GLOBALPLATFORM

——GP系統培訓最新Globalplatform介紹GP組織GlobalPlatform是來自支付和通信行業的公司、政府部門、銷售團體建立起來的一個組織，它是一個促進跨行業智能卡業務實現的全球組織.目標減少多應用智能卡跨行業開展的障礙.GP標準Visa、GlobalPlatform與芯片卡廠商一起發表了一份硬件無關、不依賴于應用的卡管理標準.這個新的標準提供了共同的平安及卡管理架構目前主要版本是GP2.2最新2Globalplatform內容概要GP系統構架GP卡片構架GP平安構架生命周期管理CardManager平安域平安通訊最新3術語和定義最新4GP系統構架最新5GP系統構架GP系統架構為卡發行者提供了管理java卡的管理架構.GP為卡發行者提供了靈活的方式來管理那些想在卡發行者的卡上運行應用的商業伙伴.GP允許卡發行者與商業伙伴共享卡片的局部控制權,給予了卡發行者最大的靈活性來管理他們的卡.最終的控制總是在卡發行者這里，但是通過GP，卡發行者的商業伙伴被允許在卡發行者的卡上適當的管理他們自己的應用.最新6GP卡片構架

最新7運行時環境負責為其它的應用提供硬件無關的API接口為卡片上應用提供平安的存儲和運行空間確保應用間代碼和數據的獨立性為卡片和外界提供通訊效勞 ISO/IEC7816-3,ISO/IEC7816-4,ISO/IEC14443-3等〔.可以從ATR中得知卡片支持的協議類型，邏輯通道等系列相關信息〕最新8GlobalPlatformEnvironment

(OPEN)為應用提供API命令分發應用選擇邏輯通道管理卡片內容管理管理GP注冊表最新9GPAPIGP的API為應用提供效勞卡持有者的校驗、個人化、平安效勞為應用提供了一些卡內容管理效勞卡的鎖定、應用生命周期狀態的更新org.globalplatform.Applicationorg.globalplatform.SecureChannelorg.globalplatform.GPSystemorg.globalplatform.CVM最新10平安域IssuerSecurityDomain強制存在代表卡片發行者SupplementarySecurityDomains可選的代表應用提供商，卡片發行者或者其他代理ControllingAuthoritySecurityDomains 一種特殊的SSD用于增強裝載到卡里所有應用的代碼的平安策略

總結：平安域為它們的所有者〔.卡發行者，應用提供者和控制授權中心機構〕的應用提供的平安效勞，包括：密鑰處理，數據加密，數據解密，數字簽名的生成和校驗.最新11Cardcontent本標準所定義的所有卡內容最初在卡里是以可執行裝載文件的形式存在的，一個可執行裝載文件可能存在于： 卡內不可改變的存儲區〔.ROM〕這種情況下，可執行裝載文件在卡片生產過程中就被裝載到卡里，并且不可被改變〔.可以被制止〕 卡內可變存儲區中〔.EEPROM〕在這種情況下，可執行裝載文件可以在發行前階段或發行后階段被裝載或刪除.

最新12Cardcontent每一個可執行裝載文件包含一個或多個可執行模塊，也叫應用的代碼.應用的安裝會從一個可執行模塊里創立一個實例連同該應用相關的數據一起放入卡片的可變存儲區中.任何應用的實例及其相關的數據都可以被移除.一個GP卡將支持多個可執行裝載文件、多個可執行模塊以及多個應用同時存在于一張GP卡上.最新13CardmanagerCM可以看作是以下三個實體： GlobalPlatform的運行時環境. 發行者平安域. 對卡持有者的校驗方法.最新14GP平安構架平安目標.卡發行者的職責.應用提供者的職責.控制授權中心機構.對卡上組件的平安要求.GP提供的加密算法支持最新15平安目標GP的首要目標是在卡的生命周期中保證卡組件的平安性和完整性.這些組件包括： 運行時環境 OPEN 發行者平安域 平安域 應用為了保證卡的平安性和完整性，GP被設計用來支持以下范圍內的平安機制： 數據的完整性 資源的可利用性 保密性 可認證最新16卡發行者平安職責生成并裝載發行者平安域(ISD)密鑰創立和初始化應用提供商的平安域為卡及應用生命周期的管理、頻率檢查的級別、應用權限、其它的平安參數確定平安策略在發行前或發行后階段，管理應用代碼的裝載和安裝以加密的方式批準應用提供者進展應用的裝載、安裝和移交最新17應用提供商平安職責為其自己的平安域生成或從可信任的第三方獲得密鑰與卡發行者一起將生成的密鑰裝入應用提供者的平安域提供滿足發行者平安標準和策略的應用按照應用提供者的平安策略提供給用代碼的簽名從卡發行者那里預先獲得執行應用裝載、安裝和移交操作的授權按照卡發行者的平安策略，返回在裝載、安裝、刪除和移交過程中生成的收條最新18控制授權中心機構的平安職責為其自己的平安域生成或從可信任的第三方獲得密鑰與卡發行者一起將生成或取得的密鑰裝入控制授權中心機構的平安域按照其自身定義的平安標準及策略為卡發行者和應用提供者提供給用代碼的簽名最新19卡上組件平安要求運行時平安要求OPEN平安要求發行者平安域要求CVM平安要求SD平安要求應用平安要求最新20卡片生命周期最新21平安域平安域是一種享有特權的應用每個卡片都有一個強制的平安域ISD最新22ISD的特性ISD是卡片上安裝的得一個應用不具備SD的生命周期，他的生命周期跟卡的生命周期一樣如果沒有指定默認選擇的應用，ISD會被默認選擇最新23卡內容裝載和安裝最新24應用裝載最新25應用安裝最新26個性化支持最新27平安通訊應用會話期間，平安通道在卡和卡外實體之間提供一個平安通信通道三個平安級別實體認證完整性校驗機密傳輸〔.傳遞密鑰等敏感數據〕平安通道會話分為三個階段： 平安通道發起 平安通道操作 平安通道終止最新28平安通訊卡外實體使用相應的APDU命令或者卡上應用使用相應的API可以發起一個平安通道會話.這種方法就是顯式平安通道的建立.相應的APDU命令允許卡外實體通知卡當前平安通道會話〔.完整性和/或保密性〕所需要的平安級別.卡外實體也可以選擇使用的密鑰.最新29平安通道協議號平安通道協議標志著在平安域中實現的是哪一個具體的平安通訊協議和一組平安效勞.以下的值可以作為平安通道協議標識符： '00'–不可用 '01'–定義在附錄DSecureChannelProtocol'01'中的平安通道協議1 '02'–定義在附錄ESecureChannelProtocol'02'中的平安通道協議2 '03'to'7F'–保存GlobalPlatform將來使用. '80'to'EF'–保存用于GlobalPlatform注冊的個人用途. 'F0'to'FF'–保存用于未被GlobalPlatform注冊的個人用途.平安通道協議'01'是向后兼容OpenPlatformCardS