【YD通讯标准】 手机支付 多应用管理协议技术要求

ICS33.030
中华人民共和国通信行业行业标准YD/T3247—2017
手机支付多应用管理协议技术要求Mobile payment technical requirements for multi-applicationmanagementprotocol
2017-04-12发布
中华人民共和国工业和信息化部2017-07-01实施
1范围
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义
3.2缩略语..
多应用管理协议在网络中的位置4.2安全模块（SE）架构
4.3多应用管理协议功能概述
安全域（SD）
安全模块（SE）内容
生命周期模型
SE生命周期
可执行加载文件/可执行模块生命周期5.2
5.3安全域生命周期
5.4应用生命周期
生命周期示例
安全域..
主安全域
辅助安全域.
6.4委托管理
6.5安全域数据
7应用个人化
8安全通信..bzxz.net
8.1安全信道
8.2安全信道协议标识
附录A（规范性附录）APDU命令参考次
YD/T3247—2017
....11
YD/T3247—2017
本标准按照GB/T1.1一2009给出的规则起草请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准是手机支付系列标准之一，该系列标准的名称及预计结构如下：手机支付术语和定义
一手机支付总体技术要求
-手机支付基于13.56MHz近场通信技术的移动终端技术要求一手机支付基于13.56MHz近场通信技术的智能卡和内置安全模块技术要求手机支付基于2.45GHz射频技术的智能卡技术要求手机支付基于13.56MHz近场通信技术的非接触式销售点终端技术要求-手机支付基于2.45GHz射频技术的非接触式销售点终端技术要求手机支付基于13.56MHz和2.45GHz双频的非接触式销售点终端技术要求手机支付基于13.56MHz近场通信技术的非接触式射频接口技术要求一手机支付基于2.45GHz射频技术的非接触式射频接口技术要求手机支付智能卡和内置模块安全技术要求手机支付移动终端安全技术要求手机支付多应用管理技术要求
手机支付基于13.56MH近场通信技术的移动终端测试方法手机支付基于13.56MHz近场通信技术的智能卡和内置安全模块测试方法手机支付基于2.45GHz射频技术的智能卡测试方法手机支付基于13.56MHz近场通信技术的非接触式销售点终端测试方法-手机支付基于2.45GHz射频技术的非接触式销售点终端测试方法一手机支付基于13.56MHz和2.45GHz的双频非接销售点终端测试方法手机支付基于13.56MHz的非接触式射频接口测试方法-手机支付基于2.45GHz的非接触式射频接口测试方法手机支付智能卡和内置模块安全测试方法一手机支付移动终端安全测试方法一手机支付多应用管理测试方法本标准由中国通信标准化协会提出并归口。本标准起草单位：中国信息通信研究院、中国电信集团公司、中国移动通信集团公司、中国联合网络通信有限公司。
本标准主要起草人：崔媛媛、袁琦、王逊、姜志峰、高玲、乐祖晖、张强、纪洪明。I
1范围
手机支付多应用管理协议技术要求本标准规定了支持手机支付的多应用管理协议的要求。本标准适用于采用多应用管理协议的SE及可信服务管理平台。2规范性引用文件
YD/T3247-—2017
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。YD/T3147可信服务管理平台技术要求3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件：3.1.1
安全模块
SecurityElement
存放用户的安全信息，并存放与用户相关的近场通信应用及安全性要求较高的其他应用。安全模块可置于智能卡或终端中。3.1.2
发卡方Issuer
发放安全模块的发行和管理机构。3.1.3
数字签名DigitalSignature
允许接受者验证签名人的身份和数据完整性的数据单元。3.1.4
卡外实体
位于安全模块外部的实体，包括发卡方、应用提供方等实体。YD/T3247—2017
