IC卡國際標(biāo)準(zhǔn).ppt

1、1,第二章 IC卡國際標(biāo)準(zhǔn),主要內(nèi)容,2.1 概述 2.2 ISO 7816-1，接觸式IC卡的物理特性 2.3 ISO 7816-2，接觸式IC卡的觸點(diǎn)尺寸和位置 2.4 ISO 7816-4，行業(yè)間交換用命令,2.1 概述,2.1.1 接觸式IC卡概述 2.1.2 接觸式IC卡的國際標(biāo)準(zhǔn) 2.1.3 非接觸式IC卡概述 2.1.4 非接觸式IC卡的國際標(biāo)準(zhǔn) 2.1.5 與應(yīng)用相關(guān)的標(biāo)準(zhǔn),2.1.1 接觸式IC卡概述,所謂接觸式IC卡，就是在使用時(shí)，通過有形的金屬電極觸點(diǎn)將卡的集成電路與外部接口設(shè)備直接接觸連接，提供集成電路工作的電源并進(jìn)行數(shù)據(jù)交換的IC卡。 其特點(diǎn)是在卡的表面有符合ISO/

2、IEC 7816標(biāo)準(zhǔn)的多個(gè)金屬觸點(diǎn)。,2.1.2 接觸式IC卡的國際標(biāo)準(zhǔn),ISO（International Standard Organization）：國際標(biāo)準(zhǔn)化組織 IEC（International Electrotechnical Commission）：國際電子技術(shù)委員會(huì) 在信息技術(shù)領(lǐng)域，ISO和IEC共同建立了一個(gè)技術(shù)委員會(huì)，即ISO/IEC JTC1，被該委員會(huì)所采納的國際標(biāo)準(zhǔn)草案由各國家團(tuán)體投票，被發(fā)布作為國際標(biāo)準(zhǔn)至少需要得到75%參加投票的國家團(tuán)體的贊成。,接觸式IC卡國際標(biāo)準(zhǔn)的總名稱為：識(shí)別卡接觸式集成電路卡；國際標(biāo)準(zhǔn)為ISO/IEC 7816。 ISO 7816-1，

3、物理特性 ISO 7816-2， 觸點(diǎn)尺寸和位置 ISO/IEC 7816-3，電信號(hào)和傳輸協(xié)議 ISO/IEC 7816-4，行業(yè)間交換用命令 ISO/IEC 7816-5，應(yīng)用標(biāo)識(shí)符號(hào)系統(tǒng)和 注冊(cè)過程,ISO/IEC 7816-6， 行業(yè)間數(shù)據(jù)元 ISO/IEC 7816-7， 關(guān)于結(jié)構(gòu)化卡詢問語言的行業(yè)間命令 ISO/IEC 7816-8， 與安全有關(guān)的行業(yè)間命令 ISO/IEC 7816-9， 附加的行業(yè)間命令和復(fù)位應(yīng)答 ISO/IEC 7816-10，用于同步卡的電信號(hào)和復(fù)位應(yīng)答,2.1.3 非接觸式IC卡概述,非接觸式IC卡，又稱射頻卡、感應(yīng)卡，通信時(shí)不需要觸點(diǎn)接觸。 非接觸式IC

4、卡由IC芯片和感應(yīng)天線組成，并完全密封在一個(gè)標(biāo)準(zhǔn)尺寸的卡片中，無外露部分。 非接觸式IC卡的讀、寫通過射頻電磁波的發(fā)射與接收來完成。,2.1.4 非接觸式IC卡的國際標(biāo)準(zhǔn),ISO/IEC 10536 ISO/IEC 14443 ISO/IEC 15693,2.1.5 與應(yīng)用相關(guān)的標(biāo)準(zhǔn),在卡片國際標(biāo)準(zhǔn)的基礎(chǔ)上，國內(nèi)的行業(yè)監(jiān)管部門都在此基礎(chǔ)上制定了多個(gè)行業(yè)應(yīng)用規(guī)范，指導(dǎo)本行業(yè)的智能卡應(yīng)用發(fā)展。 中國金融集成電路（IC）卡規(guī)范（1998年） 社會(huì)保障（個(gè)人）卡規(guī)范（2000年） 中國石化加油集成電路（IC）卡應(yīng)用規(guī)范（2001年）,EMV標(biāo)準(zhǔn),EMV標(biāo)準(zhǔn)是由國際三大銀行卡組織-Europay(歐陸卡

