GLOBAL PLAT规范培训.ppt

1、根据a、1、全球平台、GP系统培训、a、2和全球平台的研究，GP组织全球平台是支付和通信行业的公司、政府部门和销售组织成立的组织，促进了跨行业的智能卡业务的实现。 目标是多用智能卡减少跨行业发展的障碍。 GP标准Visa、Global Platform与芯片卡制造商一起，发布了与硬件无关、与应用无关的卡管理标准。 这个新规范共同的安全和卡管理框架现在的主要版本是GP2.2、a、3、全球平台内容的概要、GP系统框架GP卡框架GP安全框架的生命周期管理Card Manager a、4、术语和定义、a、5、GP系统框架、a、6、GP系统框架、GP系统框架为卡发行者提供了管理java卡的管理框架。 G

2、P向发卡商提供了灵活地管理想用发卡商的卡执行应用程序的商业伙伴的方法。 GP允许发卡人与商业伙伴共享卡的部分控制权，给予发卡人最大的灵活性来管理卡。 最终的控件总是在发行卡的地方，但是GP允许发行卡的商业伙伴用发行卡的卡适当地管理自己的应用。a、7、GP卡的框架、a、8、运行时环境、其他应用程序提供与硬件无关的API接口，为卡上的应用程序提供安全的存储和执行空间，确保应用程序间代码和数据的独立性，向卡和外部通信服务ISS 例如，提供IEC 7816-4的ISO/IEC 14443-3 (可以从ATR了解卡支持的协议类型、逻辑信道等有关系列的信息)，a、9， 全球平台环境(open )，应用程序

3、提供API命令发布应用程序逻辑通道管理卡内容管理GP注册表，a，10， 选择GP API的API为应用程序提供服务卡所有者的验证、个人化和安全服务，为应用程序提供一些卡内容管理服务卡的锁定， 应用生命周期状态更新org.global platform.application org.global platform.securechannelorg.global platform.gpsystemorg.global platforg 安全域issuer安全域包括： 发行卡的代表Supplementary Security Domains的可选代表应用程序提供者强制存在的发行卡或其他代理程序co

4、ntrollignationalauthoritysecuritydomains 提高加载到卡上的所有应用程序的代码的安全策略的总结：安全域为所有者(卡发行者、应用程序提供者和认证机构)的应用程序提供的安全服务。 包括密钥处理、数据加密、数据解密、数字签名的生成和验证。 此外，a、12、Card content，此规范中定义的所有卡的内容最初都作为可执行的装载文件存在于卡上，一个可执行的装载文件可能存在于卡内的不可改变的存储区域(ROM )中，并且可以执行的装载文件如果在卡的制造过程中安装在卡上，并且位于不可变更(可禁止)的卡内的可变更存储区域(EEPROM )中，则可执行的安装文件可以在发行

5、前阶段或发行后阶段安装或删除。 a，13，Card content和每个可执行装载文件都包含一个或多个可执行模块，也称为应用程序代码。 安装应用程序时，从可执行模块创建实例，并与应用程序相关的数据一起存储在卡的可变存储区域中。 您可以删除任何应用程序的实例及其相关数据。 一个GP卡支持多个可执行安装文件、多个可执行模块和多个应用同时存在于一个GP卡上。 可以将a、14、卡管理器和CM看作是全局平台运行时环境中的三个实体。 发行者安全域。 持卡人的验证方法。a、15、GP安全框架、安全目标。 发行卡的责任。 应用提供者的角色。 管制认可中心机构。 卡上组件的安全要求。 GP提供的加密算法支持、a

6、、16、安全目标、GP的第一目标是在卡的生命周期中确保卡组件的安全性和完整性。为了保证运行时环境OPEN发行者的安全域的应用卡的安全性和完整性，GP对数据完整性资源的可用性进行秘密认证，a、17、发行者的安全责任发行者安全域(ISD ) 生成和加载的密钥的应用程序提供商的安全域根据卡和应用程序生命周期的管理、频率检查级别、应用程序权限和其他安全参数来确定安全策略，并在发行前或发行后管理应用程序代码的加载和安装，应用程序提供者加密并批准应用程序的加载、安装和交付，a、18、 应用程序提供者的安全责任生成自己的安全域或从可信第三方获取密钥，将与发行者一起生成的密钥加载到应用程序发行者的安全域中，以

7、提供满足发行者的安全标准和策略的应用程序根据策略预先从提供卡发行者获取应用代码的签名，并根据发行卡的安全策略返回在加载、安装、删除和交接过程中生成的收据。 a，19，控制许可证中心机构的安全责任，将为自己的安全域生成或检索的密钥和发行卡人一起加载到许可证中心机构的安全域中，根据自己定义的安全标准和策略，发行卡和应用a， 20、卡上组件的安全要求运行时安全要求OPEN安全要求发行者安全域要求CVM安全要求SD安全要求应用安全要求、a、21、卡生命周期、a、22、安全域、安全域是享有特权的应用程序，每个卡都是强制的安全域ISD的特性，ISD是安装在卡上的应用程序没有SD的生命周期，他的生命周期和卡

8、的生命周期相同，如果没有指定默认选择的应用程序，则默认选择ISD，a、24，汽车25、应用程序装载、a、26、应用程序安装、a、27、个人化支持、a、 28 .安全通信、所述应用会话之间的安全信道是三个安全级实体认证、完整性验证和秘密传送(传递机密数据，例如密钥)，所述安全信道用于在卡和外卡实体之间提供安全通信信道安全信道已开始操作安全信道，安全信道终止，a、29，安全通信，卡外实体使用对应的APDU命令，或卡上应用使用对应的API来进行安全信道会话此方法是建立显式安全通道。 对应的APDU命令可使卡上的外部实体向卡通知安全级别，这是卡的当前安全信道会话(完整性和/或机密性)。 卡外实体也可以选择要使用的密钥。a、30、安全通道协议号和安全通道协议显示了在安全域中实现了哪些具体的安全协议组和安全服务。 以下值可以用作安全信道协议标识符。 00不可用的01附录d安全信道协议01中定义的安全信道协议1 02附录e安全信道协议02中定义的安全信道协议2 03 to 7F在将来是全局多普勒80 to EF保留用于全球平台注册的个人用途。 F0 to FF是为未在全球平台上注册的个人保留的。 安全通道协议01与openplatformcardspecification版本2.