Um eine bessere Sicherheit zu bieten, verfügen einige Geräte über ein eingebettetes Secure Element (SE), eine dedizierte, separate, manipulationssichere Hardware zum Speichern kryptografischer Daten. Open Mobile API ist eine Standard-API , die zur Kommunikation mit dem Secure Element eines Geräts verwendet wird. Android 9 führt Unterstützung für diese API ein und bietet eine Backend-Implementierung einschließlich Secure Element Service und SE HAL.
Secure Element Service prüft die Unterstützung für von der globalen Plattform unterstützte Secure Elements (überprüft im Wesentlichen, ob Geräte über eine SE HAL-Implementierung verfügen und wenn ja, wie viele). Dies dient als Grundlage zum Testen der API und der zugrunde liegenden Secure Element-Implementierung.
Öffnen Sie Testfälle für die mobile API
Open Mobile API (OMAPI)-Testfälle werden verwendet, um API-Richtlinien durchzusetzen und zu bestätigen, dass die zugrunde liegende Implementierung von Secure Elements der Open Mobile API-Spezifikation entspricht. Diese Testfälle erfordern die Installation eines speziellen Applets, einer Java Card-Anwendung auf Secure Element, das von der CTS-Anwendung für die Kommunikation verwendet wird. Verwenden Sie zur Installation das Beispiel-Applet aus google-cardlet.cap
.
Um OMAPI-Testfälle zu bestehen, sollten der zugrunde liegende Secure Element Service und die SE Folgendes können:
- Alle Namen von Secure Element Readern sollten mit SIM, eSE oder SD beginnen.
- Nicht-SIM-basierte Lesegeräte sollten in der Lage sein, grundlegende Kanäle zu öffnen.
-
CtsOmapiTestCases.apk
sollte nicht in der Lage sein, die A000000476416E64726F6964435453FF AID auszuwählen: -
CtsOmapiTestCases.apk
sollte in der Lage sein, ein Applet mit den folgenden Anwendungskennungen (AIDs) auszuwählen:- 0xA000000476416E64726F696443545331
- Das Applet sollte eine Sicherheitsausnahme auslösen, wenn es die folgende Anwendungsprotokolldateneinheit (APDUs) in
android.se.omapi.Channel.Transmit
( Transmit ) empfängt:- 0x00700000
- 0x00708000
- 0x00A40404104A535231373754657374657220312E30
- Das Applet sollte keine Daten zurückgeben, wenn es die folgenden APDUs in Transmit empfängt:
- 0x00060000
- 0x80060000
- 0xA0060000
- 0x94060000
- 0x000A000001AA
- 0x800A000001AA
- 0xA00A000001AA
- 0x940A000001AA
- Das Applet sollte 256-Byte-Daten für die folgenden Übertragungs- APDUs zurückgeben:
- 0x0008000000
- 0x8008000000
- 0xA008000000
- 0x9408000000
- 0x000C000001AA00
- 0x800C000001AA00
- 0xA00C000001AA00
- 0x940C000001AA00
- Das Applet sollte die folgenden Statuswortantworten für die jeweilige Sende- APDU zurückgeben:
