可信服务管理(Trusted Service Manager)介绍

一、什么是TSM

TSM是Trusted Service Manager的简写，从字面上理解重点体现在Trusted（注意以ed结尾的过去分词形态，是被信任的）、Service（突出强调是一种服务）Manager（是管理者，应理解为是一个管理平台），所以从名称反映出是即有“管理”与“服务”并且由多方组成的，由某一具有公信力的第三方执行中间桥接的综合管理平台。体现具有公信力和开放性等特点，为各行业提供基于安全载体并且对安全载体本身（SE）及各类应用的发行及管理的公共开放服务平台。发行包含了应用文件的下载、安装、个人化等，对SE和应用的管理主要是生命周期的控制等。

是基于“一卡多应用技术”建立一套完整的“空中发卡”和应用管理体系。通过TSM平台发卡机构可安全、高效地把多张金融卡信息以及第三方应用信息集中在智能SIM卡或者SD卡等安全载体上面。

TSM是把各方“暧昧”而又“复杂”的“不正当”关系理顺，使其之间正常化运行。

TSM

二、为什么需要TSM

1）传输及存储技术服务：

相对于普通的“游戏”、“社交”、“工具”等移动端应用不同，有很多个人数据及密钥、证书等具有敏感及安全特性的数据需要“安全”地在专网或互联网即OTA（Over The Air）的方式传输及存储在SE上。TSM平台提供了如何传输及存储的技术手段。

2）管理服务：

为了休现安全载体更多的存在价值，最大限度的满足多应用、多账户、垮行业等特点的商业需求，TSM平台提供了管理各个合作方之间的关系，以及处理各方的商务和技术上的交流的服务。

3）安全要求：

关键信息不被允许明文形式“直接”或“间接”地在传输过程落地，只允许在“加密设备”及“安全载体”内部存在或出现。

三、当前各领域TSM案例

1）、中国人民银行安全可信公共服务平台：

2013年底建成试运营，国家级移动金融安全可信公共服务平台为移动金融产业市场主体跨机构间应用共享、实体互信、系统互通、协同发展提供了技术支持和保障，说明我国移动金融发展已进入“标准化时代”。

2）、中国银联TSM平台：

2012年建立起安全可靠、功能强大的TSM平台，并逐步实现与通信运营商、商业银行等各方TSM平台的互联互通，以Apple pay为代表的品牌产品。

3）、中国移动TSM平台：

2012年就开始构建基于NFC的TSM平台，简称NFC多应用开放平台。中国移动密切追踪和研究可信服务管理的国际标准和最新技术，持续开展平台的升级改造，积极对接业内其他TSM平台，陆续接入各类行业应用，积累了丰富的TSM运营管理经验。无论从应用数量、覆盖行业，还是承载用户、互联互通来看，中国移动TSM平台已经成为目前国内最大、最成熟的TSM平台。

4）、交通领域TSM：

以城市一卡通为代表，如领南通、深圳通等通卡公司由雪求、雷森等服务商提供的跨行业TSM服务，目前Applet pay已在北京、上海等地可乘坐地铁公交，作为交通领域的TSM品牌代表。

5）、国外关于TSM的发展：

以Visa、MasterCard为代表的外卡组织，均建立起自己方案的TSM平台，并支持自己的非接品牌，如Paywave、Paypass等。

当前TSM案例

四、参与角色

• 安全载体
• 安全载体发行方
• 安全载体Agent管理方
• 应用提供方
• 应用Agent管理方
• 服务提供方TSM
• 移动网络运营商
• 检测机构
• CA/VA机构

参与角色

1）、安全载体：

安全载体

2）、安全载体发行方

一般由商业银行、通信运营商或其它行业相关机构发行。

• 控制主安全域主控密钥
• 协助安装“辅助安全域”
• 管理生命周期
• 分配SE 信息如批次号及 ID等

安全载体发行方

3）、应用提供方

指提供用于发行的应用的机构

• 银行机构
• 通卡公司
• 移动运营商
• 政府社保单位
• 第三方非金融机构
• 物业管理
• 其它会员卡等
• 提供应用个人化数据，如卡号、应用工作密钥、个人信息等式
• 提供应用的“发行方安全域”（可选）
• 提供应用的“可执行文件”及安装参数
• 管理应用生命周期

