中國(guó)聯(lián)通研究院 北京 100032

1 UICC與多應(yīng)用卡

智能卡作為移動(dòng)通信系統(tǒng)中的典型設(shè)備，其發(fā)展經(jīng)歷過(guò)一個(gè)比較漫長(zhǎng)的過(guò)程。最初的2G SIM卡只需滿足網(wǎng)絡(luò)接入鑒權(quán)要求，是僅具備SIM單應(yīng)用的智能卡。其后隨著智能卡業(yè)務(wù)的發(fā)展和技術(shù)演進(jìn)，智能卡應(yīng)用場(chǎng)景和領(lǐng)域已經(jīng)突破單一行業(yè)限制，不斷擴(kuò)展到其它行業(yè)其它類(lèi)型的應(yīng)用。近年來(lái)逐漸推廣和普及的NFC卡、M2M卡等都是在電信卡基礎(chǔ)上衍生的滿足跨行業(yè)跨領(lǐng)域需求的智能卡類(lèi)型。在這類(lèi)新型業(yè)務(wù)卡當(dāng)中，除移動(dòng)網(wǎng)絡(luò)鑒權(quán)功能之外，智能卡還需同時(shí)提供金融支付、身份認(rèn)證、數(shù)據(jù)采集和配置等功能，即在同一智能卡平臺(tái)之上承載多個(gè)不同功能的應(yīng)用，多應(yīng)用卡UICC的必要性大大增加[1]。

UICC(通用集成電路)是通用的智能卡平臺(tái)，在提供統(tǒng)一的硬件平臺(tái)和基本系統(tǒng)能力的基礎(chǔ)之上，支持多個(gè)應(yīng)用以安全的方式同時(shí)并存[2]。UICC是在3G時(shí)代提出的概念，3G移動(dòng)網(wǎng)絡(luò)鑒權(quán)應(yīng)用USIM(Universal Subscriber Identity Module，通用用戶識(shí)別模塊)就是可以駐留在UICC上的應(yīng)用之一，UICC平臺(tái)上可駐留多個(gè)USIM應(yīng)用或其它類(lèi)型的應(yīng)用。USIM雖然基于UICC實(shí)現(xiàn)，不過(guò)在相當(dāng)長(zhǎng)時(shí)間內(nèi)，除了單一的USIM等鑒權(quán)應(yīng)用，并無(wú)其它應(yīng)用并存，UICC可以承載多應(yīng)用的特點(diǎn)并沒(méi)有充分發(fā)揮[3]。直到NFC(近場(chǎng)通信，Near Field Communication)卡出現(xiàn)后，由于NFC卡是電信卡與金融卡、公交卡、校企一卡通等其它行業(yè)的卡和應(yīng)用的結(jié)合，因此，真正意義上實(shí)現(xiàn)了基于UICC平臺(tái)的多應(yīng)用卡。

NFC卡逐漸普及后，不同的應(yīng)用類(lèi)型和數(shù)量不斷增多，應(yīng)用的開(kāi)發(fā)和分發(fā)方式也更加多樣。除傳統(tǒng)的預(yù)置外，后發(fā)行應(yīng)用管理也成為主要方式之一。UICC卡后發(fā)行應(yīng)用管理是指在UICC卡發(fā)行后，通過(guò)管理系統(tǒng)實(shí)現(xiàn)動(dòng)態(tài)的應(yīng)用加載、安裝、更新等功能的管理方式。在UICC中，卡所有者和其他應(yīng)用提供者各自的應(yīng)用在UICC上并存，通用性安全性等問(wèn)題都非常重要，在動(dòng)態(tài)應(yīng)用管理過(guò)程中的應(yīng)用提供、分發(fā)、傳輸、部署等各環(huán)節(jié)的關(guān)系和流程都需考慮，國(guó)際標(biāo)準(zhǔn)中為規(guī)定卡的多應(yīng)用管理要求制定了GP(Global Platform)規(guī)范。

2 GP安全架構(gòu)

圖1 GP可信安全架構(gòu)

Global Platform是由運(yùn)營(yíng)商、卡商、終端商、卡組織等機(jī)構(gòu)成員共同組成的國(guó)際標(biāo)準(zhǔn)組織，目的是建立跨越不同行業(yè)不同領(lǐng)域的安全芯片可信環(huán)境，使歸屬不同所有者的多個(gè)應(yīng)用可以在通用平臺(tái)上安全地部署和管理。GP制定發(fā)布了包括卡、設(shè)備和系統(tǒng)等各方面要求的系列技術(shù)規(guī)范。GP規(guī)范定義了統(tǒng)一的安全基礎(chǔ)架構(gòu)，各功能模塊形成一定的相互支配和管理的關(guān)系，共同組成可靠互信的應(yīng)用并存安全體系[4-5]。這為同一用戶設(shè)備向不同行業(yè)的服務(wù)提供者在保障安全性的前提下充分開(kāi)放，實(shí)現(xiàn)市場(chǎng)融合和創(chuàng)新的跨行業(yè)合作奠定了基礎(chǔ)。

為保證來(lái)自于不同提供者的應(yīng)用的安全性，GP架構(gòu)提出安全域的概念，歸屬不同提供者的應(yīng)用位于不同的安全域之中，保持各自的獨(dú)立性、機(jī)密性和安全性(如圖1)。安全域可以被認(rèn)為是一種特殊的應(yīng)用，其作用是為安全域內(nèi)的應(yīng)用提供安全服務(wù)，如密鑰處理、數(shù)據(jù)加密、數(shù)據(jù)解密、數(shù)字簽名的生成和校驗(yàn)。安全域按照所有者的屬性不同分為兩個(gè)基本類(lèi)型，即發(fā)行者安全域(Issuer Security Domain，ISD)和應(yīng)用提供者安全域(也稱(chēng)為輔助安全域，Supplementary Security Domain，SSD)。發(fā)行者安全域歸屬卡發(fā)行者，是基本組件卡管理實(shí)體(Card Manager，CM)中的一部分；應(yīng)用提供者安全域歸屬應(yīng)用提供者或授權(quán)控制中心。應(yīng)用提供者安全域與發(fā)行者安全域，以及不同的應(yīng)用提供者安全域之間相互獨(dú)立[6]。

GP的基礎(chǔ)是運(yùn)行時(shí)環(huán)境(Runtime Environment，RTE)，其作用是為應(yīng)用提供與硬件無(wú)關(guān)的應(yīng)用程序接口(Application Programming Interface，API)、安全的存儲(chǔ)和可執(zhí)行的內(nèi)存空間，具有安全性和多應(yīng)用特性。運(yùn)行時(shí)環(huán)境、發(fā)行者安全域和對(duì)卡持有者的校驗(yàn)方法三者組成卡管理實(shí)體CM。GP API/RTE API為應(yīng)用提供卡持有者的校驗(yàn)、個(gè)人化等服務(wù)，同時(shí)也為應(yīng)用提供卡的鎖定、應(yīng)用生命周期狀態(tài)的更新等卡內(nèi)容管理服務(wù)。發(fā)行者應(yīng)用和應(yīng)用提供者應(yīng)用利用以上API服務(wù)開(kāi)發(fā)實(shí)現(xiàn)，分別在各自的安全域當(dāng)中，受到各自安全域的管理，相互之間處于隔離狀態(tài)。

3 NFC卡的后發(fā)行管理

GP架構(gòu)當(dāng)中的發(fā)行者通常為運(yùn)營(yíng)商，應(yīng)用提供者通常為其他第三方應(yīng)用所有者，在進(jìn)行應(yīng)用管理時(shí)的模式和方案需要根據(jù)二者之間的關(guān)系和各自的特點(diǎn)決定。如在NFC[7]這種典型應(yīng)用場(chǎng)景中，支付、金融等類(lèi)型的應(yīng)用對(duì)安全性的要求比較高，應(yīng)用提供者銀行等第三方具有相當(dāng)?shù)募夹g(shù)實(shí)力，自我管理意識(shí)也比較強(qiáng)，因此，在后發(fā)行應(yīng)用管理中采用的是應(yīng)用提供者直接管理的方式，即應(yīng)用提供者系統(tǒng)不通過(guò)發(fā)行者系統(tǒng)，對(duì)所屬的應(yīng)用提供者安全域及其中的應(yīng)用進(jìn)行直接管理[8]。而由于運(yùn)營(yíng)商對(duì)于在所發(fā)行的UICC卡中安裝應(yīng)用也負(fù)有安全監(jiān)管的責(zé)任，因此，在卡中基于GP建立了一定的機(jī)制和流程，以保證二者之間的互信關(guān)系和環(huán)境，這種兼顧發(fā)行者和應(yīng)用提供者要求的后發(fā)行應(yīng)用管理模式被稱(chēng)為委托管理。

在委托管理模式當(dāng)中，第三方應(yīng)用提供者可以在被發(fā)行者授權(quán)的情況下使用自有專(zhuān)用系統(tǒng)與所屬的SSD建立安全通道，完成應(yīng)用加載、刪除、鎖定等操作。命令中包含由系統(tǒng)提供的管理操作令牌，ISD通過(guò)對(duì)令牌的驗(yàn)證確定該管理操作是否被授權(quán)。如果驗(yàn)證通過(guò)，則說(shuō)明管理操作為合法的授權(quán)操作，允許相應(yīng)操作，如果驗(yàn)證未通過(guò)，ISD則終止該操作。管理操作的合法性通過(guò)管理令牌得到保證。委托管理模式的SSD的應(yīng)用安裝流程可分為三步，分別是應(yīng)用文件的下載、應(yīng)用的安裝和應(yīng)用的可選擇化；它們分別對(duì)應(yīng)三條主要命令：Install[for load]、Install[for install]、Install[for make selectable]；且分別都包含各自的令牌，應(yīng)用文件數(shù)據(jù)由Load命令承載。圖2是卡通過(guò)委托管理的方案進(jìn)行SSD應(yīng)用下載的流程。

同時(shí)，GP提供了若干種保障應(yīng)用管理安全的方案，其中委托管理模式中應(yīng)用的安全方案是最多最復(fù)雜的，這是因?yàn)檫@種模式是建立在運(yùn)營(yíng)商和第三方應(yīng)用提供商互信環(huán)境之下的，互信環(huán)境的建立需要更為安全的手段加以保障。GP安全框架中提供兩個(gè)方面的安全機(jī)制，分別是管理操作安全和通信安全。

管理操作安全可保證應(yīng)用管理和內(nèi)容管理的命令、數(shù)據(jù)、信息等相關(guān)內(nèi)容的完整性和可信性，管理操作安全的方法包括以下4個(gè)方面。

1)加載文件數(shù)據(jù)塊HASH值。用于驗(yàn)證加載文件數(shù)據(jù)塊的完整性。

2)加載文件數(shù)據(jù)塊(Data Authentication Patten，DAP)簽名。用于驗(yàn)證數(shù)據(jù)提供者身份，由卡外實(shí)體(應(yīng)用提供方或授權(quán)管理者)產(chǎn)生的認(rèn)證數(shù)據(jù)值，附加在文件的數(shù)據(jù)鑒別塊中。每個(gè)加載文件附有一個(gè)或多個(gè)數(shù)據(jù)鑒別塊。向卡片加載文件時(shí)，每個(gè)簽名必須由對(duì)應(yīng)的安全域進(jìn)行驗(yàn)證。該驗(yàn)證被稱(chēng)為DAP驗(yàn)證。

圖2 委托管理模式SSD應(yīng)用下載

3)委托管理令牌。發(fā)卡方對(duì)一個(gè)或多個(gè)委托管理操作創(chuàng)建的簽名，作用是讓發(fā)卡方能對(duì)其發(fā)行卡片的內(nèi)容變化有所控制。該令牌通常由主安全域進(jìn)行驗(yàn)證。

4)回執(zhí)響應(yīng)。委托管理時(shí)，恰當(dāng)?shù)陌踩蚩梢詣?chuàng)建回執(zhí)響應(yīng)，作為應(yīng)用提供方已經(jīng)對(duì)卡片內(nèi)容進(jìn)行了改變的證據(jù)。

通信安全是保證卡和卡外實(shí)體的信息交換和傳輸?shù)陌踩玔9-10]，通信安全的方法包括以下4個(gè)方面。

1)實(shí)體認(rèn)證。卡片和卡外實(shí)體能夠通過(guò)加密的消息交換，驗(yàn)證對(duì)方的可信性。

2)完整性認(rèn)證。接收方(卡片或卡外實(shí)體)可以確保從發(fā)送方(對(duì)應(yīng)的卡外實(shí)體或卡片)收到的數(shù)據(jù)是來(lái)自通過(guò)了合法認(rèn)證的實(shí)體，且消息序列正確無(wú)誤，未遭篡改；

3)機(jī)密性。可以確保數(shù)據(jù)從發(fā)送方(卡外實(shí)體或卡片)傳送到接收方(對(duì)應(yīng)的卡片或卡外實(shí)體)的過(guò)程中，不會(huì)遭到未經(jīng)認(rèn)證的實(shí)體窺探。

4 后發(fā)行管理模式擴(kuò)展

委托管理模式允許第三方應(yīng)用提供者充分行使應(yīng)用管理權(quán)利，比較適用于NFC等應(yīng)用管理場(chǎng)景。不過(guò)隨著多應(yīng)用卡的類(lèi)型增多，應(yīng)用場(chǎng)景的擴(kuò)展，也逐漸發(fā)展出不同類(lèi)型的需求[11]。部分第三方應(yīng)用提供者出于業(yè)務(wù)情況和自身?xiàng)l件考慮，在建立系統(tǒng)自行進(jìn)行應(yīng)用管理和通過(guò)運(yùn)營(yíng)商進(jìn)行應(yīng)用管理之間，更傾向于選擇后者。這在一些新興的業(yè)務(wù)當(dāng)中很可能出現(xiàn)，比如在M2M業(yè)務(wù)中，第三方希望通過(guò)M2M卡提供基本的用戶服務(wù)，屬于通用服務(wù)，管理功能并不復(fù)雜，安全性要求一般，沒(méi)有建立專(zhuān)用系統(tǒng)和流程進(jìn)行自行應(yīng)用管理的必要。在這種情況下，只要具備基本安全保障，通過(guò)運(yùn)營(yíng)商已有的成熟系統(tǒng)進(jìn)行應(yīng)用管理，對(duì)第三方應(yīng)用提供者而言，既可以簡(jiǎn)化管理流程，降低管理成本，又不受卡應(yīng)用管理技術(shù)和經(jīng)驗(yàn)方面的限制，不失為比較有利的可行模式。

第三方應(yīng)用提供者既然需要借助運(yùn)營(yíng)商系統(tǒng)實(shí)現(xiàn)應(yīng)用管理，則說(shuō)明第三方對(duì)運(yùn)營(yíng)商具有基本信任，互信環(huán)境的建立并不是必須。不過(guò)第三方應(yīng)用通過(guò)運(yùn)營(yíng)商管理，其中還包括加載、刪除等關(guān)鍵操作，則第三方屬于安全敏感對(duì)象，其安全要求也需充分考慮[12-13]。

在標(biāo)準(zhǔn)中也為這種需求提供了實(shí)現(xiàn)方式，就是運(yùn)營(yíng)商系統(tǒng)與第三方應(yīng)用提供者安全域建立安全通道，直接進(jìn)行應(yīng)用管理，這被稱(chēng)為授權(quán)管理。授權(quán)管理允許卡外實(shí)體在被認(rèn)證為安全域所有者的情況下，無(wú)須授權(quán)即可進(jìn)行應(yīng)用管理。其中卡外實(shí)體的認(rèn)證是在安全通道初始化過(guò)程中完成，通常使用對(duì)稱(chēng)加密，能夠提供安全通道初始化所需密鑰的就是安全可信實(shí)體。這種情況下，需要第三方應(yīng)用提供者將加密密鑰提供給運(yùn)營(yíng)商系統(tǒng)，使運(yùn)營(yíng)商系統(tǒng)代理應(yīng)用管理操作，卡并不能區(qū)分安全域?qū)嶋H的所有者和擁有其安全通道密鑰的代理者，也不能區(qū)分安全域所有者和安全域關(guān)聯(lián)應(yīng)用的提供者。應(yīng)用提供者安全域如果需要進(jìn)一步確認(rèn)數(shù)據(jù)來(lái)源可靠性，可以在接收應(yīng)用文件數(shù)據(jù)之后通過(guò)DAP驗(yàn)證等方式實(shí)現(xiàn)。盡管如此，因?yàn)檫@種方案需要提供密鑰給運(yùn)營(yíng)商系統(tǒng)，對(duì)第三方應(yīng)用提供者而言還是存在一定的安全風(fēng)險(xiǎn)。圖3是通過(guò)授權(quán)管理的方案進(jìn)行SSD應(yīng)用下載的流程。

圖3 授權(quán)管理模式SSD應(yīng)用下載

GP定義了卡外實(shí)體與卡的接口，不過(guò)沒(méi)有定義卡內(nèi)各實(shí)體之間的接口，僅定義了相應(yīng)的功能，以上兩種應(yīng)用管理模式就是根據(jù)各業(yè)務(wù)場(chǎng)景需求提供的相對(duì)完整的流程。

在通過(guò)運(yùn)營(yíng)商實(shí)現(xiàn)第三方應(yīng)用管理的方式中，一般的第三方應(yīng)用提供者可以使用授權(quán)管理模式，其特點(diǎn)是可以充分滿足第三方應(yīng)用提供者簡(jiǎn)單管理應(yīng)用的需求，不過(guò)安全保障方面相對(duì)薄弱。怎樣在無(wú)須額外增加第三方應(yīng)用提供者應(yīng)用管理負(fù)擔(dān)的前提下，為其提高應(yīng)用管理的安全性要求，對(duì)運(yùn)營(yíng)商和第三方應(yīng)用提供者而言都是很值得研究的問(wèn)題。為實(shí)現(xiàn)這一目的，應(yīng)首先遵守GP規(guī)范的標(biāo)準(zhǔn)化和通用性的要求，同時(shí)在已定義的管理機(jī)制之外引入其它機(jī)制以支撐應(yīng)用的關(guān)聯(lián)加載。以下將基于GP規(guī)范，提出以應(yīng)用遷移機(jī)制為核心，通過(guò)ISD與SSD之間的應(yīng)用關(guān)系變更實(shí)現(xiàn)應(yīng)用關(guān)聯(lián)加載的解決方案。應(yīng)用遷移是指通過(guò)遷移指令，可以將應(yīng)用從原關(guān)聯(lián)安全域轉(zhuǎn)移關(guān)聯(lián)到其它安全域。在通過(guò)ISD為SSD下載應(yīng)用的方案中，就是首先將應(yīng)用下載到ISD，再由ISD將應(yīng)用遷移關(guān)聯(lián)至目標(biāo)SSD，在此過(guò)程中ISD與應(yīng)用提供者SSD之間是基本信任的態(tài)度。SSD可以采用一定的安全策略以保證應(yīng)用遷移的合法性，如加載階段的DAP驗(yàn)證和遷移階段的遷移令牌，不過(guò)這都不是必須的。上述方式可以稱(chēng)為遷移管理模式。圖4是通過(guò)遷移管理模式的方案進(jìn)行SSD應(yīng)用下載的流程。

圖4 遷移管理模式SSD應(yīng)用下載

在遷移管理模式中，第三方應(yīng)用提供者無(wú)須提供密鑰給運(yùn)營(yíng)商系統(tǒng)就可以借助運(yùn)營(yíng)商系統(tǒng)對(duì)自身應(yīng)用進(jìn)行管理，也可以通過(guò)一定的安全機(jī)制保證管理的合法性，其安全性有明顯的改善。需要指出的是，遷移操作分為隱式遷移和顯式遷移。在圖4流程中，可以在Install[for load]指令中直接指明目標(biāo)SSD AID，則可執(zhí)行加載文件和生成的應(yīng)用實(shí)例關(guān)聯(lián)SSD，無(wú)需再發(fā)送Install[for extradition]進(jìn)行應(yīng)用遷移操作，這種方式被稱(chēng)為隱式遷移；如果在Install[for load]命令中沒(méi)有指明目標(biāo)SSD的AID，則該應(yīng)用的可執(zhí)行加載文件和實(shí)例都從屬于ISD，需要再發(fā)起Install[for extradition]指令改變關(guān)聯(lián)安全域，將應(yīng)用遷移至SSD，這種方式被稱(chēng)為顯式遷移。

分析三種模式各自的特點(diǎn)會(huì)發(fā)現(xiàn)，它們有各自不同的適用場(chǎng)景，如果能夠相互結(jié)合，可以為多應(yīng)用卡提供廣泛適用的、靈活動(dòng)態(tài)的管理模式。

1)授權(quán)管理模式技術(shù)簡(jiǎn)單。由運(yùn)營(yíng)商系統(tǒng)執(zhí)行，對(duì)第三方管理系統(tǒng)和應(yīng)用提供要求不高，安全性一般，對(duì)于不需自行進(jìn)行應(yīng)用管理，發(fā)展通用類(lèi)業(yè)務(wù)(如信息類(lèi)業(yè)務(wù)、服務(wù)類(lèi)業(yè)務(wù))的第三方應(yīng)用提供者比較適合。

2)委托管理模式技術(shù)要求比較復(fù)雜。第三方需具備管理系統(tǒng)，使用了較多的安全方法，充分保障了應(yīng)用提供者和卡所有者在應(yīng)用管理方面的安全，對(duì)于安全性較高的業(yè)務(wù)(如支付類(lèi)業(yè)務(wù)、金融類(lèi)業(yè)務(wù))的第三方應(yīng)用提供者比較適合。

3)遷移管理更多考慮介于二者之間的需求。這類(lèi)模式技術(shù)要求一般，提升了第三方應(yīng)用管理安全性，對(duì)運(yùn)營(yíng)商安全性也有基本的保障，是兼顧二者利益的模式。對(duì)于希望通過(guò)運(yùn)營(yíng)商系統(tǒng)進(jìn)行應(yīng)用管理，而又具有一定安全管理意識(shí)，需要具備基本安全要求的業(yè)務(wù)(如身份識(shí)別類(lèi)業(yè)務(wù)、一卡通類(lèi)業(yè)務(wù))的第三方應(yīng)用提供者比較適合。

5 總結(jié)與展望

電信智能卡目前正向著真正意義上的多應(yīng)用卡演進(jìn)，尤其隨著NFC卡、M2M卡等新型卡品和業(yè)務(wù)的出現(xiàn)，智能卡在基本網(wǎng)絡(luò)接入應(yīng)用之外，也將更多地承載跨行業(yè)跨領(lǐng)域的應(yīng)用，應(yīng)用管理的需求相對(duì)之前的情況也會(huì)更加多樣化和復(fù)雜化。在這種形勢(shì)之下，國(guó)內(nèi)外運(yùn)營(yíng)商近幾年也紛紛發(fā)展各自的卡應(yīng)用管理業(yè)務(wù)并部署相應(yīng)的系統(tǒng)，而作為綜合性的管理系統(tǒng)，以不同的模式滿足不同類(lèi)型的業(yè)務(wù)需求也是持續(xù)關(guān)注的問(wèn)題，并取得了一定進(jìn)展。結(jié)合此類(lèi)實(shí)踐經(jīng)驗(yàn)，并從上述三種模式的分析和研究可以看出，應(yīng)用管理的方案在安全性和便捷性方面存在一定程度的矛盾，而用戶對(duì)這兩方面性能的需求其實(shí)也各有側(cè)重。按照用戶需求劃分不同的管理模式，基于GP架構(gòu)建立支持不同模式的應(yīng)用管理體系，提供滿足不同特點(diǎn)不同場(chǎng)景下用戶需求的整體方案，對(duì)運(yùn)營(yíng)商而言是比較適合目前形勢(shì)的選擇。未來(lái)GP架構(gòu)安全應(yīng)用管理的發(fā)展可能需要注重以下幾個(gè)方面。