*Die Antwort sollte Daten enthalten, die mit der Eingabe-APDU identisch sind, außer dass das erste Byte 0x01 statt 0x00 ist.APDU übertragen Statuswort Daten 0x00F30106 0x6200 NEIN 0x00F30206 0x6281 NEIN 0x00F30306 0x6282 NEIN 0x00F30406 0x6283 NEIN 0x00F30506 0x6285 NEIN 0x00F30606 0x62F1 NEIN 0x00F30706 0x62F2 NEIN 0x00F30806 0x63F1 NEIN 0x00F30906 0x63F2 NEIN 0x00F30A06 0x63C2 NEIN 0x00F30B06 0x6202 NEIN 0x00F30C06 0x6280 NEIN 0x00F30D06 0x6284 NEIN 0x00F30E06 0x6286 NEIN 0x00F30F06 0x6300 NEIN 0x00F31006 0x6381 NEIN 0x00F3010A01AA 0x6200 NEIN 0x00F3020A01AA 0x6281 NEIN 0x00F3030A01AA 0x6282 NEIN 0x00F3040A01AA 0x6283 NEIN 0x00F3050A01AA 0x6285 NEIN 0x00F3060A01AA 0x62F1 NEIN 0x00F3070A01AA 0x62F2 NEIN 0x00F3080A01AA 0x63F1 NEIN 0x00F3090A01AA 0x63F2 NEIN 0x00F30A0A01AA 0x63C2 NEIN 0x00F30B0A01AA 0x6202 NEIN 0x00F30C0A01AA 0x6280 NEIN 0x00F30D0A01AA 0x6284 NEIN 0x00F30E0A01AA 0x6286 NEIN 0x00F30F0A01AA 0x6300 NEIN 0x00F3100A01AA 0x6381 NEIN 0x00F3010800 0x6200 Ja 0x00F3020800 0x6281 Ja 0x00F3030800 0x6282 Ja 0x00F3040800 0x6283 Ja 0x00F3050800 0x6285 Ja 0x00F3060800 0x62F1 Ja 0x00F3070800 0x62F2 Ja 0x00F3080800 0x63F1 Ja 0x00F3090800 0x63F2 Ja 0x00F30A0800 0x63C2 Ja 0x00F30B0800 0x6202 Ja 0x00F30C0800 0x6280 Ja 0x00F30D0800 0x6284 Ja 0x00F30E0800 0x6286 Ja 0x00F30F0800 0x6300 Ja 0x00F3100800 0x6381 Ja 0x00F3010C01AA00 0x6200 Ja* 0x00F3020C01AA00 0x6281 Ja* 0x00F3030C01AA00 0x6282 Ja* 0x00F3040C01AA00 0x6283 Ja* 0x00F3050C01AA00 0x6285 Ja* 0x00F3060C01AA00 0x62F1 Ja* 0x00F3070C01AA00 0x62F2 Ja* 0x00F3080C01AA00 0x63F1 Ja* 0x00F3090C01AA00 0x63F2 Ja* 0x00F30A0C01AA00 0x63C2 Ja* 0x00F30B0C01AA00 0x6202 Ja* 0x00F30C0C01AA00 0x6280 Ja* 0x00F30D0C01AA00 0x6284 Ja* 0x00F30E0C01AA00 0x6286 Ja* 0x00F30F0C01AA00 0x6300 Ja* 0x00F3100C01AA00 0x6381 Ja* - Das Applet sollte segmentierte Antworten mit
0xFF
als letztem Datenbyte zurückgeben und die entsprechenden Statuswörter und Antwortlängen für die folgenden APDUs haben.APDU Statuswort Antwortlänge (Bytes) 0x00C2080000 0x9000 2048 0x00C4080002123400 0x9000 2048 0x00C6080000 0x9000 2048 0x00C8080002123400 0x9000 2048 0x00C27FFF00 0x9000 32767 0x00CF080000 0x9000 2048 0x94C2080000 0x9000 2048 - Das Applet sollte den im SELECT-Befehl empfangenen Wert von P2 + das Erfolgsstatuswort (z. B.
0x009000
) für die angegebene APDU zurückgeben: 0x00F4000000
- Das Applet sollte eine Sicherheitsausnahme auslösen, wenn es die folgende Anwendungsprotokolldateneinheit (APDUs) in
- A000000476416E64726F696443545332
- Wenn diese AID ausgewählt ist, sollte sie eine ausgewählte Antwort zurückgeben, die größer als 2 Byte ist und mithilfe von Basic Encoding Rules (BER) und Tag-Length-Value (TLV) korrekt formatiert ist.
- 0xA000000476416E64726F696443545331
CtsOmapiTestCases
- Hash der APK: 0x5cc49e0bc83927486fbb3a17ed37276cbbceb290
Testfälle für die Zugriffskontrolle
Im Secure Element konfigurierte Zugriffskontrollanwendungen stellen sicher, dass nur die Anwendung mit Zugriff auf ein Applet mit diesem kommunizieren kann. Darüber hinaus unterstützt Android die Konfiguration von Regeln für bestimmte APDUs, die vom APK ausgetauscht werden können.
Um diese Tests zu bestehen, konfigurieren Sie spezielle Zugriffskontrollregeln, entweder Access Rule Application Master (ARA) oder Access Rule File (ARF). Sie sollten das Applet verwenden, das für OMAPI-Tests verwendet wird, da dieselben Befehle unterstützt werden müssen, um die Zugriffskontrolltests zu bestehen.
