智慧卡(Smart Card)利用嵌入的微處理器晶片,可進行強大的加解密運算,因此可提供卡片上的服務程式安全性保護。目前智慧卡被廣泛用於金融服務上,提供安全性與許多加值服務。智慧卡可支援多應用多功能用途的服務,但在過去受限於無共通的智慧卡平台標準,使得發卡商與服務供應商各自發行特定用途的卡片,建置各自的發卡系統與程序,造成服務整合上的成本。此外,由於必須針對特定用途進行開發,產品的上市時程勢必拖長,以及卡片內容難以動態更新等等,都是目前智慧卡所面臨的問題。
標準化促成平台互通
智慧卡平台標準化最大的好處是促進各平台的互通性,不必進行繁複的系統整合。這讓使用者易於在標準平台上增加卡片服務功能,更換卡片的服務供應商也不耗費時間成本。對卡片供應商而言,一個共用平台的智慧卡,不僅可以降低卡片製造成本,同時也能提供良好的擴充性;對服務供應商來講,則可忽略許多智慧卡的底層細節,專注於開發多種加值服務的功能,創造市場價值。而應用程式開發者則可藉由標準化開發技術增進生產力並大量擴充客戶來源。標準化將使得這個產業鏈中的每一分子都能從中獲益。
打造國際智慧卡標準
全球平台(GlobalPlatform)是國際間智慧卡平台標準化的領先者,定義了包括智慧卡平台、標準化讀卡設備、以及卡片管理系統架構。全球平台支援各種晶片與卡片作業系統,也易於整合於不同產業的各種卡片個人化流程、金鑰管理系統、卡片程式安全載入等商業需求。全球平台技術更能被應用於GSM卡片的空中傳輸(Over-the-air, OTA)應用程式下載。這些商業上的技術整合,使得全球平台技術被廣為接納。
全球平台是專為跨領域的智慧卡片應用所設計的,如大家所熟知的Visa Wave、韓國的行動銀行、台灣健保卡,以及各國銀行卡片系統、身份認證系統等。
全球平台應用在不同的卡片技術,可使用如Java/Java Card等共通程式語言開發,並執行於不同的硬體卡片、讀卡設備、與卡片管理平台上。全球平台支援ISO7816、ISO14443、EMV的工業標準,使得全球平台卡片相容於ISO/EMV標準的讀卡設備。而資訊產業標準的XML技術,也被應用在全球平台系統元件的資料傳輸定義上。在安全性方面,許多全球平台相容的卡片產品,也成功地通過消費性產品安全標準—ISO/IEC15408 EAL4、EAL4+、EAL5的安全認證等級(圖1)。
 |
資料來源:全球平台
圖1 單一全球平台卡片支援多種功能服務 |
標準發卡程序單純
圖2所示為單一功能智慧卡發卡程序。持卡人向發卡單位申請如付費、身分認證、會員積點的卡片,發卡單位將接收到的申請表格設定為新持卡帳戶,客制化卡片並發行給持卡人使用(Card Issuing)。後端卡片管理系統更新持卡人資料庫(Cardholder Database),包括持卡人基本資料、卡片識別號碼、以及卡片功能狀態。
 |
資料來源:全球平台
圖2 典型的單一功能性卡片管理系統架構 |
由於卡片發行之後,即可立即使用,且對卡片內容甚少有更動。因此卡片生命週期(Card Life Cycle)的管理相對簡化許多,卡片功能狀態的管理也只需由客戶服務主機(Customer Service)向持卡人資料庫系統查詢與更新。在帳戶管理方面,只要透過對持卡人帳戶的凍結、註銷,則客戶服務、卡片交易處理、帳戶服務也會同步的被凍結、註銷。
然而,將單一功能的卡片管理系統,建置成多應用多用途服務的卡片管理系統,架構上則必須新增許多關鍵性元件,以及新的卡片處理程序,也就是接下來要提到的全球平台標準化的系統。
全球平台卡片端 包含五大元素
全球平台卡片端的技術架構(圖3)包含了以下的幾個主要元件:
 |
資料來源:全球平台
圖3 全球平台卡片的架構範例。由圖可知,發卡者安全區域與ePurse組織的安全區域各自獨立運作其應用服務。 |
|
|
| |
包含了卡片的作業系統、虛擬機器(Virtual Machine)、與應用中介層(Application Interface, API),卡片供應商可以繼續製造自己開發的卡片硬體與作業系統,以支援不同種卡片產品的用途。而虛擬機器與API則提供一般卡片應用程式與不同底層卡片作業系統的溝通橋樑。 |
|
|
| |
上述的執行環境提供了一般智慧卡的執行功能,而全球平台API則提供了卡片管理者對卡片與應用服務程式的管理機制,也提供卡片外部安全通訊通道的管理功能。例如開啟安全通道(Secure Channel)與卡片管理系統連結,以及執行卡片鎖卡等安全威脅的處理機制。這些API幫助卡片應用程式開發者,實現全球平台的安全應用環境。 |
|
|
| |
代表發卡單位對卡片管理的執行元件,處理並傳遞指令至適當且受管制的卡片程式內,並對卡片內容與安裝進行管控。所有卡片程式的新增、安裝、狀態改變,都需經由共通且唯一的卡片管理者管道進行。此外,卡片管理者也提供個人識別碼的安全性保護、金鑰載入、卡片整體狀態的紀錄與回應、管控卡片程式記憶體資源的使用限制、即時檢核安全性攻擊。 |
|
|
| |
代表著不同產品的客制化服務,各種Applet可以各自獨立使用在不同的卡片應用環境中。 |
|
|
| |
各自獨立執行不互相干擾,並保護與監控安全區域(Security Domain)內的各卡片應用程式的執行。卡片管理者本身即作為發卡者安全區域,掌理發卡者金鑰(Issuer Key)以及發卡者應用(Issuer Application),並協助其他安全區域與應用程式的載入、移除、初始化金鑰、個人化設定。而一般的安全區域可以在發卡者的授權下執行授權管理(Delegate Management)所賦予的載入、安裝、刪除應用程式。安全區域執行期的主要功能,則是以預先載入的金鑰,執行安全通道協定(Secure Channel Protocol)的交互認證,並確保卡片與外部連結通訊的訊息是一致且機密的。 |
動態管理卡片生命週期
全球平台技術藉由生命週期的概念,來動態管理卡片的功能與安全需求。例如卡片管理者的生命週期有:
| > OP_READY |
| > INITIALIZED |
| > SECURED |
| > CARD_LOCKED |
| > TERMINATED |
而卡片應用程式的生命週期,可利用全球平台API自訂符合需求的生命週期:
| > LOADED |
| > INSTALLED |
| > SELECTABLE |
| > Application Specific States |
| > LOCKED |
卡片上的應用程式,可藉由應用程式本身,或者透過卡片管理者,來停止應用服務程式的執行,而這些生命週期的狀態可藉由授權,進行有限制的狀態更動。一旦應用程式被移除,原本Applet使用的電子可擦除式唯讀記憶體(EEPROM)空間則可被釋出。
讀卡的設備元件
全球平台讀卡設備的軟體開發,是繼承與相容於小型終端互操作平台協會(STIP)標準,可與智慧卡搭配開發出如信用卡、現金卡、儲值卡、會員卡等讀卡相容設備,開發一套GP/STIP相容的卡片交易程式,則可同時應用在POS收銀機端、FINREAD金融交易IC卡讀卡機等設備上。
如圖4所示,每台讀卡設備有各自的硬體設備與STIP執行環境,設備應用程式透過STIP核心框架執行共通的服務控制,因此對卡片開啟通訊連結後所執行的服務內容,有相同的要求/回應形式。STIP設定檔提供如行動電話、EFT/POS、FINREAD等不同設備應用導向的組合服務。
 |
資料來源:全球平台
圖4 GP/STIP元件與架構 |
因此,同一套設備應用服務程式,能執行在不同的STIP設定檔如加油站、便利超商、速食店的讀卡設備,並執行不同的通訊協定與使用者介面語言。這些GP/STIP相容的讀卡設備,也可以套用卡片管理系統的概念,如保護區(Protection Domains)的實作,但全球平台標準並未給予明確定義。
SCMS智慧卡片管理系統
針對卡片管理後端的卡片個人化系統(Personalization System)、智慧卡片管理系統(Smart Card Management System, SCMS)、金鑰管理系統(Key Management System, KMS),通常被整合為同一套系統產品(圖5)。以整合性的智慧卡片管理系統SCMS的功能性來講,SCMS必須依照商業合作的角色模式,與各行業營運的後台伺服器系統連結,因此SCMS必須能夠面對不同標準、平台、資料庫、介面。另一方面,SCMS必須支援管理多種卡片形式、新舊版本、差異化的應用服務程式,以及支援發卡後續服務,讓持卡人進行應用下載與更新管理。以下是對SCMS基本功能要項的介紹:
 |
資料來源:全球平台
圖5 典型的多應用智慧卡片架構圖,包括了整合性的SCMS、KMS與服務供應商的發卡系統。 |
|
|
| |
SCMS最主要的功能,就是管理卡片與應用服務程式的生命週期。SCMS必須追蹤所有系統內卡片的狀態如已安裝、已個人化、卡片到期與終止狀態,以配合各服務供應商進行卡片置換、重發與其他客戶服務的管理。 |
|
|
| |
SCMS透過資料庫系統的卡片與應用程式設定檔,決定哪些卡片或應用程式可以被安裝、更新、修正。SCMS將卡片客製化流程記錄在設定檔中,以瞭解每張卡片可行的執行方案。針對發行前的卡片,可以確保在安全環境下,進行大量的載入與個人化卡片作業。 |
|
|
| |
SCMS必須管控卡片的記憶體空間、多重卡片作業系統與資源分配、執行商業營運規範等。服務供應商通常與持卡人有直接的商業關係,且各自有卡片發行管理的一套機制,因此這些商業營運模式的執行,則必須由SCMS統籌管理。 |
|
|
| |
SCMS必須即時更新服務供應商、持卡人、卡片的資訊,識別與收集持卡人的個人化資訊,並傳送更新至相關系統。這涉及SCMS與發卡單位、服務供應商、卡片個人化服務供應商等的角色定位與權責分配。SCMS集中化(Centralization)的整合各系統,以便於獨立且統籌管理卡片資訊。 |
|
|
| |
對於卡片金鑰的產生、儲存與散佈,以及建立安全通道來傳輸資訊至卡中。因此HSM是必須存在的,給予SCMS強力的KMS安全支援。而SCMS的KMS金鑰管理系統,可以是獨立公正的第三者(Trusted Third Party),負責安全金鑰管理與授權服務。 |
|
|
| |
SCMS提供持卡人使用者介面,來支援刪除或下載更新卡片的操作,讓持卡人可選擇欲下載更新的內容。因此SCMS對卡片識別、卡片狀態的掌握、卡片設定檔的及時更新、安全控管等支援,必須即時且完備。SCMS也要提供開發環境與維護支援,讓SCMS維持常態且穩定的運作。 |
架構相容疑慮不再
近幾年智慧卡技術快速進步,過去又由於各家卡片製造商與發卡單位各自開發自己的系統架構,導致軟體開發時程緩慢,個別發卡系統也難以得到充分的測試認證。透過全球平台在各產業的廣泛應用,發卡單位可以整合各家服務供應商的各種商品服務而不須顧慮相容問題。因此全球平台卡片平台標準的導入對卡片使用者、發卡單位、卡片製造商、卡片供應商、服務供應商都是一大福音。
(本文作者任職於資策會網路多媒體研究所)