3.2.3 安全通道协议
- 发行者安全域支持: 至少支持安全通道协议 '02' 和 '03' 中的一个,以及 '80' 和 '81' 中的一个。
- 额外协议支持: 可以支持实现中支持的一个或多个额外的安全通道协议(参见3.1.2节)。
- 协议描述: 发行者安全域支持的安全通道协议和选项应在卡片识别数据中描述(参见3.2.1节)。
- 使用SCP '80'时的安全策略: 当发行者安全域使用SCP '80'时,应应用[TS 102 225]中定义的安全策略。
3.2.4 安全通道密钥
- 要求: 应遵循[GPC CIC]第3.2.5节定义的要求。
3.2.4.1 对SCP '80'的额外要求
- SCP '80'密钥集要求: 如果发行者安全域支持SCP '80'协议,关于SCP '80'密钥集的要求在[TS 102 225]中定义。
3.2.4.2 对SCP '81'的额外要求
- SCP '81'密钥集管理: 如果发行者安全域支持SCP '81'协议,它应能够管理至少三个SCP '81'密钥集(参见[Amd B]第3.3.2节对SCP '81'密钥集的定义)。初始时,发行者安全域拥有一个SCP '81'密钥集,用于建立SCP '81'会话。这些初始密钥的值、密钥版本号以及初始化方式不在本文档范围内。如果发行者安全域支持多个安全通道协议,则标识此密钥集的KVN应符合第4章定义的规则。
3.4 安全通道密钥的保密设置
- 保密设置机制: 这是一个可选机制,允许对新创建的补充安全域的初始安全通道密钥进行保密设置。
- CASD安装和个性化: 为了启用此机制,必须在卡提供给发行者(例如移动网络运营商MNO)之前安装并完全个性化一个控制权威安全域(CASD)。CASD的功能要求在[Amd A]中描述。
- CASD支持的场景: 如果卡支持安全通道密钥的保密设置,那么CASD至少应支持场景#3或场景#2B(RSA密钥长度超过1024位,如[Amd A]所定义)。CASD还可能支持其他场景。
- TAR值分配: CASD实例应为紧凑和扩展格式分配以下TAR值:'B2 02 01',如[TS 101 220]所定义。
- CASD作为补充安全域: 由于CASD是补充安全域的一个特例,因此第3.3节中描述的所有要求都适用于CASD。
这段内容说明了如何通过控制权威安全域(CASD)来保密地设置补充安全域的初始安全通道密钥,并指出了CASD在安装和个性化过程中需要满足的特定要求。