移動互聯下的智能卡能力開放研究

中國聯通研究院 北京 100032

引言

隨著移動互聯網快速發展及終端智能化趨勢，業務功能趨于整合，應用領域不斷擴大，市場對終端與卡組合應用的業務需求與日俱增。作為終端的重要組成部分，智能卡具有不可替代的作用。憑借其潛在的安全算法、加密鑒權等能力，通過與終端和移動互聯的結合，智能卡可廣泛應用于通信、金融、醫療等多個行業和領域中，為其提供安全保障。

然而，與智能手機的技術及其應用發展相比，電信智能卡的基本能力和應用能力一直停滯不前，尤其是智能卡應用的業務體驗遠遠落后于手機等終端設備，制約了運營商業務的發展。智能卡作為電信運營商的天然用戶標識，逐漸被產業鏈弱化，運營商卡業務面臨被邊緣化的困境。在應用層面，智能卡應用開發技術壁壘高，運營商卡業務形式單一，缺少開放多元的模式，同時，目前的智能卡業務用戶體驗較差，已不適合移動互聯網的發展。

隨著卡應用業務的日益豐富和增加，用戶辦理卡業務的主要方式仍舊是通過營業廳或短信，不能夠通過用戶終端直接辦理，復雜耗時，用戶體驗差，不利于卡應用業務的開展。

在此背景下，我國電信運營商積極開展智能卡業務，如基于STK標準的卡應用業務，但由于與終端和移動互聯相對脫離，用戶體驗較差，不能滿足移動互聯網的發展。如何將智能卡自有能力和資源開放出來，與終端已有能力和移動互聯網相結合，開展新的卡業務卡應用，成為智能卡發展的當務之急。

本文介紹的卡能力開放系統(以下簡稱本系統)的建立，一方面有助于實現智能卡能力應用的下載、安裝、變更、卸載等業務辦理流程，并且將該能力集通過開放接口的方式提供給移動互聯網和行業應用；另一方面可以實現對智能卡的空間管理，對來自移動互聯網、行業應用的卡應用進行安全管控，實現統一的安全訪問控制。

1 系統架構

本系統主要由智能卡能力開放平臺(以下簡稱本平臺)和智能卡能力開放客戶端(以下簡稱本客戶端)組成，依托運營商現有平臺系統[1]，開放智能卡高級能力接口，面向用戶提供卡應用分發和管理能力，用于支撐第三方開發應用產品，提供機卡通道等。本系統提供雙模下載管理的工作方式，可滿足不同卡應用的業務需求。一方面本平臺可仿真營業廳，完成交互透傳等功能，此模式適用于安全需求較高、合作關系較為復雜的傳統卡應用；另一方面，本平臺可作為二級TSM管理第三方應用，并為其分配專屬輔助安全域，確保安全和管控，此模式適用于合作關系簡單、應用領域相對開放的卡應用。

本系統的業務邏輯架構如圖1所示。通過二級TSM平臺與運營商已有卡管理平臺(以下簡稱卡管理平臺)安全對接和交互，在確保現有業務正常運營的基礎上，開發新的卡業務卡系統；對外提供機卡安全訪問通道，開放智能卡高級能力接口，實現外部應用對卡上應用的安全訪問控制；同時，通過本客戶端為終端用戶提供管理其卡上應用的統一服務入口，滿足多領域多應用的業務和管理需求。

以聯通為例，本系統在卡業務全局視圖中的業務節點如圖2所示。可以看出，通過本系統搭建的卡能力開放體系，面向應用可提供一個專有的安全訪問通道，實現卡內數據的安全訪問控制，使外部的應用能夠安全訪問智能卡；面向用戶可將用戶終端上的不同卡業務應用進行整合，為用戶管理其卡上應用提供一個便捷、統一的服務入口，滿足一卡多應用的統一管理需求；面向開發者可開放智能卡開發資源，開發智能卡應用和系統，降低開發技術壁壘和準入門檻。

