GPC规范--安全域基础概念

这篇具有很好参考价值的文章主要介绍了GPC规范--安全域基础概念。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

概述:

分为三种主流类型:
  • 发卡方安全域(Issuer Security Domain, ISD),卡片上首要的、强制性存在的安全域,是卡片管理者(通常是发卡方)在卡片内的代表;
  • 补充安全域(Supplementary Security Domain, SSD),卡片上次要的、可选择地存在的安全域,是应用提供方或发卡方以及它们的代理方在卡片内的代表;
  • 授权管理者安全域(Controlling Authority Security Domains, CASD),一种特殊类型的补充安全域,授权管理者负责将某种安全策略贯彻到所有加载到卡片的应用代码上,授权管理者安全域就是授权管理者在卡片内的代表,卡片上可能存在个这样的安全域。
    安全域是一种享有特权的应用;具备AID,权限,生命周期等属性;
特性:
  • 是卡片上应用提供者或鉴权机构的代理
  •  自身是一个应用,有AID,权限和生命周期
  •  能够提供安全服务诸如密钥管理,加解密,数字签名生成,关联应用校验
  •  每个SD都为应用提供获取自身服务的接口
  •  每个SD可以支持独立的安全通道协议
  •  每个SD的密钥是完全独立的

安全域的的安全性要求

  • 安全域负责贯彻其卡外安全域提供者制定的安全策略。当安全域可用时,必须负责:
  • 在发卡前或者发卡后,根据其卡外安全域提供者制定的安全策略,与卡外实体进行通信;
  • 管理卡片数据的安全性;
  • 为其相关联的应用在个人化或接下来的操作中,提供加密保护服务;
  • 请求OPEN进行加载、安装、让渡、删除卡片内容的操作;  (只是请求,实际还是OPEN操作)
  • 向卡外实体返回加载、安装、让渡、删除等操作的收条;
  • 验证卡外机构发起的改变卡片内容的操作是否经过了合法授权;
  • 创建加载、安装、让渡、删除等操作的收条;
  • 根据OPEN的要求,验证加载文件数据块的数字签名

安全域生命周期状态  

安全域生命周期状态如下:
INSTALLED
SELECTABLE
PERSONALIZED
LOCKED
安全域不存在私有的生命周期状态。

安全域生命周期状态 INSTALLED

INSTALLED状态意味着安全域已经在GlobalPlatform注册表中注册为一个条目,经过关联的安全域认证后的卡外实体可以对该条目进行访问。该安全域还不是可选择的,且还不能与可执行加载文件或应用相关联,因此其安全域服务对应用而言,还是不可用的。

安全域生命周期状态 SELECTABLE

SELECTABLE状态意味着安全域可以从卡外实体接收命令(特别是个人化命令)。此时的安全域并不拥有密钥,因此不能与可执行加载文件或应用相关联,也就不能向应用提供安全域服务。从INSTALLED状态到SELECTABLE状态的迁移是不可逆的,迁移到SELECTABLE状态可以同安全域的安装一起进行。

安全域生命周期状态 PERSONALIZED

迁移到PERSONALIZED时需要完成什么操作取决于安全域。该状态表明了安全域已经拥有了所有必须的个人化数据和密钥,以便(在其服务的环境中)执行完整的运行时功能。从SELECTABLE状态到PERSONALIZED状态的迁移是不可逆的。处于PERSONALIZED状态的安全域可以同应用相关联,使得其能够向关联的应用提供服务。

安全域生命周期状态 LOCKED

OPEN、安全域自身、与该安全域关联的其他安全域(如果有的话)、具备“全局锁定权限”的应用以及具备“全局锁定权限”的安全域,都可以利用LOCKED状态作为安全管控的手段,以阻止该安全域的选定。

安全域特有的权限

令牌(Token)验证权限

该权限允许安全域提供方,尤其是发卡方,对卡片内容管理操作进行授权。具备“令牌验证权限”的安全域应该知道该令牌的密钥及算法。
需要注意的是,具备该权限并不意味着具备卡片内容管理的能力。

“授权(AM)管理权限”的安全域

该权限允许安全域提供方,尤其是发卡方,对卡片内容管理操作进行授权。具备“令牌验证权限”的安全域应该知道该令牌的密钥及算法。
需要注意的是,具备该权限并不意味着具备卡片内容管理的能力。

“委托(DM)管理权限”的安全域

该权限允许应用提供方在授权后对卡片内容进行管理。具备“令牌验证权限”的安全域负责对授权操作进行控制。

“全局删除权限”的安全域

该权限使得安全域能够从卡片上删除任何可执行加载文件或任何应用,即使该可执行加载文件或应用并不属于该安全域。
不具备“全局删除权限”但又能进行卡片内容管理的安全域,只能删除与自己直接或间接关联的可执行加载文件或应用。

“全局锁定权限”的安全域

该权限提供了独立于安全域关联层次而对卡片上的应用进行锁定和解锁的权力,同时还提供了对OPEN的卡片内容管理功能进行限制的能力。

“收条创建权限”的安全域

该权限允许安全域提供方,尤其是发卡方,对已经执行的卡片内容管理操作进行确认。具备“收条创建权限”的安全域必须知道创建收条所需的密钥和算法。该安全域还必须跟踪确认计数器,该计数器会在每次创建一个收条时自动增加。当确认计数器达到最大值的时候,不得归零。卡片支持的该计数器的最大值为32767。
需要注意的是,具备该权限并不意味着具备卡片内容管理的能力。
在这个版本的卡片规范中,每个卡片上只允许一个安全域具备“收条创建权限”。

