GLOBALPLATFORM规范培训.pptx
- 文档编号:18903285
- 上传时间:2024-02-10
- 格式:PPTX
- 页数:33
- 大小:3.62MB
GLOBALPLATFORM规范培训.pptx
《GLOBALPLATFORM规范培训.pptx》由会员分享,可在线阅读,更多相关《GLOBALPLATFORM规范培训.pptx(33页珍藏版)》请在冰点文库上搜索。
GLOBALPLATFORMGP系统培训Globalplatform介介绍GP组织组织GlobalPlatform是来自支付和通信行业的公司、政府部门、销售团体建立起来的一个组织,它是一个促进跨行业智能卡业务实现的全球组织。
目标目标减少多应用智能卡跨行业发展的障碍。
GP规范规范Visa、GlobalPlatform与芯片卡厂商一起发表了一份硬件无关、不依赖于应用的卡管理规范。
这个新的规范提供了共同的安全及卡管理架构目前主要版本是GP2.2Globalplatform内容概要内容概要GP系统构架GP卡片构架GP安全构架生命周期管理CardManager安全域安全通讯术语和定和定义术语术语定义定义应用(Application)一个可执行装载模块的实例,这个可执行模块已经被装载到卡里并完成了安装,它所处的生命周期状态为可选。
应用协议数据单元(APDU)卡和读写器之间标准的通讯协议卡发行者拥有卡,并且最终对卡上行为负责的实体。
GP系系统构架构架GP系系统构架构架GP系统架构为卡发行者提供了管理java卡的管理架构。
GP为卡发行者提供了灵活的方式来管理那些想在卡发行者的卡上运行应用的商业伙伴。
GP允许卡发行者与商业伙伴共享卡片的部分控制权,给予了卡发行者最大的灵活性来管理他们的卡。
最终的控制总是在卡发行者这里,但是通过GP,卡发行者的商业伙伴被允许在卡发行者的卡上适当的管理他们自己的应用。
GP卡片构架卡片构架运行运行时环境境负责为其它的应用提供硬件无关的API接口为卡片上应用提供安全的存储和运行空间确保应用间代码和数据的独立性为卡片和外界提供通讯服务ISO/IEC7816-3,ISO/IEC7816-4,ISO/IEC14443-3等(可以从ATR中得知卡片支持的协议类型,逻辑通道等系列相关信息)GlobalPlatformEnvironment(OPEN)为应用提供API命令分发应用选择逻辑通道管理卡片内容管理管理GP注册表GPAPIGP的API为应用提供服务卡持有者的校验、个人化、安全服务为应用提供了一些卡内容管理服务卡的锁定、应用生命周期状态的更新org.globalplatform.Applicationorg.globalplatform.SecureChannelorg.globalplatform.GPSystemorg.globalplatform.CVM安全域安全域IssuerSecurityDomain强制存在代表卡片发行者SupplementarySecurityDomains可选的代表应用提供商,卡片发行者或者其他代理ControllingAuthoritySecurityDomains一种特殊的SSD用于增强装载到卡里所有应用的代码的安全策略总结:
总结:
安全域为它们的所有者(卡发行者,应用提供者和控制授权中心机构)的应用提供的安全服务,包括:
密钥处理,数据加密,数据解密,数字签名的生成和校验。
Cardcontent本规范所定义的所有卡内容最初在卡里是以可执行装载文件的形式存在的,一个可执行装载文件可能存在于:
卡内不可改变的存储区(ROM)这种情况下,可执行装载文件在卡片生产过程中就被装载到卡里,并且不可被改变(可以被禁止)卡内可变存储区中(EEPROM)在这种情况下,可执行装载文件可以在发行前阶段或发行后阶段被装载或删除。
Cardcontent每一个可执行装载文件包含一个或多个可执行模块,也叫应用的代码。
应用的安装会从一个可执行模块里创建一个实例连同该应用相关的数据一起放入卡片的可变存储区中。