5、,已被萬事達(dá)收購）、MasterCard和Visa共同發(fā)起制定的銀行卡從磁條卡向智能IC卡轉(zhuǎn)移的技術(shù)標(biāo)準(zhǔn)，是基于IC卡的金融支付標(biāo)準(zhǔn)，目前已成為公認(rèn)的全球統(tǒng)一標(biāo)準(zhǔn)。 其目的是在金融IC卡支付系統(tǒng)中建立卡片和終端接口的統(tǒng)一標(biāo)準(zhǔn)，使得在此體系下所有的卡片和終端能夠互通互用。 目前正式發(fā)布的版本有EMV96和EMV2000,2.2 ISO 7816-1，接觸式IC卡的物理特性,接觸式IC卡的基本構(gòu)成,此外，還提出了以下附加特性 防護(hù)紫外線的能力 X光照射的劑量 觸點(diǎn)的表面輪廓 卡和觸點(diǎn)的機(jī)械強(qiáng)度 觸點(diǎn)電阻 磁條與集成電路之間的電磁干擾 指定強(qiáng)度磁場(chǎng)的影響 靜電影響 熱耗等,2.3 ISO 7816-

6、2，接觸式IC卡的觸點(diǎn)尺寸和位置,接觸式IC卡有8個(gè)觸點(diǎn)，即集成電路引腳，從C1到C8。國際標(biāo)準(zhǔn)ISO/IEC 7816-2對(duì)接觸式集成電路卡的觸點(diǎn)尺寸和芯片位置以及功能作了具體的規(guī)定。,接觸式IC卡的觸點(diǎn)尺寸和位置,接觸式IC卡的觸點(diǎn)功能,2.4 ISO78164，行業(yè)間交換用命令,ISO7816-4規(guī)定的范圍 在接口設(shè)備與IC卡之間傳送的命令和應(yīng)答信息的內(nèi)容 在卡中的文件和數(shù)據(jù)的訪問方法 定義在卡中的文件和數(shù)據(jù)訪問權(quán)限的安全結(jié)構(gòu) 安全報(bào)文的交換方法 等等,2.4 ISO78164，行業(yè)間交換用命令,2.4.1 數(shù)據(jù)結(jié)構(gòu) 2.4.2 卡的安全結(jié)構(gòu) 2.4.3 應(yīng)用協(xié)議數(shù)據(jù)單元（APDU）的信

7、息結(jié)構(gòu) 2.4.4 基本行業(yè)間命令,2.4.1 數(shù)據(jù)結(jié)構(gòu),文件的組織結(jié)構(gòu) 數(shù)據(jù)訪問方式,1 、文件的組織結(jié)構(gòu) 主文件MF（master file）根文件，必有的。 專用文件 DF (dedicated file)，可選的。 基本文件 EF (elementary file) ，可選的。,基本文件的結(jié)構(gòu),透明結(jié)構(gòu)（二進(jìn)制文件） 具有固定長度記錄的線性文件（定長記錄文件） 具有可變長度記錄的線性文件（變長記錄文件） 具有固定長度記錄的環(huán)形文件（循環(huán)定長記錄文件）,2、 數(shù)據(jù)訪問方式 文件訪問方式 數(shù)據(jù)訪問方式 數(shù)據(jù)單元（二進(jìn)制文件） 記錄（記錄文件）,文件訪問方式,當(dāng)文件不能被默認(rèn)選擇時(shí)，可采用：

