该方式添加一个新的参与者，即一个值得信赖的身份提供方（如eID服务平台）。身份提供方评估 发卡方和卡片是否满足特定的安全策略，基于该安全策略，应用提供商和用户可以决定发卡方的策略是 否符合他们的需求。身份提供方还可以评估应用本身是否满足发卡方的实施准则。

6加载elID的多应用智能卡安全技术要求

多应用智能卡面临多种安全威胁，可参见附录B。加载eID的多应用智能卡的安全目标是旨在 整个生命周期中，为所有数据及处理过程提供机密性和完整性保障，并实现多应用的有效隔离，日 立用的非法访间。

公共安全标准6.1.2 应用的下载

6.1.3 应用的隔离

存储在卡上的应用既不能被其他应用观察到也不能被其他应用改变 特别地，elD应用应有与发卡方主安全域隔离的独立安全域。

6.1.4应用访问控制

6.1.6外部应用通信

YD/T34542019

YD/34542019

求的数据的机密性和完整性。

6.1.7外部设备通信

只有当卡上应用和外部设备双方都获取适当的权限时，它们之间才能进行通信。并且应保证应用请 求的数据的机密性和完整性。

应从硬件、操作系统和应用三个方面， 实现智能卡的安全性，保证存储敏感的数据并运行 用。三个组成部分共同提供整个系统的安全层。操作系统依赖于硬件提供的安全机制，应用依 系统提供的安全机制。硬件的安全取决于芯片的安全，本标准不做相关说明。

6.2.2操作系统安全

多应用智能卡应具备基于安全芯片的操作系统，操作系统应遵循GB/T16649.4一2010规定，提 于终端设备操作系统的安全机制，提供统一的底层安全服务接口，提供严格的安全机制以加强安

多应用智能卡应建立一套完整的密钥管理体 操作系统可根据通信协议选择对称、非对称加密算 法、完整性校验算法，以及密钥长度等，

6.3.2密钥安全要求

6.3.2.1密钥的独立性

用于一种特定功能的加密/解密密钥不能被任何其他功能所使用。

6.3.2.2安全计算的操作环境

与密钥有关的所有计算过程都应该在保密、安全和可靠的环

6.3.2.3密码算法的安全要求

实现密码算法的代码模块，在卡的整个生命周期中不能被修改、读取、或者泄露

6.3.3密钥生命周期

6.3.3.1密钥的生成和分发

YD/T3454—2019

多应用智能卡操作系统可根据应用安全需求生成不同类型的会话密钥，密钥的生成应根据通信协议 选择相应密钥算法及符合要求的密钥长度。密钥的分发（传输）应在安全的加密信道中进行，以保证密 钥的机密性和完整性

6.3.3.2密钥的存储和访问

多应用智能卡操作系统应提供安全的密钥存储机制，防止密钥在没有授权的情况下被泄露、修改、 替代或者删除，并且采取访问控制保证密钥除了在操作系统的控制下，不能被外界直接访问，以实现安 全的密钥访间。

6.3.3.3密钥的终止

多应用智能卡操作系统应对存储的密钥进行生命期管理，以阻止已失效或过期密钥的使用，采用 密钥销毁方法册除密钥，如覆盖重写、擦除等。

多应用智能卡操作系统应支持多种类型的密钥算法。密钥算法用于实现密钥分发、内部认证、外部 认证、数据加密、数据解密及MAC计算等安全功能。 操作系统应提供以下三类密钥算法，具体如下。 加密算法：用于数据的安全传输，保证数据不被泄露或窃取，包括对称密钥算法和非对称密钥 算法。 认证算法：用于智能卡与主机端的认证、应用认证授权等签名校验。 消息验证算法：通过计算消息验证码MAC或者HASH验证值来保证数据的完整性

6.3.5应用密钥管理

多应用智能卡上的每一个应用有自已关联的密钥管理机制，这些机制可能相同也可能不同。应月 （通过操作系统定制自已的密钥管理机制

多应用智能卡应实现卡上各应用间的有效隔离，保证来自于相同或者不同应用提供方的各个应用及 其数据可以在同一张卡片上共存，而不会破坏彼此的机密性及完整性。可采用防火墙机制来实现应用隔 离。

6.4.2应用隔离安全要求

应用隔离保证卡上应用的存在和操作不会对卡上的其他应用产生影响，从而对应用进行保护。仁 卡上应用所拥有的数据和对象都不能被其他任何应用直接访问到或者进行操作，且应用不能被其 应用在未授权的情况下执行方法调用。应用隔离阻止了卡上应用之间直接进行相互交流，但可以采

YD/T34542019 安全机制，在操作系统的控制下通过其提供的接口，实现应用之间的数据和服务共享。 应用隔离保证了机密性和完整性，机密性是指应用在执行过程中不能读取其他应用中存储的数据： 完整性是指应用在执行过程中不能修改其他应用中存储的数据。

YD/T34542019

6.4.3应用安全环境

多应用操作系统为每个应用都分配一个安全的存储和执行空间，以保证每个应用的代码和数据与卡 上的其他应用保持独立和安全。 应用程序代码的隔离用来防止应用程序覆盖到其他应用程序空间，或越界访问其他应用程序的代码 和数据。 应用运行空间的隔离采取完全的访问控制策略，将应用限制在指定的存储区域和运行环境，实现应 用独立运行的安全保护，从而防止应用程序被非法干扰或算改。 应用程序受到代码空间、运行空间双重环境隔离，在不同环境下应用间不能直接进行通讯，应用间 的通信必须通过平台的通信服务来实现

为了实现应用隔离，多应用操作系统可采取“防火墙”机制对应用进行安全管理。应用防火墙控制 两个应用之间的交互，对授权访问和信息流进行控制，防止跨过应用进行非法访问，保证应用工作时不 会与其他应用发生冲突，且各应用从指令集、安全状态、文件系统、应用代码、命令、逻辑处理模块等 各方面进行独立管理，互不影响，实现在操作系统层面上彻底隔离。 防火墙可以通过文件系统隔离的方式实现。通过对应用目录文件定义多种安全属性来实现目录下数 据和指令的访问控制，将每一个应用放在一个单独的ADF中。 防火墙还可以通过虚拟机机制实现。利用虚拟机之间逻辑上的隔离特性，实现对用户透明的多应用 安全服务

安全威胁由安全策略提供抗衡。多应用智能卡安全威胁树如图B.1所示，包括：

YD/T34542019

未经过发卡机构或者卡持有人授权的应用可能被加载到卡上，影响卡上原本已加载的应用。

B.2接口的错误身份伪装

一个外部设备可能假装身份，声称自已是可信任的设备，但实际上该接口设备可能窃听或者操纵卡 上的数据。

当将数据传输到智能卡或者由智能卡传输数据时，数据可能被改变、窃听、删除基至创建，

B.4外部应用的错误身份伪装

一个外部应用可能假装身份，声称自已是可信任的应用，但实际上该外部应用可能窃听或者操级 数据。

B.5对接口的错误身份伪装

B.6对其他应用的错误身份伪装

一个在卡上运行的应用向其他卡上应用或者外部应用声明自已是可信任的应用，进行身份伪装

城市道路标准规范范本B.7对数据和应用的未授权访问

一个应用可能在未经授权的情况下访间数据或者执行卡上应用。

B.8对访问权限的未授权改变

B.9通过合法信道的未授权通信

B.10通过非法信道的未授权通信

存在非法的信道天然气标准，通过该信道可能实现不需要的

YD/T34542019