GP-NFC-Management of Multiple Secure Elements

GP_Mobile Task Force Requirements for NFC Mobile Management of Multiple Secure_Elements_v1.0.pdf

一、简介

在不久的将来，NFC 非接触式手机有望变得无处不在。 它们将用作支付卡、交通票、忠诚卡、访问控制徽章和许多其他非接触式服务卡。 一些试点已经在全球范围内进行，但这些试点通常是在封闭的环境中，或者涉及的参与者的范围和数量有限。 许多潜在的非接触式服务需要一个或多个安全元件来存储密钥和应用程序。 安全元件是一种带有嵌入式微处理器芯片的防篡改设备。 手机的架构可能支持多种不同类型的安全元件：
• UICC（又名 SIM 卡）
• 嵌入式安全元件
• 安全存储卡

2008 年，GlobalPlatform 移动任务组决定分析在同一部手机中管理多个安全元件的潜在影响。 本文档是本次调查的结果，描述了管理多个 SE 的要求。

2. Two different business approaches
 

2. 两种不同的经营方式

2.1. 介绍

讨论导致了 2 种不同的商业模式，这些模式与参与者在提供非接触式服务的价值链中的角色有关。 安全元件发行商 (SEI) 通过构建应用程序组合为其最终客户提供服务组合。 这些应用程序和服务本身由不同的服务提供商 (SP) 提供。 可以预见，一个安全元件发行商将与多个服务提供商达成业务协议，并且一个服务提供商将与多个安全元件发行商建立某种业务关系。 GlobalPlatform 的技术是以下任何一个参与者的完美基础：安全元件发行商和服务提供商，以简化复杂性并影响这种新的关系矩阵 [n SEI，m SP]

可以假设向其最终客户提供服务组合的（任何）SEI 将确保 SEI 实施适当的客户关系管理 (CRM) 服务、客户支持和相应的服务水平协议 (SLA) 本身或与 SEI 签约的各种 SP。 根据安全元件的能力（安全级别、断电能力等）以及 SP 本身定义的特定应用要求，服务可用性可能因各种 SP 和应用程序而异。 SEI 和 SP 之间的业务安排通常包括在线客户服务台（例如热线），以在最终用户使用 SP 的服务期间为他们提供帮助。

人们可以很容易地推断和设想，移动手机通常能够支持每部手机的多个安全元件。 GlobalPlatform 认识到了这种可能性，并接受了解决这种技术可能性所隐含的功能要求的挑战。

GlobalPlatform 的 Mobile Task-Force 收集的研究和反思围绕 2 个主要业务模型的 2 个主要功能架构合并：无聚合与有聚合。

2.2. Architecture without aggregation
 

2.2. 没有聚合的架构

如果多个安全元件位于同一手机中，则位于不同安全元件上的可比应用程序之间的服务可用性可能会有所不同，具体取决于安全元件本身的功能（安全级别、关机能力等）以及客户支持 各种 SEI 和 SP 提供的服务水平。

为了避免最终用户级别的混淆（例如，客户向 SEI A 请求 SEI B 支持的应用程序的支持请求），第一个体系结构模型是最终用户首先选择一个投资组合和相关的一组 服务，换句话说，最终用户首先选择安全元件和相关的应用程序集。

在这种架构中，一次只有一个特定的 SE 能够执行非接触式交易。 最终用户负责选择正确的 SE。

这种业务方法的一个简单示例是一个模型，其中 CRM 或客户支持服务由 SEI（代表 SP）直接管理，用于加载到 SEI 管理和/或负责的安全元件上的所有应用程序。

2.3. 聚合架构

业务方法的另一个示例是一种模型，其中 SP 直接自行管理各自的 CRM 和客户支持服务，并能够跨任何类型的安全元素部署自己的应用程序。 在这种业务方法中，SP 和 SEI 认为将所有安全元素集中管理以提议重新组合所有 SE 中的所有服务的全球手机产品组合没有风险。

在此架构中，来自任何 SE 的任何应用程序都能够随时执行非接触式交易，换句话说，同一手机上存在的所有各种安全元件可能在任何时间点都处于活动状态。

在此体系结构中，最终用户可以在他/她的手机中看到所有可用服务的集合，而不知道这些服务在他/她的手机中的托管位置。

2.4. 下一步

现阶段，这两种商业模式是互不相容的。
管理参与者之间的多个业务模型是 GlobalPlatform 技术的核心。 在智能卡业务中，一个进行智能卡投资的参与者，称为发行人，拥有所有
在卡生命周期开始时的管理权，并根据特定协议决定哪些参与者将托管在卡中。

