解析HCE的機(jī)遇與挑戰(zhàn),探視國(guó)內(nèi)的未來(lái)發(fā)展
愛(ài)迪德公司的資深研究員張凡博士
近期消息稱,微軟將為支持NFC的WP設(shè)備提供Tap to Pay,并且將為Win10手機(jī)帶來(lái)HCE的支持。Visa此前也宣布將為更多銀行推出HCE服務(wù),谷歌更是傳言要推出基于HCE的Android Pay移動(dòng)支付API。而在國(guó)內(nèi)工行正計(jì)劃推出HCE移動(dòng)支付服務(wù)、銀聯(lián)總裁也曾豪言將積極探索基于云端的HCE技術(shù)。HCE在繼14年成為移動(dòng)支付產(chǎn)業(yè)的年度熱詞之后,今年再度成為關(guān)注焦點(diǎn)。
移動(dòng)互聯(lián)網(wǎng)時(shí)代的創(chuàng)新帶來(lái)了移動(dòng)支付的創(chuàng)新,而隨著移動(dòng)支付的興起,銀行卡、POS機(jī)、NFC等相關(guān)產(chǎn)業(yè)也迅速發(fā)展,HCE便是這個(gè)創(chuàng)新時(shí)代的產(chǎn)物。
其實(shí)從谷歌在2013年底推出HCE技術(shù)以來(lái)便受到了廣大卡組織、銀行以及移動(dòng)支付運(yùn)營(yíng)商的關(guān)注,不依賴于SE安全元件、不受制于電信運(yùn)營(yíng)商和手機(jī)廠商、通過(guò)APP就能模擬智能卡,這讓很多人看到了它的便捷性和實(shí)用性,但是同樣它也面臨著很多的問(wèn)題。那么到底HCE所帶來(lái)的機(jī)遇和挑戰(zhàn)是什么呢?它在國(guó)內(nèi)的發(fā)展情況如何呢?移動(dòng)支付網(wǎng)非常有幸邀請(qǐng)到了愛(ài)迪德公司的資深研究員張凡博士,通過(guò)對(duì)他的專訪我們一起來(lái)了解HCE技術(shù)的發(fā)展和前景。
HCE的發(fā)展和環(huán)境
記者:谷歌自從2013年年末發(fā)布HCE以來(lái),引起了Visa萬(wàn)事達(dá)等各大卡組織的重視,那么國(guó)內(nèi)的HCE發(fā)展情況又是怎樣的呢?
張凡:在HCE之前,NFC交易主要通過(guò)使用SE來(lái)執(zhí)行,而SE集成在移動(dòng)運(yùn)營(yíng)商發(fā)行的SIM卡里或者嵌入在移動(dòng)終端設(shè)備上。HCE代表了可以使移動(dòng)設(shè)備像銀行卡一樣進(jìn)行支付的一個(gè)新機(jī)會(huì),而不用大量的投資于TSM以同移動(dòng)運(yùn)營(yíng)商和手機(jī)廠商協(xié)商來(lái)獲得對(duì)手機(jī)上SE的訪問(wèn)權(quán)限。無(wú)須依賴于特定的硬件,因?yàn)榘踩嚓P(guān)的數(shù)據(jù)可以有效的從云端獲取,HCE可以更快的推出新產(chǎn)品。雖然這樣,對(duì)于卡組織來(lái)說(shuō),由于安卓系統(tǒng)的開(kāi)放性HCE同時(shí)帶來(lái)了新的安全隱患,而這些安全隱患必須有辦法緩解。幸運(yùn)的是,這不是一個(gè)新問(wèn)題,通過(guò)利用在其它行業(yè)中目前已有的方法和技術(shù),例如在移動(dòng)設(shè)備上保護(hù)數(shù)字視頻和游戲,這些問(wèn)題可以容易的得到解決。廣電總局最近頒發(fā)了ChinaDRM第一稿,移動(dòng)運(yùn)營(yíng)商已經(jīng)利用了類似的技術(shù)保護(hù)手機(jī)游戲。人民銀行金融電子化公司正在研究2種移動(dòng)支付標(biāo)準(zhǔn)化途徑,包括SE+TSM模式和HCE+Cloud模式。中國(guó)銀聯(lián)正在建設(shè)HCE云端服務(wù)平臺(tái),并積極探索基于HCE的支付業(yè)務(wù)。工商銀行也在聯(lián)手Visa計(jì)劃推出HCE移動(dòng)支付服務(wù)。這些活動(dòng)顯示了HCE相關(guān)的技術(shù)、標(biāo)準(zhǔn)和業(yè)務(wù)在國(guó)內(nèi)的發(fā)展已經(jīng)起步。
記者:那么,國(guó)內(nèi)銀行對(duì)HCE的態(tài)度是怎樣的?您估計(jì)什么時(shí)候,國(guó)內(nèi)的用戶能夠接觸HCE的支付方式?