通過本系統搭建卡能力開放體系，使卡業務能夠脫離邊緣化的困境，為運營商開展創新卡業務提供重要抓手，全方位滿足移動互聯網的發展需求。

2 架構設計與軟件實現

2.1 卡能力開放平臺

本平臺通過與本客戶端和卡管理平臺對接，實現針對移動用戶手機卡片的卡應用遠程管理功能，負責本系統的下載安裝、應用管理及能力管理等工作，實現智能卡業務的接入與管理，同時兼具智能卡業務的推廣功能。

本平臺主要由展示層、控制層、服務層、DAO、數據存儲、緩存、外服務等幾部分構成[2]。

圖1 卡能力開放系統架構

圖2 卡能力開放體系示例

各層說明如下。1)展示層負責系統與客戶的交互。2)控制層起到控制整個業務流程的作用，實現View和Model部分的協同工作。3)服務層是用戶接口或Web客戶端與數據庫之間的邏輯層。典型情況下Web服務器位于該層，業務對象在此實例化。4)DAO模型是設計關系數據庫系統結構的對象類的集合。它們提供了完成管理一個關系型數據庫系統所需全部操作的屬性和方法，這其中包括創建數據庫，定義表、字段和索引，建立表間的關系，定位和查詢數據庫等。5)數據存儲是數據流在加工過程中產生的臨時文件或加工過程中需要查找的信息。數據以某種格式記錄在計算機內部或外部存儲介質上。數據存儲要命名，這種命名要反映信息特征的組成含義。數據流反映了系統中流動的數據，表現出動態數據的特征；數據存儲反映系統中靜止的數據，表現出靜態數據的特征。6)緩存就是數據交換的緩沖區(稱作Cache)，當某一硬件要讀取數據時，會首先從緩存中查找需要的數據，找到就直接執行，找不到則從內存中找。由于緩存的運行速度比內存快得多，故緩存的作用就是幫助硬件更快地運行。7)外服務主要是服務層和外界平臺或者軟件交互的一個模塊。

本平臺使用的開發技術如下。

1)主體框架采用Springmvc + Hibernate。Spring框架提供了構建Web應用程序的全功能MVC模塊。使用Spring可插入的MVC架構，可以選擇使用內置的Spring Web框架還是Struts這樣的Web框架。通過策略接口，Spring框架高度可配置，而且包含多種視圖技術。Spring MVC分離了控制器、模型對象、分派器以及處理程序對象的角色，這種分離讓它們更容易進行定制。Hibernate是一個開放源代碼的對象關系映射框架，它對JDBC進行了非常輕量級的對象封裝，使得Java程序員可以隨心所欲地使用對象編程思維來操縱數據庫。Hibernate可以應用在任何使用JDBC的場合，既可以在Java的客戶端程序使用，也可以在Servlet/JSP的Web應用中使用，最具革命意義的是，Hibernate可以在應用EJB的J2EE架構中取代CMP，完成數據持久化的重任。

2)數據庫采用Oracle。Oracle數據庫系統是目前世界上流行的關系數據庫管理系統，系統可移植性好、使用方便、功能強，適用于各類大、中、小、微機環境。它是一種高效率、可靠性好的適應高吞吐量的數據庫解決方案。

3)前端采用JQuery。JQuery是一個優秀的跨瀏覽器的Javascript庫，簡化HTML與JavaScript之間的操作。JQuery使用戶能更方便地處理HTML(標準通用標記語言下的一個應用)、Events、實現動畫效果，能方便地為網站提供AJAX交互并且能夠使用戶的HTML頁面保持代碼和HTML內容分離，也就是說，不用再在HTML里面插入一堆Js來調用命令了，只需要定義Id即可。

本平臺使用分布式緩存、分布式消息隊列、TCP網絡通信框架、安全框架、應用服務器集群的Session管理、NFS等關鍵技術實現的。具體介紹如下。

1)分布式緩存(Memcached)。這是一個高性能的分布式內存對象緩存系統，用于動態Web應用以減輕數據庫負載。它通過在內存中緩存數據和對象來減少讀取數據庫的次數，從而提高動態、數據庫驅動網站的速度。