就手机而言，负责任的所有权和投资可能因市场而异：
• 有操作员资助的手机
• 服务提供商提供的手机
• 最终用户购买的手机。
此外，用户可以在他/她的手机中安装可移动的 SE，例如 存储卡）

即使市场的短期焦点不在多个安全元素的管理上，GlobalPlatform Mobile Task Force 也愿意与整个行业分享其调查结果和这些要求。

当多个安全元素管理和相关技术足够成熟，可以出现在其他标准化组织的路线图上时，GlobalPlatform 已准备好参与任何努力。

3.需求清单

在以下需求中，SE的激活和去激活与SE是否可以访问非接触式路由器有关

3.1. 只有一个安全元件处于活动状态——无聚合模型

在移动设备上存在的所有 SE 中，一次只有一个 SE 应由用户激活并且对阅读器可见。

出于客户关怀的原因，最终用户必须知道谁在管理每个 SE。 SE 发行者和最终用户之间存在最终用户许可协议 (EULA)。 此 EULA 描述了 SE 由 SE 发行人管理的方式，例如应用程序阻止/解除阻止、应用程序删除、应用程序更新、应用程序添加、SE 丢失、被盗、损坏时的更换……此 EULA 很可能与 SE 发行人不同 给另一个。 最终用户必须知道他在哪个 EULA 下工作

活动 SE 应由用户通过手机的本机菜单明确选择，未经用户主动同意不得更改

同上。 ME 知道已连接 SE 的列表，并为最终用户提供了从已连接列表中选择活动 SE 的可能性。

为了解决消费者隐私问题，仅应将选择应用程序所需的最少信息传输给读者。

ME原生菜单只显示SE层级。 此级别不显示有关 SE 中应用程序的信息。

最终用户首先选择活动的 SE，然后可以通过 SE 发行者 GUI 管理（查看、启用、禁用、删除……）应用程序。 注意：每个 SE 应仅包含有关其自身应用程序的信息

每个 SE 应提供一种可以显示其 SE 的应用程序列表的方法。

不同的 SE 所有者意味着不同的接口开发者。 每个 SE 所有者都有自己的图形化、符合人体工程学的政策。

每个 SE 都是不同 SE 发行人的财产

SE 之间应设置防火墙功能，因此未经所有者授权，任何其他 SE 都不能检索来自任何 SE 的信息。

如果用户想使用在另一个 SE 中可用的应用程序，他必须先通过手机菜单在交易前更改“活动 SE”，然后选择要用于交易的应用程序。

仅在单个 SE 上可以激活一个或多个支付应用程序。 用户应能够控制哪些非接触式应用程序被激活/停用

主机/用户界面应能够从活动的 SE 动态检索所有当前的非接触式应用程序，并在任何时候及时填充（虚拟）用户列表。

这意味着如果在 SE 上加载新应用程序或删除应用程序，它将自动反映在此用户列表中

每个非接触式应用程序的状态都应在其 SE 本身中注册（通过非接触式界面激活或停用）

有源 SE 及其有源非接触式应用程序应在断电/上电后保持其状态

应用程序激活/停用完全由用户控制，并且仅与非接触式阅读器界面相关

需要一个单独的 PPSE 应用程序，列出活动 SE 中的可用支付应用程序，并且应由 POS 选择

SE 上应存在“注册”应用程序，能够应用户请求更改支付应用程序的优先级和激活（可通过非接触式界面选择）

非接触式应用程序应能够在“注册表”中进行自我注册

提供一种向用户展示非接触式应用程序的机制

修改应用程序状态（激活或停用）的能力，表明它是否可由 POS 通过非接触式界面选择

应用程序“注册表”描述应让用户清楚地识别，允许用户查看所有可能的支付应用程序

应该可以存储与每个支付应用程序相关的用户界面“信息”（例如徽标、标签等）

在向 POS 出示移动设备之前，用户应能够激活一个或多个支付应用程序并确定其优先级

不一定在向 POS 呈现之前立即发生

在组长注册时提供的相同显示信息下，应该可以注册一组相对优先级对用户可见的非接触式应用程序

CRS 应反映应用程序锁定/阻止等非接触式应用程序状态的变化......

