1、ICS 35.240.15 L 64 道雪中华人民-H: 和国国家标准GB/T 16649.9-20 1 O/ISO/IEC 7816-9:2004 识别卡集成电路卡第9部分:用于卡管理的命令Identification cards-Integrated crcuit cards一Part 9: Commands for card management CISO/IEC 7816-9: 2004 , IDT) 2010-12-01发布2011-04-01实施数码防伪中华人民共和国国家质量监督检验检茂总局中国国家标准化管理委员会发布GB/T 16649.9-201 O/ISO/IEC 7816-
2、9: 2004 目次前言.1 引言.II 1 范围-2 规范性引用文件-3 术语和定义4 缩略语和记法5 生存期.6 用于卡管理的命令.2 附录A(资料性附录)用于下载的安全属性使用举例参考文献.10G/T 16649.9-20 1 O/ISO/IEC 7816-9 :2004 目。吕GB/T 16649在总标题为识别卡集成电路卡下目前由下述14个部分构成:第1部分:带触点的卡物理特性;一一一第2部分:带触点的卡触点的尺寸和位置;一第3部分:带触点的卡电信号和传输协议;第4部分:用于交换的结构、安全和命令;第5部分:应用标识符的国家编号体系和注册规程;二第6部分:行业间数据元;二第7部分:用于
3、结构化卡查询语言CSCQL)的行业间命令;一-第8部分:与安全相关的行业间命令;-第9部分:用于卡管理的命令;二一第10部分:带触点的卡同步卡的电信号和复位应答;一一第11部分:通过生物识别方法的个人验证(制定中); 一一第12部分:带触点的卡USB电气接口和操作规程;一一第13部分:在多应用环境中用于应用管理的命令(制定中); -一一第15部分:密码信息应用。本部分为GB/T16649的第9部分。本部分等同采用国际标准1SO/1EC 7816-9 : 2004(识别卡集成电路卡第9部分:用于卡管理的命令)(英文版)。为便于使用,本部分作了下列编辑性修改:a) 删除国际标准前言;b) 将本文件
4、改为本部分。本部分的附录A是资料性附录。本部分由中华人民共和国工业和信息化部提出。本部分由全国信息技术标准化技术委员会CSAC/TC28)归口。本部分起草单位:中国电子技术标准化研究所。本部分主要起草人:金倩、冯敬、耿力、袁理、王文峰、乔申杰。I GB/T 16649.9-20 1 O/ISO/IEC 7816-9:2004 sl GB/T 16649是规定集成电路卡的参数和交换中集成电路卡的使用的系列国际标准。集成电路卡是用于信息交换(该信息交换由外界和卡上集成电路之间商定)的识别卡。作为信息交换的结果,卡传送信息(计算结果、存储的数据),和/或更改其内容(数据存储、结果记忆)。E -一有4
5、个部分规定了带电触点的卡,其中有3部分还规定了电接口:GB/T 16649. 1规定了带触点的卡的物理特性;GB/T 16649.2规定了触点的尺寸和位置;GB/T 16649.3规定了异步卡的电接口和传输协议zGB/T 16649.10规定了同步卡的电接口和复位应答;一一所有其他部分均独立于物理接口技术。它们用于通过触点和/或射频访问的卡:GB/T 16649.4规定了用于交换的结构、安全和命令;GB/T 16649. 5规定了应用提供者的注册;GB/T 16649.6规定了用于交换的行业间数据元;GB/T 16649.7规定了用于结构化卡查询语言的命令;GB/T 16649.8规定了用于安
6、全操作的命令;GB/T 16649.9规定了用于卡管理的命令。G/T 16649.9-20 1 O/ISO/IEC 7816-9 :2004 识别卡集成电路卡第9部分:用于卡管理的命令1 范围GB/T 16649的本部分规定了用于卡管理和文件管理的行业间命令。这些命令覆盖卡的整个生存期,因此,有些命令在卡发行到持卡者手中之前就被使用,有些命令在卡终止后仍被使用。本部分没有涵盖卡内和(或)外界的内部实现。2 规范性引用文件下列文件中的条款通过GB/T16649的本部分的引用而成为本部分的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部