关联到安全域

安全域,NFC,智能卡,安全,GPC,NFC,SE,Security domain文章来源地址https://www.toymoban.com/news/detail-632606.html

通过 INSTALL [for load] 或 INSTALL [for install]指定SD的AID来实现关联。为一个关联到某一SD的包安装实例,实例也关联到同一个SD
改变应用实例与SD的关联方式叫做迁移,使用指令INSTALL [for extradition]
自己关联自己,自引渡;
作为根节点的SD,必现是具备AM权限的
只有ISD能创建具有“Authorized Management”权限的SD,并将AM-SD迁移为“树”的根结点

到了这里,关于GPC规范--安全域基础概念的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【机密计算标准】GB/T 41388-2022 可信执行环境基础安全规范

    本文件确立了可信执行环境系统整体技术架构,描述了可信执行环境基础要求、可信虚拟化系统、可信操作系统、可信应用与服务管理、跨平台应用中间件等主要内容及其测试评价方法。 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款。其中,注日期的

    2024年02月16日
    浏览(48)
  • 建议收藏 - 必须知道的4个前端安全编码规范,0基础web前端开发

    2.构造GET和POST请求 若某攻击者想删除某网站的一篇文章,首先获得当前文章的id,然后通过使用脚本 插入图片 发送一个 GET请求 ,或 构造表单 , XMLHTTPRequest 发送 POST请求 以达到删除该文章的目的 3.XSS钓鱼 钓鱼 这个词一般认识是起源于 社会工程学 ,黑客使用这个这门学科

    2024年04月22日
    浏览(40)
  • NFC物联网智能购物车设计方案

    智能购物车是综合利用计算机网络、射频识别技术、数据库技术、单片机于一体的设备具有先进性、便于管理性、经济性、普适性。基于NFC (Near Field Communication,近场通信)技术的智能购物车,能够大幅缩短结账排队时间,实现“无感支付”。NFC是一种非接触式自动识别技术,

    2024年02月03日
    浏览(42)
  • c++11智能指针之基础概念

    1.内存泄漏:内存泄漏是指程序中已动态分配的堆内存由于某种原因因程序未释放或无法释放,导致程序运行速度减慢甚至系统崩溃等。 内存泄漏两种情况: 堆内存泄漏:在堆上申请了资源,结束时,没有还给OS。 资源泄漏:指系统资源,比如socket,文件描述符,因为有限制

    2024年02月01日
    浏览(63)
  • Java安全基础 必备概念理解

    了解Java基本面向对象语法以及反射 假设在Person类中 this.name=name this指代Person类的 对象 等价于 Person.name=name 就是 当前类的引用 应用: 主要作用就是区分类中的成员属性和变量(比如同名时进行区分) 包中使用遵循 见包起名 import 导入 extends 经典的 父子关系 ,子类可

    2024年04月17日
    浏览(61)
  • 【人工智能】AGI 通用人工智能基础概念、实现原理、挑战和发展前景

    Artificial intelligence prompt completion by dalle mini, https://github.com/borisdayma/dalle-mini 随着计算机技术、机器学习和神经网络等技术的发展,人工智能(Artificial Intelligence, AI)已经成为当今计算机科学和工程领域的热门话题之一。 强人工智能(Strong AI)或通用人工智能(英语:Artificia

    2024年02月09日
    浏览(62)
  • Delphi轻松读写NDEF文本、智能海报、应用控制等NFC标签

            NDEF 全称 NFC data exchange format 即 nfc 数据交换格式,是一种标准化的数据格式,可用于在任何兼容的NFC设备与另一个NFC设备或标签之间交换信息。数据格式由NDEF消息和NDEF记录组成。        NDEF信息可以写到不同类型的NFC芯片中,如NFC_Forum_Type2类的Ntag2x、FM11NTx系列芯片

    2024年02月15日
    浏览(34)
  • 【人工智能】大模型基础概念、核心技术、应用场景和未来发展

      目录 一、大模型概述 二、大模型的发展历程 三、大模型的核心技术

    2024年02月08日
    浏览(75)
  • 安全测试面试的30道基础概念题目与参考答案

    这篇文章主要介绍了关于安全测试面试的30道基础概念题目与参考答案,总结分析了安全测试中常见的各种概念、原理与注意事项,需要的朋友可以参考下 看看这些面试题目,目的是了解安全测试的基本概念。每一道题目都可以展开到一定的深度和广度。 这里仅仅是一个抛砖引

    2024年04月12日
    浏览(52)
  • 网络安全day1-基础入门概念名词 超详细!!!

    目录 一、域名 1.域名概念: 2.二级域名和多级域名:​编辑 3.域名对安全测试的意义: 二、DNS 1.域名系统 2.本地Hosts与DNS的关系 3.CDN概念以及和DNS的关系: 4.常见的DNS安全攻击 三、脚本语言  四、后门 1.什么是后门?有哪些后门? 2.后门在安全测试中的实际意义? 3.关于后门需

    2024年02月07日
    浏览(51)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包