www.fisc.com.tw■　11

「TSM行動支付」生態與應用〡專題報導

「TSM行動支付」生態與應用洪國峻 / 財金資訊公司研發部卡片設計組組長

一、前言

IDC(InternationalDataCorporation，國

際數據資訊 )2013年第四季亞太區手機市場

季度調查報告顯示，該季臺灣手機市場銷售量

為 247萬支，其中智慧型手機達 218萬支，

占手機市場比率高達 88%。

在智慧型手機功能越趨強大且普及之下，

越來越多的創新應用持續發展，其中行動商務

成為最具有商業價值的應用，支持行動商務發

展的「行動支付」作業也應運而生，而使智

慧型手機得以進入支付領域應用的「信任服

務管理平台(TrustedServiceManager，簡稱

TSM)」則為「行動支付」運作的核心關鍵。

根據 GP(GlobalPlatform) 標準，現行

UICC(Universal IntegratedCircuitCard)、

SMC(SecureMemoryCard) 及 手 機 內 建

晶片等「安全元件(SecureElement，簡稱

SE)」，均可成為行動支付之載具。世界各國

發展的 TSM依專業領域及服務範圍之不同，

可分為「金流信任服務管理平台(Payment

ServiceProviderTSM， 簡 稱 PSPTSM)」

及「行動網路運營商信任服務管理平台

(MobileNetworkOperatorTSM，簡稱 MNO

TSM)」，前者專責於「金融支付工具」之互

通與管理，以及金融安全防護，提供金融服務

提供者(如金融機構 )將各種支付工具應用，

透過 OTA(OvertheAir)方式，快速且安全地

發行至使用者手機等行動裝置；後者則專司

「UICC」之互通與管理。

二、「行動支付」環境探討

依專業領域、服務範圍及作業分工之不

同，「行動支付」作業環境可由幾個面向來探

討，以下依各角色及雙方互動方式進行說明。

(一 ) 角色(如圖1所示 )

圖 1　「TSM行動支付」各角色示意圖

12　■財金資訊季刊/No.78/2014.04

專題報導〡「TSM行動支付」生態與應用

1. 服務提供者

如金融業提供信用卡、金融卡、支付帳戶

及儲值卡等安全快速之應用服務，提升使用者

購物時之便利性；交通票證業提供電子票證服

務增進使用者搭乘交通工具之方便性；又如

消費購物零售業提供紅利積點、折扣券等其他

提升使用者忠誠度等之服務應用，在「行動支

付」環境，服務提供者於各類服務中扮演不可

或缺的提供者角色。

2. 信任服務管理平台(TSM)

隨著 NFC技術的興起，行動裝置上用來

儲存各應用服務的安全元件已非單一服務提供

者可獨自擁有，為確保相關應用服務於卡片的

安全性及有效發揮其動態特性，卡片應用服務

的下載、安裝、個人化，乃至於後續的管理，

已逐漸朝向所謂的OTA發展。而信任服務管理

平台，便是全球行動通信協會(GlobalSystem

forMobileCommunicationsAssociation，簡稱

GSMA)為解決此新技術領域所衍生的技術與

商業關係，所提出的一項新概念。

TSM可經由 PSPTSM與 MNOTSM串

接，或由 PSPTSM與其他「安全元件」之供

應商合作，提供使用者安全且方便之「行動支

付」服務。

3. 金流信任服務管理平台(PSPTSM)

PSPTSM是將金融支付應用搭配 TSM

的一種「行動支付」核心平台，透過 PSP

TSM除可提供各類金融支付工具一致且有效

之發行與管理平台，亦可協助金融機構與多家

安全元件發行者進行服務介接，有效整合運用

金融體系資源，避免重複投資，並健全金融支

付系統之運作。

4. 行動網路運營商信任服務管理平台

(MNOTSM)

