为了更好地保障安全,有些设备嵌入了安全元件 (SE);这是一种单独的防篡改硬件,专门用于存储加密数据。Open Mobile API 是一种标准 API,用于与设备的安全元件进行通信。Android 9 支持该 API,并提供后端实现(包括安全元件服务和 SE HAL)。
安全元件服务负责检查设备是否支持全局平台支持的安全元件(实质上是检查设备是否具备 SE HAL 实现,如果具备,有多少)。这可用作测试该 API 和底层安全元件实现的基础。
Open Mobile API 测试用例
Open Mobile API (OMAPI) 测试用例用于贯彻 API 指南,以及确认安全元件的底层实现是否符合 Open Mobile API 规范。如需使用这些测试用例,您必须安装一个特殊小程序(安全元件上的 Java Card 应用),以便 CTS 应用进行通信。如需进行安装,请使用可在 google-cardlet.cap
中找到的示例小程序。
如要通过 OMAPI 测试用例的测试,底层安全元件服务和 SE 应符合以下条件:
- 所有安全元件读取器名称都应以 SIM、eSE 或 SD 开头。
- 非基于 SIM 卡的读取器应能够打开基本通道。
CtsOmapiTestCases.apk
应不能选择此 AID:A000000476416E64726F6964435453FF。CtsOmapiTestCases.apk
应能够选择具有以下应用标识符 (AID) 的小程序:- 0xA000000476416E64726F696443545331
- 当在
android.se.omapi.Channel.Transmit
(Transmit) 中收到以下应用协议数据单元 (APDU) 时,该小程序应抛出安全异常:- 0x00700000
- 0x00708000
- 0x00A40404104A535231373754657374657220312E30
- 当在 Transmit 中收到以下 APDU 时,该小程序不应返回任何数据:
- 0x00060000
- 0x80060000
- 0xA0060000
- 0x94060000
- 0x000A000001AA
- 0x800A000001AA
- 0xA00A000001AA
- 0x940A000001AA
- 对于以下 Transmit APDU,该小程序应返回 256 个字节的数据:
- 0x0008000000
- 0x8008000000
- 0xA008000000
- 0x9408000000
- 0x000C000001AA00
- 0x800C000001AA00
- 0xA00C000001AA00
- 0x940C000001AA00
- 对于以下各 Transmit APDU,该小程序应返回相应的状态字词响应:
Transmit APDU 状态字词 数据 0x00F30106 0x6200 否 0x00F30206 0x6281 否 0x00F30306 0x6282 否 0x00F30406 0x6283 否 0x00F30506 0x6285 否 0x00F30606 0x62F1 否 0x00F30706 0x62F2 否 0x00F30806 0x63F1 否 0x00F30906 0x63F2 否 0x00F30A06 0x63C2 否 0x00F30B06 0x6202 否 0x00F30C06 0x6280 否 0x00F30D06 0x6284 否 0x00F30E06 0x6286 否 0x00F30F06 0x6300 否 0x00F31006 0x6381 否 0x00F3010A01AA 0x6200 否 0x00F3020A01AA 0x6281 否 0x00F3030A01AA 0x6282 否 0x00F3040A01AA 0x6283 否 0x00F3050A01AA 0x6285 否 0x00F3060A01AA 0x62F1 否 0x00F3070A01AA 0x62F2 否 0x00F3080A01AA 0x63F1 否 0x00F3090A01AA 0x63F2 否 0x00F30A0A01AA 0x63C2 否 0x00F30B0A01AA 0x6202 否 0x00F30C0A01AA 0x6280 否 0x00F30D0A01AA 0x6284 否 0x00F30E0A01AA 0x6286 否 0x00F30F0A01AA 0x6300 否 0x00F3100A01AA 0x6381 否 0x00F3010800 0x6200 是 0x00F3020800 0x6281 是 0x00F3030800 0x6282 是 0x00F3040800 0x6283 是 0x00F3050800 0x6285 是 0x00F3060800 0x62F1 是 0x00F3070800 0x62F2 是 0x00F3080800 0x63F1 是 0x00F3090800 0x63F2 是 0x00F30A0800 0x63C2 是 0x00F30B0800 0x6202 是 0x00F30C0800 0x6280 是 0x00F30D0800 0x6284 是 0x00F30E0800 0x6286 是 0x00F30F0800 0x6300 是 0x00F3100800 0x6381 是 0x00F3010C01AA00 0x6200 是* 0x00F3020C01AA00 0x6281 是* 0x00F3030C01AA00 0x6282 是* 0x00F3040C01AA00 0x6283 是* 0x00F3050C01AA00 0x6285 是* 0x00F3060C01AA00 0x62F1 是* 0x00F3070C01AA00 0x62F2 是* 0x00F3080C01AA00 0x63F1 是* 0x00F3090C01AA00 0x63F2 是* 0x00F30A0C01AA00 0x63C2 是* 0x00F30B0C01AA00 0x6202 是* 0x00F30C0C01AA00 0x6280 是* 0x00F30D0C01AA00 0x6284 是* 0x00F30E0C01AA00 0x6286 是* 0x00F30F0C01AA00 0x6300 是* 0x00F3100C01AA00 0x6381 是* - 小程序应返回最后一个数据字节为
0xFF
的分段响应,并且以下 APDU 分别具有相应的状态字词和响应长度。APDU 状态字词 响应长度(字节) 0x00C2080000 0x9000 2048 0x00C4080002123400 0x9000 2048 0x00C6080000 0x9000 2048 0x00C8080002123400 0x9000 2048 0x00C27FFF00 0x9000 32767 0x00CF080000 0x9000 2048 0x94C2080000 0x9000 2048 - 对于以下指定 APDU,该小程序应返回 SELECT 命令中收到的 P2 的值和成功状态字词(即
0x009000
):0x00F4000000
- 当在
