Aby zapewnić większe bezpieczeństwo, niektóre urządzenia mają wbudowany element Secure Element (SE), który jest dedykowanym, oddzielnym, odpornym na manipulacje sprzętem do przechowywania danych kryptograficznych. Open Mobile API to standardowy interfejs API używany do komunikacji z bezpiecznym elementem urządzenia. W systemie Android 9 wprowadzono obsługę tego interfejsu API i zapewnia implementację zaplecza, w tym usługę Secure Element Service i SE HAL.
Usługa Secure Element sprawdza obsługę bezpiecznych elementów obsługiwanych przez platformę globalną (zasadniczo sprawdza, czy urządzenia mają implementację SE HAL, a jeśli tak, to ile). Służy to jako podstawa do testowania interfejsu API i podstawowej implementacji bezpiecznego elementu.
Otwórz przypadki testowe Mobile API
Przypadki testowe Open Mobile API (OMAPI) służą do egzekwowania wytycznych API i potwierdzania, że podstawowa implementacja Secure Elements spełnia specyfikację Open Mobile API. Te przypadki testowe wymagają instalacji specjalnego apletu, aplikacji Java Card na Secure Element, która jest używana przez aplikację CTS do komunikacji. Do instalacji użyj przykładowego apletu znajdującego się w google-cardlet.cap
.
Aby przejść testy OMAPI, podstawowa usługa bezpiecznego elementu i SE powinny zapewniać następujące możliwości:
- Wszystkie nazwy czytników Secure Element Reader powinny zaczynać się od SIM, eSE lub SD.
- Czytniki inne niż SIM powinny mieć możliwość otwierania podstawowych kanałów.
- Plik
CtsOmapiTestCases.apk
nie powinien mieć możliwości wybrania pomocy A000000476416E64726F6964435453FF: -
CtsOmapiTestCases.apk
powinien mieć możliwość wyboru apletu z następującymi identyfikatorami aplikacji (AID):- 0xA000000476416E64726F696443545331
- Aplet powinien zgłosić wyjątek bezpieczeństwa po odebraniu następującej jednostki danych protokołu aplikacji (APDU) w
android.se.omapi.Channel.Transmit
( Transmit ):- 0x00700000
- 0x00708000
- 0x00A40404104A535231373754657374657220312E30
- Aplet nie powinien zwracać żadnych danych, jeśli w transmisji otrzyma następujące pakiety APDU:
- 0x00060000
- 0x80060000
- 0xA0060000
- 0x94060000
- 0x000A000001AA
- 0x800A000001AA
- 0xA00A000001AA
- 0x940A000001AA
- Aplet powinien zwrócić 256-bajtowe dane dla następujących APDU transmisji :
- 0x0008000000
- 0x8008000000
- 0xA008000000
- 0x9408000000
- 0x000C000001AA00
- 0x800C000001AA00
- 0xA00C000001AA00
- 0x940C000001AA00
- Aplet powinien zwrócić następujące odpowiedzi na słowa statusowe dla odpowiedniego APDU transmisji :