8、 利用文件標(biāo)識(shí)符 MF標(biāo)識(shí)符=3F00 利用短文件標(biāo)識(shí)符 短文件標(biāo)識(shí)符有5位代碼 利用DF名字 DF名字長度（1-16字節(jié)）,數(shù)據(jù)訪問方式 對(duì)數(shù)據(jù)單元的訪問,對(duì)數(shù)據(jù)單元的訪問由命令的偏移值給出 其下一個(gè)數(shù)據(jù)單元的位置由命令的偏移值加1后產(chǎn)生,數(shù)據(jù)訪問方式 對(duì)記錄的訪問,在記錄結(jié)構(gòu)的EF中，可以用記錄標(biāo)識(shí)符或記錄號(hào)訪問，（無符號(hào)8位整數(shù)，值01-FE，00、FF保留） 在一個(gè)記錄文件中，每一個(gè)記錄的記錄號(hào)是唯一的，且是順序安排的 變長記錄文件中的記錄一般采用 TLV格式，每條記錄的第一個(gè)字節(jié)為記錄標(biāo)識(shí)符。,TLV T（Tag）字段為單字節(jié)，其值從1到254，例如用作記錄標(biāo)識(shí)符 L（Length）

9、字段由1個(gè)字節(jié)或3個(gè)字節(jié)組成。 如L字段的第1個(gè)字節(jié)的內(nèi)容從00到FE，則表示L字段由1個(gè)字節(jié)組成 如為FF，則標(biāo)識(shí)第2、3兩個(gè)字節(jié)表示L的值，即L字段由3個(gè)字節(jié)組成 V（Value）字段為實(shí)際數(shù)據(jù),2.4 ISO78164，行業(yè)間交換用命令,2.4.1 數(shù)據(jù)結(jié)構(gòu) 2.4.2 卡的安全結(jié)構(gòu) 2.4.3 應(yīng)用協(xié)議數(shù)據(jù)單元（APDU）的信息結(jié)構(gòu) 2.4.4 基本行業(yè)間命令,2.4.2 卡的安全結(jié)構(gòu),主要涉及三方面內(nèi)容 安全狀態(tài)（=卡片狀態(tài)/應(yīng)用狀態(tài)） 安全屬性（=文件訪問權(quán)限） 安全機(jī)制 在執(zhí)行命令或訪問文件時(shí)，安全狀態(tài)要與安全屬性進(jìn)行比較,1、安全狀態(tài),安全狀態(tài)表明完成下列操作后的當(dāng)前狀態(tài) 復(fù)位

10、應(yīng)答 通過通行字password認(rèn)證（例如使用檢驗(yàn)命令Verify Command） 通過密鑰認(rèn)證（例如使用一條取口令命令Get Challenge Command，后跟一條外部鑒別命令External Authenticate Command）,2、安全屬性,安全屬性定義了文件或者文件某一部分的訪問的權(quán)限 每一個(gè)文件有與其相聯(lián)系的安全屬性，應(yīng)滿足一定的安全條件，才允許對(duì)文件進(jìn)行操作 文件的安全屬性依賴于文件的種類。,3、安全機(jī)制,通行字鑒別 卡與讀卡器的相互鑒別 保證數(shù)據(jù)的完整性 保證數(shù)據(jù)的保密性,2.4 ISO78164，行業(yè)間交換用命令,2.4.1 數(shù)據(jù)結(jié)構(gòu) 2.4.2 卡的安全結(jié)構(gòu) 2

11、.4.3 應(yīng)用協(xié)議數(shù)據(jù)單元（APDU）的信息結(jié)構(gòu) 2.4.4 基本行業(yè)間命令,2.4.3 應(yīng)用協(xié)議數(shù)據(jù)單元（APDU）的信息結(jié)構(gòu),APDU：Application Protocol Data Unit 應(yīng)用協(xié)議的操作步驟： 讀卡器發(fā)送一個(gè)命令（command） 在接收此命令的實(shí)體中進(jìn)行處理 卡回送一個(gè)應(yīng)答（response） 特點(diǎn)：命令應(yīng)答 成對(duì) 接口設(shè)備卡間的互傳,命令信息和應(yīng)答信息可包含數(shù)據(jù)，也可不包含數(shù)據(jù)，有4種數(shù)據(jù)組合： 命令無數(shù)據(jù)，應(yīng)答無數(shù)據(jù)； 命令無數(shù)據(jù)，應(yīng)答有數(shù)據(jù)； 命令有數(shù)據(jù)，應(yīng)答無數(shù)據(jù)； 命令有數(shù)據(jù)，應(yīng)答有數(shù)據(jù)。,1、命令A(yù)PDU,命令A(yù)PDU包含一個(gè)必備的命令頭（4字節(jié)）和

