GB/T30001.4-2013
信息技术基于射频的移动支付第4部分:卡应用管理和安全
Informationtechnology-Mobilepaymentbasedonradiofrequency-Part4:Cardapplicationmanagementandsecurity
- 中国标准分类号(CCS)L64
- 国际标准分类号(ICS)35.240.15
- 实施日期2014-05-01
- 文件格式PDF
- 文本页数22页
- 文件大小497.51KB
以图片形式预览信息技术基于射频的移动支付第4部分:卡应用管理和安全
信息技术基于射频的移动支付第4部分:卡应用管理和安全
国家标准 GB/T30001.4一2013 信息技术基于射频的移动支付 第4部分:卡应用管理和安全 nformatontechmolug一NMoblepaymentbasedonradiofrequeney Part4:Cardapplieationmanagementandseeurity 2013-10-10发布 2014-05-01实施 国家质量监督检监检疫总局 发布 国家标准花管理委员会国家标准
GB/T30001.4一2013 目 次 前言 范围 规范性引用文件 术语和定义 缩略语 多应用安全单元管理模式 5.1 以安全单元载体发行机构为中心的管理模式 以多方机构合作的管理模式 多通道管理 概述 基本逻辑通道 6.2 6.3辅助逻辑通道 生命周期管理 安全单元生命周期管理 7.2应用生命周期管理 7.3安全域生命周期管理 生命周期状态的编码 7.5生命周期状态迁移的命 安全单元系统平台安全要求 8.1系统平台固有的防护机制 8.2系统平台存储管理 8.3系统平台状态管理 8.4安全引导 8. .5 安全恢复 8.6安全通讯机制 12 8.7防攻击要求 12 8.8密钥管理 12 13 8 识别与认证 9 13 多应用管理安全要求 13 9.1应用安全 9.2 16 用户安全 17 附录A资料性附录多应用安全单元的安全防护措施 1s 参考文献
GB/T30001.4一2013 前 言 GB/T30001《信息技术基于射频的移动支付》分为五个部分 -第1部分:射频接口; 第2部分;卡技术要求; 第了部分;设备技术要求; 第4部分;卡应用管理和安全; 第万部分射频接口测试方法 本部分为GB/T30001的第4部分
本部分按照GB/T1.1-2009给出的规则起草
请注意本文件的某些内容可能涉及专利
本文件的发布机构不承担识别这些专利的责任
本部分由全国信息技术标准化技术委员会(SAc/Tc28)提出并归口 本部分起草单位电子技术标准化研究院、武汉天喻信息产业股份有限公司、银联股份有 限公司、上海复旦微电子集团股份有限公司、北京握奇数据系统有限公司,北京同方微电子有限公司、中 国移动通信集团、电信集团公司、联合网络通信集团有限公司、普天信息技术研究院
本部分主要起草人;耿力、赵波、柴洪峰、董逢华、高林,单长胜、冯敬、李洁、金倩、丁义民、李蔚、 严光文
GB/T30001.4一2013 信息技术基于射频的移动支付 第4部分:卡应用管理和安全 范围 GB/T30001的本部分规定了基于射频的移动支付卡中安全单元的多应用安全单元管理模式、多 通道管理、生命周期管理,安全单元系统平台安全要求和多应用管理安全要求
本部分适用于基于射频的移动支付卡的设计生产和使用
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 信息技术基于射频的移动支付第1部分射频接口 GB/T30001.l1 术语和定义 GB/T30001.1界定的以及下列术语和定义适用于本文件
3.1 安全单元securityelement 组成基于射频的移动支付卡的主要器件,主要负责交易关键数据的安全存储和运算功能
3.2 应用applieation 为满足特定功能所需的数据结构、数据元和程序模块
[GB/T16649.42010,定义3.3] 3.3 应用提供者applieationprvider 提供安全单元上应用组成部分的实体
? 安全单元系统平台systemplatformonseeurityelement 安全单元上负责基本功能的组件
? 安全域seeuritydomain 向应用提供者提供控制、安全和通信支持的卡上实体
缩略语 下列缩略语适用于本文件
ADF 应用定义文件ApplieationDefinitionFile AID 应用标识符(Applicationldentifier)
GB/T30001.4一2013 cationProtocolDataUnit APDU 应用协议数据单元(Applieea rToReset ATR 复位响应(Answer CLA 类别字节(ClassByte DpF 专有文件(DediceatedFile) 印 基本文件(ElementaryFile' MAc 密钥校验和(MessageAuthenticationCode) 主文件(MasterFile) sw1/sw2状态字1/状态字2(Statu、wordOme/Statu、wordTwo) 多应用安全单元管理模式 以安全单元载体发行机构为中心的管理模式 在以安全单元载体发行机构为中心的管理模式下,安全单元载体中多应用安全单元的主控密钥由 安全单元载体发行机构管理,安全单元平台的个人化,安全单元应用的下载、安装和删除以及安全单元 密钥管理都受安全单元载体发行机构的控制和约束
以安全单元载体发行机构为中心的管理模式还可以进行多方位的扩展,形成更多更具体的管理模 式,例如 授权模式;通过授权方式将部分管理权限转移给应用下载机构
例如;应用安装下载权限转移 a 给应用下载机构,由应用下载机构负责安全单元载体发行后的应用下载安装功能
代理模式;通过代理方式将令牌授予应用下载机构在应用下载机构执行下载功能时进行令 b 牌检验,通过检验方可执行该项功能
5.2以多方机构合作的管理模式 在以多方机构合作的安全单元管理模式下,不同的机构、行业可以通过合作的方式并约定规则管理 多应用安全单元
合作的多个机构可以自由地对多应用安全单元进行个人化,应用的下载、安装,密钥 管理等操作,多应用安全单元的安全则由所有合作机构共同负责
多方机构合作的安全单元管理模式同样可以分为更多更具体的管理模式,如不同的机构间管理权 限是否处于同一级水平;或是不同机构对安全单元的配额是否均等
多通道管理 概述 基于射频的移动支付卡中的安全单元应支持至少3个逻辑通道的多通道管理,每个逻辑通道上允 许运行不同的应用
通道号为0、1、2,通道0是基本逻辑通道,其他通道是辅助逻辑通道
逻辑通道之 间的应用访问是独立的,互不影响
6.2基本逻辑通道 6.2.1基本逻辑通道上应用的选择 在基本逻辑通道上应支持如下两种选定应用的方法 安全单元复位应答后的隐式选定 a b 通过选择命令根据应用AID进行的显式选定
GB/T30001.4一2013 6.2.2基本逻辑通道上的隐式选定 在复位应答之后,且在向安全单元发送新命令之前,基本逻辑通道上被选定的应用应是缺省选定的 应用
6.2.3基本逻辑通道上的显式选定 在支持选择命令的安全单元会话的任意时刻,都可在基本逻辑通道上接收选择其他应用的命令请 求
安全单元将确定请求的AID是否匹配或部分匹配,并确定这个应用是否可选定
对于通过AID方式用选择命令选择应用,如果以下情况均出现,则被选定的应用成为基本逻辑通 道上的应用 请求的AID匹配(完全匹配或部分匹配)应用的AID a b)正被选定的应用处于正确的生命周期状态; 应用没有因为被多个通道同时选定而受到限制
6.2.4基本逻辑通道上的逻辑通道管理 在安全单元会话期间的任一时刻,都可在基本逻辑通道上接收到一条打开或关闭辅助逻辑通道的 请求
如果接收到打开通道命令,新打开的辅助逻辑通道上被选定的应用为缺省可选择应用
缺省可选 择的应用应支持被多个通道同时选定
如果接收到关闭通道命令,终止关闭通道命令中所指定的辅助逻辑通道上当前应用的会话,然后关 闭该逻辑通道
不能关闭基本逻辑通道
6.2.5基本逻辑通道上应用命令的发送 -个应用成为基本逻辑通道上被选定的应用后,所有其他命令(除通过AID方式进行应用选择的 命令以及逻辑通道管理命令外)直接发送给基本逻辑通道上当前被选定的应用
本部分不规定应用对 命令的处理
6.3辅助逻辑通道 6.3.1辅助逻辑通道上的应用选择 允许在一个辅助逻辑通道上选定一个应用,同时可以在其他逻辑通道上选定其他应用
在一个可用的辅助逻辑通道上支持以下两种对应用的选定 a)成功执行打开通道命令后的隐式选定; b)通过选择命令根据应用AID进行的显式选定
6.3.2辅助逻辑通道上的隐式选定 依赖于辅助逻辑通道是从基本逻辑通道打开还是从另一个辅助逻辑通道上打开,隐式选定的动作 有所不同
从基本逻辑通道上打开辅助逻辑通道发起的隐式选定的动作见6.2.4
从辅助逻辑通道上打开辅助逻辑通道发起的隐式选定的动作见6.3.4 6.3.3辅助逻辑通道上的显式选定 在一个打开的辅助逻辑通道上的任一时刻,都可接收到一条在该辅助逻辑通道上选定应用的请求
GB/T30001.4一2013 安全单元将确定请求的AID是否匹配或部分匹配,并确定这个应用是否可选定
在一个打开的且支持选择命令的辅助逻辑通道上,在任意时刻这个辅助逻辑通道都可以接收选择 其他应用的请求
安全单元将确定请求的AID是否匹配或部分匹配,并确定这个应用是否可选定
对于通过AID方式用选择命令选定应用,如果以下情况均出现,则被选定的应用成为辅助逻辑通 道上的应用 a)请求的AID匹配(完全匹配或部分匹配)应用的AID 正被选定的应用处于正确的生命周期状态; b 应用没有因为被多个通道同时选定而受到限制
e) 6.3.4辅助逻辑通道上的逻辑通道管理 在 一个打开的辅助逻辑通道上的任一时刻都可接收到一条打开或关闭辅助逻辑通道的请求
如果接收到打开通道命令,并且在原辅助逻辑通道上被选定的应用支持被多个通道同时选定,那么 这个应用成为新打开的辅助逻辑通道上被选定的应用
如果接收到关闭通道命令,终止关闭通道命令中所指定的辅助逻辑通道上当前应用的会话,然后关 闭该逻辑通道
不能关闭基本逻辑通道
6.3.5辅助逻辑通道上应用命令的发送 -个应用成为辅助通道上被选定的应用后,所有其他命令(除通过AID方式进行应用选择的命令 以及逻辑通道管理命令外)直接发送给辅助逻辑通道上当前被选定的应用
本部分不规定应用对命令 的处理
生命周期管理 7.1安全单元生命周期管理 7.1.1安全单元生命周期的状态 7.1.1.1概述 安全单元应具有负责维护自身及其所承载内容的所有安全和管理工作的角色(可以是安全单元管 理者),该角色的生命周期可以看作是安全单元的生命周期
安全单元的生命周期开始于准备状态,终止于终止状态
安全单元的生命周期包括以下5个状态 a) 准备状态; b) 初始状态; e)安全状态; d)锁定状态 终止状态
