Tải bản đầy đủ (.pdf) (27 trang)

TIểu luận môn CHỨNG THỰC SỐ TÌM HIỂU CÔNG NGHỆ PKCS 15

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (461.49 KB, 27 trang )

TÌM HIỂU CÔNG NGHỆ PKCS #15
Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 1
LỜI NÓI ĐẦU
PKCS #15 là một bước đầu tiên để đảm bảo rằng các chủ thẻ (token-holder) sẽ
có thể sử dụng các thẻ mật mã của họ để tự nhận diện điện tử đến bất kỳ ứng dụng
nào bất kể giao diện thẻ ứng dụng. Mục tiêu cuối cùng nhằm cho phép người giữ thẻ
có thể sử dụng bất kỳ thẻ nào từ nhà sản xuất bất kỳ để xác định chính mình cho bất
kỳ ứng dụng đang chạy trên nền tảng nào .Mặc dù đã cố gắng nhưng do giới hạn về
thời gian , nhóm chúng em xin đưa ra các đặc điểm chung về chuẩn PKCS #15 v1.1
cũng như cách tổ chức định dạng file trên các token PKCS #15 .Tài liệu này chủ yếu
được tham khảo từ tập tin pkcs#15v1_1.doc của RSA Laboratories .Nội dung cú
pháp ANS.1 của các tập tin thư mục trên token không được trình bày và chúng ta có
thể tham khảo trong tập tin pkcs#15v1_1.doc trên trang chủ của RSA .
Phạm Minh Hùng 07520163
Nguyễn Mậu Lĩnh 07520479
TÌM HIỂU CÔNG NGHỆ PKCS #15
Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 2
1.Giới thiệu
1.1 Bối cảnh
Thẻ mật mã (Cryptograpic token) , chẳng hạn như thẻ vi mạch ( Smart Card hoặc IC
card ) thực chất là các nền tảng tính toán an toàn lý tưởng để cung cấp mức độ an
ninh và chức năng bảo mật cho các ứng dụng. Chúng có thể xử lý thông tin xác thực
như chứng thư số ,quyền hạn và các khóa mật mã. Hơn nữa, chúng cung cấp khả
năng lưu trữ an toàn và các cơ sở tính toán cho các thông tin nhạy cảm như:
 private key và key fragments ;
 số tài khoản và giá trị lưu trữ ;
 mật khẩu và mã bí mật chia sẻ ;
 Quyền hạn và quyền cá nhân .
Đồng thời, nhiều token này cung cấp một khả năng xử lý tách biệt sử dụng thông tin
này mà không cần thể hiện nó trong môi trường máy chủ nơi chứa đựng nguy cơ
tiềm tàng từ các mã nguy hiểm ( virus,Trojan, vv ). Điều này trở nên cực kỳ quan


trọng cho các hoạt động nhất định như:
 khởi tạo chữ ký số, sử dụng private key , để nhận dạng cá nhân;
 mạng xác thực dựa trên những mã bí mật chia sẻ;
 duy trì giá trị đại diện điện tử ;
 khả năng portable nhằm sử dụng trong các tình huống off- line.
Không may, việc sử dụng các token này cho các mục đích xác thực và ủy quyền đã bị
cản trở bởi thiếu khả năng tương tác ở nhiều cấp độ. Trước tiên, ngành công nghiệp
thiếu các tiêu chuẩn để lưu trữ một định dạng phổ biến của các thông tin số (digital
credential : khóa , chứng thư ) trên chúng. Điều này gây ra khó khăn khi tạo ra các
ứng dụng mà có thể làm việc với các thông tin từ nhiều nhà cung cấp công nghệ. Nỗ
lực để giải quyết vấn đề này trong miền ứng dụng luôn làm tăng chi phí cho cả hai
phía phát triển và duy trì. Chúng cũng tạo ra một vấn đề đáng kể cho người sử dụng
đầu cuối vì thông tin được gắn với một ứng dụng cụ thể chạy chống lại một giao diện
lập trình ứng dụng cụ thể cho một cấu hình phần cứng cụ thể .
Thứ hai, các cơ chế cho phép nhiều ứng dụng chia sẻ có hiệu quả thông tin số mật mã
chưa đạt được hoàn toàn . Trong khi vấn đề này không phải là duy nhất cho thẻ mật
mã –đã xuất hiện trong việc sử dụng các chứng thư với các trình duyệt World Wide
TÌM HIỂU CÔNG NGHỆ PKCS #15
Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 3
Web, ví dụ - phòng hạn chế nhiều thẻ cùng với sự mong đợi chấp nhận phổ biến của
người tiêu dùng sẽ buộc chia sẻ thông tin trên các nhà cung cấp . Nếu không có các
tiêu chuẩn thỏa thuận để chia sẻ thông tin , chấp nhận và sử dụng ở hai phía nhà phát
triển ứng dụng và người tiêu dùng sẽ bị giới hạn.
Để tối ưu hóa lợi ích cho ngành công nghiệp lẫn người dùng , điều quan trọng là giải
pháp cho những vấn đề này được phát triển theo cách có hỗ trợ nhiều môi trường
hoạt động, giao diện lập trình ứng dụng, và một cơ sở rộng lớn các ứng dụng. Chỉ
thông qua cách tiếp cận này , nhu cầu của các bên có thể được hỗ trợ và việc phát
triển các ứng dụng được khuyến khích, như là một giải pháp hiệu quả để đáp ứng các
yêu cầu trong một tập hợp rất đa dạng của thị trường.
Do đó mục tiêu của tài liệu này nhằm :