3.2缩略语
下列缩略语适用于本文件：
4概述
应用协议数据单元
卡识别码
主安全域
发卡方身份标识
近场通信
安全信道协议
安全模块
安全域
辅助安全域
多应用管理协议在网络中的位置Application Protocol Data UnitCard Image Number
Issuer Security Domain
Issuer Identification NumberNear Field Communication
Secure Channel Protocol
SecureElement
Secure Domain
SumplementarySecurityDomian
多应用管理协议是支持多应用的安全模块（SE）管理标准。在可信服务管理体系中，多应用管理协议是SE的多应用管理功能以及可信服务管理平台对SE的管理接口IF3，如图1所示。业务应用平台
其他可信服务
管理平台
可信服务管理平台
客户端
图1多应用管理协议在可信服务管理平台中的位置SE应支持多应用管理协议，为应用提供一个安全而私有的存放空间。通过多应用管理协议，可信服务管理平台可以实现对SE的管理，包括创建、删除、更新、锁定应用等操作。可信服务器平台的多应用管理协议见YD/T3147。
4.2安全模块（SE）架构
图2显示了一个SE上的组件，包括安全域、发卡方应用和应用提供方应用。2
主安全
辅助安
辅助安
多应用运行时环境
图2多应用SE架构
YD/T3247—2017
每个安全模块上包含了不同的应用，所有应用运行在一个安全的多应用运行时环境上。该运行时环境负责向所有应用提供一套独立于硬件的应用编程接口（API）。为了确保发卡方和其他应用提供方的密钥完全隔离，需要创建特殊的密钥和安全管理应用，称为安全域。其中，主安全域是发卡方安全域用来集中管理多应用框架安全模块。辅助安全域是某个应用提供方或控制机构在SE上的代表。4.3多应用管理协议功能概述
可信服务管理平台通过多应用管理协议是支持对多应用的安全模块（SE）的管理，可以实现对SE的如下功能：
多应用共存：通过将SE上不同的应用关联到对应的安全域，可实现不同应用间互不影响，安全运行。
应用动态下载：在SE发行后，可以从可信服务管理平台上动态下载应用。一动态空间管理：通过在SE上动态创建/删除安全域，可以实现录灵活、安全的SE空间管理一与应用匹配的安全策略：通过为不同的安全域创建对应的安全通道，确保不同应用采用与之相匹配的安全策略与卡外实体之间进行鉴权及安全会话。4.4安全域（SD）
安全域由发卡方创建，负责为SE提供各类安全服务，包括密钥管理、加解密、针对其安全域所有者的应用进行数字签名的生成与验证。通过安全域可以实现将各实体所使用的安全服务隔离开来。安全域可分为两类：
主安全域：也叫发卡方安全域，是SE管理者（发卡方）对SE内容进行管理时的操作代理，SE上应实现一个主安全域：
辅助安全域：是应用提供方或控制机构在SE上的操作代理，SE可选实现辅助安全域。4.5安全模块（SE）内容
SE内容包括SE应用，SE安全域。所有的SE内容以可执行加载文件（ExecutableLoadFile）的形式第一次出现在SE上。可执行加载文件可以存在于：3
YD/T3247—2017
SE中的不可擦除永久存储器（ROM）中，这种情况下，可执行加载文件在SE生产阶段装载，以后就不可再更改了（除被禁用）SE中的可擦除永久存储器中，这种情况下，可执行加载文件可以在发卡前或发卡后装载、删除。
每个可执行加载文件包含一个或多个可执行模块（ExecutableLoadModule），也叫应用代码。每个SE应支持多个可执行加载文件和多个可执行模块，使得多应用能够在同一个SE上共存。5生命周期模型
SE生命周期
SE生命周期状态包括：
运行环境就绪（OPREADY）
初始化（INITIALIZED）
安全（SECURED）
卡锁定（CARDLOCKED）
废止（TERMINATED）
SE生命周期状态变迁如图3所示，平台就绪
初始化
卡锁定
发卡方安全域
SE生命周期状态变迁
对SE的生命周期状态变迁说明如下：YD/T3247—2017
