GPC规范--安全域基础概念

概述：
分为三种主流类型：
1、发卡方安全域(Issuer Security Domain， ISD)，卡片上首要的、强制性存在的安全域，是卡片管理者(通常是发卡方)在卡片内的代表；
2、补充安全域(Supplementary Security Domain， SSD)，卡片上次要的、可选择地存在的安全域，是应用提供方或发卡方以及它们的代理方在卡片内的代表；
3、授权管理者安全域(Controlling Authority Security Domains, CASD)，一种特殊类型的补充安全域，授权管理者负责将某种安全策略贯彻到所有加载到卡片的应用代码上，授权管理者安全域就是授权管理者在卡片内的代表，卡片上可能存在多个这样的安全域。
   

安全域是一种享有特权的应用；具备AID,权限，生命周期等属性；
特性：
1、是卡片上应用提供者或鉴权机构的代理
 2、自身是一个应用，有AID，权限和生命周期
3、 能够提供安全服务诸如密钥管理，加解密，数字签名生成，关联应用校验
 4、每个SD都为应用提供获取自身服务的接口
5、 每个SD可以支持独立的安全通道协议
 6、每个SD的密钥是完全独立的
安全域的的安全性要求
1、安全域负责贯彻其卡外安全域提供者制定的安全策略。当安全域可用时，必须负责：
2、在发卡前或者发卡后，根据其卡外安全域提供者制定的安全策略，与卡外实体进行通信；
3、管理卡片数据的安全性；
4、为其相关联的应用在个人化或接下来的操作中，提供加密保护服务；
5、请求OPEN进行加载、安装、让渡、删除卡片内容的操作；  (只是请求，实际还是OPEN操作)
6、向卡外实体返回加载、安装、让渡、删除等操作的收条；
7、验证卡外机构发起的改变卡片内容的操作是否经过了合法授权；
8、创建加载、安装、让渡、删除等操作的收条；
9、根据OPEN的要求，验证加载文件数据块的数字签名