主機卡模擬
出自 MBA智库百科(https://wiki.mbalib.com/)
主機卡模擬(Host Card Emulation;HCE)
目錄 |
主機卡模擬即基於主機的卡模擬。在一部配備NFC功能的手機實現卡模擬,目前有兩種方式:一種是基於硬體的,稱為虛擬卡模式(Virtual Card Mode);一種是基於軟體的,被稱為主機卡模式(Host Card Mode)。
在虛擬卡模式下,需要提供安全模塊SE(Secure Elemen),SE提供對敏感信息的安全存儲和對交易事務提供一個安全的執行環境。NFC晶元作為非接觸通訊前端,將從外部讀寫器接收到的命令轉發到SE,然後由SE處理,並通過NFC控制器回覆。
而在主機卡模式下,不需要提供SE,而是由在手機中運行的一個應用或雲端的伺服器完成SE的功能,此時NFC晶元接收到的數據由操作系統或發送至手機中的應用,或通過移動網路發送至雲端的伺服器來完成交互。兩種方式的特點都是繞過了手機內置的SE的限制。
2013年10月31日,Google發佈了最新的Android4.4系統,其中提到了一個NFC的新技術,即HCE(Host Card Emulation),即手機可以不需要安全模塊的情況下實現移動支付,NFC讀卡器將通過NFC控制器直接與系統上的應用交互從而完成支付過程。NFC-SWP方案就是將SE安全元件嵌入在SIM卡中。而通過HCE功能,SIM中無需嵌入SE安全元件,HCE以虛擬SE的方式完成NFC業務的安全保障,從形式上告訴NFC讀卡器是有SE支持的。作為NFC的一種手機,HCE的最大優勢就是便捷性,它不需要用戶更新SIM卡,這無疑給NFC應用的快速發展提供了契機。如果HCE的方式推廣開來,對運營商來說,無疑是一個大的挑戰。SIM卡是運營商在NFC產業鏈條中占據重要位置的籌碼,如果繞開了SIM卡,等於運營商也被繞開。
隨著HCE的出現,支付行業的安全性向前邁進了一大步。在HCE誕生前,只存在兩種可能:一種是將證書存儲在手機中特製的SE安全晶元上。這便可以形成一個手機錢包,由SE提供與EMV卡類似的安全數據傳輸功能。另外一種可能是使用雲端的Card On Fire證書——其本質是將基本的支付信息存儲線上上。
HCE只需要通過軟體就可以模擬支付卡,這樣一來,就再也無需將完整的支付卡信息存儲在物理晶元上,因此不再需要使用SE晶元。這便終結了SE晶元所有權歸屬這一關鍵鬥爭,從而降低了該市場的進入門檻。
HCE技術只是實現了將NFC讀卡器的數據送至操作系統的HCE服務或者將回覆數據返回給NFC讀卡器,而對於數據的處理和敏感信息的存儲則沒有具體實現細,所以說到底HCE技術是模擬NFC和SE通信的協議和實現。但是HCE並沒有實現SE,只是用NFC與SE通信的方式告訴NFC讀卡器後面有SE的支持,從而以虛擬SE的方式完成NFC業務的安全保證。既然沒有SE,那麼HCE用什麼來充當SE呢,解決方案要麼是本地軟體的模擬,要麼是雲端伺服器的模擬。
對於本地軟體模擬SE的方案,用戶敏感信息及交易數據存放在本地。交易過程和數據存儲由操作系統管理,這提供了一種基本的安全保障機制(如操作系統可以將每個程式運行在一個沙箱(sand box)里,這樣可以防止一個應用程式訪問其他應用的數據)。但是Android系統的安全性本來就很差,所以這種安全保證是非常脆弱的。當一部Android手機被Root之後,用戶可以取得系統的最高許可權,這樣基本上就可以為所欲為了。
相較於傳統的基於SE的NFC方案,HCE技術可能面臨以下的風險:
1.用戶可以對終端進行Root操作,通過Root用戶可以取得所有儲存在應用中的信息,包括類似於支付憑證之類的敏感數據,這些都是服務提供商所不願看到的,因為這也給了惡意軟體獲取敏感信息的可乘之機。從統計數量上來說,只有很少一部分的安卓終端進行了Root操作,但是這仍然意味著數百萬級別的終端數量。
