GPC_UICC Configuration_v2.0.pdf

1 简介

本文档规定了在 ETSI 规范 TS 102 221 [TS 102 221]、TS 102 223 [TS 102 223] 中指定的 UICC 平台上实施 GlobalPlatform 规范的配置要求，
TS 102 225 [TS 102 225] 和 TS 102 226 [TS 102 226]。
GlobalPlatform Common Implementation Configuration [GPC CIC] 的规定应适用，除非本文档中另有规定。实施支持的选项应由卡能力信息指示（参见第 3.2.2 节）

引用

3 UICC Security Policies

3.1.2.1 SCP“80”的附加要求
3.1.2.1.1 安全通道密钥集
SCP '80' 的密钥集是 [TS 102 225] 中定义的一组三个加密密钥：
• KIC：加密的密钥和算法标识符
• KID：冗余校验/加密校验和/数字签名的密钥和算法标识符
• DEK：解密和加密密钥
实施应支持 KIC 的以下选项：
• 外部 CBC 模式下的三重 DES 使用三个不同的密钥（即 24 字节三重 DES 密钥）
• 密钥长度为 128 位和 256 位的 AES
实施应支持以下 KID 加密校验和选项：
• 外部 CBC 模式下的三重 DES 使用三个不同的密钥（即 24 字节三重 DES 密钥）
在下文中，当 SCP '80' 支持被启用时，安全域被认为具有 SCP '80' 能力
在安装 SD 期间指定，并且 SD 至少有一个 SCP '80' 密钥集。

3.4 安全通道密钥的机密设置

安全通道密钥的机密设置是一种可选机制，允许对新创建的补充安全域的初始安全通道密钥进行机密设置。为启用此机制，在将卡提供给发行人（例如 MNO）之前，应安装并完全个性化控制权限安全域 (CASD)。 [Amd A] 中描述了 CASD 的功能要求。如果卡支持安全通道密钥的机密设置，那么 CASD 至少应支持 RSA 密钥长于 1024 位（如 [Amd A] 中定义）的场景#3 或场景#2B。可以支持其他场景。 CASD 实例应为紧凑和扩展格式分配以下 TAR 值：'B2 02 01'，如 [TS 101 220] 中所定义。 CASD 是补充安全域的特例，因此第 3.3 节中描述的所有要求都适用于 CASD

4 密钥要求

[GPC CIC] 第 4 章中定义的要求应适用，并具有以下附加精度：
• 密钥版本号“11”为[TS 102 226] 中指定的DAP 保留。
• 密钥版本号'74' 保留给CASD 密钥。有关详细信息，请参见 [Amd A] 第 3.3.2 和 3.3.3 节。

最初，补充安全域没有密钥，其相关安全域的密钥将用于建立安全通道会话。
可以根据以下规则使用 PUT KEY 命令或 STORE DATA 命令管理安全域的安全通道密钥：如果在 SCP '80' 安全通道中使用 PUT KEY 或 STORE DATA:

• 要创建或更新 SCP '80' 基本密钥，[TS 102 226] 中定义的命令格式应适用，要使用的 DEK 密钥根据 [TS 102 226] 定义。要创建或更新 KVN 大于“0F”的密钥，应使用当前 SCP 会话的 DEK 密钥。
• 要创建或更新SCP '02' 或SCP '03' 基本密钥，应应用第5.10 和5.13 节中定义的命令格式，并应使用当前SCP 会话的DEK 密钥。
• 要创建或更新SCP '81' 基本密钥，应应用第5.10 和5.13 节中定义的命令格式，并应使用当前SCP 会话的DEK 密钥。

如果在 SCP '02' 或 SCP '03' 安全通道中使用 PUT KEY 或 STORE DATA：
• 要创建或更新SCP '80' 基本密钥，应应用[TS 102 226] 中定义的命令格式，并应使用当前SCP 会话的DEK 密钥。
• 要创建或更新SCP '02' 或SCP '03' 基本密钥，应应用第5.10 和5.13 节中定义的命令格式，并应使用当前SCP 会话的DEK 密钥。
• 要创建或更新SCP '81' 基本密钥，应应用第5.10 和5.13 节中定义的命令格式，并应使用当前SCP 会话的DEK 密钥。

如果在 SCP '81' 安全通道中使用 PUT KEY 或 STORE DATA：
• 要创建或更新SCP '80' 基本密钥，应应用[TS 102 226] 中定义的命令格式，并且应使用[Amd B] 中定义的当前SCP 会话的DEK 密钥。
• 要创建或更新 SCP '02' 或 SCP '03' 基本密钥，应应用第 5.10 和 5.13 节中定义的命令格式，并应使用 [Amd B] 中定义的当前 SCP 会话的 DEK 密钥 .
• 要创建或更新 SCP '81' 基本密钥，应应用第 5.10 和 5.13 节中定义的命令格式，并且应使用 [Amd B] 中定义的当前 SCP 会话的 DEK 密钥。

当使用 [Amd A] 中定义的 CASE 场景 #3 为 SCP '80' 密钥集生成 AES MAC 密钥（KID）时，与该密钥关联的 MAC 长度应明确设置为 8 字节。