GB/T 16649.4-2010 识别卡 集成电路卡 第4部分：用于交换的结构、安全和命令

ICS35.240.15

L64

中华人民共和国国家标准

/—//:

GBT16649.42010ISOIEC7816-42005

识别卡集成电路卡

:、

第部分用于交换的结构安全和命令

4

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

——

IdentificationCardsInteratedcircuitcards

g

:,

Part4Oranizationsecuritandcommandsforinterchane

gyg

(/:,)

ISOIEC7816-42005IDT

2010-12-01发布2011-04-01实施

中华人民共和国国家质量监督检验检疫总局

发布

中国国家标准化管理委员会

/—//:

GBT16649.42010ISOIEC7816-42005

目次

前言…………………………Ⅲ

引言…………………………Ⅳ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4符号和缩略语……………5

5用于交换的结构…………………………6

命令响应对……………

5.1-6

5.2数据对象………………13

5.3应用与数据的结构……………………17

5.4安全体系结构…………………………22

6安全报文…………………28

6.1SM字段和SM数据对象……………29

6.2基本SM数据对象……………………30

6.3辅助的SM数据对象…………………32

命令响应对中的效果…………

6.4-SM37

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

7交换命令…………………38

7.1选择……………………38

7.2数据单元操作…………………………40

7.3记录操作………………43

7.4数据对象操作…………………………49

7.5基本安全操作…………………………52

7.6传输处理………………59

8与应用无关的卡服务……………………60

8.1卡标识…………………60

8.2应用标识和选择………………………64

8.3通过路径选择…………………………67

8.4数据检索………………67

8.5数据元检索……………67

8.6卡发起的字节串………………………69

()

附录资料性附录对象标识符和标记分配方案示例………………

A71

()

附录资料性附录安全报文传输示例………………

B73

()

附录资料性附录命令产生的功能的示例……

CGENERALAUTHENTICATEAUTHENTICATE79

()

附录资料性附录使用发行者标识号的应用标识符………………

D84

参考文献……………………85

Ⅰ

/—//:

GBT16649.42010ISOIEC7816-42005

前言

/《》:

在总标题识别卡集成电路卡下目前由下述个部分构成

GBT1664914

———:;

第部分带触点的卡物理特性

1

———:;

第部分带触点的卡触点的尺寸和位置

2

———:;

第部分带触点的卡电信号和传输协议

3

———:、;

第部分用于交换的结构安全和命令

4

———:;

第部分应用标识符的国家编号体系和注册规程

5

———:;

第部分行业间数据元

6

———:();

第部分用于结构化卡查询语言的行业间命令

7SCQL

———:;

第部分与安全相关的行业间命令

8

———:;

第部分用于卡管理的命令

9

———:;

第部分带触点的卡同步卡的电信号和复位应答

10

———:();

第部分通过生物识别方法的个人验证制定中

11

———:;

第部分带触点的卡电气接口和操作规程

12USB

———:();

第部分在多应用环境中用于应用管理的命令制定中

13

———:。

第部分密码信息应用

15

本部分为/的第部分。

GBT166494

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

本部分等同采用国际标/:《:

准识别卡集成电路卡第部分用于交换的结

ISOIEC7816-420054

、》()。

构安全和命令英文版

,:

为便于使用本部分作了下列编辑性修改

)删除国际标准前言;

a

)“”“”。

b将本文件改为本部分

本部分的附录、附录、附录、附录是资料性附录。

ABCD

Ⅲ

/—//:

GBT16649.42010ISOIEC7816-42005

引言

/。

GBT16649是规定集成电路卡参数和交换中集成电路卡使用的系列国际标准集成电路卡是用

()。,

于信息交换该信息交换由外界和卡上集成电路之间商定的识别卡作为信息交换的结果卡传送信

(、),/(、)。

息计算结果存储的数据和或更改其内容数据存储结果记忆

———,:

有个部分规定了带电触点的卡其中有部分还规定了电接口

43

/规定了带触点的卡的物理特性;

GBT16649.1

/规定了触点的尺寸和位置;

GBT16649.2

/规定了异步卡的电接口和传输协议;

GBT16649.3

/规定了同步卡的电接口和复位应答。

GBT16649.10

———。/:

所有其他部分均独立于物理接口技术它们用于通过触点和或射频访问的卡

/、;

GBT16649.4规定了用于交换的组件安全和命令

/规定了应用提供者的注册;

GBT16649.5

/规定了用于交换的行业间数据元;

GBT16649.6

/规定了用于结构化卡查询语言的命令;

GBT16649.7

/规定了用于安全操作的命令;

GBT16649.8

/规定了用于卡管理的命令。

GBT16649.9

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

Ⅳ

/—//:

GBT16649.42010ISOIEC7816-42005

识别卡集成电路卡

:、

第部分用于交换的结构安全和命令

4

1范围

/的本部分规定了:

GBT16649

———在接口处交换的命令响应对的内容;

-

———获取卡内数据元和数据对象的方法;

———用于描述卡的操作特性的历史字节的结构和内容;

———当处理命令时在接口处所看到的卡内应用和数据的结构;

———访问卡内文件和数据的方法;

———定义访问卡内文件和数据的权限的安全体系结构;

———卡内识别和选择应用的方法和机制;

———安全报文传输的方法;

———。。

访问卡采用的算法的方法本部分不描述这些算法

/。

本部分不涵盖卡内和或外界的内部实现

。、。

本部分独立于物理接口技术它适用于通过触点近耦合和射频等方式访问的卡

2规范性引用文件国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

/。

下列文件中的条款通过GBT16649的本部分的引用而成为本部分的条款凡是注日期的引用文

,(),,

件其随后所有的修改单不包括勘误的内容或修订版均不适用于本部分然而鼓励根据本部分达成

。,

协议的各方研究是否可使用这些文件的最新版本凡是不注日期的引用文件其最新版本适用于本

部分。

/:(/—

识别卡带触点的集成电路卡第部分电信号和传输协议

GBT16649.33GBT16649.3

,/:,)

2006ISOIEC7816-31997IDT

/:(/—

识别卡带触点的集成电路卡第部分行业间数据元

GBT16649.66GBT16649.6

,/:)

2001idtISOIEC7816-61996

/—:()、

信息技术编码规则第部分基本编码规则正则编码

GBT16263.12006ASN.11BER

()()(/:,)

规则CER和非典型编码规则DER规范ISOIEC8825-12002IDT

3术语和定义

下列术语和定义适用于本部分。

3.1

访问规则accessrule

包含针对一个操作的访问模式和操作前要满足的安全条件的数据元。

3.2

复位应答文件Answer-to-Resetfile

表示卡操作特性的可选基本文件。

1

/—//:

GBT16649.42010ISOIEC7816-42005

3.3

应用alication

pp

、。

为满足特定功能所需的数据结构数据元和程序模块

3.4

应用DFalicationDF

pp

卡上承载应用的结构。

3.5

应用标识符alicationidentifier

pp

()。

标识应用的数据元最多字节

16

3.6

应用标签alicationlabel

pp

在人机界面处使用的数据元。

-

3.7

应用提供者alicationrovider

ppp

提供卡上应用的组成部分的实体。

3.8

应用模板alicationtemlate

ppp

,。

与应用相关的数据对象的集合其中的数据对象包括一个应用标识符数据对象

3.9

非对称加密技术asmmetriccrtorahictechniue

yypgpq

,国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页(),(

采用两种相关变换进行加密的技术一种是公钥运算由公共密钥定义另一种是私钥运算由私

)。,。

有密钥定义这两种变换具有以下属性即私钥运算不能通过给定的公钥运算导出

3.10

证书icate

certif

、,

由发行证书的认证中心使用其私钥对实体的公钥身份信息以及其他相关信息进行签名形成的不

可伪造的数据。

3.11

命令响应对command-resonseair

pp

,。

接口处两个报文的集合一个命令APDU跟着一个相反方向上的响应APDU

3.12

数据元dataelement

,、、。

在接口处所看到的信息项可以是名称逻辑内容描述格式和编码

3.13

数据对象dataobect

j

,()、()()。

在接口处所看到的信息由字段必备长度字段必备和值字段可选串联组成

ta

g

3.14

数据单元dataunit

在支持数据元的EF内能被明确引用的最小的位集合。

3.15

专用文件dedicatedfile

()。

包含文件控制信息和可分配的存储空间可选的结构

2

/—//:

GBT16649.42010ISOIEC7816-42005

3.16

DF名称DFname

()。

唯一地标识卡内专用文件的数据元最多字节

16

3.17

数字签名diitalsinature

gg

,,,

附加于数据串的数据或对数据串的加密变换它能够验证该数据串的原始性和完整性保护数据

串不被伪造。

3.18

目录文件directorfile

y

,。

可选的EF包含卡支持的应用列表和可选相关数据元

3.19

基本文件elementarfile

y

共用同一文件标识符和同一安全属性的数据单元或记录或数据对象的集合。

3.20

文件file

(),。

卡上应用和或数据的结构如处理命令时接口处所看到的

3.21

文件标识符fileidentifier

用于文件访问的数据元(字节)。

2

3.22

头列表headerlist

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

无定界的字段和长度字段对的串联。

ta

g

3.23

识别卡identificationcard

,。

一种可识别其持卡人和发卡方的卡卡上载有其预期应用和有关交易所要求输入的数据

3.24

内部EFinternalEF

用于存储由卡解释的数据的EF。

3.25

密钥ke

y

(,、、、、

控制加密操作的符号序列例如在动态鉴别签名制作签名验证中的加密解密私密操作或公共

操作)。

3.26

主文件masterfile

,。

唯一的DF它代表卡上层次结构文件的根

3.27

偏移offset

,。

在支持数据单元的EF中为顺序引用数据单元的编号在记录中为顺序引用字节的编号

3.28

父文件arentfile

p

,。

在层次结构文件中一个给定文件的上层DF

3.29

口令assword

p

、。

应用可能需要的用来鉴别卡的用户的数据

3

/—//:

GBT16649.42010ISOIEC7816-42005

3.30

路径ath

p

无定界的文件标识符的链接。

3.31

私钥rivateke

py

一个实体使用的非对称密钥对中仅被该实体使用的密钥。

3.32

提供者rovider

p

具有或已经获得权力来创建卡中DF的权力机构。

3.33

公钥ublicke

py

一个实体使用的非对称密钥对中可以公开的密钥。

3.34

记录record

,。

在支持EF的记录中可以被卡引用和处理的字节串

3.35

记录标识符recordidentifier

,。

在支持EF的记录中用于引用一个或多个记录的编号

3.36

记录号recordnumber

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

,。

在支持EF的记录中唯一标识每个记录的顺序号

3.37

注册的应用提供者标识符reisteredalicationrovideridentifier

gppp

唯一标识一个应用提供者的数据元(字节)。

5

3.38

保密密钥secretke

y

对称加密技术中仅供指定实体所用的密钥。

3.39

安全报文传输uremessain

secgg

()。

用于加密保护部分命令响应对的一组方法

-

3.40

安全属性securitattribute

y

(),

卡内各种资源包括存储的数据和数据处理功能的使用条件表现为包含一条或若干条访问规则

的数据元。

3.41

安全环境securitenvironment

y

卡上应用所需的用于安全报文传输或安全操作的组件的集合。

3.42

对称加密技术smmetriccrtorahictechniue

yypgpq

。,

发送方和接收方使用相同保密密钥进行数据变换的加密技术在不掌握保密密钥的情况下不可

能推导出发送方或接收方的数据变换。

4

/—//:

GBT16649.42010ISOIEC7816-42005

3.43

ta列表talist

gg

无定界的字段的串联。

ta

g

3.44

模板temlate

p

构成结构化BER-TLV数据对象值字段的BER-TLV数据对象的集合。

3.45

工作EFworkinEF

g

用于存储不被卡解释的数据的EF。

4符号和缩略语

AID应用标识符

APDU应用层协议数据单元

ARR访问规则引用

ASN.1抽象语法记法

AT用于鉴别的控制引用模板

ATR复位应答

BERASN.1的基本编码规则

CCT用于密码校验和的控制引用模板

CLA类别字节

CRT控制引用模板

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

CT用于保密性的控制引用模板

DF专用文件

DIR目录

DST用于数字签名的控制引用模板

EF基本文件

EF.ARR访问规则引用文件

EF.ATR复位应答文件

EF.DIR目录文件

FCI文件控制信息

FCP文件控制参数

FMD文件管理数据

HT用于哈希编码的控制引用模板

INS指令字节

KAT密钥协议控制引用模板

用于编码编号的长度字段

LcfieldNc

LCSbte生存期状态字节

y

Lefield用于编码编号Ne的长度字段

MF主文件

Nc命令数据字段中的字节数

Ne响应数据字段中期望的字节最大数

Nr响应数据字段中的字节数

PIX专用应用标识符扩展

5

/—//:

GBT16649.42010ISOIEC7816-42005

()

P1-P2参数字节为了区分而插入的短划线无意义

RFU保留供将来使用

RID注册的应用提供者标识符

SC安全条件

SCQL结构化卡查询语言

SE安全环境

SEIDbte安全环境标识符字节

y

SM安全报文传输

()

SW1-SW2状态字节为了区分而插入的短划线无意义

()()

字节和的串联的值首字节为最高有效字节

SW1-SW2SW1SW2

、、

TLVta长度值

g

{}()

T-L-V数据对象为了区分而插入的短划线和花括号无意义

‘’‘’‘’‘’‘’,

使用十六进制数字至和至的记法等效于进制的

XX09AF16XX

5用于交换的结构

,:

为了实现交换本章定义了下列基本特征结构

)命令响应对;

1-

)数据对象;

2

)应用和数据的结构;

3

)安全体系结构。

4

命令响应对

5.1-

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

,

表示出了一个命令响应对即一个命令跟随着一个相反方向上的响应

1-APDUAPDU

(/)。,响应应在发起下一个命

见通过接口的命令响应对不可以有交叉也就是说APDU

GBT16649.3-

令响应对之前接收到。

-

表命令响应对

1-

字段描述字节数

类别字节CLA1

命令头指令字节INS1

参数字节P1-P22

字段编码为则不存在,编码大于则存在、或

LcNc0Nc0013

命令数据字段编码为则不存在,编码大于则以字符串的形式存在

Nc0Nc0NcNc

字段编码为则不存在,编码大于则存在、、或

LeNe0Ne00123

,()

响应数据字段编码为则不存在编码大于则以字符串的形式存在最多

Nr0Nr0NcNrNe

响应尾标状态字节SW1-SW22

,:

在所有包含和字段的命令响应对中短长度字段和扩展长度字段不应结合在一起或者是

LcLe-

,。

均为短长度字段或者是均为扩展长度字段

()()“”

如果卡明确表明具有处理历史字节见中的或见中的扩展和字段

8.1.1EF.ATR8.2.1.1LcLe

(,),;。

见表第软件功能表的能力则卡处理短长度字段和扩展长度字段否则卡仅处理短长度字段

883

Nc指示命令数据字段中的字节数。Lc字段编码Nc。

———,。

如果字段不存在则为零

LcNc

———由个字节组成的短字段不能置为‘