TIÊU CHUẨN QUỐC GIA
TCVN 11167-4:2015
ISO/IEC 7816-4:2013
THẺ DANH ĐỊNH - THẺ MẠCH TÍCH HỢP - PHẦN 4: TỔ CHỨC, AN NINH VÀ LỆNH TRAO ĐỔI
Identification cards - Integrated circuit cards - Part 4: Organization, security and commands for
interchange
Lời nói đầu
TCVN 11167-4:2015 hoàn toàn tương đương với ISO/IEC 7816-4:2013, ISO/IEC 7816-
4:2013/Cor.1:2014
TCVN 11167-4:2015 do Tiểu Ban kỹ thuật tiêu chuẩn quốc gia TCVN/JTC 1/SC 17 “Thẻ nhận dạng”
biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học và Công nghệ công bố.
Bộ tiêu chuẩn TCVN 11167 (ISO/IEC 7816) Thẻ định danh - Thẻ mạch tích hợp gồm các tiêu chuẩn
sau:
- Phần 1: Thẻ tiếp xúc - Đặc tính vật lý;
- Phần 2: Thẻ tiếp xúc - Kích thước và vị trí tiếp xúc;
- Phần 3: Thẻ tiếp xúc - Giao diện điện và giao thức truyền;
- Phần 4: Tổ chức, an ninh và lệnh trao đổi;
- Phần 5: Đăng ký của bên cung cấp ứng dụng;
- Phần 6: Phần tử dữ liệu liên ngành trong trao đổi;
- Phần 7: Lệnh liên ngành đối với ngôn ngữ truy vấn thẻ có cấu trúc;
- Phần 8: Lệnh đối với hoạt động an ninh;
- Phần 9: Lệnh đối với quản lý thẻ;
- Phần 10: Tín hiệu điện và trả lời để thiết lập lại cho thẻ đồng bộ;
- Phần 11: Xác minh cá nhân bằng phương pháp sinh trắc học;
- Phần 12: Thẻ tiếp xúc - Thủ tục vận hành và giao diện điện tử USB;
- Phần 13: Lệnh đối với quản lý ứng dụng trong môi trường đa ứng dụng;
- Phần 15: Ứng dụng thông tin mã hóa.
THẺ ĐỊNH DANH - THẺ MẠCH TÍCH HỢP - PHẦN 4: TỔ CHỨC, AN NINH VÀ LỆNH TRAO ĐỔI
Identification cards - Integrated circuit cards - Part 4: Organization, security and commands for
interchange
1 Phạm vi áp dụng
Tiêu chuẩn này áp dụng trong mọi lĩnh vực. Tiêu chuẩn này qui định:
- Nội dung cặp lệnh-hồi đáp được trao đổi tại giao diện,
- Biện pháp truy lục các phần tử dữ liệu và đối tượng dữ liệu trong thẻ,
- Cấu trúc và nội dung của các byte lịch sử mô tả các đặc tính hoạt động của thẻ,
- Cấu trúc đối với các ứng dụng và dữ liệu trong thẻ, được thể hiện tại giao diện khi xử lý lệnh,
- Phương pháp truy cập tệp và dữ liệu trong thẻ,
- Kiến trúc an toàn để xác định quyền truy cập tệp và dữ liệu trong thẻ,
- Biện pháp và cơ chế xác định và định địa chỉ các ứng dụng trong thẻ,
- Phương pháp truyền thông điệp an toàn,
- Phương pháp truy cập thuật toán được thẻ xử lý. Không mô tả các thuật toán này.
Tiêu chuẩn này không bao gồm các phần thực thi trong thẻ hoặc các phần thực thi của mọi đối tượng
bên ngoài.
Tiêu chuẩn này độc lập với công nghệ giao diện vật lý và chỉ áp dụng đối với thẻ được truy cập theo
một hoặc các phương pháp sau: tiếp xúc, kết nối và tần số vô tuyến. Nếu thẻ hỗ trợ sử dụng đồng thời
nhiều giao diện vật lý, thì mối quan hệ giữa các sự việc xảy ra trên các giao diện vật lý khác nhau
không thuộc phạm vi của tiêu chuẩn này.
2 Tài liệu viện dẫn
Các tài liệu viện dẫn sau là rất cần thiết cho việc áp dụng tiêu chuẩn. Đối với các tài liệu viện dẫn ghi
năm công bố thì áp dụng bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp
dụng phiên bản mới nhất, bao gồm cả các sửa đổi.
TCVN 11167-3 (ISO/IEC 7816-3), Thẻ định danh - Thẻ mạch tích hợp - Phần 3: Thẻ tiếp xúc - Giao
diện điện và giao thức truyền;
TCVN 11167-6 (ISO/IEC 7811-6), Thẻ định danh - Thẻ mạch tích hợp - Phần 6: Phần tử dữ liệu liên
ngành trong trao đổi;
ISO/IEC 8825-1:2002, Information technology - ASN.1 encoding rules: Specification of basic encoding
rules (BER), Canonical encoding rules (CER) and distinguished encoding rules (DER) (Công nghệ
thông tin - Quy tắc mã hóa ASN.1: Đặc điểm của quy tắc mã hóa cơ bản (BER), quy tắc mã hóa chính
tắc (CER) và quy tắc mã hóa phân biệt (DER)).
3 Định nghĩa
Tiêu chuẩn này áp dụng các thuật ngữ, định nghĩa sau đây.
3.1
Quy tắc truy cập (access rule)
Phần tử dữ liệu bao gồm một chế độ truy cập liên quan đến hoạt động và các điều kiện an toàn cần
thực hiện trước khi hành động.
3.2
Tệp answer-to-reset (answer-to-reset file)
EF tùy chọn chỉ ra các đặc tính hoạt động của thẻ, cũng là tệp thông tin.
3.3
Ứng dụng (application)
Các cấu trúc, phần tử dữ liệu và mô-đun chương trình cần thiết để thực hiện một hàm cụ thể.
3.4
DF ứng dụng (application DF)
Tệp chuyên dụng (DF) để tạo và quản lý ứng dụng trong thẻ.
3.5
Định danh ứng dụng (application identifier)
Phần tử dữ liệu (đến 16 byte) định danh ứng dụng.
3.6
Nhãn ứng dụng (application label)
Phần tử dữ liệu sử dụng tại giao diện người-máy.
3.7
Nhà cung cấp ứng dụng (application provider)
Thực thể cung cấp các cấu phần tạo nên ứng dụng trong thẻ.
3.8
Khuôn mẫu ứng dụng (application template)
Tập các đối tượng dữ liệu liên quan đến ứng dụng bao gồm một đối tượng dữ liệu định danh ứng dụng
3.9
Kỹ thuật mật mã không đối xứng (asymmetric cryptographic technique)
Kỹ thuật mật mã sử dụng hai phép tính liên quan: phép tính công khai được xác định bởi số hiệu công
khai hoặc bởi khóa công khai và phép tính riêng được xác định bởi số hiệu riêng hoặc bởi khóa riêng
(hai phép tính đều có thuộc tính là với phép tính công khai cho trước không thể tính ra phép tính riêng)
3.10
Khuôn mẫu cơ sở (base template)
Trường giá trị của đối tượng dữ liệu được xây dựng, ngoại trừ các DO là kết quả của việc phân tích
tham chiếu gián tiếp.
3.11
Chứng thư (certificate)
Chữ ký số ràng buộc một người hoặc đối tượng nào đó với khóa công khai tương ứng (thực thể phát
hành chứng thư là bên có thẩm quyền cấp phát thẻ bài liên quan đến các phần tử dữ liệu trong chứng
thư).
3.12
Cặp lệnh-hồi đáp (command-response pair)
Tập hai thông điệp tại giao diện: Một APDU lệnh theo sau bởi APDU hồi đáp theo hướng ngược lại.
3.13
Nối chuỗi lệnh (command chaining)
Biện pháp được sử dụng bởi mọi đối tượng bên ngoài để báo cho thẻ rằng dữ liệu lệnh của một trình
tự các cặp lệnh-hồi đáp phải được xử lý cùng nhau.
3.14
Lớp bối cảnh-cụ thể (context-specific class)
Lớp thẻ bài có byte đầu tiên hoặc duy nhất '80' đến ‘BF’.
3.15
Khuôn mẫu hiện hành (current template)
Trình tự các đối tượng dữ liệu có thể được tham chiếu trực tiếp bằng thẻ bài duy nhất của các đối
tượng đó trong một lệnh trao đổi, nghĩa là trường giá trị của DO được xây dựng hiện hành (có thể ảo)
3.16
Phần tử dữ liệu (data element)
Hạng mục thông tin được nhận biết tại giao diện; được qui định một tên, mô tả nội dung lô-gic, định
danh và việc mã hóa.
3.17
Đối tượng dữ liệu (data object)
Thông tin được nhận biết tại giao diện bao gồm chuỗi nối kết trường thẻ bài bắt buộc, trường độ dài
bắt buộc và trường giá trị có điều kiện.
