基于NFC架构的HCE研究报告.docx

基于NFC架构的HCE研究报告一、HCE简介2014年2月19日，VISA宣布将基于HCE技术提供VISA账户的安全托管云服务，更新旗下非接支付标准payWave以兼容HCE，并推出相应的软件开发包SDK供第三方开发基于云的移动支付和移动银行应用，未来还将整合QR码和应用内支付等功能。同日，万事达宣布将推出支持HCE的技术规范，该技术规范将基于此前万事达与Capital One、Banco Sabadell在美国、欧洲的试点成果。图1：HCE模式示意图HCE（Host Card Emulation）技术又称为主机模拟卡片技术，最初由美国初创公司SimplyTapp提出并开发，该公司也是目前已知唯一的HCE服务提供商。HCE模式下传统NFC的实体安全模块SE被远程托管的云端SE（Cloud Secure Element或SE on the Cloud）所取代（如图1所示），移动设备即使没有SE模块也可实现安全的NFC应用，如支付、营销和门禁等。HCE技术的提出对移动支付将是一个潜在的巨大变化，通过该技术未来支持该服务的所有NFC智能手机的任何应用程序将都能够充当手机钱包。2013年11月，谷歌发布了最新的Android 4.4KitKat系统，并将HCE技术植入其中,与此同时，谷歌还将同有NFC渊源的谷歌钱包与HCE技术结合，应用在最新推出的Nexus 5智能手机当中。考虑到安卓系统的市场渗透率和更新速度，HCE有望在今年实现普及 IDC和Google数据显示，安卓系统在全球智能手机的市场份额已超过80%，KitKat目前占安卓系统的比例为1.1%。黑莓BlackBerry 10是最早支持HCE的移动端操作系统，苹果未来可能基于A7处理器内置的Secure Enclave模块搭建自己的HCE平台。同时，西班牙Bankinter银行已计划推出基于HCE NFC技术的移动支付服务。国际卡公司以及谷歌、银行对HCE的支持有望加快基于HCE技术的NFC移动支付发展。二、HCE技术原理（一）HCE组成部分HCE技术可广泛用于金融、交通、教育、医疗等行业，本文以金融行业传统的近场支付来说明HCE的技术原理。图2 HCE移动支付模式原理如图2所示，在HCE解决方案中大致包括三个组成部分，分别是云端的SE平台、用户手机端的支付APP应用和位于传统商户POS。云端的SE平台：HCE模式中的发卡方（银行）SE云平台负责存储用户凭证（Credential），该凭证的意义根据所在行业的不同而不同，对于银行来说，凭证即是一张信用卡或借记卡，该卡如果是芯片卡，则凭证的意义就是一个卡片应用（Applet），例如PayPass等。支付APP应用：该应用位于用户手机端，包含一个称为卡片应用代理（Agency）的模块，该模块是位于云端卡片应用在手机APP上的“代理人”，主要负责与近场的POS进行数据传输，当需要卡片数据时向云端的卡片应用发一个请求，卡片应用在收到请求后，根据相关规范的要求返回数据。同时，为了使手机与POS之间的交易速度加快，代理模块同时支持数据缓冲功能和批处理功能，以减少APP与云端SE的数据传输次数。商户POS终端：HCE的一个比较突出的优点就是不需要对现有POS终端进行任何软件或硬件的改造，完全符合现有的EMV、PBOC等交易流程。（二）Android系统 NFC指令路由如下图3所示，每个HCE服务是一个APP应用，分别对应一个卡片应用（代理）。当APP在创建和安装时（个人化），需要在手机Android系统中注册一个AID或一组AID。当NFC读卡器发来选择应用指令时，Android系统会自动根据选择命令中的AID在已注册的AID列表中寻找匹配项，如找到匹配项，则将此应用选择指令以及后续的APDU指令均发往对应HCE服务。当读卡器再次发来应用选择指令后，该HCE服务被关闭，同时激活与当前应用选择指令中AID匹配的HCE服务。图3：HCE服务指令路由（三）Android用户数据保护机制支持HCE的Android4.4系统，主要通过以下机制来确保用户数据的安全：1、APDU防窃听控制：Android4.4系统通过系统控制来确保HCE服务接收到的指令一定来自读卡器，而从应用中发送的APDU响应只能送往NFC读卡器。2、用户应用数据存储：系统通过Sandbox功能保护用户数据安全，通过该功能，APP应用数据与代码运行与其他APP应用相隔离。3、访问控制：系统基于安全的应用架构，通过加密、权限、安全IPC来控制数据的访问。4、文件系统加密：通过加密的文件系统来保证设备在丢失后数据不丢失。5、基于用户授权的访问控制。三、HCE与传统NFC技术比较（一）NFC传统技术工作模式：传统的NFC技术需要依赖于一个物理硬件安全单元（SE）来保证存储用户凭证（Credential）等关键信息，常见的传统NFC解决方案如NFC-SIM, NFC-SD以及NFC手机等等。由于用户 图4 传统NFC模式与HCE模式比较凭证储存在SE模块中，移动设备的操作系统并不参与其中，意味着即使在关机状态下也可完成交互。主要优点：从技术上看，传统的基于SE物理模块的NFC技术由于采用了物理上与手机和操作系统隔离的方式，因此在安全上能够保证SE中敏感信息不被非法访问和篡改，同时在管理上也便于SE的发卡主体、通信运营商、手机厂商的分开管理，有利于NFC技术在支付领域的推广。主要缺点：由于SE芯片的物理特性，该模式也存在有一定局限性：比如SE的芯片存储空间较小，无法开发深度整合的支付app 比如Google Nexus S自带的SE芯片储存空间仅为72KB。；SE的数据访问速度较慢，凭证的导入过程较为复杂；移动终端、运营商、TSM和SE之间存在兼容性问题等；SE内置在手机中后使得NFC手机与读卡器之间的非接磁场感应距离变短，影响了NFC手机在读卡器上支付体验。另外，NFC传统技术的产业链太过复杂，在一定程度上影响了NFC技术的发展。（二）HCE技术工作模式：HCE属于NFC技术的一种，但与传统的NFC技术不同的是，HCE不需要移动设备配备SE模块，也被称为软件卡片模拟（Software Card Emulation）。在NFC控制器的指引下，移动设备的操作系统或app直接与外部非接读卡器进行信息交互。用户凭证除可以储存在云端外（SimplyTapp作为SE云服务提供商），也可以储存在本地设备内存中（比如相对安全的可信执行环境TEE4）。主要优点：从发卡上看，HCE最大的优点在于使NFC技术摆脱了对物理SE模块的依赖，理论上，任何一个APP应用程序经过一定认证均可以作为一个电子钱包通过NFC完成支付，因而支持在手机上加载多个NFC应用，包括移动支付、单用途预付卡和门禁卡等。同时由于发卡主体无需再去管理和采购SE模块，TSM平台不再是必须选项，因此也降低了发卡方的运营管理成本；从受理上看，HCE技术兼容EMV终端的受理，存量的EMV终端无需做任何改造就可以直接复用，降级了HCE的部署成本。从产业链上看，HCE技术的出现简化了复杂繁复的NFC移动支付产业链，使得银行或卡组织摆脱了长期SE由电信运营商掌控的局面，通过将SE置于云端，真正获得了对于SE的自主控制权。主要缺点：虽然已有VISA、万事达以及欧洲部分银行开始支持HCE的移动支付，但目前HCE仍然缺乏统一的应用模式和经过认证技术标准，HCE技术尚未得到国际社会的广泛认可。除此之外，HCE技术的安全性也尚未经过广泛的认证，其可靠性存疑。同时，由于HCE有赖于云端SE的支持，因此在与读卡器进行数据传输时需同时保证移动通讯网络的畅通，这在一定程度上影响了交易性能和用户体验。另外，欧洲一些TSM SE的坚定支持者质疑HCE能否达到NFC-SIM卡以及其他智能卡技术的安全级别，毕竟智能卡技术在开环支付当中已经使用了将近20年。基于此，对于现在的HCE，闭环支付服务仍然是主要的战场，闭环当中的支付，不需要太高的安全要求，但是到了开放支付，安全要求将是十分严格的。而开放式的支付服务仍然以传统的NFC SE技术应用为主。四、对支付产业各方的影响传统的实体SE需内嵌在SIM卡、手机终端或SD卡中，必然受制于移动运营商、终端制造商或金融机构，而基于云端SE的HCE将终结上述各方关于NFC主导权的争夺，有望解决NFC全球范围的普及难题。传统以SE为核心的移动近场支付产业链将会重构。传统NFC-SIM模式下，SE的访问权限通常由移动运营商掌控；HCE模式下，互联网公司搭建SE云服务基础设施，移动运营商降为网络服务提供商，卡公司及发卡机构控制云端SE访问权限。此外，由于HCE不需要TSM进行多方协调（比如对接不同的安全载体发行方和应用提供方之间），以及SE生命周期管理，因此TSM平台不再是NFC移动支付必须依赖的基础设施。对于Google来说，其希望通过HCE打破运营商对Google Wallet业务发展的桎梏，向第三方开发者开放则意味着，PayPal、Square等支付创新公司可以此搭建各自的HCE产品方案，NFC近场支付的门槛进一步降低。对于VISA、万事达以及发卡机构来说，HCE通过短路运营商加速NFC普及，且由于无需向运营商支付费用，其发卡和交易成本有所降低。同时，VISA、万事达均表示将结合支付Tokenisation（在本文中也称为令牌）技术增强HCE模式下的移动支付安全，支付Tokenisation化的普及不仅将改变现有银行卡账户体系和线上支付产品形态，还可为卡组织提供更丰富的数据，如持卡人的身份信息、交易信息以及附加信息等。对于商户来说，HCE不仅是支付解决方案，还是会员管理和营销工具，包括替代原有单用途预付卡、会员卡体系，加载优惠券、积分等增值应用，可进一步加强与消费者的联系。对于消费者来说，HCE不需要移动设备更换特定的SIM卡，后期升级也不需要移动运营商参与，降低了卡片使用和维护成本。五、HCE技术的发展趋势从目前可查阅的信息来看，HCE技术的应用仍然不够广泛，目前主要只在欧洲得到小规模的应用，如西班牙Bankinter银行。但由于HCE技术的种种优势（前文已述），该技术已经得到了广泛的重视。在巴塞罗那MWC2014大会当中，Visa和万事达两大支付网络对HCE的态度相当积极，并且Visa和万事达方面认为，通过HCE使用Visa payWave和万事达PayPass可以像NFC-SIM卡或其他SE一样安全，种种迹象表明，质疑也不能阻止HCE的发展，现在越来越多的支付卡网络开始推出HCE服务，绕开运营商等一些实体SE的存在，缩短产业链，大规模推行HCE移动支付也将成为可行方案。图5：payWave云端支付解决方案为了保证HCE交易的安全性，控制潜在的风险，VISA、万事达正在考虑将Tokenisation技术与HCE技术进行结合，在一定程度上保证用户凭证及敏感信息的安全 见本文第六章所述。2014年2月19日，VISA宣布将基于HCE技术提供VISA账户的安全托管云服务，更新旗下非接支付标准payWave以兼容HCE，并推出相应的软件开发包SDK供第三方开发基于云的移动支付和移动银行应用，未来还将整合QR码和应用内支付等功能。同日，万事达宣布将推出支持HCE的技术规范，该技术规范将基于此前万事达与Capital One、Banco Sabadell在美国、欧洲的试点成果。此次Visa发布的基于安全云端的Visa payWave非接触支付账户解决方案（如图5所示），可以同时支持发行支付令牌码(Tokenisation)，以取代原16位数字的支付账号，可以在限定的设备、支付渠道或商户使用。据了解，目前VISA、万事达、美运正在联合推动EMVCo将Tokenisation技术纳入到EMVCo技术标准中，从这个角度来看，HCE与Tokenisation的结合的模式将会使今后HCE技术在开放式支付网络中应用的主要形式。六、下一步工作的建议如前文所述，HCE技术的优势在于可以缩短NFC移动支付产业链，使银联和银行摆脱电信运营商对SIM卡控制，发挥银联在移动支付领域的优势，符合银联的根本利益。因此建议，银联应密切关注HCE技术的发展，通过EMVCO的平台加强与Visa和万事达的沟通，将以HCE技术为基础的移动支付产品解决方案提到公司战略高度进行研究。在HCE模式的产业链中，互联网公司占有极大优势。目前VISA、万事达正在积极推进并推出相关规范标准，以确保卡组织相对互联网公司的权益。同时，VISA、万事达作为EMV成员正在积极推动支付令牌（Tokenisation）纳入EMV标准体系，以更好地维护卡组织权益。银联作为EMV成员应及时跟进并积极参与相关标准制定，确保银联权益，在可能的情况下，优化银联在国内移动支付市场发展策略，提高银联市场份额。具体建议如下：（一）产品原型研发：建议由产品部门牵头，联合移动支付部、互联网部等部门，加大对HCE相关技术的基础研究力度，结合银联现有的互联网支付、手机支付、非接IC卡支付等平台与产品，以HCE技术与令牌技术相结合为实现手段，以云端SE和令牌为安全保证，联合开发中心与相关厂商，开发基于HCE的银联闪付产品系统原型（参见图6）。图6：HCE与令牌技术结合构思图（二）创新技术标准：密切跟踪EMVCo的技术标准更新动态，利用EMVCo的平台加强与Visa和万事达在技术上的交流，结合原型产品的研发，尽快将HCE技术纳入到银联闪付IC卡技术标准体系中来。（三）认证测试体系：争取相关政府部门的政策支持，联合银行卡检测中心开发HCE