路径: 主页 > GB/T > 第234页 > GB/T 29271.4-2019 | 标准编号 | GB/T 29271.4-2019 (GB/T29271.4-2019) | | 中文名称 | 识别卡 集成电路卡编程接口 第4部分:应用编程接口(API)管理 | | 英文名称 | Identification cards -- Integrated circuit card programming interfaces -- Part 4: Application programming interface (API) administration | | 行业 | 国家标准 (推荐) | | 中标分类 | L64 | | 国际标准分类 | 35.240.15 | | 字数估计 | 206,250 | | 发布日期 | 2019-08-30 | | 实施日期 | 2020-03-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 29271.4-2019
Identification cards - Integrated circuit card programming interfaces - Part 4: Application programming interface (API) administration
ICS 35.240.15
L64
中华人民共和国国家标准
识别卡 集成电路卡编程接口
第4部分:应用编程接口(API)管理
(ISO/IEC 24727-4:2008,MOD)
2019-08-30发布
2020-03-01实施
国 家 市 场 监 督 管 理 总 局
中国国家标准化管理委员会 发 布
目次
前言 Ⅴ
引言 Ⅶ
1 范围 1
2 规范性引用文件 1
3 术语和定义 2
4 缩略语 3
5 体系结构规范 3
5.1 概述 3
5.2 全网络栈 6
5.3 忠诚栈 8
5.4 不透明ICC栈 8
5.5 远程忠诚栈 9
5.6 ICC本地栈 10
5.7 远程ICC栈 11
5.8 服务访问层扩展 12
6 安全体系结构 16
6.1 路径保护政策 16
6.2 访问控制列表-访问控制规则(ACL-ACR)映射 17
6.3 安全报文传输 17
6.4 可信信道密钥管理 18
7 连接组件 18
7.1 概述 18
7.2 操作请求和响应语义 18
7.3 委托-代理(Proxy-Agent)体系结构 18
7.4 可信信道接口(TC_API) 19
7.5 接口设备API(IFDAPI) 23
8 GB/T 16649.15注册实施 38
8.1 概述 38
8.2 GB/T 29271.3数据结构映射 39
8.3 SALAPI操作映射到GB/T 16649.15属性 46
8.4 特定卡APDU映射到GB/T 16649.15属性 51
8.5 GB/T 29271.3数据结构存储在卡上 52
附录A(规范性附录) 路径保护机制 54
附录B(资料性附录) IFD-API:Web服务绑定 62
附录C(资料性附录) IFD-Calback-API-Web服务绑定 93
附录D(资料性附录) GB/T 29271.4-IFDAPI模块 96
附录E(资料性附录) GB/T 29271.4-TCAPI模块 113
附录F(资料性附录) 程序元素的增强使用 118
附录G(资料性附录) 用于GB/T 16649.15数据结构处理的API 130
附录H (资料性附录) 轻量级服务访问层(SALAPILITE) 174
附录I(资料性附录) 密码信息应用示例 175
附录J(资料性附录) 转换ASN.1模块 186
附录K(资料性附录) 可互操作访问存储库 187
附录L(资料性附录) CryptoAPI(CAPI)通过程序元素访问 191
图1 GB/T 29271体系结构 4
图2 GB/T 29271栈的通用元素 5
图3 后续数据的图例 6
图4 卡端应用和客户端应用之间的网络连接 7
图5 GB/T 29271.2和GB/T 29271.3层的专有实现 8
图6 不透明ICC栈 9
图7 远程忠诚栈 10
图8 ICC本地栈 11
图9 远程ICC栈配置 12
图10 网络栈 14
图11 委托-代理机制 18
图12 发现鉴别协议值 43
图13 GB/T 16649.15信息对象和GB/T 29271.3数据结构之间的关系 53
图A.1 带安全报文传输和不带安全报文传输的通信 54
图A.2 命令头转换 55
图A.3 在INS为奇数值时创建包含加密数据的DO 55
图A.4 创建包含密码校验和的DO 56
图A.5 创建包含Le字段的DO 56
图A.6 MAC运算 57
图A.7 创建包含状态字节的DO 58
图A.8 保护CASE4命令APDU 59
图A.9 保护带数据字段的响应APDU 60
图F.1 程序元素功能 119
图F.2 完整互操作网络栈 120
图F.3 当前全网络栈 122
图F.4 建议配置 123
图F.5 当前忠诚栈 124
图F.6 建议忠诚栈 124
图F.7 当前不透明ICC栈 125
图F.8 建议不透明ICC栈 125
图F.9 当前远程忠诚栈 126
图F.10 建议远程忠诚栈 127
图F.11 当前远程ICC栈 128
图F.12 建议远程ICC栈 128
图I.1 基于UML的eService计算模型 (基于GB/T 29271对象) 176
图L.1 启用CAPI的程序元素 193
图L.2 PKCS11的加密服务 194
表1 命令进程 15
表2 每个栈配置的每个类别的路径保护策略类 17
表3 可信信道API 19
表4 DataSet映射到ACL 39
表6 Service映射到ACL 42
表7 authObject映射到DID 44
表8 SecretKey映射到DID 45
表9 privateKey映射到DID 46
表10 SALAPI操作映射到GB/T 16649.15属性 47
表11 DataContainerObject的属性 (GB/T 16649.15DO) 51
表12 EF或DO识别 51
表13 EF文件内容示例 52
表A.1 安全报文传输中各字段使用的值 60
表I.1 基于对象的"myservice"数据集 177
表I.2 用于卡端应用和DataSet对象的GB/T 16649.15数据对象封装 178
前言
GB/T 29271《识别卡 集成电路卡编程接口》分为以下六个部分:
---第1部分:体系结构;
---第2部分:通用卡接口;
---第3部分:应用接口;
---第4部分:应用编程接口(API)管理;
---第5部分:测试规程;
---第6部分:实现互操作的鉴别协议的注册管理规程。
本部分为GB/T 29271的第4部分。
本部分按照GB/T 1.1-2009给出的规则起草。
本部分使用重新起草法修改采用ISO/IEC 24727-4:2008《识别卡 集成电路卡编程接口 第4部
分:应用编程接口(API)管理》。
本部分与ISO/IEC 24727-4:2008的技术性差异及其原因如下:
---关于规范性引用文件,本部分做了具有技术性差异的调整,以适应我国的技术条件,调整的情
况集中反映在第2章“规范性引用文件”中,具体调整如下:
● 增加引用了GB/T 16649.15(GB/T 16649.15-2010,ISO/IEC 7816-15:2004,IDT)(见5.8,
7.5和第8章);
● 用等同采用国际标准的GB/T 29271.1代替了ISO/IEC 24727-1(见5.1、第7章和8.1);
● 用等同采用国际标准的GB/T 29271.2代替了ISO/IEC 24727-2(见第5章、第6章、第8
章、附录A和附录F);
● 用修改采用国际标准的GB/T 29271.3代替了ISO/IEC 24727-3(见第5章、第6章、第7
章、第8章、附录A、附录F、附录H、附录I和附录L);
● 将参考文献ISO/IEC 19784-1:2006移至规范性引用文件,并用等同采用国际标准的
GB/T 30267.1-2013代替(见7.5);
● 增加引用了ISO/IEC 24727-2:2008/Amd1:2014(见5.8);
● 增加引用了ISO/IEC 7816-15:2004/Amd2:2008(见8.1、G.2.16和G.4.1);
● 将国际标准中出现的ISO/IEC 24727-5移至规范性引用文件(见5.1和图1)。
---增加缩略语ACD、ACR、AR、DID、GCI、ICC、IFD、Kenc、Kmac、PCD和SAL。
本部分还做了下列编辑性修改:
---纳入国际标准技术勘误ISO/IEC 24727-4COR1:2011的内容(见附录B的B.1、B.2、B.3、附
录C的C.1、C.2、附录D和附录E);
---纳入国际标准修正单ISO/IEC 24727-4/Amd1:2014的内容(见5.8、第8章、附录F~附录L);
---图统一从图1开始编号,不再采用原图标序号;
---表统一从表1开始编号,不再采用原表序号;
---调整了缩略语顺序;
---将国际标准中出现的悬置段编号并加标题,并依序调整下文的条标题编号;