3.18
Đơn vị dữ liệu (data unit)
Tập nhỏ nhất các bit có thể được tham chiếu rõ ràng trong một EF hỗ trợ các đơn vị dữ liệu.
3.19
Tệp dành riêng (dedicated file)
Cấu trúc bao gồm thông tin điều khiển tệp, là tùy chọn, sẵn có bộ nhớ để cấp phát.
3.20
Tên DF (DF name)
Phần tử dữ liệu (đến 16 byte) định danh duy nhất một DF trong thẻ.
3.21
Chữ ký số (digital signature)
Dữ liệu được nối thêm, hoặc biến đổi mật mã cho một chuỗi dữ liệu để chứng minh nguồn gốc và tính
toàn vẹn của chuỗi dữ liệu và bảo vệ chống lại việc giả mạo, ví dụ: bởi người nhận chuỗi dữ liệu.
3.22
Tệp thư mục (directory file)
EP tùy chọn bao gồm danh sách các ứng dụng được hỗ trợ bởi thẻ và các phần tử dữ liệu tùy chọn
liên quan.
3.23
Tệp sơ cấp (elementary file)
Tập các đơn vị dữ liệu hoặc các bản ghi hoặc đối tượng dữ liệu cùng chia sẻ định danh tệp.
3.24
Tiêu đề mở rộng (extended header)
Phần tử dữ liệu tham chiếu một hoặc một vài DO trong DO được xây dựng.
3.25
Danh sách tiêu đề mở rộng (extended header list)
Chuỗi nối kết của các tiêu đề mở rộng.
3.26
Tệp (file)
Một cấu trúc cho ứng dụng và/hoặc dữ liệu trong thẻ, được nhận biết tại giao diện khi xử lý các lệnh.
3.27
Định danh tệp (file identifier)
Phần tử dữ liệu (2 byte) được sử dụng để định địa chỉ tệp.
3.28
Danh sách tiêu đề (header list)
Chuỗi nối kết các cặp trường và độ dài của thẻ bài mà không cần phân định.
3.29
Tệp thông tin (information file)
EF tùy chọn biểu thị các đặc tính hoạt động của thẻ, cũng là tệp answer-to-reset.
3.30
Liên ngành (interindustry)
Được tiêu chuẩn hóa trong bộ TCVN 11167 (ISO/IEC 7816).
3.31
EF nội bộ (internal EF)
EF để lưu giữ dữ liệu được dịch bởi thẻ.
3.32
Khóa (key)
Trình tự các ký hiệu điều khiển thao tác mật mã (ví dụ mật hóa, giải mật mã, phép tính riêng hoặc công
khai trong xác thực động, tạo chữ ký, xác minh chữ ký)
3.33
Tệp chủ (master file)
DF đơn nhất thể hiện gốc trong thẻ có sử dụng hệ phân cấp DF.
3.34
ốp-xét (offset)
Số tham chiếu theo trình tự đơn vị dữ liệu trong một EF hỗ trợ các đơn vị dữ liệu, hoặc một byte trong
bản ghi.
3.35
Dữ liệu quá cỡ (oversize payload)
Dữ liệu vượt quá qui định kích cỡ hiện hành của APDU.
3.36
Tệp cha (parent file)
DF ở ngay trước tệp cho trước trong hệ phân cấp DF.
3.37
Mật khẩu (password)
Dữ liệu được yêu cầu bởi ứng dụng được thể hiện cho thẻ bởi người sử dụng thẻ với mục đích xác
thực.
3.38
Đường dẫn (path)
Chuỗi nối kết định danh tệp mà không cần phân định.
3.39
Dữ liệu (payload)
Dữ liệu chiều dài tùy ý, được gửi tới thẻ hoặc bởi thẻ, được xử lý cùng nhau.
3.40
Khóa riêng (private key)
Khóa trong một cặp khóa không đối xứng của thực thể, chỉ được sử dụng bởi thực thể đó.
[ISO/IEC 9798-1]
3.41
Nhà cung cấp (provider)
Người có thẩm quyền hoặc người có quyền tạo DF trong thẻ.
3.42
Khóa công khai (public key)
Khóa trong một cặp khóa không đối xứng của thực thể mà có thể công khai.
[ISO/IEC 9798-1]
3.43
Bản ghi (record)
Chuỗi các byte được tham chiếu và xử lý bằng thẻ trong một EF có hỗ trợ bản ghi.
3.44
Định danh bản ghi (record identifier)