TSM简介

TSM简介2014-06-131NFC•NFC作为一种近距离的无线通信技术，提供了一种更直接、更安全的现场交互解决方案。它能够允许电子设备之间进行非接触式点对点数据传输，实现数据交换、访问内容与服务。有了它，手机不再只是打电话、发短信以及上网的工具，还可以装载各种电子卡片应用（如银行卡、公交卡、会员卡、校园/企业一卡通等），用来购物支付、乘坐公交地铁、刷门禁考勤……而这一切的实现，都离不开TSM平台的管理。•那么，什么是TSM？2TSM•TSM是TrustedServiceManager的简称，字面意思是可信服务管理。TSM平台兼具公信力和开放性，可提供应用发行管理和安全模块管理等功能。中国移动建立的多应用开放平台即承担TSM的作用，是为实现行业合作、支持“一卡多应用”建立的一套完整的“空中发卡”和应用管理体系。3TSM分类•根据行业协会“GlobalPlatform”在相关标准中的定义，TSM分为两类——安全模块提供商（secureelementissuers）TSM(SEITSM)和服务提供商（serviceproviders）TSM(SPTSM)。SEITSM负责为SE提供商提供SE生命周期和安全域管理服务，而SPTSM负责为服务提供商提供应用生命周期服务。4SEITSM•多应用开放平台本质上是一个SEITSM，它可以支持多种业务平台的接入，为业务提供方提供安全的发卡渠道，实现应用和安全域的管理。其主要功能包括两个方面，即应用发行管理和安全模块管理。•1、应用发行管理：•一是受理业务平台的接入，对应用提供商进行注册和审核，按照规定的格式和安全加密要求对各类业务数据进行配置管理；二是负责审核应用提供商提交应用的安全性、合法性和规范性，提供应用及安全域的发行和管理；三是面向客户承担用户注册、注销、退网以及应用数据的查询、备份、挂失和补办等职责。•5SEITSM•2、安全模块管理：•一是控制和管理安全模块的主控密钥；二是通过空中下载(OTA)等技术方式在安全模块中加载、安装或删除应用数据和配套的账户数据；三是对安全模块SE信息进行统一管理，包括SE数据信息管理、SE安全通道管理、SE应用管理等。6SPTSM•银行或者交通等其他服务提供商银行业务或者交通业务的服务提供商7TSM架构•TSM作为各类服务提供商和用户之间的桥梁，兼具公信力和开放性等特点。TSM平台不仅用于某个移动网络运营商或是金融机构的平台，也是一个可为用户提供远程发行各类行业智能卡、管理合作关系的平台，可以应用在任何有智能卡需求的行业和地区。根据GP标准中的定义，TSM系统架构示意图8TSM架构91011TSM架构元素解释•服务提供商SP：为用户提供NFC业务的某个金融机构。SP可通过其接入的SPTSM，完成服务部署以及生命周期管理。简单模式下，SP也可直接接入SEITSM，向SEITSM提交应用，并由SEITSM完成卡内容管理。•l安全模块提供商SEP：SE的拥有方和提供方。•l服务提供商TSM（SPTSM）：可作为一个聚合器，支持多个SP的接入，是一个具有公信力的第三方平台。SPTSM接入SEITSM，并在SEITSM的委托授权下进行卡内容管理。•lSE提供商TSM（SEITSM）：也是一个聚合器，支持同时接入多个SP以及SPTSM。SEITSM负责对SE的访问控制，并为其他角色提供卡内容管理。•l移动网络运营商MNO：提供OTA技术能力，接入移动网络环境。•l安全模块SE：SE可以有多种形态——包括SIM卡（通常被移动运营商用作安全模块）、手机中嵌入的芯片以及直接与NFC无线芯片连接的microSD卡等。12A、移动网络B、TSM二、TSM作用域NFCPOS机一、交易授理域NFC手机服务提供方收单方三、支付处理/清算/结算域用户中国联通NFC接口技术银行管理支撑业务支撑业务支撑鉴权&清结算网络中国联通手机钱包业务模型业务管理收单方商户13用户渠道系统服务受理控制系统卡片管理支撑系统业务处理中国联通营业厅发卡系统银行营业厅服务系统手机客户端应用及服务系统服务发卡银行域内设施联通域内设施专线网络域内网络中国联通TSM系统银行手机钱包管理系统（商户）业务服务设备中国联通业务支撑系统银行业务支撑系统发卡与服务发卡与服务中国联通手机钱包系统全局逻辑拓扑14应用写入应用集中接入图4.1合作模型示意图中国电信NFC手机钱包业务合作模型示意图15用户使用NFC手机客户端浏览2、应用下载1、用户发起下载应用请求合作应用接入、上载发布3、合作方客户端插件下载、SE应用程序写入合作行业刷卡终端4、人化数据请求5、个人化数据写入NFC手机中国电信NFC手机钱包业务基本流程161.