Erstellen Sie eine Instanz des Applets unter diesen AIDs:
- 0xA000000476416E64726F696443545340
- 0xA000000476416E64726F696443545341
- 0xA000000476416E64726F696443545342
- 0xA000000476416E64726F696443545343
- 0xA000000476416E64726F696443545344
- 0xA000000476416E64726F696443545345
- 0xA000000476416E64726F696443545346
- 0xA000000476416E64726F696443545347
- 0xA000000476416E64726F696443545348
- 0xA000000476416E64726F696443545349
- 0xA000000476416E64726F69644354534A
- 0xA000000476416E64726F69644354534B
- 0xA000000476416E64726F69644354534C
- 0xA000000476416E64726F69644354534D
- 0xA000000476416E64726F69644354534E
- 0xA000000476416E64726F69644354534F
Bei Auswahl sollte jedes dieser AIDs eine Auswahlantwort zurückgeben, die größer als 2 Byte ist und mit BER und TLV korrekt formatiert ist.
CtsSecureElementAccessControlTestCases1
- Hash der APK: 0x4bbe31beb2f753cfe71ec6bf112548687bb6c34e
Autorisierte Hilfsmittel
0xA000000476416E64726F696443545340
Autorisierte APDUs:
- 0x00060000
- 0xA0060000
Nicht autorisierte APDUs:
- 0x0008000000
- 0x80060000
- 0xA008000000
- 0x9406000000
0xA000000476416E64726F696443545341
Autorisierte APDUs:
- 0x94060000
- 0x9408000000
- 0x940C000001AA00
- 0x940A000001AA
Nicht autorisierte APDUs:
- 0x00060000
- 0x80060000
- 0xA0060000
- 0x0008000000
- 0x000A000001AA
- 0x800A000001AA
- 0xA00A000001AA
- 0x8008000000
- 0xA008000000
- 0x000C0000001AA00
- 0x800C000001AA00
- 0xA00C000001AA00
0xA000000476416E64726F696443545342
0xA000000476416E64726F696443545344
0xA000000476416E64726F696443545345
0xA000000476416E64726F696443545347
0xA000000476416E64726F696443545348
0xA000000476416E64726F696443545349
0xA000000476416E64726F69644354534A
0xA000000476416E64726F69644354534B
0xA000000476416E64726F69644354534C
0xA000000476416E64726F69644354534D
0xA000000476416E64726F69644354534E
0xA000000476416E64726F69644354534F
Nicht autorisierte Hilfsmittel
- 0xA000000476416E64726F696443545343
- 0xA000000476416E64726F696443545346
CtsSecureElementAccessControlTestCases2
- Hash der APK: 0x93b0ff2260babd4c2a92c68aaa0039dc514d8a33
Zugelassene Hilfsmittel:
0xA000000476416E64726F696443545340
Autorisierte APDUs:
- 0x00060000
- 0xA0060000
Nicht autorisierte APDUs:
- 0x0008000000
- 0x80060000
- 0xA008000000
- 0x9406000000
0xA000000476416E64726F696443545341
Autorisierte APDUs:
- 0x94060000
- 0x9408000000
- 0x940C000001AA00
- 0x940A000001AA
Nicht autorisierte APDUs:
- 0x0006000
- 0x80060000
- 0xA0060000
- 0x0008000000
- 0x000A000001AA
- 0x800A000001AA
- 0xA00A000001AA
- 0x8008000000
- 0xA008000000
- 0x000C000001AA00
- 0x800C000001AA00
- 0xA00C000001AA00
0xA000000476416E64726F696443545343
0xA000000476416E64726F696443545345
0xA000000476416E64726F696443545346
Nicht autorisierte Hilfsmittel
- 0xA000000476416E64726F696443545342
- 0xA000000476416E64726F696443545344
- 0xA000000476416E64726F696443545347
- 0xA000000476416E64726F696443545348
- 0xA000000476416E64726F696443545349
- 0xA000000476416E64726F69644354534A
- 0xA000000476416E64726F69644354534B
- 0xA000000476416E64726F69644354534C
- 0xA000000476416E64726F69644354534D
- 0xA000000476416E64726F69644354534E
- 0xA000000476416E64726F69644354534F
CtsSecureElementAccessControlTestCases3
- Hash der APK: 0x5528ca826da49d0d7329f8117481ccb27b8833aa
Zugelassene Hilfsmittel:
0xA000000476416E64726F696443545340
Autorisierte APDUs:
- 0x00060000
- 0x80060000
- 0xA0060000
- 0x94060000
- 0x000A000001AA
- 0x800A000001AA
- 0xA00A000001AA
- 0x940A000001AA
- 0x0008000000
- 0x8008000000
- 0xA008000000
- 0x9408000000
- 0x000C000001AA00
- 0x800C000001AA00
- A00C000001AA00
- 940C000001AA00
0xA000000476416E64726F696443545341
Autorisierte APDUs:
- 0x94060000
- 0x9408000000
- 0x940C000001AA00
- 0x940A00000aAA
Nicht autorisierte APDUs:
- 0x00060000
- 0x80060000
- 0xA0060000
- 0x0008000000
- 0x000A000001AA
- 0x800A000001AA
- 0xA00A000001AA
- 0x8008000000
- 0xA008000000
- 0x000C000001AA00
- 0x800C000001AA00
- 0xA00C000001AA00
0xA000000476416E64726F696443545345
0xA000000476416E64726F696443545346
Nicht autorisierte Hilfsmittel
- 0xA000000476416E64726F696443545342
- 0xA000000476416E64726F696443545343
- 0xA000000476416E64726F696443545344
- 0xA000000476416E64726F696443545347
- 0xA000000476416E64726F696443545348
- 0xA000000476416E64726F696443545349
- 0xA000000476416E64726F69644354534A
- 0xA000000476416E64726F69644354534B
- 0xA000000476416E64726F69644354534C
- 0xA000000476416E64726F69644354534D
- 0xA000000476416E64726F69644354534E
- 0xA000000476416E64726F69644354534F
Anhang
Beispiel-Applet und Installationsschritte für UMTS Integrated Circuit Card (UICC)
1. Paketspezifikation
Dateiname: google-cardlet.cap
Pakethilfe: 6F 6D 61 70 69 63 61 72 64 6C 65 74
Version: 1.63
Hash: 5F72E0A073BA9E61A7358F2FE3F031A99F3F81E9
Applets:
6F 6D 61 70 69 4A 53 52 31 37 37 = SelectResponse-Modul
6F 6D 61 70 69 43 61 63 68 69 6E 67 = XXLResponse-Modul
Importe:
javacard.framework v1.3 – A0000000620101
java.lang v1.0 – A0000000620001
uicc.hci.framework v1.0 – A0000000090005FFFFFFFF8916010000
uicc.hci.services.cardemulation v1.0 – A0000000090005FFFFFFFF8916020100
uicc.hci.services.connectivity v1.0 – A0000000090005FFFFFFFF8916020200
Größe auf der Karte: 39597
2. Installationsschritte
Laden Sie die Datei google-cardlet.cap
mit dem entsprechenden Verfahren auf die SIM-Karte (fragen Sie Ihren SE-Hersteller nach).
Führen Sie den Installationsbefehl für jedes Applet aus.
OMAPI-Tests
Befehl zum Installieren des Applets
80E60C00300C6F6D617069636172646C65740B module_AID 10 AID 01000EEF0AA008810101A5038201C0C9000000
Module_AID : 6F 6D 61 70 69 4A 53 52 31 37 37
HILFE: A000000476416E64726F696443545331
80E60C00310C6F6D617069636172646C65740B module_AID 10 AID 010002C9000
Module_AID : 6F 6D 61 70 69 43 61 63 68 69 6E 67
HILFE: A000000476416E64726F696443545332
AccessControl-Tests (Vorlage mit PKCS#15-Struktur)
80E60C003C0C6F6D617069636172646C65740B module_AID 10 AID 01000EEF0AA008810101A5038201C0C9000000
Module_AID : 6F 6D 61 70 69 4A 53 52 31 37 37
AIDS:
- 0xA000000476416E64726F696443545340
- 0xA000000476416E64726F696443545341
- 0xA000000476416E64726F696443545342
- 0xA000000476416E64726F696443545344
- 0xA000000476416E64726F696443545345
- 0xA000000476416E64726F696443545347
- 0xA000000476416E64726F696443545348
- 0xA000000476416E64726F696443545349
- 0xA000000476416E64726F69644354534A
- 0xA000000476416E64726F69644354534B
- 0xA000000476416E64726F69644354534C
- 0xA000000476416E64726F69644354534D
- 0xA000000476416E64726F69644354534E
- 0xA000000476416E64726F69644354534F
Schrittweise Befehle zum Einrichten der PKCS#15-Struktur passend zu den CTS-Tests finden Sie unter Befehle für PKCS#15 .