第五部分 APDU 命令参考
11. APDU命令参考
本章详细说明应要实现的GP APDU命令。命令按字母顺序排列。 下表综述了具有授权管理权限的安全域、具有委托管理权限的安全域、具有最终应用权限的安全域,应当要支持的APDU命令,以及其它安全域支持这些APDU命令的需求。当支持逻辑通道时,MANAGE CHANNEL命令仅由OPEN进行处理,且对此命令不需要安全域支持。 命令 DELETE 可执行加载文件 DELETE 可执行加载文件和相关应用 OP_READY INITIALIZED SECURED CARD_LOCKED TERMINATED SD FA SD SD AM DM AM DM AM DM SD SD SD FA SD SD SD SD SD SD SD √ √ √ √ √ DELETE √ 应用 DELETE 密钥 GET DATA GET STATUS INSTALL [加载] INSTALL [安装] INSTALL [加载、安装和设为可选] √ √ √ √ √ √ √ √ √ √ √ √ INSTALL [安装和√ 设为可选] INSTALL [设为可选] INSTALL [引渡] INSTALL [更新注册表] INSTALL [个人化] LOAD √ √ √ √ √ PUT KEY SELECT SET STATUS STORE DATA √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ 表11-1:认可的GP命令对卡片生命周期
表11-1图例:
AM SD:具有授权管理权限的安全域 DM SD:具有委托管理权限的安全域 FA SD:具有最终应用权限的安全域。(注:命令是否支持具有最终应用权限的但不是安全域的应用,服从发卡方的策略,在根据卡片生命周期状态所允许的限制范围内)。 SD:其它安全域 √:需要支持
空白单元:可选支持 灰色单元:禁止支持
表11-2 综述APDU命令的最低安全要求:
命令 DELETE GET DATA GET STATUS INSTALL LOAD MANAGE CHANNEL PUT KEY SELECT SET STATUS STORE DATA 最低安全要求 安全通道发起或 数字证书验证 无 安全通道发起 安全通道发起或 数字证书验证 安全通道发起或 数字证书验证 不适用 安全通道发起 不适用 安全通道发起 安全通道发起 表11-12:GlobalPlatform命令的最低安全要求
11.1 一般编码规则
本章中用到标记“RFU”和“-”(连字符),表1-3“缩写和注释”中说明了它们的用途。如果某一位被标记为RFU,则卡外设备可以将该位设为0,并且卡片应当忽略该值。
11.1.1 生命周期状态编码
ELF生命周期的状态用一个字节编码表示,如下表: b8 b7 b6 b5 b4 b3 b2 b1 0 0 0 0 0 0 0 1 已加载 表示 表11-3:ELF生命周期编码
应用的生命周期用一个字节按位的编码表示,如下表:
注意:应用可以自行定义使用b4-b7位,对这些位的编码不在本规范讨论范围内。
b8 b7 b6 b5 b4 b3 b2 b1 0 0 0 1 0 0 X - 0 0 X - 0 0 X - 0 0 X - 0 1 1 - 1 1 1 1 1 1 1 1 已安装 可选择 应用自定的状态 被锁定 表示 表11-4:应用生命周期编码
安全域生命周期用一个字节按位的编码表示,如下表:
b8 b7 b6 b5 b4 b3 b2 b1 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 - 0 1 1 - 1 1 1 1 1 1 1 1 已加载 可选择 已个人化 被锁定 表示 表11-5:安全域生命周期编码
第5章“生命周期模型”中定义了应用和安全域生命周期允许的状态转移方式。 发卡方安全域继承卡片生命周期,用一个字节按位的编码表示,如下表: b8 b7 b6 b5 b4 b3 b2 b1 0 0 0 0 1 0 0 0 1 1 0 0 0 1 1 0 0 0 1 1 0 0 1 1 1 0 1 1 1 1 0 1 1 1 1 1 1 1 1 1 准备好 已初始化 安全状态 卡片锁定 销毁 表示 表11-6:卡片生命周期编码
第5章“生命周期模型”中定义了卡片生命周期允许的状态转移方式。
11.1.2 权限编码
权限用3个字节编码表示,在表11-7和表11-8中定义(更多信息请参见第6.6节—权限):
b8 b7 b6 b5 b4 b3 b2 b1 表示 权限编号
相关推荐:
loading