GLOBAL-PLATFORM规范培训培训资料

GLOBALPLATFORM

——GP系统培训最新Globalplatform介绍GP组织GlobalPlatform是来自支付和通信行业的公司、政府部门、销售团体建立起来的一个组织，它是一个促进跨行业智能卡业务实现的全球组织.目标减少多应用智能卡跨行业开展的障碍.GP标准Visa、GlobalPlatform与芯片卡厂商一起发表了一份硬件无关、不依赖于应用的卡管理标准.这个新的标准提供了共同的平安及卡管理架构目前主要版本是GP2.2最新2Globalplatform内容概要GP系统构架GP卡片构架GP平安构架生命周期管理CardManager平安域平安通讯最新3术语和定义最新4GP系统构架最新5GP系统构架GP系统架构为卡发行者提供了管理java卡的管理架构.GP为卡发行者提供了灵活的方式来管理那些想在卡发行者的卡上运行应用的商业伙伴.GP允许卡发行者与商业伙伴共享卡片的局部控制权,给予了卡发行者最大的灵活性来管理他们的卡.最终的控制总是在卡发行者这里，但是通过GP，卡发行者的商业伙伴被允许在卡发行者的卡上适当的管理他们自己的应用.最新6GP卡片构架

最新7运行时环境负责为其它的应用提供硬件无关的API接口为卡片上应用提供平安的存储和运行空间确保应用间代码和数据的独立性为卡片和外界提供通讯效劳 ISO/IEC7816-3,ISO/IEC7816-4,ISO/IEC14443-3等〔.可以从ATR中得知卡片支持的协议类型，逻辑通道等系列相关信息〕最新8GlobalPlatformEnvironment

(OPEN)为应用提供API命令分发应用选择逻辑通道管理卡片内容管理管理GP注册表最新9GPAPIGP的API为应用提供效劳卡持有者的校验、个人化、平安效劳为应用提供了一些卡内容管理效劳卡的锁定、应用生命周期状态的更新org.globalplatform.Applicationorg.globalplatform.SecureChannelorg.globalplatform.GPSystemorg.globalplatform.CVM最新10平安域IssuerSecurityDomain强制存在代表卡片发行者SupplementarySecurityDomains可选的代表应用提供商，卡片发行者或者其他代理ControllingAuthoritySecurityDomains 一种特殊的SSD用于增强装载到卡里所有应用的代码的平安策略

总结：平安域为它们的所有者〔.卡发行者，应用提供者和控制授权中心机构〕的应用提供的平安效劳，包括：密钥处理，数据加密，数据解密，数字签名的生成和校验.最新11Cardcontent本标准所定义的所有卡内容最初在卡里是以可执行装载文件的形式存在的，一个可执行装载文件可能存在于： 卡内不可改变的存储区〔.ROM〕这种情况下，可执行装载文件在卡片生产过程中就被装载到卡里，并且不可被改变〔.可以被制止〕 卡内可变存储区中〔.EEPROM〕在这种情况下，可执行装载文件可以在发行前阶段或发行后阶段被装载或删除.

最新12Cardcontent每一个可执行装载文件包含一个或多个可执行模块，也叫应用的代码.应用的安装会从一个可执行模块里创立一个实例连同该应用相关的数据一起放入卡片的可变存储区中.任何应用的实例及其相关的数据都可以被移除.一个GP卡将支持多个可执行装载文件、多个可执行模块以及多个应用同时存在于一张GP卡上.最新13CardmanagerCM可以看作是以下三个实体： GlobalPlatform的运行时环境. 发行者平安域. 对卡持有者的校验方法.最新14GP平安构架平安目标.卡发行者的职责.应用提供者的职责.控制授权中心机构.对卡上组件的平安要求.GP提供的加密算法支持最新15平安目标GP的首要目标是在卡的生命周期中保证卡组件的平安性和完整性.这些组件包括： 运行时环境 OPEN 发行者平安域 平安域 应用为了保证卡的平安性和完整性，GP被设计用来支持以下范围内的平安机制： 数据的完整性 资源的可利用性 保密性 可认证最新16卡发行者平安职责生成并装载发行者平安域(ISD)密钥创立和初始化应用提供商的平安域为卡及应用生命周期的管理、频率检查的级别、应用权限、其它的平安参数确定平安策略在发行前或发行后阶段，管理应用代码的装载和安装以加密的方式批准应用提供者进展应用的装载、安装和移交最新17应用提供商平安职责为其自己的平安域生成或从可信任的第三方获得密钥与卡发行者一起将生成的密钥装入应用提供者的平安域提供满足发行者平安标准和策略的应用按照应用提供者的平安策略提供给用代码的签名从卡发行者那里预先获得执行应用装载、安装和移交操作的授权按照卡发行者的平安策略，返回在装载、安装、删除和移交过程中生成的收条最新18控制授权中心机构的平安职责为其自己的平安域生成或从可信任的第三方获得密钥与卡发行者一起将生成或取得的密钥装入控制授权中心机构的平安域按照其自身定义的平安标准及策略为卡发行者和应用提供者提供给用代码的签名最新19卡上组件平安要求运行时平安要求OPEN平安要求发行者平安域要求CVM平安要求SD平安要求应用平安要求最新20卡片生命周期最新21平安域平安域是一种享有特权的应用每个卡片都有一个强制的平安域ISD最新22ISD的特性ISD是卡片上安装的得一个应用不具备SD的生命周期，他的生命周期跟卡的生命周期一样如果没有指定默认选择的应用，ISD会被默认选择最新23卡内容装载和安装最新24应用装载最新25应用安装最新26个性化支持最新27平安通讯应用会话期间，平安通道在卡和卡外实体之间提供一个平安通信通道三个平安级别实体认证完整性校验机密传输〔.传递密钥等敏感数据〕平安通道会话分为三个阶段： 平安通道发起 平安通道操作 平安通道终止最新28平安通讯卡外实体使用相应的APDU命令或者卡上应用使用相应的API可以发起一个平安通道会话.这种方法就是显式平安通道的建立.相应的APDU命令允许卡外实体通知卡当前平安通道会话〔.完整性和/或保密性〕所需要的平安级别.卡外实体也可以选择使用的密钥.最新29平安通道协议号平安通道协议标志着在平安域中实现的是哪一个具体的平安通讯协议和一组平安效劳.以下的值可以作为平安通道协议标识符： '00'–不可用 '01'–定义在附录DSecureChannelProtocol'01'中的平安通道协议1 '02'–定义在附录ESecureChannelProtocol'02'中的平安通道协议2 '03'to'7F'–保存GlobalPlatform将来使用. '80'to'EF'–保存用于GlobalPlatform注册的个人用途. 'F0'to'FF'–保存用于未被GlobalPlatform注册的个人用途.平安通道协议'01'是向后兼容OpenPlatformCardS