管理tsm概要设计说明书

1、管理tsm系统概要设计说明书版本 修订历史记录日期版本说明作者1. 引言1.1 背景tsm是一个独立的第三方系统，但是tsm系统的实施推动往往取决于强势方，如移动运营商，银行等机构实体，这些实体在tsm的实施中，必然依据自身的利益判断，对tsm的功能施加各种影响。1.2 参考资料1 epc220-08 epc gsma tsm wp v1.pdf2 (2009 first data)mobile tsm_whitepaper.pdf3 (2008 gemalto)role of trusted service manager in the nfc ecosystem.pdf4 gps_mess

2、aging_specification_for_mobile_nfc_services-v1.0.pdf5 gpcardspecification_v2.2.pdf1.3 术语词语解释tsmtrusted service manager,用来实现业务管理(service management)的第三方实体业务业务是多个按顺序操作的任务集合，业务可以分解成多个步骤,每一个步骤是一个任务业务模板对业务的描述定义，包括业务属性和业务步骤的定义业务实例具体的执行过程中的业务对象，业务实例具有唯一会话id1.4 概述tsm系统是一个可管理的、为各行业提供基于用户终端和用户卡的各类应用发行及管理的公共开放

3、服务平台。tsm系统支持发行商、支付类应用提供商（例如银行）、移动网络提供商以及se提供商（例如micro-sd发行方）的接入，实现了向服务平台提供应用发行、应用管理的能力，认证并授权各种平台使用相关的业务能力，为其提供了安全和可靠的应用发行及应用管理的手段。tsm系统具备与手机终端、卡片进行远程交互的能力，可对手机终端和卡上的数据（支付类应用、文件等）进行控制和管理，如卡片的锁定/解锁、应用的下载、应用个人化，以及安全域生成、密钥更新等管理操作。应用的下载、删除、管理可以通过多种承载方式，包括短信通道、手机客户端。1.5 系统目标功能目标：提供开展移动服务所需通道；管理终端卡片、卡应用；产品

4、化目标：标准化快速部署、定制丰富的参数配置，提高复用性2. 系统和模块概要设计2.1 系统架构图2.1.1 接口层标准化业务平台接口，实现业务tsm接入。2.1.2 总控层 总控是tsm控制中心，负责将任务适配到业务模板，启动业务模板引擎开始按模板定义的原子任务顺序执行。2.1.3 能力层核心能力包含了卡应用相关的原子任务执行能力。2.1.4 管理层提供业务功能包括业务模板配置管理、应用管理、卡片管理、用户管理、系统配置管理等。2.2 管理tsm系统设计2.2.1 系统模块划分系统包含四大功能模块：业务管理模块、标准化接口模块、业务调度模块、原子任务模块。2.2.2 业务管理模块设计业务管理模

5、块是与用户交互的接口，通过本模块，用户可以进行安全载体信息管理、安全域信息管理、应用提供方接入、应用发布等操作，主要包括以下子模块。 安全载体管理管理tsm的安全载体需要属性：所属业务tsm、seid、状态、创建时间、卡商代码、主安全域权限。.1 安全载体信息管理模块系统支持空中和读卡器两种方式来触发安全载体状态的变化。本模块实现的是读卡器方式。本模块涉及到的原子任务有：安全载体锁定原子任务、安全载体解锁原子任务、安全载体终止原子任务。本模块可以实现的功能如下：1，读卡器方式锁定安全载体。2，读卡器方式解锁安全载体。3，读卡器方式终止安全载体。4，查询安全载体状态信

6、息。5，对安全载体进行ca认证。安全载体生命周期读卡器方式流程图 业务tsm接入管理业务tsm接入属性包括：ip、协议方式、端口、业务tsm名称、状态、业务tsm编码。本模块实现的功能：1， 新增业务tsm接入。2， 编辑业务tsm接入，仅当状态为无效状态时，可以编辑业务tsm接入信息。3， 删除业务tsm接入，仅当状态为无效状态时，可以删除业务tsm接入信息。4， 编辑业务tsm接入状态，在业务tsm连上管理tsm时，需要验证其状态。 业务模板配置本模块功能实现：新增业务模板，填写业务模板编码，并上传编写好的业务模板配置xml文件。业务模板配置导入