7、分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。GB/T 16649.4-2010识别卡集成电路卡第4部分:用于交换的结构、安全和命令(1SO/1EC 7816-4: 2005 , IDT) 3 术语和定义下列术语和定义适用于本部分。3.1 安全报文传输secure messaging 用于(部分)命令一响应对加密保护的一组方法。4 缩略语和记法APDU 应用协议数据单元FCP 文件控制参数LCS 生存期状态SEID 安全环境标识符5 生存期生存期状态可能与卡本身以及卡上的一些对象相关联。卡应结合附加的安全属性来使用生存期状态,以确定对象上的操
8、作是否符合安全策略。生存期状态反映根据下列规则的对象使用:一一当一个对象处于创建状态时,应不适用该对象的任何安全属性。一-当一个对象处于初始化状态时,可以适用该状态特有的安全属性。一二当一个对象处于操作状态时,应适用相关安全属性。一一-当一个对象处于终止状态时,它应不允许其值的调整,但它可以按照规定被其相关安全属性所使用,例如它可以被删除。基本生存期状态之间的转变是不可逆的,并且只能是从创建到终止。另外,应用可以定义生存期子状态:基本状态都可以有可逆子状态。生存期状态的变化由卡来控制,并且可以以预定义的命令实现,1 GB/T 16649.9-2010/ISO/IEC 7816-9 :2004
9、反映状态中的可逆或不可逆变化。下列用于卡管理和文件管理的命令可以用于初始化生存期状态转变。CREATE FILE(创建文件)ACTIV A TE FILE(激活文件)TERMINATE EF(终止EF)DELETE FILE(删除文件)DEACTIV A TE FILE(停活文件)TERMINATE DF(终止DF)TERMINA TE CARD USAGE(终止卡使用)可以通过执行命令来设置生存期状态的值。然而根据本部分,卡应保持这些值的完整性。5. 1 文件生存期图1是文件生存期状态和在成功完成的基础上调用转变的命令的概念化表示。它没有示出这些命令执行的条件。删除文件(DF/EF)lll-
10、F在一-M存一J不一厂11|终止EF终止DFLCS = 03 停活文件终止卡使用/卢-.激活 1._. 文件、r: :-.lL I 、ID、,终止DF删除文件(DFfEF)图1文件生存期状态示意图6 用于卡管理的命令对于遵循本部分的所有卡而言,并不强制要求支持本部分描述的所有命令或所支持命令的所有选项。只有在安全状态满足命令的安全属性时命令才能被执行。对于这些命令,位4和位3没有意义并且可以被忽略。对于每一条命令,提供了一个非穷举的状态条件列表(见GB/T16649.的。6.1 CREATE FILE命令CREATE FILE命令创建一个文件(DF或EF),该文件直接处于当前DF之下。该命令成
11、功完成后,创建的文件将被置成当前文件,除非另有规定。如果在同一个DF中存在多个具有相同短文件标识符的EF,则卡的行为不在本部分中定义。仅在安全状态满足当前DF安全属性的情况下才能执行该命令。文件描述符字节是必备的,它指示创建了一个DF还是创建了一个EF。如果一个DF被创建,则应规定一个文件名和(或)一个文件标识符。一一如果一个EF被创建,则应规定一个文件标识符和(或)一个短EF标识符。2 G/T 16649.9-2010/ISO/IEC 7816-9 :2004 表1CREATE FILE命令一晌应对CLA 如GB/T16649.4中所定义INS EO P1-P2 0000 :文件指示符和文件
12、参数在数据字段中编码P1手00:文件描述字节P2:位8到位4为短EF标识符E位3到位1为专有的Lc字段Nc编码为0则不存在,Nc编码大于0则存在数据字段FCP模板(标记62)和可能的进一步的模板或不存在Le字段Ne编码为0,不存在数据字段不存在SW1-SW2 见GB/T16649.4表5和表6相关条目,例如6982、6A84、6A89、6A8A注:当数Nc为0时,创建的文件有默认文件控制参数。6. 2 DELETE FILE命令DELETE FILE命令删除直接处于当前DF之下指定的EF,或删除DF及其所有的子树。该命令成功完成后,删除的文件不能再被选择。在EF删除后,当前文件是当前DF。在D
