中國(guó)聯(lián)通研究院 北京 100032

引言

隨著移動(dòng)互聯(lián)網(wǎng)快速發(fā)展及終端智能化趨勢(shì)，業(yè)務(wù)功能趨于整合，應(yīng)用領(lǐng)域不斷擴(kuò)大，市場(chǎng)對(duì)終端與卡組合應(yīng)用的業(yè)務(wù)需求與日俱增。作為終端的重要組成部分，智能卡具有不可替代的作用。憑借其潛在的安全算法、加密鑒權(quán)等能力，通過(guò)與終端和移動(dòng)互聯(lián)的結(jié)合，智能卡可廣泛應(yīng)用于通信、金融、醫(yī)療等多個(gè)行業(yè)和領(lǐng)域中，為其提供安全保障。

然而，與智能手機(jī)的技術(shù)及其應(yīng)用發(fā)展相比，電信智能卡的基本能力和應(yīng)用能力一直停滯不前，尤其是智能卡應(yīng)用的業(yè)務(wù)體驗(yàn)遠(yuǎn)遠(yuǎn)落后于手機(jī)等終端設(shè)備，制約了運(yùn)營(yíng)商業(yè)務(wù)的發(fā)展。智能卡作為電信運(yùn)營(yíng)商的天然用戶標(biāo)識(shí)，逐漸被產(chǎn)業(yè)鏈弱化，運(yùn)營(yíng)商卡業(yè)務(wù)面臨被邊緣化的困境。在應(yīng)用層面，智能卡應(yīng)用開發(fā)技術(shù)壁壘高，運(yùn)營(yíng)商卡業(yè)務(wù)形式單一，缺少開放多元的模式，同時(shí)，目前的智能卡業(yè)務(wù)用戶體驗(yàn)較差，已不適合移動(dòng)互聯(lián)網(wǎng)的發(fā)展。

隨著卡應(yīng)用業(yè)務(wù)的日益豐富和增加，用戶辦理卡業(yè)務(wù)的主要方式仍舊是通過(guò)營(yíng)業(yè)廳或短信，不能夠通過(guò)用戶終端直接辦理，復(fù)雜耗時(shí)，用戶體驗(yàn)差，不利于卡應(yīng)用業(yè)務(wù)的開展。

在此背景下，我國(guó)電信運(yùn)營(yíng)商積極開展智能卡業(yè)務(wù)，如基于STK標(biāo)準(zhǔn)的卡應(yīng)用業(yè)務(wù)，但由于與終端和移動(dòng)互聯(lián)相對(duì)脫離，用戶體驗(yàn)較差，不能滿足移動(dòng)互聯(lián)網(wǎng)的發(fā)展。如何將智能卡自有能力和資源開放出來(lái)，與終端已有能力和移動(dòng)互聯(lián)網(wǎng)相結(jié)合，開展新的卡業(yè)務(wù)卡應(yīng)用，成為智能卡發(fā)展的當(dāng)務(wù)之急。

本文介紹的卡能力開放系統(tǒng)(以下簡(jiǎn)稱本系統(tǒng))的建立，一方面有助于實(shí)現(xiàn)智能卡能力應(yīng)用的下載、安裝、變更、卸載等業(yè)務(wù)辦理流程，并且將該能力集通過(guò)開放接口的方式提供給移動(dòng)互聯(lián)網(wǎng)和行業(yè)應(yīng)用；另一方面可以實(shí)現(xiàn)對(duì)智能卡的空間管理，對(duì)來(lái)自移動(dòng)互聯(lián)網(wǎng)、行業(yè)應(yīng)用的卡應(yīng)用進(jìn)行安全管控，實(shí)現(xiàn)統(tǒng)一的安全訪問(wèn)控制。

1 系統(tǒng)架構(gòu)

本系統(tǒng)主要由智能卡能力開放平臺(tái)(以下簡(jiǎn)稱本平臺(tái))和智能卡能力開放客戶端(以下簡(jiǎn)稱本客戶端)組成，依托運(yùn)營(yíng)商現(xiàn)有平臺(tái)系統(tǒng)[1]，開放智能卡高級(jí)能力接口，面向用戶提供卡應(yīng)用分發(fā)和管理能力，用于支撐第三方開發(fā)應(yīng)用產(chǎn)品，提供機(jī)卡通道等。本系統(tǒng)提供雙模下載管理的工作方式，可滿足不同卡應(yīng)用的業(yè)務(wù)需求。一方面本平臺(tái)可仿真營(yíng)業(yè)廳，完成交互透?jìng)鞯裙δ?，此模式適用于安全需求較高、合作關(guān)系較為復(fù)雜的傳統(tǒng)卡應(yīng)用；另一方面，本平臺(tái)可作為二級(jí)TSM管理第三方應(yīng)用，并為其分配專屬輔助安全域，確保安全和管控，此模式適用于合作關(guān)系簡(jiǎn)單、應(yīng)用領(lǐng)域相對(duì)開放的卡應(yīng)用。

本系統(tǒng)的業(yè)務(wù)邏輯架構(gòu)如圖1所示。通過(guò)二級(jí)TSM平臺(tái)與運(yùn)營(yíng)商已有卡管理平臺(tái)(以下簡(jiǎn)稱卡管理平臺(tái))安全對(duì)接和交互，在確?，F(xiàn)有業(yè)務(wù)正常運(yùn)營(yíng)的基礎(chǔ)上，開發(fā)新的卡業(yè)務(wù)卡系統(tǒng)；對(duì)外提供機(jī)卡安全訪問(wèn)通道，開放智能卡高級(jí)能力接口，實(shí)現(xiàn)外部應(yīng)用對(duì)卡上應(yīng)用的安全訪問(wèn)控制；同時(shí)，通過(guò)本客戶端為終端用戶提供管理其卡上應(yīng)用的統(tǒng)一服務(wù)入口，滿足多領(lǐng)域多應(yīng)用的業(yè)務(wù)和管理需求。

以聯(lián)通為例，本系統(tǒng)在卡業(yè)務(wù)全局視圖中的業(yè)務(wù)節(jié)點(diǎn)如圖2所示?？梢钥闯觯ㄟ^(guò)本系統(tǒng)搭建的卡能力開放體系，面向應(yīng)用可提供一個(gè)專有的安全訪問(wèn)通道，實(shí)現(xiàn)卡內(nèi)數(shù)據(jù)的安全訪問(wèn)控制，使外部的應(yīng)用能夠安全訪問(wèn)智能卡；面向用戶可將用戶終端上的不同卡業(yè)務(wù)應(yīng)用進(jìn)行整合，為用戶管理其卡上應(yīng)用提供一個(gè)便捷、統(tǒng)一的服務(wù)入口，滿足一卡多應(yīng)用的統(tǒng)一管理需求；面向開發(fā)者可開放智能卡開發(fā)資源，開發(fā)智能卡應(yīng)用和系統(tǒng)，降低開發(fā)技術(shù)壁壘和準(zhǔn)入門檻。

通過(guò)本系統(tǒng)搭建卡能力開放體系，使卡業(yè)務(wù)能夠脫離邊緣化的困境，為運(yùn)營(yíng)商開展創(chuàng)新卡業(yè)務(wù)提供重要抓手，全方位滿足移動(dòng)互聯(lián)網(wǎng)的發(fā)展需求。

2 架構(gòu)設(shè)計(jì)與軟件實(shí)現(xiàn)

2.1 卡能力開放平臺(tái)

本平臺(tái)通過(guò)與本客戶端和卡管理平臺(tái)對(duì)接，實(shí)現(xiàn)針對(duì)移動(dòng)用戶手機(jī)卡片的卡應(yīng)用遠(yuǎn)程管理功能，負(fù)責(zé)本系統(tǒng)的下載安裝、應(yīng)用管理及能力管理等工作，實(shí)現(xiàn)智能卡業(yè)務(wù)的接入與管理，同時(shí)兼具智能卡業(yè)務(wù)的推廣功能。

本平臺(tái)主要由展示層、控制層、服務(wù)層、DAO、數(shù)據(jù)存儲(chǔ)、緩存、外服務(wù)等幾部分構(gòu)成[2]。

圖1 卡能力開放系統(tǒng)架構(gòu)

圖2 卡能力開放體系示例

各層說(shuō)明如下。1)展示層負(fù)責(zé)系統(tǒng)與客戶的交互。2)控制層起到控制整個(gè)業(yè)務(wù)流程的作用，實(shí)現(xiàn)View和Model部分的協(xié)同工作。3)服務(wù)層是用戶接口或Web客戶端與數(shù)據(jù)庫(kù)之間的邏輯層。典型情況下Web服務(wù)器位于該層，業(yè)務(wù)對(duì)象在此實(shí)例化。4)DAO模型是設(shè)計(jì)關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)結(jié)構(gòu)的對(duì)象類的集合。它們提供了完成管理一個(gè)關(guān)系型數(shù)據(jù)庫(kù)系統(tǒng)所需全部操作的屬性和方法，這其中包括創(chuàng)建數(shù)據(jù)庫(kù)，定義表、字段和索引，建立表間的關(guān)系，定位和查詢數(shù)據(jù)庫(kù)等。5)數(shù)據(jù)存儲(chǔ)是數(shù)據(jù)流在加工過(guò)程中產(chǎn)生的臨時(shí)文件或加工過(guò)程中需要查找的信息。數(shù)據(jù)以某種格式記錄在計(jì)算機(jī)內(nèi)部或外部存儲(chǔ)介質(zhì)上。數(shù)據(jù)存儲(chǔ)要命名，這種命名要反映信息特征的組成含義。數(shù)據(jù)流反映了系統(tǒng)中流動(dòng)的數(shù)據(jù)，表現(xiàn)出動(dòng)態(tài)數(shù)據(jù)的特征；數(shù)據(jù)存儲(chǔ)反映系統(tǒng)中靜止的數(shù)據(jù)，表現(xiàn)出靜態(tài)數(shù)據(jù)的特征。6)緩存就是數(shù)據(jù)交換的緩沖區(qū)(稱作Cache)，當(dāng)某一硬件要讀取數(shù)據(jù)時(shí)，會(huì)首先從緩存中查找需要的數(shù)據(jù)，找到就直接執(zhí)行，找不到則從內(nèi)存中找。由于緩存的運(yùn)行速度比內(nèi)存快得多，故緩存的作用就是幫助硬件更快地運(yùn)行。7)外服務(wù)主要是服務(wù)層和外界平臺(tái)或者軟件交互的一個(gè)模塊。

本平臺(tái)使用的開發(fā)技術(shù)如下。

1)主體框架采用Springmvc + Hibernate。Spring框架提供了構(gòu)建Web應(yīng)用程序的全功能MVC模塊。使用Spring可插入的MVC架構(gòu)，可以選擇使用內(nèi)置的Spring Web框架還是Struts這樣的Web框架。通過(guò)策略接口，Spring框架高度可配置，而且包含多種視圖技術(shù)。Spring MVC分離了控制器、模型對(duì)象、分派器以及處理程序?qū)ο蟮慕巧?，這種分離讓它們更容易進(jìn)行定制。Hibernate是一個(gè)開放源代碼的對(duì)象關(guān)系映射框架，它對(duì)JDBC進(jìn)行了非常輕量級(jí)的對(duì)象封裝，使得Java程序員可以隨心所欲地使用對(duì)象編程思維來(lái)操縱數(shù)據(jù)庫(kù)。Hibernate可以應(yīng)用在任何使用JDBC的場(chǎng)合，既可以在Java的客戶端程序使用，也可以在Servlet/JSP的Web應(yīng)用中使用，最具革命意義的是，Hibernate可以在應(yīng)用EJB的J2EE架構(gòu)中取代CMP，完成數(shù)據(jù)持久化的重任。

2)數(shù)據(jù)庫(kù)采用Oracle。Oracle數(shù)據(jù)庫(kù)系統(tǒng)是目前世界上流行的關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)，系統(tǒng)可移植性好、使用方便、功能強(qiáng)，適用于各類大、中、小、微機(jī)環(huán)境。它是一種高效率、可靠性好的適應(yīng)高吞吐量的數(shù)據(jù)庫(kù)解決方案。

3)前端采用JQuery。JQuery是一個(gè)優(yōu)秀的跨瀏覽器的Javascript庫(kù)，簡(jiǎn)化HTML與JavaScript之間的操作。JQuery使用戶能更方便地處理HTML(標(biāo)準(zhǔn)通用標(biāo)記語(yǔ)言下的一個(gè)應(yīng)用)、Events、實(shí)現(xiàn)動(dòng)畫效果，能方便地為網(wǎng)站提供AJAX交互并且能夠使用戶的HTML頁(yè)面保持代碼和HTML內(nèi)容分離，也就是說(shuō)，不用再在HTML里面插入一堆Js來(lái)調(diào)用命令了，只需要定義Id即可。