- A000000476416E64726F696443545332
- 选中后,该 AID 应返回一个多于 2 个字节且格式符合基本编码规则 (BER) 和标记长度值 (TLV) 规范的特定响应。
- 0xA000000476416E64726F696443545331
CtsOmapiTestCases
- APK 的哈希值:0x5cc49e0bc839274586fbb3a17ed37276cbbceb290290
访问控制测试用例
在安全元件中配置的访问控制用例有助于确保只有可以访问小程序的应用才能与小程序进行通信。此外,对于可通过 APK 进行交换的特定 APDU,Android 支持为其配置规则。
要通过这些测试,请配置特殊的访问控制规则,即访问规则应用 (ARA)(主)或访问规则文件 (ARF)。您使用的小程序应该与用于 OMAPI 测试的小程序相同,因为只有支持相同的命令,才能通过访问控制测试。
在以下 AID 下创建该小程序的实例:
- 0xA000000476416E64726F696443545340
- 0xA000000476416E64726F696443545341
- 0xA000000476416E64726F696443545342
- 0xA000000476416E64726F696443545343
- 0xA000000476416E64726F696443545344
- 0xA000000476416E64726F696443545345
- 0xA000000476416E64726F696443545346
- 0xA000000476416E64726F696443545347
- 0xA000000476416E64726F696443545348
- 0xA000000476416E64726F696443545349
- 0xA000000476416E64726F69644354534A
- 0xA000000476416E64726F69644354534B
- 0xA000000476416E64726F69644354534C
- 0xA000000476416E64726F69644354534D
- 0xA000000476416E64726F69644354534E
- 0xA000000476416E64726F69644354534F
选中后,以上任一 AID 应返回一个多于 2 个字节且格式符合 BER 和 TLV 规范的特定响应。
CtsSecureElementAccessControlTestCases1
- APK 的哈希值:0x4bbe31beb2f753cfe71ec6bf112548687bb6c34e
已授权 AID
0xA000000476416E64726F696443545340
已授权 APDU:
- 0x00060000
- 0xA0060000
未授权 APDU:
- 0x0008000000
- 0x80060000
- 0xA008000000
- 0x9406000000
0xA000000476416E64726F696443545341
已授权 APDU:
- 0x94060000
- 0x9408000000
- 0x940C000001AA00
- 0x940A000001AA
未授权 APDU:
- 0x00060000
- 0x80060000
- 0xA0060000
- 0x0008000000
- 0x000A000001AA
- 0x800A000001AA
- 0xA00A000001AA
- 0x8008000000
- 0xA008000000
- 0x000C0000001AA00
- 0x800C000001AA00
- 0xA00C000001AA00
0xA000000476416E64726F696443545342
0xA000000476416E64726F696443545344
0xA000000476416E64726F696443545345
0xA000000476416E64726F696443545347
0xA000000476416E64726F696443545348
0xA000000476416E64726F696443545349
0xA000000476416E64726F69644354534A
0xA000000476416E64726F69644354534B
0xA000000476416E64726F69644354534C
0xA000000476416E64726F69644354534D
0xA000000476416E64726F69644354534E
0xA000000476416E64726F69644354534F
未授权 AID
- 0xA000000476416E64726F696443545343
- 0xA000000476416E64726F696443545346
CtsSecureElementAccessControlTestCases2
- APK 的哈希值:0x93b0ff2260babd4c2a92c68aaa0039dc514d8a33
已授权 AID:
0xA000000476416E64726F696443545340
已授权 APDU:
- 0x00060000
- 0xA0060000
未授权 APDU:
- 0x0008000000
- 0x80060000
- 0xA008000000
- 0x9406000000
0xA000000476416E64726F696443545341
已授权 APDU:
- 0x94060000
- 0x9408000000
- 0x940C000001AA00
- 0x940A000001AA
未授权 APDU:
- 0x0006000
- 0x80060000
- 0xA0060000
- 0x0008000000
- 0x000A000001AA
- 0x800A000001AA
- 0xA00A000001AA
- 0x8008000000
- 0xA008000000
- 0x000C000001AA00
- 0x800C000001AA00
- 0xA00C000001AA00
0xA000000476416E64726F696443545343
0xA000000476416E64726F696443545345
0xA000000476416E64726F696443545346
未授权 AID
- 0xA000000476416E64726F696443545342
- 0xA000000476416E64726F696443545344
- 0xA000000476416E64726F696443545347
- 0xA000000476416E64726F696443545348
- 0xA000000476416E64726F696443545349
- 0xA000000476416E64726F69644354534A
- 0xA000000476416E64726F69644354534B
- 0xA000000476416E64726F69644354534C
- 0xA000000476416E64726F69644354534D
- 0xA000000476416E64726F69644354534E
- 0xA000000476416E64726F69644354534F
CtsSecureElementAccessControlTestCases3
- APK 的哈希值:0x5528ca826da49d0d7329f8117481ccb27b8833aa
已授权 AID:
0xA000000476416E64726F696443545340
已授权 APDU:
- 0x00060000
- 0x80060000
- 0xA0060000
- 0x94060000
- 0x000A000001AA
- 0x800A000001AA
- 0xA00A000001AA
- 0x940A000001AA
- 0x0008000000
- 0x8008000000
- 0xA008000000
- 0x9408000000
- 0x000C000001AA00
- 0x800C000001AA00
- A00C000001AA00
- 940C000001AA00
0xA000000476416E64726F696443545341
已授权 APDU:
- 0x94060000
- 0x9408000000
- 0x940C000001AA00
- 0x940A00000aAA
未授权 APDU:
- 0x00060000
- 0x80060000
- 0xA0060000
- 0x0008000000
- 0x000A000001AA
- 0x800A000001AA
- 0xA00A000001AA
- 0x8008000000
- 0xA008000000
- 0x000C000001AA00
- 0x800C000001AA00
- 0xA00C000001AA00
0xA000000476416E64726F696443545345
0xA000000476416E64726F696443545346
未授权 AID
- 0xA000000476416E64726F696443545342
- 0xA000000476416E64726F696443545343
- 0xA000000476416E64726F696443545344
- 0xA000000476416E64726F696443545347
- 0xA000000476416E64726F696443545348
- 0xA000000476416E64726F696443545349
- 0xA000000476416E64726F69644354534A
- 0xA000000476416E64726F69644354534B
- 0xA000000476416E64726F69644354534C
- 0xA000000476416E64726F69644354534D
- 0xA000000476416E64726F69644354534E
- 0xA000000476416E64726F69644354534F
附录
UMTS 集成电路卡 (UICC) 的示例小程序和安装步骤
1. 软件包规格
文件名:google-cardlet.cap
软件包 AID:6F 6D 61 70 69 63 61 72 64 6C 65 74
版本:1.63
哈希:5F72E0A073BA9E61A7358F2FE3F031A99F3F81E9
小程序:
6F 6D 61 70 69 4A 53 52 31 37 37 = SelectResponse 模块
6F 6D 61 70 69 43 61 63 68 69 6E 67 = XXLResponse 模块
导入:
javacard.framework v1.3 - A0000000620101
java.lang v1.0 - A0000000620001
uicc.hci.framework v1.0 - A0000000090005FFFFFFFF8916010000
uicc.hci.services.cardemulation v1.0 - A0000000090005FFFFFFFF8916020100
uicc.hci.services.connectivity v1.0 - A0000000090005FFFFFFFF8916020200
卡上尺寸:39597
2. 安装步骤
按照相应程序(请咨询您的 SE 制造商)将 google-cardlet.cap
文件加载到 SIM 卡上。
为每个小程序运行安装命令。
OMAPI 测试
小程序安装命令
80E60C00300C6F6D617069636172646C65740Bmodule_AID10AID01000EEF0AA008810101A5038201C0C9000000
Module_AID:6F 6D 61 70 69 4A 53 52 31 37 37
AID:A000000476416E64726F696443545331
80E60C00310C6F6D617069636172646C65740Bmodule_AID10AID010002C9000
Module_AID:6F 6D 61 70 69 43 61 63 68 69 6E 67
AID:A000000476416E64726F696443545332
AccessControl 测试(使用 PKCS#15 结构的模板)
80E60C003C0C6F6D617069636172646C65740Bmodule_AID10AID01000EEF0AA008810101A5038201C0C9000000
Module_AID:6F 6D 61 70 69 4A 53 52 31 37 37
AID:
- 0xA000000476416E64726F696443545340
- 0xA000000476416E64726F696443545341
- 0xA000000476416E64726F696443545342
- 0xA000000476416E64726F696443545344
- 0xA000000476416E64726F696443545345
- 0xA000000476416E64726F696443545347
- 0xA000000476416E64726F696443545348
- 0xA000000476416E64726F696443545349
- 0xA000000476416E64726F69644354534A
- 0xA000000476416E64726F69644354534B
- 0xA000000476416E64726F69644354534C
- 0xA000000476416E64726F69644354534D
- 0xA000000476416E64726F69644354534E
- 0xA000000476416E64726F69644354534F
如需用于设置与 CTS 测试匹配的 PKCS#15 结构的分步命令,请参阅 PKCS#15 命令。