一种基于多应用智能卡的MMB-CAS支付模型

　　1 引言

　　随着移动多媒体广播技术的不断发展，基于智能卡的条件接收技术在移动多媒体广播领域的应用正成为研究的热点。MMB-CAS(Mobile MultimediaBroadcaSTing-CONditional Access System)中，在实现条件接收的同时，如何完成电子支付是目前急需解决的问题之一。

　　单应用智能卡能够提供的服务单一，无法较好地满足跨行业服务，在MMB-CAS中的应用很有限。多应用智能卡技术可以将多个应用发布在一张智能卡上而互不影响，在为用户提供多种服务的同时，减少数据冗余，降低使用成本，提高新应用发布效率，为用户携带、使用和管理智能卡提供便利。

　　本文基于多应用智能卡在MMB-CAS中的应用前景，提出了一种MMB-CAS支付模型，包括卡内应用模型及系统支付应用模型，并给出了系统支付流程，本模型能够在条件接收的同时，实现电子支付功能，较好地满足广播运营商、移动运营商和银行合作的运营模式。

　　2 MMB-CAS卡内应用模型

　　2.1 模型结构

　　Java卡是SUN公司推出的面向智能卡的一种Java体系结构，Java卡能够以非常灵活的方式支持卡片多应用以及卡片发行后的应用添加和删除。Java卡的防火墙和对象共享访问机制可以有效实现不同应用之间的隔离及数据共享，通过安全通道和会话密钥，可以实现卡片与终端之间的保密通信。对于Java卡在应用的下载、删除、个人化、卡片生命周期管理等方面的定义，请参照Global Platform规范。基于Java卡的技术特点，本文提出了MMB-CAS卡内应用模型。模型结构如图1所示。 

　　(1)COS(Chip Operation System)：主要负责对底层存储器管理及I／O通信，对上层软件提供支持，保证卡内应用与底层硬件隔离，与系统分离。

　　(2)EAM-C(Encryption and Authorization Module-Client)：处理ECM(Entitlement Control Message)、EMM(Entitlement Management Message)等信息，为上层应用提供基本的PIN服务、基本加密算法服务、基于密码的认证协议服务及通信信道数据加密服务。

　　(3)EPM-C(Electronic Purse Module-Client)：处理EPM信令，管理帐户信息、实现电子钱包功能。

　　(4)CA-C(Conditional Access-Client)：从EAM-C中获取CW(Control Word)，对加扰的数据进行解扰。

　　(5)ELSE：其他应用模块。

　　2.2 卡内EPM-C安全机制

　　EPM-C通过与EPM-S(Electronic Purse Module-Server)及其发行的授权载体互操作，实现其增值、消费、控制管理和记录回传等功能。EPM逻辑图如图2所示。 

　　其中，EAM-C为EPM-C提供安全通道：所有进入EPM-C的指令需要在EAM-C处解密；所有外出EPM-C的信息也要经过EAM-C的加密处理。EPM-C和EAM-C安全共存，不能相互非法调用和越界访问。EPM信令是EPM-S向EPM-C发送的控制管理命令及其相关数据。EPM信令使用EMM加密传输，在可靠寻址的前提下，保证传输的机密性。EPM信令载荷中应包括伪随机数、时间戳和相关的MAC信息。

　　3 MMB-CAS系统支付模型

　　3.1 模型结构

　　该模型的设计基于MMB-CAS的网络特性及其卡内应用模型。移动多媒体广播具有单向广播网络和双向网络的特性。在仅有单向广播网络情况下，MMB-CAS可通过广播授权信息的方式进行用户授权，结合使用加密授权与电子钱包功能，通过终端本地交互方式实现用户自授权；在单向广播网络与双向网络情况下，MMB-CAS可通过双向网络以前端与终端点对点交互方式向用户授权。本文模型中，MMB-GAS只使用双向网络传输授权管理信息、电子钱包记录等，而不是用双向网络传输业务，业务信息靠广播网传输。模型结构如图3所示。 

　　(1)远端包括银行支付系统和SMS(SubscriberManagement System)系统，终端包括支付软件和终端CAS，分别负责卡片电子钱包和条件接收与上层之间的通信。

　　(2)实现支付的关键在于远端SMS与卡内账户信息保持同步。

　　(3)上行链路主要依靠GPRS／CDMA或Internet等双向网络进行通信；下行链路既可以通过上述双向网络，又可以通过广播网络进行授权操作。

　　3.2 支付流程

　　(1)用户通过支付处理机构与SMS交易。

　　(2)SMS根据用户相关交易信息，将对应EPM信令用EMM打包，通过单向广播网或双向网络发送给终端。

　　(3)终端支付模块将接收到的EMM交给卡内EAM-C验证解密。

　　(4)EAM-C将解密出来的EPM信令交给EPM-C处理。

　　(5)EPM-C根据EPM信令作相应处理。

　　(6)EPM-C处理结束，返回EPM回传信令。

　　(7)EPM回传信令经过卡内EAM-C加密后，返回给终端支付模块。

　　(8)终端支付模块将根据返回的EPM回传信令，通过双向网络，以EPM记录回传给SMS。

　　(9)SMS根据回传的EPM记录，向用户回传交易结果。

　　支付流程图如图4所示。 

　　3.3 模型分析

　　(1)应用的高安全性和隐私性。与电子钱包和条件接收相关的用户信息、交易数据、运营商的密钥信息、数据的解扰等的处理都在卡片内部完成，保证重要的数据不为第三方读取，降低了系统被破解的可能性。

　　(2)提供多应用的安全保障机制。卡内模型中的各个应用被防火墙隔离，只能在规定的安全域内运行，电子钱包与条件接收之间各自数据保持独立性，除了公共信息，其他信息不能越界访问。

　　(3)本文模型安全性依赖于各个应用的独立和PIN码、密钥的独立保密性，安全不取决于处理流程的保密，而是取决于数据的独立和密码的保密性。

　　(4)保证数据的同步性。模型设计基于系统单／双向网络特性，实现卡内电子钱包、条件接收等相关信息与远程SMS同步，以保证运营商和用户利益。

　　(5)卡片的优化设计。卡片在各个上层应用下面设计了一个通用EAM-C模块，用以提供基本的认证、加解密服务，EPM-C、CA-C等的数据和指令，都经过EAM-C加解密处理。充分利用了Java卡已有技术特点，把各个应用在通信时需要对数据和指令进行认证、加解密的部分独立出来，减少了各个应用在这方面的重复工作，避免了资源的浪费，在保证卡内应用具有较高安全性的同时，也降低了卡的开发成本。

　　(6)该模型完全适用广播运营商、移动运营商和银行合作的运营模式。该模式能充分利用三家已有资源，通过优势互补，实现共赢，是今后移动多媒体广播业务发展的主流模式。

　　与已有模型比较见表1。 

　　4结语

　　本文基于多应用智能卡在MMB-CAS中的应用前景，提出了一种MMB-CAS卡内应用模型及系统支付应用模型，卡内模型及系统模型的设计符合GlobalPlatform规范和CMMB(China Mobile MultimediaBroadcasting)标准，在条件接收的同时能实现电子支付，较好地满足了MMB-CAS在支付方面的需求。目前，卡内模型已在普天智能存储卡中得到应用，系统支付模型也被应用于数字电视条件接收支付方案。本文模型下一步的目标是研究设计EAM-C与上层应用之间的内部通信协议。