UICC:如何改变ARA？

Question

我有一个UICC (由Gemalto)，它有一些非常严格的APDU访问规则。我想从Android应用程序访问UICC上的applet，但是这些规则不允许我发送任何APDU。

所以我需要改变这些规则。

我试过以下几点：

1. 将"Store Data - Store AR-DO“命令直接发送给ARA applet =>，我得到状态词”安全状态不满意“。
2. 对颁发者安全域进行身份验证，将“安装个性化”命令发送到颁发者安全域，然后通过ISD发送存储数据。=>的结果相同，“安全状态不满意”。

我做错了什么吗？有什么想法吗？是否需要任何额外的身份验证、密码或密钥才能更改访问规则？一旦访问规则已经设置，甚至可以更改它们吗？

Answer 1

• 只有当某些必要的身份验证条件在发送APDU命令之前不满足时，Security Status Not Satisfied错误代码才会发生。
• 更新APDU访问规则(即存储在ARA中的访问规则)需要适当的authentication，如果不进行正确的身份验证，就无法在applet中更新AR，因此仅选择applet和发送存储数据命令是不够的，您需要进行正确的身份验证，因为在这种情况下，一旦命令从任何终端或服务器路由到UICC(或应用程序)，则首先检查验证和完整性，以验证命令是否来自经过身份验证的服务器或终端。如果身份验证失败，那么APDU命令将因Security Status Not Satisfied错误而失败，这在您的情况下正在发生。
• 访问规则(AR)存储在ARA中，可以使用standardized Global Platform Secure Messaging或Remote Applet Management functionality在空中更新，即需要在安全信道协议(SCP02)或SCP80的安全下发送APDU命令(即存储数据)。有关这些协议的详细信息，请参阅Global Platform和ETSI规范。
• 在正确的身份验证之后，将Install[For Personalisation]命令发送到Security，(通常，AR applet与ISD相关联，因此这里的Security可能是ISD)，然后发送Store Data命令来更改ARA条目，因为前面的命令是Install[For Personalisation]，因此下一个Store Data命令将路由到ARA Applet。
• 请确保所有这些APDU命令在建立适当的安全通道后(在SCP02情况下)或在适当的安全信封内(在SCP80的情况下)进行传输。

谢谢，很乐意帮忙。

Answer 2

可以更改访问规则.

1.选择applet，然后通过SCP02进行身份验证。为此，您应该知道ARA applet的相关安全域，当然还有密钥。

2.通过安装个性化设置命令，您在本例中所做的操作是正确的，但首先检查ARA是否与ISD或其他SD相关联。

可以随时更改ARA规则。