基于SIM卡的數(shù)字身份 身份鑒別設(shè)備專用安全芯片應(yīng)用接口要求

2基于SIM卡的數(shù)字身份身份鑒別設(shè)備專用安全芯片應(yīng)用接口要求本文件規(guī)定了身份鑒別設(shè)備專用安全芯片的應(yīng)用接2規(guī)范性引用文件GB/T32907—2016信息安全技術(shù)SM4分組GB/T35276—2017信息安全技術(shù)SM2密碼算法使用3術(shù)語、定義和縮略語3.1術(shù)語和定義T/OIDAAXXX—XXXX界定的術(shù)語和定義適用于3.2縮略語SM4分組密碼算法（SM4blockcipheralMAC消息校驗碼（MessageAuthentNFC近場通信（NearFieldcommuni用戶識別卡（SubscriberIdentit安全模塊標(biāo)識（SecureElemen4命令說明34.1命令格式4.1.1命令組成表1命令組成4.1.2命令格式分類表2命令格式分類4.2響應(yīng)格式表3響應(yīng)格式5應(yīng)用命令5.1.1功能描述5.1.2命令格式4無無5.1.3響應(yīng)格式118M身份鑒別設(shè)備專用12書M5.2NFCAUTH命令5.2.1功能描述5.2.2命令格式表7NFCAUTH命令格式a)P1參數(shù)格式描述：表8NFCAUTHP1參數(shù)格式50-------1-------b)數(shù)據(jù)域格式如下表所示：表9NFCAUTH數(shù)據(jù)域格式值11使用身份鑒別設(shè)備專用安全芯M12M11M5.2.3響應(yīng)格式表10NFCAUTH響應(yīng)數(shù)據(jù)值11使用身份鑒別設(shè)備專用安全芯片的私鑰對{RANDA|RANDB}M表11NFCAUTH響應(yīng)狀態(tài)碼5.3GETSTATUS命令5.3.1功能描述65.3.2命令格式表12GETSTATUS命令格式無無5.3.3響應(yīng)格式表13GETSTATUS響應(yīng)數(shù)據(jù)1表14GETSTATUS響應(yīng)狀態(tài)碼5.4NFCDECRYPT命令5.4.1功能描述5.4.2命令格式表15NFCDECRYPT命令格式7a)P1參數(shù)格式：表16NFCDECRYPTP1參數(shù)格式00------10------01 b)數(shù)據(jù)域格式如下表所示：表17NFCDECRYPT數(shù)據(jù)域格式MM0OOOMAC4M11C5.4.3響應(yīng)格式表18NFCDECRYPT響應(yīng)數(shù)據(jù)M0OOO表19NFCDECRYPT響應(yīng)狀態(tài)碼85.5GETSEID命令5.5.1功能描述此命令用于從身份鑒別設(shè)備專用安全芯片中獲取SEID，若身份鑒別設(shè)備專用安全芯片中不存在5.5.2命令格式表20GETSEID命令格式無無5.5.3響應(yīng)格式表21GETSEID響應(yīng)數(shù)據(jù)M表22GETSEID響應(yīng)狀態(tài)碼9業(yè)務(wù)流程SIM卡卡應(yīng)用身份鑒別設(shè)備MA.1NFC外部認(rèn)證流程SIM卡卡應(yīng)用身份鑒別設(shè)備M身份鑒別設(shè)備專用安全芯片a.1請求認(rèn)證初始化（NFCINIT芯片指令） a.4返回{MsgA|Sign}CT22SEL卡應(yīng)用指令ECT卡應(yīng)用指令ECT執(zhí)行返回執(zhí)行返回NFCINIT數(shù){MsgA|Sign}9（外部9MAC認(rèn)證初始化）MACb.返回{b.返回{sgBsgB|SignB|}c.1請求認(rèn)證NFCAUTH（芯片指令）{MsgB|SignB|MAC} c.6返回{MsgC|SignC|MAC}d.1MsgC|SignC|MAC）部認(rèn)證）d.5返回成功d.5返回成功（狀態(tài)字9000）（狀態(tài)字9000）流程描述：1身份鑒別設(shè)備請求認(rèn)證初始化a)身份鑒別設(shè)備請求身份鑒別設(shè)備專用安全芯片認(rèn)證初始化，命令為NFCINIT（芯片b)身份鑒別設(shè)備專用安全芯片返回{MsgA}。2身份鑒別設(shè)備與卡應(yīng)用進行外部認(rèn)證初始化。a)選擇卡應(yīng)用；b)身份鑒別設(shè)備發(fā)送NFCINIT命令到卡應(yīng)用，進行外部認(rèn)證初始化，參數(shù)為MsgA；c)卡應(yīng)用返回{MsgB（*RandB|SIM卡證書）|SignB}。3身份鑒別設(shè)備請求外部認(rèn)證a)身份鑒別設(shè)備請求身份鑒別設(shè)備專用安全芯片進行認(rèn)證，命令為NFCAUTH（芯片b)身份鑒別設(shè)備專用安全芯片返回{SignC}給身份鑒別設(shè)備。4身份鑒別設(shè)備與卡應(yīng)用進行外部認(rèn)證a)身份鑒別設(shè)備發(fā)送NFCAUTH命令給卡應(yīng)用進行外部認(rèn)證，參數(shù)為{SignC}；b)卡應(yīng)用返回認(rèn)證成功（狀態(tài)字9000），緩存認(rèn)證狀態(tài)。身份鑒別設(shè)備專用安全芯片身份鑒別設(shè)備1.3請求授權(quán)數(shù)據(jù)（SEID）1.4請求授權(quán)數(shù)據(jù)（SEID）1.5返回授權(quán)數(shù)據(jù)1.6返回授權(quán)數(shù)據(jù)并緩存1.7拼裝NFCGETDATA指令1.8身份鑒別設(shè)備專用安全芯片身份鑒別設(shè)備1.3請求授權(quán)數(shù)據(jù)（SEID）1.4請求授權(quán)數(shù)據(jù)（SEID）1.5返回授權(quán)數(shù)據(jù)1.6返回授權(quán)數(shù)據(jù)并緩存1.7拼裝NFCGETDATA指令1.8NFCGETDATA{總長度|身份鑒別憑證密文|MAC}（NFCDECRYPT指令）|MAC|授權(quán)數(shù)據(jù))1.11解密處理1.14調(diào)用身份憑證驗證接口<<1.15返回驗證結(jié)果SIM卡流程描述：身份鑒別設(shè)備使用身份鑒別設(shè)備專用安全芯片與卡應(yīng)用完成外部認(rèn)證流程。1身份鑒別設(shè)備請求身份鑒別應(yīng)用服務(wù)端獲取授權(quán)，身份鑒別應(yīng)用服務(wù)端透傳請求到居民身份網(wǎng)絡(luò)認(rèn)證系統(tǒng)，請求身份鑒別設(shè)備專用安全芯片讀取身份鑒別憑證數(shù)據(jù)。a)身份鑒別設(shè)備讀取身份鑒別設(shè)備專用安全芯片的SEID；b)身份鑒別設(shè)備專用安全芯片返回SEID；c)身份鑒別設(shè)備將SEID組裝成請求數(shù)據(jù)到身份鑒別服務(wù)端請求授權(quán)；d)身份鑒別服務(wù)端通過向居民身份網(wǎng)絡(luò)認(rèn)證系統(tǒng)請求獲取授權(quán)數(shù)據(jù)，參數(shù)為SEID；e)居民身份網(wǎng)絡(luò)認(rèn)證系統(tǒng)返回業(yè)務(wù)授權(quán)數(shù)據(jù)，身份鑒別服務(wù)端將授權(quán)數(shù)據(jù)返回到身份鑒別設(shè)備；f)身份鑒別設(shè)備拼裝NFCGETDATA命令，參數(shù)為業(yè)務(wù)類型（值為FC）。2身份鑒別設(shè)備從卡應(yīng)用讀取數(shù)據(jù)。a)身份鑒別設(shè)備發(fā)送NFCGETDATA命令給卡應(yīng)用；b)卡應(yīng)用返回{總長度|身份鑒別憑證密文|MAC}給身份鑒別設(shè)備；c)身份鑒別設(shè)備請求身份鑒別設(shè)備專用安全芯片解密數(shù)據(jù)，命令為NFCDECRYPT，參數(shù)為{總長度|身份鑒別憑證密文|MAC|授權(quán)數(shù)據(jù)}；d)身份鑒別設(shè)備專用安全芯