运行环境就绪（OP_READY）：SE运行环境已经准备就绪，主安全域作为当前选定应用，可以接收、执行和响应APDU命令。初始化（INITIALIZED）：从生产机构到发行机构发行SE的一个中间产品管理状态。初始化状态用于指示某些初始化数据已经载入（例如，主安全域密钥和数据）。从运行环境就绪状态到初始化状态变迁过程不可逆。安全（SECURED）：安全状态作用于发卡后。SE已经发行到最终用户，并已正式启用已装载的应用。在安全状态下，SE安全域和应用可以完全贯彻各自的安全策略。从初始化状态到安全状态的变迁过程不可递，
一卡锁定（CARDLOCKED）：在该状态下，禁止使用安全域和应用的功能，对SE内容的任何改变均不被允许。从安全状态到卡锁定状态变迁的过程是可逆的。废止（TERMINATED）：该状态表明SE及SE的生命周期完结。废止状态用于永久性禁用所有的SE功能。当SE出现严重的安全威胁或过期等原因时，该状态提供逻辑上销毁SE的机制。从其他任何状态均可变迁到废止状态，且状态变迁过程均不可逆。5.2可执行加载文件/可执行模块生命周期可执行加载文件包括一个或多个应用可执行代码（可执行模块）。主安全域在SE注册表中获取和维护可执行加载文件生命周期信息。可执行加载文件生命周期只能拥有一个状态，即LOADED状态。可执行模块的生命周期状态取决于可执行加载文件的生命周期状态。5.3安全域生命周期
安全域生命周期状态包括：
已安装（INSTALLED）；
可选择（SELECTABLE）；
个人化（PERSONALIZED）；
锁定（LOCKED）。
安全域生命周期状态迁移如图4所示。5
YD/T3247—2017
说明：
发卡方安全域（ISD）
安全域
已安装
可选择
个人化
图4安全域生命周期状态变迁
对安全域生命周期状态变迁的说明：已安装（INSTALLED）：该状态表明安全域已完成SE注册表条目注册，可以被卡外授权实体访问。该状态下安全域不能被选择，还无法提供安全域服务。可选择（SELECTABLE）：该状态表明安全域可以接收来自卡外实体的命令（如个人化命令）。该状态下安全域还没有密钥，无法与应用关联，因此还无法提供安全域服务。从已安装到可选择的状态变迁不可逆。
个人化（PERSONALIZED）：该状态表明安全域已完成个人化数据及密钥的装载，可以提供安全域服务。该状态下安全域已与应用相关联。从可选择到个人化的状态变迁不可逆。锁定（LOCKE）：主安全域或已授权卡外实体对安全域进行的控制手段，阻止安全域被选择。只有主安全域有权对安全域进行解锁，解锁后安全域回到解锁前状态。5.4应用生命周期
应用生命周期状态包括：
已安装（INSTALLED）：
可选择（SELECTABLE）；
一锁定（LOCKED）：
除上述状态外，应用也可以定义自已应用的状态。应用生命周期状态迁移如图5所示。6
说明：
已锁定
主安全域（ISD）
关联安全域
应用本身
已安装
可选择
应用特定状态
图5应用生命周期状态变迁
对应用的生命周期状态说明如下：YD/T3247—2017
已安装（INSTALLED）：该状态表明应用已完成所有必须的内存分配工作，已完成SE注册表条目注册。该状态下应用不能被选择可选择（SELECTABLE）：该状态表明应用可以接收卡外实体的命令。应用安装后只有在此状态下才可使用该应用。从已安装到可选择状态的变迁不可逆。锁定（LOCKED）：是主安全域或由主安全域授权的卡外实体对应用进行的控制手段，阻止应用被选择。应用被锁定后，只有主安全域和与应用关联的安全域有权对应用解锁，解锁后应用回到解锁前状态。
应用特定状态：应用自定义的状态。本标准不作说明5.5生命周期示例
本节给出一个SE整个生命周期（从制成到废止）的示例，如图6所示。应用可以在任何状态下被删除。同时，还给出了几个可执行加载文件、可执行模块和应用的状态，以及它们同SE生命周期的关系。
YD/T3247—2017
EXECUTABLE
LOADFILE
EXECUTABLE
MODULEA
install
ApplicationA
use Application A
AppligationA
Unusable
(END-OF-LIFB
EXECUTABLE
LOADFILE
EXECUTABLE:
MODULEB