12、一個(gè)可選的可變長度的命令體。,命令頭（4字節(jié)）,命令體,命令頭 類別字節(jié) CLA 指令字節(jié) INS 參數(shù)字節(jié) P1 參數(shù)字節(jié) P2,命令頭（4字節(jié)）,命令體,1） 類別字節(jié)CLA CLA的編碼和意義，見表4.6/8.2&8.3。 2）指令字節(jié)INS指令碼,3）參數(shù)字節(jié)P1、P2 P1、P2可為任意值，如不用該參數(shù)則將它置成“00”,命令頭（4字節(jié)）,命令體,命令體 Lc為體內(nèi)數(shù)據(jù)長度 Data為發(fā)送的數(shù)據(jù) Le為期望應(yīng)答數(shù)據(jù)字段的長度,命令A(yù)PDU的四種結(jié)構(gòu),2、應(yīng)答APDU,應(yīng)答APDU由可變長度的體（可選的）和2字節(jié)尾部（必備的）組成：,可變長度的體,2字節(jié)尾部,1）Data 接收設(shè)備接收

13、命令A(yù)PDU并進(jìn)行處理后送回發(fā)送設(shè)備的數(shù)據(jù)，其字節(jié)數(shù)由命令A(yù)PDU的Le指出 2）狀態(tài)碼SW1/SW2 卡接收到命令并經(jīng)過處理后送出的應(yīng)答信號(hào)，指出卡的處理狀況,SW1 - SW2,正常處理,警告,執(zhí)行錯(cuò)誤,檢查錯(cuò)誤,9000 61XX,62XX,63XX,64XX,65XX,67 XX 6FXX,狀態(tài)碼的結(jié)構(gòu)圖,2.4 ISO78164，行業(yè)間交換用命令,2.4.1 數(shù)據(jù)結(jié)構(gòu) 2.4.2 卡的安全結(jié)構(gòu) 2.4.3 應(yīng)用協(xié)議數(shù)據(jù)單元（APDU）的信息結(jié)構(gòu) 2.4.4 基本行業(yè)間命令,2.4.4 基本行業(yè)間命令,這些命令是在接口設(shè)備和IC卡之間傳送的（適用于內(nèi)含微處理器的智能卡）。 IC卡接收到

14、命令后，由片內(nèi)操作系統(tǒng)COS（chip operating system）分析命令，并由卡內(nèi)的中央處理部件CPU執(zhí)行。,實(shí)驗(yàn)平臺(tái),2.4.4 基本行業(yè)間命令,管理卡和文件的命令 數(shù)據(jù)單元處理命令 記錄處理命令 安全處理命令,1、管理卡和文件的命令,1）創(chuàng)建文件命令（Create File） 功能 創(chuàng)建一個(gè)文件，該文件直接處于當(dāng)前DF之下 使用條件與安全 在同一個(gè)DF中不允許存在多個(gè)具有相同文件標(biāo)識(shí)符的EF。 僅在安全狀態(tài)滿足當(dāng)前DF安全屬性的情況下才能只能該命令。 命令與應(yīng)答信息,2）選擇文件命令（Select File） 功能 選擇一個(gè)文件作為當(dāng)前文件 使用條件與安全 命令與應(yīng)答信息,3）刪

15、除文件命令（Delete File） 功能 刪除指定的DF或EF文件 使用條件與安全 MF不允許被刪除 命令與應(yīng)答信息,2、數(shù)據(jù)單元處理命令,1）讀二進(jìn)制命令（ Read Binary ） 功能 讀出基本文件（EF）內(nèi)容 使用條件與安全 命令中需包含一個(gè)有效的文件標(biāo)識(shí)符 僅當(dāng)安全狀態(tài)與此EF的安全屬性相適應(yīng)，才執(zhí)行,命令與應(yīng)答信息,SW190，且SW200 正確執(zhí)行 SW162，且SW2 81 部分返回?cái)?shù)據(jù)可能是錯(cuò)的； 82 在讀出Le字節(jié)之前，文件已結(jié)束。 SW167，且SW200 長度錯(cuò)誤（錯(cuò)誤Le域）； SW16A，且SW2 81 功能不支持； 82 沒有找到文件。,SW1-SW2值,S

