干货分享!揭秘银联N3TEE可信应用管理平台


2015-6-5 11:13

  一、TAM简介

  银联TAM是银联配套TEEI(TrustedExecutive Environment Integration,可信执行环境集成)银联可信平台中N3TEE(N3 Trusted Executive Environment,N3可信执行环境)系统所开发的一套可信应用管理平台,主要用于对银联N3TEE设备上可信应用的上传、下载等相关生命周期进行管理。银联TAM(Trusted Application Management,可信应用管理平台)与现有实施的TSM(Trusted Service Management,可信服务管理平台)平台有所类似,都是用于对应用实施管理的系统平台,区别在于TSM主要是针对SE(如SIM卡、SSD卡等)上的应用,而TAM则是针对TEE智能终端设备上N3TEE系统上的可信应用,两者应用领域不同,实施机制也不同。借助银联TAM可以有效实施对现有N3TEE系统的可信应用进行管理。

  二、TAM应用下载安装方案简述

  如上所述,TAM的核心功能在于其上应用的下载和安装实现机制。而对于银联TAM的应用下载安装方案而言,主要是配套N3TEE的双操作系统(一个是负责用户日常娱乐的Android多媒体操作系统,一个是负责安全保障的N3TEE系统)架构进行研发实施的。由于N3TEE上的应用TA(Trusted Application)是作为Android上的应用CA(ClientApplication)的安全服务所存在的,故在TAM的应用下载方案中TA也将随着CA一起在智能终端上进行部署。基于此特点,N3TEE的应用下载安装方案具体实施如下:

银联N3TEE可信应用管理平台

  图1 应用下载安装实施方案图

  其中,各主要模块为:

  • AppStore:Android应用后台,承载所有需要下载到智能终端Android上的CA应用。

  • TAM:N3TEE应用后台,承载所有需要下载到智能终端N3TEE上的TA应用。

  • CA Installer:Android应用安装器,负责CA应用在Android系统的安装与删除以及判断应用中是否有附带的TA以决定是否发送给N3TEE处理。

  • TA Installer:N3TEE应用安装器,负责TA应用在N3TEE上的安装与删除。

  当用户通过应用商店选择具体的应用下载时,整个下载安装的流程如下:

银联N3TEE可信应用管理平台

  图2 应用下载安装流程图

  (1)AppStore获取用户的应用下载请求,通过用户请求的应用描述文件判断该应用是否关联TA,若不关联TA,则按照原有的Android应用下载流程处理;若关联TA,则根据应用描述文件获知所关联TA所在的TAM地址,连接TAM,请求具体的TA应用;

  (2)TAM通过查找TA应用列表,发送给AppStore所请求的TA应用安装包;

  (3)AppStore将CA与TA应用安装包打包成一个应用安装包,下载给用户请求的Android设备;

  (4)Android设备的应用安装器CAInstaller解析应用安装包,将其中的TA应用安装包发往N3TEE,并等待TA应用安装结果;

  (5)N3TEE的应用安装器TAInstaller接收到TA应用安装包后,调用N3TEE的应用安装框架进行TA应用的安装,并将安装的结果返回给CA Installer;

  (6)CA Installer收到TA应用的安装结果后,再将应用安装包中的CA应用以Android原有的应用安装方式进行应用安装,至此,整个应用安装过程结束。

  三、TAM功能概述

  由于TAM的功能主要用于对TEE上的TA可信应用进行管理,故银联TAM的整个管理过程涉及到应用提供方管理、应用管理和TEE管理、安全域管理等主要功能,以及系统设置、合作伙伴管理、日志查询和报表统计等辅助功能。具体功能如下TAM演示图所示:

银联N3TEE可信应用管理平台

  图3 TAM演示图

  演示功能概述:

  1、 应用提供方管理

  应用提供方管理功能中主要包括应用提供方资料录入和应用提供方信息管理两部分,其中,应用提供方资料录入用于帮助管理员开通应用提供商帐号,应用提供方信息管理主要用于审核应用提供方所提交的所属机构名称、联系方式、通讯地址等相关资料以及对应用提供方进行管理。

  2、应用管理

  应用管理功能用于帮助管理员对应用提供方所上传的应用进行管理,主要包括应用审批、应用上线、应用下线和应用注销等功能。上述功能对应于应用提供商所上传可信应用在TAM上的生命周期,应用须在审批通过后方可上线,且只有上线后的应用才能为用户所查看和下载,若应用故障、到期或者违规,则管理员可下线应用以待规整,而若应用已彻底失效,则将被注销。

  3、TEE管理

  TEE管理功能用于管理连接到本TAM上的TEE设备进行管理和备案,且为确保TAM的安全性只有经过备案的TEE设备方可连接到本TAM上,TEE管理功能可以对TAM所支持的TEE类型和批次进行管理,也可以对所连接的TEE设备进行锁定和解锁管理。

  4、安全域管理

  安全域管理功能用于管理应用提供方所属安全域,包括为注册的应用提供方分配安全域、锁定和解锁指定应用提供方的安全域等相关操作。只有在管理员为指定应用提供方配置好安全域后,该应用提供方才可通过TAM上传和管理应用。

  5、系统设置

  系统设置功能为本TAM的基本功能管理项,便于管理员对系统菜单、管理所有平台注册用户及用户所属角色与操作权限等相关操作进行配置和管理。比如,通过系统设置功能,超级管理员可以配置和管理普通管理员、应用提供方等相关角色所拥有的操作权限、可访问资源以及设置指定功能的授权条件(不授权、单人授权或者多人授权等)。

  6、合作伙伴管理&日志查询&报表统计

  合作伙伴管理&日志查询&报表统计等功能项为TAM平台提供了较为丰富的辅助功能,更好地提高了TAM的可用性。其中,合作伙伴管理功能主要用于丰富和加强TAM的商业模式,系统管理员可通过本功能来配置外部相关合作方的使用访问机制,包括合作类型、接入方式和指定IP地址等,而得到访问许可的外部合作方即可通过对接本TAM来运营自身应用管理平台;日志查询&报表统计功能可为平台使用者提供查询平台操作日志和统计平台应用提供方及相关应用的审批和操作记录等相关功能,有效提高了平台的使用效率和管理效率。

  目前,TAM应用下载、安装与管理的主要功能已经实现完成,正在试运行和测试阶段,后续还将对系统功能做进一步地优化完善,以期能够更好的满足N3TEE应用管理需求以及提升用户使用体验。

  综上所述,银联TAM为业界提供了一种较为完善和可行的TEE可信应用平台管理解决方案,这对于银联完善自身TEEI银联可信平台相关产业链提供了可靠保证,也更利于银联进一步推动TEEI银联可信平台技术在国内的产业化落地和发展。

  移动支付网(微信号:mpaypass)移动支付产业第一微信公众平台。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。
评论加载中
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2022 移动支付网    粤ICP备11061396号    粤公网安备 44030602000994号
深圳市宇通互联信息技术有限公司    地址:深圳市宝安区新安街道28区宝安新一代信息技术产业园C座606