*Odpowiedź powinna zawierać dane takie same jak dane wejściowe APDU, z tą różnicą, że pierwszy bajt to 0x01 zamiast 0x00.Prześlij APDU Słowo statusowe Dane 0x00F30106 0x6200 NIE 0x00F30206 0x6281 NIE 0x00F30306 0x6282 NIE 0x00F30406 0x6283 NIE 0x00F30506 0x6285 NIE 0x00F30606 0x62F1 NIE 0x00F30706 0x62F2 NIE 0x00F30806 0x63F1 NIE 0x00F30906 0x63F2 NIE 0x00F30A06 0x63C2 NIE 0x00F30B06 0x6202 NIE 0x00F30C06 0x6280 NIE 0x00F30D06 0x6284 NIE 0x00F30E06 0x6286 NIE 0x00F30F06 0x6300 NIE 0x00F31006 0x6381 NIE 0x00F3010A01AA 0x6200 NIE 0x00F3020A01AA 0x6281 NIE 0x00F3030A01AA 0x6282 NIE 0x00F3040A01AA 0x6283 NIE 0x00F3050A01AA 0x6285 NIE 0x00F3060A01AA 0x62F1 NIE 0x00F3070A01AA 0x62F2 NIE 0x00F3080A01AA 0x63F1 NIE 0x00F3090A01AA 0x63F2 NIE 0x00F30A0A01AA 0x63C2 NIE 0x00F30B0A01AA 0x6202 NIE 0x00F30C0A01AA 0x6280 NIE 0x00F30D0A01AA 0x6284 NIE 0x00F30E0A01AA 0x6286 NIE 0x00F30F0A01AA 0x6300 NIE 0x00F3100A01AA 0x6381 NIE 0x00F3010800 0x6200 Tak 0x00F3020800 0x6281 Tak 0x00F3030800 0x6282 Tak 0x00F3040800 0x6283 Tak 0x00F3050800 0x6285 Tak 0x00F3060800 0x62F1 Tak 0x00F3070800 0x62F2 Tak 0x00F3080800 0x63F1 Tak 0x00F3090800 0x63F2 Tak 0x00F30A0800 0x63C2 Tak 0x00F30B0800 0x6202 Tak 0x00F30C0800 0x6280 Tak 0x00F30D0800 0x6284 Tak 0x00F30E0800 0x6286 Tak 0x00F30F0800 0x6300 Tak 0x00F3100800 0x6381 Tak 0x00F3010C01AA00 0x6200 Tak* 0x00F3020C01AA00 0x6281 Tak* 0x00F3030C01AA00 0x6282 Tak* 0x00F3040C01AA00 0x6283 Tak* 0x00F3050C01AA00 0x6285 Tak* 0x00F3060C01AA00 0x62F1 Tak* 0x00F3070C01AA00 0x62F2 Tak* 0x00F3080C01AA00 0x63F1 Tak* 0x00F3090C01AA00 0x63F2 Tak* 0x00F30A0C01AA00 0x63C2 Tak* 0x00F30B0C01AA00 0x6202 Tak* 0x00F30C0C01AA00 0x6280 Tak* 0x00F30D0C01AA00 0x6284 Tak* 0x00F30E0C01AA00 0x6286 Tak* 0x00F30F0C01AA00 0x6300 Tak* 0x00F3100C01AA00 0x6381 Tak* - Aplet powinien zwracać podzielone na segmenty odpowiedzi z
0xFF
jako ostatnim bajtem danych i mieć odpowiednie słowa statusowe i długości odpowiedzi dla kolejnych APDU.APDU Słowo statusowe Długość odpowiedzi (w bajtach) 0x00C2080000 0x9000 2048 0x00C4080002123400 0x9000 2048 0x00C6080000 0x9000 2048 0x00C8080002123400 0x9000 2048 0x00C27FFF00 0x9000 32767 0x00CF080000 0x9000 2048 0x94C2080000 0x9000 2048 - Aplet powinien zwrócić wartość P2 otrzymaną w poleceniu SELECT + słowo statusowe powodzenia (tj.
0x009000
) dla danego APDU: 0x00F4000000
- Aplet powinien zgłosić wyjątek bezpieczeństwa po odebraniu następującej jednostki danych protokołu aplikacji (APDU) w
- A000000476416E64726F696443545332
- Po wybraniu ten identyfikator AID powinien zwracać odpowiedź wyboru większą niż 2 bajty, prawidłowo sformatowaną przy użyciu podstawowych reguł kodowania (BER) i wartości długości znacznika (TLV).
- 0xA000000476416E64726F696443545331
CtsOmapiTestCases
- Hash APK: 0x5cc49e0bc83927486fbb3a17ed37276cbbceb290
Przypadki testowe kontroli dostępu
Zastosowania kontroli dostępu skonfigurowane w Bezpiecznym elemencie zapewniają, że tylko aplikacja posiadająca dostęp do apletu może się z nim komunikować. Dodatkowo Android obsługuje konfigurowanie reguł dla konkretnych APDU, które mogą być wymieniane przez APK.
Aby przejść te testy, skonfiguruj specjalne reguły kontroli dostępu, albo wzorzec aplikacji reguł dostępu (ARA), albo plik reguł dostępu (ARF). Powinieneś użyć apletu używanego do testów OMAPI , ponieważ te same polecenia muszą być obsługiwane, aby przejść testy kontroli dostępu.