張凡:對(duì)銀行來(lái)說(shuō)有非常多的好處來(lái)?yè)肀CE。HCE是一個(gè)以支付服務(wù)提供商為中心的模型,而非移動(dòng)運(yùn)營(yíng)商、手機(jī)廠商或者商戶。這可以更方便的進(jìn)行更多的支付來(lái)提升用戶滿意度,而用戶總是希望服務(wù)非常便捷并符合他們的需求。很容易想像銀行會(huì)積極的試驗(yàn)這一技術(shù),從試驗(yàn)到完整的實(shí)施通常需要1年時(shí)間。隨著安卓智能手機(jī)在中國(guó)市場(chǎng)的滲透增長(zhǎng),HCE很可能在2015年得到更多的關(guān)注和看到更多的商用試驗(yàn)。Visa、MasterCard和工商銀行已經(jīng)為國(guó)內(nèi)的銀行做出了很好的示范。在過(guò)去幾年,我們國(guó)家的移動(dòng)金融創(chuàng)新非?;馃?,傳統(tǒng)銀行都面臨著互聯(lián)網(wǎng)公司的跨界競(jìng)爭(zhēng),他們期待開(kāi)發(fā)出更多用戶體驗(yàn)更好的創(chuàng)新產(chǎn)品,而HCE就是在你困的時(shí)候有人給你送的枕頭。
記者:您覺(jué)得,較之傳統(tǒng)的SE模式NFC支付,HCE有怎樣的應(yīng)用定位?二者哪個(gè)發(fā)展趨勢(shì)更好?為什么?
張凡:傳統(tǒng)的SE模式和HCE模式是卡模擬的不同方法,都提供了一觸即付的用戶體驗(yàn),但傳統(tǒng)的SE模式要求移動(dòng)運(yùn)營(yíng)商或者手機(jī)廠商提供的物理安全芯片。目前基于SIM卡的SE模式面臨著一些困難,你知道Softcard已經(jīng)賣(mài)給了Google。有了HCE,數(shù)字卡片發(fā)行商可以自己主導(dǎo)、發(fā)展和運(yùn)維所有的環(huán)節(jié)。SE模式?jīng)]有特別多的標(biāo)準(zhǔn)化,需要各方之間高度的合作,這些關(guān)系的成本對(duì)銀行來(lái)說(shuō)甚至高于SE的實(shí)施。HCE不需要額外的硬件,SE存儲(chǔ)在云端,而在云端可以提供很多的靈活性。如果SE受到威脅,必須有補(bǔ)救措施,而補(bǔ)救基于軟件的SE更容易。傳統(tǒng)的SE模式產(chǎn)業(yè)鏈更長(zhǎng)、成本更高、商業(yè)模式更復(fù)雜。
HCE的難點(diǎn)和問(wèn)題
記者:您認(rèn)為在國(guó)內(nèi)推廣HCE的難點(diǎn)是什么?商戶以及消費(fèi)者方面,HCE的推廣會(huì)遇到什么問(wèn)題?