install
CApplicationB
use Application B
DELETE
OPREADY
INITIALIZED
EXECUTABLE
LOADFILE
FEXECUTABLE
MODULEC
install
ApplicationC
use Application C
DELETE
SECURED
CARDLOCKED
TERMINATED
TEXECUTABLE
LOADFILE
PEXECUTABLE
MODULED
install
ApplicationD
EXECUTABLELOADFILE
\EXTCUTABLE
MODULEE
PEXECUTABLE
install
use ApplicationD
install
ApplicationF）
ApplicationE
use Application F
DELETE
use Application E
Application D and
Unusable
（END-OF-LIFE）
图6SE及应用生命周期示意
CEND-OF-LIFE
应用A：当SE生产时，应用代码以可执行加载文件中可执行模块的形式出现在可擦写永久存储器中。应用代码按照应用特定的方式安装。只要SE不处于卡锁定状态，代码将在SE整个生命周期中使用，直至SE被废止。
应用B：当SE生产时，应用代码以可执行加载文件中可执行模块的形式出现在ROM中。应用代码在SE初始化之前被安装。在SE被废止前，应用B及其可执行加载文件在SE整个生命周期的某个时刻被删除。因为应用B的可执行加载文件存储在ROM中，该应用无法从SE上物理删除。8
YD/T3247—2017
应用C：应用代码以可执行加载文件中可执行模块的形式出现，按照应用特定的方式加载。发卡后，当SE处于安全状态时安装该应用。在SE废止前，应用被使用了一段时间并随着它的可执行加载文件一起被删除。因为应用及其可执行加载文件存储在可擦写永久存储器中，将从存储器中删除该应用、相关可执行加载文件及其所有可执行模块，相应的存储器空间将会被回收并重新使用。应用D：应用代码以可执行加载文件中可执行模块的形式出现，按照应用特定的方式加载。只要SE不处于卡状态，应用D将在SE的整个生命周期中使用，直至SE被废正。应用E：应用代码以可执行加载文件中可执行模块的形式出现，在发卡后当SE处于安全状态时加载并安装。只要SE不处于卡锁定状态，应用E将在SE的整个生命周期中使用，直至SE被废止应用F：应用代码以同应用E相同的可执行加载文件中可执行模块的形式出现，在发卡后当SE处于安全状态时加载并安装。应用F在SE生命周期中的某个时刻被删除。6安全域
6.1概述
安全域是一种具有特殊权限的应用。他们拥有密钥用于安全信道的建立以及进行SE内容的管理，为应用提供安全服务。每一个应用以及可执行加载文件都与一个安全域相关联。应用可以使用它所关联的安全域提供的安全服务。
所有SE都应至少拥有一个主安全域。支持多安全域的SE允许应用提供方通过它所拥有的安全域来管理自已的应用，并使用安全域密钥向应用提供密码服务，这些安全域密钥与主安全域完全隔离，并且不受主安全域的控制。
安全域的主要功能：
一密钥隔离：每个安全域负责管理自已的密钥，以确保来自于不同应用提供方的应用及数据可以在同一张SE上共存，而不会破坏彼此的机密性及完整性提供应用服务：
·在应用进行个人化过程中提供安全通信支持：。为没有自己的安全消息密钥的应用提供运行时通信安全。6.2主安全域
主安全域，也叫发卡方安全域，是作为发卡方对SE内容进行管理时的操作代理。SE应实现主安全域应用。发卡方可以利用主安全域加载、安装、删除发卡方或其他应用提供方的应用。主安全域的主要职责包括：命令分发、应用选择、逻辑信道（LogicalChannel）管理、SE应用管理、应用提供API、为应用提供安全服务以及实现至少一种安全信道协议。详细如下：1）执行应用代码加载和相关的SE应用管理。2）负责安装SE上加载的应用。主安全域强制执行内容加载和安装的安全原则，包括应用代码的验证及代码的加载和（或）安装是否得到发卡方的授权。9
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。