- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
Bell ID技术顾问谈HCE 权衡安全与便利
自从谷歌在去年推出安卓4.4支持HCE之后,整个NFC产业随之动摇,许多原有的产业价值观开始发生改变,这给银行、运营商、服务提供商在移动服务领域的发展,带来许多机遇和挑战,比如支付、交通、忠诚度计划等,而对于HCE,很多人还是聚焦于安全性的担忧,认为这将限制技术的发展。
许多人认为,HCE较之拥有物理SE安全元件的NFC技术来说安全性更低,这仅仅是角度的问题。据一卡通世界网了解,HCE技术是将原来储存在物理SE的信息,以云端平台替代。通过从云端下载许可证来进行POS的交易。任何侵害安全的动作,仅仅是一个或者有限数量的许可证,而不是账号本身,HCE本身就是小额交易,对于黑客来说,侵入付出的努力与获得的回报不等,不如投入精力到其他金融犯罪当中。
许多发卡商也正在对HCE进行风险以及收益方面的评估,每一个许可令牌的价值非常低,所以这是否需要一个很高的安全等级是值得考虑的。就好比是你的房子与银行,保护的价值不一样,安全等级也不一样。
当然,安全也是重要的,HCE在没有硬件方面保障的情况下,可以增加别的安全技术,比如白箱密码(white box cryptography)、关键数据模糊技术、TrustZone技术甚至未来可以在设备之间进行交互的安全设置,服务器(分层)加密、相互认证和使用双通道等。
HCE可以带来诸多利益,比如说让商业模式更加的简单,流程更加的快速有力,信息的储存更大,整个项目的控制力更好等。在谷歌推出HCE之后,一些观察者认为,基于卡的服务提供商们将因为巨大的安全隐患而对该技术置之不理,但据一卡通世界网了解,今年2月,Visa和万事达的积极态度,完全的否认了这样的担忧。卡组织都摒弃了原来的卡计划,来支持云支付。
我不认为安全是不必要或者不重要的,但是安全的同时,便捷也需要兼顾平衡,过多的聚焦安全将限制功能,这将降低消费者体验。
一般来说,越多的安全措施,对用户的友好程度就越低,发卡方需要考虑的是在持卡人认证方法(CVM)当中,尽量简化认证流程。如果在非接触支付当中加入PIN码验证,那么这个用户体验将是噩梦级的,这可能是在解锁手机输入PIN,也可能是输入PIN进入金融和支付APP,输入PIN允许交易等,如果POS是旧式的,还需要在POS上输入密码。tap and go非接触技术是用户期待的,PIN只有在高于一定额度是才需要键入。
发卡方需要在安全、便利两方面找一个权衡,接受一定的风险同时考虑对用户的友好度。
发卡方仍然考虑HCE太不安全,Bell ID认为最终会有一个混合方案,结合云端和物理SE的优势于设备之中。
无论如何,银行已经意识到,较之HCE存在的风险,该技术能给银行带来更多的机遇,银行更愿意在风险有限的情况下,推行非接触支付技术。对于HCE的争论在未来数月还将持续,更多的服务提供者将作出HCE的相关动作。
原文作者:Robert Wessels ,Bell ID技术销售顾问。
AD:推荐微信公众号,NFC日报:nfcdaily 移动支付网:mpaypass 您值得拥有!