e) 安全单元生命周期状态中的准备状态和初始状态用于安全单元载体的发行前阶段
安全状态、锁 定状态和终止状态用于安全单元载体的发行后阶段,尽管在安全单元生命周期期间任何时候可能会终 止该安全单元载体
7.1.1.2准备状态 准备状态表明安全单元载体已经可以使用,安全单元管理者已经存在,可以接收,执行和响应安全 单元外部实体发过来的命令
GB/T30001.4一2013 这时安全单元载体将能够为发行时需要使用的应用改变安全单元内容,可以装载安全单元上不存 在的包含应用的装载文件
可以从可执行装载文件中安装任何应用
另外,如果在这个阶段,个人化信息可用,则应用可以被个人化
准备状态可以被安全单元外部实体用来执行下面的动作 可以装载和/或安装安全域(不包括发行者安全域); a b)可以插人(安装)安全域密钥,以维护一个与发行者安全域相独立的加密密钥
7.1.1.3初始状态 初始状态表明安全单元载体中安全单元上的一些初始数据已经装载例如;发行者安全域密钥和 或数据),但是该安全单元载体还不能发给持有者
该状态是一个可管理的安全单元载体产品状态
从准备状态到初始状态的迁移是不可逆的
7.1.1.4安全状态 安全状态是安全单元载体发行后趋向于操作的安全单元生命周期状态
这个状态被安全单元管理 者用于执行发行后与安全单元行为相关的安全策略,如;应用的装载、安装、激活 安全单元能够改变其内容和应用内容
安全状态应用于向安全单元外部实体表明发行者安全域包含了全部功能所需要的所有密钥和安全 元素
从初始状态到安全状态的迁移是不可逆的
7.1.1.5锁定状态 锁定状态为安全单元载体发行者提供了在安全单元上禁用安全域功能和应用功能的方法
将安全 单元设置为该状态,意味着安全单元除了使用发行者安全域的基本功能外不再具有其他功能
在这个 阶段不允许包括类型数据管理(特别是发行者安全域密钥和数据)在内的任何内容的改变
从安全状态到锁定状态的安全单元生命周期状态的迁移是可逆的
安全单元管理者,安全单元上具有相关权限的应用或经发行者安全域认证过的安全单元外部实体 可以发起从安全状态到锁定状态的迁移
7.1.1.6终止状态 终止状态表明安全单元载体和安全单元生命周期的终止
在终止状态下,所有安全单元外部实体 发过来的命令将被发送给发行者安全域,发行者安全域只对安全单元状态命令进行响应
从任何其他状态到终止状态的迁移都是不可逆的
终止状态将被用于永久地禁用所有安全单元功能,包括发行者安全域自身的大多数功能
该状态 可以看作是一种机制,允许应用由于一些原因如;检测到严重的安全威胁或者安全单元有效期已满)逻 辑上“销毁”安全单元
安全单元管理者自身、具有相关权限的应用或经发行者安全域认证过的安全单元外部实体可以发 起从前述的任意状态到终止状态的迁移 7.1.2安全单元生命周期迁移 安全单元生命周期的状态迁移如图1所示
GB/T30001.4一2013 准备状态 初始状态 安全状态 锁定状态 终止状态 主安全域;----特权应用 图1安全单元生命周期状态迁移 7.1.3安全单元生命周期和应用生命周期状态的迁移 图2描述了安全单元载体中安全单元从制作到被终止的整个生命周期的状态迁移,以及几种不同 典型应用的状态与安全单元生命周期之间的关系
应用A;应用的代码表现为在安全单元中非易失性存储器中的一个可执行装载文件中的可执行模 块
它是在制作安全单元时以实现的特定方式安装的
除锁定状态外,应用A在安全单元的整个生命 周期内自始至终都在被使用直到安全单元被终止 应用B;应用的代码表现为在安全单元中永久性存储器中的一个可执行装载文件中的可执行模块
它在安全单元被初始化之前就安装了
应用B连同它的可执行装载文件在安全单元被终止前的某个 时刻被删除
因为应用B的可执行装载文件存储在不可变永久存储器中,所以它不能从安全单元上进 行物理删除
应用C;应用的代码表现为在安全单元中非易失性存储器中的一个可执行装载文件中的可执行模 块,并以实现时采用的具体方式装载的
它是在安全单元载体发行后安全单元处在安全状态时安装的
应用C使用了一段时间后,在安全单元终止前连同它的可执行装载文件一起被删除了
因为应用C和 它的可执行装载文件存储在可变永久存储器中,所以该应用、相关联的可执行装载文件连同它的所有可 执行模块从可变永久存储器中清除内存空间被回收重用
应用D;应用的代码表现为在安全单元中非易失性存储器中的一个可执行装载文件中的可执行模 块,并以实现时采用的具体方式装载的
除锁定状态外,应用D在安全单元的整个生命周期内,自始至 终都在被使用,直到安全单元被终止 应用E;应用的代码表现为在安全单元中非易失性存储器中的一个可执行装载文件中的可执行模 块,它是在安全单元载体发行后安全单元处在安全状态时被装载和安装的
应用E在安全单元终止 前,除了安全单元处在锁定状态外一直被使用
应用F;应用的代码表现为与应用E相同的可执行装载文件中的可执行模块
它是在安全单元载 体发行后安全单元处在安全状态时被装载和安装的
应用F在安全单元的生命周期中某个时刻将被 删除
GB/T30001.4一2013 应用包 应用类B 应用包 准备状态 应用类A 安装 应用B 安装 初始状态 应用包 应用类D 应用包 应用A 应用类C 安装 应用D 应用包 安装 安全状态 使用应用 应用类E 应用类 应用c 使用应用 安装 安装 使用应用c 刑除 应用 使用应用D 应用E 删除 使用应用! 使用应用E 删除 应用A不能使用 锁定状态 应用D、E不能使用 终止 终止状态 终止 终止 图2几种不同典型应用的状态迁移 7.2应用生命周期管理 7.2.1应用生命周期状态 本部分定义了以下应用生命周期状态 a) 安装状态; b 可选择状态; e)锁定状态