应用提供方

4）、应用Agent管理方

通常是指提供发行应用的渠道方，需要“间接”通过服务提供方或“直接”对接应用提供方和载体发行方进行应用的发行和载体的管理。

• 第三方公司（如拉卡拉、苹果、华为等）
• 移动运营商（如移动、联通、电信）
• 金融服务机构（银联、商业银行等）
• 提供用户注册及登录等用户入口
• 提供客户端用于应用发现、下载、安装、个人化等渠道
• 与服务提供方或应用提供方同步应用状况信息

应用Agent管理方

5）、服务提供方TSM

通常是指提供应用一切服务入口的中间方，需要对接应用提供方、载体发行方等，是核心的枢纽角色

• 金融服务机构（银联、Visa、MasterCard）
• 移动运营商（如移动、联通、电信）
• 第三方公司（如雪球、雷森等）
• 提供应用一切入口，如发现、下载、安装、个人化等式
• 提供应用、载体、应用管理的中转入口
• 整合管理载体、安全域、密钥等信息关系
• 商务合作关系维护

服务提供方TSM

6）、移动网络运营商

由于移动网络运营商有天然的先天优势，控制着SIM卡，而SIM卡又作为多应用的平台支撑，所以移动网络运营商作为载体发行方、应用发行方、服务提供方，只需要对接应用提供方就可以非常顺利地完成应用的开通。以及提供后续的一系列增值服务。

移动网络运营商

7）、检测机构

TSM平台各方的合作需要互相信任，但是需要强有力的技术手段来保证信息的安全，所以需要检测机构对载体、应用、系统等进行公平的第三方检测。

• 安全载体检测指为安全载体制造商或安全载体发行方提供安全载体检测服务，安全载体必须符合应用提供方的相关技术和安全要求。
• 应用检测指为应用提供方提供检测服务，对于通过应用提供方安全域下载和管理的应用，该应用必须符合应用提供方对智能卡应用的检测标准。
• 系统检测是为了让各系统间通讯安全符合各方达成的要求。

检测机构

五、TSM系统架构

1）、通用架构

可信服务管理是一个为各行业提供基于安全载体的各类应用发行及管理的公共开放服务平台。可信服务管理系统支持多种业务的接入，主要功能包括：向应用提供方提供应用发行及管理能力，认证并授权安全载体及其应用，为应用发行提供安全保障，为相关参与方提供应用管理的手段。

可信服务管理总体架构围绕各方建设，由于行业发展的不同，商务合作方式的差异，也出现了不同架构的TSM平台，但一个相对标准的TSM平台架构如下：

TSM通用架构

2）、银联模式

银联TSM平台有3种业务模式，分别是：“完全合作”、“应用共享”、“载体开放”，但主要是以前两种。这3种业务合作模式均是以银联TSM为主官角度描述，具体的内容可参考银联的《可信服务管理技术规范》。

Ø完全合作模式：银联即是载体Agent管理方又是应用Agent管理方、服务提供方TSM

Ø应用共享模式：银联作为应用Agent管理方、服务提供方TSM，合作商作为载体发行方

Ø载体开放模式：是应用共享模式的相反版，目前没有实现。

TSM银联模式

3）、中国移动/联通/电信TSM

中国移动/联通/电信的TSM平台相对类似，都是利用自己有大量的“安全载体”用户的优势，积极与各银联机构、银联、通卡公司、人行MTPS等平台。

中国移动/联通/电信TSM

4）、GP E2E方案

GP的E2E方案是着重于“端到端”理念，将各个参与方划方明确界限，各司其责。利用辅助安全域的权限控制划分为3种模式。

GP E2E方案TSM

GP E2E方案架构

六、TSM模式分类

TSM平台没有特定的强制性标准，需要根据建设方的实际需求进行规划，不同的合作角色、合作模式、技术实现方式均有不同的实现模式。

1）、按功能角色分类：

SP-TSM SEI-TSM 空中发卡

2）、按合作模式分类：

载体空间完全租凭 载体空间授权租凭

完全托管

3）、按技术实现分类：

授权管理模式 委托管理模式 迁移管理模式

TSM模式分类

七、功能角色分类

1）、SP TSM：

应用提供方TSM，主要负责对安全载体上某个应用（或应用集合）进行管理，能够为所有接入的应用提供方提供应用下载、个人化、应用管理等功能。

• 主要负责对安全载体上某个应用（或应用集合）进行管理，如应用生命周期、应用数据同步等
• 能够为所有接入的应用提供方提供应用下载、个人化、应用管理等功能。

SP TSM

2）、SEI TSM

发卡方TSM，能够为安全载体发行方提供安全载体生命周期管理等功能。

• SE发卡方TSM，能够为安全载体发行方提供安全载体生命周期管理等功能。
• 提供安全域生命周期管理
• 安全域授权及托管服务

3）、空中发卡

TSM的本质是为了更安全的将应用通过空中下载、安装、个人化以及其它增值服务，而在实际的操作中，有些运营方，自己撑控着“安全载体”的全部权限并且自己又是应用的提供方，此时可以利用GP本身具有的安全性来完成应用的空中管理操作，甚至可以提前部分或全部预制。

• 独立自主，作为载体、应用、服务的发行和提供方
• 利用SCP02的“密文+MAC”即“03”安全级别作为安全基础。

空中发卡

八、合作模式分类

1）、载体空间完全租凭

“服务提供方”或“应用提供方”具有自己独立的“辅助安全域”（SSD）的技术要求或实际“可执行文件”，可以要求合作方即“载体发行方”提供协助，帮助服务提供方装载（预制）“辅助安全域”，并更由“服务提供方”或“应用提供方”更新安全域主控密钥，移交直至完全管理。

• 由服务方提供“应用发行方SSD”及应用的装载、安装、个人化
• 合作方提供载体，并协助服务提供方装载（或预制）、安装SSD。

载体空间完全租凭

2）、完全托管

有些“运营方”公司在技术领域或其它方面的原因，不能够自己管理载体及应用，则将“安全载体”及“应用”完全托管给有实力的“服务提供方”，由“服务提供方”在商务合作范圈内“全权”处理，而在己方的用户客户端上注重于应用上层方面的业务。

• 由服务方提供“应用发行方SSD”或直接在ISD上对应用的装载、安装、个人化
• 合作方提供载体的采购，并协助服务提供方处理商务事宜。

完全托管

3）、载体空间授权租凭

“载体发行方”为了更安全的管理其载体上的内容，可以要求“服务提供方”使用其创建的“辅助安全域”来开通应用，且内容需要经过“载体发行方”的授权许可才可以进行

• 由“服务方”提供应用装载、安装、个人化，但需要经过合作方即“载体发行方”的技术授权
• 合作方提供载体，并提供方装载（或预制）、安装SSD的安全信息给“服务提供方”。

载体空间授权租凭

九、技术实现分类

1）、授权管理模式

在某些领域里，对于载体的安全性要求不高，且合作方技术投入相对有限情况下，可以采取授权管理模式，即“载体发行方”分配AM模式的SSD给予“应用发行方”，应用发行能“高度”自主的进行应用的装载、安装、个人化。

• 技术简单，对合作方系统管理方面要求不高
• 安全性一般（指服务方对载体的应用管理方面，比如合作方安装应用时，可以随意指定AID）

授权管理模式

2）、委托管理模式

当“载体发行方”对载体的安全性要求高，且合作方技术投入资源充分情况下，可以采取委托管理模式，即“载体发行方”分配DM模式的SSD给予“应用发行方”或“服务提供方”，应用发行只能在“载体发行方”的“监督”和“管控”下相对“有限”地进行应用的装载、安装、个人化。

• 技术简单，对合作方系统管理方面要求不高
• 安全性一般（指服务方对载体的应用管理方面，比如合作方安装应用时，可以随意指定AID）

委托管理模式

3）、迁移模式

当“载体发行方”对载体的安全性要求高，且合作方技术投入资源有限情况下，可以采取迁移模式，即“载体发行方”分配AM或DM模式的SSD给予“应用发行方”或“服务提供方”，应用由“载体发行方”“装载”至SE，再迁移至分配的AM SSD，后再由“应用发行方”或“服务提供方”进行管理。

• 由ISD装载和安装，再迁移给SSD
• 相对授权管理模式安全性有所提升，介于二者之间

迁移模式

周哲