13、F删除后,如果没有另外规定,当前DF是父辈DF。文件所拥有的资源将被释放并且该文件使用的存储空间将被置为逻辑擦除状态。文件的删除还可能依赖于文件生命状态。MF不允许被删除。如果PI-P2=0000并且命令数据字段不存在,则命令适用于已经被之前直接执行的命令选中的文件。另外,如果选择的文件在另一个逻辑通道上被选中,则不允许执行该命令,并且在响应中返回一个适当的错误。包括定义文件ID唯一性的规则的PI-P2的其他含义在SELECT命令中定义。表2DELETE FILE命令一晌应对CLA 如GB/T16649.4中所定义INS E4 P1-P2 0000 :删除当前文件其他值:如SELECT命令所定
14、义(见GB/T16649.的Lc字段Nc编码为0则不存在,Nc编码大于0则存在数据字段如SELECT命令所定义(见GB/T16649.4) Le字段Ne编码为0,不存在数据字段不存在SW1-SW2 见GB/T16649.4表5和表6相关条目,例如6982、69856.3 DEACTIVATE FILE命令DEACTIV A TE FILE命令停活文件,该停活是可逆的。在该命令成功完成后,除SELECT命令外,仅允许ACTIVA TE FILE、DELETEFILE、TERMINATE EF和DF情况中的TERMINATEDF 命令被执行。当应用于一个停活的文件时,SELECT命令将选择文件并返
15、回警告状态SWl-SW2=6283:选择的文件是无效的,例如停活的。如果一个EF被选择,则命令仅适用于该EF,不适用于父辈DF。3 GB/T 16649.9-20 1 O/ISO/IEC 7816-9 :2004 如果P1-P2=0000并且数据字段不存在,则该命令适用于已经被之前直接执行的命令选中的文件。包括定义文件ID唯一性的规则的P1-凹的其他含义在SELECT命令中定义。宜使用安全报文传输。如果响应APDU未被安全报文传输保护,则检查功能是否被正确执行的方法不在GB/T16649的范围内定义。从安全考虑,相同的功能可以通过专有方法来实现。表3DEACTIVATE FILE命令一晌应对C
16、LA 如GB/T16649.4中所定义INS 04 P1-P2 0000:停活当前文件其他值2如SELECT命令所定义(见GB/T16649.的Lc字段Nc编码为0则不存在,Nc编码大于0则存在数据字段如SELECT命令所定义(见GB/T16649.4) Le字段N巳编码为0,不存在数据字段不存在SW1-SW2 见GB!T16649.4表5和表6相关条目,例如6982、6八806. 4 ACTIV ATE FILE命令ACTIV A TE FILE命令启动文件从下列状态到操作状态(激活的)的转变:一一创建状态,或-初始化状态,或操作状态(停活的)。允许激活正确创建的文件。激活一个停活的文件仅在
17、安全状态满足该文件激活功能定义的安全属性的情况下才能执行。宜使用安全报文传输。如果响应八PDU未被安全报文传输保护,则检查功能是否被正确执行的方法不在GB/T16649的范围内定义。如果P1-P2二0000封工且数据宇段不存在,则该命令适用于已经被之前直接执行的命令选中的文件。包括定义文件ID唯一性的规则的P1-凹的其他含义在GB/T16649.4中的SELECTFILE命令中定义。表4ACTIV ATE FILE命令一晌应对CLA 如GB/T16649.4中所定义INS 44 PI-P2 0000:激活当前文件其他值:如SELECT命令所定义(见GB/T16649.的Lc字段Nc编码为0则不
18、存在,Nc编码大于0则存在数据字段如SELECT命令所定义(见GB/T16649.4) Le字段Ne编码为0,不存在数据字段不存在SWl-SW2 见GB/T16649.4表5和表6相关条目,例如6400、69826.5 TERMINATE DF命令TERMINATE DF命令终止当前选择的DF文件,该转变不可逆。命令成功完成后,DF处于终止4 GB/T 16649.9-201 O/ISO/IEC 7816号:2004状态,并且从DF及其子树获得的功能将减少。DF是可选的,如果被选择,则将返回警告状态SW1-SW2=6285(被选文件处于终止状态)。更多可能的操作不在GB/T16649中定义。注
