一、说这些干嘛
很多人说TSM、CA、NFC是完全不同的东西,不能扯在一起。
不少人问TSM、CA、NFC的时候经常混淆,在很多场合被不同人在推广业务或产业时,混合的使用,是不是一个东西啊。
本文简单的说一说这三者的概念、用途、区别、关系及为什么经常混着说。因为他们确实是有关系的,但各自有明确的功能区分,运营方也是各自有自己的职责。
二、各自是干嘛的
TSM在之前笔者系列文章中专题讲过,是Trusted Service Manager的简称,字面意思就是可信服务管理,近期火起来了。TSM就是为了满足当前移动支付的现实需求而定义的平台和卡。
从用户角度简单的说:第一,用户若申请在手机内使用XX公司的银行卡、公交卡、会员卡等,可以和XX公司签约或从TSM平台门户申领。第二,TSM平台在确认用户手机和SIM卡可用后,下载用户申请的卡应用到SIM卡中。可以通过移动通信网络空中下载,也可以由用户到发行网点现场下载,将来可通过互联网自行加载。控制和实现这个安全的多个卡下载到一张卡的过程,这是TSM平台主要干的事情。
CA是Certificate Authority的简称,中文意思是认证中心。说CA,离不开PKI的概念,它是Public Key Infrastructure的简称,指的是公钥基础设施。 PKI从技术上解决了网络通信安全的种种障碍,关于非对称公私密钥的基础理论不在此文展开。 CA 从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。由此,人们统称为“ PKI/CA ”。从总体构架来看, PKI/CA 主要由最终用户、认证中心和注册机构来组成。
通俗的说下,数字证书就像日常生活中的身份证、驾驶证,在您需要表明身份的时候,必须出示证件来明确身份。您在参与电子商务的时候就依靠这种方式来表明您的真实身份。 PKI/CA 就是通过发放和维护数字证书来建立一套信任网络,用户通过申请到的数字证书来完成身份认证和安全交易。CA主要干的事情就是发放数字证书给用户证明其身份已经被鉴定过,主要用于保护公钥的合法性。
NFC是Near Field Communication的简称,中文称为近距离无线通信,是一种短距离的高频无线通信技术,允许电子设备之间进行非接触式点对点数据传输(在十厘米内)交换数据。这个技术由免接触式射频识别(RFID)演变而来,并向下兼容RFID,主要用于手机等手持设备中提供近距离通信。由于近场通讯具有天然的安全性,因此,NFC技术被认为在手机支付等领域具有很大的应用前景。
NFC在近五年开展、试点、推广、炒作的太多,业内基本没有不知道的。具备的技术、应用、现状就不多说了。简单来说,NFC离不开手机终端,支持NFC的商用手机从2011年开始逐渐增多。这里列举当前市场上支持NFC的手机,超过四十余款:
Samsung:Nexus S、Galaxy Nexus、Galaxy Note II、Galaxy S II HD LTE、Galaxy S III、Galaxy S Ⅳ、Atvi S、Galaxy Note3
HTC:One X、 8X、One M7、Butterfly、Butterfly S
SONY:Xperia S (LT26i)、Xperia SL(LT26ii)、Xperia acro S、Xperia P(LT22i)、Xperia sola、Xperia ion、Xperia TX(LT29i)、Xperia Z(L36h)
小米:小米2A 小米3
LG、Nokia、Blackberry、Asus、oppo、nubia、魅族、vivo品牌等也有各自手机支持NFC。
三、围绕要干嘛,正确的认识他们
在以上介绍的TSM、CA、NFC各自作用后,可以肯定的是,这三者确实不是同一个东西,也不能相互替代。但针对现实使用的场景不同,这三者会有合作关系,甚至是依赖关系。
(一)对于用户利用NFC手机进行非接触刷卡交易的场景:
1.对于大多数行业应用场景,由于都采用对称密钥体系,不需要PKI体系,也不需要与CA有关系。
2.对于从磁条向IC卡变更的国内银行卡交易场景,及国外的EMV金融卡体系中,由于都采用了非对称密钥,就和PKI联系上。对于非对称密钥的发行,需要CA的证书管理来管理持卡人用户身份的有效性。
3.对于使用NFC手机作为用户身份证明时,如通常称为联机认证的应用场景,用户将自己手机放在识别终端上,若终端后台系统与NFC手机中密钥(通常在SIM卡中)进行计算验证通过,该用户将被认为是合法用户,允许进行相关操作。此过程中经常用到非对称密钥,对于非对称密钥的发行,CA也派上用场。
此时,NFC和CA就有联合用武之地,各自在不同技术和应用层面上,各司其职。
(二)对于用户利用手机空中下载卡应用的场景:
1.NFC技术使一部NFC手机、一张SIM卡内进行多种行业IC卡交易成为可行。多张各行业IC卡放到SIM卡中,除了完全预置在SIM卡的方式外,最有价值的是可动态的下载或更新SIM卡内的应用。这就需要本文上述的TSM平台。
此时,NFC和TSM就有必然联系,这就是通常在讲述NFC的完整应用体系中,TSM经常提及的原因。
2.TSM平台和SIM卡广泛遵循的是GlobalPlatform(简称GP)组织制定的标准,除非是个别私有实现方式,当前世界上还没有成功商用的私有非GP标准的TSM和SIM卡产品。对于遵循GP标准的TSM和SIM产品中,卡内可以分割为多个安全空间(标准称为“安全域”,英文简称SD),可允许每个安全空间提供给行业发卡方自行管理卡应用,利用Token令牌机制来保障每个发卡方应用的合法性。每个Token是用非对称密钥计算和验证的,对于非对称密钥的发行,CA可派上用场。
此时,NFC、TSM、CA就有了联系。但需要澄清的是,不是只要有非对称密钥,就一定需要CA。
尤其是对遵循GP2.2版本的TSM平台和SIM卡,引入了CASD的安全域,这时候CA是必须使用的。具体关于CASD的机制和应用流程,不在此详述。由于CASD实现较为复杂、对卡性能要求高、管理机制复杂,现实中还没有真正商用的实现CASD的TSM和SIM卡。
(三)对于其他应用场景
现实中经常用到NFC和TSM主要是以上两类场景,此外,如单纯金融IC卡的密钥管理会使用CA,PC上安全软件使用中用户身份认证会使用CA,IC卡的应用数据个人化可能会涉及CA和TSM。
综上所述,NFC、TSM、CA有联合用武之地,但各自根本上是在不同技术和应用层面上,各司其职。
李琳:智能卡领域资深专家,在移动通信领域工作十五年。曾从事移动通信网络优化和规划工作,2001后专注于智能卡领域技术研发,曾在欧洲和中国带领国内外团队研发的产品覆盖全球多个国家。2007年开始在中国移动通信研究院负责移动支付、用户卡业务和技术、国内外标准化工作。2012年在中国移动总部从事中国移动业务策略、创新落地、产品运营、规划管理。