張凡:在中國(guó)實(shí)施HCE的最大困難是大量的移動(dòng)設(shè)備還不能支持NFC和HCE,HCE需要安卓4.4或更高的版本。但是,這個(gè)問(wèn)題會(huì)隨時(shí)間快速消失,因?yàn)槲覀儑?guó)家的手機(jī)更新?lián)Q代非???。另一個(gè)問(wèn)題是HCE的標(biāo)準(zhǔn)化。雖然還沒(méi)有一個(gè)HCE的國(guó)際規(guī)范,但Visa和MasterCard都已經(jīng)定義了他們自己的基于云的支付平臺(tái)規(guī)范。國(guó)內(nèi)也需要盡快發(fā)布這樣一個(gè)行業(yè)規(guī)范。國(guó)內(nèi)的第一個(gè)HCE試驗(yàn)是工商銀行同Visa合作進(jìn)行的。
記者:由于HCE技術(shù)是通過(guò)終端上的應(yīng)用程序或者是云端服務(wù)器來(lái)實(shí)現(xiàn)卡模擬功能,這兩種方式并沒(méi)有真正實(shí)現(xiàn)SE,從安全性上來(lái)看與全終端及SWP-SIM卡模式相比有哪些風(fēng)險(xiǎn)?可以通過(guò)哪些方式加強(qiáng)其安全性?
張凡:在HCE中,SE可以理解為存儲(chǔ)在云端,這需要軟件安全來(lái)認(rèn)證設(shè)備、應(yīng)用和相關(guān)的數(shù)據(jù),以及軟件中受限使用的密鑰,而這些密鑰有生存期可以減少密鑰泄露的風(fēng)險(xiǎn)。游戲和視頻播放產(chǎn)業(yè)已經(jīng)建立起健壯的平臺(tái)來(lái)解決出現(xiàn)在軟件中的脆弱性問(wèn)題,已經(jīng)開(kāi)發(fā)的很多核心技術(shù)都和移動(dòng)支付生態(tài)系統(tǒng)相關(guān)。這些技術(shù)已經(jīng)證明了可經(jīng)受時(shí)間考驗(yàn),比純硬件的系統(tǒng)成本低廉又實(shí)施簡(jiǎn)單。事實(shí)上一些基于云的HCE支付規(guī)范和國(guó)際的商用試驗(yàn)明確的建議了白箱密碼技術(shù)和軟件安全對(duì)增強(qiáng)應(yīng)用的安全性是非常關(guān)鍵的。愛(ài)迪德是全球領(lǐng)先的軟件安全和內(nèi)容保護(hù)技術(shù)的提供商。
HCE的機(jī)遇和挑戰(zhàn)
記者:HCE的快速發(fā)展,能夠給哪些產(chǎn)業(yè)角色帶來(lái)怎樣的機(jī)遇?
張凡:HCE給銀行和商戶帶來(lái)巨大的靈活性和新的機(jī)會(huì),使他們能夠給其客戶提供更好的服務(wù)。不同于簡(jiǎn)單的銀行卡,他們可以和其客戶的移動(dòng)設(shè)備進(jìn)行交互并創(chuàng)建更多的用戶忠誠(chéng)度。HCE還能繁榮NFC產(chǎn)業(yè)鏈、生物認(rèn)證技術(shù)和軟件安全技術(shù)。
記者:HCE一直被認(rèn)為是支付技術(shù),但是卡模擬可以實(shí)現(xiàn)優(yōu)惠券、會(huì)員卡等功能,您覺(jué)得HCE除了在支付上的應(yīng)用,還有哪些行業(yè)有較大前景?
