T∕TAF 096-2021 服务提供方可信服务管理技术要求

ICS33.050CCSM30团体标准T/TAF096-2021服务提供方可信服务管理技术要求Technicalrequirementsforserviceprovidertrustedservicemanagement2021-08-17发布2021-08-17实施电信终端产业协会发布T/TAF096-2021I目次前言..................................................................................II1范围...............................................................................12规范性引用文件.....................................................................13术语和定义.........................................................................14缩略语.............................................................................25技术参考架构.......................................................................26功能要求...........................................................................37技术要求...........................................................................68安全要求...........................................................................79接口要求...........................................................................7参考文献............................................................................11T/TAF096-2021II前言本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由电信终端产业协会提出并归口。本文件起草单位：蚂蚁科技集团股份有限公司、中国信息通信研究院、阿里巴巴（中国）有限公司、OPPO广东移动通信有限公司、高通无线通信技术（中国）有限公司、华为技术有限公司、小米通讯技术有限公司、联想（北京）有限公司、郑州信大捷安信息技术股份有限公司、南昌黑鲨科技有限公司。本文件主要起草人：林冠辰、杜云、孙元博、赵生波、彭晋、昌文婷、宁华、李根、杨明慧、王江胜、王思善、黄天宁、王乐、张倞诚、任冠一、李汝鑫、刘献伦、刘为华、汪国平、傅山、王嘉义。T/TAF096-20211服务提供方可信服务管理技术要求1范围本文件规定了面向服务提供方可信服务管理安全技术要求，包括技术参考架构、功能要求、技术要求、安全要求等。本文件适用于服务提供方可信服务管理平台发起的辅助安全域的生命周期管理操作，包括创建、锁定、解锁、删除等。2规范性引用文件本文件没有规范性引用文件。3术语和定义下列术语和定义适用于本文件。3.1可信服务管理trustedservicemanagement由可信管理者提供的载体生命周期管理、应用生命周期管理和应用管理等服务。3.2服务提供方可信服务管理serviceprovider–trustedservicemanagement服务提供方TSM，为用户提供服务，管理安全应用及个人化数据。3.3辅助安全域supplementarysecuritydomain由ISD创建及分配权限，为发行方之外的操作者提供的安全域。3.4应用协议数据单元applicationprotocoldataunitSE芯片可执行指令的信息单元。3.5委托管理安全域delegatedmanagementsecuritydomainT/TAF096-20212委托管理SD，使用该SD进行安全应用管理时需要向SEI-TSM申请授权Token，由具有token验证权限的SD验证之后才能完成操作。3.6授权管理安全域authenticatedmanagementsecuritydomain授权管理SD有自主管理安全应用的权限，业务生命周期管理时不需要向SEI-TSM申请Token。3.7主安全域issuersecuritydomain负责对SE管理者的管理、安全、通信需求进行支持的SE上首要实体，也称发行方安全域。3.8安全单元发卡方可信服务管理secureentityissuer–trustedservicemanagement管理安全单元及其内容。4缩略语下列缩略语适用于本文件。AMSD：授权管理安全域（AuthorizedManagementSecurityDomain）APDU：应用协议数据单元（ApplicationProtocolDataUnit）DMSD：委托管理安全域（DelegatedManagementSecurityDomain）ISD：主安全域（IssuerSecurityDomain）SE：安全单元（SecureElement）SEI-TSM：安全单元发卡方可信服务管理（SecureElementIssuer–TrustedServiceManagement）SP-TSM：服务提供方可信服务管理（ServiceProvider-TrustedServiceManagement）SSD：辅助安全域（SupplementarySecurityDomain）TSM：可信服务管理（TrustedServiceManagement）TLCP：传输层密码协议（TransportLayerCryptographyProtocol）TLS：传输层安全协议（TransportLayerSecurity）5技术参考架构服务提供方可信服务管理(SP-TSM)为自有应用提供个人化的可信服务管理，技术参考架构示意图如图1所示。SP-TSM分别和SEI-TSM、终端设备建立安全通道，管理辅助安全域、管理应用提供方、应用生命周期管理等。T/TAF096-20213SSD生命周期管理Token申请密码同步SD状态同步图1技术参考架构示意图注：虚线部分SEI-TSM不在本文件范围。6功能要求6.1SP-TSM功能要求6.1.1概述SP-TSM应具备辅助安全域生命周期管理，密钥安全管理，个人化设置，应用的安全下载、安装、锁定、解锁和删除等生命周期管理。6.1.2SSD管理应具备创建申请、锁定、解锁、删除属于自有应用的辅助安全域(SSD)。应具备辅助安全域的密钥更新功能。6.1.3SSD密钥安全管理应具备密钥产生、分发、存储、更新、归档、撤销、备份、恢复和销毁等密钥全生命周期安全管理功能。应具备更新自有辅助安全域密钥体系的能力。6.1.4可信应用管理服务应支持对智能终端（智能手机、可穿戴设备等）提供个人化的可信服应用委托管理服务、授权管理服务。应具备应用生命周期管理，包括业务应用的数据准备，应用的下载、安装、锁定、解锁、删除等。6.1.5安全通道按照GP定义的相关协议规范，建立和自有辅助安全域的安全通信通道。T/TAF096-202146.1.6证书管理应具备SSD中证书签发、证书吊销、证书更新、证书查询等功能。6.2SP-TSM服务流程6.2.1SSD管理流程SSD可通过线上、线下等多种方式创建。当创建请求由SP-TSM向SEI-TSM申请时，其流程图如图2所示。终端/SP-Agent/SE发起可信服务下载时，判断辅助安全域是否存在。若不存在，SP-TSM向SEI-TSM发送创建SSD请求。SEI-TSM返回创建SSD响应，授权SE中的发行方安全域创建辅助安全域。SEI-TSMSP-TSM创建SSD响应创建SSD请求终端/SP-agent/SE应用下载请求创建SSD互相完成认证，建立安全通道图2SSD创建流程图示例根据服务运行状态或终端SE的情况，SP-TSM可向SEI-TSM发送SSD管理请求，如锁定/解锁/删除SSD请求。根据SSD管理请求，SEI-TSM返回相应的管理响应，如锁定/解锁/删除SSD响应。SP-TSM将管理响应转发给SE，授权SE中的主控制域完成辅助安全域的相关操作。6.2.2SSD密钥更新流程SSD密钥协商有多种实现方式，比如SP按约定的规则基于根密钥生成初始密钥并进行替换，或SP主动调SEI-TSM的接口去获取密钥。当密钥由SEI-TSM分配时，SEI-TSM可发送初始密钥同步请求，将分配的SSD密钥发送给SP-TSM。SP-TSM返回密钥同步响应，之后进行SSD密钥更新，并将更新的SSD密钥推送给SE，进行个人化安全配置。SSD密钥更新流程示例如图3所示。SEI-TSMSP-TSM初始密钥同步请求初始密钥同步响应SP-agent/SESSD创建完成生成密钥将密钥信息推送到辅助安全域图3SSD密钥更新流程图示例T/TAF096-202156.2.3可信应用托管流程终端SE发起创建/更新/删除安全应用的请求。在可信应用托管服务的模式中，SP-TSM向SEI-TSM发送申请Token请求，SEI-TSM根据请求信息返回申请Token响应。SP-TSM将授权令牌和应用操作一起下发给终端SE，完成相应的应用操作。可信应用托管流程图示例如图4所示：SP-agent/SESEI-TSMSP-TSM创建/更新/删除安全应用请求申请Token请求申请Token响应创建/更新/删除安全应用响应图4可信应用托管流程图示例6.2.4SSD状态同步流程由于SE维修或更换时，会对SE中的SSD造成影响，导致SSD的状态和SP-TSM平台维护的状态信息不一致。SEI-TSM或其它设备厂商服务器发送SSD状态同步请求给SP-TSM,明确SE中的SSD及应用可能被清除。根据状态信息，SP-TSM返回SSD状态同步响应，并根据更新的SSD状态去调整服务，并通知相关服务提供方。SSD状态同步流程示例如图5所示：SESP-TSMSEI-TSMSE状态变化SSD状态同步响应SSD状态同步请求图5SSD状态同步流程示例6.3接口功能6.3.1SSD管理SP-TSM向SEI-TSM申请创建/锁定/解锁/删除归属于SP的辅助安全域(SSD)，用于后续SP管理自有应用。若不能一次完成SSD管理指令的所有信息，可通过获取指令继续执行剩余SSD管理指令。6.3.2Token申请T/TAF096-20216在委托管理模式，SP-TSM执行应用的生命周期管理时，如应用下载、安装、删除、迁移等操作时需要向SEI-TSM申请当前操作的Token。6.3.3密钥同步归属于SP的SSD创建完成后，SEI-TSM调用密码同步接口，将SSD的初始密钥推送给SP-TSM，用于SP-TSM对SSD进行生命周期管理。6.3.4SD状态同步当设备在SEI方进行维修或更换操作时，SE中的SSD及应用可能被清除，需要将该状态同步到SP-TSM。7技术要求7.1辅助安全域（SSD）管理SP-TSM应提供辅助安全域的生命周期管理,包括辅助安全域的创建、删除、锁定、解锁等。SP-TSM应支持授权模式和委托模式两种辅助安全域管理模式。在辅助安全域删除前，如果该安全域中有相关的应用，则应与关联的应用提供方进行协商。如果发现卡片存在威胁且与特定的安全域相关，SP-TSM可锁定该安全域。处于锁定状态的安全域，其相关安全域和