主TSM系统规格说明书

IIT文档编号版本号页数密级V0.136主TSM系统规格说明书文档作者于永庆日期2016-9-6审核日期批准日期北京展讯高科通信技术有限公司二。一六年

文件修改履历序日期修改范围新版本号修改人12016-9-6初稿V0.0于永庆2目录目的4适用范围4SE安全应用命令接口错误！未定义书签。基本命令接口错误！未定义书签。EXTERNALAUTHENTICATE命令错误！未定义书签。GETCHALLENGE命令错误！未定义书签。GETRESPONSE命令错误！未定义书签。READBINARY命令错误！未定义书签。READRECORD命令错误！未定义书签。SELECTFILE命令错误！未定义书签。UPDATEBINARY命令错误！未定义书签。UPDATERECORD命令错误！未定义书签。VERIFYPIN命令错误！未定义书签。PKI功能命令接口错误！未定义书签。COMPUTESIGNATURE命令错误！未定义书签。VERIFYSIGNATURE命令错误！未定义书签。PKIENCIPHER命令错误！未定义书签。PKIDECIPHER命令错误！未定义书签。GENERATEENVELOP命令错误！未定义书签。OPENENVELOP命令错误！未定义书签。HASHOPERATION命令错误！未定义书签。GENERATEKEYPAIR（产生RSA密钥对）错误！未定义书签。GETPUBLICKEY命令（读出RSA公钥）错误！未定义书签。STORERSAKEY命令（安装RSA密钥）错误！未定义书签。数据结构及个人化错误！未定义书签。文件结构图错误！未定义书签。文件结构说明错误！未定义书签。密钥说明错误！未定义书签。SE与CA交互流程错误！未定义书签。SE载体发行流程错误！未定义书签。SE载体认证流程错误！未定义书签。目的本文档的目的是分析和定义主系统的功能和特性对功能定义、非功能定义和技术指标做详细描述。并对主要的业务流程进行适用范围本文档适用于TSM主系统研发人员、测试人员及运营维护人员。术语表本文档使用的术语如下表：术语/定义解释安全域是一种具有特殊权限的应用。每个安全域负责管理自己的密钥，以确保来自于不同应用提供方的应用及数据可以在同一张卡片上共存，而不会破坏彼此的机密性及完整性。主安全域也称“发卡方安全域”，作为发卡方对卡片内容进行管理时的操作代理。辅助安全域类似发卡方安全域，是某个应用提供方或控制机构在卡上的代表。SE应用可被SE上平台加载并受SE上安全域保护的可编译的应用程序。客户端运行于手机终端的应用程序。终端应用依赖于手机终端的操作系统或虚拟机。NFC终端支持非接触技术实现近距离通信的用户手机设备。NFC标签用于存储数据信息的支持NFC功能的标签设备。SE安全模块存储NFC应用和用户敏感数据以及实现安全密钥运算的芯片模块。TSM可信服务管理(TrustServiceManage)SEIDSE的标识符KMSSE个人化主控密钥。SSLSecuredSocketsLayer安全套接层TLSTransportLayerSecurity安全传输层APDUApplicationProtocolDataUnit应用协议数据单兀，读卡器和智

能卡之间的标准通信消息协议.4.系统架构管理系统统计图表管理系统日志管理管理信息批量导入应用数据管理安全域数据管理系统访问控制统计图表管理系统日志管理管理信息批量导入应用数据管理安全域数据管理系统访问控制图1系统架构图是联系商业银行、银行卡组织、最终用户的桥梁和枢纽，是可管理的开放服务系统，受移动支付产业各方信任，搭建起移动支付安全保障体系，提供安全载体和应用生命周期管理，保证应用数据传输和存储安全。按照提供的主要功能可分为发行方（）和应用提供方（）。本文所述主即具备的管理功能，又具备的管理功能。如上图所示，按照功能模块划分系统访问控制模块、安全域数据管理模块、应用数据管理模块、信息批量导入模块、管理模块、系统日志管理模块和统计图表管理模块。下面分别进行详述。系统访问控制系统采用分级访问控制，不同级别的用户将会访问不同的功能界面。按照级别将用户主要分为两大类：系统管理员和普通用户。系统将按照级别配置两种，一种是系统管理员，另一种是普通用户E任何用户登录均需要插入进行身份认证。要采用认证方式登录。双因子认证平台采用双因子认证方式，即认证用户名及口令认证方式。认证是指采用非对称算法利用的私钥签名进行身份认证。用户名口令认证采用双方比较方式，即登录框的输入信息分别与存储的加密信息和数据库存储的加密信息进行比较，用于确认用户身份是否为合法身份。角色管理平台按照级别分为系统管理员和普通用户。系统管理员具有超级权限，可以看到所有的功能界面，可以对系统进行参数设置、权限管理和分配权限角色。平台上线发布时只配一个系统管理员的，内置初始用户名和口令与数据库中的初始值一致。采用系统管理员登录后，即可更改用户名和口令，并可以创建备份系统管理员或其他不同角色用户的。普通用户按照角色分为客户操作员、业务管理员、应用提供商和安全审计员等；这些操作人员作为普通用户将配备统一的普通进行安全登录。每个用户将根据角色不同看到不同的功能界面。（）客服操作员：可以按照配置权限查看用户信息及信息，维护应用提供商、应用及安全域的基本信息，对用户的投诉进行管理等等；（2）业务管理员：对所有需要审核的内容进行审核，如审核应用提供商的申请资料、安全域的创建、应用的发布等等，同时也具备客服操作员组的权限等。（3）应用提供商：可以进行其所提供应用的信息维护、应用上传及版本维护等操作，以及用户对该服务提供商实施的业务操作进行管理等。应用提供商对应用数据的维护操作都需要业务管理员的审核通过后才会生效。通过角色管理，可以对角色进行增加、删除和修改操作，同时可以为角色设置相应权限。权限管理系统按照组成部分分为多个功能模块，每个模块表示一个权限，根据角色不同，可以通过权限管理完成权限的增加、删除和修改。用户管理通过用户管理，可以对系统中的用户进行增加、删除或、修改和查询操作，每个用户都会按照其角色分配相应的权限。当创建或修改用户时，必须插头同时会更新和数据库中的信息。安全域数据管理通过安全域数据管理，可以对主安全域或辅助安全域进行增加、修改和下线操作。辅助安全域的安装/删除的辅助安全域的下载功能是用户在上申请某个应用下载的时候，该应用需要一个辅助安全域的支持，且上并未安装此安全域，则平台需要能够自动完成对的辅助安全域的安装。的辅助安全域的删除功能是当用户删除上的一个应用时，该应用恰好是一个辅助安全域内的最后一个应用，则平台需要能自动完成对该辅助安全域的删除。辅助安全域的下载和删除功能都由应用的下载和删除业务自动触发，无需人为参与。平台需要保证辅助安全域的下载和删除的正确执行。辅助安全域的安装是一个原子任务，包括四个操作：辅助安全域的包的下载；创建安全域的实例；安全域的密钥更新；设置安全域的状态。只有全部的操作都正确完成才能认为该安全域安装成功。如果在辅助安全域的下载安装过程中任一个步骤出现异常，都认为安全域的安装失败。在安全域安装失败时平台需要做回滚处理，使恢复到辅助安全域开始下载安装前的状态。然后才能重新进行新业务的处理。辅助安全域的删除也是一个原子任务，如果删除任务处理过程中失败或者中断，平台需要缓存此任务，待再次与平台建立通信连接时候重做此任务。安全域的密钥管理平台对的密钥管理主要是指对安全域的密钥管理。包括主安全域的密钥管理和辅助安全域的密钥管理。其中安全域的密钥，密钥标识包括：密钥密钥：密钥：密钥平台的所有密钥都要存储在安全加密设备中，平台在需要使用安全密钥进行安全计算时需要通过安全加密设备接口或者系统接口来完成。平台仅维护安全加密设备中的密钥与实际应用间的对应关系，不能在任何位置出现密钥的明文数据。安全域的密钥锁定/解锁平台支持对辅助安全域的生命周期管理，即对辅助安全域的锁定解锁管理。当辅助安全域被锁定后该安全域只能进行解锁和删除操作，不能进行密钥更新。当辅助安全域被锁定后该安全域下的应用只能进行应用删除和应用锁定/解锁操作，其他操作均不能进行。应用数据管理平台实现对应用数据的维护和管理，应用数据的管理流程包括应用申请、测试、审核、发布、归档等业务管理。应用数据的维护和管理功能包括应用的查看、修改功能。应用提供方通过平台方提供的文件签名工具，将应用文件签名后，向平台进行提交审核，审核通过后倒入后台数据库。平台需要管理应用的基础信息以及应用的可执行文件、应用实例、所在的安全域、应用的适配信息。