请求应用下载NFC终端/SE用户银行平台多应用开放平台5.写入AC访问规则创建银行安全域下载银行Applet手机钱包客户端2.应用下载请求3.预申请4.下载请求响应5.写入AC访问规则创建银行安全域下载银行Applet8.下载银行客户端应用7.检查并启动终端应用下载6.返回银行客户端URL9.用户启动银行客户端并申请银行电子现金银行客户端10.验证用户身份信息11.下发个人化指令11.个人化12.个人化响应12.个人化响应13开卡成功中国移动TSM平台空中发卡流程17TSM客户端银联TSM平台1.应用申请请求银行系统2.应用申请请求3.应用申请应答4.应用申请应答5.银行进行审核，如通过生成个人化数据6.应用申请审核结果通知7.应用申请审核结果通知应答8.应用申请审核结果通知9.应用申请审核结果通知应答10.应用下载及个人化请求13.应用下载及个人化，包含个人化脚本指令11.应用个人化请求(第一次交互)12.应用个人化应答，包含个人化脚本指令16.应用提供方通知17.应用提供方通知应答14.应用个人化请求(第二次交互)包含载体APDU执行结果15.应用个人化应答中国银联TSM平台空中发卡流程18TSM概念•TSM–TrustedServiceManagement可信服务管理平台•银联以及三大运营商的TSM平台是：基于“一卡多应用技术”建立一套完整的“空中发卡”和应用管理体系。通过TSM平台发卡机构可安全、高效地把多张金融卡信息以及第三方应用信息集中在智能SIM卡或者SD卡等安全载体上面，用户通过手机等智能设备既方便了携带，又便于自身发卡和管理。从而实现手机移动支付功能。19运营商TSM为应用提供方提供多应用服务管理平台支持应用提供方的系统接入对卡片主安全域的管理应用下载交易将卡片辅助安全域委托给第三方应用提供方20运营商TSM移动不做手机客户端，提供手机客户端通讯规范。联通提供统一界面的主客户端，应用提供方做主要的业务界面的手机插件，和主客户端通讯。电信类似联通，只是前者插件以jar包提供，电信是以apk提供。银联是在移动基础上做了封装，不用第三方做手机客户端。21银行/卡商/第三方TSM向运营商TSM提供金融应用或者第三方应用完成第三方TSM服务的开发完成应用的个人化交易提供应用申请，圈存，删除等业务的支持加密机平台保证系统交易安全如果是运营商需要开发手机客户端的主要加以界面22卡商提供银联认证通过的卡片给第三方应用提供方验证应用提供卡片交易相关的jar包提供本卡商的应用给第三方应用提供方或者运营商多应用服务管理平台。支持卡片问题23手机客户端银联TSM不需要第三方开发手机客户端，但是需要在其手机客户端上验证自己的应用联通和电信都需要第三方开发应用申请，空中圈存，应用删除等业务页面移动需要第三方开发整个手机客户端24多应用管理平台业务移动：多应用开放平台发起交易：应用下载，应用删除，应用更新，用户状态变更通知第三方业务平台发起交易：业务事件通知，创建安全域，安全域删除，安全域密钥更新，应用下载，个人化管理，应用删除，应用锁定/解锁25多应用管理平台业务联通和电信的业务类似TSM服务业务：用户认证，卡片相应结果通知，应用状态同步，用户事件通知，MAC工作密钥同步，应用删除，个人化操作，交易请求（如圈存）手机端业务：卡片申请，卡片管理(基本信息，账户信息，客服信息以及卡片介绍，设置和取消默认卡，设置单词支付临时卡，电子现金空中圈存，电子现金删除)26多应用管理平台业务银联业务应用申请，应用申请审核结果通知，通信功能状态变更通知，应用提供方通知，应用删除银联的圈存是银联直接走的银行的集中收单业务完成的。27多应用管理平台的不同•除了以上业务不同以外，接口报文也都不一样，通讯方式也不尽相同。•移动采用专线+https。•联通，电信采用专线+socket，并且报文需要MAC。•银联采用专线+WebService。28