用l其他应用2 其他应用N 数据库应用 数据库应用2 数据库应用M 大容量卡数据库管理 指令分发 大容量卡数据安全管理 大容量卡数据存储管理 通讯驱动存储驱动其他驱动 大容量卡硬件接口 注:虚线框中为大容量卡数据库的逻辑结构 图1大容量卡逻辑结构 大容量卡的逻辑结构主要包含以下4个部分 a)大容量卡硬件接口; 大容量卡驱动程序; b 大容量卡的数据库应用; c) 大容量卡的其他应用 d 大容量卡驱动程序包括通讯驱动、存储驱动和其他驱动等,其他驱动一般包含算法加速器、定时 器等 大容量卡的数据库应用和其他应用均受卡本身的安全机制的保护 此外,大容量卡的数据库应用 通常自身也有安全管理,这种安全管理方式一般采用基于角色的访问控制机制,可以对大容量卡内部资 源的访问进行权限的授予和权限的判定,只有具有相应权限的用户才能访问相应的资源,可以提高卡内 资源的安全性 大容量卡的数据库应用和其他应用均通过命令请求响应的方式与通信接口进行交互
GB/T30962一2014 大容量卡7816传输接口 7.1 物理特性 大容量卡7816传输接口的物理特性应符合GB/T16649.1一2006的规定 7.2触点的尺寸和位置 大容量卡7816传输接口的触点的尺寸和位置应符合GB/T16649.2一2006的规定 7.3电信号和传输协议 大容量卡7816传输接口的电信号和传输协议应符合IsO/IEC7816-3;2006的规定 大容量卡USB,Ic_USB传输接口 8.1物理接口 支持USBIC_UsB传输协议的大容量卡物理接口如图2所示 D GND USB VBUS 接口 D+ vcclGND RST RFU CLK IlO AUX AUX2 vCC RST ISO/IEC CLK 7816-3 lO 按口 RFU GND 图2支持USB.IcLUSB传输协议的大容量卡物理接口 支持USB,ICUSB传输协议的大容量卡的触点分配如表1所规定 表1支持USB、.Ic_USB接口的大容量卡的触点分配 符号 触点 分配 C USB总线的电源 VBUS C2 用于1/O接口的复位信号 RST C3 用于I/O接口的时钟信号 CLK C4 用于USB协议的USBD十或用于lC_USB协议的ICUSBD十 D+ C5 GND
GB/T30962一2014 表1(续 符号 分配 触点 RFU 保留供将来使用 C6 C 1/O 用于1/o接口的输人输出信号 D C8 用于USB协议的UsBD十或用于Ic_USB协议的IC_USBD 未使用的触点区域应和其他触点区域电隔离 在应用UsB或Ic_UsB接口的情况下,这些触点的信号应不影响Iso/IEC78163;2006中定义的 触点信号 8.2USB、ICUSB接口电特性 支持UsB接口的大容量卡的电源管理应符合通用串行总线规范2.0版中关于电源管理的规定 支持Ic_UsB接口的大容量卡的电流消耗应满足芯片间UsB规范1.0版中有关电源管理的规定 支持Ic_UsB接口的大容量卡应至少支持下述两种工作电压中的一 种: B类;3.0V; C类;l.8V 支持1c_USB接口的大容量卡通过电压协商来完成对支持的电压级别的选择 电压级别的协商流 程由接口设备发起 支持B类工作电压的大容量卡电特性见表2 表2B类电特性 单位为伏 符号 参数 条件 最小值 最大值 c_VDD 电源电压 2.7 3.3 Vm 输人高电平 Vo>(Vo)m ICVDD十0,3 输人低电平 Vn<(Vn Vm 0. 0.8 IcVDD-0.45 输出高电平 2mA Vom oH一 0.45 输出低电平 =2mA lw云 o儿 支持C类工作电压的大容量卡电特性见表3 表3C类电特性 单位为伏 符号 参数 条件 最小值 最大值 IcVDD 电源电压 1.62 1.98 Y 0.65×IC_VDD c_VDD十0.3 输人高电平 Vn>(Vw)mm Vm 输人低电平 0.35×ICVDD vw<(Va)m 0.3 2 Vom1 输出高电平 C_VDD 0.45 lo nmA 输出低电平 儿=2mA Von 0.45
GB/T30962一2014 大容量卡数据库概述 9.1 大容量卡数据库 9.1.1大容量卡数据库构成 个在大容量卡上符合本标准的数据库称为大容量卡数据库 大容量卡数据库的访问命令符合 GB/T16649.4一2010中定义的行业间命令的编码规则 大容量卡数据库的构成如图3所示,其中数据库对象包括表,索引等 数据库平台 数据库数据表 数据库系统表 其他数据库对象 图3大容量卡数据库构成 大容量卡应使用数据库平台统一管理大容量存储区的数据 数据库平台应包括应用命令)接口、数据管理功能、索引管理功能、模式管理功能和操作系统接 口等 应用命令)接口 向应用模块提供数据访问接口,接收应用模块发出的数据访问请求 数据管理功能 管理应用数据,统一定义应用数据的存储结构,并根据数据访问请求对应用数据进行添 加、删除,更新或检索等应用数据操作 索引管理功能 管理索引数据,索引数据用于加速定位应用数据在应用数据集合中的位置,索引数据按照 索引算法进行存储; 通过索引算法管理索引数据,并根据数据访问请求对索引数据进行生成、根据数据管理的 操作结果添加、删除或更新等操作,以及根据索引算法查找索引数据获得数据位置信息， 供数据管理使用 模式管理功能 管理配置数据,配置数据包括应用模块下所有应用数据的集合、索引的配置信息以及该应 用模块自身的配置信息 统一定义配置数据的存储结构,并根据数据访问请求对配置数据进行模式操作,模式操作 包括生成配置信息、根据数据管理模块和索引管理模块的操作结果添加、删除或更新配置 信息,并根据数据访问请求获取应用数据集合和索引的配置信息,供数据管理模块和索引 管理模块使用 操作系统接口 为模式管理、数据管理、索引管理提供操作系统的文件访问接口,内存访问接口,使模式管 理模块访问配置数据,使数据管理模块访问应用数据,使索引管理模块访问索引数据
GB/T30962一2014 g.1.2基于sQL命令的大容量卡数据库的应用示例 本条给出了大容量卡数据库作为一个分布式sQL数据库环境的一部分的应用示例. 如图4所示,应用系统既能够使用sQL命令与sQL数据库(即支持sQL命令的数据库)进行交 互,也能够使用sQL命令与大容量卡数据库进行交互 应用系统通过IFD/ICC接口把sQL命令传送 到ICC的数据库中进行处理,这样，一个带有数据库的大容量卡就能作为一个分布式sQL数据库环境 的一部分来部署和使用 应用系统 SOL-A sQL命令 SL命令 SOL c sQL命令 数据库 带数据库 IFD/cc接口 图4基于soL命令的大容量卡数据库的应用示例 9.2大容量卡数据表 大容量卡数据库包含称为表的对象,可以通过唯一的标识符来引用 表是一个结构化数据对象,在数据库中有一个唯一的名称 表由一些已命名的列和排序的若干行 组成 在理论上讲,行的数目可以是无限的即只受卡中存储空间的限制),也可以是有限的 图5给出 了表及其主要特征的示例 表名 列名1 列名2 列名3 行2 行3 特性 表名，唯一的，最大长度不超过16个字节 表列名唯一的，最大长度不超过16个字节 表列数;1-56 列的数据类型，surimg、bmay、bldt、it、laet 注，bob表示二进制的对象，是一个可以存储二进制文件的容器 图5表及其主要特征的示例 表的结构创建后就保持不变,既不能删除现有的列也不能插人新的列 在表上可以执行下列操作 查询、插人,更新、删除 9.3大容量卡数据库系统表 系统表由大容量卡数据库平台管理,包含了管理和存取数据库所必需的信息
GB/T30962一2014 10大容量卡数据库相关命令 10.1概述 为了提高大容量卡的通用性,扩展大容量卡的应用领域,建立一种处理大容量卡中数据库的操作体 系是必需的 处理大容量卡数据库的体系流程如下 访问端根据约定的数据通信协议,将数据库操作请求中每个参数的信息封装为对应的APDU a 操作命令 b)访问端向大容量卡下发APDU操作命令,大容量卡根据约定的数据通信协议解析APDU操 作命令,获取操作数据库的命令信息,并根据命令信息,处理对应的数据库,以及根据约定的数 据通信协议.将处理后的响应数据封装为APDU响应返回给访问端; 访问端根据约定的数据通信协议,对接收到的APDU响应进行解析,获得处理结果 在执行大容量卡数据库操作命令中.sQL声明(cstacme)被映射到大容量卡数据库操作上. 从sQL声明到大容量卡数据库操作的映射的原则如图6所示 sQL声明一大容量卡数据库操作 sQL SQL SQL SQL SQL 声明 属性 关键字 属性 关键字 P2 CLA NSP1 参数 参数 lp 注l:数据字段的编码是LV的结构 由于数据对象是固定的，因此不需要 TLV结构 注2 关键字不在数据字段中编码 SQL 注3如果几个子项能构成组，则组的维数应出现在该组的最前面 注4L,p为自定义的参数长度 图6从soL声明到大容量卡数据库操作映射原则 如图6所示,数据库操作请求中每个参数的信息被封装为APDU操作命令 首先,访问端会根据约定的数据通信协议,以及每个参数中每个元素的值,确定对应的APDU操作 命令中数据内容属性的信息 其次,访问端会根据数据内容属性的信息的长度,确定对应的APDU操作命令中数据长度属性的 信息 这种执行大容量卡数据库操作命令APDU的应用协议结构如图7所示 首标 主体 CLAINSP1P2 [Lc字段][数据字段] 图7命令APpU结构 SQL声明与大容量卡数据库操作的APDU命令之间的映射关系见表4
GB/T30962一2014 表4sQL声明与APDU命令之间的映射关系 大容量卡数据库操作命令(APDU sQL声明 名称 代码 长度 操作描述 CLA 命令类别 类别 INs 命令 命令代码 sQL声明 参数1 命令参数1(操作标签) P p2 命令参数" 参数2 长度 Lc字段 变量1 在命令的数据字段中呈现的字节数 sQL属性 数据字段 数据 变量=le 在命令的数据字段中发送的字节串 大容量卡根据约定的数据通信协议,将处理后的响应数据封装为APDU响应返回给访问端,具体 步骤如下 根据约定的数据通信协议.将响应数据中每个参数中每个元素的值组成一个数据包.计算数据 a 包的长度,根据数据包及其长度,确定APDU响应中数据内容属性的信息 b)确定一个数据包长度的阔值,将数据包长度与阔值进行比较,当长度大于阂值时,将数据包分 成至少两个数据子包,并根据每个数据子包,数据子包的长度,以及对应的多帧标识,确定对应 的APDU响应中数据内容属性的信息 将所有的数据包返回给访问端 大容量卡数据库对操作的响应APDU结构如图8所示 [数据字段] Sw1,SW2 图8响应APU结构 响应APDU内容说明见表5 表5响应APDU内容 代码 名称 长度 描述 数据 变量=Ie 数据字段 在响应的数据字段中收到的数据内容 Sw1 状态字节1 命令处理状态 Sw2 状态字节2 命令处理受限字符 -个执行数据库操作,执行事务操作或执行用户访问控制操作的命令可能需要1个或多个APDU 命令才能完成 如果接口设备下传到卡或者卡上传到接口设备的数据通过 一个APDU命令的交互就 能完成,这种情况属于单赖交易的情况,否则属于多赖交易的情况 以下进行分别说明 接口设备下传到卡的命令APpU数据字段结构如图9所示 [Le字段][数据字段 CLAINSP1P2 CLAINsPFlag 个字节) Ic Data(Ic 图9接口设备下传到卡的命令APDU数据字段结构
GB/T30962一2014 图9中 CLA:见IsO/IEC7816-4中的定义 INS:为执行数据库操作、执行事务操作或执行访问控制操作 P1:为操作类型 P2:为帧标志字节Flag,Flag(b0~b7,其中b0为最低位,b7为最高位)的定义为 b7;为1,后面的Lc和Data有效,需要解析; a 为0,后面的L.c和Data无效,不需要解析; b)b6~b2;RFU; c)bl;为1,该帧为首帧,否则为非首帧， b0:为1.该帧为尾帧,否则为非尾帧 d 注1;对于接口设备传给卡只有1帧,而返回的响应存在多慎的情况,卡传给接口设备的首赖的Flag应为0x82,卡 传给接口设备的中间赖的Flag应为0x80,卡传给接口设备的最后一赖的Flag应为 0x81 注2;对于接口设备传给卡只有1帜,并且返回的响应也只有1帆的情况,Flug无意义 注3:如果接口设备传给卡的命令需要多个APDU命令(多赖)才能执行完毕的情况,则应连续将这些APDU传送 完成 Le;说明Data字段中有效数据的长度,小于或等于255字节 Data;有效数据 卡上传到接口设备的响应APDU数据字段结构,在无响应数据的情况下,如图10所示 SW1,SW2 图10无响应数据情况下的APDU数据字段结构 sw1、sw2;状态码 卡上传到接口设备的响应APDU数据字段结构,在有响应数据的情况下,如图11所示 Flag(1字节 L.en(2字节 Data(Len个字节 Sw1、Sw2 图11有响应数据情况下的APDU数据字段结构 图11中: Flag(b0~b7,其中b0为最低位,b7为最高位)的定义为 b7;为1,后面的L.en和Data有效,需要解析; 为0,后面的Len和Data无效,不需要解析; b b6b2;RFU; bl;为1,该帧为首帧,否则为非首帧 c) 0;为1,该帧为尾帧,否则为非尾帧 ILen:Data字段中有效数据的长度,在多帧情况下(Flag不等于0x83).