2.惡意軟體可以自行Root操作系統。對於前期安卓系統來說,由於存在著一些漏洞,導致不少的惡意軟體可以直接Root系統。雖然這些漏洞看起來影響範圍不是特別的大(比如如果用戶不安裝未知來源的安卓軟體就不會有這個問題),但是這仍然是一個需要考慮的問題。安卓系統的一個已知漏洞的彌補是很難的,這是因為安卓系統冗長的更新過程,需要花費很長的時間才能使得市面上的大部分終端都更新到最新的系統版本。如果在支持HCE的系統版本中也出現了缺陷,也需要花費足夠長的時間去解決現有終端上的缺陷問題。
3.如果手機丟失或者被盜取,一個惡意用戶可以Root終端或者通過其它方式訪問終端的存儲系統,並且獲取各種存儲於應用中的信息。這可能帶來致命的問題,比如惡意用戶可以使用這些敏感數據去完成一些偽卡的交易。
由此可見Android系統提供的安全保障機制非常有限,一旦被Root這種機制就蕩然無存。提高HCE技術的安全性可以從兩個方面來考慮,一個是提供一個更安全的存儲敏感信息的位置,另外一個就是提供更安全的機制來保證這個位置的信息的安全性。
不可否認的一點是,HCE技術提供了一種安全性稍差但是部署起來非常方便的NFC服務解決方案。HCE技術對服務提供商而言至關重要,無需SE,剪除了不少NFC支付利益方糾葛,因此他們會是HCE技術的堅決支持者。據最新的消息,萬事達卡(Master Card)已正式宣佈將推出適用於HCE技術的NFC規範,而Visa則將在Visa Ready Program中加入HCE支付應用的支持特色。而NFC論壇也表態力挺HCE技術,其旗下多種標準已支持HCE技術,包括NFC控制器介面(NCI)規範,該標準結合國際標準組織(ISO)14443及日本工業標準(JIS)X6319-4等。NFC論壇指出,現在多個產業團體陸續啟動NFC服務,而HCE技術將十分有希望成為加速整體NFC市場成長的潛在因素,因此NFC論壇將持續追蹤HCE技術新的開發動態並持續透過標準開發工作回應市場需求。Google公司也是大力推動HCE技術的重要角色,在其最新的Nexus5智能手機當中,已經應用HCE技術到谷歌錢包中,搭配安卓4.4系統,無需SE安全元件就可以進行Pay Pass交易。
HCE技術面臨的最大難題還是其安全性問題。無論是本地軟體還是雲端SE的方案,都沒有硬體級別的安全性高。對於金融級別的移動支付,HCE技術最可行的解決方案還是基於雲端SE的方法,將支付數據存儲在雲端並且採用一些技術(如Token或者非對稱密鑰等)確保從HCE Host到雲端伺服器的數據傳輸通道是安全的,HCE的安全性是可以得到提高和增強的。所以在金融業務方面,HCE技術能否登堂入室,首先要看Visa、Master、銀聯等金融機構是否能夠解決本地軟體、遠程雲端SE的安全問題。目前,國內有個別運營商和銀行在小規模試用類似HCE的技術手段,希望推動移動支付的發展,但是否能夠成為標準,形成規模,還需要時間考驗。
雖然在金融級別的移動支付方面前景還不太明朗,但是對於像會員卡、優惠券、電子票等低價值的閉環支付方面HCE技術還是有很大的發揮餘地的。這些類型的NFC應用安全要求不像賬戶中有大量資金的銀行類支付業務,雖然需要對用戶身份、憑證的安全性做出確認,避免假冒和偽造,但還未上升到金融業務的高度,因此如何在安全、便利和業務發展之間尋求平衡十分重要。谷歌HCE的出現為這些非金融支付類的O2O業務打開了一扇門,在一定程度上提供安全的模擬手段,經濟的解決SE的問題,為業務的蓬勃發展大有助力。服務供應商須評估、決定儲存安全憑據最好的方式,並清楚在不同的使用情境下不同的解決方案將各有優缺點,安全風險(Security Risk)與便利性間須有所取捨。
總之,HCE技術帶來的是一次變革,為NFC的發展和普及帶來了價值,同樣也帶來了一定的安全風險。移動支付中的安全問題至關重要,解決這個問題需要金融服務提供商、通信運營商和谷歌等方面建立起完備的安全機制。另外HCE的出現,對於傳統的卡廠、運營商來說都產生了一定的威脅和挑戰,能否實現產業的共贏,亦是產業各方需要去權衡和考慮的。
分析透徹~