 cho phép khả năng tương tác giữa các thành phần chạy trên các nền tảng khác
nhau (platform neutral);
 cho phép các ứng dụng tận dụng lợi thế của các sản phẩm và các thành phần
từ nhiều nhà sản xuất (vendor neutral );
 cho phép sử dụng các tiến bộ trong công nghệ mà không cần cần viết lại phần
mềm mức ứng dụng ( aplication neutral );
 duy trì nhất quán với hiện tại, các tiêu chuẩn liên quan đồng thời mở rộng
chúng chỉ khi cần thiết và thiết thực .
Như một ví dụ thực tế, người giữ một thẻ IC chứa một chứng thư số sẽ có thể xuất
trình thẻ cho bất kỳ ứng dụng đang chạy trên bất kỳ host nào và sử dụng thành công
thẻ để trình diện chứng thư được chứa đến ứng dụng.
Bước đầu tiên để đạt được những mục tiêu này, tài liệu này chỉ định một định dạng
tập tin và thư mục để lưu trữ thông tin liên quan đến an ninh trên thẻ mật mã. Nó có
các đặc điểm sau:
 cấu trúc động cho phép triển khai trên nhiều phương tiện truyền thông ;
 cho phép nhiều ứng dụng cư trú trên thẻ ( nhiều ứng dụng EID );
 hỗ trợ lưu trữ bất kỳ loại đối tượng ( khóa , chứng thư và dữ liệu );
 hỗ trợ nhiều mã PIN bất cứ khi nào token hỗ trợ .
Nói chung, một nỗ lực đã được thực hiện để đủ mềm dẻo cho phép nhiều loại token
khác nhau, trong khi vẫn bảo toàn các yêu cầu về tính tương hợp. Một yếu tố quan
trọng trong trường hợp của thẻ IC là khái niệm " Directory Files" ( Phần 5.5 ) cung
TÌM HIỂU CÔNG NGHỆ PKCS #15
Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 4
cấp một lớp gián tiếp giữa các đối tượng trên thẻ và định dạng thực tế của các đối
tượng này.
1.2 Mô hình truy cập thông tin
Thông tin trên token PKCS #15 có thể được đọc khi một token chứa đựng thông tin
này, và được sử dụng bởi một thông dịch viên PKCS #15 là một phần của môi trường
phần mềm, ví dụ trong hình dưới đây :
Hình 1 – Nhúng một thông dịch viên PKCS#15 (ví dụ)

2. Thuật ngữ và định nghĩa
Ở đây chỉ tóm tắt một số các định nghĩa thường gặp nhất trong tài liệu này ( tham
khảo thêm trong tập tin PKCS-15v1_1.doc ) như sau :
 Bộ định dang ứng dụng (application identifier) : phần tử dữ liệu nhận dạng
một ứng dụng trong thẻ .
 Tập tin thư mục đối tượng xác thực (authentication object directory file) :Tập
tin tùy chọn cơ bản chứng thông tin về các đối tượng xác thực được biết đến ứng
dụng PKCS#15 .
Card Terminal-
Interface
Card
independent
Application
Driver
PKCS#15
Interpreter
Application
PKCS#11-
Interface
TÌM HIỂU CÔNG NGHỆ PKCS #15
Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 5
 Tập tin thư mục chứng thư (certificate directory file) : Tập tin tùy chọn cơ bản
chứng thông tin về chứng thư được biết đến ứng dụng PKCS#15 .
 Tập tin thư mục đối tượng dữ liệu (data object directory file) : Tập tin tùy
chọn cơ bản chứa thông tin về các đối tượng dữ liệu được biết đến ứng dụng
PKCS#15 .
 Tập tin chuyên dụng (dedicated file ) : tập tin chứa thông tin điều khiển tập tin,
tùy chọn, bộ nhớ có sẵn để cấp phát , và đó có thể là cha của các tập tin cơ bản và các
tập tin chuyên dụng khác.
 Tập tin thư mục ( directory (DIR) file ) : Tập tin tùy chọn cơ bản chứa danh

sách các ứng dụng được hỗ trợ bởi thẻ và các thành phần dữ liệu tùy chọn liên quan .
 Tập tin cơ bản (elementary file ) : Tập các đơn vị dữ liệu hoặc các bảng ghi chia
sẻ chung một bộ định dang tập tin và không thể là cha của một tập tin khác .
 Bộ định dang tập tin (file identifier ) : Giá trị nhị phân 2 bytes để định địa chỉ
một tập tin trên smart card.
 Tập tin chính (master file ) : Tập tin chuyên dụng duy nhất bắt buộc đại diện
cho gốc cấu trúc .
 Tập tin thư mục đối tượng (object directory file) : Tập tin cơ bản chứa các
thông tin về các tập tin thư mục khác trên ứng dụng PKCS#15 .
 Số nhận dạng cá nhân (Personal identification number ): 4 đến 8 số được nhận
vào bởi chủ thẻ để kiếm tra mà chủ thẻ được quyền hạn sử dụng thẻ .Còn được gọi là
CHV (CardHolder Verification) .
 Tập tin thư mục khóa cá nhân ( private key directory file ) :Tập tin tùy chọn cơ
bản chứa thông tin về các khóa cá nhân được biết đến ứng dụng PKCS#15 .
 Tập tin thư mục khóa công khai (public key directory file ) :Tập tin tùy chọn cơ
bản chứa thông tin về các khóa công khai được biết đến ứng dụng PKCS#15 .
 Token : Thiết bị có khả năng di động lưu trữ dữ liệu liên tục .
3. Ký hiệu , thuật ngữ viết tắt
3.1 Ký hiệu
DF(x) Dedicated file x
EF(x) Elementary file x
TÌM HIỂU CÔNG NGHỆ PKCS #15
Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 6
3.2 Thuật ngữ viết tắt
AID application provider identifier
AODF authentication object directory file
APDU application protocol data unit
BCD binary-coded decimal
CDF certificate directory file
DF dedicated File

DODF data object directory file
EF elementary file
IFD interface device (e.g. reader)
MF master file
ODF object directory file
PIN personal identification number
PrKDF private key directory file
PuKDF public key directory file
RID registered application provider identifier
SKDF secret key directory file
URL uniform resource locator
4. Tổng quan
4.1 Mô hình tổng quan
4.1.1 Các lớp đối tượng
Tài liệu này định nghĩa bốn lớp đối tượng chung : Keys (khóa ) , Certificates( chứng
thư ), Authentication Objects (Đối tượng xác thực ) và Data Objects (Đối tượng dữ
liệu ) .Những lớp đối tượng này có lớp con , ví dụ Private Keys, Secret Keys and
Public Keys, mà các thể hiện của chúng trở thành các đối tượng thật sự được lưu trữ
trên thẻ .Hình phân cấp đối tượng như sau :
TÌM HIỂU CÔNG NGHỆ PKCS #15
Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 7
Chú ý : Các thể hiện của lớp đối tượng trừu tượng không tồn tại trên thẻ
Hình 2 – Phân cấp đối tượng PKCS #15
4.1.2 Các loại thuộc tính
Tất cả các đối tượng có một số thuộc tính. Đối tượng " kế thừa " các loại thuộc tính
từ các lớp cha của nó ( đặc biệt, mỗi đối tượng thừa kế thuộc tính từ đối tượng
“common” hoặc top PKCS #15 ). Xem trong phần 6 của tập tin pkcs-15v1_1.doc .
4.1.3 Các phương thức truy cập
Đối tượng có thể là cá nhân , có nghĩa là chúng được bảo vệ chống lại các truy cập
trái phép, hoặc công cộng. Trong trường hợp thẻ IC, truy cập ( đọc, viết, v.v. ) đến

