TOIDAA 04-2025 基于SIM卡的数字身份 身份鉴别设备专用安全芯片应用接口要求

ICS35.240.10CCSL65SIM-baseddigitalidentity—Applicationinterfacerequirementsfordchipsinidentityauthenticatio中关村安信网络身份认证产业联盟发布IT/OIDAA04—2025前言 1 22规范性引用文件 23术语和定义 24缩略语 25命令说明 26应用命令 3附录A（资料性）业务流程 附录B（规范性）标签（TAG）定义 参考文献 14表1命令组成 3表2命令格式分类 3表3响应格式 3表4NFCINIT命令格式 表5NFCINIT响应数据 表6NFCINIT响应状态码 表7NFCAUTH命令格式 表8NFCAUTHP1参数格式 表9NFCAUTH数据域格式 5表10NFCAUTH响应数据 表11NFCAUTH响应状态码 表12GETSTATUS命令格式 表13GETSTATUS响应数据 表14GETSTATUS响应状态码 表15NFCDECRYPT命令格式 表16NFCDECRYPTP1参数格式 表17NFCDECRYPT数据域格式 表18NFCDECRYPT响应数据 表19NFCDECRYPT响应状态码 表20GETSEID命令格式 表21GETSEID响应数据 表22GETSEID响应状态码 T/OIDAA04—2025本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中关村安信网络身份认证产业联盟提出并归口。本文件起草单位：中国联合网络通信有限公司、联通在线信息科技有限公司、北京中盾安信科技发展有限公司、中移动金融科技有限公司、天翼电子商务有限公司、北京握奇数据股份有限公司、兴唐通信科技有限公司、楚天龙股份有限公司、上海复旦微电子集团股份有限公司、芯昇科技有限公司、北京中电华大电子设计有限责任公司、紫光同芯微电子有限公司、厦门中盾安信科技有限公司、北京中广瑞波科技股份有限公司。起草人：梁斌、王君珂、韩英晶、程福兴、张林、杨亮、曹德光、刘翔宇、靳慧芳、王艳丽、黄炜耀、张新彬、王性国、果艳红、梁栋、李金萍、蔡子凡、朱志高、李娟娜、范博贺、盖树天、于炜、高云鹏、林伟彬、周鹏。本标准版权归中关村安信网络身份认证产业联盟所有。未经事先书面许可，本标准的任何部分不得以任何形式或任何手段进行复制、发行、改编、翻译、汇编或将本标准用于其他任何商业目的。1T/OIDAA04—2025基于SIM卡的数字身份是一种经过居民身份网络认证服务系统权威认证，存储在运营商SIM卡的可信身份信息。SIM卡具有自主可控、安全存储、安全计算、安全通信等特性，作为数字身份的安全载体，不仅满足数字身份安全存储的需求，还能与身份鉴别设备进行NFC通信提供便捷的自然人身份鉴别服务，为居民身份网络认证服务系统提供多元化的身份认证应用模式。此外，依托SIM卡能进一步有效保护个人数字资产，推动数据要素的安全、高效流通，加速构建新型数字生活。为了提高身份鉴别凭证使用过程中数据的规范性和安全性，指导用户进行身份鉴别设备软件开发、对接和使用，并定义身份鉴别设备与身份鉴别设备专用安全芯片之间交互过程中的数据结构和指令格式等，特制定本文件。2T/OIDAA04—2025基于SIM卡的数字身份身份鉴别设备专用安全芯片应用接口要求本文件规定了身份鉴别设备专用安全芯片的应用接口要求。本文件适用于身份鉴别设备专用安全芯片的应用接口的设计、开发、测试和应用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。T/OIDAA01—2025《基于SIM卡的数字身份技术框架》3术语和定义T/OIDAA01—2025《基于SIM卡的数字身份技术框架》界定的术语和定义适用于本文件。4缩略语下列缩略语和符号适用于本文件。SM2SM2椭圆曲线公钥密码算法（publickeycryptographicalgorithmSM2basedonellipticcurves）SM4SM4分组密码算法（SM4blockcipheralgorithm）MAC消息校验码（MessageAuthenticationCode）NFC近场通信（NearFieldcommunication）SIM用户识别卡（SubscriberIdentityModule）SEID安全模块标识（SecureElementIdentifier）TLV标签长度值（TagLengthValue）5命令说明3T/OIDAA04—20255.1命令格式5.1.1命令组成命令组成包含命令头和命令体，详见表1。表1命令组成5.1.2命令格式分类命令格式分类有4种，对应的命令组成详见表2。表2命令格式分类5.2响应格式响应格式包含数据和状态码两部分，详见表3。表3响应格式DATA：响应数据；SW1、SW2：卡片执行命令的相应状态码。6应用命令6.1NFCINIT命令6.1.1功能描述此命令用于NFC外部认证初始化，NFC外部认证流程示例见附录A.1。6.1.2命令格式命令格式详见表4。表4NFCINIT命令格式4T/OIDAA04—2025无无6.1.3响应格式响应格式包含响应数据和响应状态码两部分，响应数据详见表5，响应状态码详见表6，TLV的标签详见附录B。表5NFCINIT响应数据118M身份鉴别设备专用12书M表6NFCINIT响应状态码6.2NFCAUTH命令6.2.1功能描述此命令用于NFC外部认证，NFC外部认证流程示例见附录A.1。6.2.2命令格式命令格式详见表7。表7NFCAUTH命令格式5T/OIDAA04—2025a)P1参数格式描述详见表8。表8NFCAUTHP1参数格式0-------1-------b)数据域格式详见表9，TLV的标签详见附录B。表9NFCAUTH数据域格式11使用身份鉴别设备专用安全芯M12M11SIM卡私钥对随机数RAND~SIMM6.2.3响应格式响应格式包含响应数据和响应状态码两部分，响应数据详见表10，响应状态码详见表11，TLV的标签详见附录B。表10NFCAUTH响应数据11使用身份鉴别设备专用安全芯片的私钥对{RANDA|RANDB}的签M表11NFCAUTH响应状态码6T/OIDAA04—20256.3GETSTATUS命令6.3.1功能描述此命令用于读取身份鉴别设备专用安全芯片的状态信息。6.3.2命令格式命令格式详见表12。表12GETSTATUS命令格式无无6.3.3响应格式响应格式包含响应数据和响应状态码两部分，响应数据详见表13，响应状态码详见表14。表13GETSTATUS响应数据1表14GETSTATUS响应状态码6.4NFCDECRYPT命令6.4.1功能描述此命令用于解密使用NFC读取命令从SIM卡中读取的加密数据。7T/OIDAA04—20256.4.2命令格式命令格式详见表15。表15NFCDECRYPT命令格式a)P1参数格式详见表16。表16NFCDECRYPTP1参数格式00------10------01------b)数据域格式详见表17，TLV的标签详见附录B。表17NFCDECRYPT数据域格式MTLVMTLV0TLVO......OTLVO4使用会话密钥macKey对总长度~M11C6.4.3响应格式响应格式包含响应数据和响应状态码两部分，响应数据详见表18，响应状态码详见表19，TLV的标签详见附录B。8T/OIDAA04—2025表18NFCDECRYPT响应数据TLVMTLV0TLVO............OTLVO表19NFCDECRYPT响应状态码6.5GETSEID命令6.5.1功能描述此命令用于从身份鉴别设备专用安全芯片中获取SEID，若身份鉴别设备专用安全芯片中不存在SEID，则报错。NFC线下读取身份鉴别凭证流程示例见附录A.2。6.5.2命令格式命令格式详见表20。表20GETSEID命令格式无9T/OIDAA04—20256.5.3响应格式响应格式包含响应数据和响应状态码两部分，响应数据详见表21，响应状态码详见表22。表21GETSEID响应数据M表22GETSEID响应状态码(资料性)A.1NFC外部认证流程全芯片a.1请求认证初始化(NFCINIT芯片指令)---2.2返回指令响应数据…---…--(外部认证初始化)------.4返回指令响应数据--------------…c.1请求认证(NFCAUTH芯片指令).….(外部认证)2返回成功(状态字9000)…------图A.1NFC外部认证流程流程见图A.1,具体描述如下：11b)身份鉴别设备专用安全芯片返回指令响应数据。a)身份鉴别设备请求身份鉴别设备专用安全芯片进行认证，命令为NFCAUTH(芯片);b)身份鉴别设备专用安全芯片返回指令响应数据给身份鉴别设备。4身份鉴别设备与卡应用进行外部认证a)身份鉴别设备发送NFCAUTH命令给卡应用进行外b)卡应用返回认证成功(状态字9000),缓存认证状态。卡应用全芯片身份鉴别居民身份网络认证系统1.4请求授权数据…1.6返回授权数据并缓存…1.7拼装NFCGETDATA指令指令中的参数：业务类型-FC1.9返回身份认证凭据密文………1.10请求解密数据身份认证凭据授权数据)…12返回(身份认证凭证认证加密数据)认证接口认证服务接口图A.2NFC线下读取身份鉴别凭证流程T/OIDAA04—2025流程见图A.2，具体描述如下：身份鉴别设备使用身份鉴别设备专用安全芯片与卡应用完成外部认证流程。1身份鉴别设备请求身份鉴别应用服务端获取授权，身份鉴别应用服务端透传请求到居民身份网络认证系统，请求身份鉴别设备专用安全芯片读取身份鉴别凭证数据。a)身份鉴别设备读取身份鉴别设备专用安全芯片的SEID；b)身份鉴别设备专用安全芯片返回SEID；c)身份鉴别设备将SEID组装成请求数据到身份鉴别服务端请求授权；d)身份鉴别服务端通过向居民身份网络认证系统请求获取授权数据，参数为SEID；e)居民身份网络认证系统返回业务授权数据，身份鉴别服务端将授权数据返回到身份鉴别设备；f)身份鉴别设备拼装NFCGETDATA命令，参数为业务类型（值为FC，见表A.1）。表A.1业务类型2身份鉴别设备从卡应用读取数据a)身份鉴别设备发送NFCGETDATA命令给卡应用；b)卡应用返回身份认证凭据密文给身份鉴别设备；c)身份鉴别设备请求身份鉴别设备专用安全芯片解密数据，命令为NFCDECRYPT，参数为{身份认证凭据|授权数据}；d)身份鉴别设备