MNO一般為掌管手機 SIM卡管理之行動

網路運營商，如中華電信、台灣大哥大、遠傳

電信等，當服務提供者欲將各類應用服務發行

至使用者手機之 SIM卡時，可經由各行動網

路運營商執行加密處理後，再透過 OTA傳輸

方式將應用服務下載至手機之 SIM卡。

MNOTSM可由單一行動網路運營商自行

建置，或由多家行動網路運營商共同建置，

PSPTSM則透過 OTA方式與 MNOTSM介

接，再將服務提供者各類應用服務快速且安全

地發行至智慧型手機之 SIM卡。

5. 使用者

使用者可依不同行動應用需求找尋適當服

務提供者，並進行相關服務之申請及審核，完

成審核通過後，由服務提供者提供使用者個人

資訊予 TSM，TSM轉換處理使用者個人化資

訊後，即通知使用者下載及安裝其所申請之應

用服務與對應之數位皮夾。

(二 ) 授權模式

「行動支付」環境中，應用服務對於卡

片之佈署、安裝、個人化、啟動、暫停等卡

片內容管理(CardContentManagement)，

共有 SimpleMode、DelegatedMode及 Dual

Mode(AuthorizedMode)三種作業模式，如

圖 2所示，分別說明如下：

1. SimpleMode

這是一個由安全元件發行者集中控管的模

式，於此模式下所有的卡片內容管理都是由

www.fisc.com.tw■　13

「TSM行動支付」生態與應用〡專題報導

安全元件發行者執行，以安全元件為 UICC者

來說，即由 MNOTSM執行卡片內容管理，

PSPTSM僅具備通知之功能，對資料處理掌

握度並不高。

2. DelegatedMode

卡片內容管理由 PSPTSM執行，但是

PSPTSM每次進行卡片內容管理時，都必須

事先取得安全元件發行者的授權，安全元件為

UICC者即每次動作皆須得到 MNOTSM的授

權，並取得執行動作時可經安全元件驗證的授

權資料(Token)，再將應用服務下載至安全元

件，經其驗證無誤後即可開始進行佈署、安

裝、個人化等作業。

3. DualMode(AuthorizedMode)

由安全元件發行者將卡片的指定區域完

全授權給 PSPTSM進行所有的卡片內容管

理，PSPTSM可自行管理卡片內容，無須

受到安全元件發行者的控制。以安全元件為

UICC為例，雖然 PSPTSM可進行所有的卡

片內容管理作業，但電信業者仍可要求 PSP

TSM須告知所執行的卡片管理作業，但並不

像 DelegatedMode具備實質的強制性；對於

安全元件為 SMC者而言，PSPTSM則適合

採此模式自行掌控卡片內容管理。

上述三種模式特點如下：

模式 特點

SimpleMode電信業者有較大的控制權；服

務提供者較不喜好此模式。

DelegatedMode

已廣為電信業者及服務提供者

所接受，實作上較為複雜。

DualMode服務提供者(SPTSM)有較大的控制權；電信業者無實質的

控制權。

2.Do

3.Done

SecureElementIssuer

(MNOTSM)

PSPTSM

SimpleMode

1.Plasedo

3.Do

2.Yes 4.Done

SecureElementIssuer

(MNOTSM)

PSPTSM

DelegatedMode

1.CanIdo?

1.Do

1.Do

SecureElementIssuer

(MNOTSM)

PSPTSM

DualMode

圖 2　卡片內容管理模式

14　■財金資訊季刊/No.78/2014.04

專題報導〡「TSM行動支付」生態與應用

三、「行動支付」使用個案與應用

由於「行動支付」使用角色涵蓋服務提

供者、金流信任服務管理平台、行動網路運

營商信任服務管理平台、使用者等諸多角

色，國際組織 GlobalPlatform 乃於 2013 年

二月發布「GlobalPlatformSystemMessaging

SpecificationforManagementofMobile-NFC

Services1.1」，依 NFC服務及使用者兩大生

命週期，共定義 15項「行動支付」應用之基

礎使用個案，如圖 3所示；相關使用個案說明

如下：

(一 ) NFC服務生命週期管理

NFC服務生命週期管理包含透過 OTA下

載應用服務的各項卡片應用服務管理作業，如

應用服務佈署、啟用、暫停、恢復、換版、資

料更新及刪除等，說明如下。

圖 3　「行動支付」使用個案

1. 應用服務佈署

(Mobile-NFCServiceDeployment)

使用者可向應用服務提供者，如金融機

構，申請手機 NFC服務，使用者亦可選擇對

應之使用者介面，如數位皮夾，下載應用服務

至使用者行動裝置中。

服務提供者接獲使用者申請並完成審核

後，可將服務下傳作業交付 TSM代為處理，

下傳作業開始前，TSM須先執行合宜性檢核，

以確認相關環境是否備妥，如：

√ 使用者行動裝置環境是否符合下傳需要，

如手機裝置是否符合 NFC作業方式、安全

元件是否符合 NFC作業需要等。

√ 空中下傳環境是否備妥。

√ 安全元件環境是否備妥，如安全元件記憶

體空間是否足夠等。

佈署應用服務至使用者安全元件的流程

中，包含前述之合宜性檢查、對應SD的建立、

應用服務的下載與安裝、個人化、啟用等，相

關流程如圖 4所示。

圖 4　應用服務佈署至使用者安全元件之流程

www.fisc.com.tw■　15

「TSM行動支付」生態與應用〡專題報導

2. 應用服務啟用

(Mobile-NFCServiceActivation)

服務佈署完成後，即可進行啟用作業，此

作業可包含於上述應用服務佈署作業中，或者

由服務提供者發出請求後再啟用。

3. 應用服務暫停

(Mobile-NFCServiceSuspension)

針對一些特殊之理由，如服務提供者因使

用者未按期繳費、安全元件發行者因使用者安

全元件遺失或使用者個人因素等，可暫停某項

已佈署之服務，如該應用服務非僅支援 NFC

近端功能，亦應提供可鎖定整體安全元件應用

服務之功能。

4. 應用服務恢復

(Mobile-NFCServiceResumption)

根據應用服務暫停使用個案需求，服務提

供者、安全元件發行者及使用者可恢復遭暫停

之應用服務。恢復應用服務之發動單位可考量

由原暫停單位執行，以降低跨單位恢復服務通

知上之複雜度。

5. 應用服務升級

(Mobile-NFCServiceUpgrade)

在應用服務運作過程中，服務提供者因提

供新功能、強化既有功能或解決程式問題等因

素持續發行新版本，此時即有更新版本之作業

需求，是項作業包含既有應用服務的刪除、

新版應用服務的下載與安裝、重新個人化等，

更新過程中亦須考量是否先暫停應用服務之運

作，避免更新時應用服務異常等狀況。

6. 應用服務資料更新(Mobile-NFCService

DataExchange/Update)

在應用服務運作過程中，服務提供者或有

資料更新之需求，如卡片可用餘額、服務有效

期限、服務安全計數器或其他相關資訊等，此

作業可經由應用服務所提供的資料更新機制進

行相關處理，或者透過刪除舊版應用服務後，

再重新安裝與個人化。資料更新過程中，應避

免影響應用服務狀態，同時亦應注意當應用服

務已處於暫停(Suspension)狀態時，應停止

資料更新。

7. 應用服務刪除

(Mobile-NFCServiceUn-Deployment)

當使用者不再使用或服務提供者不再提供

應用服務，如使用者未繳款等因素，服務提供

者應具備刪除應用服務之作業功能，此功能包

含刪除某項已佈署之應用服務，並應視狀況一

併刪除對應之應用程式，若服務提供者提供兩

項以上之應用服務予使用者時，若使用者僅申

請刪除其中一項，則應僅刪除安全元件內該項

應用服務，並保留另一應用服務及對應之應用

程式，若使用者申請刪除所有應用服務，則應

全數刪除安全元件內該服務提供者之應用服務

及對應之應用程式。

應用程式與應用服務間之關係，以金融支

付工具信用卡為例，每家金融機構可發行多款

不同支付品牌(如 VISAVMPA或 MasterCard

MMPP)之聯名卡，各款聯名卡即為應用服

務，所屬之支付工具品牌則為應用程式，不同

之應用服務可對應至同一支付品牌之應用程

式，因此在安全元件中，支付工具應用程式僅

需一份，但可實體化出多項應用服務個體。

16　■財金資訊季刊/No.78/2014.04

專題報導〡「TSM行動支付」生態與應用

(二 ) 使用者生命週期管理

使用者生命週期管理含使用者因各種行動

裝置或服務之改變，導致使用者在「行動支

付」上之作業變化，如安全元件更換(SIM卡

更新 )、手機號碼更換、行動裝置更換、行動

裝置遺失、行動裝置遺失後找回、行動裝置遺

失後更換新機、終止應用服務、更換行動網路

運營商等使用個案，說明如下。

1. 安全元件更換(SecureElementChange)

使用者為下載更多應用服務，可能需要取

得更大的記憶體空間並更換安全元件；服務提

供者為提供使用者更多元之服務，亦可能通知

使用者更換安全元件，因此安全元件更換是必

要考量個案之一。

使用者更換安全元件，應考量既有安全元

件上相關服務的停用、刪除，新安全元件亦應

重新下載、安裝服務及進行個人化。使用者更

換安全元件後，TSM系統應同時更新系統內

之相關資料設定，並停止提供舊安全元件之相

關應用服務下載或更新，同時應保留新舊安全

元件的相關管理性紀錄。

2. 手機號碼更換

(MobilePhoneNumberChange)

使用者在不更換 UICC卡、不更換行動裝

置及不更換行動網路運營商的情況下更換電話

號碼，行動網路運營商應於配發新電話號碼給

使用者時，透過 TSM更新相關資料設定，以

確保後續可透過正確之電話號碼進行必要之訊

息通知。

3. 行動裝置更換(MobileDeviceChange)

使用者更換行動裝置應依安全元件型態作

考量，若安全元件為可移除式的安全元件，如

UICC或 SMC，則僅須考量行動裝置的影響

即可；若安全元件為內建於行動裝置者，則行

動裝置更換將依安全元件更換之狀況處理。

從安全元件角度來說，新行動裝置能力與

先前之裝置應有所不同，如 OTA能力、NFC

功能支援度或螢幕大小等，這些不同之差異都

有可能影響已安裝之服務，為維持既有服務得

持續運作，可考量重新安裝如數位皮夾等之應

用介面。

另行動裝置之數位皮夾如於先前相關應

用服務佈署時，已自 TSM取得應用服務相關

資料(如卡片版面資料 )並儲存於舊行動裝置

內，則應於新行動裝置重新安裝數位皮夾後，

重新取得相關資料。

4. 行動裝置遺失

(LostorStolenMobileDevice)

使用者手機遺失時，通常會聯繫行動網路

運營商或服務提供者，此時被聯繫單位應適時

更新內部系統資訊，同時應考量暫停所遺失

裝置中安全元件之服務(Mobile-NFCService

Suspension)，且暫停提供該安全元件任何其

他之服務管理。

5. 行動裝置遺失後找回

(RecoverMobileDeviceAfteraLoss)

使用者行動裝置遺失後再取回(包含安全

元件 )，應考量重新啟用所有原暫停使用之服

務(Mobile-NFCServiceResumption)，並恢

復提供該安全元件之服務管理。

www.fisc.com.tw■　17

「TSM行動支付」生態與應用〡專題報導

6. 行動裝置遺失後更換新機

(GetaNewMobileDeviceAfteraLoss)

使用者行動裝置遺失後重新取得新設

備(包含安全元件 )，應考量安全元件更新

(SecureElementChange)、行動設備更換

(MobileDeviceChange)之相關作業及電話

號碼更換(MobilePhoneNumberChange)作

業，另外亦須停止遺失裝置中安全元件之應用

服務(Mobile-NFCServiceSuspension)，同

時暫停提供該安全元件任何其他之應用服務管

理。

7. 終止應用服務

(MobileSubscriptionTermination)

使用者要求終止服務，應考量暫停目前所

有已佈署之服務，因使用者有可能通知行動網

路運營商或服務提供者任一單位，因此亦應考

量雙邊通知機制，俾據以停止應用服務。

8. 更換行動網路運營商(MNOSwap)

使用者要求更換電信業者，若安全元件

為 UICC，則應考量安全元件更新(Secure

ElementChange)及選擇性更換電話號碼

(MobilePhoneNumberChange)作業。

四、安全元件新展望

隨著科技持續進展，安全元件之發展也持

續有最新之變化，2013年前被廣泛應用及討

論的安全元件有 UICC、SMC及 Embedded

三 種 模 式，2013 年 香 港 銀 聯 通 寶 公 司

(JETCO)所成立之 TSM平台，已率先支援

以插入耳機孔之外掛裝置(Add-OnDevice)，

作為其安全元件載具，該載具之出現使香港

TSM生態中，銀聯通寶公司與行動網路運營

商之合作關係產生細微變化。

2013年 9月 Google最新發布的 Android

4.4KitKat系統中新增一項 HCE(Host-based

CardEmulation)技術，該技術可讓行動裝置

應用軟體在受作業系統保護之情況下模擬安全

元件，並以此作為 UICC、SMC及 Embedded

等安全元件外之其他方案，2014年 2月 Visa

已發表聲明將全面支援 HCE作業方式。

在不同安全元件及科技持續發展之情

況下，「行動支付」生態中各角色所面臨

之合作應用將有整合上之挑戰，國際組織

GlobalPlatform所發布之使用者個案或許可在

此變化快速之生態中，提供另一思考方向。

五、我國 TSM發展現況

我國「行動支付」之腳步於 2013年大幅

邁開，近年內開南大學建置完成的 TSM平台

也已開始運作；2013年 8月，五家電信業者

的中華電信、台灣大哥大、遠傳電信、亞太電

信、威寶電信與交通票證業者悠遊卡(股 )公

司共同成立「群信行動數位科技有限公司」，

預計於 2014年底提供行動網路運營商信任服

務管理平台(MNOTSM)；金融業由財金資訊

(股 )公司、台灣票據交換所及聯合信用卡處

理中心於 2014年 2月共同籌設「臺灣行動支

付(股 )公司」，亦預計於 2014年底提供金

流服務信任管理平台(PSPTSM)，在「行動

支付」各角色陸續到位後，相信 2015年將是

「行動支付」開創元年，同時也將引領國內「行

動支付」潮流邁向全新之境界。

18　■財金資訊季刊/No.78/2014.04

專題報導〡「TSM行動支付」生態與應用

六、結語

(一 ) 創新並切合客戶需要方能建立持續獲

利的商業模式

科技的創新越來越快，逐漸模糊產業、產

品、服務的界線，跨業競合異軍突起，即時掌

握需求與善用機會的人成為贏家，而背離市場

與反應不及者即淪為輸家。然市場上的機會

沒有界限與盡頭，挑戰也沒有極限與終點；也

因此，求新求變切合客戶需要乃開闢生路之要

項，在市場飽和與競爭激烈下，惟有突破、積

極創新與徹底執行始保有競爭優勢。

(二 ) 安全是成功的保障

由於手機具有多種系統平台，且為開放的

作業系統並具連線功能，易受病毒與木馬程式

的入侵；是以，「行動支付」業務之有效推展

端賴客戶對安全的信任度，如何強化「行動支

付」作業安全乃成必要課題。此外，長期培養

資安人員，持續加強其專業，以即時因應大環

境更新與提升安控機制更是不可或缺，唯有擁

有專業的人才與完善的安控機制始得助益業務

拓展。

(三 ) 共同建設優良暢達的營運環境

科技改變用戶行為的同時，也變動了業

務的服務內容與經營方向，更顛覆企業運營

結構。「行動支付」生態系統的建設與維運涉

及系統運營商、金融體系、電信業者等多方角

色，不論為同業聯盟或異業結盟，勢應以國家

整體環境與社會大眾之最大利益為考量，善用

專業與資源，共同建置健全、完備且安全的

「行動支付」平台，共創多贏的新世紀。

※參考文獻 /資料來源：1. GlobalPlatform System Messaging

Specification for Management of Mobile-NFC Services Version 1.1。

2. IDC (國際數據資訊 ) 2013年第四季亞太區手機市場季度調查報告。

3. Google Developers API Guides Host-based Card Emulation。

信用卡費

詳情請上網查詢 ebi l l .ba.org. tw

是由全體金融機構共同建構之網路繳費平臺，使用「活期帳戶」就可以輕鬆上網繳納多項帳單，全年無休、24小時服務，不須事先申請，環保、節能、安全又便捷。

手機繳費

選擇 輸入 驗證 完成

選擇信用卡機構輸入銷帳編號與金額

輸入身分證號碼/統編/轉出銀行與帳號

輸入動態圖像驗證碼 完成繳費

1 2 3 4繳費步驟 :

輕鬆繳費交給我 自在生活留給你