- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
爱迪德张凡:解析HCE的机遇与挑战,探视国内的未来发展
近期消息称,微软将为支持NFC的WP设备提供Tap to Pay,并且将为Win10手机带来HCE的支持。Visa此前也宣布将为更多银行推出HCE服务,谷歌更是传言要推出基于HCE的Android Pay移动支付API。而在国内工行正计划推出HCE移动支付服务、银联总裁也曾豪言将积极探索基于云端的HCE技术。HCE在继14年成为移动支付产业的年度热词之后,今年再度成为关注焦点。
移动互联网时代的创新带来了移动支付的创新,而随着移动支付的兴起,银行卡、POS机、NFC等相关产业也迅速发展,HCE便是这个创新时代的产物。
其实从谷歌在2013年底推出HCE技术以来便受到了广大卡组织、银行以及移动支付运营商的关注,不依赖于SE安全元件、不受制于电信运营商和手机厂商、通过APP就能模拟智能卡,这让很多人看到了它的便捷性和实用性,但是同样它也面临着很多的问题。那么到底HCE所带来的机遇和挑战是什么呢?它在国内的发展情况如何呢?移动支付网非常有幸邀请到了爱迪德公司的资深研究员张凡博士,通过对他的专访我们一起来了解HCE技术的发展和前景。
爱迪德公司的资深研究员张凡博士
HCE的发展和环境
《移动支付网》:谷歌自从2013年年末发布HCE以来,引起了Visa万事达等各大卡组织的重视,那么国内的HCE发展情况又是怎样的呢?
张凡:在HCE之前,NFC交易主要通过使用SE来执行,而SE集成在移动运营商发行的SIM卡里或者嵌入在移动终端设备上。HCE代表了可以使移动设备像银行卡一样进行支付的一个新机会,而不用大量的投资于TSM以同移动运营商和手机厂商协商来获得对手机上SE的访问权限。无须依赖于特定的硬件,因为安全相关的数据可以有效的从云端获取,HCE可以更快的推出新产品。虽然这样,对于卡组织来说,由于安卓系统的开放性HCE同时带来了新的安全隐患,而这些安全隐患必须有办法缓解。幸运的是,这不是一个新问题,通过利用在其它行业中目前已有的方法和技术,例如在移动设备上保护数字视频和游戏,这些问题可以容易的得到解决。广电总局最近颁发了ChinaDRM第一稿,移动运营商已经利用了类似的技术保护手机游戏。人民银行金融电子化公司正在研究2种移动支付标准化途径,包括SE+TSM模式和HCE+Cloud模式。中国银联正在建设HCE云端服务平台,并积极探索基于HCE的支付业务。工商银行也在联手Visa计划推出HCE移动支付服务。这些活动显示了HCE相关的技术、标准和业务在国内的发展已经起步。
《移动支付网》:那么,国内银行对HCE的态度是怎样的?您估计什么时候,国内的用户能够接触HCE的支付方式?
张凡:对银行来说有非常多的好处来拥抱HCE。HCE是一个以支付服务提供商为中心的模型,而非移动运营商、手机厂商或者商户。这可以更方便的进行更多的支付来提升用户满意度,而用户总是希望服务非常便捷并符合他们的需求。很容易想像银行会积极的试验这一技术,从试验到完整的实施通常需要1年时间。随着安卓智能手机在中国市场的渗透增长,HCE很可能在2015年得到更多的关注和看到更多的商用试验。Visa、MasterCard和工商银行已经为国内的银行做出了很好的示范。在过去几年,我们国家的移动金融创新非常火热,传统银行都面临着互联网公司的跨界竞争,他们期待开发出更多用户体验更好的创新产品,而HCE就是在你困的时候有人给你送的枕头。
《移动支付网》:您觉得,较之传统的SE模式NFC支付,HCE有怎样的应用定位?二者哪个发展趋势更好?为什么?
张凡:传统的SE模式和HCE模式是卡模拟的不同方法,都提供了一触即付的用户体验,但传统的SE模式要求移动运营商或者手机厂商提供的物理安全芯片。目前基于SIM卡的SE模式面临着一些困难,你知道Softcard已经卖给了Google。有了HCE,数字卡片发行商可以自己主导、发展和运维所有的环节。SE模式没有特别多的标准化,需要各方之间高度的合作,这些关系的成本对银行来说甚至高于SE的实施。HCE不需要额外的硬件,SE存储在云端,而在云端可以提供很多的灵活性。如果SE受到威胁,必须有补救措施,而补救基于软件的SE更容易。传统的SE模式产业链更长、成本更高、商业模式更复杂。
HCE的难点和问题
《移动支付网》:您认为在国内推广HCE的难点是什么?商户以及消费者方面,HCE的推广会遇到什么问题?
张凡:在中国实施HCE的最大困难是大量的移动设备还不能支持NFC和HCE,HCE需要安卓4.4或更高的版本。但是,这个问题会随时间快速消失,因为我们国家的手机更新换代非常快。另一个问题是HCE的标准化。虽然还没有一个HCE的国际规范,但Visa和MasterCard都已经定义了他们自己的基于云的支付平台规范。国内也需要尽快发布这样一个行业规范。国内的第一个HCE试验是工商银行同Visa合作进行的。
《移动支付网》:由于HCE技术是通过终端上的应用程序或者是云端服务器来实现卡模拟功能,这两种方式并没有真正实现SE,从安全性上来看与全终端及SWP-SIM卡模式相比有哪些风险?可以通过哪些方式加强其安全性?
张凡:在HCE中,SE可以理解为存储在云端,这需要软件安全来认证设备、应用和相关的数据,以及软件中受限使用的密钥,而这些密钥有生存期可以减少密钥泄露的风险。游戏和视频播放产业已经建立起健壮的平台来解决出现在软件中的脆弱性问题,已经开发的很多核心技术都和移动支付生态系统相关。这些技术已经证明了可经受时间考验,比纯硬件的系统成本低廉又实施简单。事实上一些基于云的HCE支付规范和国际的商用试验明确的建议了白箱密码技术和软件安全对增强应用的安全性是非常关键的。爱迪德是全球领先的软件安全和内容保护技术的提供商。
HCE的机遇和挑战
《移动支付网》:HCE的快速发展,能够给哪些产业角色带来怎样的机遇?
张凡:HCE给银行和商户带来巨大的灵活性和新的机会,使他们能够给其客户提供更好的服务。不同于简单的银行卡,他们可以和其客户的移动设备进行交互并创建更多的用户忠诚度。HCE还能繁荣NFC产业链、生物认证技术和软件安全技术。
《移动支付网》:HCE一直被认为是支付技术,但是卡模拟可以实现优惠券、会员卡等功能,您觉得HCE除了在支付上的应用,还有哪些行业有较大前景?
张凡:HCE技术可以安全的用于和任何类型客户交互,有无数的应用可以用到。今天所熟知的这种技术应用包括银行卡交易、充值交易、电商应用、应用内支付、会员卡、优惠券、跨零售商的促销、公交支付等。一旦有了HCE,我们可以期待看到非常多的创新应用基于它,例如个性化的广告、交互式售货亭、 NFC设备之间的货币和信息交换。身份识别也是一个非常有前途的应用场景,例如已经有很多NFC门锁,可能是家里的、办公室的或者宾馆的。可以想像你要在线预留了一个宾馆房间,下载一个基于HCE的应用程序并完成个性化,然后你的手机就可以成为你的宾馆房间钥匙。再举个例子,基于QR码的身份识别也可以被安全的替代,想像下你注册一个会议或展会,而你的NFC手机成为了入场券。
《移动支付网》:公交和地铁应用领域,需要很快的反应时间,HCE模式能否满足,还是还要靠SE模式?
张凡:HCE可以支持地铁公交。虽然SE在云端,刷卡操作时,手机并不需要与云端通信,而是利用预存储的受限使用的密钥或者Token进行交易授权认证,和SE模式的主要区别在于密钥的操作是软件完成,但都在本地完成。预存储的密钥或者Token通常有较短的生存期,减轻泄露引起的攻击,并在数量不足时云端可以对其进行填充。软件进行加密解密也是非常迅速的,只要这些密钥的安全能得到保障,这通常需要白箱密码算法。另外,在一些基于云的HCE规范中,在过闸机时移动应用需要进行脱机数据认证,闸机存储有脱机数据认证相关的数字证书,整个过程无须立刻获得支付网络的联机授权,这节省了支付网络的延时,完全可以支持乘客快速的通过闸机。
结语
目前,移动支付伴随着Apple Pay 的出现以及移动互联网的发展可以说进入到了一个鼎盛时期,无论是银行、商户、运营商还是手机厂商、互联网公司都在全力布局移动支付的场景,而HCE技术被认为是真正适合移动支付普及的解决方案。通过本次专访我们也了解到了HCE目前虽然有很好的发展前景,但是同时面临着比较大的挑战,无论是NFC手机的普及程度问题,还是HCE的安全性问题。而同样我们也看到了曙光,随着Token技术以及各种软件安全技术的发展,HCE的安全性将会得到有效地保证,移动支付甚至其它相关产业也将会更好地发展。
推荐微信公众号,NFC日报:nfcdaily 移动支付网:mpaypass
NFC天线设计,13.56MHz RFID天线设计培训课程套装,让天线设计不再难
上一篇:电子现金、qPBOC、闪付、UPcash全面认识金融IC卡应用
下一篇:NFC支付还是云支付?场景+支付的模式才是正道