16、W169，且SW2 81 命令與文件組織不適配； 82 安全狀態(tài)不滿足； 86 命令不允許（沒有當(dāng)前EF） SW16B，且SW200 參數(shù)錯(cuò)誤（偏移值超出EF）。 SW16C，且SW2 長度錯(cuò)誤（Le有錯(cuò)， 指出合適的長度）。,2）寫二進(jìn)制命令（ Write Binary ） 功能 將二進(jìn)制數(shù)據(jù)寫入基本文件（EF） 3）修改二進(jìn)制命令（ Update Binary ） 功能 修改已存在于EF中的某些數(shù)據(jù)，修改內(nèi)容由命令A(yù)PDU給出。,3、記錄處理命令,1）讀記錄命令（ Read Record） 功能 讀記錄命令的應(yīng)答信息給出EF中指定記錄（或記錄的開始部分）的內(nèi)容。,2）寫記錄命令（ Writ

17、e Record） 功能 在規(guī)定EF中寫入一條記錄 3）追加記錄命令（Append Record） 功能 在線性結(jié)構(gòu)EF末端增加一個(gè)記錄或在環(huán)形結(jié)構(gòu)EF寫入編號(hào)為1的記錄。,4、安全處理命令,1）內(nèi)部鑒別命令（Internal Authenticate） 功能 使用接口設(shè)備送來的口令（challenge）和存儲(chǔ)在卡中的有關(guān)秘密（例如密鑰）進(jìn)行鑒別數(shù)據(jù)的計(jì)算。,2）外部鑒別命令（External Authenticate） 功能 利用卡的計(jì)算結(jié)構(gòu)（是或否）有條件地修改安全狀態(tài)，該結(jié)果基于卡以前發(fā)出的口令（例如用Get Challenged Command）、秘密存儲(chǔ)在卡中的密鑰和接口設(shè)備發(fā)送的鑒

18、別數(shù)據(jù)。,3）取口令命令（Get Challenge） 功能 本命令需要得到一個(gè)口令（如隨機(jī)數(shù)），用于安全有關(guān)的過程（如External Authenticate Command）。 4）驗(yàn)證命令（Verify） 功能 將來自接口設(shè)備的驗(yàn)證數(shù)據(jù)和存儲(chǔ)在卡中的參照數(shù)據(jù)進(jìn)行比較，根據(jù)比較結(jié)構(gòu)修改安全狀態(tài)。,5）HASH操作 功能 在卡內(nèi)完成哈什運(yùn)算 6）數(shù)字簽名（Compute Digital Signature） 功能 用私鑰對(duì)數(shù)據(jù)域中的數(shù)據(jù)進(jìn)行簽名運(yùn)算 7）數(shù)字簽名驗(yàn)證（Verify Digital Signature） 功能 用指定的公鑰對(duì)數(shù)據(jù)域中的簽名進(jìn)行驗(yàn)證。,本章小結(jié),1、接觸式IC卡的基本概念及其國際標(biāo)準(zhǔn) 8個(gè)觸點(diǎn) ISO/IEC 7816標(biāo)準(zhǔn) 2、非接觸式IC卡的基本概念及其國際標(biāo)準(zhǔn) 射頻卡，表面無觸點(diǎn)，內(nèi)部有天線 ISO/IEC 14443標(biāo)準(zhǔn)（近耦合卡） 3、 ISO/IEC 7816-1和7816-2（接觸式IC卡的物理特性、觸點(diǎn)尺寸和位置）,4、 ISO/IEC 7816-4 1）數(shù)據(jù)結(jié)構(gòu) MF、DF和EF 對(duì)文件的訪問（文件標(biāo)識(shí)符） 對(duì)數(shù)據(jù)的訪問 命令中給定偏移值（二進(jìn)制文件） 記錄號(hào)/記錄標(biāo)識(shí)符（記錄文件） 2）安全結(jié)構(gòu) 安全狀態(tài)、安全屬性、安全機(jī)制,3）IC卡和讀寫器之間數(shù)據(jù)交換的結(jié)構(gòu) 命令A(yù)PDU 命令頭：CLA INS P