Utwórz instancję apletu pod następującymi identyfikatorami:
- 0xA000000476416E64726F696443545340
- 0xA000000476416E64726F696443545341
- 0xA000000476416E64726F696443545342
- 0xA000000476416E64726F696443545343
- 0xA000000476416E64726F696443545344
- 0xA000000476416E64726F696443545345
- 0xA000000476416E64726F696443545346
- 0xA000000476416E64726F696443545347
- 0xA000000476416E64726F696443545348
- 0xA000000476416E64726F696443545349
- 0xA000000476416E64726F69644354534A
- 0xA000000476416E64726F69644354534B
- 0xA000000476416E64726F69644354534C
- 0xA000000476416E64726F69644354534D
- 0xA000000476416E64726F69644354534E
- 0xA000000476416E64726F69644354534F
Po wybraniu dowolny z tych identyfikatorów AID powinien zwrócić odpowiedź wyboru większą niż 2 bajty, które są poprawnie sformatowane przy użyciu BER i TLV.
CtsSecureElementAccessControlTestCases1
- Hash APK: 0x4bbe31beb2f753cfe71ec6bf112548687bb6c34e
Autoryzowane pomoce
0xA000000476416E64726F696443545340
Autoryzowane APDU:
- 0x00060000
- 0xA0060000
Nieautoryzowane APDU:
- 0x0008000000
- 0x80060000
- 0xA008000000
- 0x9406000000
0xA000000476416E64726F696443545341
Autoryzowane APDU:
- 0x94060000
- 0x9408000000
- 0x940C000001AA00
- 0x940A000001AA
Nieautoryzowane APDU:
- 0x00060000
- 0x80060000
- 0xA0060000
- 0x0008000000
- 0x000A000001AA
- 0x800A000001AA
- 0xA00A000001AA
- 0x8008000000
- 0xA008000000
- 0x000C0000001AA00
- 0x800C000001AA00
- 0xA00C000001AA00
0xA000000476416E64726F696443545342
0xA000000476416E64726F696443545344
0xA000000476416E64726F696443545345
0xA000000476416E64726F696443545347
0xA000000476416E64726F696443545348
0xA000000476416E64726F696443545349
0xA000000476416E64726F69644354534A
0xA000000476416E64726F69644354534B
0xA000000476416E64726F69644354534C
0xA000000476416E64726F69644354534D
0xA000000476416E64726F69644354534E
0xA000000476416E64726F69644354534F
Nieautoryzowane pomoce
- 0xA000000476416E64726F696443545343
- 0xA000000476416E64726F696443545346
CtsSecureElementAccessControlTestCases2
- Hash APK: 0x93b0ff2260babd4c2a92c68aaa0039dc514d8a33
Dozwolone pomoce:
0xA000000476416E64726F696443545340
Autoryzowane APDU:
- 0x00060000
- 0xA0060000
Nieautoryzowane APDU:
- 0x0008000000
- 0x80060000
- 0xA008000000
- 0x9406000000
0xA000000476416E64726F696443545341
Autoryzowane APDU:
- 0x94060000
- 0x9408000000
- 0x940C000001AA00
- 0x940A000001AA
Nieautoryzowane APDU:
- 0x0006000
- 0x80060000
- 0xA0060000
- 0x0008000000
- 0x000A000001AA
- 0x800A000001AA
- 0xA00A000001AA
- 0x8008000000
- 0xA008000000
- 0x000C000001AA00
- 0x800C000001AA00
- 0xA00C000001AA00
0xA000000476416E64726F696443545343
0xA000000476416E64726F696443545345
0xA000000476416E64726F696443545346
Nieautoryzowane pomoce
- 0xA000000476416E64726F696443545342
- 0xA000000476416E64726F696443545344
- 0xA000000476416E64726F696443545347
- 0xA000000476416E64726F696443545348
- 0xA000000476416E64726F696443545349
- 0xA000000476416E64726F69644354534A
- 0xA000000476416E64726F69644354534B
- 0xA000000476416E64726F69644354534C
- 0xA000000476416E64726F69644354534D
- 0xA000000476416E64726F69644354534E
- 0xA000000476416E64726F69644354534F
CtsSecureElementAccessControlTestCases3
- Hash APK: 0x5528ca826da49d0d7329f8117481ccb27b8833aa
Dozwolone pomoce:
0xA000000476416E64726F696443545340