19、:终止DF的目的是使持卡者无法使用该应用。从安全考虑,相同的功能性可以通过专有方法来实现。如果P1-P2=0000并且数据宇段不存在,则命令适用于已经被之前直接执行的命令选中的文件。包括定义文件ID唯一性的规则的P1-凹的其他含义在GB/T16649.4中的SELECT命令中定义。宜使用安全报文传输。如果响应APDU未被安全报文传输保护,则检查功能是否被正确执行的方法不在GB/T16649的范围内定义。表5TERMINATE DF命令一晌应对CLA 如GBjT16649.4中所定义INS E6 P1-P2 0000:终止当前DF其他值:如SELECT命令所定义(见GBjT16649.的Lc字段
20、Nc编码为0则不存在,Nc编码大于0贝IJ存在数据字段如SELECT命令所定义(见GB!丁16649.。一一十一一一一一Le字段Nc编码为0,不存在数据字段不存在一SW1-SW2 见GBjT16649.4表5和表6相关条目,例如6982、6985注:在P1P2根据SELECT命令(见GB/T16649.4)编码的命令中,凹的位3和位4没有意义并且可以被忽略。6. 6 TERMINA TE EF命令TERMINATE EF命令将特定EF转变到终止状态,该转变不可逆。被终止的EF应处于激活或停活状态。从安全考虑,相同的功能可以通过专有方法来实现。如果P1-P2=-0000并且数据宇段不存在,则命令
21、适用于已经被之前直接执行的命令选中的文件。包括定义文件ID唯性的规则的P1凹的其他含义在GB/T16649.4中的SELECT命令中定义。表6TERMINATE EF命令一晌应对CLA 如GBjT16849.4中所定义INS E8 P1-P2 0000 :终止当前EF其他值:如SELECT命令所定义见GBjT16649.4) Lc字段Nc编码为0则不存在,Nc编码大于0则存在数据字段如SELECT命令所定义(见GBjT16649.的Le字段Ne编码为0,不存在数据字段不存在SW1-SW2 见GBjT16649.4表5和表6相关条目,例如6982、69856.7 TERMINATE CARD U
22、SAGE命令TERMINA TE CARD USAGE命令将卡转变到终止状态,该转变不可逆。该命令的使用隐含选择MF。对于支持该命令的卡,终止状态应在复位应答中指出。5 GB/T 16649.9-20 1 O/ISO/IEC 7816-9:2004 命令成功完成后,卡将不支持SELECT命令。从安全考虑,相同的功能性可以通过专有方法来实现。注2终止卡使用的目的是使捋卡者不可用卡。宜使用安全报文传输。如果响应APDU未被安全报文传输保护,则检查功能是否被正确执行的方法不在GBjT16649的范围内定义。表7TERMINATE CARD USAGE命令一晌应对CLA 如GBjT16649.4中所定
23、义INS FE P1-P2 0000 Lc字段Nc编码为0,不存在数据字段不存在Le字段Ne编码为0,不存在数据字段不存在SW1-SW2 见GBjT16649.4表5和表6相关条目,例如6982、6985一一6 GB/T 16649.9-201 O/ISO/IEC 7816-9: 2004 附录A(资料性附录)用于下载的安全属性使用举例A.1 引言本例示出了如何通过验证装载实体的访问权限和带安全报文传输的数据传输保护,控制将数据载入(安全下载)到卡中或载入到EF或DF中。载人的数据可以包括代码、密钥和JAVA小应用程序等。本例基于下列假设:一一一本部分文件系统;一符合本部分的命令结构,生存期和
24、访问控制;一一一当前DF已经处于操作状态(LCS=4);一一数据载入到附属透明文件l(DF/EF处于初始化状态(LCS=3); 一-SEID=2用于LCS=3,初始化状态,并且在线通信,在当前DF中存在;一-SEID=3用于LCS=3,初始化状态,并且离线通信,在当前DF中存在;一-SEID=4用于LCS=4,操作状态,在当前DF中存在;-一一数据受到鉴别保护,并且可以通过安全报文传输数据对象可选地进行加密p一-在线通信(SEID=2)中,不对称鉴别过程在例如用于保护通过安全报文传输的载人的会话密钥交换之前已成功执行。载人的数据通过一个密码校验和数据对象和可选地通过密码数据对象来保护z在离线通