平台还需要管理应用的包和实例间的链接、应用包的依赖应用包的链接。（应用的密钥管理和应用的个人化数据管理都划分到业务平台的功能内）可执行加载文件中包含的可执行模块的组织关系由应用提供者决定，平台对可执行加载文件与可执行模块的分级管理，可执行加载文件、可执行模块与可执行模块的实例均需要使用进行唯一标识。平台维护的数据包括：（）应用，作为应用（或业务）的唯一标识，可使用应用包含的实例AI；DTOC\o"1-5"\h\z（）应用程序文件，可执行加载文件与对应的（）、可执行加载文件中包含的可执行模块与对应的（）及可执行模块实例（）i其中指定其中一个实例对应于应用I（3）应用归属安全域，即应用实例关联的安全域；（4）应用所属应用提供商；（）应用预置属性，应用是否预置，预置内存属性（、、）o如果预置在中，应用程序文件不能删除；（）客户端属性，应用是否有客户端以及客户端R（）应用文件值，应用文件值，采用算法；（8）应用可执行加载文件所属的安全域；（9）应用状态，表示应用处在生命周期的阶段，具有初始、待测试、已测试、已审核、发布和已归档等状态；（）应用基本信息，包括应用大小、应用名称、应用版本、虚拟机版本信息、版本号等。（11）应用内存空间信息，应用文件空间（代码空间和数据空间）、应用实例非易失性空间（）、应用实例易失性空间（Memory）；Space（）批次信息，应用所支持的批次信息；（）签名，由辅助安全域所有者提供，用于代理（）辅助安全域下应用下载时验证；（1）4依赖的应用扩展的列表。应用申请测试平台提供应用上线申请功能。应用的上线申请由业务部门或者应用提供商发起。申请时需要完整输入应用的属性、上传程序文件（）以及客户端等内容。由平台检查应用、实例、可执行模块以及可执行文件的唯一性，即同一应用同一版本不同类型唯一，不同应用之间的各类型唯一。但同一应用不同版本之间的各类型可以相同。在平台管理员检查全部的应用数据正常后，接受应用上线申请。应用状态变更为测试状态。测试由专门的业务管理员负责应用测试。应用可以离线测试或在线测试，多应用开放平台提供在线测试功能，可对测试号进行应用下载、删除、锁定、解锁等功能测试。测试通过后应用状态改为已测试。应用审核发布在应用的状态变为已测试后进入应用的审核流程。由具有权限的管理员对应用进行审核。当审核通过后，应用可以进入发布的状态。应用发布后可被发布范围内的用户发现，并进行应用下载等操作。应用归档下线当应用结束生命周期时，由具有权限的业务管理员负责应用归档。应用进入归档状态后，应用对用户不可见，已下载到上的应用根据业务平台具体要求进行处理。SE信息批量导入的信息数据存储在文件中（格式如表所示），由的生产厂商提供，并且该文件必须经生产厂商签名并由展讯提供的专业加密工具加密。导入的数据库之前，平台需要对文件进行验签，验证文件的完整性、一致性及合法性。验证通过后导入到后台数据库，并可在的界面上显示，如下图图所示。为能够验证文件的合法性，首先要提前获取厂商的证书或公钥，并由系统管理接口导入平台。表1SE信息表格序号SEIDSE提供商代码SE提供商名称SE批次SE状态SE容量SECOS版本SE用途SE资质123SE管理SE基础信息查看平台发行方后要维护平台可管理的全部的基础信息。基础信息由生产管理系统提供给平台。平台需要维护的基本信息包括且不限于以下内容：的唯一识别编号、的供应商、的批次等基础信息以及生命周期、注册状态、密钥及可用空间等动态信息平台提供对的基础信息的查看功能，可以随时查看每个的当前的状态和当前的应用信息。SE分类管理平台需要对平台上可管理的进行分类的数据维护。不同的供应商的E不同版本或者批次的的功能和性能以及预置的功能都会有所差别，也可能会支持不同类型的应用。因此平台必须要进行分类的数据维护。分类的基础信息包括：供应商、的批次、的可用空间、初始密钥、对应的版本号、版本号、的初始应用信息、安全域信息等。平台需要能够对的分类信息进行加、修改、删除等操作。并且不同的分类需要能够支持不同类别的应用或不同版本的应用。SE安全认证平台与之间的通信需要采用规范中定义的安全通道进行通信，以保证数据的安全性和完整性。安全通道的安全策略和安全级别由平台定义。平台需要支持的安全通道包括以及。平台需要能够