Autoryzowane APDU:
- 0x00060000
- 0x80060000
- 0xA0060000
- 0x94060000
- 0x000A000001AA
- 0x800A000001AA
- 0xA00A000001AA
- 0x940A000001AA
- 0x0008000000
- 0x8008000000
- 0xA008000000
- 0x9408000000
- 0x000C000001AA00
- 0x800C000001AA00
- A00C000001AA00
- 940C000001AA00
0xA000000476416E64726F696443545341
Autoryzowane APDU:
- 0x94060000
- 0x9408000000
- 0x940C000001AA00
- 0x940A00000aAA
Nieautoryzowane APDU:
- 0x00060000
- 0x80060000
- 0xA0060000
- 0x0008000000
- 0x000A000001AA
- 0x800A000001AA
- 0xA00A000001AA
- 0x8008000000
- 0xA008000000
- 0x000C000001AA00
- 0x800C000001AA00
- 0xA00C000001AA00
0xA000000476416E64726F696443545345
0xA000000476416E64726F696443545346
Nieautoryzowane pomoce
- 0xA000000476416E64726F696443545342
- 0xA000000476416E64726F696443545343
- 0xA000000476416E64726F696443545344
- 0xA000000476416E64726F696443545347
- 0xA000000476416E64726F696443545348
- 0xA000000476416E64726F696443545349
- 0xA000000476416E64726F69644354534A
- 0xA000000476416E64726F69644354534B
- 0xA000000476416E64726F69644354534C
- 0xA000000476416E64726F69644354534D
- 0xA000000476416E64726F69644354534E
- 0xA000000476416E64726F69644354534F
Załącznik
Przykładowy aplet i kroki instalacji karty z układem scalonym UMTS (UICC)
1. Specyfikacja opakowania
Nazwa pliku: google-cardlet.cap
Pakiet pomocy: 6F 6D 61 70 69 63 61 72 64 6C 65 74
Wersja: 1.63
Hash: 5F72E0A073BA9E61A7358F2FE3F031A99F3F81E9
Aplety:
6F 6D 61 70 69 4A 53 52 31 37 37 = moduł SelectResponse
6F 6D 61 70 69 43 61 63 68 69 6E 67 = XXLmoduł odpowiedzi
Import:
javacard.framework v1.3 - A0000000620101
java.lang v1.0 - A0000000620001
uicc.hci.framework v1.0 - A0000000090005FFFFFFFF8916010000
uicc.hci.services.cardemulation v1.0 - A0000000090005FFFFFFFF8916020100
uicc.hci.services.connectivity v1.0 - A0000000090005FFFFFFFF8916020200
Rozmiar na karcie: 39597
2. Kroki instalacji
Załaduj plik google-cardlet.cap
na kartę SIM, stosując odpowiednią procedurę (sprawdź u producentów SE).
Uruchom polecenie instalacji dla każdego apletu.
Testy OMAPI
Polecenie instalacji apletu
80E60C00300C6F6D617069636172646C65740B module_AID 10 AID 01000EEF0AA008810101A5038201C0C9000000
Moduł_AID : 6F 6D 61 70 69 4A 53 52 31 37 37
POMOC: A000000476416E64726F696443545331
80E60C00310C6F6D617069636172646C65740B module_AID 10 AID 010002C9000
Moduł_AID : 6F 6D 61 70 69 43 61 63 68 69 6E 67
POMOC: A000000476416E64726F696443545332
Testy AccessControl (szablon wykorzystujący strukturę PKCS#15)
80E60C003C0C6F6D617069636172646C65740B module_AID 10 AID 01000EEF0AA008810101A5038201C0C9000000
Moduł_AID : 6F 6D 61 70 69 4A 53 52 31 37 37
AIDS:
- 0xA000000476416E64726F696443545340
- 0xA000000476416E64726F696443545341
- 0xA000000476416E64726F696443545342
- 0xA000000476416E64726F696443545344
- 0xA000000476416E64726F696443545345
- 0xA000000476416E64726F696443545347
- 0xA000000476416E64726F696443545348
- 0xA000000476416E64726F696443545349
- 0xA000000476416E64726F69644354534A
- 0xA000000476416E64726F69644354534B
- 0xA000000476416E64726F69644354534C
- 0xA000000476416E64726F69644354534D
- 0xA000000476416E64726F69644354534E
- 0xA000000476416E64726F69644354534F
Aby zapoznać się z poleceniami krok po kroku konfigurującymi strukturę PKCS#15 pasującą do testów CTS, zobacz Polecenia dla PKCS#15 .