首帧最前面2字节为多 帧中所有数据的总长度(这个总长度不包括这两个字节),其余帧2个字节数据总长度为0;在 单帧的情况下(Flag等于0x83),2字节帧数据总长度为单帧数据总长度 Data;有效数据 sw1,Sw2:状态码 -接口设备下传到卡的命令APDU中的有效数据包(Data)格式定义: 接口设备接口函数参数以LV形式传递到卡,有效数据包格式如图12所示 10
GB/T30962一2014 多帖数据 第1个参数的 第1个参数 第n个参数的 第n个参 总长度 数据长度L1 的数据 数据长度Ln 数的数据 . Ln个字节 2字节 1字节 L1个字节 1字节 图12有效数据包格式(接口设备到卡) 当存在多维参数的情况下,参数的数据格式如图13所示 参数的第1个元 参数的第1个 参数的第人个 参数的第人个 参数的维数 素数据长度S1 元素的数据 元素数据长度Sk 元素的数据 1字节 个字节 个字节 S1 S 字节 1字节 图13多维参数情况下参数的数据格式(接口设备到卡) 注1，当字符串以LV形式传递到卡时,必须把字符串的结束符'\o'也一起传递,长度包括字符串结束符\o' 注2;当任意参数的维数大于1的情况下,参数的数据长度不存在 注3，在多赖情况下(Flag不等于0x83),第1帆最前面2字节为多制数据总长度,其余帧则没有这2个字节多数 据总长度 注4;在单的情况下(Flag等于0x83),不存在2字节帆数据总长度 卡上传到接口设备的响应APDU中的有效数据包(Data)格式定义 卡响应数据以LV形式传递到接口设备,直接将响应数据传递给应用程序进行处理,有效数据 包格式如图14所示 第1个参数的数据长度L1 第1个参数的数据 第n个参数的数据长度Ln 第n个参数的数据 1字节 L1个字节 1字节 Ln个字节 图14有效数据包格式(卡到接口设备 当存在多维参数的情况下,参数的数据格式如图15所示 参数的第1个元素 参数的第1个 参数的第个 参数的第k个 参数的维数 元素数据长度s 元素的数据 数据长度S1 元素的数据 1字节 1字节 S1个字节 1字节 Sk个字节 图15多维参数情况下参数的数据格式(卡到接口设备 单帧,多帧命令机制 对于命令-响应对,一个命令APDU应紧跟一个响应APDUu(见IsO/IEC7816-3;2006) 在接 口部分不允许出现命令-响应对的交叉,即收到响应APDU之后才可以初始化另外一对命令 响应对 而在单帧,多机制中,每一发送帧都是一个命令APDU,每一应答帧都是一个响应 APDU,因此向大容量卡中发送一帧数据,都应得到响应才能继续发送下一帧数据,直到所有 的帧数据发送完毕 帧命令机制是为了更好地适应大容量卡内部资源有限(尤其是内存资源)而设计的,它可以在 内存有限的情况下有效的运行,并适合大容量卡数据库中大数据量的传输和操作 10.2命令分组和编码 大容量卡数据库相关命令可以进行分组,如图16所示 11
GB/T30962一2014 大容量卡数据库相关命令 执行数据库操作 执行事务操作 执行用户访问控制操作 CREATEDB BEGINTRANSACTION INSERTROLE OPENDB COMMT DELEERoLE CLOSEDB RoLLBACK UPDATEROLE CREATETABLE GEoBECTDBYNAME CREATEINDEX GETOBECTSAFELEVELBYID GEREcORDoPEN GETOBECTTYPEBYID GETRECORDNEXT GETOBJECTINFOBYNAME GERECORDCLOSE INSERTUSER INSERTRECORD DELETEUSER UPDATERECORD UPDATEUSER DELETEREcORD PAGRANT DELETEDB PAREVOKE PAREvOKEAL PACANACCEsS UAAssIGN UAREVOKE UAGETROLEDBYUSERID IOGIN LooUm L.0GINED 图16大容量卡数据库相关命令分组 大容量卡命令的命令编码和命令所对应的操作见表6 表6命令编码和操作 NS P1的编码和含义 78 执行数据库操作 10'=CREATEDB =OPENDB *1l'一 '12’=CIOSEDB 13'=CREATETABLE 14'=CREATEINDEX 15'=GETREcORDoPEN 16'=(GETREECORDNEXT ‘17’=(GETRCORDCLOSE ‘18'=INSERTRcoRD 19'=UPDATEREC(ORD 1A'=DELETEREcORD *1B’=DELETEDB 12
GB/T30962一2014 表6(续 INS P的编码和含义 执行事务操作 7A 80'=BEGINTRANsAcTIoN ‘81'=C(OMMIT 12'=ROLLBACK 7C 执行用户访问控制操作 '10'=INSERTROLE '11'=DELETEROLE 12'=UPDATEROLE ‘13'=(GETOBJECTIDBYNAME GE:ToBEcTsAFELEVELBYID 15 GETOBJEECTTYPEBYID 16” GEToBECTNFoYNAME =INSERTUSER 18'=DELETEUSER 19'=UPDATEUsER ‘1A'=PAGRANT 1B'=PAREvoKE -PAREVOKEALL lD'=PAANACCESS 1E'=UAASSGN ‘1F”=UAREVOKE -UAGETRoLEDBYUsERD “20*= *21'=lO0(GIN ‘22’=L(O(GOUT ‘23'=l(0GINED 附录A给出了命令的用法和编码示例 10.3状态字节 响应的状态字节sw1,SW2表示了卡内的处理状态 表7列出了在本标准中通用Sw1-SW2值的 含义 每个命令或执行操作中对应的栏目中有更详细的含义 表7sw1,sw2对应的卡内处理状态 定义在GB/T 16649 Sw1,Sw2 所在的部分 正常处理 9000 命令成功 6lxx 命令成功,xx为命令返回的字节数 警告处理 6282 表已到达结尾 13
GB/T30962一2014 表7(续 定义在GB/T16649 Sw1.sw2 所在的部分 执行错误 6500 未知错误 内存错误 *6581" 检查错误 6700 长度错误 命令不允许 未知错误 6900 不满足安全状态 6982" `6985 未执行前置命令或操作 错误参数 没有信息被给出 6A00” 6A80” 数据字段中参数错误 操作不支持 *6A81” 6A84” 内存不足 ‘6A88" 未发现应用对象 6A89” 对象已经存在 6Cxx 错误的Le长度;sw2表示正确的长度 6D00” 不支持的命令 10.4数据库的安全属性 当数据库支持访问控制时,在创建数据库表、索引等文件时,同时创建数据安全属性文件,用于存储 访问控制等相关信息 10.5符号和特定译码 在后续的章条中.下面的符号被用来描述sQL语句 口表示可选的， <>表示属性字符串 ;;=表示由哪些组成; 表示或; *表示所有的; 表示省略 对于参数编码,以下符号被使用: Ls;多帧数据总长度(用2字节编码); [L习;多赖数据总长度(用2字节编吗),该参数在有多制数据时才存在,否则不存在 N:参数的维数为N; ;参数长度(用1字节编码) Lp: Lp);参数长度固定,不编码 >:参数是长度为Lp的数据 14
GB/T30962一2014 注:如果参数长度为Lp且不固定,则在命令APDU中用1字节编码;如果Lp长度固定,则Lp在命令APDU中不 编码 11 大容量卡数据库操作 11.1CRE.AIEDB 11.1.1定义和范围 创建数据库 11.1.2使用条件和安全 有创建数据库权限的用户才能执行该操作 数据库名称应小于或等于16个字节 11.1.3命令报文 数据库操作相关的sQL语句: CREATEDB;;=<数据库名称 执行数据库操作相关的命令APDU见表8 表8CRE.ATEB的命令APDu 值 命令字段 CIA 参照GB/T16649.4定义 INs 78'(=执行数据库操作) P1 '10'(=CREATEDB nug '00',其他值保留供将来使用 Data的长度 l.c Data Lp数据库名称> Ie 11.1.4响应报文 CREATEDB的响应APDU见表9 表9CREATEDB的响应APU 值 响应字段 空 Data Sw1、Sw2 状态字节 11.1.5状态情况 可能会出现下列特定出错情况 -SW1=‘69',SW2 15
GB/T30962一2014 ‘82':安全状态不满足 Sw1=‘6A’,Sw2一 80':Data字段中的参数不正确 ‘84':对象已经存在 sw1,Sw2的其他可能值见附录B 11.2OPENDB 11.2.1定义和范围 打开数据库 1.2.2使用条件和安全 同时只能有一个数据库被打开处于激活状态 11.2.3命令报文 数据库操作相关的sQL语句 OPENDBdbname> =<数据库名称> GB/T30962一2014 Sw1,Sw2的其他可能值见附录B 1.3CLOSEDB 11.3.1定义和范围 关闭数据库 11.3.2使用条件和安全 无 1.3.3命令报文 数据库操作相关的sQL语句 CLOSEDB 执行数据库操作相关的命令APDU见表12 表12cL.oSED的命令APDU 值 命令字段 cL.A 参照GB/T16649.4定义 INS 78'(=执行数据库操作 P1 12'(=CLOSEDB 00',其他值保留供将来使用 lag Le Data的长度 Data 空 Le 空 1.3.4响应报文 CL.OSEDB的响应APDU见表13 表13CL0sEDB的响应APu 响应字段 值 空 Data sw1,Sw2 状态字节 1.3.5状态情况 可能会出现特定出错情况,Sw1,Sw2的可能值见附录B 11.4CREATETABLE 11.4.1定义和范围 创建数据表 11.4.2使用条件和安全 使用条件和安全要求如下 17
GB/T30962一2014 a)有创建表权限的用户才能执行该操作; b 数据表名称应小于或等于16个字节; c)每个数据字段的长度应小于或等于255字节; d)表的字段总数量应小于或等于56个 11.4.3命令报文 数据库操作相关的sQL语句: CREATETABLE :;=<表名称> 之列定义 执行数据库操作相关的命令APDU见表14 表14CRE.ATETABLE的命令APDU 命令字段 t cL.N 参照GB/T16649.4定义 INS 78'(=执行数据库操作 P1 13'(=CREATETABL.E lag Flag Data的长度 Ic [L] Data Lp表名 Lp<列定义1> lp<列定义N 空 11.4.4响应报文 CREATETABLE的响应APDU见表15 表15CRE.ATEIABLE的响应APDu 响应字段 值 Data Flag Is 二表句柄 sw1、sw2 状态字节 11.4.5状态情况 可能会出现下列特定出错情况 Sw1=‘69',Sw2- 82';安全状态不满足 -SW1=‘6A',SW2= 18
GB/T30962一2014 ‘80':参数不正确; 84':内存不足 89';对象已经存在 sw1,Sw2的其他可能值见附录B 11.5CREATEINDEX 11.5.1定义和范围 创建索引 要求在数据库的初始化过程中,应先创建表和索引,再向表中添加记录 11.5.2使用条件和安全 使用条件和安全要求如下 a)如果要对数据表的某个字段建立索引,则应在该数据表建立之后,尚未添加任何记录之前建立 索引;否则可能导致索引紊乱 b索引名称应小于或等于16字节; e)在同一个数据表中,不能建立同名的索引 建立索引的字段长度应小于或等于100字节 d 11.5.3命令报文 数据库操作相关的sQL语句 indexfieldname CREATEINDEX;;=<表名> :;=<索引名称 indexfieldname>::=<索引域名称 执行数据库操作相关的命令APDU见表16 表16CREATEINDEX的命令APDU 值 命令字段 cL.A 参照GB/T16649.4定义 INS ‘78'(=执行数据库操作 P1 14'(=cREATEINDEX 00',其他值保留供将来使用 lag Data的长度 lc Lp数据表名称> Data Lp<索引名称 Lp<索引域名称 空 11.5.4响应报文 CREATEINDEX的响应APDU见表17 19
GB/T30962一2014 表17CREATEINDEx的响应APDU 响应字段 值 Data Fg SW1SW2 状态字节 11.5.5状态情况 可能会出现特定出错情况,Sw1、Sw2的可能值见附录B 11.6GETREcoRDoPEN 11.6.1定义和范围 在指定的表中设定特定条件的搜索环境 1.6.2使用条件和安全 使用条件和安全要求如下 有查询表的权限的用户才能执行该操作; a b)如果检索条件为空(NULL表示检索条件为空),则查询表的全部记录 c)如果检索条件不为空,则按照输人的检索条件来进行查询 d 返同值不为空,做完查询后不再使用时,应调用1.8中的命令释放查询环境中分配的内存 11.6.3命令报文 数据库操作相关的sQL语句 GETRECORDOPENtablename searchcondition>searchcolumndefinitions tableobject 表名称 searchcondition 检索条件 =<检索列定义 searchcolumndefinitions>:: 执行数据库操作相关的命令APDU见表18 表18GETRECORDOPEN的命令APDU 命令字段 值 CLA 参照GB/T16649,4定义 NS "78'(=执行数据库操作) P1 '15'(=(GETRECORDOPEN lag" 00',其他值保留供将来使用 le Data的长度 Data [Ls] lp<表名称 Lp<检索条件1> Ip心 检索条件N 20
GB/T30962一2014 表18(续 值 命令字段 检索列定义1 Lp Lp<检索列定义N> 空 11.6.4响应报文 GETREC(O)RD(O)PEN的响应APDU见表19 表19GETRECoRDoPEN的响应APDU 值 响应字段 Fug Data Ls <查询上下文句柄>(注;固定4个字节,字节次序见附录C) 状态字节 SwL.Sw2 11.6.5状态情况 可能会出现下列特定出错情况 sw1=‘69',sw2- 82':安全状态不满足 Sw1="6A',Sw2= 80';参数不正确; “84';内存不足; 89';对象已经存在 sw1,sw2的其他可能值见附录B 11.7GETRECORDNEXT 11.7.1定义和范围 获取满足指定检索条件的记录的指定属性字段 1.7.2使用条件和安全 有查询表的权限的用户才能执行该操作 11.7.3命令报文 数据库操作相关的sQL语句: GETREcoRDNEXT C Contextobjeet>;;=<查询上下文句柄> 注，该句柄由GE:TREcoRDoPEN返回,固定4字节,字节次序见附录C. 执行数据库操作相关的命令APDU见表20 21
GB/T30962一2014 表20GETRECORDNEXT的命令APDU 命令字段 值 CLA 参照GB/T16649.4定义 INS ‘78'(=执行数据库操作) ‘16'(=GETREcoRDNEXT P1 flag '00',其他值保留供将来使用 Data的长度 Ic Data Lp)<查询上下文句柄> 空 le 1.7.4响应报文 GETREcORDNEXT的响应APDU见表21 表21GETRECORDNEXT的响应APDU 值 响应字段 Data Flag Is <数据库记录二 sw1Sw2 状态字节 11.7.5状态情况 可能会出现特定出错情况.sw1、sw2的可能值见附录B 11.8GErREcoRDCL0SE 11.8.1定义和范围 关闭句柄,释放相关内存 11.8.2使用条件和安全 无 1.8.3命令报文 数据库操作相关的sQL语句: GETREECORDCL0SE Co ontextobject> =<查询上下文句柄> 注:该句柄由GETRECcORDOPEN返回,固定4字节,字节次序见附录C 执行数据库操作相关的命令APDU见表22 22
GB/T30962一2014 表22 GETRREcoRDCL0sE的命令ADu 命令字段 值 CLA 参照GB/T16649.4定义 INS ‘78'(=执行数据库操作) ‘17’(=GETREcORDCLOsE) P1 flag '00',其他值保留供将来使用 Data的长度 Ic Data Lp)<查询上下文句柄> 空 le 1.8.4响应报文 GETREcORDCL0SE的响应APDU见表23. GETRECORDCLOS的响应APDu 表23 值 响应字段 空 Data 状态字节 SW1SW2 11.8.5状态情况 可能会出现特定出错情况,Sw1、SW2的可能值见附录B. 11.9INSERTRECORD 11.9.1定义和范围 向指定数据库中的指定数据表中插人一条记录 1.9.2使用条件和安全 有在当前表中插人记录的权限的用户才能执行该操作 1.9.3命令报文 数据库操作相关的sQL语句 INSERTREC(ORDGB/T30962一2014 表24(续 值 命令字段 ,其他值保留供将来使用 *00’ flag Data的长度 c Ls] Data Lp表名 lp<记录值1> Lp<记录值N 空 11.9.4响应报文 NSERTREcORD的响应APDU见表25 表25INSERRECoRD的响应APDu 响应字段 值 Data 空 sw1.sw2 状态字节 11.9.5状态情况 可能会出现下列特定出错情况 Sw1='69',Sw2 “82’安全状态不满足 -SW1='6A',SW2- :80';参数不正确; ‘84';内存不足; '89';对象已经存在 sw1,Sw2的其他可能值见附录B 11.10UPDATEREcoRD 11.10.1定义和范围 修改符合特定条件的记录为指定值 11.10.2使用条件和安全 使用条件和安全要求如下 有在当前表中更新记录的权限的用户才能执行该操作; a 检索条件为空(NULL表示检索条件为空),则修改表中所有列 b 检索条件不为空,则按指定的条件进行修改 c 2
GB/T30962一2014 11.10.3命令报文 数据库操作相关的sQL语句: UPDATEREECORD talename:;= <表名 querycondition一 检索条件 <更新记录值一 newValue 执行数据库操作相关的命令APDU见表26 表26UPDATERECORD的命令APDU 值 命令字段 参照GB/T16649.4定义 CLA INS 78'(=执行数据库操作) P 19'(=UPDATEREcORD) flag '00',其他值保留供将来使用 Dta的长度 L.c Data [Ls] 表名> Lp lp<检索条件1> Lp<检索条件N Lp<更新记录值1 lp<更新记录值N> 空 11.10.4响应报文 UPDATEREcORD的响应APDU见表27 表27UPDATERECcoRD的响应APDU 响应字段 t 空 Data 状态字节 SW1,SW2 11.10.5状态情况 可能会出现下列特定出错情况 SW1=‘69',SW2= 82';安全状态不满足; 85';未执行前置命令或操作 -SW1=‘6A',SW2= 25
GB/T30962一2014 ‘80':参数不正确; 84':内存不足; 89';对象已经存在 Sw1,SwW2的其他可能值见附录B. 1.11 DELETRECORD 11.11.1定义和范围 删除符合特定条件的所有记录 11.11.2使用条件和安全 使用条件和安全要求如下 a有在当前表中删除记录的权限的用户才能执行该操作; 检索条件为空NULL表示检索条件为空),则删除所有记录; b 检索条件不为空,则按检索条件进行删除 c 11.11.3命令报文 数据库操作相关的sQL语句 DELETEREcoRD Lp<检索条件N 空 11.11.4响应报文 DELETERECORD的响应APDU见表29 26

识别卡集成电路卡大容量卡GB/T30962-2014

识别卡是一种重要的智能卡片，它可以存储和传输各种信息。而集成电路卡则是现代化社会中不可或缺的一种身份证明手段。

在日常生活中，我们也经常使用到大容量卡，如银行卡、公交卡等。这些卡片通常采用了嵌入式集成电路技术，使得它们具备了高安全性和大容量的特点。

为了规范识别卡集成电路卡大容量卡的生产和使用，国家标准GB/T30962-2014也应运而生。该标准规定了识别卡集成电路卡大容量卡的物理尺寸、芯片类型、接口定义、电气特性等方面的要求，以确保其质量和性能达到规定的标准。

识别卡集成电路卡大容量卡GB/T30962-2014的实施，不仅有助于提高智能卡的安全性和稳定性，也为用户提供了更好的服务体验。未来，随着智能卡技术的不断发展和创新，我们相信它们将在越来越广泛的领域得到应用。

识别卡集成电路卡大容量卡的相关资料

和识别卡集成电路卡大容量卡类似的标准