应通过访问手机中 SE 上的 GlobalPlatform 非接触式注册服务 (CRS) 来收集有关依赖 PPSE 的所有应用程序的信息

为用户提供 SE 上所有非接触式应用程序的视图，以便在 SE 上应用他/她的选择

注册信息应包括应用程序是否使用PPSE进行应用程序选择的指示符

注册信息应包含一个指示符，表明该应用程序是否可以与 PPSE 结合使用（是否为空）

在使用 PPSE 的应用程序和不使用 PPSE 的应用程序之间提供确定性选择。

 注册信息应包括应用程序支持的功能类型的指示符（访问控制、支付、传输等）

能够对每个应用程序系列的应用程序选择进行优先级排序

注册信息应包括应用程序支持的非接触式协议配置文件/信息的标识符

能够为 SE 上的应用程序激活应用冲突解决

注册信息应包括申请的手机状态要求。 即，当键盘或屏幕不可用时，是否应该选择此应用程序？

考虑到例如资源需求列表，这可能会更好地实现。 键盘访问、GlobalPlatformRS 连接和/或显示器必须可供客户批准

SE 应能够按照用户提供的优先级顺序对选择的应用程序进行重新排序。 部分选择应按用户定义的顺序进行。

现有的非接触式阅读器只有部分选择能力

 CRS 应能够存储“自主数据”； 此 PPSE 特定数据元素将由 AAUI 检索。 最小尺寸待定

运输应用程序必须始终可访问（也在电池关闭模式下） 

管理多个 SE 的规范不应引入新的潜在隐私泄露（即访问个人/私人/敏感数据的新方法；跟踪个人的新方法……）

隐私管理

解决将属于多个 SE 的应用程序中潜在的隐私泄露问题不是 Global Platform 的职责或使命。 今天，存在不符合当前和未来隐私要求的合法应用程序（支付、票务……）。 解决这个问题不在 Global Platform 的范围之内。

3.2. All Secure Element active at the same time – aggregation model
 

3.2. 所有安全元件同时激活——聚合模型

1 当存在多个 SE 时，应能够收集并向用户显示所有 SE 的所有非接触式应用程序。 用户界面应用程序应该能够向用户显示来自任意数量 SE 的非接触式应用程序，并允许用户控制这些非接触式应用程序的激活/停用。
2 每个 SE 可能包含一个或多个支付应用程序。 每个 SE 可能包含应用程序。
3 应可以仅在单个 SE 上激活一个或多个支付应用程序。 用户应能够控制激活/停用哪些非接触式应用程序
4 应可以跨多个 SE 激活多个支付应用程序。 用户应能够控制激活/停用哪些非接触式应用程序

5 当跨多个 SE 的多个支付应用程序处于活动状态时，POS 阅读器应仅收到对其 PPSE 请求的单一响应（反映所有活动应用程序）。 传统 POS 设备应检索反映用户选择的所有活动非接触式应用程序的单个 PPSE 选择响应

6 需要两个列表：一个面向用户，列出所有非接触式应用程序（驻留在所有 SE 上），另一个面向非接触式路由实体，列出所有激活的非接触式应用程序（所有 SE）。 应避免主动非接触式应用程序的冲突。 需要适当解决来自不同 SE 的应用程序之间的冲突解决方案

用户应能够激活/停用其应用程序

7 阅读器列表应在阅读器电池电量低/关闭模式下可见。 例如，阅读器应能够在电池关闭模式下选择票务应用程序

9 阅读器对活动的非接触式应用程序的选择请求将直接转发到应用程序所在的适当 SE，所有进一步的通信将在阅读器和 SE 之间进行。 读者名单上没有特定的安全要求

10 主机/用户界面应能够从所有 SE 动态检索所有当前非接触式应用程序，并随时及时填充（虚拟）用户列表。 这意味着如果在 SE 上加载新应用程序或删除应用程序，它将自动反映在此用户列表中

11 有源SE及其有源非接触式应用在断电/上电后应保持其状态。 用户友好性

12 应用程序激活/停用完全由用户控制，并且仅与阅读器界面相关。

13 读者名单的呈现和读者的应用选择不

14 应能够向用户呈现驻留在所有 SE 中的所有应用程序的列表。 用户应该能够轻松快速地找到应用程序。 用户不需要知道多个 SE。

15 单个实体可以在同一设备上的不同 SE 中管理多个安全域。 多个SE的OTA管理不应有技术限制。

16 应该可以在不同的 SE 中加载和安装具有相同包 ID 和 AID 的应用程序。 不需要跨 SE 进行额外检查。

17 应可以同时激活不同 SE 中的应用程序。 用户应该能够在不知道多个 SE 的情况下激活应用程序。

18 不同 SE 中具有相同 AID 的应用程序不得同时激活。 对先前要求的限制是为了防止非接触式阅读器出现未知结果。

19 非接触式阅读器不得要求了解多个 SE 以执行交易。 允许传统的非接触式阅读器与支持多个 SE 的设备一起工作。

20 应该可以选择默认应用程序用于电池关闭模式。 允许传统的非接触式阅读器与支持多个 SE 的设备一起工作。

22 对于具有多个 SE 的设备，应有一种机制从不同 SE 的不同注册表收集信息 为用户提供所有 SE 上所有非接触式应用程序的全局视图，以便在所有 SE 上应用他/她的选择

23 对于具有多个 SE 的设备，应有一个可供 POS 选择的 PPSE。 在选择的 PPSE 中返回的 FCI 应包括所有 SE 的用户选择——不改变 EMV 非接触式终端基础设施并反映用户选择

24 有关依赖 PPSE 的所有应用程序的信息应通过访问手机中每个 SE 上的 GlobalPlatform 非接触式注册服务 (CRS) 来收集。 为用户提供所有 SE 上所有非接触式应用程序的全局视图，以便在所有 SE 上应用他/她的选择

25 注册信息应包括应用程序支持的非接触式协议配置文件/信息的标识符 能够为跨 SE 的应用程序激活应用冲突解决

26 用户应能够在 SE 的 CRS 中更改每个应用程序的状态。 状态包括： 应用程序激活/停用 将用户选择应用于所有 SE

27 运输应用程序必须始终可访问（也在电池关闭模式下）盖茨的终端将明确选择正确的应用程序

  28 所有 SE 必须同时处于活动状态。 `

29 管理多个 SE 的规范不应引入新的潜在隐私漏洞（即访问个人/私人/敏感数据的新方法；跟踪个人的新方法……）隐私管理 全球平台的角色或使命不是修复 属于多个 SE 的应用程序中潜在的隐私泄露。 今天，存在不符合当前和未来隐私要求的合法应用程序（支付、票务……）。 解决这个问题不在全球平台的范围之内

4。结论

NFC 非接触式手机作为一种日常消费设备，用于广泛的商业应用，正在迅速成为现实。 为了让移动环境中的参与者为 NFC 带来的机遇浪潮做好准备，基于公认的行业标准对基础设施进行修改和扩展至关重要。 如果没有适当的标准来管理后端系统、交换消息、下载和个性化应用程序以及管理安全元件内容，就不可能在 NFC 非接触式移动生态系统中实现一致性、可靠性和互操作性。

GlobalPlatform 作为一个跨行业的标准组织，凭借其领导力和丰富的经验制定了多个规范，为基于 GlobalPlatform 的智能卡管理的有效管理奠定了坚实的基础。 GlobalPlatform 计划通过创建新规范和增强现有规范来继续发挥其作用，为移动环境中的所有实体提供服务。

GlobalPlatform Messaging 规范的更新版本计划于 2010 年初发布。这将是提供标准消息规范的重要一步，支持 GlobalPlatform 智能卡基础设施中不同系统之间的交换。

到 2010 年初，GlobalPlatform 将为非接触式移动生态系统中的所有角色提供一整套规范。规范将包括 GlobalPlatform 2.2 [0]、其修正案 [1]、[4] 和 UICC 配置 [2] 作为 安全元件的第一个配置。 该规范将促进标准基础设施的创建，允许应用程序/服务提供商、受信任的服务经理和移动网络运营商管理应用程序下载和 NFC 非接触式手机的个性化，以发布和发布符合 UICC 的基于 GlobalPlatform 的安全元素 配置规范[2]。