一、银联简介
银联是银联配套TEEI(Trusted Executive Environment Integration,可信执行环境集成)中的一部分,作为银联可信平台中N3TEE(N3 Trusted Executive Environment,N3可信执行环境)系统所开发的可信应用管理平台。其主要职责是管理银联N3TEE设备上的可信应用的整个生命周期,包括上传、下载等相关流程。与现有的T(Trusted Service Management,可信服务管理平台)相比,和T都是应用管理平台的类型,但它们的关注点和应用领域有所不同。T主要关注SE(如SIM卡、SSD卡等)上的应用,而则专注于TEE智能终端设备上N3TEE系统的可信应用。通过银联,我们可以更有效地管理现有的N3TEE系统的可信应用。
二、应用下载安装方案简述
银联的核心功能之一是应用的下载和安装。其应用下载安装方案是基于N3TEE的双操作系统架构进行研发实施的,其中包括一个用于日常娱乐的Android多媒体操作系统和一个负责安全保障的N3TEE系统。由于N3TEE上的应用TA(Trusted Application)是作为Android上的应用CA(Client Application)的安全服务存在的,所以在的应用下载方案中,TA将随CA一起在智能终端上进行部署。具体实施方案如下:
图1:应用下载安装实施方案图
其中主要的模块包括:
AppStore:承载所有需要下载到智能终端Android上的CA应用。
:承载所有需要下载到智能终端N3TEE上的TA应用。
CA Installer:负责CA应用在Android系统的安装与删除,并判断应用中是否有附带的TA。
TA Installer:负责TA应用在N3TEE上的安装与删除。
当用户使用应用商店选择并下载应用时,整个流程如下:
图2:应用下载安装流程图
1. AppStore接收用户的应用下载请求,并通过应用描述文件判断该应用是否关联TA。如果不关联,则按常规Android应用下载流程处理;如果关联,则根据描述文件获取TA的地址,并与连接,请求TA应用。
2. 查找TA应用列表,并发送所请求的TA应用安装包给AppStore。
3. AppStore将CA与TA应用安装包合并成一个应用安装包,下载给用户请求的Android设备。
4. Android设备上的CAInstaller解析应用安装包,将TA应用安装包发送到N3TEE,并等待安装结果。
5. N3TEE上的TAInstaller接收到安装包后,使用N3TEE的应用安装框架进行TA应用的安装,并将结果返回给CA Installer。
6. CA Installer收到结果后,使用Android的常规方式安装CA应用,完成整个安装过程。
三、功能概述
银联主要用于管理TEE上的TA可信应用,因此其管理过程涉及多种主要功能以及辅助功能。具体如下:
图3:功能概述图
1. 应用提供方管理:包括录入和应用提供方资料,以及管理应用提供方的信息,如机构名称、联系方式和通讯地址等。
2. 应用管理:帮助管理员管理应用提供方所上传的应用,包括应用审批、上线、下线和注销等。这些功能对应了可信应用在上的生命周期。
3. TEE管理:管理连接到的TEE设备,只有经过备案的TEE设备才能连接到。还可以管理所支持的TEE类型和批次,以及锁定和解锁TEE设备。
4. 安全域管理:为注册的应用提供方分配安全域,并管理其安全域。只有配置了安全域的应用提供方才能通过上传和管理应用。
5. 系统设置:为的基本功能管理项,包括配置系统菜单、管理注册用户、配置用户角色和操作权限等。
6. 合作伙伴管理、日志查询和报表统计等辅助功能:为平台提供丰富的辅助功能,提高可用性和使用效率。如合作伙伴管理可以配置外部合作方的使用访问机制;日志查询和报表统计可以提供平台操作日志和统计相关信息。
目前,的应用下载、安装和管理功能已经实现并正在试运行和测试阶段。后续还将对系统功能进行进一步优化和完善,以满足N3TEE应用管理需求并提升用户体验。银联为TEE可信应用平台提供了一种完善和可行的管理解决方案,有助于推动TEEI银联可信平台在国内的产业化落地和发展。
