主机卡仿真和安全元素正在争夺即时支付市场。这事关重大。
线画出来了。双方都在互相估量。苹果一边是安全元素,谷歌和微软一边是主机卡仿真。
两者都是基于近场通信技术的智能手机移动支付系统。苹果用SE打响了第一枪,谷歌很快用HCE回应。经过几个月的拖延,现在双方都在加紧行动,这似乎是一场持久战。
Rambus公司密码学研究部门的产品和营销副总裁西蒙•布莱克-威尔逊表示:“目前,移动支付领域(HCE是其中的一部分)正在大举抢占地盘。”“在很长一段时间里,围绕移动支付有很多炒作,潜力很大,但进展不大。”
HCE 101
HCE现在开始受到关注。HCE也被称为基于云的安全性,它在软件中实现SE在硬件中实现的功能(参见图1)。
图1:HCE模型。资料来源:智能卡联盟
布莱克-威尔逊说:“HCE是智能手机上的应用程序处理器与集成到智能手机中的NFC芯片进行通信的一种方式。”它是通过软件实现支付功能的虚拟身份表示,而SE是通过芯片实现的(见图2)。[附录a是两个平台的比较。]
图2:SE和HCE架构。资料来源:智能卡联盟
在HCE出现之前,只有安全元素。SEs是集成在运营商发行的SIM (subscriber identity module)卡、通用集成电路卡(universal integrated circuit card, uic)或SD (secure digital card, SD)卡中的安全芯片。这造成了一个问题,因为移动网络运营商试图通过将SE与SIM卡捆绑在一起来垄断移动支付市场。其实谷歌本来是要实现SE的,但是意识到了被运营商行业限制的约束。
SE模型的工作方式是要求所有参与者与每个SE所有者实现合同协议。所有者在SE中为每个发卡银行创建一个安全域,该域授予对发卡银行的访问权。虽然高度安全,但这建立了发行银行对SE所有者的依赖关系。布莱克-威尔逊表示:“移动网络运营商试图通过利用自己的设备,从支付交易收入流中分一杯羹,强行进入移动支付行业。
实际上,这需要安全元素的租赁协议。它还建立了从银行到客户(包括供应商和移动网络运营商)的所有依赖关系的路线图类型,这变得复杂,因为服务发行商正在向其客户大规模部署se——移动网络运营商的sim卡,原始设备制造商的嵌入式se。它们还与可信服务管理器(TSM)基础设施集成。因此,发行se的移动网络运营商用自己的品牌钱包应用程序控制了整个用户生态系统。
最重要的是,在全球移动支付生态系统中有多个SE所有者,每个所有者都有自己的实现SE的方式。这要求移动网络运营商与每家运营商保持独家业务和技术关系,以使它们的服务可用。
这阻碍了竞争,并限制了谷歌和微软(Microsoft)等公司可以提供的移动支付设备。所以谷歌决定提出一种叫做HCE的替代方案,绕过运营商。微软很快也加入进来,双方都避开了控制SE生态系统的移动网络运营商。
由于HCE是一个独立的应用程序,可以运行在任何受支持的操作系统上,因此它提供独立于第三方的支付和门禁卡解决方案。它仍然利用几乎相同的基于硬件的安全元素的加密过程,但是不需要SE的物理硬件。
HCE方法允许供应商通过移动、闭环非接触式支付应用程序提供支付卡解决方案。它最大的优点之一是可以实时分配支付卡,并且不需要修改支付终端内的软件。在HCE中,手机操作系统是其背后的智能。例如,在销售点交易中,操作系统将为NFC命令选择两种可能的通信选项之一。应用程序请求一个事务应用程序标识符,并根据该标识符的反馈决定使用哪条路径。
然后,手机OS从手机的NFC控制器获取应用程序标识符,并将这些NFC命令路由到SE或管理HCE的可信应用程序。例如,Android KitKat OS将其路由到手机上由发行者应用程序调用的HCE服务。当用户提交hce平台卡进行交易时,NFC使用移动应用程序管理器路由客户端应用程序进行授权和验证,并通过移动应用程序管理器进行处理。作为流程的一部分,移动应用程序管理器连接到发行者支付系统以完成交易。这里的粘合剂是管理卡数据发行的云服务器、云帐户和事务处理器。
细节
SE和HCE之间的主要区别在于凭证存储在哪里。使用SE,凭据存储在芯片中。使用HCE,凭据可以以静态图像的形式存储在设备上。但最好的解决方案是将它们存储在云端,这比在设备上存储静态图像安全得多。SE没有这个问题,因为它使用密码学对数据进行编码。