các đối tượng cá nhân được xác định bằng đối tượng xác thực ( bao gồm các thủ tục
xác thực ). Điều kiện truy cập ( từ quan điểm của chủ thẻ ) là đạt được với thông tin
người dùng tri thức hoặc sinh trắc . Trong trường hợp khác, chẳng hạn như khi PKCS
#15 được thực hiện trong phần mềm, các đối tượng cá nhân có thể được bảo vệ
chống lại các truy cập trái phép bằng mật mã. Các đối tượng công khai không được
bảo vệ từ truy cập đọc. Cho dù chúng được bảo vệ chống lại các sửa đổi hay không
phụ thuộc vào việc thực hiện cụ thể.
5. Định dạng tập tin thẻ IC
5.1 Tổng quan
Private Key
(structural)
Secret Key
(structural)
Public Key
(structural)
X.509
Certificate
(structural)
Other
Certificates
(structural)
External data
objects
(structural)
PIN Object
(structural)
Biometric
Template
(structural)
Key Object

(abstract)
Certificate
Object
(abstract)
Data Object
(abstract)
Authen-
tication Object
(abstract)
PKCS#15 Top
Object
(abstract)
(abstract)
TÌM HIỂU CÔNG NGHỆ PKCS #15
Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 8
Nói chung, một định dạng tập tin thẻ IC quy định các trừu tượng nhất định ,
các phần tử mức cao hơn như khóa và chứng thư được thể hiện dưới dạng các phần
tử cấp thấp hơn như các tập tin thẻ IC và cấu trúc thư mục. Định dạng cũng có thể đề
nghị như thế nào và dưới hoàn cảnh nào mà các đối tượng mức cao hơn này có thể
được truy cập bằng các nguồn bên ngoài và như thế nào để các nguyên tắc truy cập
này được thực hiện trong các đại diện bên dưới ( tức là hệ điều hành của thẻ ).
5.2 Các yêu cầu của thẻ IC
Phần này của tài liệu này yêu cầu thẻ có hỗ trợ cần thiết tiêu chuẩn ISO / IEC 7816-
4, ISO / IEC 7816-5 và ISO / IEC 7816-6 ( kiểm soát có thứ bậc hợp lý hệ thống tập
tin, trực tiếp hoặc gián tiếp lựa chọn ứng dụng , cơ chế điều khiển truy cập và thao
tác đọc ). Mở rộng các tính năng, đặc biệt là nâng cao chức năng quản lý PIN và
hoạt động an ninh mức cao hơn có thể yêu cầu hỗ trợ tiêu chuẩn ISO / IEC 7816-8 và
/ hoặc ISO / IEC 7816-9 ( hoặc bộ phận của chúng ) .
5.3 Cấu trúc tập tin thẻ
Một thẻ thông thường hỗ trợ đặc tả kỹ thuật này sẽ có cách bố trí như sau :

Other
DFs/EFs
Chú ý – Cho mục đích tài liệu này , EF(DIR) chỉ cần thiết trên các
thẻ IC mà không hỗ trợ lựa chọn ứng dụng trực tiếp được định nghĩa
trong ISO/IEC 7816-5 hoặc khi nhiều ứng dụng PKCS #15 tồn tại
trên một thẻ đơn
Hình 3 : Sơ đồ thẻ PKCS#15 điển hình
MF
DF(PKCS #15)
EF(DIR)
TÌM HIỂU CÔNG NGHỆ PKCS #15
Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 9
Cấu trúc tập tin chung được thể hiện ở trên. Nội dung của thư mục ứng dụng PKCS
#15 là phần phụ thuộc vào loại thẻ IC và mục đích sử dụng , nhưng cấu trúc tập tin
sau đây được cho là phổ biến nhất :
Hình 2 – Nội dung của DF(PKCS15) (Ví dụ ).
Những kiến trúc khác có thể tham khảo trong phần Annex D của tập tin pkcs-
15v1_1.doc
5.4 Nội dung thư mục ứng dụng PKCS#15
5.4.1 EF(ODF)
Object Directory File là một tập tin cơ bản bắt buộc , nó chứa các con trỏ đến các
EF(PrKDFs, PuKDFs, SKDFs, CDFs, DODFs and AODFs) , mỗi một EF chứa một
thư mục trên các đối tượng PKCS#15 của một lớp cụ thể .
Hình 5 : EF(ODF) trỏ đến các EFs khác .Mũi tên đứt
đoạn chỉ tham chiếu chéo.
DF(PKCS #15)
EF(ODF)
EF(PrKDF)
EF(CDF)
EF(AODF)

EF(TokenInfo)
EF(PrKDF)
EF(AODF)
EF(CDF)
EF(DODF)
EF(ODF)
PuKDF pointer
PrKDF pointer
CDF pointer
AODF pointer
DODF pointer
EF(PuKDF)
TÌM HIỂU CÔNG NGHỆ PKCS #15
Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 10
5.4.2 Private Key Directory Files (PrKDFs)
Những tập tin cơ bản này có thể được coi là thư mục của các private key được biết
đến ứng dụng PKCS #15. Chúng là tùy chọn, nhưng ít nhất một PrKDF phải có mặt
trên một thẻ IC có chứa các private key ( hoặc tham chiếu đến các private key) được
biết đến các ứng dụng PKCS #15. Chúng chứa các thuộc tính khóa chung như nhãn,
dự định sử dụng , bộ định danh , v.v Khi áp dụng, chúng cũng chứa các con trỏ
tham chiếu chéo tới các đối tượng xác thực được sử dụng để bảo vệ quyền truy cập
đến các khóa . Các mũi tên ngoài cùng bên phải trong hình 6 cho thấy điều này.
Hơn nữa, chúng chứa các con trỏ tới bản thân chính các khóa (the keys themselve ) .
Có thể có bất kỳ số lượng PrKDFs trong PKCS #15 DF, nhưng người ta dự đoán
rằng trong trường hợp bình thường sẽ có nhiều nhất một. Bản thân các khóa có thể
cư trú bất cứ nơi nào trên thẻ. Nội dung cú pháp ASN.1 của PrKDFs được trình bày
trong phần 6.3 của tập tin pkcs-15v1_1.doc
Hình 3 – EF(PrKDF) chứa các thuộc tính private key và con trỏ tới các keys
5.4.3 Public Key Directory Files (PuKDFs)
Những tập tin cơ bản này có thể được coi là thư mục của các public key được biết

