YD_T 3202-2016移动通信终端访问电信智能卡安全技术要求.pdf

ICS 33.050.01M 30YD中华人民共和国通信行业标准YD/T 3202—2016移动通信终端访问电信智能卡安全技术要求Access controlrequirements fortelecom smartcard2016-10-22发布2017-01-01实施中华人民共和国工业和信息化部发布 YD/T 3202—2016目次前言II范围.2规范性引用文件，3术语、定义和缩略语，3.1术语和定义3.2缩略语4电信智能卡访间控制概述4.1简介，4.2系统架构，5电信智能卡访间控制规则要求..35.1访问控制规则文件要求，35.2电信智能卡接口要求移动通信终端访间控制技术要求.116.1概述6.2应用签名证书获取要求，126.3规则加载要求126.4规则匹配要求，13附录A（资料性附录）规则率例18 YD/T 3202—2016表5确访问控制条件文件定义（ACCF）（续）Bytes No.描述M/OLength/byte1~#访间控制条件包括如下内客：M1.证书的哈希值（M)2.访间控制规期：APDU许可策略（O)NFC许可策略（O)以上内容采用ASN.1格式定义，见后续说明访间控制条件采用如下ASN.1语法定义：-- A Condition entryCondition SEQUENCE - the hash of the certificate of the authorized entity-- if not indicated, then the Rule pointing to this Condition- applies to allthe device applicationscert CertHash OPTIONAL,accessRules [0]AccessRules OPTIONAL,~ RFUah SHA1 of the certificate of the authority being granted accessCertHash := OCTET STRING (SIZE(20)-- Each type of AccessRule can occur not more than once-- in this sequenceAccessRules := SEQUENCE OF AccessRuleAccessRule :CHOICE (apduAccessRule [0]APDUAccessRule,nfcAccessRule [1JNFCAccessRuleAPDUAccessRule = CHOICE (apduPermission [0] APDUPermission,apduFilter [1] APDUFilters RFU8 YD/T 3202—2016-- TRUE means APDU access is allowed,- FALSE means APDU access is not allowedAPDUPermission =BOOLEAN-- Each APDU filter is a 8 byte octet string:-- 4-byte header and 4-byte maskAPDUFilters =SEQUENCE OF APDUFilterAPDUFilter := OCTET STRING (SIZE(8)NFCAccessRule := CHOICE (nfePermission [0] NFCPermission,-- RFU3-- TRUE means NFC event is allowed,-- FALSE means NFC event is not allowedNFCPermission := BOOLEAN由于APDU许可或NFC事件策略是可选项，所以相应的访间控制规则可能末在规则文件中定义。如果未定义，终端访问控制模块采用如下方式处理：。对于一个特定AID或其他AID，如果ARF中未定义相关APDU策略时，则终端访间控制模块将缺失的APDU许可策略解释为ALWAYS允许策略，·对于一个特定AID或其他AID，如果ARF中未定义相关NFC事件策略时，则终端访问控制模块将缺失的NFC事件策略解释为ALWAYS允许策略。5.2电信智能卡接口要求5.2.1概述电信智能卡需要提供如下APDU指令接口，用于规则的加载（该接口在ETSITS102.221规范中APDU定义的基础上进行了简化）。对于规则更新的机制，不在本标准的范围。5.2.2SELECT5.2.2.1指令说明SELECT命令用于选择一个应用或文件，卡支持利用SELECT命令打开一个逻辑信道或选择规则文件。5.2.2.2指令参数和数据SELECT命令报文含义见表6。 Y