GPC_UICC Configuration_v2.0.pdf
1 简介
本文档规定了在 ETSI 规范 TS 102 221 [TS 102 221]、TS 102 223 [TS 102 223] 中指定的 UICC 平台上实施 GlobalPlatform 规范的配置要求,
TS 102 225 [TS 102 225] 和 TS 102 226 [TS 102 226]。
GlobalPlatform Common Implementation Configuration [GPC CIC] 的规定应适用,除非本文档中另有规定。 实施支持的选项应由卡能力信息指示(参见第 3.2.2 节)
引用
3 UICC Security Policies
3.1.2.1 SCP“80”的附加要求
3.1.2.1.1 安全通道密钥集
SCP '80' 的密钥集是 [TS 102 225] 中定义的一组三个加密密钥:
• KIC:加密的密钥和算法标识符
• KID:冗余校验/加密校验和/数字签名的密钥和算法标识符
• DEK:解密和加密密钥
实施应支持 KIC 的以下选项:
• 外部 CBC 模式下的三重 DES 使用三个不同的密钥(即 24 字节三重 DES 密钥)
• 密钥长度为 128 位和 256 位的 AES
实施应支持以下 KID 加密校验和选项:
• 外部 CBC 模式下的三重 DES 使用三个不同的密钥(即 24 字节三重 DES 密钥)
在下文中,当 SCP '80' 支持被启用时,安全域被认为具有 SCP '80' 能力
在安装 SD 期间指定,并且 SD 至少有一个 SCP '80' 密钥集。
3.4 安全通道密钥的机密设置
安全通道密钥的机密设置是一种可选机制,允许对新创建的补充安全域的初始安全通道密钥进行机密设置。 为启用此机制,在将卡提供给发行人(例如 MNO)之前,应安装并完全个性化控制权限安全域 (CASD)。 [Amd A] 中描述了 CASD 的功能要求。 如果卡支持安全通道密钥的机密设置,那么 CASD 至少应支持 RSA 密钥长于 1024 位(如 [Amd A] 中定义)的场景#3 或场景#2B。 可以支持其他场景。 CASD 实例应为紧凑和扩展格式分配以下 TAR 值:'B2 02 01',如 [TS 101 220] 中所定义。 CASD 是补充安全域的特例,因此第 3.3 节中描述的所有要求都适用于 CASD
4 密钥要求
[GPC CIC] 第 4 章中定义的要求应适用,并具有以下附加精度:
• 密钥版本号“11”为[TS 102 226] 中指定的DAP 保留。
• 密钥版本号'74' 保留给CASD 密钥。 有关详细信息,请参见 [Amd A] 第 3.3.2 和 3.3.3 节。
最初,补充安全域没有密钥,其相关安全域的密钥将用于建立安全通道会话。
可以根据以下规则使用 PUT KEY 命令或 STORE DATA 命令管理安全域的安全通道密钥: 如果在 SCP '80' 安全通道中使用 PUT KEY 或 STORE DATA:
• 要创建或更新 SCP '80' 基本密钥,[TS 102 226] 中定义的命令格式应适用,要使用的 DEK 密钥根据 [TS 102 226] 定义。 要创建或更新 KVN 大于“0F”的密钥,应使用当前 SCP 会话的 DEK 密钥。
• 要创建或更新SCP '02' 或SCP '03' 基本密钥,应应用第5.10 和5.13 节中定义的命令格式,并应使用当前SCP 会话的DEK 密钥。
• 要创建或更新SCP '81' 基本密钥,应应用第5.10 和5.13 节中定义的命令格式,并应使用当前SCP 会话的DEK 密钥。
如果在 SCP '02' 或 SCP '03' 安全通道中使用 PUT KEY 或 STORE DATA:
• 要创建或更新SCP '80' 基本密钥,应应用[TS 102 226] 中定义的命令格式,并应使用当前SCP 会话的DEK 密钥。
• 要创建或更新SCP '02' 或SCP '03' 基本密钥,应应用第5.10 和5.13 节中定义的命令格式,并应使用当前SCP 会话的DEK 密钥。
• 要创建或更新SCP '81' 基本密钥,应应用第5.10 和5.13 节中定义的命令格式,并应使用当前SCP 会话的DEK 密钥。
如果在 SCP '81' 安全通道中使用 PUT KEY 或 STORE DATA:
• 要创建或更新SCP '80' 基本密钥,应应用[TS 102 226] 中定义的命令格式,并且应使用[Amd B] 中定义的当前SCP 会话的DEK 密钥。
• 要创建或更新 SCP '02' 或 SCP '03' 基本密钥,应应用第 5.10 和 5.13 节中定义的命令格式,并应使用 [Amd B] 中定义的当前 SCP 会话的 DEK 密钥 .
• 要创建或更新 SCP '81' 基本密钥,应应用第 5.10 和 5.13 节中定义的命令格式,并且应使用 [Amd B] 中定义的当前 SCP 会话的 DEK 密钥。
当使用 [Amd A] 中定义的 CASE 场景 #3 为 SCP '80' 密钥集生成 AES MAC 密钥(KID)时,与该密钥关联的 MAC 长度应明确设置为 8 字节。
