9.6 LSE隔离

9.6 LSE隔离

LSE隔离是指在支持多个逻辑安全元素（Logical Secure Elements, LSEs）接口的UICC（通用集成电路卡）中，确保各个逻辑安全元素之间相互独立，互不干扰的一种机制。逻辑安全元素（LSE）是指一组安全功能、应用程序和文件的集合，它们共同作用时表现得像一个安全元素。当UICC支持多个逻辑安全元素接口时，LSE隔离确保每个逻辑安全元素都能独立地执行其安全功能，而不会受到其他逻辑安全元素的影响。

LSE隔离的目的是为了增强UICC的安全性，确保不同应用或服务的数据和操作保持隔离，防止潜在的安全威胁和数据泄露。例如，在一个支持多应用的UICC中，可能同时存在多个逻辑UICC，每个逻辑UICC可以独立地处理不同的服务或应用，如移动支付、身份认证等。通过LSE隔离，可以确保这些服务在逻辑上是隔离的，即使在物理上共用同一个UICC硬件。

LSE隔离的实现可能涉及硬件和软件的多个层面，包括但不限于：

- 硬件隔离：确保不同逻辑安全元素在硬件层面有独立的存储空间和处理能力。
- 软件隔离：操作系统和应用程序通过软件机制确保不同逻辑安全元素之间的数据和操作互不干扰。
- 安全协议：使用安全的通信协议来保护不同逻辑安全元素之间的数据传输。

在文档中，LSE隔离的具体实现细节可能没有详细描述，但它是UICC设计中一个重要的安全考虑因素，特别是在支持多应用和多服务的环境中。

 8.10 逻辑安全元素
UICC 可能在同一物理元素上支持多个逻辑安全元素（LSE）。每个 LSE 在逻辑上独立于其他 LSE，并且像处理单独的安全元素一样由终端处理。终端通过 LSIs 与不同的 LSE 通信。
每个 LSE 在接口上独立运行。从接口上看，每个 LSE 都有自己的文件系统、自己的应用程序、自己的 AID、自己的独立安全状态、自己的 CAT 会话（意味着可以在不同的 LSIs 上交错运行多个会话），以及自己的运行时环境。
终端可以通过发送 MANAGE LSI（选择 LSI）命令或在使用 T = 1 时通过 NAD 字节选择 LSI 来在 LSE 之间切换。
MANAGE LSI 命令还允许重置 LSE。这种重置应等同于对不支持 LSE 的 UICC 接口的暖重置。物理接口的冷重置或暖重置会导致重置所有 LSE。
当终端在 LSI 上接收到带有“UICC 重置”模式的 REFRESH 命令时，终端应通过 MANAGE LSI 命令仅重置相应的 LSE。
如果 UICC 支持 ETSI TS 102 613 [19] 中定义的 UICC-CLF 接口，则该接口应分配给最多一个 LSE。在不同 LSE 的 MANAGE LSI（重置 LSE）中返回的 ATR 应反映该 LSE 对该接口的支持。分配的 LSE 可以通过终端使用 MANAGE LSI（分配 SWP）命令进行更新。分配的 LSE 不会因 UICC 重置而改变，并且也用于在停用本文件中定义的接口时发生的任何通信。

6.4 PPS程序
终端和UICC必须支持PPS程序，以便使用除默认值以外的传输参数。这些替代参数在ATR中指示。这些参数的解释根据ISO/IEC 7816-3 [11]以及在ATR中T = 15之后的第一个tBi（i > 2）中定义，如6.3.3节表6.7所示。对于PPS1，终端应选择由UICC指示的范围内的值，如ISO/IEC 7816-3 [11]定义，并在6.3.2节中补充。对于PPS2，终端应根据T = 15之后的第一个tBi（i > 2）中的指示选择一个值。只有当ATR中存在T = 15之后的第一个tBi（i > 2）时，才应使用PPS2。PPS2的编码与T = 15之后的第一个tBi（i > 2）相同。所选值取决于终端支持的功能。PPS2的内容编码方式与T = 15之后的第一个tBi（i > 2）相同。不支持ATR中TA1字符指示的任何功能的终端无需在PPS程序中支持PPS2。
当终端不支持或无法解释ATR中卡片指示的值时，它应在使用默认值（372,1）发出PPS之前至少发起一次PPS程序，指示（Fi, Di）终端支持的最高速度。

6.5 重置程序
6.5.1 冷启动
冷启动是在激活接触后发生的第一次重置。冷启动按照ISO/IEC 7816-3 [11]执行，UICC应进入可协商模式。冷启动后，安全状态应被重置。

6.5.2 温启动
温启动是除冷启动外的任何重置。温启动按照ISO/IEC 7816-3 [11]执行，UICC应进入可协商模式或特定模式。如果UICC进入特定模式，它应呈现与温启动前会话相同的协议和接口参数（Fi, Di）。每次在相同会话内发出的温启动后，UICC都应以相同的ATR响应，无论活动的应用是什么。温启动后，安全状态应被重置。

T = 1协议是一种半双工异步基于块的传输协议。除非另有规定，否则应遵循ISO/IEC 7816-3 [11]。该协议可以在以下情况下启动：
• 在冷复位后的ATR之后；
• 在热复位后的ATR之后；
• 在成功进行PPS交换之后。
通信以终端发送给UICC的一个块开始。发送块的权利在终端和UICC之间交替进行。块是最小的数据单元，可以发送，并且可以包含应用数据或传输控制数据。在进一步处理接收到的数据之前，可能会对收到的数据进行检查。

 如果UICC在ATR中指示支持LSIs，并且在响应MANAGE LSI（配置LSIs）时支持使用NAD字节进行LSI选择，那么NAD字节可以用来选择LSI。如果使用NAD字节选择LSI，那么在一个LSI上的APDU传输（从C-APDU的第一个I-block开始，到R-APDU的最后一个I-block结束）不应与任何不同LSI的块交织。这意味着在特定的逻辑安全元素接口（LSI）上进行的通信是独立的，不会与其他LSI上的通信混合。

该命令用于管理LSI（逻辑安全元素接口）和LSE（逻辑安全元素）。它提供了将不同LSI的APDU（应用协议数据单元）进行复用的机制，每个LSI都针对一个独立的LSE，从而使得多个独立的LSE可以共存于一个UICC上。

它提供了以下功能：
- 为后续的APDU选择一个LSE（参见注释3）；
- 重置一个LSE；
- 在电源启动或物理接口重置后设置LSI配置；
- 将UICC-CLF接口分配给一个LSE，并检索具有UICC-CLF接口分配的LSE的LSI。

除非LSI配置预先达成一致（参见第7.5条款），否则在发送不同于0的LSI或不同的MANAGE LSI命令之前，应使用MANAGE LSI（配置LSIs）来设置LSI配置。

终端在卡会话中最多只能发送一次MANAGE LSI（配置LSIs）命令。

在卡会话开始时，选择LSI 0。终端可以使用MANAGE LSI（选择LSI）APDU选择不同的LSI，指示不超过共同支持的最大值的LSI编号。

在发送MANAGE LSI（选择LSI）APDU之后，指示的LSI被选择，并且后续的APDU由该LSI上的LSE处理，直到下一个MANAGE LSI（选择LSI）、MANAGE LSI（重置LSE）或MANAGE LSI（分配SWP）APDU或接口重置。

MANAGE LSI（重置LSE）APDU将导致选择并重置指示的LSI上的LSE，并且对于不支持LSE的UICC来说，相当于一个热重置。

注释1：在接收到MANAGE LSI（重置LSE）命令之前，LSI可能已经被选择，也可能没有被选择。

注释2：为了使UICC的正常操作更加接近，其中UICC提供的第一组数据是ATR，终端可以在每个卡会话的每个LSI开始时发送MANAGE LSI（重置LSE）作为第一个APDU。

注释3：如果支持T = 1，则可以选择使用NAD字节来选择LSI，参见第7.2.3.2.1.1条款。

MANAGE LSI（分配SWP）由终端用来指示将处理UICC-CLF接口通信的LSE。如果在特定LSE的ATR中没有指出支持UICC-CLF接口，则终端不应将该接口分配给LSE。成功分配接口后，该LSE将用于处理UICC-CLF接口的通信，直到收到新的MANAGE LSI（分配SWP）命令。这包括在UICC重置后或在本文件定义的接口被停用期间发生的任何通信。MANAGE LSI（分配SWP）还会选择并重置获得UICC-CLF接口分配的LSE。

在将UICC-CLF接口分配给LSE之后，终端应激活UICC-CLF接口以处理ETSI TS 102 613 [19]条款9.4.1中描述的SYNC_ID验证过程。

终端可以使用MANAGE LSI（检索SWP）命令检索当前分配来处理UICC-CLF接口通信的LSE。

原文地址：https://blog.csdn.net/liudong200618/article/details/143015084

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！