Blake-Wilson说:“你可以从很多不同的角度来看待两者之间的优势——例如技术与业务,但从技术角度来看,专用SE更安全,因为它是专用硬件。”“它的部署也更加复杂。另一方面,HCE要简单得多,因为与在独立芯片上提供相同的东西相比,在主处理器上为应用程序提供东西非常容易。但它也不那么安全。”
当凭证存储在云中时,可以使用或不使用令牌。如果进行了无令牌交易,则由云通过从移动应用程序输入的凭据进行身份验证。然后凭证被发送到移动设备,在那里它被转移到收款人。这个过程的主要缺点是相对不安全。
通过标记化事务,流程变得更加安全。从本质上讲,支付应用程序配备了一些支付令牌。这些代币的有效性各不相同,并受发行者政策的限制。它们可以限制金额,使用年龄(单个或多个),有时间限制,只能用于某些类型的非接触式交易,或仅限于某些受款人。与此同时,移动应用程序通过NFC连接向收款人提供特定的标记化凭据。然后,收款人的系统将交易路由到颁发者,在那里进行授权。
这两种方法都是作为事务方法的示例来介绍的。然而,这些并不是排他性的。还有其他的。此外,为这些类型的交易增加的安全性可以以白盒加密的形式或添加一些层来使软件防篡改。另一个新兴的选择是生物识别技术,它可以与这些方法结合使用。
口味
今天,基本上有两种HCE模型。第一种是所谓的纯HCE。这通常适用于所谓的低价值应用程序。此类应用程序通常定义为低风险或低复杂性。其中包括低价值支付、优惠券、忠诚度奖励、访问控制、运输和其他安全性和复杂性较低的应用程序。通常,这些应用程序将位于不需要SE的应用程序上。它只是在没有硬件的情况下模拟SE。
第二种是混合HCE。这是平台的黄金标准,提供HCE所能做的一切,但与物理安全元素相结合。然而,这并不意味着它具有SE的限制,特别是SE oem所需的业务关系。在这种情况下,SE仅用于身份验证目的。
它的吸引力在于它不依赖移动网络运营商,这意味着它可以在广泛的移动设备上实现。它还包含SE的一些安全属性,在这种情况下,SE所有者负责将移动设备小程序加载到SE中。
applet的管理是在云中完成的,因此移动网络运营商只是作为链接提供者在外围参与。此外,这消除了对SIM卡的依赖,因此如果更换SIM卡,近场通信功能不会受到影响。
2012年还有一种叫做HCEplus (HCE+)的东西。这个特殊的实现旨在解决信用卡在线交易的标记化等情况。然而,目前这方面的细节还很少。它主要在亚太地区使用。
安全
一般来说,保护软件比保护硬件更困难。与大型企业系统相比,资源有限的设备更是如此。
Tirias Research的首席分析师凯文•克鲁威尔(Kevin Krewell)表示:“软件不那么安全,而且需要更多的功能。”“硬件让它工作得更好,这就是为什么你看到加密处理器的密钥被保存在一个安全的位置。最近我们还看到了安全内存。Kilopass是一次性可编程的。Winbond也在做安全闪存。”
Marvell首席技术官吴子宁表示,虽然人们一直很关注“信任的根源”,但随着设备之间的连接越来越紧密,“信任链”正在逐步升级。他解释说,这包括从加密通信到芯片上和芯片之间更安全的连接。
在移动支付领域有帮助的是,操作系统和HCE客户端应用程序都相对智能。他们必须支持多层次的安全方法,这些方法已经由Visa和MasterCard在他们的HCE规范中开发和实现。
HCE安全的主要挑战在于它是在软件中。但是,在当今的HCE软件解决方案中,有四个关键指标可以保证HCE事务的安全性。它们是:
信件
虽然HCE技术上可能不像SE那样完全安全,但它已经足够安全,大银行和信用卡公司正在赶潮流。从商业角度来看,使用HCE而不是SE是有吸引力的,否则主要参与者不会采用它。
HCE将银行和生态系统中的其他机构从移动网络运营商的控制中解放出来。移动支付已经存在,而且只会越来越多,所以在移动支付领域存在竞争是有道理的。今天,在安全方面的小妥协似乎值得节省成本和多家供应商的选择,从而将无处不在的NFC移动支付技术推向最前沿。
附录A
资料来源:智能卡联盟
|
|
|
|
|
|
|
|
|
留下回复