7、日志查询本模块功能如下：查询业务实例日志。 系统管理.1 角色管理角色属性：角色编号、角色名称、角色描述本模块供系统管理员使用，实现功能如下：1， 新增角色。2， 编辑角色。3， 删除角色。4， 为角色分配菜单。.2 用户管理用户属性：用户名称、性别、手机号码、电子邮件、账号、密码、用户状态（启用和停用）。本模块供系统管理员使用，实现功能如下：1， 新增，新增用户，并为用户分配角色。2， 编辑，编辑用户信息，并可以为用户重新分配角色。3， 删除，不能删除应用提供方用户。4， 启用和停用，停用状态的用户是无法使用登陆系统的。5， 密码重置，用户忘记密码，

8、可以由系统管理员重置用户密码。2.2.3 业务调度管理模块业务调度管理模块接口图 标准化接口.1 业务tsm交互模块 通过webservice方式与业务tsm交互，webservice服务部署在jetty中，业务tsm提供给业务tsm调用接口，并支持通过webservice方式调用业务tsm平台。业务tsm平台通过签到告知管理tsm会话密钥。业务tsm跟管理tsm交互时，传输采用签到的会话密钥加密。由于第三方业务tsm有可能与管理tsm交互协议是socket或者http，所以这两种协议的接入方式，管理tsm也要支持。具体协议规范参见tsm业务平台接口规范。2.2.3

9、.2 消息解析和封装业务tsm向管理tsm发送的请求消息，统一通过receive接口，调消息解析和封装模块，对消息进行解析，最后通过dispatch接口调入总控层。通过业务模板引擎向业务tsm发出的消息，通过out接口，调消息解析和封装模块，对消息进行封装，最后通过send接口发出。 业务模板适配模块根据消息的业务编码，匹配到相应的业务模板，载入业务模板，返回业务模板对象。 业务控制模块通过businesscontrol接口调业务控制模块，根据消息请求以及业务实例执行情况，控制业务实例的执行步骤，业务实例有可能一个消息请求触发多步执行，这个也要通过业务控制模块控制。

10、 业务模板引擎模块通过businessexcute接口调业务模板引擎模块，按照业务模板对象定义好的任务顺序，以及业务实例的步骤对象，调入相关原子任务执行，并根据原子任务执行结果以及业务模板配置的消息接收方，通过out接口将消息调入消息封装解析模块封装，最后经send接口发送给用户卡端或管理tsm，并且在每步步骤执行完毕后，通过businesslog记录业务日志。 业务日志处理模块记录业务实例执行日志和业务实例下一步执行步骤。2.2.4 原子任务模块 ca验证1， 将ca证书发送到ca系统认证，并且取回ca认证结果。2， 原子任务将结果组装下行发给业务t

11、sm，并且记录安全载体ca认证结果。 应用aid分配管理tsm统一为各支付应用分配唯一的aid。aid按照统一的规则编码，由应用提供方的机构编码、应用流水号和流水号构成。应用的aid标志着该应用通过了管理tsm审核通过并允许上线。管理tsm根据aid申请请求的seid，解析出应用提供方机构id，然后统一生成应用aid，并发送给业务tsm。 安全域创建安全域创建只能对辅助安全域进行，安全域创建一般都会执行三个操作：1， 创建实例2， 密钥更新3， 设置安全域状态（设置为“已个人化”状态）所以在安全域创建原子任务执行完成后，立即执行安全域个人化原子任务，等所有原子任务执

12、行成功后，将apdu指令拼在一起返回给终端，由终端自行按顺序执行。安全域创建指令使用install for install & make selectable 命令完成。l 按顺序涉及到的业务指令：n initialize update（由客户端完成）n external authenticate（业务tsm需要验证外部认证命令）n install for install and make selectable（业务tsm组装安全域创建命令）n put key（安全域密钥更新命令）n set status（设置已个人化命令） 终端执行完指令后，返回结果给业务tsm，业务tsm将结果转发给管理t

13、sm，管理tsm根据结果更新卡片信息库数据。 安全域删除安全域删除只能对辅助安全域进行，如果该安全域下存在应用，不能删除此安全域。安全域删除使用deletedelete object命令完成。l 依次涉及到的业务指令：n initial updaten external authenticaten delete终端执行完指令后，返回结果给业务tsm，业务tsm将结果转发给管理tsm，管理tsm根据结果更新卡片信息库数据。 安全域锁定实现对辅助安全域的锁定操作，当安全域锁定时，平台记录当前状态以便在解锁时能够恢复为原来的状态。辅助安全域处于锁定状态时：针对该安全域，可

14、以解锁或删除安全域，但不能进行密钥更新。针对所包含的应用实例，可以进行应用删除，应用锁定/解锁，不能进行应用下载和应用个人化业务tsm组装“set status”命令，完成安全域锁定功能。l 涉及到的业务指令：n initial updaten external authenticaten set status终端执行完指令后，返回结果给业务tsm，业务tsm将结果转发给管理tsm，管理tsm根据结果更新卡片信息库数据。 安全域解锁业务tsm组装“set status”命令，完成安全域解锁功能。终端执行完指令后，返回结果给业务tsm，业务tsm将结果转发给管理tsm，管理tsm根

15、据结果更新卡片信息库数据。 安全域个人化如果安全域状态不是personalized，是不允许执行密钥更新的。业务tsm组装“put key”命令，完成安全域密钥更新功能。安全域密钥更新可分为对已有密钥的更新和添加新的密钥，其流程类似。l 涉及到的业务指令：n initialize updaten external authenticaten put key终端执行完指令后，返回结果给业务tsm，业务tsm将结果转发给管理tsm，管理tsm根据结果更新卡片信息库数据。 安全载体操作将安全载体状态操作请求发送给业务tsm。3. 其他设计3.1 接口设计接口图3.1.1

16、if1（管理tsm与业务tsm系统）管理tsm跟第三方业务tsm接口可能会涉及到webservice、http、socket，管理tsm和自有业务tsm采用的是webservice协议方式。 安全载体应用列表查询接口发起方：管理tsm接收方：业务tsm协议：webservice消息请求内容：安全载体seid、命令类型、业务类型消息响应内容：安全载体应用列表 全局应用列表查询接口发起方：业务tsm接收方：管理tsm协议：webservice消息请求内容：命令类型、业务类型消息响应内容：全局应用列表 安全载体状态变更通知发起方：业务tsm接收方：管理tsm

17、协议：webservice消息请求内容：安全载体seid、应用机构id、安全载体新状态、命令类型、业务类型消息响应内容：更新se状态结果 se状态操作发起方：管理tsm接收方：业务tsm协议：webservice消息请求内容：安全载体seid、安全载体新状态、命令类型、业务类型消息响应内容：se操作命令已经收到 应用aid申请发起方：业务tsm接收方：管理tsm协议：webservice消息请求内容：seid、命令类型、业务类型消息响应内容：应用aid申请结果及应用aid。 ca转发接口发起方：业务tsm接收方：管理tsm协议：webservice消息

18、请求内容：ca认证请求、命令类型、业务类型消息响应内容：ca认证结果。 ca验证发起方：管理tsm接收方：ca系统协议：webservice消息请求内容：ca认证请求、命令类型、业务类型消息响应内容：ca认证结果。 获取token接口发起方：管理tsm接收方：业务tsm协议：webservice消息请求内容：token请求、命令类型、业务类型消息响应内容：token。 应用个人化发起方：管理tsm接收方：业务tsm协议：webservice消息请求内容：应用个人化请求、命令类型、业务类型消息响应内容：应用个人化数据。3.2 业务模板配置设计参见业务tsm概要设计