未来智讯 > 移动支付论文 > 基于NFC—SWP技能的移动支付方案设计

基于NFC—SWP技能的移动支付方案设计

发布时间:2018-12-01 01:06:01 文章来源:未来智讯    
    基于NFC—SWP技能的移动支付方案设计作者: 王笃炎 肖海 何平   【摘 要】从NFC技能的特点起程,提出了一种基于NFC-SWP技能的移动支付方案,简要介绍了NFC移动终端的硬件结构、软件架构,阐述了其平安访问抑制总体架构、准则匹配流程与原则。
  【关键词】NFC-SWP 移动支付 访问抑制机制
  中图分类号:TN929.5 文献标识码:B 文章编号:1006-1010(2013)-05-0018-05
  1 概括
  随着3G时代无线通讯网络上下行数据速率的不时提高及智能手机的快速普及,各种手机终端应用不时涌现。近场通讯(NFC,Near Field Communiation)业务联合了近场通讯技能和无线通讯技能,实现了移动支付、公交地铁、身份认证、智能海报和数据交换等多种业务功能,是移动通讯领域的一种新型业务。
  2 技能介绍及方案设计
  2.1 NFC技能
  NFC由无线射频识别(RFID,Radio Frequency Identification)及互联互通技能整合演变而来,是一种近距离高频无线通讯技能,并具有平安、迅速、带宽高、能耗低等特点。它通过单一芯片集成了非接触式智能卡、非接触式读写器和点对点的功能,事务于13.56MHz频段,最大通讯距离大约为10cm,传输速率可为106kb/s、212kb/s、424kb/s和848kb/s。NFC技能对应的国际标准规范为ISO 18092及ISO 21481,并兼容无线智能卡ISO 14443等标准,适合欧洲计算机协会的EMCA-340、352和356标准。
  NFC终端有3种事务模式:
  (1)主动模式:NFC终端作为一个非接触式读写器,主动发出射频场去识别和读/写别的NFC设备;
  (2)被动模式:NFC终端模拟成一个非接触式智能卡被读/写,在其他设备发出的射频场中被动响应;
  (3)双向模式:NFC终端双方都主动发出射频场来建立点对点的通讯[1]。
  2.2 SWP协议
  SWP(Single Wire Protocol,单线通讯协议)是一种关于物理层和数据链路层的单线协议,能在一条单线上实现全双工通讯[2]。协议规定了UICC卡和NFC芯片之间的通讯接口,物理层负责UICC卡和NFC芯片之间物理链路的激活、保持、解除事务。为了实现手机移动支付,手机SIM卡需要选取专门的SWP-SIM卡,SWP-SIM卡通过C6管脚与NFC芯片相连,以保证NFC芯片与SIM卡之间的通讯,并在SIM卡的平安模块中分出金融区域,用于银行金融应用。
  2.3 移动支付业务架构
  基于NFC-SWP技能的移动支付业务一般架构如图1所示,主要由手机终端、用户卡、移动支付客户端、POS机、多应用开放平台和银行组成。
  各个组成模块简要描述如下:
  (1)多应用开放平台(TSM)由运营商搭建,并向合作朋友开放可管理SIM卡应用的API,通过TSM能够实现对SIM卡上应用生命周期管理(如下载、个人化、锁定、更新、删除等)。
  (2)移动支付客户端是移动支付业务的入口,方便用户使用,实现对NFC终端中SIM卡移动支付应用的管理。
  (3)SWP-SIM卡集成了平安模块,将SIM卡中平安模块空间根据不同应用划分成不同平安域,以保证各种应用之间的独立和平安。
  (4)NFC终端集成了NFC芯片和近距离通讯天线,以完成与POS机之间的无线通讯。
  (5)银行提供移动支付的业务平台,并通过TSM下载相应的移动支付应用到SWP-SIM卡的平安域中。
  (6)POS机主要受理NFC终端的业务请求,并与银行业务平台完成移动支付业务交易。
  2.4 终端硬件结构
  基于平安模块(芯片)的不同集成方式,NFC终端主要有三种解决方案:
  (1)SWP方案也称为机卡协作方案,此方案是将平安模块集成到SIM卡中,并增加SIM卡与NFC芯片间的SWP接口。本文设计的移动支付方案属于SWP方案;
  (2)全终端方案,此方案将平安模块集成到手机主板上,能够将NFC芯片和平安模块封装在一同变成单一芯片;
  (3)MicroSD方案,此方案将平安模块集成到SD卡中,NFC芯片与平安模块通过SWP接口相连。
  基于SWP方案的NFC终端主要由NFC抑制器、SWP-SIM卡、平安模块、应用处理器、基带芯片和射频天线等单元组成,其主要硬件结构如图2所示:
  硬件结构中的接口分辨描述如下:
  (1)NFC抑制器与应用处理器之间的接口(IF1)主要用于终端的读写器、点对点模式中NFC抑制器和应用处理器之间的数据交互;
  (2)NFC抑制器与SWP-SIM卡之间的接口(IF2)主要用于非接触读写器通过NFC抑制器与SWP-SIM卡平安模块进行的非接触通讯;
  (3)SWP-SIM卡与基带芯片之间的接口(IF3)主要用于手机应用客户端程序与SWP-SIM卡之间的数据交互。
  2.5 终端软件架构
  基于SWP方案的NFC终端的软件架构如图3所示:
  软件架构中各主要组成模块的描述如下:
  (1)NFC应用
  NFC应用(NFC Application)主要是指依据终端的NFC功能而创建的一些客户端应用程序,实现对NFC终端的卡模拟、读写器、点对点事务模式相关业务功能的处理与展现(如电子钱包、智能海报等)。
  (2)NFC API
  NFC API根据不同的底层平台(如Android、J2ME),向客户端应用程序(NFC APP)提供访问NFC协议栈的接口(如Android NFC API和J2ME JSR257);提供对读写器模式、点对点模式的功能调用,同时支持对NFC Forum(NFC论坛)定义的各种数据格式进行解析。   (3)NFC协议栈