đến ứng dụng PKCS #15. Chúng là tùy chọn, nhưng ít nhất một PuKDF phải có mặt
trên một thẻ IC có chứa các public key ( hoặc tham chiếu đến các public key) được
biết đến các ứng dụng PKCS #15. Chúng chứa các thuộc tính khóa chung như nhãn,
dự định sử dụng , bộ định danh , v.v Hơn nữa, chúng chứa các con trỏ tới các khóa
chính chúng (the keys themselve ).Khi mà private key tương ứng với một public key
tồn tại trên thẻ , các key phải chia sẽ chung bộ định dang (được chỉ ra với một mũi
tên đứt đoạn trong hình 7) . Có thể có bất kỳ số lượng PuKDFs trong PKCS #15 DF,
Information about
private key #1
Information about
private key #2
Information about
private key #n
Private key #2
Private key #1
TÌM HIỂU CÔNG NGHỆ PKCS #15
Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 11
Information about
public key #1
Information about
public key #2
Information about
public key #n
Public key #2
Public key #1
nhưng người ta dự đoán rằng trong trường hợp bình thường sẽ có nhiều nhất một.Bản
thân các khóa có thể tồn tại bất kỳ nơi đâu trên thẻ .Nội dung của PuKDFs được trình
bày trong phần 6.4 của tập tin pkcs-15v1_1.doc
Chú ý – Khi một đối tượng chứng thư trên thẻ có chứa khóa công khai, đối tượng
khóa công khai và đối tượng chứng thư sẽ chia sẻ cùng một bộ định danh. Điều này có

nghĩa rằng trong một số trường hợp ba đối tượng ( một private key , một public key và
một certificate) sẽ chia sẻ cùng một bộ định danh.
Hình 4 – EF(PuKDF) các thuộc tính public key và các con trỏ tới các key
5.4.4 Secret Key Directory Files (SKDFs)
Những tập tin cơ bản này có thể được coi là thư mục của các secret key được biết đến
ứng dụng PKCS #15. Chúng là tùy chọn, nhưng ít nhất một SKDK phải có mặt trên
một thẻ IC có chứa các secret key ( hoặc tham chiếu đến các secret key) được biết
đến ứng dụng PKCS #15. Chúng chứa các thuộc tính khóa chung như nhãn, dự định
sử dụng , bộ định danh , v.v Khi được áp dụng , chúng chứa các con trỏ tham chiếu
chéo tới các đối tượng xác thực được sử dụng để bảo vệ truy cập đến các key .Hơn
nữa , chúng chứa các con trỏ tới chính bản thân các khóa . Có thể có bất kỳ số lượng
SKDFs trong PKCS #15 DF, nhưng người ta dự đoán rằng trong trường hợp bình
thường sẽ có nhiều nhất một.Bản thân các khóa có thể tồn tại bất kỳ nơi đâu trên thẻ .
Nội dung cú pháp ASN.1 của SKDFs được trình bày trong phần 6.5 của tập tin pkcs-
15v1_1.doc
TÌM HIỂU CÔNG NGHỆ PKCS #15
Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 12
Hình 5 – EF(SKDF) các thuộc tính secret key và các con trỏ tới các key
5.4.5 Certificate Directory Files (CDFs)
Những tập tin cơ bản này có thể được coi là thư mục của các chứng thư được biết
đến ứng dụng PKCS #15.Chúng là tùy chọn, nhưng ít nhất một CDF phải có mặt trên
một thẻ IC trong đó chứa các chứng thư ( hoặc tham chiếu đến các chứng thư) được
biết đến ứng dụng PKCS #15.Chúng chứa các thuộc tính chứng thư chung như nhãn,
bộ định danh v.v Khi một chứng thư chứa một public key có một private key cũng
nằm trên thẻ, chứng thư và private key phải chia sẻ cùng một bộ định danh ( điều
này được chỉ ra với một mũi tên đứt đoạn trong Hình 9).Hơn nữa, các tập tin thư mục
chứng thư chứa các con trỏ đến bản thân các chứng thư .Có thể có bất kỳ số lượng
CDF trong PKCS #15 DF, nhưng người ta dự đoán rằng trong trường hợp bình
thường sẽ chỉ có một hoặc hai (một cho chứng thư tin cậy và một trong đó các chủ
thẻ có thể cập nhật ). Bản thân các chứng thư có thể cư trú bất cứ nơi nào trên thẻ (

hoặc thậm chí bên ngoài thẻ, xem Phần 8). Nội dung cú pháp ASN.1 của CDF được
trình bày trong phần 6.6 của tập tin pkcs-15v1_1.doc
Hình 6 – EF(CDF) các thuộc tính chứng thư và các con trỏ đến các chứng thư
Information about
secret key #1
Information about
secret key #2
Information about
secret key #n
Secret key #2
Secrect key #1
Information about
certificate #1
Information about
certificate #2
Information about
certificate #n
Certificate #2
Certificate #1
TÌM HIỂU CÔNG NGHỆ PKCS #15
Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 13
5.4.6 Data Object Directory Files (DODFs)
Những tập tin này có thể được coi là thư mục của các đối tượng dữ liệu ( là các khóa
hoặc chứng thư ) được biết đến các ứng dụng PKCS #15.Chúng là tùy chọn, nhưng ít
nhất một DODF phải có mặt trên một thẻ IC có chứa các đối tượng dữ liệu đó ( hoặc
tham chiếu đến các đối tượng dữ liệu như vậy ) được biết đến ứng dụng PKCS #15
.Chúng chứa các thuộc tính đối tượng dữ liệu chung như bộ định danh của ứng dụng
mà các đối tượng dữ liệu thuộc , cho dù đó là một đối tượng riêng hoặc công khai ,
v.v Hơn nữa, chúng chứa các con trỏ tới bản thân chính các đối tượng dữ liệu .Có
thể có bất kỳ số lượng DODFs trong PKCS #15 DF, nhưng người ta dự đoán rằng

trong trường hợp bình thường sẽ có nhiều nhất một. Bản thân các đối tượng dữ liệu
có thể cư trú bất cứ nơi nào trên thẻ. Nội dung cú pháp ASN.1 của DODFs được mô
tả trong Phần 6.7 của tập tin pkcs-15v1_1 .
Hình 7 – EF(DODF) chứa các thuộc tính đối tượng dữ liệu và các con trỏ tới các đối tượng dữ liệu
5.4.7 Authentication Object Directory Files (AODFs)
Những tập tin cơ bản này có thể được coi là thư mục của các đối tượng xác thực ( ví
dụ như mã PIN, mật khẩu, dữ liệu sinh trắc ) được biết đến các ứng dụng PKCS #15.
Chúng là tùy chọn , nhưng ít nhất một AODF phải có mặt trên một thẻ IC , trong đó
chứa các đối tượng xác thực hạn chế truy cập đến các đối tượng PKCS #15 . Chúng
chứa các thuộc tính đối tượng xác thực chung như ( trong trường hợp của mã PIN )
cho phép các ký tự, độ dài mã PIN, PIN padding character , v.v Hơn nữa , chúng
chứa các con trỏ tới bản thân các đối tượng xác thực ( ví dụ như trong trường hợp
của mã PIN, các con trỏ đến DF trong đó tập tin mã PIN tồn tại ). Các đối tượng
xác thực vật được sử dụng để kiểm soát truy cập đến các đối tượng khác như các
khóa .Thông tin về đối tượng xác thực mà bảo vệ key cụ thể được lưu trữ trong thư
mục của tập tin thư mục key , ví dụ: PrKDF ( chỉ ra trong hình 7, các mũi tên ngoài
Information about
data object #1
Information about
data object #2
Information about
data object #n
Data object #2
Data object #1
TÌM HIỂU CÔNG NGHỆ PKCS #15
Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 14
cùng bên phải ).Có thể có bất kỳ số lượng AODFs trong PKCS #15 DF, nhưng người
ta dự đoán rằng trong nhiều trường hợp, sẽ chỉ có một hoặc hai. Bản thân các đối
tượng xác thực có thể cư trú bất cứ nơi nào trên thẻ.Nội dụng cú pháp ASN.1 các
AODFs được mô tả trong Phần 6.8 của tập tin pkcs-15v1_1.

Hình 8 – EF(AODF) chứa các thuộc tính đối tượng xác thực và các con trỏ đến các đối tượng xác thực
5.4.8 EF(TokenInfo)
Tập tin cơ bản bắt buộc TokenInfo với cấu trúc trong suốt sẽ chứa thông tin chung về
thẻ như khả năng của nó được xem xét bởi ứng dụng PKCS#15 .Thông tin này bao
gồm số serial của thẻ , các loại tập tin hỗ trợ ,các giải thuật được thi hành trên thẻ
v.v Nội dung cú pháp của tập tin TokenInfo được mô tả trong phần Error! Reference
source not found. của tập tin pkcs-15v1_1.doc .
5.4.9 EF(UnusedSpace)
Tập tin tùy chọn cơ bản UnusedSpace với cấu trúc trong suốt được sử dụng để theo
dõi không gian chưa sử dụng trong các tập tin cơ bản đã được tạo . Khi hiện diện ,
ban đầu nó phải có ít nhất một bản ghi chỉ vào một không gian trống trong một tập
tin mà có thể cập nhật bởi chủ thẻ .Việc sử dụng các tập tin này được mô tả chi tiết
hơn trong phần 5.8. Tập tin sẽ bao gồm các bảng ghi mã hóa DER với cú pháp
ASN.1 sau :
UnusedSpace ::= SEQUENCE {
path Path (WITH COMPONENTS { , index PRESENT, length PRESENT}),
authId Identifier OPTIONAL,
,
accessControlRules SEQUENCE OF AccessControlRule OPTIONAL
}
Information about
auth. object #1
Information about
auth. object #2
Information about
auth. object #n
Authentication
object #2
Authentication
object #1

TÌM HIỂU CÔNG NGHỆ PKCS #15
Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 15
Trường path trỏ đến một vùng (cả index, i.e. offset, và length sẽ hiện diện) mà
không được sử dụng và có thể được sử dụng khi thêm các đối tượng mới lên thẻ .
Thành phần authID báo hiệu không gian không sử dụng trong một tập tin
modification-protected bởi một tập tin đối tượng xác thực nhất định .
Thành phần accessControlRules đưa ra các thông tin sâu hơn về quyền hạn chế truy
cập bắt buộc cho không gian được chỉ định .
5.4.10 Các tập tin cơ bản khác trong thư mục PKCS #15
Những tập tin này (tùy chọn ) sẽ chứa các giá trị thực tế của các đối tượng (chẳng
hạn như khóa riêng, khóa công khai, khóa bí mật, chứng chỉ và dữ liệu ứng dụng cụ
thể ) được tham chiếu từ bên trong PrKDFs, SKDFs, PuKDFs, CDF hoặc DODFs.
Các định dạng ASN.1 về nội dung của những tập tin này được mô tả trong phần 6
của tập tin pkcs-15v1_1.doc .
5.5 Các bộ định danh tập tin
Các bộ định dang tập tin sau được định nghĩa cho các tập tin PKCS#15 .Chú ý rằng
RID(xem ISO/IEC 7816-5) là A0 00 00 00 63 .
Bảng 1 – Các bộ định danh tập tin
File
DF
File Identifier (relative to nearest DF)
MF
X
3F00
16
(ISO/IEC 7816-4)
DIR
2F00
16
(ISO/IEC 7816-4)

PKCS15
X
Decided by application issuer (AID is RID || “PKCS-
15”)
ODF
5031
16
by default (but see also Section 6.4.1)
TokenInfo
5032
16
by default (but see also Section 6.4.1)
UnusedSpace
5033
16
by default (but see also Section 6.4.1)
AODFs
Decided by application issuer
PrKDFs
Decided by application issuer
PuKDFs
Decided by application issuer
SKDFs
Decided by application issuer
TÌM HIỂU CÔNG NGHỆ PKCS #15
Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 16
CDFs
Decided by application issuer
DODFs
Decided by application issuer

Other EFs
Decided by application issuer
- (Reserved)
5034
16
- 5100
16
(Reserved for future use)
5.6 Quản lý đối tượng
5.6.1 Thêm các đối tượng mới
Tập tin UnusedSpace có thể được sử dụng để tìm một không gian chưa sử dụng thích
hợp trên thẻ. Sau khi không gian trống đã được tìm thấy, và giả sử đủ quyền cho một
tập tin thư mục đối tượng thích hợp ( ví dụ như một CDF trong trường hợp của một
chứng thư mới ), giá trị của các đối tượng mới được ghi vào khu vực được trỏ đến từ
EF ( UnusedSpace ). Sau đó ,bảng ghi được sử dụng trong EF( UnusedSpace ) sẽ
được cập nhật để chỉ đến byte trống đầu tiên sau khi đối tượng vừa được ghi . Cuối
cùng, một bản ghi mới được thêm vào tập tin thư mục đối tượng. Nếu tập tin thư mục
đối tượng ( ví dụ như CDF ) là một bảng ghi tuyến tính thật nó sẽ là một lệnh đơn
giản ISO / IEC 7816-4 ( ' APPEND RECORD '). Trong trường hợp của một tập tin
thư mục đối tượng trong suốt , một lệnh ' UPDATE BINARY' được đề nghị.
Nếu không có không gian trống phù hợp được tìm thấy , garbage collection có thể
cần thiết, ghi lại các tập tin thư mục đối tượng như các đối tượng chúng chỉ tới để di
chuyển xung quanh, và cập nhật EF ( UnusedSpace ) theo quy định.
Nếu EF ( UnusedSpace ) không được sử dụng, ứng dụng có thể phải tạo một file cơ
bản mới và ghi giá trị của đối tượng mới vào tập tin này trước khi cập nhật một tập
tin thư mục đối tượng phù hợp.
Trong trường hợp thay thế một đối tượng trước , không gian có thể được bảo tồn
trong các tập tin thư mục đối tượng bằng cách cập nhật các byte trước đó được sử
dụng để lưu giữ thông tin về đối tượng đó. Không gian có thể được tìm thấy bằng
cách tìm kiếm một bảng ghi với một tag '00 ' trong trường hợp tập tin bảng ghi tuyến

tính , hoặc một “logical” như bảng ghi trong trường hợp tập tin trong suốt . Vì tất cả
các bảng ghi sẽ bao gồm các mã hóa DER , những vùng trống này sẽ dễ dàng tìm
thấy ( '00 'không phải là một tag ASN.1 hợp lệ ).
TÌM HIỂU CÔNG NGHỆ PKCS #15
Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 17
Hình 9 – Trước khi thêm một chứng thư mới
Hình 10 – Sau khi thêm một chứng thư mới
5.6.2 Loại bỏ các đối tượng
Một lần nữa, đủ quyền được thừa nhận. Trong đó ,đối tượng trong câu hỏi phải là
"modifiable" ( xem Phần 6.1.8 ), và nếu nó là một đối tượng riêng ( một lần nữa, xem
Phần 6.1.8 ), các yêu cầu ủy quyền phải được đáp ứng ( ví dụ như một mã PIN chính
xác phải hiện diện trước khi hoạt động).
Loại bỏ một bản ghi từ một tập tin thư mục đối tượng được thực hiện bởi các lệnh
'WRITE RECORD ' hoặc ‘UPDATE RECORD ’ trong trường hợp tập tin bảng ghi
tuyến tính , và bằng lệnh ‘WRITE BINARY’ hay lệnh ' UPDATE BINARY ' trong
trường hợp tập tin trong suốt . Các bảng ghi phải được xoá , hoặc thay thế tag ngoài
cùng với một byte '00 ' hoặc bằng cách ghi lại toàn bộ tập tin với nội dung thông tin
mới của nó . Chỉ cần ghi đè lên tag, nhưng bảo quản các byte chiều dài cho phép dễ
dàng duyệt qua các tập tin sau này, nhưng sẽ không nhất quán với ISO / IEC 7816-4
Phụ lục D ( trong đó yêu cầu các trường độ dài và các trường field được thiết lập '00 '
).
Hai hình sau cho thấy một ví dụ trong đó một chứng thư được loại bỏ từ ứng dụng
PKCS #15 và EF( UnusedSpace ) được sử dụng để theo dõi không gian chưa sử
dụng.
EF(UnusedSpace)
Elementary file
EF(CDF)
Free space #1
Free space #n
Certificate 1

Empty area
Cert1 Info
‘00’
Elementary file
Free space #1
Free space #n…
Cert 1
Cert 2
Empty area
Cert1 Info
Cert2 Info
‘00’
EF(UnusedSpace)
EF(CDF)
TÌM HIỂU CÔNG NGHỆ PKCS #15
Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 18
Hình 11 – Trước khi loại bỏ chứng thư 2
Hình 12 –Sau khi loại bỏ chứng thư 2
Sau khi đánh dấu các mục trong tập tin thư mục đối tượng như chưa sử dụng ( '00 ' ),
một bảng ghi mới được thêm vào EF ( UnusedSpace ), chỉ đến khu vực mà tập tin
thư mục đối tượng được sử dụng để trỏ đến.
5.6.3 Hiệu chỉnh các đối tượng
Một lần nữa, các đặc quyền đầy đủ như trong các tiểu mục trước được giả định.
Trong trường hợp tập tin bảng ghi tuyến tính , các bảng ghi tập tin thư mục đối tượng
bị ảnh hưởng ( ví dụ như EF ( CDF ) , EF ( DODF ) ) được cập nhật 1 cách đơn
giản ( ' UPDATE RECORD '). Trong trường hợp tập tin trong suốt , nếu mã hóa các
thông tin mới không cần nhiều không gian hơn so với thông tin trước đó , bảng ghi
(logical) có thể được cập nhật. Ngoài ra, toàn bộ tập tin có thể được ghi lại, nhưng
điều này có thể chứng minh là tốn kém hơn .
Free space #1