本平臺(tái)使用分布式緩存、分布式消息隊(duì)列、TCP網(wǎng)絡(luò)通信框架、安全框架、應(yīng)用服務(wù)器集群的Session管理、NFS等關(guān)鍵技術(shù)實(shí)現(xiàn)的。具體介紹如下。

1)分布式緩存(Memcached)。這是一個(gè)高性能的分布式內(nèi)存對(duì)象緩存系統(tǒng)，用于動(dòng)態(tài)Web應(yīng)用以減輕數(shù)據(jù)庫(kù)負(fù)載。它通過(guò)在內(nèi)存中緩存數(shù)據(jù)和對(duì)象來(lái)減少讀取數(shù)據(jù)庫(kù)的次數(shù)，從而提高動(dòng)態(tài)、數(shù)據(jù)庫(kù)驅(qū)動(dòng)網(wǎng)站的速度。

2)分布式消息隊(duì)列(ActiveMQ)。這是一個(gè)功能強(qiáng)大的即時(shí)通訊和集成模式的開源服務(wù)器。能夠提供客戶端支持跨語(yǔ)言和協(xié)議。從設(shè)計(jì)上保證了高性能的集群，客戶端到服務(wù)器點(diǎn)對(duì)點(diǎn)，并且可以很容易地調(diào)用內(nèi)嵌JMS Provider進(jìn)行測(cè)試。它能實(shí)現(xiàn)分布式的異步調(diào)用，提高業(yè)務(wù)功能伸縮性。

3)TCP網(wǎng)絡(luò)通信框架(Apache Mina)。這是一個(gè)網(wǎng)絡(luò)應(yīng)用程序框架，它為開發(fā)高性能和高可用性的網(wǎng)絡(luò)應(yīng)用程序提供了非常便利的全功能網(wǎng)絡(luò)應(yīng)用程序安全框架Shiro。Shiro是一個(gè)用Java語(yǔ)言實(shí)現(xiàn)的框架[3]，通過(guò)一個(gè)簡(jiǎn)單易用的API提供身份驗(yàn)證和授權(quán)服務(wù)。使用Shiro，就能夠?yàn)槟膽?yīng)用程序提供安全而又無(wú)需從頭編寫所有代碼。

4)應(yīng)用服務(wù)器集群的Session管理。Session是指一個(gè)終端用戶與交互系統(tǒng)進(jìn)行通信的時(shí)間間隔，通常指從注冊(cè)進(jìn)入系統(tǒng)到注銷退出系統(tǒng)之間所經(jīng)過(guò)的時(shí)間。具體到Web中的Session指的就是用戶在瀏覽某個(gè)網(wǎng)站時(shí)，從進(jìn)入網(wǎng)站到瀏覽器關(guān)閉所經(jīng)過(guò)的這段時(shí)間，也就是用戶瀏覽這個(gè)網(wǎng)站所花費(fèi)的時(shí)間。

Session管理主要有以下幾種手段。①Session復(fù)制，早期企業(yè)應(yīng)用系統(tǒng)使用較多的一種服務(wù)器集群Session管理機(jī)制。②Session綁定，可以利用負(fù)載均衡的源地址Hash算法實(shí)現(xiàn)。③利用Cookie記錄Session，早期的企業(yè)應(yīng)用系統(tǒng)使用C/S(客戶端/服務(wù)器)架構(gòu)。④Session服務(wù)器，利用獨(dú)立部署的Session服務(wù)器(集群)統(tǒng)一管理Session，應(yīng)用服務(wù)器每次讀寫Session時(shí)，都訪問(wèn)Session服務(wù)器。這種解決方案事實(shí)上是將應(yīng)用服務(wù)器的狀態(tài)分離，分為無(wú)狀態(tài)的應(yīng)用服務(wù)器和有狀態(tài)的Session服務(wù)器，然后針對(duì)這兩種服務(wù)器的不同特性分別設(shè)計(jì)其架構(gòu)。

5)NFS(Network File System)。此為一個(gè)網(wǎng)絡(luò)文件系統(tǒng)，是FreeBSD支持的文件系統(tǒng)中的一種，它允許網(wǎng)絡(luò)中的計(jì)算機(jī)之間通過(guò)TCP/IP網(wǎng)絡(luò)共享資源。在NFS的應(yīng)用中，本地NFS的客戶端應(yīng)用可以透明地讀寫位于遠(yuǎn)端NFS服務(wù)器上的文件，就像訪問(wèn)本地文件一樣。

2.2 卡能力開放客戶端

本客戶端是預(yù)置在用戶智能卡上的卡應(yīng)用程序，通過(guò)內(nèi)部機(jī)卡通道OMAPI[4]與智能卡進(jìn)行交互，通過(guò)外部接口與本平臺(tái)及卡能力管理平臺(tái)進(jìn)行交互，共同完成用戶的注冊(cè)、登錄、查詢、管理等行為，并將所得結(jié)果顯示于用戶終端。本系統(tǒng)終端側(cè)(客戶端)功能架構(gòu)如圖3所示。

圖3 卡能力開放終端功能架構(gòu)

本客戶端的行為指令應(yīng)同步更新到相應(yīng)對(duì)接平臺(tái)，如用戶信息應(yīng)同步到卡能力管理模塊對(duì)應(yīng)平臺(tái)的用戶數(shù)據(jù)庫(kù)，通過(guò)本客戶端發(fā)起的卡應(yīng)用版本變更應(yīng)同步到本平臺(tái)，各終端、平臺(tái)及其他業(yè)務(wù)節(jié)點(diǎn)的本平臺(tái)相關(guān)數(shù)據(jù)應(yīng)保持同步。

本平臺(tái)通過(guò)私有制令對(duì)本系統(tǒng)進(jìn)行遠(yuǎn)程管理，為用戶推送卡業(yè)務(wù)應(yīng)用信息，進(jìn)而接收用戶的卡應(yīng)用下載請(qǐng)求。

開通本業(yè)務(wù)的終端用戶可以通過(guò)本客戶端或其他方式瀏覽相關(guān)平臺(tái)發(fā)布的卡應(yīng)用信息并進(jìn)行動(dòng)態(tài)下載及管理。

2.3 通信接口

本平臺(tái)與卡管理平臺(tái)的業(yè)務(wù)接口采用TCP協(xié)議進(jìn)行通信。其中本平臺(tái)作為Client端，卡管理平臺(tái)作為Server端，由Client端發(fā)起和關(guān)閉TCP會(huì)話連接。本平臺(tái)與卡管理平臺(tái)一共約定了兩種TCP報(bào)文格式，即Message01和Message02。

TCP會(huì)話中傳輸?shù)腗essage01報(bào)文數(shù)據(jù)格式定義如表1所示。其中消息頭內(nèi)容如表2所示。

表1 數(shù)據(jù)格式定義

表2 消息頭內(nèi)容

TCP會(huì)話中傳輸?shù)腗essage02報(bào)文數(shù)據(jù)格式定義如表3所示。其中消息頭內(nèi)容如表4所示。

表3 報(bào)文數(shù)據(jù)格式

表4 消息頭內(nèi)容

本平臺(tái)與本客戶端之間采用HTTPs協(xié)議進(jìn)行通信交互與安全保護(hù)。交互中由本客戶端發(fā)起POST請(qǐng)求。

POST消息體采用JSON格式，報(bào)文示例：

請(qǐng)求報(bào)文：

本客戶端和三方客戶端之間通信遵從AIDL、OMA協(xié)議。

3 關(guān)鍵功能及業(yè)務(wù)場(chǎng)景

3.1 卡應(yīng)用下載與變更

本平臺(tái)負(fù)責(zé)接收來(lái)自用戶或平臺(tái)本地的卡應(yīng)用下載或變更(升級(jí)、卸載等)請(qǐng)求，授權(quán)下載并安裝請(qǐng)求的卡應(yīng)用。該請(qǐng)求可由用戶通過(guò)本客戶端手動(dòng)發(fā)起，或由平臺(tái)通過(guò)OTA空中方式推送觸發(fā)，也可以由三方應(yīng)用外部觸發(fā)。下面以卡應(yīng)用下載為例進(jìn)行說(shuō)明，業(yè)務(wù)流程如圖4所示。

本客戶端手動(dòng)觸發(fā)方式中，本平臺(tái)接收到來(lái)自本客戶端的卡應(yīng)用下載請(qǐng)求后，將該請(qǐng)求轉(zhuǎn)發(fā)給卡管理平臺(tái)，并透?jìng)骺ü芾砥脚_(tái)與本客戶端之間的APDU交互指令，完成卡應(yīng)用的下載和安裝。安裝完成后，本平臺(tái)負(fù)責(zé)將來(lái)自本客戶端的應(yīng)用個(gè)人化請(qǐng)求轉(zhuǎn)發(fā)給卡管理平臺(tái)，完成卡應(yīng)用的個(gè)人化。

平臺(tái)推送和三方應(yīng)用觸發(fā)方式中，當(dāng)有新的卡應(yīng)用上線時(shí)，本平臺(tái)或卡管理平臺(tái)主動(dòng)向本客戶端推送應(yīng)用下載消息，本客戶端收到應(yīng)用下載消息后，提示用戶進(jìn)行下載安裝。用戶授權(quán)下載安裝后，本客戶端向本平臺(tái)發(fā)送卡應(yīng)用下載安裝請(qǐng)求，后續(xù)流程同上。

圖4應(yīng)用下載安裝流程說(shuō)明如下。

1)用戶在卡能力開放客戶端(本客戶端)中發(fā)起應(yīng)用管理操作(包括：應(yīng)用下載、升級(jí)、卸載等)；2)本客戶端向本平臺(tái)發(fā)起卡片操作請(qǐng)求；3)卡能力開放平臺(tái)(本平臺(tái))進(jìn)行卡片操作請(qǐng)求處理；4)本平臺(tái)判斷當(dāng)前操作應(yīng)用的下載模式(本流程選定終端受理模式下載)；5)本平臺(tái)向卡管理平臺(tái)發(fā)起發(fā)卡片操作請(qǐng)求；6)卡管理平臺(tái)受理卡片操作請(qǐng)求后，利用信息提示接口，提示本平臺(tái)后續(xù)的操作步驟；7)卡管理平臺(tái)組織目標(biāo)應(yīng)用的下載APDU指令報(bào)文[5]，向本平臺(tái)發(fā)起APDU透?jìng)髡?qǐng)求；8)本平臺(tái)收到卡管理平臺(tái)APDU透?jìng)髡?qǐng)求后，向本客戶端返回文本提示信息、應(yīng)用下載APDU指令報(bào)文，包括指令序號(hào)、APDU指令及期望SW(狀態(tài)字)；9)本客戶端依據(jù)按順序向用戶卡片發(fā)送應(yīng)用下載安裝APDU指令，獲取卡片響應(yīng)數(shù)據(jù)(R-APDU)，并比較預(yù)期SW；10)本客戶端執(zhí)行完全部APDU指令或任意一條APDU指令執(zhí)行結(jié)果與預(yù)期不符時(shí)，將再次向本平臺(tái)發(fā)起APDU獲取請(qǐng)求，請(qǐng)求中將攜帶最后一條APDU的執(zhí)行結(jié)果；11)本平臺(tái)再次收到本客戶端的APDU獲取請(qǐng)求后，會(huì)將LastAPDU執(zhí)行結(jié)果返回給卡管理平臺(tái)；12)卡管理平臺(tái)若還有APDU發(fā)送，則會(huì)再發(fā)起APDU透?jìng)髡?qǐng)求，本平臺(tái)則將APDU腳本集轉(zhuǎn)換為APDU List返回給本客戶端，否則卡管理平臺(tái)直接返回卡片操作結(jié)果，本平臺(tái)對(duì)于本客戶端的響應(yīng)中APDU List填空；13)本客戶端將操作結(jié)果向用戶展示。