  NFC协议栈(NFC Stack)主要实现NFC读写器、点对点模式的相关协议的分析处理。其功能主要包括底层抽象(如硬件、操作系统)、传输抑制和NFC核心功能等。
  (4)SIM/SE访问API
  根据不同的底层平台(如Android、J2ME),SIM/SE访问API(SIM/Secure Element Access API)向客户端应用程序提供访问SWP-SIM卡的接口(如Android系统的Open Mobile API和J2ME下的JSR177),实现客户端应用程序与SWP-SIM卡之间的APDU(Application Protocol Data Unit应用协议数据单元)交互。
  (5)访问抑制模块
  访问抑制模块(Access Control Enforcer)完成SWP-SIM卡的平安访问抑制,阻止对SWP-SIM卡中资源的非授权访问和非法抨击,以保证各种业务的平安进行。
  3 平安
  3.1 平安访问抑制总体架构
  在手机终端的移动支付业务中,平安是相当重要且必不可少的局部,为了保证移动支付业务的平安、可靠运行,在软件架构中投入了访问抑制模块即平安访问抑制机制。平安访问抑制主要采取Global Platform(全局平台)可信任框架的GPAC(Global Platform Access Control,全局平台访问抑制)机制。GPAC由手机侧访问抑制模块与用户卡中的准则文件构成,目的是实现对手机客户端应用访问用户卡的权限进行抑制和管理,以防止SIM/SE访问API的非法使用给用户卡带来的危害。移动支付业务平安访问抑制总体架构如图4所示:
  3.2 访问抑制流程
  手机客户端应用访问用户卡过程中,终端访问抑制模块需要根据访问抑制准则进行准则匹配,并根据准则匹配结果判断是否允许客户端的访问,相应的流程如图5所示[3]:
  准则匹配流程描述如下:
  (0)筹备事务:在手机终端进行初始化过程,访问抑制模块通过准则加载流程从平安域获取准则文件,并将准则信息缓存到终端。
  (1)APDU请求:终端应用通过SIM/SE访问API打开与用户卡内应用交互的通讯通道。
  (2)转发APDU:SIM/SE访问API将客户端发送的APDU请求转发给访问抑制模块。
  (3)获取客户端证书:访问抑制模块获取倡议请求终端应用的签名证书。
  (4)获取更新标志:访问抑制模块从准则库中获取更新标志(Refresh TAG);用户卡返回更新标志,并比对更新标志。根据比对结果,分辨采取下边两种措施之一:
  加载准则:按照“准则加载流程”重新从用户卡中读取准则,更新终端缓存;
  准则匹配:访问抑制模块基于终端应用签名证书的HASH(哈希)值以及指标应用的AID匹配准则。
  (5)回复准则匹配结果:将准则匹配的结果返回给传输层模块,如果准则匹配结果是不允许访问,则会向终端返回错误;如果访问许可,则返回授权执行的响应。
  (6)APDU访问:如果允许客户端访问,则用户卡访问接口发送APDU给用户卡[3]。
  3.3 准则匹配原则
  (1)准则冲突处理
  由于访问抑制准则可能应用到单个应用也可能应用到多个应用,不同准则也可能被定义在平安模块的不同地方(如ARA-M和ARA-C),所以访问抑制准则可能出现重叠或是冲突的情况;为此,必须定义一种方法来确定应该使用哪种准则。具体来说,准则冲突处理主要有如下两种情况:
  1)如果多条准则都能够匹配,需要定义优先级机制,并选择优先级最高的准则进行匹配;
  2)如果多条准则匹配且优先级相同,则需要定义准则聚合处理的机制。
  (2)准则优先级处理
  对于准则匹配过程中出现准则匹配冲突的情况下,准则的优先级不是基于准则读取的顺序进行,而需要依次按照如下三个基本原则进行优先级处理:
  1)具体的准则优先级更高;
  2)证书链中的下级证书优先级更高;
  3)严格的准则优先级更高。
  (3)准则的聚合
  如果多条准则应用于同样的平安域应用(SE App)并具有相同的优先级,那么对这些准则应做聚合处理,并且严格的准则比宽松的准则具有更高的优先级。如果两条准则具有同等的严格数据,那么两条准则的数据需要进行合并,并且两条准则都需要应用。
  4 结束语
  本文提出了一种基于NFC-SWP技能的移动支付方案,主要介绍了手机终端的硬件结构、软件架构及相应的平安访问抑制机制。由于移动支付业务的特殊性及多样性,为此,需要进一步研讨移动支付在各个领域的不同需求,以满足移动支付业务平安、便捷的需要。
  参考文献:
  [1] ISO/IED18092-2004. Information Technology-telecommunication and Information Exchange Between Systems-Near Field Communication Interface and Protocol(NFCIP-1)[S]. 2004.
  [2] ETSI TS 102 613. UICC-Contactless Front-end(CLF) Interface Release 11[S]. 2012.
  [3] GlobalPlatform Device Technology Secure Element Access Control Version 1.0[S]. May 2012.
转载请注明来源。原文地址:https://www.7428.cn/page/2018/1201/49495/
 与本篇相关的热门内容: