中国移动李琳：说说TSM、CA、NFC的关系

　　一、说这些干嘛

　　很多人说TSM、CA、NFC是完全不同的东西，不能扯在一起。

　　不少人问TSM、CA、NFC的时候经常混淆，在很多场合被不同人在推广业务或产业时，混合的使用，是不是一个东西啊。

　　本文简单的说一说这三者的概念、用途、区别、关系及为什么经常混着说。因为他们确实是有关系的，但各自有明确的功能区分，运营方也是各自有自己的职责。

　　二、各自是干嘛的

　　TSM在之前笔者系列文章中专题讲过，是Trusted Service Manager的简称，字面意思就是可信服务管理，近期火起来了。TSM就是为了满足当前移动支付的现实需求而定义的平台和卡。

　　从用户角度简单的说：第一，用户若申请在手机内使用XX公司的银行卡、公交卡、会员卡等，可以和XX公司签约或从TSM平台门户申领。第二，TSM平台在确认用户手机和SIM卡可用后，下载用户申请的卡应用到SIM卡中。可以通过移动通信网络空中下载，也可以由用户到发行网点现场下载，将来可通过互联网自行加载。控制和实现这个安全的多个卡下载到一张卡的过程，这是TSM平台主要干的事情。

　　CA是Certificate Authority的简称，中文意思是认证中心。说CA，离不开PKI的概念，它是Public Key Infrastructure的简称，指的是公钥基础设施。 PKI从技术上解决了网络通信安全的种种障碍，关于非对称公私密钥的基础理论不在此文展开。 CA 从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。由此，人们统称为“ PKI/CA ”。从总体构架来看， PKI/CA 主要由最终用户、认证中心和注册机构来组成。

　　通俗的说下，数字证书就像日常生活中的身份证、驾驶证，在您需要表明身份的时候，必须出示证件来明确身份。您在参与电子商务的时候就依靠这种方式来表明您的真实身份。 PKI/CA 就是通过发放和维护数字证书来建立一套信任网络，用户通过申请到的数字证书来完成身份认证和安全交易。CA主要干的事情就是发放数字证书给用户证明其身份已经被鉴定过，主要用于保护公钥的合法性。

　　NFC是Near Field Communication的简称，中文称为近距离无线通信，是一种短距离的高频无线通信技术，允许电子设备之间进行非接触式点对点数据传输(在十厘米内)交换数据。这个技术由免接触式射频识别(RFID)演变而来，并向下兼容RFID，主要用于手机等手持设备中提供近距离通信。由于近场通讯具有天然的安全性，因此，NFC技术被认为在手机支付等领域具有很大的应用前景。

　　NFC在近五年开展、试点、推广、炒作的太多，业内基本没有不知道的。具备的技术、应用、现状就不多说了。简单来说，NFC离不开手机终端，支持NFC的商用手机从2011年开始逐渐增多。这里列举当前市场上支持NFC的手机，超过四十余款：

　　Samsung：Nexus S、Galaxy Nexus、Galaxy Note II、Galaxy S II HD LTE、Galaxy S III、Galaxy S Ⅳ、Atvi S、Galaxy Note3

　　HTC：One X、 8X、One M7、Butterfly、Butterfly S

　　SONY：Xperia S (LT26i)、Xperia SL(LT26ii)、Xperia acro S、Xperia P(LT22i)、Xperia sola、Xperia ion、Xperia TX(LT29i)、Xperia Z(L36h)

　　小米：小米2A 小米3

　　LG、Nokia、Blackberry、Asus、oppo、nubia、魅族、vivo品牌等也有各自手机支持NFC。

　　三、围绕要干嘛，正确的认识他们

　　在以上介绍的TSM、CA、NFC各自作用后，可以肯定的是，这三者确实不是同一个东西，也不能相互替代。但针对现实使用的场景不同，这三者会有合作关系，甚至是依赖关系。

　　(一)对于用户利用NFC手机进行非接触刷卡交易的场景：

　　1.对于大多数行业应用场景，由于都采用对称密钥体系，不需要PKI体系，也不需要与CA有关系。

　　2.对于从磁条向IC卡变更的国内银行卡交易场景，及国外的EMV金融卡体系中，由于都采用了非对称密钥，就和PKI联系上。对于非对称密钥的发行，需要CA的证书管理来管理持卡人用户身份的有效性。

　　3.对于使用NFC手机作为用户身份证明时，如通常称为联机认证的应用场景，用户将自己手机放在识别终端上，若终端后台系统与NFC手机中密钥(通常在SIM卡中)进行计算验证通过，该用户将被认为是合法用户，允许进行相关操作。此过程中经常用到非对称密钥，对于非对称密钥的发行，CA也派上用场。

　　此时，NFC和CA就有联合用武之地，各自在不同技术和应用层面上，各司其职。

　　(二)对于用户利用手机空中下载卡应用的场景：

　　1.NFC技术使一部NFC手机、一张SIM卡内进行多种行业IC卡交易成为可行。多张各行业IC卡放到SIM卡中，除了完全预置在SIM卡的方式外，最有价值的是可动态的下载或更新SIM卡内的应用。这就需要本文上述的TSM平台。

　　此时，NFC和TSM就有必然联系，这就是通常在讲述NFC的完整应用体系中，TSM经常提及的原因。

　　2.TSM平台和SIM卡广泛遵循的是GlobalPlatform(简称GP)组织制定的标准，除非是个别私有实现方式，当前世界上还没有成功商用的私有非GP标准的TSM和SIM卡产品。对于遵循GP标准的TSM和SIM产品中，卡内可以分割为多个安全空间(标准称为“安全域”，英文简称SD)，可允许每个安全空间提供给行业发卡方自行管理卡应用，利用Token令牌机制来保障每个发卡方应用的合法性。每个Token是用非对称密钥计算和验证的，对于非对称密钥的发行，CA可派上用场。

　　此时，NFC、TSM、CA就有了联系。但需要澄清的是，不是只要有非对称密钥，就一定需要CA。

　　尤其是对遵循GP2.2版本的TSM平台和SIM卡，引入了CASD的安全域，这时候CA是必须使用的。具体关于CASD的机制和应用流程，不在此详述。由于CASD实现较为复杂、对卡性能要求高、管理机制复杂，现实中还没有真正商用的实现CASD的TSM和SIM卡。

　　(三)对于其他应用场景

　　现实中经常用到NFC和TSM主要是以上两类场景，此外，如单纯金融IC卡的密钥管理会使用CA，PC上安全软件使用中用户身份认证会使用CA，IC卡的应用数据个人化可能会涉及CA和TSM。

　　综上所述，NFC、TSM、CA有联合用武之地，但各自根本上是在不同技术和应用层面上，各司其职。

　　李琳：智能卡领域资深专家，在移动通信领域工作十五年。曾从事移动通信网络优化和规划工作，2001后专注于智能卡领域技术研发，曾在欧洲和中国带领国内外团队研发的产品覆盖全球多个国家。2007年开始在中国移动通信研究院负责移动支付、用户卡业务和技术、国内外标准化工作。2012年在中国移动总部从事中国移动业务策略、创新落地、产品运营、规划管理。