3.2 卡訪問(wèn)控制

卡訪問(wèn)控制主要負(fù)責(zé)控制終端上的第三方應(yīng)用或者第三方業(yè)務(wù)平臺(tái)對(duì)卡上應(yīng)用及數(shù)據(jù)的訪問(wèn)。本平臺(tái)管理員以“應(yīng)用”為單位，配置合作伙伴通過(guò)接口訪問(wèn)該應(yīng)用的權(quán)限，包括：能否發(fā)起應(yīng)用下載請(qǐng)求、能否發(fā)起應(yīng)用刪除請(qǐng)求、能否發(fā)起配置應(yīng)用狀態(tài)/應(yīng)用版本請(qǐng)求以及能否發(fā)起應(yīng)用個(gè)人化請(qǐng)求等。

本平臺(tái)的卡訪問(wèn)控制是針對(duì)用戶終端上的第三方應(yīng)用通過(guò)本客戶端訪問(wèn)用戶卡片中Applet行為的限制機(jī)制。訪問(wèn)控制的行為由本客戶端負(fù)責(zé)實(shí)現(xiàn)，而訪問(wèn)控制信息的管理由本平臺(tái)負(fù)責(zé)實(shí)現(xiàn)。訪問(wèn)權(quán)限控制規(guī)定了有哪些終端應(yīng)用可以訪問(wèn)智能卡，以及某一個(gè)終端應(yīng)用可以訪問(wèn)哪些智能卡應(yīng)用或調(diào)用那些智能卡能力。

圖4 應(yīng)用下載安裝流程圖

第三方終端應(yīng)用通過(guò)本系統(tǒng)提供的接口訪問(wèn)智能卡時(shí)，本系統(tǒng)會(huì)對(duì)終端應(yīng)用進(jìn)行訪問(wèn)權(quán)限的校驗(yàn)，校驗(yàn)方式可以通過(guò)本系統(tǒng)向管理服務(wù)器發(fā)起校驗(yàn)申請(qǐng)或?qū)⒃L問(wèn)權(quán)限規(guī)則緩存至本地進(jìn)行本地校驗(yàn)。本客戶端收集并保存第三方應(yīng)用對(duì)卡應(yīng)用的訪問(wèn)記錄，包括應(yīng)用信息、訪問(wèn)次數(shù)、訪問(wèn)時(shí)間等，并上傳到本平臺(tái)。

本系統(tǒng)面向外部應(yīng)用提供智能卡高級(jí)能力接口，向移動(dòng)互聯(lián)網(wǎng)和行業(yè)應(yīng)用提供智能卡能力的標(biāo)準(zhǔn)接口[6]，進(jìn)一步開放卡能力。

卡訪問(wèn)控制流程，流程說(shuō)明如下。1)合作伙伴首選需要完成終端應(yīng)用上傳配置操作；2)合作伙伴進(jìn)行信息配置并提交申請(qǐng)，主要配置信息包括：終端App信息、訪問(wèn)的卡片應(yīng)用信息、訪問(wèn)頻度、訪問(wèn)操作的指令細(xì)節(jié)或內(nèi)容描述、申請(qǐng)的有效期等；3)平臺(tái)管理員根據(jù)合作伙伴提交的申請(qǐng)信息配置APDU過(guò)濾規(guī)則，并審批該申請(qǐng)；4)審批通過(guò)后，平臺(tái)通知合作伙伴控制權(quán)限已生效，合作伙伴可自行訪問(wèn)卡應(yīng)用。

3.3 卡能力開放

能力開放包括：針對(duì)卡應(yīng)用開發(fā)者的開放能力申請(qǐng)以及針對(duì)第三方應(yīng)用商或服務(wù)商的接入能力申請(qǐng)。能力開放信息由合作伙伴自行填寫，填寫完成提交由管理員進(jìn)行審批，通過(guò)后，根據(jù)信息的內(nèi)容，實(shí)現(xiàn)合作伙伴的能力開放。

開放能力狀態(tài)說(shuō)明如下。1)注冊(cè)狀態(tài)：開發(fā)者提交能力開放申請(qǐng)時(shí)，本平臺(tái)將創(chuàng)建一條開放能力信息記錄，并將該信息狀態(tài)置為“注冊(cè)”狀態(tài)。2)上線狀態(tài)：通過(guò)審批的開放能力狀態(tài)將置為“上線”；該狀態(tài)是一個(gè)開放能力的正常狀態(tài)。3)鎖定狀態(tài)：管理員有權(quán)將“上線”狀態(tài)的開放能力進(jìn)行鎖定操作變?yōu)椤版i定”狀態(tài)；可以將“鎖定”狀態(tài)恢復(fù)為“上線”狀態(tài)?！版i定”狀態(tài)的開放能力不能被搜索，不能被第三方SP訪問(wèn)調(diào)用。4)注銷狀態(tài)：該狀態(tài)時(shí)，本平臺(tái)將對(duì)開放能力信息進(jìn)行備份和刪除操作。

接入能力狀態(tài)說(shuō)明如下。1)申請(qǐng)狀態(tài)：合作伙伴提交能力接入申請(qǐng)時(shí)，本平臺(tái)將創(chuàng)建一條能力接入信息記錄，并將該信息狀態(tài)置為“申請(qǐng)”狀態(tài)。2)生效狀態(tài)：通過(guò)審批的能力接入狀態(tài)將置為“生效”，該狀態(tài)是一個(gè)能力接入的正常狀態(tài)。3)鎖定狀態(tài)：管理員有權(quán)將“生效”狀態(tài)的能力接入進(jìn)行鎖定操作變?yōu)椤版i定”狀態(tài)；可以將“鎖定”狀態(tài)恢復(fù)為“生效”狀態(tài)，該狀態(tài)下合作伙伴的目標(biāo)能力服務(wù)訪問(wèn)均會(huì)被拒絕。4)注銷狀態(tài)：該狀態(tài)時(shí)，本平臺(tái)將對(duì)能力接入信息進(jìn)行備份和刪除操作。

能力申請(qǐng)業(yè)務(wù)示例流程如圖5所示，流程說(shuō)明如下。1)合作伙伴注冊(cè)成功后，可訪問(wèn)能力開放中心進(jìn)行能力接入或能力開放(僅開發(fā)者SP賬號(hào))申請(qǐng)；2)對(duì)于開發(fā)者SP賬號(hào)，可以選擇開放能力申請(qǐng)，在申請(qǐng)頁(yè)面配置所開放能力的關(guān)聯(lián)卡片應(yīng)用信息，并按照能力開放規(guī)則完善相關(guān)信息；審批通過(guò)后，將進(jìn)入測(cè)試階段；3)對(duì)于全部類型的合作伙伴賬號(hào)，都可以選擇申請(qǐng)能力接入，根據(jù)訪問(wèn)類型能力服務(wù)被分為Web服務(wù)和App服務(wù)；4)Web服務(wù)：接入時(shí)，需要配置SP系統(tǒng)的地址或域名，便于能力操作結(jié)果的通知；5)App服務(wù)：接入時(shí)，需要配置SP的終端App信息，同時(shí)，還要申請(qǐng)配置終端App和當(dāng)前能力服務(wù)卡應(yīng)用的訪問(wèn)規(guī)則；6)不論是開放能力或是接入能力，最終均需由平臺(tái)管理員完成審批后方可生效或上線。

圖5 能力申請(qǐng)業(yè)務(wù)流程圖

4 結(jié)束語(yǔ)

綜上所述，本系統(tǒng)通過(guò)智能卡能力開放體系的搭建，將智能卡自有能力和資源開放出來(lái)，通過(guò)終端與卡的緊密配合，為消費(fèi)者提供更多基于智能卡的應(yīng)用選擇，提高智能卡在移動(dòng)互聯(lián)應(yīng)用中的作用。同時(shí)，此舉可簡(jiǎn)化開發(fā)商資質(zhì)申請(qǐng)流程，降低開發(fā)者準(zhǔn)入門檻，采取靈活的合作方式，提高開發(fā)商業(yè)務(wù)自主權(quán)，帶來(lái)新的業(yè)務(wù)和商業(yè)模式。

參考文獻(xiàn)

[1]中國(guó)聯(lián)通Java卡綜合業(yè)務(wù)管理與下載平臺(tái)業(yè)務(wù)v4.0[R]

[2]GlobalPlatform Card Specif i cation v2.2.1[S]

[3]ETSI TS 102.223, Card Application Toolkit (CAT) release 7[S]

[4]Open Mobile API Specif i cation v3.0[S]

[5]ETSI TS 102.226：Remote APDU structure for UICC based applications v7.2.0[S]

[6]ETSI TS 102.221, Smart Cards; UICC-Terminal interface; Physical and logical characteristics release 6[S]