Cert 1
Cert 2
Cert 3
Cert 1 Info
Cert 2 Info
Cert 3 Info
EF(UnusedSpace)
Elementary file
EF(CDF)
Elementary file
Free space #1
Free space #2
Cert 1
Cert 2
Cert 1 Info
‘00’ L
Cert 3 Info
EF(UnusedSpace)
EF(CDF)
TÌM HIỂU CÔNG NGHỆ PKCS #15
Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 19
6. Một profile nhận dạng điện tử của PKCS #15
6.1. Phạm vi
Phần này mô tả một profile của PKCS #15 phù hợp để mục đích nhận dạng điện tử
(EID) và những yêu cầu cho nó.Việc triển khai thực hiện yêu cầu tuân thủ phù hợp
với profile này. Profile bao gồm các yêu cầu cả cho thẻ và cho các ứng dụng phía
máy chủ làm việc sử dụng thẻ EID.
6.2. Những đối tượng của PKCS #15
- Private Keys: Một PKCS #15 thẻ phát hành cho mục đích EID nên có ít nhất 2
Private Key, một trong số đó thường được sử dụng chỉ cho mục đích chữ ký số. Ít

nhất một trong các khóa khác sẽ có giá trị decrypt được đặt trong cờ sử dụng chính
của nó. Những đối tượng xác thực hay giải mã phải bảo vệ tất cả các khóa riêng.
Trên các thẻ hỗ trợ on-chip chữ ký điện tử, chữ ký nên được bảo vệ trước những tác
động thay đổi, nó phải được bảo vê bởi phương thức truy cập chỉ đọc. Thông thường
khóa chữ ký yêu cầu sự xác minh chủ thẻ với những đối tượng xác minh chỉ sử dụng
cho khóa này. Chiều dài khóa phải đủ cho mục đích sử dụng (ví dụ 1024 bit trở lên
trong trường hợp RSA và 160 bit trở lên trong trường hợp EC,giả định tất cả các
tham số khác đã được chọn một cách an toàn).
Chấp nhận những kiểu private key cho profile này là :
 RSA keys
 Elliptic Curve keys
 DSA keys
Phía máy chủ ứng dụng hỗ trợ đầy đủ profile này phải nhận ra tất cả những kiểu key
này và có khả năng sử dụng chúng .Thẻ phải chứa ít nhất một trong các kiểu key trên
- Secret Keys: Không có yêu cầu. Đối tượng của loại hình này có thể hoặc
không thể có mặt trên thẻ, tùy thuộc vào quyết định của người phát hành của ứng
dụng. Không có yêu cầu cho các ứng dụng phía máy chủ để xử lý các khóa này.
- Public Keys: Không có yêu cầu. Đối tượng của loại hình này có thể hoặc không
thể có mặt trên thẻ, tùy thuộc vào quyết định của người phát hành của ứng dụng.
Không có yêu cầu cho các ứng dụng phía máy chủ để xử lý các khóa này.
- Certificates(chứng thư): Đối với mỗi khóa riêng ít nhất một chứng nhận tương
ứng phải được lưu trữ trong thẻ. Chứng thư phải có kiểu X509Certificate. Nếu một
ứng dụng lưu trữ chứng chỉ CA trên thẻ nó phải hỗ trợ các tiêu chuẩn ISO / IEC
TÌM HIỂU CÔNG NGHỆ PKCS #15
Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 20
7816-4, và có cơ chế truy cập tập tin phù hợp được lưu trữ trong một tập tin đã được
bảo vệ. Tập tin này sẽ được trỏ đến bởi một tập tin CDF mà chỉ có thể sửa
đổi bởi các công ty phát hành thẻ (hoặc tất cả không thể sửa đổi được). Điều này có
nghĩ sử dụng lựa chọn trustedCertificates trong các kiểu Objects. User certificates
cho những khóa riêng tồn tại trên thẻ sẽ được đặc tả với IETF RFC 2459. Phía máy

chủ ứng dụng yêu cầu phải nhận ra và có khả năng sử dụng kiểu X509Certificate
- Data objects (Dữ liệu các đối tượng): Không có yêu cầu. Đối tượng của loại
hình này có thể hoặc không thể có mặt trên thẻ, tùy thuộc vào quyết định của người
phát hành của ứng dụng.
- Authentication objects (Đối tượng xác thực) : trong trường hợp của một thẻ
IC có khả năng bảo vệ tập tin với các đối tượng chứng thực, ít nhất là một xác thực
đối tượng phải có mặt trên thẻ, bảo vệ các đối tượng riêng. Một đối tượng xác thực
riêng biệt nên sử dụng cho khóa chữ ký, bất kỳ việc sử dụng khóa chữ ký riêng sẽ
được yêu cầu xác thực người dùng mới. Trong trường hợp mã PIN, bất kỳ việc xác
thực của một mã PIN không được phép sử dụng dịch vụ an ninh liên kết với một mã
PIN khác. Việc xác thực liên tục và không chính xác của một người dùng nào đó mã
PIN sẽ chặn tất cả các dịch vụ an ninh liên kết với mã PIN này. Các tổ chức phát
hành ứng dụng quyết định số lần xác minh liên tiếp không chính xác sẽ gây ra việc
khóa thẻ. Mã PIN phải có ít nhất 4 ký tự (BCD, UTF8 hoặc ASCII). Khi một mã PIN
sẽ bị khóa sau khi xác minh mã PIN không chính xác liên tiếp, mã PIN chỉ có thể
được bỏ chặn thông qua một thủ tục bỏ chặn đặc biệt, được xác định bởi các tổ chức
phát hành ứng dụng
6.3. Những tập tin khác
Sử dụng một EF (UnusedSpace) được khuyến cáo nếu chủ thẻ được phép cập nhật
các nội dung của ứng dụng PKCS #15.
6.4. Quy tắc kiểm soát truy nhập
Private keys phải là những đối tượng riêng và đánh dấu là sensitive. Tập tin có chứa
Private keys, cần được bảo vệ chống lại gỡ bỏ và ghi đè. Điều kiện truy cập cho các
tập tin trong ứng dụng PKCS#15 có thể được thiết lập khác nhau tùy thuộc vào nếu
ứng dụng là read-only hoặc read-write. Một thẻ read-only dùng các ứng dụng yêu
cầu độ bảo mật cao, ví dụ nó được sử dụng một quá trình phát hành an toàn, và chắc
chắn rằng sau đó nó không thể bị tác động thay đổi . Sau đây là bảng các quy tắc
kiểm soát phương thức truy nhập
TÌM HIỂU CÔNG NGHỆ PKCS #15
Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 21