張凡:HCE技術(shù)可以安全的用于和任何類型客戶交互,有無(wú)數(shù)的應(yīng)用可以用到。今天所熟知的這種技術(shù)應(yīng)用包括銀行卡交易、充值交易、電商應(yīng)用、應(yīng)用內(nèi)支付、會(huì)員卡、優(yōu)惠券、跨零售商的促銷、公交支付等。一旦有了HCE,我們可以期待看到非常多的創(chuàng)新應(yīng)用基于它,例如個(gè)性化的廣告、交互式售貨亭、NFC設(shè)備之間的貨幣和信息交換。身份識(shí)別也是一個(gè)非常有前途的應(yīng)用場(chǎng)景,例如已經(jīng)有很多NFC門(mén)鎖,可能是家里的、辦公室的或者賓館的??梢韵胂衲阋诰€預(yù)留了一個(gè)賓館房間,下載一個(gè)基于HCE的應(yīng)用程序并完成個(gè)性化,然后你的手機(jī)就可以成為你的賓館房間鑰匙。再舉個(gè)例子,基于QR碼的身份識(shí)別也可以被安全的替代,想像下你注冊(cè)一個(gè)會(huì)議或展會(huì),而你的NFC手機(jī)成為了入場(chǎng)券。
記者:公交和地鐵應(yīng)用領(lǐng)域,需要很快的反應(yīng)時(shí)間,HCE模式能否滿足,還是還要靠SE模式?
張凡:HCE可以支持地鐵公交。雖然SE在云端,刷卡操作時(shí),手機(jī)并不需要與云端通信,而是利用預(yù)存儲(chǔ)的受限使用的密鑰或者Token進(jìn)行交易授權(quán)認(rèn)證,和SE模式的主要區(qū)別在于密鑰的操作是軟件完成,但都在本地完成。預(yù)存儲(chǔ)的密鑰或者Token通常有較短的生存期,減輕泄露引起的攻擊,并在數(shù)量不足時(shí)云端可以對(duì)其進(jìn)行填充。軟件進(jìn)行加密解密也是非常迅速的,只要這些密鑰的安全能得到保障,這通常需要白箱密碼算法。另外,在一些基于云的HCE規(guī)范中,在過(guò)閘機(jī)時(shí)移動(dòng)應(yīng)用需要進(jìn)行脫機(jī)數(shù)據(jù)認(rèn)證,閘機(jī)存儲(chǔ)有脫機(jī)數(shù)據(jù)認(rèn)證相關(guān)的數(shù)字證書(shū),整個(gè)過(guò)程無(wú)須立刻獲得支付網(wǎng)絡(luò)的聯(lián)機(jī)授權(quán),這節(jié)省了支付網(wǎng)絡(luò)的延時(shí),完全可以支持乘客快速的通過(guò)閘機(jī)。
結(jié)語(yǔ)
目前,移動(dòng)支付伴隨著Apple Pay的出現(xiàn)以及移動(dòng)互聯(lián)網(wǎng)的發(fā)展可以說(shuō)進(jìn)入到了一個(gè)鼎盛時(shí)期,無(wú)論是銀行、商戶、運(yùn)營(yíng)商還是手機(jī)廠商、互聯(lián)網(wǎng)公司都在全力布局移動(dòng)支付的場(chǎng)景,而HCE技術(shù)被認(rèn)為是真正適合移動(dòng)支付普及的解決方案。通過(guò)本次專訪我們也了解到了HCE目前雖然有很好的發(fā)展前景,但是同時(shí)面臨著比較大的挑戰(zhàn),無(wú)論是NFC手機(jī)的普及程度問(wèn)題,還是HCE的安全性問(wèn)題。而同樣我們也看到了曙光,隨著Token技術(shù)以及各種軟件安全技術(shù)的發(fā)展,HCE的安全性將會(huì)得到有效地保證,移動(dòng)支付甚至其它相關(guān)產(chǎn)業(yè)也將會(huì)更好地發(fā)展。