T∕OIDAA 04-2025 基于SIM卡的数字身份 身份鉴别设备专用安全芯片应用接口要求

ICS35.240.10CCSL65团 体 标 准T/OIDAA04—2025基于SIM身份鉴别设备专用安全芯片应用接口要求SIM-baseddigitalidentity—Applicationinterfacerequirementsfordedicatedsecuritychipsinidentityauthenticationdevices（报批稿）（本稿完成日期：2025-09-23）2025-11-19发布 2025-12-11实施中关村安信网络身份认证产业联盟 发布T/OIDAA04—2025T/OIDAA04—2025PAGE\*ROMANPAGE\*ROMANII目  次前言 II引言 1范围 2规范性引用文件 2术语和定义 2缩略语 2命令说明 2应用命令 3附录A（资料性）业务流程 10附录B（规范性）标签（TAG）定义 13参考文献 14表1 命令组成 3表2 命令格式分类 3表3 响应格式 3表4 NFCINIT命令格式 3表5 NFCINIT响应数据 4表6 NFCINIT响应状态码 4表7 NFCAUTH命令格式 4表8 NFCAUTHP1参数格式 5表9 NFCAUTH数据域格式 5表10NFCAUTH响应数据 5表11NFCAUTH响应状态码 5表12GETSTATUS命令格式 6表13GETSTATUS响应数据 6表14GETSTATUS响应状态码 6表15NFCDECRYPT命令格式 7表16NFCDECRYPTP1参数格式 7表17NFCDECRYPT数据域格式 7表18NFCDECRYPT响应数据 8表19NFCDECRYPT响应状态码 8表20GETSEID命令格式 8表21GETSEID响应数据 9表22GETSEID响应状态码 9前  言本文件按照GB/T1.1—20201请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中关村安信网络身份认证产业联盟提出并归口。T/OIDAA04—2025T/OIDAA04—2025PAGEPAGE10引言基于SIMSIM卡的可信身份信息。SIM卡具有自主可控、安全存储、安全计算、安全通信等特性，作为数字身份的安全载体，NFC通信提供便捷的自然人身份鉴别服务，为居民身份网络认证服务系统提供多元化的身份认证应用模式。此外，依托SIM卡能进一步有效保护个人数字资产，推动数据要素的安全、高效流通，加速构建新型数字生活。为了提高身份鉴别凭证使用过程中数据的规范性和安全性，指导用户进行身份鉴别设备软件开发、基于SIM卡的数字身份身份鉴别设备专用安全芯片应用接口要求范围本文件规定了身份鉴别设备专用安全芯片的应用接口要求。本文件适用于身份鉴别设备专用安全芯片的应用接口的设计、开发、测试和应用。规范性引用文件（包括所有的修改单适用于本文件。T/OIDAA01—2025《基于SIM卡的数字身份技术框架》术语和定义T/OIDAA01—2025《基于SIM卡的数字身份技术框架》界定的术语和定义适用于本文件。缩略语下列缩略语和符号适用于本文件。SM2 SM2椭圆曲线公钥密码算法（publickeycryptographicalgorithmSM2basedonellipticcurves）SM4 SM4分组密码算法（SM4blockcipheralgorithm）MAC 消息校验码（MessageAuthenticationCode）NFC 近场通信（NearFieldcommunication）SIM 用户识别卡（SubscriberIdentityModule）SEID 安全模块标识（SecureElementIdentifier）TLV 标签长度值（TagLengthValue）命令说明命令格式命令组成命令组成包含命令头和命令体，详见表1。表1命令组成命令头命令体CLAINSP1P2LcDATALe命令格式分类命令格式分类有4种，对应的命令组成详见表2。表2命令格式分类格式命令组成CASE1CLAINSP1P2CASE2CLAINSP1P2LeCASE3CLAINSP1P2LcDataCASE4CLAINSP1P2LcDataLe响应格式响应格式包含数据和状态码两部分，详见表3。表3响应格式数据状态码DATASW1SW2DATA：响应数据；SW1、SW2：卡片执行命令的相应状态码。应用命令NFCINIT功能描述此命令用于NFC外部认证初始化，NFC外部认证流程示例见附录A.1。命令格式命令格式详见表4。表4NFCINIT命令格式数据描述CLA80INSD3P100P200LC无DATA无LE00响应格式56，TLVB。表5NFCINIT响应数据数据项长度（TLV格式）值M/O随机数RANDA118随机数A，明文M身份鉴别设备专用安全芯片授权证书12169身份鉴别设备专用安全芯片授权证书M表6NFCINIT响应状态码SW描述9000执行成功6985当前状态不满足6A86P1P2参数错误NFCAUTH功能描述此命令用于NFC外部认证，NFC外部认证流程示例见附录A.1。命令格式命令格式详见表7。表7NFCAUTH命令格式数据描述数据描述CLAINS80D4P1XXP200LC数据域长度DATA数据域LE00P18。表8NFCAUTHP1参数格式b8b7b6b5b4b3b2b1说明0非最后一条命令1最后一条命令9，TLVB。表9NFCAUTH数据域格式数据项长度（TLV格式）值M/O随机数RANDB11104使用身份鉴别设备专用安全芯片的公钥加密的随机数B密文，随机数不包含TLMSIM卡证书12147明文M签名1164SIM卡私钥对随机数RAND~SIM卡证书的签名，签名值为原始签名数据M响应格式1011，TLVB。表10NFCAUTH响应数据数据项长度（TLV格式）值M/O签名1164使用身份鉴别设备专用安全芯片的私钥对{RANDA|RANDB}的签名，签名值为原始签名数据M表11NFCAUTH响应状态码SW描述9000认证成功9304签名无效6700LC错误6985当前状态不满足6A86P1P2参数错误6A92证书无效6A80数据错误GETSTATUS功能描述此命令用于读取身份鉴别设备专用安全芯片的状态信息。命令格式命令格式详见表12。表12GETSTATUS命令格式数据描述CLA80INSD5P100P200LC无DATA无LE00响应格式响应格式包含响应数据和响应状态码两部分，响应数据详见表13，响应状态码详见表14。表13GETSTATUS响应数据字段长度描述STATE10xFF0x01；非TLV格式。表14GETSTATUS响应状态码SW描述9000执行成功NFCDECRYPT功能描述此命令用于解密使用NFC读取命令从SIM卡中读取的加密数据。命令格式命令格式详见表15。表15NFCDECRYPT命令格式数据描述CLA80INSD7P1XXP200LC数据长度DATA数据域LE00P116。表16NFCDECRYPTP1参数格式b8b7b6b5b4b3b2b1说明00非最后一条命令10最后一条命令01获取下一组数据17，TLVB。表17NFCDECRYPT数据域格式数据域长度（TLV格式）值M/O总长度1-3数据密文~MACMT1L1V1XX数据密文MT2L2V2XX0T3L3V3XXOOTnLnVnXXOMAC4macKey~（TLV1~TLVn）MAC值M授权数据1116C响应格式19，TLV的B。表18NFCDECRYPT响应数据数据域长度（TLV格式）值M/OT1L1V1XX数据1，TLV格式MT2L2V2XX数据2，TLV格式0T3L3V3XX数据3，TLV格式OOTnLnVnXX数据n，TLV格式O表19NFCDECRYPT响应状态码SW描述9000执行成功9302MAC无效9305授权数据不存在6700LC错误6985当前状态不满足6A86P1P2参数错误6A80数据错误6310（80D7400000）继续获取。GETSEID功能描述此命令用于从身份鉴别设备专用安全芯片中获取SEID，若身份鉴别设备专用安全芯片中不存在SEID，则报错。NFC线下读取身份鉴别凭证流程示例见附录A.2。命令格式命令格式详见表20。表20GETSEID命令格式数据描述数据描述CLA80INSDAP100P2LC00无DATA无LE00响应格式响应格式包含响应数据和响应状态码两部分，响应数据详见表21，响应状态码详见表22。表21GETSEID响应数据数据域长度值M/OSEID10TLV）M表22GETSEID响应状态码SW描述9000执行成功6A82未找到文件附 录 A（资料性）业务流程NFC外部认证流程图A.1NFC外部认证流程流程见图A.1，具体描述如下：身份鉴别设备请求认证初始化NFCINIT（芯片）；身份鉴别设备专用安全芯片返回指令响应数据。身份鉴别设备与卡应用进行外部认证初始化选择卡应用；NFCINIT命令到卡应用，进行外部认证初始化；卡应用返回指令响应数据。身份鉴别设备请求外部认证NFCAUTH（芯片）；身份鉴别设备专用安全芯片返回指令响应数据给身份鉴别设备。身份鉴别设备与卡应用进行外部认证NFCAUTH命令给卡应用进行外部认证；卡应用返回认证成功（9000），缓存认证状态。NFC线下读取身份鉴别凭证流程图A.2NFC线下读取身份鉴别凭证流程流程见图A.2，具体描述如下：身份鉴别设备使用身份鉴别设备专用安全芯片与卡应用完成外部认证流程。SEID；SEID；SEID组装成请求数据到身份鉴别服务端请求授权；SEID；居民身份网络认证系统返回业务授权数据，身份鉴别服务端将授权数据返回到身份鉴别设备；NFCGETDATA命令，参数为业务类型（FCA.1）。表A.1业务类型业务类型类型值说明身份鉴别凭证FC用于身份鉴别凭证数据写入、更新及读取身份鉴别设备从卡应用读取数据NFCGETDATA命令给卡应用；卡应用返回身份认证凭据密文给身份鉴别设备；NFCDECRYPT，参数为{身份认证凭据|授权数据}；NFCDECRYPT命令流程，返回{身份鉴别凭证认证加密数据}给身份鉴别设备；附 录 B（规范性