任何应用的实例及其相关的数据都可以被移除。
一个GP卡将支持多个可执行装载文件、多个可执行模块以及多个应用同时存在于一张GP卡上。
CardmanagerCM可以看作是以下三个实体:
GlobalPlatform的运行时环境。
发行者安全域。
对卡持有者的校验方法。
GP安全构架安全构架安全目标。
卡发行者的职责。
应用提供者的职责。
控制授权中心机构。
对卡上组件的安全要求。
GP提供的加密算法支持安全目安全目标GP的首要目标是在卡的生命周期中保证卡组件的安全性和完整性。
这些组件包括:
运行时环境OPEN发行者安全域安全域应用为了保证卡的安全性和完整性,GP被设计用来支持下列范围内的安全机制:
数据的完整性资源的可利用性保密性可认证卡卡发行者安全行者安全职责生成并装载发行者安全域(ISD)密钥创建和初始化应用提供商的安全域为卡及应用生命周期的管理、频率检查的级别、应用权限、其它的安全参数确定安全策略在发行前或发行后阶段,管理应用代码的装载和安装以加密的方式批准应用提供者进行应用的装载、安装和移交应用提供商安全用提供商安全职责为其自己的安全域生成或从可信任的第三方获得密钥与卡发行者一起将生成的密钥装入应用提供者的安全域提供满足发行者安全标准和策略的应用按照应用提供者的安全策略提供应用代码的签名从卡发行者那里预先获得执行应用装载、安装和移交操作的授权按照卡发行者的安全策略,返回在装载、安装、删除和移交过程中生成的收条控制授控制授权中心机构的安全中心机构的安全职责为其自己的安全域生成或从可信任的第三方获得密钥与卡发行者一起将生成或取得的密钥装入控制授权中心机构的安全域按照其自身定义的安全标准及策略为卡发行者和应用提供者提供应用代码的签名卡上卡上组件安全要求件安全要求运行时安全要求OPEN安全要求发行者安全域要求CVM安全要求SD安全要求应用安全要求卡片生命周期卡片生命周期安全域安全域安全域是一种享有特权的应用每个卡片都有一个强制的安全域ISDISD的特性的特性ISD是卡片上安装的得一个应用不具备SD的生命周期,他的生命周期跟卡的生命周期相同如果没有指定默认选择的应用,ISD会被默认选择卡内容装卡内容装载载和安装和安装应应用装用装载载应应用安装用安装个性化支持个性化支持安全通安全通讯讯应用会话期间,安全通道在卡和卡外实体之间提供一个安全通信通道三个安全级别实体认证完整性校验机密传输(传递密钥等敏感数据)安全通道会话分为三个阶段:
安全通道发起安全通道操作安全通道终止安全通安全通讯讯卡外实体使用相应的APDU命令或者卡上应用使用相应的API可以发起一个安全通道会话。
这种方法就是显式安全通道的建立。
相应的APDU命令允许卡外实体通知卡当前安全通道会话(完整性和/或保密性)所需要的安全级别。
卡外实体也可以选择使用的密钥。
安全通道安全通道协议协议号号安全通道协议标志着在安全域中实现的是哪一个具体的安全通讯协议和一组安全服务。
以下的值可以作为安全通道协议标识符:
00不可用01定义在附录DSecureChannelProtocol01中的安全通道协议102定义在附录ESecureChannelProtocol02中的安全通道协议203to7F保留GlobalPlatform将来使用。
80toEF保留用于GlobalPlatform注册的个人用途。
F0toFF保留用于未被GlobalPlatform注册的个人用途。
安全通道协议01是向后兼容OpenPlatformCardSpecification2.0.1版。
安全通道协议02除了包括安全通道01所提供的服务,还对照安全通道协议01优化了一些服务的操作。
安全通道初始化安全通道初始化总结回顾所学内容总结学习方法与学员的互动交流,获取反馈信息其它信息其它信息参考书籍、电子文档等咨询服务联系方式
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GLOBALPLATFORM 规范 培训