2)分布式消息隊列(ActiveMQ)。這是一個功能強大的即時通訊和集成模式的開源服務器。能夠提供客戶端支持跨語言和協議。從設計上保證了高性能的集群，客戶端到服務器點對點，并且可以很容易地調用內嵌JMS Provider進行測試。它能實現分布式的異步調用，提高業務功能伸縮性。

3)TCP網絡通信框架(Apache Mina)。這是一個網絡應用程序框架，它為開發高性能和高可用性的網絡應用程序提供了非常便利的全功能網絡應用程序安全框架Shiro。Shiro是一個用Java語言實現的框架[3]，通過一個簡單易用的API提供身份驗證和授權服務。使用Shiro，就能夠為您的應用程序提供安全而又無需從頭編寫所有代碼。

4)應用服務器集群的Session管理。Session是指一個終端用戶與交互系統進行通信的時間間隔，通常指從注冊進入系統到注銷退出系統之間所經過的時間。具體到Web中的Session指的就是用戶在瀏覽某個網站時，從進入網站到瀏覽器關閉所經過的這段時間，也就是用戶瀏覽這個網站所花費的時間。

Session管理主要有以下幾種手段。①Session復制，早期企業應用系統使用較多的一種服務器集群Session管理機制。②Session綁定，可以利用負載均衡的源地址Hash算法實現。③利用Cookie記錄Session，早期的企業應用系統使用C/S(客戶端/服務器)架構。④Session服務器，利用獨立部署的Session服務器(集群)統一管理Session，應用服務器每次讀寫Session時，都訪問Session服務器。這種解決方案事實上是將應用服務器的狀態分離，分為無狀態的應用服務器和有狀態的Session服務器，然后針對這兩種服務器的不同特性分別設計其架構。

5)NFS(Network File System)。此為一個網絡文件系統，是FreeBSD支持的文件系統中的一種，它允許網絡中的計算機之間通過TCP/IP網絡共享資源。在NFS的應用中，本地NFS的客戶端應用可以透明地讀寫位于遠端NFS服務器上的文件，就像訪問本地文件一樣。

2.2 卡能力開放客戶端

本客戶端是預置在用戶智能卡上的卡應用程序，通過內部機卡通道OMAPI[4]與智能卡進行交互，通過外部接口與本平臺及卡能力管理平臺進行交互，共同完成用戶的注冊、登錄、查詢、管理等行為，并將所得結果顯示于用戶終端。本系統終端側(客戶端)功能架構如圖3所示。

圖3 卡能力開放終端功能架構

本客戶端的行為指令應同步更新到相應對接平臺，如用戶信息應同步到卡能力管理模塊對應平臺的用戶數據庫，通過本客戶端發起的卡應用版本變更應同步到本平臺，各終端、平臺及其他業務節點的本平臺相關數據應保持同步。

本平臺通過私有制令對本系統進行遠程管理，為用戶推送卡業務應用信息，進而接收用戶的卡應用下載請求。

開通本業務的終端用戶可以通過本客戶端或其他方式瀏覽相關平臺發布的卡應用信息并進行動態下載及管理。

2.3 通信接口

本平臺與卡管理平臺的業務接口采用TCP協議進行通信。其中本平臺作為Client端，卡管理平臺作為Server端，由Client端發起和關閉TCP會話連接。本平臺與卡管理平臺一共約定了兩種TCP報文格式，即Message01和Message02。

TCP會話中傳輸的Message01報文數據格式定義如表1所示。其中消息頭內容如表2所示。

表1 數據格式定義

表2 消息頭內容

TCP會話中傳輸的Message02報文數據格式定義如表3所示。其中消息頭內容如表4所示。

表3 報文數據格式

表4 消息頭內容

本平臺與本客戶端之間采用HTTPs協議進行通信交互與安全保護。交互中由本客戶端發起POST請求。

POST消息體采用JSON格式，報文示例：

請求報文：

本客戶端和三方客戶端之間通信遵從AIDL、OMA協議。

3 關鍵功能及業務場景

3.1 卡應用下載與變更

本平臺負責接收來自用戶或平臺本地的卡應用下載或變更(升級、卸載等)請求，授權下載并安裝請求的卡應用。該請求可由用戶通過本客戶端手動發起，或由平臺通過OTA空中方式推送觸發，也可以由三方應用外部觸發。下面以卡應用下載為例進行說明，業務流程如圖4所示。

本客戶端手動觸發方式中，本平臺接收到來自本客戶端的卡應用下載請求后，將該請求轉發給卡管理平臺，并透傳卡管理平臺與本客戶端之間的APDU交互指令，完成卡應用的下載和安裝。安裝完成后，本平臺負責將來自本客戶端的應用個人化請求轉發給卡管理平臺，完成卡應用的個人化。

平臺推送和三方應用觸發方式中，當有新的卡應用上線時，本平臺或卡管理平臺主動向本客戶端推送應用下載消息，本客戶端收到應用下載消息后，提示用戶進行下載安裝。用戶授權下載安裝后，本客戶端向本平臺發送卡應用下載安裝請求，后續流程同上。

圖4應用下載安裝流程說明如下。

1)用戶在卡能力開放客戶端(本客戶端)中發起應用管理操作(包括：應用下載、升級、卸載等)；2)本客戶端向本平臺發起卡片操作請求；3)卡能力開放平臺(本平臺)進行卡片操作請求處理；4)本平臺判斷當前操作應用的下載模式(本流程選定終端受理模式下載)；5)本平臺向卡管理平臺發起發卡片操作請求；6)卡管理平臺受理卡片操作請求后，利用信息提示接口，提示本平臺后續的操作步驟；7)卡管理平臺組織目標應用的下載APDU指令報文[5]，向本平臺發起APDU透傳請求；8)本平臺收到卡管理平臺APDU透傳請求后，向本客戶端返回文本提示信息、應用下載APDU指令報文，包括指令序號、APDU指令及期望SW(狀態字)；9)本客戶端依據按順序向用戶卡片發送應用下載安裝APDU指令，獲取卡片響應數據(R-APDU)，并比較預期SW；10)本客戶端執行完全部APDU指令或任意一條APDU指令執行結果與預期不符時，將再次向本平臺發起APDU獲取請求，請求中將攜帶最后一條APDU的執行結果；11)本平臺再次收到本客戶端的APDU獲取請求后，會將LastAPDU執行結果返回給卡管理平臺；12)卡管理平臺若還有APDU發送，則會再發起APDU透傳請求，本平臺則將APDU腳本集轉換為APDU List返回給本客戶端，否則卡管理平臺直接返回卡片操作結果，本平臺對于本客戶端的響應中APDU List填空；13)本客戶端將操作結果向用戶展示。

3.2 卡訪問控制

卡訪問控制主要負責控制終端上的第三方應用或者第三方業務平臺對卡上應用及數據的訪問。本平臺管理員以“應用”為單位，配置合作伙伴通過接口訪問該應用的權限，包括：能否發起應用下載請求、能否發起應用刪除請求、能否發起配置應用狀態/應用版本請求以及能否發起應用個人化請求等。

本平臺的卡訪問控制是針對用戶終端上的第三方應用通過本客戶端訪問用戶卡片中Applet行為的限制機制。訪問控制的行為由本客戶端負責實現，而訪問控制信息的管理由本平臺負責實現。訪問權限控制規定了有哪些終端應用可以訪問智能卡，以及某一個終端應用可以訪問哪些智能卡應用或調用那些智能卡能力。

圖4 應用下載安裝流程圖

第三方終端應用通過本系統提供的接口訪問智能卡時，本系統會對終端應用進行訪問權限的校驗，校驗方式可以通過本系統向管理服務器發起校驗申請或將訪問權限規則緩存至本地進行本地校驗。本客戶端收集并保存第三方應用對卡應用的訪問記錄，包括應用信息、訪問次數、訪問時間等，并上傳到本平臺。

本系統面向外部應用提供智能卡高級能力接口，向移動互聯網和行業應用提供智能卡能力的標準接口[6]，進一步開放卡能力。

卡訪問控制流程，流程說明如下。1)合作伙伴首選需要完成終端應用上傳配置操作；2)合作伙伴進行信息配置并提交申請，主要配置信息包括：終端App信息、訪問的卡片應用信息、訪問頻度、訪問操作的指令細節或內容描述、申請的有效期等；3)平臺管理員根據合作伙伴提交的申請信息配置APDU過濾規則，并審批該申請；4)審批通過后，平臺通知合作伙伴控制權限已生效，合作伙伴可自行訪問卡應用。

3.3 卡能力開放

能力開放包括：針對卡應用開發者的開放能力申請以及針對第三方應用商或服務商的接入能力申請。能力開放信息由合作伙伴自行填寫，填寫完成提交由管理員進行審批，通過后，根據信息的內容，實現合作伙伴的能力開放。

開放能力狀態說明如下。1)注冊狀態：開發者提交能力開放申請時，本平臺將創建一條開放能力信息記錄，并將該信息狀態置為“注冊”狀態。2)上線狀態：通過審批的開放能力狀態將置為“上線”；該狀態是一個開放能力的正常狀態。3)鎖定狀態：管理員有權將“上線”狀態的開放能力進行鎖定操作變為“鎖定”狀態；可以將“鎖定”狀態恢復為“上線”狀態。“鎖定”狀態的開放能力不能被搜索，不能被第三方SP訪問調用。4)注銷狀態：該狀態時，本平臺將對開放能力信息進行備份和刪除操作。

接入能力狀態說明如下。1)申請狀態：合作伙伴提交能力接入申請時，本平臺將創建一條能力接入信息記錄，并將該信息狀態置為“申請”狀態。2)生效狀態：通過審批的能力接入狀態將置為“生效”，該狀態是一個能力接入的正常狀態。3)鎖定狀態：管理員有權將“生效”狀態的能力接入進行鎖定操作變為“鎖定”狀態；可以將“鎖定”狀態恢復為“生效”狀態，該狀態下合作伙伴的目標能力服務訪問均會被拒絕。4)注銷狀態：該狀態時，本平臺將對能力接入信息進行備份和刪除操作。

能力申請業務示例流程如圖5所示，流程說明如下。1)合作伙伴注冊成功后，可訪問能力開放中心進行能力接入或能力開放(僅開發者SP賬號)申請；2)對于開發者SP賬號，可以選擇開放能力申請，在申請頁面配置所開放能力的關聯卡片應用信息，并按照能力開放規則完善相關信息；審批通過后，將進入測試階段；3)對于全部類型的合作伙伴賬號，都可以選擇申請能力接入，根據訪問類型能力服務被分為Web服務和App服務；4)Web服務：接入時，需要配置SP系統的地址或域名，便于能力操作結果的通知；5)App服務：接入時，需要配置SP的終端App信息，同時，還要申請配置終端App和當前能力服務卡應用的訪問規則；6)不論是開放能力或是接入能力，最終均需由平臺管理員完成審批后方可生效或上線。

圖5 能力申請業務流程圖

4 結束語

綜上所述，本系統通過智能卡能力開放體系的搭建，將智能卡自有能力和資源開放出來，通過終端與卡的緊密配合，為消費者提供更多基于智能卡的應用選擇，提高智能卡在移動互聯應用中的作用。同時，此舉可簡化開發商資質申請流程，降低開發者準入門檻，采取靈活的合作方式，提高開發商業務自主權，帶來新的業務和商業模式。

參考文獻

[1]中國聯通Java卡綜合業務管理與下載平臺業務v4.0[R]

[2]GlobalPlatform Card Specif i cation v2.2.1[S]

[3]ETSI TS 102.223, Card Application Toolkit (CAT) release 7[S]

[4]Open Mobile API Specif i cation v3.0[S]

[5]ETSI TS 102.226：Remote APDU structure for UICC based applications v7.2.0[S]

[6]ETSI TS 102.221, Smart Cards; UICC-Terminal interface; Physical and logical characteristics release 6[S]