“GB/T 29271-COMMON{1.2.156.5006.29271}”;
---附录D的第11、12行中的“revMajISO 24727-4-IFDAPI”“revMinISO 24727-4-IFDAPI”,改为
“revMajGB T29271-4-IFDAPI”“revMinGB T29271-4-IFDAPI”;
“GB/T 29271-COMMON{1.2.156.5006.29271}”;
---附录I的I.2.2.3.1的第一句中的“G.2”,改为“I.2.2.3”;
vice”;
“GB/T 29271.4-COMMON{1.2.156.5006.29271}”;
---附录K的K.1的标题修改为“示例”,删除“摘自欧盟标准CEN/T S15480-3”;
---删除了参考文献。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本部分由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。
本部分起草单位:中国电子技术标准化研究院、北京智芯微电子科技有限公司、楚天龙股份有限公
司、上海一芯智能科技有限公司、深圳赛西信息技术有限公司、紫光同芯微电子有限公司、北京握奇数据
系统有限公司、飞天诚信科技股份有限公司、大唐微电子技术有限公司、中电智能卡有限责任公司、北京
中电华大电子设计有限责任公司、红天智能科技(天津)有限公司、金邦达有限公司、东信和平科技股份
有限公司、中国科学院自动化研究所、北京眼神智能科技有限公司、上海复旦微电子集团股份有限公司、
上海密特印制有限公司。
本部分主要起草人:曹国顺、付青琴、蒋曲明、高伟、苏爱民、盛敬刚、秦日臻、白婧、朱鹏飞、张树蕊、
原爱阳、李斌、夏立佳、李丹、邴志刚、张璋、徐平江、徐木平、钟陈、张汉就、王厚金、余晖、史春腾、邵兴、
吴行宇、张晓良、庞振江。
引 言
GB/T 29271定义了一组集成电路卡(ICC)和外部应用之间交互的编程接口,包括多部门使用的通
用服务。ICC的组织和操作符合GB/T 16649.4-2010。
GB/T 29271与不同应用领域之间有互操作要求的ICC应用相关。
GB/T 9387.1:1998用作客户端应用到卡端应用连接的分层结构。也就是说,应用接口假定存在这
样的协议栈:通过它可以利用命令来交换卡片间的信息和事务。传送这些命令的报文结构在
GB/T 16649中定义。应用接口访问的命令的语义参考应用协议数据单元(APDU,在GB/T 29271.2
中有描述)及以下标准:
---GB/T 16649.4-2010 识别卡 集成电路卡 第4部分:用于交换的结构、安全和命令
---GB/T 16649.8-2002 识别卡 带触点的集成电路卡 第8部分:与安全相关的行业间命令
---GB/T 16649.9-2010 识别卡 集成电路卡 第9部分:用于卡管理的命令
GB/T 29271的目标是最大化软件工具的适用性和解决方案空间,为支持卡片的客户端应用程序
提供应用程序接口支持。该工作包括:当卡片变得更强大、同级伙伴存在以及将来应用的时候,支持卡
片系统的演进,从而使得对符合GB/T 29271标准要求的已有方案的影响最小。
符合本部分,可以实现GB/T 29271.3和GB/T 29271.2的互操作实现。本部分没有定义实施细
节;可假定符合可接受的安全策略。具体的安全策略不在GB/T 29271的范围之内。
识别卡 集成电路卡编程接口
第4部分:应用编程接口(API)管理
1 范围
GB/T 29271定义了一组集成电路卡(ICC)和外部应用之间交互的编程接口,包括多部门使用的通
用服务。
GB/T 29271的本部分规定了客户端应用和卡端应用之间的连接和安全机制。本部分规定API管
理符合GB/T 29271标准的独立于服务和独立于实现的模块,包括安全性,可以对ICC的特定卡端应用
发出操作请求,以便在与数据模型和内容发现操作耦合时,卡端应用可以被各种客户端应用使用。
本部分适用于ICC和外部应用的连接,以便各种客户端应用可以采用统一接口调用卡端应用。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 15852.1-2008 信息技术 安全技术 消息鉴别码 第1部分:采用分组密码的机制
(ISO/IEC 9797-1:1999,IDT)
GB/T 16649.4-2010 识别卡 集成电路卡 第4部分:用于交换的结构、安全和命令(ISO/IEC
7816-4:2005,IDT)
GB......
|