基于NFC架构的HCE研究报告

基于NFC架构的HCE研究汇报一、HCE简介2月19日，VISA宣布将基于HCE技术提供VISA账户的安全托管云服务，更新旗下非接支付原则payWave以兼容HCE，并推出对应的软件开发包SDK供第三方开发基于云的移动支付和移动银行应用，未来还将整合QR码和应用内支付等功能。同日，万事达宣布将推出支持HCE的技术规范，该技术规范将基于此前万事达与CapitalOne、BancoSabadell在美国、欧洲的试点成果。图1：HCE模式示意图HCE（HostCardEmulation）技术又称为主机模拟卡片技术，最初由美国初创企业SimplyTapp提出并开发，该企业也是目前已知唯一的HCE服务提供商。HCE模式下老式NFC的实体安全模块SE被远程托管的云端SE（CloudSecureElement或SEontheCloud）所取代（如图1所示），移动设备虽然没有SE模块也可实现安全的NFC应用，如支付、营销和门禁等。HCE技术的提出对移动支付将是一种潜在的巨大变化，通过该技术未来支持该服务的所有NFC智能手机的任何应用程序将都可以充当手机钱包。11月，google公布了最新的Android4.4KitKat系统，并将HCE技术植入其中,与此同步，google还将同有NFC渊源的google钱包与HCE技术结合，应用在最新推出的Nexus5智能手机当中。考虑到安卓系统的市场渗透率和更新速度，HCE有望在今年实现普及IDC和Google数据显示，安卓系统在全球智能手机的市场份额已超过80%，KitKat目前占安卓系统的比例为1.1%。。黑莓BlackBerry10是最早支持HCE的移动端操作系统，苹果未来也许基于A7处理器内置的SecureEnclave模块搭建自己的HCE平台。同步，西班牙Bankinter银行已计划推出基于HCENFCIDC和Google数据显示，安卓系统在全球智能手机的市场份额已超过80%，KitKat目前占安卓系统的比例为1.1%。二、HCE技术原理（一）HCE构成部分HCE技术可广泛用于金融、交通、教育、医疗等行业，本文以金融行业老式的近场支付来阐明HCE的技术原理。图2HCE移动支付模式原理如图2所示，在HCE处理方案中大体包括三个构成部分，分别是云端的SE平台、顾客手机端的支付APP应用和位于老式商户POS。云端的SE平台：HCE模式中的发卡方（银行）SE云平台负责存储顾客凭证（Credential），该凭证的意义根据所在行业的不一样而不一样，对于银行来说，凭证即是一张信用卡或借记卡，该卡假如是芯片卡，则凭证的意义就是一种卡片应用（Applet），例如PayPass等。支付APP应用：该应用位于顾客手机端，包括一种称为卡片应用代理（Agency）的模块，该模块是位于云端卡片应用在手机APP上的“代理人”，重要负责与近场的POS进行数据传播，当需要卡片数据时向云端的卡片应用发一种祈求，卡片应用在收到祈求后，根据有关规范的规定返回数据。同步，为了使手机与POS之间的交易速度加紧，代理模块同步支持数据缓冲功能和批处理功能，以减少APP与云端SE的数据传播次数。商户POS终端：HCE的一种比较突出的长处就是不需要对既有POS终端进行任何软件或硬件的改造，完全符合既有的EMV、PBOC等交易流程。（二）Android系统NFC指令路由如下图3所示，每个HCE服务是一种APP应用，分别对应一种卡片应用（代理）。当APP在创立和安装时（个人化），需要在手机Android系统中注册一种AID或一组AID。当NFC读卡器发来选择应用指令时，Android系统会自动根据选择命令中的AID在已注册的AID列表中寻找匹配项，如找到匹配项，则将此应用选择指令以及后续的APDU指令均发往对应HCE服务。当读卡器再次发来应用选择指令后，该HCE服务被关闭，同步激活与目前应用选择指令中AID匹配的HCE服务。图3：HCE服务指令路由（三）Android顾客数据保护机制支持HCE的Android4.4系统，重要通过如下机制来保证顾客数据的安全：1、APDU防窃听控制：Android4.4系统通过系统控制来保证HCE服务接受到的指令一定来自读卡器，而从应用中发送的APDU响应只能送往NFC读卡器。2、顾客应用数据存储：系统通过Sandbox功能保护顾客数据安全，通过该功能，APP应用数据与代码运行与其他APP应用相隔离。3、访问控制：系统基于安全的应用架构，通过加密、权限、安全IPC来控制数据的访问。4、文献系统加密：通过加密的文献系统来保证设备在丢失后数据不丢失。5、基于顾客授权的访问控制。三、HCE与老式NFC技术比较（一）NFC老式技术工作模式：老式的NFC技术需要依赖于一种物理硬件安全单元（SE）来保证存储顾客凭证（Credential）等关键信息，常见的老式NFC处理方案如NFC-SIM,NFC-SD以及NFC手机等等。由于顾客图4老式NFC模式与HCE模式比较凭证储存在SE模块中，移动设备的操作系统并不参与其中，意味着虽然在关机状态下也可完毕交互。重要长处：从技术上看，老式的基于SE物理模块的NFC技术由于采用了物理上与手机和操作系统隔离的方式，因此在安全上可以保证SE中敏感信息不被非法访问和篡改，同步在管理上也便于SE的发卡主体、通信运行商、手机厂商的分开管理，有助于NFC技术在支付领域的推广。重要缺陷：由于SE芯片的物理特性，该模式也存在有一定局限性：例如SE的芯片存储空间较小，无法开发深度整合的支付app例如GoogleNexusS自带的SE芯片储存空间仅为72KB。；SE的数据访问速度较慢，凭证的导入过程较为复杂；移动终端、运行商、TSM和SE之间存在兼容性问题等；SE内置在手机中后使得NFC手机与读卡器之间的非接磁场感应距离变短，影响了例如GoogleNexusS自带的SE芯片储存空间仅为72KB。（二）HCE技术工作模式：HCE属于NFC技术的一种，但与老式的NFC技术不一样的是，HCE不需要移动设备配置SE模块，也被称为软件卡片模拟（SoftwareCardEmulation）。在NFC控制器的指导下，移动设备的操作系统或app直接与外部非接读卡器进行信息交互。顾客凭证除可以储存在云端外（SimplyTapp作为SE云服务提供商），也可以储存在当地设备内存中（例如相对安全的可信执行环境TEE4）。重要长处：从发卡上看，HCE最大的长处在于使NFC技术挣脱了对物理SE模块的依赖，理论上，任何一种APP应用程序通过一定认证均可以作为一种电子钱包通过NFC完毕支付，因而支持在手机上加载多种NFC应用，包括移动支付、单用途预付卡和门禁卡等。同步由于发卡主体无需再去管理和采购SE模块，TSM平台不再是必须选项，因此也减少了发卡方的运行管理成本；从受理上看，HCE技术兼容EMV终端的受理，存量的EMV终端无需做任何改造就可以直接复用，降级了HCE的布署成本。从产业链上看，HCE技术的出现简化了复杂繁复的NFC移动支付产业链，使得银行或卡组织挣脱了长期SE由电信运行商掌控的局面，通过将SE置于云端，真正获得了对于SE的自主控制权。重要缺陷：虽然已经有VISA、万事达以及欧洲部分银行开始支持HCE的移动支付，但目前HCE仍然缺乏统一的应用模式和通过认证技术原则，HCE技术尚未得到国际社会的广泛承认。除此之外，HCE技术的安全性也尚未通过广泛的认证，其可靠性存疑。同步，由于HCE有赖于云端SE的支持，因此在与读卡器进行数据传播时需同步保证移动通讯网络的畅通，这在一定程度上影响了交易性能和顾客体验。此外，欧洲某些TSMSE的坚定支持者质疑HCE能否到达NFC-SIM卡以及其他智能卡技术的安全级别，毕竟智能卡技术在开环支付当中已经使用了将近。基于此，对于目前的HCE，闭环支付服务仍然是重要的战场，闭环当中的支付，不需要太高的安全规定，不过到了开放支付，安全规定将是十分严格的。而开放式的支付服务仍然以老式的NFCSE技术应用为主。四、对支付产业各方的影响老式的实体SE需内嵌在SIM卡、手机终端或SD卡中，必然受制于移动运行商、终端制造商或金融机构，而基于云端SE的HCE将终止上述各方有关NFC主导权的争夺，有望处理NFC全球范围的普及难题。老式以SE为关键的移动近场支付产业链将会重构。老式NFC-SIM模式下，SE的访问权限一般由移动运行商掌控；HCE模式下，互联网企业搭建SE云服务基础设施，移动运行商降为网络服务提供商，卡企业及发卡机构控制云端SE访问权限。此外，由于HCE不需要TSM进行多方协调（例如对接不一样的安全载体发行方和应用提供方之间），以及SE生命周期管理，因此TSM平台不再是NFC移动支付必须依赖的基础设施。对于Google来说，其但愿通过HCE打破运行商对GoogleWallet业务发展的桎梏，向第三方开发者开放则意味着，PayPal、Square等支付创新企业可以此搭建各自的HCE产品方案，NFC近场支付的门槛深入减少。对于VISA、万事达以及发卡机构来说，HCE通过短路运行商加速NFC普及，且由于无需向运行商支付费用，其发卡和交易成本有所减少。同步，VISA、万事达均表达将结合支付Tokenisation（在本文中也称为令牌）技术增强HCE模式下的移动支付安全，支付Tokenisation化的普及不仅将变化既有银行卡账户体系和线上支付产品形态，还可为卡组织提供更丰富的数据，如持卡人的身份信息、交易信息以及附加信息等。对于商户来说，HCE不仅是支付处理方案，还是会员管理和营销工具，包括替代原有单用途预付卡、会员卡体系，加载优惠券、积分等增值应用，可深入加强与消费者的联络。对于消费者来说，HCE不需要移动设备更换特定的SIM卡，后期升级也不需要移动运行商参与，减少了卡片使用和维护成本。五、HCE技术的发展趋势从目前可查阅的信息来看，HCE技术的应用仍然不够广泛，目前重要只在欧洲得到小规模的应用，如西班牙Bankinter银行。但由于HCE技术的种种优势（前文已述），该技术已经得到了广泛的重视。在巴塞罗那MWC大会当中，Visa和万事达两大支付网络对HCE的态度相称积极，并且Visa和万事达方面认为，通过HCE使用VisapayWave和万事达PayPass可以像NFC-SIM卡或其他SE同样安全，种种迹象表明，质疑也不能制止HCE的发展，目前越来越多的支付卡网络开始推出HCE服务，绕开运行商等某些实体SE的存在，缩短产业链，大规模推行HCE移动支付也将成为可行方案。图5：payWave云端支付处理方案为了保证HCE交易的安全性，控制潜在的风险，VISA、万事达正在考虑将Tokenisation技术与HCE技术进行结合，在一定程度上保证顾客凭证及敏感信息的安全见本文第六章所述。。2月19日，VISA宣布将基于HCE技术提供VISA账户的安全托管云服务，更新旗下非接支付原则payWave以兼容HCE，并推出对应的软件开发包SDK供第三方开发基于云的移动支付和移动银行应用，未来还将整合QR码和应用内支付等功能。同日，万事达宣布将推出支持HCE的技术规范，该技术规范将基于此前万事达与CapitalOne、BancoSabadell见本文第六章所述。本次Visa公布的基于安全云端的VisapayWave非接触支付账户处理方案（如图5所示），可以同步支持发行支付令牌码(Tokenisation)，以取代原16位数字的支付账号，可以在限定的设备、支付渠道或商户使用。据理解，目前VISA、万事达、美运正在联合推进EMVCo将Tokenisation技术纳入到EMVCo技术原则中，从这个角度来看，HCE与Tokenisation的结合的模式将会使此后HCE技术在开放式支付网络中应用的重要形式。六、下一步工作的提议如前文所述，HCE技术的优势在于可以缩短NFC移动支付产业链，使银联和银行挣脱电信运行商对SIM卡控制，发挥银联在移动支付领域的优势，符合银联的主线利益。因此提议，银联应亲密关注HCE技术的发展，通过EMVCO的平台加强与Visa和万事达的沟通，将以HCE技术为基础的移动支付产品处理方案提到企业战略高度进行研究。在HCE模式的产业链中，互联网企业占有极大优势。目前VISA、万事达正在积极推进并推出有关规范原则，以保证卡组织相对互联网企业的权益。同步，VISA、万事达作为EMV组员正在积极推进支付令牌（Tokenisation）纳入EMV原则体系，以更好地维护卡组织权益。银联作为EMV组员应及时跟进并积极参与有关原则制定，保证银联权益，在也许的状况下，优化银联在国内移动支付市场发展方略，提高银联市场份额。详细提议如下：（一）产品原型研发：提议由产品部门牵头，联合移动支付部、互联网部等部门，加大对HCE有关技术的基础研究力度，结合银联既有的互联网支付、手机支付、非接IC卡支付等平台与产品，以HCE技术与令牌技术相结合为实现手段，以云端SE和令牌为安全保证，联合开发中心与有关厂商，开发基于HCE的银联闪付产品系统原型（参见图6）。图6：HCE与令牌技术结合构思图（二）创新技术原则：亲密跟踪EMVCo的技术原则更新动态，运用EMVCo的平台加强与Visa和万事达在技术上的