GLOBALPLATFORM规范培训学习课件.pptxVIP

GLOBALPLATFORM——GP系统培训

Globalplatform介绍GP组织GlobalPlatform是来自支付和通信行业的公司、政府部门、销售团体建立起来的一个组织，它是一个促进跨行业智能卡业务实现的全球组织。目标减少多应用智能卡跨行业发展的障碍。GP规范Visa、GlobalPlatform与芯片卡厂商一起发表了一份硬件无关、不依赖于应用的卡管理规范。这个新的规范提供了共同的安全及卡管理架构目前主要版本是GP2.2

Globalplatform内容概要GP系统构架GP卡片构架GP安全构架生命周期管理CardManager安全域安全通讯

术语和定义术语定义应用（Application）一个可执行装载模块的实例，这个可执行模块已经被装载到卡里并完成了安装，它所处的生命周期状态为可选。应用协议数据单元（APDU)卡和读写器之间标准的通讯协议卡发行者拥有卡，并且最终对卡上行为负责的实体。

GP系统构架

GP系统构架GP系统架构为卡发行者提供了管理java卡的管理架构。GP为卡发行者提供了灵活的方式来管理那些想在卡发行者的卡上运行应用的商业伙伴。GP允许卡发行者与商业伙伴共享卡片的部分控制权,给予了卡发行者最大的灵活性来管理他们的卡。最终的控制总是在卡发行者这里，但是通过GP，卡发行者的商业伙伴被允许在卡发行者的卡上适当的管理他们自己的应用。

GP卡片构架

运行时环境负责为其它的应用提供硬件无关的API接口为卡片上应用提供安全的存储和运行空间确保应用间代码和数据的独立性为卡片和外界提供通讯服务 ISO/IEC7816-3,ISO/IEC7816-4,ISO/IEC14443-3等（可以从ATR中得知卡片支持的协议类型，逻辑通道等系列相关信息）

GlobalPlatformEnvironment

(OPEN)为应用提供API命令分发应用选择逻辑通道管理卡片内容管理管理GP注册表

GPAPIGP的API为应用提供服务卡持有者的校验、个人化、安全服务为应用提供了一些卡内容管理服务卡的锁定、应用生命周期状态的更新org.globalplatform.Applicationorg.globalplatform.SecureChannelorg.globalplatform.GPSystemorg.globalplatform.CVM

安全域IssuerSecurityDomain强制存在代表卡片发行者SupplementarySecurityDomains可选的代表应用提供商，卡片发行者或者其他代理ControllingAuthoritySecurityDomains 一种特殊的SSD用于增强装载到卡里所有应用的代码的安全策略总结：安全域为它们的所有者（卡发行者，应用提供者和控制授权中心机构）的应用提供的安全服务，包括：密钥处理，数据加密，数据解密，数字签名的生成和校验。

Cardcontent本规范所定义的所有卡内容最初在卡里是以可执行装载文件的形式存在的，一个可执行装载文件可能存在于： ? 卡内不可改变的存储区（ROM）这种情况下，可执行装载文件在卡片生产过程中就被装载到卡里，并且不可被改变（可以被禁止） ? 卡内可变存储区中（EEPROM）在这种情况下，可执行装载文件可以在发行前阶段或发行后阶段被装载或删除。

Cardcontent每一个可执行装载文件包含一个或多个可执行模块，也叫应用的代码。应用的安装会从一个可执行模块里创建一个实例连同该应用相关的数据一起放入卡片的可变存储区中。任何应用的实例及其相关的数据都可以被移除。一个GP卡将支持多个可执行装载文件、多个可执行模块以及多个应用同时存在于一张GP卡上。

CardmanagerCM可以看作是以下三个实体： ? GlobalPlatform的运行时环境。 ? 发行者安全域。 ? 对卡持有者的校验方法。

GP安全构架安全目标。卡发行者的职责。应用提供者的职责。控制授权中心机构。对卡上组件的安全要求。GP提供的加密算法支持

安全目标GP的首要目标是在卡的生命周期中保证卡组件的安全性和完整性。这些组件包括： ? 运行时环境 ? OPEN ? 发行者安全域 ? 安全域 ? 应用为了保证卡的安全性和完整性，GP被设计用来支持下列范围内的安全机制： ? 数据的完整性 ? 资源的可利用性 ? 必威体育官网网址性 ? 可认证

卡发行者安全职责生成并装载发行者安全域(ISD)密钥创建和初始化应用提供商的安全域为卡及应用生命周期的管理、频率检查的级别、应用权限、其它的安全参数确定安全策略在发行前或发行后阶段，管理应用代码的装载和安装以加密的方式批