Bảng 1-Phương thức truy cập tập tin
Kiểu
tập tin
Phương thức
truy cập
Ý nghĩa
DF
Create
Cho phép các tập tin mới, cả hai EFS và DFS được
tạo ra trong DF.
Delete
Cho phép các tập tin trong DF bị xóa. Chỉ có liên
quan cho thẻ có hỗ trợ xóa.
EF
Read
Nó được cho phép để đọc nội dung của file.
Update
Nó được phép cập nhật nội dung của file.
Append
Nó được phép nối thêm thông tin cho tập tin (thường
chỉ áp dụng đối với các tập tin ghi tuyến tính).
Compute
checksum
* Nội dung của tập tin có thể được sử dụng khi tính
toán một checksum
Compute
Signature
* Nội dung của tập tin có thể được sử dụng khi tính
toán một chữ ký
Verify

checksum
* Nội dung của tập tin có thể được sử dụng khi xác
minh một checksum
Verify
signature
* Nội dung của tập tin có thể được sử dụng khi xác
minh chữ ký
Encipher
* Nội dung của tập tin có thể được sử dụng trong một
hoạt động enciphering
Decipher
* Nội dung của tập tin có thể được sử dụng trong một
hoạt động giải mã
TÌM HIỂU CÔNG NGHỆ PKCS #15
Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 22
Bảng 2-Điều kiện có thể truy cập
Bảng 3. Điều kiện truy cập tập tin khuyến nghị
File
DF
R/O card
R/W card
MF
X
Create: SYS
Delete: NEV
Create: SYS
Delete: SYS
DIR
Read: ALW
Update: SYS

Append: SYS
Read: ALW
Update: SYS
Append: SYS
PIN files
Read: NEV
Update: NEV
Append: NEV
Read: NEV
Update: CHV
Append: NEV
PKCS15
X
Create: SYS
Delete: NEV
Create: CHV | SYS
Delete: CHV | SYS
TokenInfo
Read: ALW
Update: NEV
Append: NEV
Read: ALW
Update: CHV | SYS | NEV
Append: NEV
ODF
Read: ALW
Read: ALW
Tên
thông số
Ý nghĩa

NEV
hoạt động này là không bao giờ được cho phép, không phải ngay cả
sau khi xác minh chủ thẻ.
ALW
hoạt động luôn luôn được cho phép, mà không cần xác minh chủ thẻ.
CHV
hoạt động này được cho phép sau khi xác minh người giữ thẻ thành
công.
SYS
hoạt động này được cho phép sau khi trình bày hệ thống quan trọng,
thường chỉ dành cho các công ty phát hành thẻ trường hợp (trường
hợp Security Officer)
TÌM HIỂU CÔNG NGHỆ PKCS #15
Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 23
Update: NEV
Append: SYS | NEV
Update: SYS | NEV
Append: SYS | NEV
AODFs
Read: ALW
Update: NEV
Append: NEV
Read: ALW
Update: CHV | SYS | NEV
Append: CHV | SYS | NEV
PrKDFs,
PuKDFs,
SKDFs,
CDFs and
DODFs

Read: ALW | CHV
Update: NEV
Append: SYS | NEV
Read: ALW | CHV
Update: CHV
Append: CHV
Trusted
CDFs
Trusted
PuKDFs
Read: ALW | CHV
Update: NEV
Append: SYS | NEV
Read: ALW | CHV
Update: SYS | NEV
Append: SYS | NEV
Key files
Read: NEV
Update: NEV
Append: NEV
Crypt: CHV
Read: NEV
Update: CHV | SYS | NEV
Append: CHV | SYS | NEV
Crypt: CHV
Other EFs
Read: ALW | CHV
Update: NEV
Append: SYS | NEV
Read: ALW | CHV

Update: CHV
Append: CHV
Bảng 4 - Điều kiện truy cập tập tin cho EID của PKCS #15
File
Access Conditions, R-O
card
Access Conditions. R-W card
MF
Create: SYS
Delete: NEV
Create: SYS
Delete: SYS
EF(DIR)
Read: ALW
Update: SYS
Append: SYS
Read: ALW
Update: SYS
Append: SYS
TÌM HIỂU CÔNG NGHỆ PKCS #15
Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 24
PIN files
Read: NEV
Update: NEV
Append: NEV
Read: NEV
Update: CHV
Append: NEV
DF(PKCS15)
Create: SYS

Delete: NEV
Create: CHV | SYS
Delete: SYS
EF(TokenInfo)
Read: ALW
Update: NEV
Append: NEV
Read: ALW
Update: CHV | SYS | NEV
Append: NEV
EF(ODF)
Read: ALW
Update: NEV
Append: NEV
Read: ALW
Update: SYS
Append: SYS
AODFs
Read: ALW
Update: NEV
Append: NEV
Read: ALW
Update: NEV
Append: CHV | SYS
PrKDFs, PuKDFs,
SKDFs, CDFs and
DODFs
Read: ALW | CHV
Update: NEV
Append: SYS | NEV

Read: ALW | CHV
Update: CHV | SYS | NEV
Append: CHV | SYS
Trusted CDFs
Read: ALW | CHV
Update: NEV
Append: SYS | NEV
Read: ALW | CHV
Update: SYS | NEV
Append: SYS | NEV
Key files
Read: NEV
Update: NEV
Append: NEV
Crypt: CHV
Read: NEV
Update: CHV | SYS | NEV
Append: CHV | SYS | NEV
Crypt: CHV
Other EFs in the
PKCS15 directory
Read: ALW | CHV
Update: NEV
Append: SYS | NEV
Crypt: CHV (when
applic.)
Read: ALW | CHV
Update: CHV | SYS | NEV
Append: CHV | SYS | NEV
Crypt: CHV (when applic.)

TÌM HIỂU CÔNG NGHỆ PKCS #15
Giảng viên hướng dẫn : Th.s Phạm Xuân Khánh 25
7. Ví dụ về cấu trúc liên kết PKCS #15
7.1. Ví dụ 1
Biểu đồ thể hiện việc áp dụng PKSC#15 trên thẻ đa ứng dụng :
Hình 16 - Ví dụ với 3 ứng dụng: đối tượng thật (keys, certificates) được lưu trữ bên ngoài các ứng dụng
PKCS #15
MF
EF(DIR)
DF1
DF (PKCS#15)
EF(ODF)
EF(PrKDF)
EF(CDF)
EF(AODF)
EF(TokenInfo)
DF2
Real objects
Real objects
MF
EF(DIR)
DF(PKCS#15)
DF2
DF1
EF(ODF)
EF(TokenInfo)
EF(PrKDF)
EF(CDF)
EF(AODF)
EF(PrKDF)

EF(CDF)
EF(AODF)

×