25、信(SEID=3)中,载人的数据通过-个数字签名数据对象来保护和可选地通过一个密码数据对象来加密;授权信息(证书持有者授权)可以在相应的卡验证证书中出现,将下载实体连接到鉴别密钥(SEID=2,在线通信)上,或连接到数字签名密钥(SEID二3,离线通信)上,或连接到其访问权限上。A.2 安全下载在线和离线情况下的安全下载如下所描述。在线通信1) 选择当前DF(SELECT(DF名=AID); 2) 为在线通信设置初始化状态(MSE:RESTORESEID=2) 1 D 外部鉴别(验证证书,外部鉴别h的选择文件1(SELECT(文件标识符); 5) 载人数据到带有SM、受密码校验和这一数据对象保
26、护的文件(例如WRITEBINARY) ; 6) 文件的激活(ACTIVATE FILE) ; 7) 设置操作状态(MSE:RESTORESEID=4); 8) 验证用户鉴别(VERIFY(口令); 的选择文件1(SELECT(文件标识符); 10) 读信息(READBINARY)。离线通信1) 选择当前DF(SELECT(DF名=AID);7 G/T 16649.9一2010/ISO/IEC7816-9:2004 2) 为离线通信设置初始化状态CMSE:RESTORESEID=3); 3) 证书验证CVERIFYCERTIFICA TE) ; 的选择文件1CSELECTC文件标识符); 5)
27、 载入数据到带有SMC例如WRITEBINARY)、受数字签名数据对象保护的文件中;的文件的激活CACTIVATE FILE) ; 7) 设置操作状态CMSE:RESTORESEID=4); 8) 验证用户鉴别CVERIFYC口令); 的选择文件1CSELECTC文件标识符); 10) 读信息CREADBINARY)。A.3 安全属性压缩格式编码下列编码阐明了操作状态中的访问,可能与初始化状态中的访问不同。在线通信如果为了某一安全状态,允许WRITEBINARY和ACTIVEFILEC须在WRITEBINARY成功完成后)在初始化状态下使用,并且允许READBINARY在操作状态下使用,则AM
28、宇节和SC字节的编码如下:初始化状态: AM字节CACTIVATEFILECb5=口,WRITEBINARYCb3= 1) SC字节l(所有情况Cb8=1),用于ACTIVATEFILECb7=1)的安全报文交换) SC字节2C所有情况Cb8=1),外部鉴别和用于WRITEBINARYCb7b6 = 11)的安全报文交换)操作状态:或者 AM宇节CREADBINARYCb1=1) SC字节(用户鉴别Cb5= 1) 在SC字节中,b4b1位编码为SE标识符C2为0010,4为0100) 或相对应的SE可以编码为当前SECOOOO)标识。在这种情况下,安全属性根据扩展格式编码。离线通信如果为了某一
29、安全状态,允许WRITEBINARY和(在成功完成后)ACTIVE FILE在初始化状态下使用,并且允许READBINARY在操作状态下使用,则AM字节和SC字节的编码如下:8 一一初始化状态: AM字节CACTIVATEFILECb5= 1) , WRITE BINARYCb3=1) SC字节1C所有情况Cb8=1),用于ACTIVATEFILECb7=1)的安全报文传输) SC字节2C所有情况Cb8=1),用于WRITEBINARYCb7=1)的安全报文传输)一-操作状态: AM字节CREADBINARYCb1=1) SC字节(用户鉴别Cb5=1)或者 在SC字节中b4b1位编码为SE标识
30、符C3为0011,4为0100) 或相对应的SE可以编码为当前SECOOOO)。在这种情况下,安全属性根据扩展格式编码。GB/T 16649.9-201 O/ISO/IEC 7816-9: 2004 A.4 安全属性扩展格式编码在线通信如果为了某一安全状态,允许WRITEBINARY和(在成功完成后)ACTIVE FILE在初始化状态下使用,并且允许READBINARY在操作状态下使用,则AM数据对象和SC数据对象的编码可能如下:一一初始化状态= AM数据对象1传递AM宇节(WRITEBINARY(b3=1) SC数据对象1传递包括密钥引用数据对象的AT和用于外部鉴别(b8=1)的CRT使用限
31、定符数据对象 SC数据对象2传递包括密钥引用数据对象的CCT和用于安全报文传输(b5b6= 11)的CRT使用数据对象 AM数据对象2传递AM宇节(ACTIVATEFILE(b5=1) SC数据对象3传递包括密钥引用数据对象的CCT和用于安全报文传输(b5= 1 , b6 = 1) 的CRT使用数据对象一一操作状态: AM数据对象传递AM字节(READBINARY(bl=I) SC数据对象传递包括密钥引用数据对象的AT和指示用户鉴别(b4=I)的CRT使用限定符数据对象相对应的SE可以编码为当前SE(b4bl=0000)。在这种情况下,安全属性根据扩展格式编码。离线通信如果为了某一安全状态,允
32、许WRITEBINARY和(在成功完成后)ACTIVE FILE处在初始化状态,并且允许READBINARY处在操作状态,则AM数据对象和SC数据对象的编码如下:一初始化状态: AM数据对象1传递AM字节(WRITEBINARY(b3=1),ACTIVATE FILE(b5=1) SC数据对象1传递包括密钥引用数据对象的DST和用于安全报文传输(b5=1,b6=1)的CRT使用限定符数据对象一一操作状态: AM数据对象传递AM字节(READBINARY(bl=l) SC数据对象传递包括密钥引用数据对象的AT和指示用户鉴别(b4=1)的CRT使用限定符数据对象相对应的SE可以编码为当前SE。在这
33、种情况下,安全属性根据扩展格式编码。A.5 相应安全环境的编码模板(7B)中SEID=2(80-L-02)-(8A-L-03)-(A4-L-(83人L-密钥引用)-(95人01-80)-(5日B-L-证书持有者授权)-(B4人L-(83人L-密钥引用)-(95人01-30)模板(7B)中SEID=3(80-L-03)-(8A-L-03)-(B6-L-(83人L-密钥引用)-(95-01-30)模板(7B)中SEID=4(80-L-04)-(8C-L-04)-(A4-L-(83人L-密钥引用)-(95-01-08)9 GB/T 16649.9-20 1 O/ISO/IEC 7816-9:2004
34、 参考文献lJ ISO/IEC 7816(all parts) ,Identification cards-Integrated circuit cards 2J ISO/IEC 10536 (all parts) , Identification cards-Contactless integrated circuit (s) cards Close-coupled cards 3 J ISO/IEC 14443 (all parts) , Identification cards-Contactless integrated circuit (s) cards Proximity card
35、s 4J ISO/IEC 15693 (all parts) , Identification cards-Contactless integrated circuit (s) cards Vicinity cards 10 叮OONdtUFhhv国。自EON-m寸FFH闰巳华人民共和国家标准识别卡集成电路卡第9部分:用于卡管理的命令GB/T 16649.9 2010/ISO/IEC 7816-9: 2004 国由晤中国标准出版社出版发行北京复兴门外三里河北街16号邮政编码:100045网址电话:6852394668517548 中国标准出版社秦皇岛印刷厂印刷各地新华书店经销 印张1字数22千字2011年3月第一次印刷开本880X12301/16 2011年3月第一版峰18.00元如有印装差错由本社发行中心调换版权专有侵权必究举报电话:(010)68533533书号:155066. 1-41713定价GB/T 16649.9-2010 打印日期:2011年4月7日F002A