一、說這些干嘛

　　很多人說TSM、CA、NFC是完全不同的東西，不能扯在一起。

　　不少人問TSM、CA、NFC的時候經(jīng)常混淆，在很多場合被不同人在推廣業(yè)務或產(chǎn)業(yè)時，混合的使用，是不是一個東西啊。

　　本文簡單的說一說這三者的概念、用途、區(qū)別、關系及為什么經(jīng)?；熘f。因為他們確實是有關系的，但各自有明確的功能區(qū)分，運營方也是各自有自己的職責。

　　二、各自是干嘛的

　　TSM在之前筆者系列文章中專題講過，是Trusted Service Manager的簡稱，字面意思就是可信服務管理，近期火起來了。TSM就是為了滿足當前移動支付的現(xiàn)實需求而定義的平臺和卡。

　　從用戶角度簡單的說：第一，用戶若申請在手機內使用XX公司的銀行卡、公交卡、會員卡等，可以和XX公司簽約或從TSM平臺門戶申領。第二，TSM平臺在確認用戶手機和SIM卡可用后，下載用戶申請的卡應用到SIM卡中。可以通過移動通信網(wǎng)絡空中下載，也可以由用戶到發(fā)行網(wǎng)點現(xiàn)場下載，將來可通過互聯(lián)網(wǎng)自行加載?？刂坪蛯崿F(xiàn)這個安全的多個卡下載到一張卡的過程，這是TSM平臺主要干的事情。

　　CA是Certificate Authority的簡稱，中文意思是認證中心。說CA，離不開PKI的概念，它是Public Key Infrastructure的簡稱，指的是公鑰基礎設施。 PKI從技術上解決了網(wǎng)絡通信安全的種種障礙，關于非對稱公私密鑰的基礎理論不在此文展開。 CA 從運營、管理、規(guī)范、法律、人員等多個角度來解決了網(wǎng)絡信任問題。由此，人們統(tǒng)稱為“ PKI/CA ”。從總體構架來看， PKI/CA 主要由最終用戶、認證中心和注冊機構來組成。

　　通俗的說下，數(shù)字證書就像日常生活中的身份證、駕駛證，在您需要表明身份的時候，必須出示證件來明確身份。您在參與電子商務的時候就依靠這種方式來表明您的真實身份。 PKI/CA 就是通過發(fā)放和維護數(shù)字證書來建立一套信任網(wǎng)絡，用戶通過申請到的數(shù)字證書來完成身份認證和安全交易。CA主要干的事情就是發(fā)放數(shù)字證書給用戶證明其身份已經(jīng)被鑒定過，主要用于保護公鑰的合法性。

　　NFC是Near Field Communication的簡稱，中文稱為近距離無線通信，是一種短距離的高頻無線通信技術，允許電子設備之間進行非接觸式點對點數(shù)據(jù)傳輸(在十厘米內)交換數(shù)據(jù)。這個技術由免接觸式射頻識別(RFID)演變而來，并向下兼容RFID，主要用于手機等手持設備中提供近距離通信。由于近場通訊具有天然的安全性，因此，NFC技術被認為在手機支付等領域具有很大的應用前景。

　　NFC在近五年開展、試點、推廣、炒作的太多，業(yè)內基本沒有不知道的。具備的技術、應用、現(xiàn)狀就不多說了。簡單來說，NFC離不開手機終端，支持NFC的商用手機從2011年開始逐漸增多。這里列舉當前市場上支持NFC的手機，超過四十余款：

　　Samsung：Nexus S、Galaxy Nexus、Galaxy Note II、Galaxy S II HD LTE、Galaxy S III、Galaxy S Ⅳ、Atvi S、Galaxy Note3

　　HTC：One X、 8X、One M7、Butterfly、Butterfly S

　　SONY：Xperia S (LT26i)、Xperia SL(LT26ii)、Xperia acro S、Xperia P(LT22i)、Xperia sola、Xperia ion、Xperia TX(LT29i)、Xperia Z(L36h)

