1.概述
IC卡(Integrated Circuit Card,集成电路卡)是将一个微电子芯片嵌入符合ISO 7816标准的卡基中,做成卡片形式。非接触式IC卡又称射频卡。IC卡是继磁卡之后出现的又一种新型信息工具。IC卡是指集成电路卡,一般用的公交车卡就是IC卡的一种,一般常见的IC卡采用射频技术与IC卡的读卡器进行通讯。
Combi SIM(又称Dual Interface双界面)卡方案指通过更换手机内部SIM,取代以Combi SIM卡,在保留原接触界面的SIM卡功能基础上增加非接触IC卡应用界面。Combi SIM卡方案在手机中增加了非接触IC卡的功能,但没有实现读写器和双工通讯功能。
NFC是Near Field Communication缩写,即近距离无线通讯技术。由飞利浦公司和索尼公司共同开发的NFC是一种非接触式识别和互联技术,可以在移动设备、消费类电子产品、PC和智能控件工具间进行近距离无线通信。NFC提供了一种简单、触控式的解决方案,可以让消费者简单直观地交换信息、访问内容与服务。
上述两种方案尽管技术上都可行,但对于一机(卡)多用来说,核心是如何理顺移动设备制造商、移动服务运营商和应用服务运营商之间的关系,在这股跨行业的新应用整合中,需要一种平衡的、兼顾各方利用的渐进式方案。本文提出的SMAP解决方案,可以适用于移动支付、产品防伪、追踪监管、数字签名、身份认证和信息获取等多类应用,是移动终端与RFID结合的一种平衡演进之路。
2.SMAP平台及其应用的体系结构
2.1.SMAP平台的体系结构
SMAP平台构建在现有的非接触式IC卡应用和移动通信应用的基础上,进一步集成各种应用环境和安全体系,形成更小型的、更安全的、价格更低廉的和更便捷的高频RFID应用环境,SMAP平台的结构框图如下:
在SMAP平台的体系结构中,SMAP模块(芯片)、安全体系和中间件产品构成了其核心内容,这里定义SMAP模块(芯片)为具有安全体系的、可以进行应用导入的、对外通过中间件提供服务的高频RFID应用产品。
2.2. SMAP平台的架构
如前所述,SMAP平台是针对移动终端与RFID应用结合的解决方案,其基本的架构为移动通信终端+SMAP模块+RFID,如下图所示:
SMAP模块通过接口电路与移动通信终端集成在一起,RFID也被集成在移动终端上,其中RFID可以是单列的独立部分,也可以与SMAP模块集成在一起。单列的独立RFID可以接受SMAP模块的射频操作,这样做的目的是能很好地兼顾现状。正如前面所述,以非接触IC卡为技术核心的一卡通技术在我国得到了广泛的应用,典型和成熟的应用行业如公交一卡通、校园一卡通等,刷卡消费作为一种小额消费在这些行业广为接收,并且已经形成了事实上的利益关系。另一方面,在我国的现行制度规定下,除了银行及其相关单位之外,其他单位要发行带金卡具有很大的制度上的障碍。
2.3. SMAP模块的发展路线
在上述应用的体系结构中,其核心是SMAP模块,目前状态下,SMAP模块是内置安全特性和应用流程的多芯片模块,该模块的结构如下图所示:
其中,SMAP模块由3块芯片及若干分立元件组成,核心芯片为主控MCU,包含IO接口及电源管理控制接口;Reader为通用RFID读写器,支持访问13.56MHz频段下的ISO14443 type A,type B标准及ISO15693标准的产品;RFID为独立的电子标签模块,其可以独立封装天线,通过射频耦合与Reader通讯。
RFID分立的SMAP方案天线共享SMAP方案单芯片SMAP方案
第一种方案是采用独立RFID的SMAP模块方案,该方案优点是独立RFID可以低障碍地引入现有的非接触应用运营商,发行和应用模式几乎保持不变,支持非接触的掉电应用模式,该方案适用于该类新应用初期概念的试点期;第二种方案是RFID与SMAP模块集成在一起,共用一副天线,方案二与方案一实现的功能相同,优点是减小独立RFID标签尺寸对手持移动终端的外观设计影响,但需要应用运营商与移动运营商、手机制造商之间的配合,该方案适合于一机多用的推广期;第三种方案则真正将SMAP模块集成为一颗单芯片,支持ISO18092标准,并将SMAP应用与SIM进行关联,是在前两种方案试运行后根据市场的反馈而推出的真正大规模推广的解决方案。
3.安全体系
在SMAP的应用过程中,安全性是最基本也是最重要的要求。特别是移动支付应用,根据PBOC2.0的要求,在支付过程中,应该根据不同的交易类型,实现联机或脱机的交易认证。
在SMAP不同的应用中,IC卡(RFID)主要有两种不同的产品:一般的逻辑加密卡或者CPU卡。一般来说,对于CPU卡,终端只是在用户卡与后台或PSAM卡之间传递认证数据,无须获得用户卡的密钥。密钥存储在后台或PSAM卡中,在交易过程中通过分散算法计算出用户卡的密钥,并进一步计算出相关的交易认证数据输出或对输入进行验证,系统的安全体系与终端是不相关的。
SMAP应用的安全体系支持三种模式:
第一种模式:后台密钥支持体系
此种方式下,所有的密钥被放置在应用服务提供商的后台服务器上,由后台服务器向前端应用提供实时的密钥服务,其基本的过程如下图所示:
在每次交易时,终端向后台申请分散后的卡片密钥密文,传送给SMAP模块,由模块解密后使用。一般来说,应用服务提供商比较倾向于这种模式。应用开始之前,用户需要向应用服务提供商提出应用申请,由应用服务提供商完成对用户终端的初始化工作。
第二种模式:采用本地SIM卡作为SAM卡的安全体系
此种方式下,密钥被放置在移动终端的SIM卡中,SMAP模块在需要时,向SIM卡申请密钥服务。此种方式的基本结构和过程如下图所示:
此种方案的应用初始化工作由移动通信运营商负责提供,其初始化的过程就是在SIM卡中增加应用所需要的密钥以及在SMAP模块中导入应用程序。
第三种模式:内部模拟SAM卡的安全体系
此种方式下,密钥被放置在SMAP模块的内部,SMAP模块在需要时,由内置的安全服务计算出访问IC卡的密钥。此种方式的基本结构和过程如下图所示: