基于SIM卡的数字身份 身份鉴别设备专用安全芯片应用接口要求

2基于SIM卡的数字身份身份鉴别设备专用安全芯片应用接口要求本文件规定了身份鉴别设备专用安全芯片的应用接2规范性引用文件GB/T32907—2016信息安全技术SM4分组GB/T35276—2017信息安全技术SM2密码算法使用3术语、定义和缩略语3.1术语和定义T/OIDAAXXX—XXXX界定的术语和定义适用于3.2缩略语SM4分组密码算法（SM4blockcipheralMAC消息校验码（MessageAuthentNFC近场通信（NearFieldcommuni用户识别卡（SubscriberIdentit安全模块标识（SecureElemen4命令说明34.1命令格式4.1.1命令组成表1命令组成4.1.2命令格式分类表2命令格式分类4.2响应格式表3响应格式5应用命令5.1.1功能描述5.1.2命令格式4无无5.1.3响应格式118M身份鉴别设备专用12书M5.2NFCAUTH命令5.2.1功能描述5.2.2命令格式表7NFCAUTH命令格式a)P1参数格式描述：表8NFCAUTHP1参数格式50-------1-------b)数据域格式如下表所示：表9NFCAUTH数据域格式值11使用身份鉴别设备专用安全芯M12M11M5.2.3响应格式表10NFCAUTH响应数据值11使用身份鉴别设备专用安全芯片的私钥对{RANDA|RANDB}M表11NFCAUTH响应状态码5.3GETSTATUS命令5.3.1功能描述65.3.2命令格式表12GETSTATUS命令格式无无5.3.3响应格式表13GETSTATUS响应数据1表14GETSTATUS响应状态码5.4NFCDECRYPT命令5.4.1功能描述5.4.2命令格式表15NFCDECRYPT命令格式7a)P1参数格式：表16NFCDECRYPTP1参数格式00------10------01 b)数据域格式如下表所示：表17NFCDECRYPT数据域格式MM0OOOMAC4M11C5.4.3响应格式表18NFCDECRYPT响应数据M0OOO表19NFCDECRYPT响应状态码85.5GETSEID命令5.5.1功能描述此命令用于从身份鉴别设备专用安全芯片中获取SEID，若身份鉴别设备专用安全芯片中不存在5.5.2命令格式表20GETSEID命令格式无无5.5.3响应格式表21GETSEID响应数据M表22GETSEID响应状态码9业务流程SIM卡卡应用身份鉴别设备MA.1NFC外部认证流程SIM卡卡应用身份鉴别设备M身份鉴别设备专用安全芯片a.1请求认证初始化（NFCINIT芯片指令） a.4返回{MsgA|Sign}CT22SEL卡应用指令ECT卡应用指令ECT执行返回执行返回NFCINIT数{MsgA|Sign}9（外部9MAC认证初始化）MACb.返回{b.返回{sgBsgB|SignB|}c.1请求认证NFCAUTH（芯片指令）{MsgB|SignB|MAC} c.6返回{MsgC|SignC|MAC}d.1MsgC|SignC|MAC）部认证）d.5返回成功d.5返回成功（状态字9000）（状态字9000）流程描述：1身份鉴别设备请求认证初始化a)身份鉴别设备请求身份鉴别设备专用安全芯片认证初始化，命令为NFCINIT（芯片b)身份鉴别设备专用安全芯片返回{MsgA}。2身份鉴别设备与卡应用进行外部认证初始化。a)选择卡应用；b)身份鉴别设备发送NFCINIT命令到卡应用，进行外部认证初始化，参数为MsgA；c)卡应用返回{MsgB（*RandB|SIM卡证书）|SignB}。3身份鉴别设备请求外部认证a)身份鉴别设备请求身份鉴别设备专用安全芯片进行认证，命令为NFCAUTH（芯片b)身份鉴别设备专用安全芯片返回{SignC}给身份鉴别设备。4身份鉴别设备与卡应用进行外部认证a)身份鉴别设备发送NFCAUTH命令给卡应用进行外部认证，参数为{SignC}；b)卡应用返回认证成功（状态字9000），缓存认证状态。身份鉴别设备专用安全芯片身份鉴别设备1.3请求授权数据（SEID）1.4请求授权数据（SEID）1.5返回授权数据1.6返回授权数据并缓存1.7拼装NFCGETDATA指令1.8身份鉴别设备专用安全芯片身份鉴别设备1.3请求授权数据（SEID）1.4请求授权数据（SEID）1.5返回授权数据1.6返回授权数据并缓存1.7拼装NFCGETDATA指令1.8NFCGETDATA{总长度|身份鉴别凭证密文|MAC}（NFCDECRYPT指令）|MAC|授权数据)1.11解密处理1.14调用身份凭证验证接口<<1.15返回验证结果SIM卡流程描述：身份鉴别设备使用身份鉴别设备专用安全芯片与卡应用完成外部认证流程。1身份鉴别设备请求身份鉴别应用服务端获取授权，身份鉴别应用服务端透传请求到居民身份网络认证系统，请求身份鉴别设备专用安全芯片读取身份鉴别凭证数据。a)身份鉴别设备读取身份鉴别设备专用安全芯片的SEID；b)身份鉴别设备专用安全芯片返回SEID；c)身份鉴别设备将SEID组装成请求数据到身份鉴别服务端请求授权；d)身份鉴别服务端通过向居民身份网络认证系统请求获取授权数据，参数为SEID；e)居民身份网络认证系统返回业务授权数据，身份鉴别服务端将授权数据返回到身份鉴别设备；f)身份鉴别设备拼装NFCGETDATA命令，参数为业务类型（值为FC）。2身份鉴别设备从卡应用读取数据。a)身份鉴别设备发送NFCGETDATA命令给卡应用；b)卡应用返回{总长度|身份鉴别凭证密文|MAC}给身份鉴别设备；c)身份鉴别设备请求身份鉴别设备专用安全芯片解密数据，命令为NFCDECRYPT，参数为{总长度|身份鉴别凭证密文|MAC|授权数据}；d)身份鉴别设备专用安全芯