　　小米：小米2A 小米3

　　LG、Nokia、Blackberry、Asus、oppo、nubia、魅族、vivo品牌等也有各自手機支持NFC。

　　三、圍繞要干嘛，正確的認識他們

　　在以上介紹的TSM、CA、NFC各自作用后，可以肯定的是，這三者確實不是同一個東西，也不能相互替代。但針對現(xiàn)實使用的場景不同，這三者會有合作關系，甚至是依賴關系。

　　(一)對于用戶利用NFC手機進行非接觸刷卡交易的場景：

　　1.對于大多數(shù)行業(yè)應用場景，由于都采用對稱密鑰體系，不需要PKI體系，也不需要與CA有關系。

　　2.對于從磁條向IC卡變更的國內銀行卡交易場景，及國外的EMV金融卡體系中，由于都采用了非對稱密鑰，就和PKI聯(lián)系上。對于非對稱密鑰的發(fā)行，需要CA的證書管理來管理持卡人用戶身份的有效性。

　　3.對于使用NFC手機作為用戶身份證明時，如通常稱為聯(lián)機認證的應用場景，用戶將自己手機放在識別終端上，若終端后臺系統(tǒng)與NFC手機中密鑰(通常在SIM卡中)進行計算驗證通過，該用戶將被認為是合法用戶，允許進行相關操作。此過程中經(jīng)常用到非對稱密鑰，對于非對稱密鑰的發(fā)行，CA也派上用場。

　　此時，NFC和CA就有聯(lián)合用武之地，各自在不同技術和應用層面上，各司其職。

　　(二)對于用戶利用手機空中下載卡應用的場景：

　　1.NFC技術使一部NFC手機、一張SIM卡內進行多種行業(yè)IC卡交易成為可行。多張各行業(yè)IC卡放到SIM卡中，除了完全預置在SIM卡的方式外，最有價值的是可動態(tài)的下載或更新SIM卡內的應用。這就需要本文上述的TSM平臺。

　　此時，NFC和TSM就有必然聯(lián)系，這就是通常在講述NFC的完整應用體系中，TSM經(jīng)常提及的原因。

　　2.TSM平臺和SIM卡廣泛遵循的是GlobalPlatform(簡稱GP)組織制定的標準，除非是個別私有實現(xiàn)方式，當前世界上還沒有成功商用的私有非GP標準的TSM和SIM卡產(chǎn)品。對于遵循GP標準的TSM和SIM產(chǎn)品中，卡內可以分割為多個安全空間(標準稱為“安全域”，英文簡稱SD)，可允許每個安全空間提供給行業(yè)發(fā)卡方自行管理卡應用，利用Token令牌機制來保障每個發(fā)卡方應用的合法性。每個Token是用非對稱密鑰計算和驗證的，對于非對稱密鑰的發(fā)行，CA可派上用場。

　　此時，NFC、TSM、CA就有了聯(lián)系。但需要澄清的是，不是只要有非對稱密鑰，就一定需要CA。

　　尤其是對遵循GP2.2版本的TSM平臺和SIM卡，引入了CASD的安全域，這時候CA是必須使用的。具體關于CASD的機制和應用流程，不在此詳述。由于CASD實現(xiàn)較為復雜、對卡性能要求高、管理機制復雜，現(xiàn)實中還沒有真正商用的實現(xiàn)CASD的TSM和SIM卡。

　　(三)對于其他應用場景

　　現(xiàn)實中經(jīng)常用到NFC和TSM主要是以上兩類場景，此外，如單純金融IC卡的密鑰管理會使用CA，PC上安全軟件使用中用戶身份認證會使用CA，IC卡的應用數(shù)據(jù)個人化可能會涉及CA和TSM。

　　綜上所述，NFC、TSM、CA有聯(lián)合用武之地，但各自根本上是在不同技術和應用層面上，各司其職。

　　李琳：智能卡領域資深專家，在移動通信領域工作十五年。曾從事移動通信網(wǎng)絡優(yōu)化和規(guī)劃工作，2001后專注于智能卡領域技術研發(fā)，曾在歐洲和中國帶領國內外團隊研發(fā)的產(chǎn)品覆蓋全球多個國家。2007年開始在中國移動通信研究院負責移動支付、用戶卡業(yè)務和技術、國內外標準化工作。2012年在中國移動總部從事中國移動業(yè)務策略、創(chuàng)新落地、產(chǎn)品運營、規(guī)劃管理。