UICC: Как изменить ARA?

Question

У меня есть UICC (от Gemalto), у которого есть очень строгие правила доступа APDU. Я хотел бы получить доступ к апплетам UICC из приложения Android, но эти правила не позволяют мне отправлять какие-либо APDU.

Поэтому мне нужно изменить эти правила.

Я попробовал следующее:

1. Отправка "Store Data - магазин AR-DO" команда непосредственно ARA апплет => Я получаю статус слова "статус безопасности не удовлетворен"

2. аутентифицируется эмитенте Домен безопасности, отправляя команду «Установить для персонализации» в домен безопасности безопасности и затем отправляя данные хранилища через ISD. => Тот же результат, «статус безопасности не удовлетворен».

Я что-то не так? Есть идеи? Нужна ли мне дополнительная аутентификация, пароли или ключи для изменения правил доступа? Можно ли даже изменить правила доступа, если они уже настроены?

Answer 1

• Security Status Not Satisfied код ошибки возникает только тогда, когда некоторые заранее необходимые условия проверки подлинности не выполняется перед отправкой команды APDU.

• Обновление правил доступа APDU (т. Е. Правил доступа, хранящихся в ARA), необходимо надлежащим образом authentication, не выполняя надлежащую проверку подлинности, вы не можете обновлять AR в апплете ARA, поэтому недостаточно выбора апплета и отправки данных хранилища данных, вам нужно для выполнения надлежащей проверки подлинности, поскольку в этом случае, как только команда направляется к UICC (или приложение существует в UICC) с любого терминала или терминала, проверяются первая аутентификация и целостность, чтобы убедиться, что команда поступает от аутентифицированного сервера или терминала. Если аутентификация не удалась, команда APDU завершится с ошибкой Security Status Not Satisfied, которая происходит в вашем случае.

• Правило доступа (AR) хранится в АРА и может обновляться по воздуху с standardized Global Platform Secure Messaging или Remote Applet Management functionality, то есть вы должны послать команду APDU (т.е. хранить данные) по безопасности Secure протокола канала (SCP02) или SCP80. Пожалуйста, обратитесь к спецификациям Global Platform и ETSI, чтобы узнать подробности об этих протоколах.

• После правильной аутентификации, отправьте Install[For Personalisation] команду к домену безопасности, (обычно AR апплет является ассоциированным с ISD, поэтому здесь безопасность домена может быть ISD), а затем отправить Store Data команду, чтобы изменить запись ARA, а предыдущая команда: Install[For Personalisation], поэтому следующая команда Store Data отправится на ARA Applet.

• Пожалуйста, убедитесь, что все эти команды APDU должны быть переданы после установления надлежащего безопасного канала (в случае SCP02) или в надлежащем защищенном конверте (в случае SCP80).

Спасибо, с удовольствием.

Answer 2

Можно изменить правила доступа вы можете ...

выбор апплета 1.Send ARA, а затем проверку подлинности с помощью SCP02 для этого вы должны знать соответствующий домен безопасности АРА апплета и ключи от курса.

2.Via install for personalization command, что вы делаете в этом случае, правильно, но сначала проверьте погоду ARA связана с ISD или каким-либо другим SD.

В любое время можно изменить правила ARA.