1)安全性與便捷性的平衡。系統(tǒng)的便捷性直接影響業(yè)務(wù)初期推廣的效果和進(jìn)度，而在業(yè)務(wù)普遍推廣后，系統(tǒng)的安全性問(wèn)題又會(huì)更加突出。二者在業(yè)務(wù)發(fā)展的不同階段發(fā)揮出的影響力度不同，真正平衡兩類(lèi)要求，才能保證業(yè)務(wù)的可持續(xù)發(fā)展。GP架構(gòu)提供了多種安全機(jī)制和策略，應(yīng)該說(shuō)已經(jīng)提供了比較豐富的基礎(chǔ)資源，再結(jié)合業(yè)務(wù)實(shí)際需求，設(shè)計(jì)出切實(shí)滿足用戶需求的方案，才能使GP架構(gòu)靈活準(zhǔn)確地得到應(yīng)用。

2)多方權(quán)益的考慮。多應(yīng)用卡的發(fā)展本身就會(huì)給卡業(yè)務(wù)帶來(lái)更多類(lèi)型更多角色的參與者，除運(yùn)營(yíng)商、應(yīng)用提供者這些關(guān)鍵參與者之外，還包括未來(lái)可能的終端商、系統(tǒng)提供商、行業(yè)用戶、最終用戶等，這在M2M某些業(yè)務(wù)場(chǎng)景中已經(jīng)出現(xiàn)了一些跡象。各參與者對(duì)應(yīng)用管理會(huì)有不同的權(quán)益和訴求，應(yīng)用管理系統(tǒng)需要充分考慮多方權(quán)益并體現(xiàn)在技術(shù)方案當(dāng)中，以最大程度提升在產(chǎn)業(yè)環(huán)境中的適應(yīng)性。

3)推進(jìn)業(yè)務(wù)的開(kāi)放性和擴(kuò)展性。近年來(lái)卡業(yè)務(wù)運(yùn)營(yíng)模式逐漸發(fā)生變化，原有相對(duì)封閉的系統(tǒng)已有所突破，用戶需求也隨之不斷拓展，應(yīng)用管理本身是開(kāi)放系統(tǒng)的一部分，這種變化的影響會(huì)更為顯著，系統(tǒng)也會(huì)逐漸在開(kāi)放性和擴(kuò)展性上有所延伸。

參考文獻(xiàn)

[1] 蘭柯,埃芬.智能卡大全一智能卡的結(jié)構(gòu)、功能[M].王卓人,王鋒.譯.北京:電子工業(yè)出版社,2002

[2] ETSI TS102.221 Smart Cards;UICC-Terminal interface;Physical and logical characteristics[S]

[3] 3GPP TS 31.102 Characteristics of the USIM application[S]

[4] GlobalPlatform Card Specif i cation v2.3,[S].2015

[5] GlobalPlatform Card Specification v2.3 - Amendment A-Conf i dential Card Content Management v1.1[S]

[6] 董威,楊義先,鈕心忻.基于JavaSIM卡的GlobalPlatform安全技術(shù)研究[J].北京郵電大學(xué)學(xué)報(bào).2006,29(03):91-94

[7] 夏文棟,林凱.融合NFC的3G智能卡系統(tǒng)[J].計(jì)算機(jī)工程.2011,37(2):229-231

[8] 羅標(biāo).智能卡動(dòng)態(tài)多應(yīng)用管理的研究及實(shí)現(xiàn)[M].武漢:華中科技大學(xué)2005

[9] ETSI TS 102 225 Smart Cards; Secured packet structure for UICC based applications[S]

[10] ETSI TS 102 226 Smart Cards; Remote APDU structure for UICC based applications[S]

[11] 吳俊.多應(yīng)用智能卡平臺(tái)和操作系統(tǒng)[J].計(jì)算機(jī)科學(xué).2014,41(6A):490-493

[12] 王明飛.J a v a智能卡的安全性[J].電腦知識(shí)與技術(shù).2011,7(24):6015-6016

[13] 徐燕.多應(yīng)用智能卡平臺(tái)及其安全性探討[J].上海信息化,2014,9:65-69