除了上述生命周期状态以外,应用还可以定义其自身特定的生命周期状态 一且处在可选择状态,应用应负责其自身特定生命周期状态的后续管理
应用可以使用自已定义 的任意状态,只要这些状态与本部分定义的状态不冲突
安全单元管理者在没收到应用的指令前不会 执行这些状态之间的迁移
应用有责任定义这些状态之间的迁移规则,并且保证遵守
GB/T30001.4一2013 7.2.2 安装状态 安装状态表明安全单元已经正确连接到应用可执行代码,并且已经完成必要的内存分配
认证过 的安全单元外部实体可以访问该应用,但还不可选定该应用
应用的个人化过程可以与应用的安装过程合并在一起执行,也可以作为一个独立的步骤执行
7.2.3 可选择状态 可选择状态表明应用可以接收来自安全单元外部实体的命令
在设置应用的状态为可选择状态之 前,应正确安装应用,且应在迁移到可选择状态之前完成应用的个人化过程
从安装状态到可选择状态的状态还移是不可逆的,该状态还移过程可以与应用的安装过程组合
应用在可选择状态的行为超出了本部分的范围
7.2.4 锁定状态 安全单元管理者或经发行者安全域认证过的安全单元外部实体可使用锁定状态作为安全控制来阻 止应用的选定或进一步执行
如果安全单元管理者监测到来自安全单元内的一个威胁,并且确定了该威胁是与某个应用相关,那 么安全单元管理者可以将这个应用的状态设置为锁定状态,以阻止该应用被进一步选择
经发行者安全域认证过的安全单元外部实体确定安全单元上某一个应用由于商业或安全的原因需 要被锁定,可以通过安全单元管理者将这个应用的状态设置为锁定状态
-旦状态是锁定状态,只允许发行者安全域解锁这个应用
安全单元管理者将保证解锁后该应用 的生命周期状态返回到它的前一个状态
7.2.5应用的删除 在应用生命周期的任何节点,安全单元管理者都可以接收一个请求来删除该应用
先前用于被删除应用的物理存储空间可以被回收并再次被使用
7.2.6应用生命周期的状态迁移 应用生命周期的状态迁移如图3所示
应用安装状态 锁定 锁定 应用可选择状态 锁定 应用自定义状态 -主安全域;-一应用私有安全域 一应用 图3应用生命周期的状态迁移
GB/T30001.4一2013 7.3安全域生命周期管理 7.3.1安全域生命周期状态 本部分对安全域定义了以下生命周期状态 a)安装状态; b 可选择状态; 个人化状态; c d 锁定状态
7.3.2安装状态 安装状态意味着安全域已经成为安全单元注册表中的一个条目,并且经过认证的安全单元外部实 体可以访问这个条目
安全域还是不可选定的,因此安全域的服务不能被应用使用
7.3.3可选择状态 可选择状态表明安全域能够接收来自安全单元外部实体的命令
在该状态,安全域还不能被可执 行装载文件或应用关联,因此安全域的服务还不能被应用使用
从安装状态到可选择状态的状态迁移是不可逆的
到该可选择状态的状态迁移可以与安全域的安 装过程组合
个人化状态 7.3.4 安全域迁移到个人化状态表明安全域已经具有了完全运行时所需的所有必要的个人化数据和密 钥
从可选择状态到个人化状态的状态迁移是不可逆的
在个人化状态下,安全域可以被应用关联,并且它的服务也可以被相关联的应用使用
7.3.5锁定状态 安全单元系统平台或经发行者安全域认证过的安全单元外部实体使用锁定状态作为安全控制来阻 止安全域的选定
如果安全单元系统平台监测到来自安全单元内部的一个威胁,并且确定了该威胁是与某个安全城 相关,那么安全单元系统平台可以将这个安全域的生命周期状态设置为锁定状态,以阻止该安全域被进 -步选择
经发行者安全域认证过的安全单元外部实体确定安全单元上某一个安全域由于商业或安全的原因 需要被锁定,可以通过安全单元系统平台发起这个应用状态的迁移
-旦生命周期状态是锁定状态,只允许发行者安全域解锁这个安全域
安全单元系统平台将保证 该安全域的生命周期状态返回到它的前一个状态
7.3.6安全域的删除 在安全域生命周期的任何节点,安全单元系统平台都可以接收一条请求来删除一个安全域
先前用于被删除安全域的物理存储空间可以被回收并可以被再次使用
安全单元注册表中的条目 也被移除,不再要求安全单元系统平台维护被删除安全域以前存在的记录 7.4生命周期状态的编码 可执行的装载文件的生命周期应按照表1编码
GB/T30001.4一2013 表1可执行装载文件的生命周期编码 b8 b7 b4 b3 b b6 b5 b2 含义 装载 应用的生命周期应按照表2编码
注:应用可以自由使用第4一了位,并且这些位的编码超出本部分的范围
表2应用的生命周期编码 b7 b3 b1 b6 b5 b2 含义 b8 安装 X X 可选择 X 锁定 安全域的生命周期应按照表3编码 表3安全域的生命周期编码 b8 b4 b b7 b6 b5 b3 b2 含义 安装 0 可选择 0 预个人化 锁定 被允许的应用和安全域的生命周期的迁移在7.2中描述,安全域与应用相比多一个预个人化的状 态,也可以看作自定义状态
发行者安全域继承安全单元的生命周期状态应按照表4编码
表4发行者安全域的生命周期编码 8 b4 57 b7 b6 b5 b3 b2 含义 准备状态 0 初始状态 安全状态 锁定状态 终止状态 7.5生命周期状态迁移的命令 该命令的描述不在本部分的范围之内
10
GB/T30001.4一2013 安全单元系统平台安全要求 系统平台固有的防护机制 多应用安全单元安全防护是针对已发行的安全单元载体中的多应用安全单元提出安全规定和要 求
多应用安全单元在卡片发行前已经安装了安全单元系统以及一些预置应用,在发行后多应用安全 单元可以增加新应用、删除旧应用或是更改已安装应用
安全单元系统平台涉及的安全威胁以及相应 的应对策略参见附录A
8.2系统平台存储管理 安全单元系统平台存储管理保护安全单元存储器内数据的完整性和机密性
系统平台存储管理保 护机制应用于安全单元内的各种类型存储器,包括易失性存储器以及永久性存储器,如RAM、 EEPROM等
系统平台存储管理通过数据的安全属性来保证敏感数据的完整性和机密性
如通过数据HASH 值来校验数据的完整性;通过对完整性敏感的数据进行特征值校验,如MAC校验,来保证数据未被算 改;通过对机密性敏感的数据进行加密来保证数据的不可视
需要进行完整性,机密性保护的数据包括但不限于PIN码、用户校验方法相关安全属性、应用使用 密钥、传输密钥、机密的算法服务程序等代码或数据
系统平台存储管理负责安全的存储空间的分配,在应用请求资源时,应保证待分配存储区的之前存 铺信息是无效的 系统平台存储管理应具有资源分配的控制功能,防止资源请求超出限额或资源被耗尽
8.3系统平台状态管理 安全单元系统平台状态管理功能应保证安全单元生命周期中不当的交互功能不能被非法利用;即 使安全单元在不同状态中用到的数据被非授权用户非法获取后,也不能影响安全单元的安全性
系统平台状态管理防护功能应提供基于安全属性的访问
只有用户在授权的情况下才可对安全属 性即状态进行读取、修改等行为
系统平台状态管理防护功能应允许授权用户订制安全属性,或是撤销 安全状态相关的安全属性
4 8. 安全引导 安全单元安全引导是指安全单元在使用前应执行预定义的序列操作
安全引导需求确保预定义序列操作的执行,这些操作包括安全单元在使用前应进行适当的授权;安 全单元应完成状态的转换设置,保证安全单元生命周期操作中不当的交互或其他元素不能被非法用户 所利用
安全引导防护能够阻止安全单元在保护措施未启用或是保护代码未运行的情况下被非法利用,确 保多应用安全单元在上电复位时已经进人一个安全可控的操作状态
安全引导防护能够抵御未授权访问威胁,确保合法授权的用户可以安全使用安全单元
8.5安全恢复 安全单元系统平台提供安全恢复的防护功能,保证操作的原子性
原子性是指在一个事务处理过 程中保证相关的数据全部更新或是全部不更新
在事务处理前后,应用都能够维持一致的状态
安全恢复防护机制不能影响应用程序的执行
在应用程序交易操作中断时,安全单元系统平台能 够将应用程序数据恢复到交易前的状态
11
GB/T30001.4一2013 安全恢复防护应能够支持单项数据的原子性以及多项数据的原子性,还应支持嵌套使用事务,即在 -个正在处理的事务中又发起一个新的事务,新事务的提交和中止不应影响先前的事务处理
若应用 程序中止,将执行回滚操作,对所有嵌套的事务数据都进行恢复
8.6安全通讯机制 安全单元系统平台应能够为应用程序提供所需的安全通讯机制,所提供的安全通讯机制服务包括 a)实体认证;通讯的双方包括安全单元内或是安全单元外部实体应通过身份认证 相互认证;发送方传递数据,接收方能对发送方传递的数据进行验证; b e)完整性;系统平台应提供数据完整性校验以防止通讯数据被修改,删除插人 d)机密性;系统平台应提供数据机密性防护,防止机密数据被泄露
在应用无需安全保证机制时,安全单元系统平台能够提供非安全通讯机制,为通讯双方建立通道, 但不保证该通道中传输数据的完整性、机密性
8.7防攻击要求 安全单元系统平台应提供攻击检测防护功能
安全单元应具有环境检测功能,如电压检测、温度检测等,以抵御故障注人攻击
系统平台应具有资源检测功能,防止资源被攻击者故意耗尽
当系统平台检测到应用程序不断申 请超出配额的资源时,可以自动锁定该应用
系统平台应具有校验所接收到的命令是否符合当前生命周期的能力
系统平台应保证其安全功能被有效的实施,即确保安全功能的不可旁路性;在检测到某些安全功能 被旁路时如跳过认证过程),应能够做出适当的操作,阻止安全单元进一步被危害 当系统平台检测到潜在的安全违规行为时,安全单元系统平台将执行安全审计自动响应操作
如 在安全单元受到攻击时,提供锁定功能,或是将受攻击的应用设置为锁定状态,避免危害进一步扩散
系统平台可使用锁定操作作为一个阻止安全单元内所有应用运行的安全控制行为
当系统平台检 测到安全单元的威胁时,能够将自身设为锁定状态;拥有合理权限的应用程序也可以将系统平台设为锁 定状态;发行机构以及拥有此权限的机构也可以根据需要锁定安全单元
-旦安全单元处于锁定状态,仅有安全单元载体发行机构以及适当的授权机构具有恢复安全单元 状态的权限
8.8密钥管理 8.8.1密钥的生成 安全单元系统平台根据安全通道需求产生不同类型的会话密钥,并且密钥长度应符合指定标准
密钥生成保护应支持多种密码算法,能够抵御重放攻击以及不安全的通讯威胁 8.8.2密钥的分发(传输 安全单元系统平台根据指定的密钥分发方法分配静态密钥
在安全单元系统平台进人安全状态 前,初始密钥应安全地装载在安全单元内
平台的密钥需要使用初始密钥建立安全的加密通道进行传 输
密钥的传输除了需要保证其机密性,还需安全通道提供完整性服务机制,保证密钥传输的正确性 如提供密钥校验码
8.8.3密钥的存储 安全单元系统平台应提供安全的密钥存储机制,防止密钥泄露、被修改或是被替代
12
GB/T30001.4一2013 8.8.4 密钥的访问 安全单元系统平台应根据特定方法进行访问以实现安全的密钥访问,如预先发起认证请求,在校验 成功后通过提供完整性、机密性服务的安全通道进行密钥数据的访问
8.8.5密钥的销毁 安全单元系统平台应采用特定的密钥销毁方法删除密钥,如采用覆盖重写的方法,擦除的方法或是 其他使密钥失效的方法来消除密钥,对已被清除的密钥进行访问将导致程序运行异常
8.8.6密码算法操作 密码算法操作主要有两类: a)加密算法:安全单元系统平台提供对称密钥算法或根据应用特殊需求提供非对称密钥算法; b消息验证算法:安全单元系统平台为机密数据的完整性传输提供消息验证码MAC算法,或是 提供验证值的方式,如HASH算法,来实现数据完整性校验
8.9识别与认证 安全单元系统平台提供识别与认证防护机制
认证过程是通过被认证者提供身份证明或是安全属性,如应用标识,生命周期状态,安全单元外部 实体的授权码等,认证者则通过所提供的身份证明或安全属性执行认证过程,决定被认证者身份,同时 决定是否对被认证者进行授权,如允许被认证者访问认证者资源
应用程序在访问安全单元内特殊资源时,应提供自己的身份信息,供安全单元系统平台进行授权判 断
安全单元外部实体在访问安全单元时,也应提供自已的身份信息,安全单元系统平台根据此身份信 息进行识别,执行认证操作
多应用管理安全要求 应用安全 9 9.1.1安装 9.1.1.1应用程序可以以多种方式增加 根据不同的安全单元管理模式,应用程序可以以多种方式增加
应用程序的增加是一种具有安全属性的用户数据的输人
应用程序从多应用安全单元安全控制范 围之外导人安全单元内部时,应执行访问控制
应用程序增加的安全属性包括应用下载者的身份凭证 应用的标识
不同的安全单元管理模式下,应用下载者的身份验证过程是不同的 最简单的情形是以安全单元载体发行机构为唯一的安全单元管理机构时,应用程序的下载和 安装的安全性完全由安全单元载体发行机构负责
安全单元载体发行机构对执行应用下载的 主机进行认证,维持安全单元和主机之间的应用文件传输的安全性和机密性,并且安全单元载 体发行机构对应用代码执行合法性检查
安全单元系统平台接收到应用下载文件时,仅需要 进行安全单元载体发行机构的身份识别即可执行应用下载安装操作
当安全单元载体发行机构将安装下载权限通过授权的方式赋予其他机构时,拥有应用下载权 限的机构负责维护安全单元和应用下载主机间的通讯安全
当应用下载到安全单元时,安全 单元系统平台将执行权限校验,仅当校验成功时才可实施应用下载功能,为应用分配必要的 存储空间 13
GB/T30001.4一2013 当安全单元载体发行机构以代理的形式授予其他机构时,拥有代理权的合作机构在下载应用 文件时无需授权校验,安全单元系统平台只对下载的应用文件所包含的令牌进行检查
D 当应用程序的增加失败时,安全单元系统平台能够保证将安全单元恢复到安装应用前的安全 状态
9.1.1.2应用程序应被唯一标识 多应用安全单元上的每一个应用程序都应有自己唯一的标识
应用程序的标识作为应用的安全属 性供平台执行访问控制时使用
如在平台进行应用调度时,通过应用程序的唯一标识来关联应用 应用程序有不同的种类 9.1.1.3 应用程序可以分为儿种类别,不同类别的应用程序拥有不同的权限 普通类;如金融应用.电信应用
该类应用能够通过安全单元系统平台提供的应用编程接口调 a 用平台基本服务程序,如密码算法服务以及通道服务穆序 安装类;能够为应用程序提供安装服务的程序
该类应用能够调用密码算法服务,或是增加 密码认证算法,为新应用的安装提供校验程序
服务类;提供基本的服务,如算法程序、一些库函数,功能函数
该类应用能够通过应用编程接 口调用平台基本服务程序.并能为平台增加新的服务
应用程序有不同的权限 9.1.1.4 应用程序的权限为多应用安全单元系统平台执行安全功能提供了判断依据,不同权限的应用程序 能够对安全单元资源执行不同的操作
应用权限主要有以下几类; a)存储管理;能够执行安全单元存储管理操作; b通道管理;能够使用输人输出通道,对该通道的命令进行接收处理; c)密码算法管理能够执行算法操作、密钥管理操作、以及安全通道的执行
9.1.1.5应用程序有自身关联的密钥管理 多应用安全单元上的每一个应用都关联着相同或是不同的密钥管理机制
每一个密钥管理机制包含了应用所需的密钥的种类、密钥的数量、密钥的存储、密钥的访问功能,应 用应在安全单元系统平台上定制自身的密钥管理机制
例如;不同的应用程序初始密钥的安全存放、应 用执行时选择不同类型的密钥或是采用统一的密钥进行机密性数据的加密
9.1.1.6应用程序有自身的安装校验方式 应用程序在下载时有自身关联的校验授权数据,下载文件中所附带的校验授权数据应由应用关联 的密钥管理机制进行校验
安全单元外部应用只有通过授权校验后方可下载到安全单元上
g.1.1.7应用程序应有自身的程序符号表 多应用安全单元内的每一个应用程序都应有自身的程序符号表
应用程序符号表存储函数及其对应地址的映射,以及程序内的变量类型、参数地址、存储分配信息
应用程序符号表保证了应用程序代码的隔离,防止应用程序覆盖到其他应用程序空间或是越界访 问其他应用程序的代码和数据
9.1.1.8应用程序应有自身的应用名字空间 应用程序应有自身的应用名字空间,在执行应用操作或是访问应用资源时,只能在自身的名字空间 14
GB/T30001.4一2013 内操作 示例在应用A和应用B内都有一个命名为1,txt的文件,由于应用名字空间的防护,应用A在运行时只能访间 应用A内部的1.txt,即A1.txt,从而可防止应用资源的错误访问
9.1.2初始化 应用程序应有自身关联的初始化 应用程序在下载安装后,通常应用程序需要获得自身的个人化数据,包括应用执行密钥、用户特殊 数据等信息
多应用安全单元系统平台支持应用程序有自身关联的初始化服务,不同的应用程序可以 选择不同的初始化
应用程序的初始化负责为应用建立个人化安全通道,对实施个人化数据下载的主体进行必要的认 证,并对通讯密钥提供必要的解密操作
应用使用自身的初始化服务保证个人化数据下载的安全性
9.1.3运行 9.1.3.1应用程序能够独立地安全运行 一个应用程序都有独立的运行空间,不同应用之间的运行空间是完全隔离的
应用独立地安全 运行保护能够防止应用程序被非法对象干扰或篡改
对应用程序独立运行的保护通过完全的访问控制实现,即应用在运行阶段执行方法调用、对象创 建、对象删除、数据访问等操作都应执行访问控制策略,保证应用程序不超出自身的运行环境
9.1.3.2应用程序之间可以安全通讯 应用程序受到代码空间,运行环境双重环境隔离,在不同环境下应用间不能直接进行通讯,应用间 的通讯应通过平台的通讯服务来实现
安全单元平台提供共享接口对象的服务以及基于共享接口机制的功能服务,如事件通知功能,来完 成应用间的通讯
应用需要调用平台API进行共享接口对象注册,应用可以静态地或动态地进行共享接口对象的注 册和取消注册
应用在调用其他应用提供的共享接口对象服务时,需要先通过平台服务进行查找,由平 台返回共享信息
9.1.3.3应用程序有自身关联的安全环境 多应用安全单元内的每一个应用程序都有自身相关联的安全环境
应用安全环境负责提供安全相 关数据的存储及安全算法服务 应用的安全环境负责为应用的运行建立安全通道、提供会话密钥、维护应用执行状态
不同的应用 可以建立并管理不同的安全环境,如选择不同类别的算法进行数据加密传输或采用签名机制保证数据 传输的不可抵赖性
9.1.3.4应用程序有自身的状态 应用程序具有不同的状态,包括安装状态、可选择状态,锁定状态以及删除状态
应用程序能够根据不同的状态执行不同的操作
如应用在个人化状态需要建立特殊的安全通道下 载传输应用数据和密钥,应用在选择状态下则接收不同的命令执行相应的应用处理流程
9.1.3.5应用程序可以被安全地重新配置 应用程序可以被重新配置是指应用程序可以更改自身关联的密钥管理和安全环境
15
GB/T30001.4一2013 应用程序在安装时自动关联了密钥管理机制,应用提供者应在应用安装之后更改到其他的密钥管 理防护机制,或是根据需要设置新的密钥管理机制并关联到该程序中 类似的,应用程序运行时应关联自身的安全环境,应用的运行安全环境也应进行重新配置
应用程序的重新配置需要根据多应用安全单元的执行模式进行不同的操作流程
首先安全单元系 统平台检测自身生命周期状态是否处于非锁定或非终止状态;然后安全单元系统平台对执行配置的主 体检测是否具备重新配置的校验(包括授权范围检测或是令牌的检测等方式);接着判断新的密钥管理 防护机制是否有效、是否接受该应用程序的关联;在校验成功后,安全单元系统平台更新注册表信息,成 功完成重新配置
应用程序可以被安全地制除 9.1.3.6 多应用安全单元内的应用程序应被安全地删除,拥有权限的主体才可执行应用删除操作,拥有权限 的主体包括安全单元载体发行机构以及通过安全单元载体发行机构进行授权或是委托的被授权机构和 代理机构
应用的删除是物理删除或是逻辑删除,如在非易失性存储区中的应用应被完全删除,而在永久性存 储区中的应用只能被逻辑删除
任何对被删除应用存储空间的访问都是非法的
应用在删除后,其残 留的数据将被覆盖或是禁止访问
用户安全 多应用安全单元应支持用户管理防护功能,保证当前安全单元载体的使用者是安全单元载体的所 有者
多应用安全单元应由不同的应用各自控制其使用安全,不同的应用采用自身的安全策略校验和保 证用户安全,该策略不应影响安全单元内其他的应用
用户管理防护功能应分为校验和管理两类服务
对于所有的应用都能够访问校验服务,只有有权 限的应用才可调用管理服务 管理服务包括初始值的设置、相关安全属性的访问,如获得校验次数、将锁定状态恢复为可用状态、 重置初始值
管理服务还包括支持用户校验方法的使用机制,比如校验一次PIN码就可以运行安全单 元内所有应用程序,或者每运行一个应用程序都需要校验一次PIN码
16
GB/T30001.4一2013 附 录A 资料性附录 多应用安全单元的安全防护措施 表A.1描述了不同类型的安全威胁以及相应的应对策略,并建立了从威胁到安全要求或安全防护 的一个映射表,每一个威胁都将被至少一个安全要求或安全防护覆盖
它说明了安全要求和安全防护 的组合确实能够防止所有的威胁 表A.1威胁与安全要求/安全防护映射表 安全威胁 安全威胁描述 应对策略 安全要求/安全防护 攻击者通过绕过安全单元系 统平台提供的应用编程接口的 该威胁可以通过卡外应用代 方法避开安全单元系统平台的码校验以及应用程序的安装校 卡外应用代码校验假设见 安全检测,直接攻击安全单元验,对应用程序进行严格的授 权校验通过授权的应用程序g.1); 底层数据
避开接口检测 应用程序的安装校验防护(见 如应用程序直接访问多应用方可在多应用安全单元平台上 安全单元系统平台的密码算法安装、,运行,抵御恶意应用避开 9.1 服务而不采取调用多应用安全接口直接调用安全单元平台底 单元系统平台应用编程接口的层资源 方式绕过接口层的安全检测 该威胁可以通过卡外应用代 应用程序试图利用运行检查 码校验以及应用程序的安装校 的漏洞进行攻击
验,对应用程序进行严格的授 攻击检测防护(见8.7) 如在安全单元攻击检测的时 利用检测漏洞 权控制
安全单元平台通过状 密码算法服务防护(见8.8); 间空隙里破坏安全单元运行环 态管理,攻击检测以及安全审 状态管理防护(见8.3) 境,导人芯片故障获取或破坏 计记录攻击事件,限制漏洞 机密数据 攻击 攻击者试图通过伪装成授权 该威胁可以借助密码认证算 用户来获取安全单元的访问 安全引导防护(见8.4) 法通过平台安全引导防护,安 假冒授权用户 如假冒成为特权程序下载未 安全通讯机制防护(见8.6); 全通讯机制严格进行授权校 授权应用程序,泄露用户数撕 密码算法服务防护(见8.8) 验,防止假冒用户的操作 或是将锁定的安全单元解锁 安全引导防护(见8.4); 识别与认证防护(见8.9); 该威胁可以通过平台状态管 平台存储管理防护(见8.2); 攻击者在未经授权的情况下理防护,应用程序接口防护,识 平台状态管理防护(见8.3). 读取.,修改、执行或删除安全单别与认证防护,平台存储管理、 未授权访问 应用程序接口防护(见8.7); 元内的应用程序、机密数据或应用状态防护,应用程序权限 应用状态防护(见8. 3 是其他安全单元内容 防护、用户安全管理防护共同 应用程序权限防护(见9.1); 抵御 应用制除防护(见9.1); 用户安全管理防护(见9.2)
GB/T30001.4一2013 表A.1(续 安全威胁 安全威胁描述 应对策略 安全要求/安全防护 攻击者通过监听安全单元和 读写设备之间的通讯数据偷取 该威胁通过安全的通讯机制、 安全通讯机制防护(见8.6); 监听通讯 机密信息,或是记录通讯序列,攻击检测防护进行抵御 攻击检测防护(见8.7) 为随后的重放攻击做准备 攻击者采用重放攻击的方式 绕过安全单元系统平台的安全 该威胁可通过安全的通讯机 检测活动,即使用已采集的授权 抗逻辑攻击假设(见8.7)7 制防止通讯数据的泄露,并结合 重放攻击 用户的完整操作过程数据避开 安全通讯机制防护(见8,6); 芯片抗逻辑攻击能力抵御重放 安全单元系统平台的安全机制
密码算法服务防护(见8.87 攻击威胁 执行非授权操作或是获取安全 信息 攻击者通过强行中止安全单 该威胁通过平台的安全引导 安全引导防护(见8.4); 强制重启元的使用过程,迫使安全单元陷以及安全恢复使安全单元在重 安全恢复防护(见8.5) 个非安全状态 启运行时能够恢复安全的状态 该威胁可通过应用安装的备 密码算法服务防护(见8.8); 攻击者利用未授权应用去突类防护,如下载的安装校验方式 应用程序权限防护(见9.1); 未授权应用破或是修改安全单元系统平台和密钥管理机制等防护严格进 应用程序种类防护(见9.1); 的安全功能 行安装、下载控制,阻止未授权 应用程序安装校验防护(见9.1 应用在卡片安全单元内运行 18
GB/T30001.4一2013 参 考 文 献 [1]GB/T16649.4一2010识别卡集成电路卡第4部分;用于交换的结构,安全和命令
信息技术基于射频的移动支付第4部分:卡应用管理和安全GB/T30001.4-2013
随着移动支付的快速发展,射频技术得到了广泛应用。为了确保移动支付的安全性,GB/T30001.4-2013标准对于卡应用管理和安全方面做出了详细规定。 一、卡应用管理 1. 应用存储:移动支付设备需要具备大容量存储卡应用的能力,并且应能管理不同类型的应用,以适应各种支付场景下的需求。 2. 应用选择:移动支付设备需要具有优先级管理功能,根据不同的应用需求选择最合适的应用进行执行。 3. 应用调用:移动支付设备需要具有调用卡应用的能力,以便与支付终端交互并完成支付过程。 二、安全性 1. 密钥管理:移动支付设备需要具有严格的密钥管理功能,确保用户信息和资金安全得到有效保障。 2. 安全协议:移动支付设备需要支持多种安全协议,如AES、3DES、RSA等,以提高支付过程中信息安全性。 3. 交易记录:移动支付设备需要能够记录所有交易信息,并且通过数据加密和数字签名等技术进行保护。 总体而言,GB/T30001.4-2013标准中对于信息技术基于射频的移动支付的卡应用管理和安全方面做出了详细规定,从应用存储、应用选择、应用调用到密钥管理、安全协议以及交易记录等多个方面都进行了规范。这些规定的实施将有效提高移动支付的安全性和可靠性,为广大用户提供更加便利、安全、快捷的支付方式。除此之外,GB/T30001.4-2013标准还对于移动支付设备的安全性能进行了要求。例如,移动支付设备必须支持防止窃听、篡改、重放等攻击方式,同时需要支持升级和更新,以保障设备的安全性能始终处于最佳状态。 此外,标准中还规定了在实现移动支付过程中需要注意的一些问题,如网络环境、应用安装与管理等。这些规定将有助于提高移动支付的可行性和稳定性,推动移动支付市场的快速发展。 综上所述,GB/T30001.4-2013标准中对于信息技术基于射频的移动支付的卡应用管理和安全方面做出了详细规定,从卡应用管理到安全性能等多个方面都进行了规范。这一标准的制定和实施将进一步推动移动支付产业的发展,为用户提供更加便捷、安全、可靠的支付方式。
