基于可信服务管理(TSM)-HCE移动支付调研2014年10月29日

基于可信服务管理(TSM)-HCE移动支付调研
一、HCE技术介绍
1、HCE技术发展
2012年9月19日，SimplyTapp 在Android 第三方CyanogenMod 固件中实现主机卡模拟技术HCE
2013年11月1日，Google发布最新的Android4.4操作系统，支持主机卡模拟HCE
技术，目前已通过谷歌钱包将HCE应用到Nexus 5手机中，可支持Paypass。

2013年12月13日，美国连锁咖啡Tim Hortons 在北美4000多家门店推出基于HCE 的NFC支付应用
2014年2月17日，西班牙银行Bankinter发布基于HCE技术的虚拟卡手机钱包
2014年2月19日，Visa和万事达卡同时宣布将基于HCE技术推动云端移动支付
2014年2月20日，全球智能卡制造商ABnote与SimplyTapp合作，将HCE技术加入到其TSM平台中
2014年3月，NFC Forum发表声明，也支持HCE的发展，并表示支持其规范。

2、HCE技术简介
HCE（host-based card emulation），即基于主机的卡模拟。

在一部配备NFC功能的手机实现卡模拟，目前有两种方式：一种是基于硬件的，称为虚拟卡模式（Virtual Card Mode）；一种是基于软件的，被称为主机卡模式（Host Card Mode）。

在虚拟卡模式下，需要提供安全模块SE（Secure Elemen），SE提供对敏感信息的安全存储和对交易事务提供一个安全的执行环境。

NFC芯片作为非接触通讯前端，将从外部读写器接收到的命令转发到SE，然后由SE处理，并通过NFC控制器回复。

而在主机卡模式下，不需要提供SE，而是由在手机中运行的一个应用或云端的服务器完成SE的功能，此时NFC芯片接收到的数据由操作系统或发送至手机中的应用，或通过移动网络发送至云端的服务器来完成交互。

两种方式的特点都是绕过了手机内置的SE的限制。

二、NFC技术介绍
近场通信（Near Field Communication,NFC）是一种短距高频的无线电技术，由非接触式射频识别(RFID)演变而来。

NFC工作频率为13.56Hz，有效范围为20cm以内，其传输速度有106 Kbit/秒、212 Kbit/秒或者424 Kbit/秒三种。

NFC有3种工作模式：读卡器模式、点对点模式、卡模拟模式。

在读卡器模式时，NFC设备产生射频场从外部采用相同标准的NFC标签中读写数据。

在点对点模式中，NFC可以与其他的NFC设备通信，进行点对点的数据传输。

卡模拟模式中，读卡器是主动设备，产生射频场；NFC设备为被动设备，模拟一张符合NFC 标准的非接触式卡片与读卡器进行交互。

其中本文所讨论的HCE技术主要是用于卡模拟的模式。

三、移动支付卡模拟模式调研
1、基于安全模块的卡模拟
基于安全模块SE的传统卡模拟技术
当使用安全模块（SE）来提供卡模拟时，安全模块通过NFC芯片中的非接触前端与外部读写设备进行通信，数据的存储和处理都在安全模块中。

基于安全模块的卡模拟主要有三种解决方案，分别是NFC全终端方案、eNFC技术方案和NFC-SD技术方案。

（1）、NFC全终端方案是指将安全模块集成到手机终端的NFC方案，支持多安全域、多应用安全模块架构以及相应的管理技术，可在安全模块上划分不同的安全域以承载来自不同应用提供者的不同安全要求的各类应用，而且能保证各应用之间数据独立与数据安全。

优势：此方案中由于安全模块与手机集成，有效避免了机卡接口和机卡兼容性的问题劣势：安全芯片无法与手机终端分离，业务初始化、个人化、业务更新和管理不方便，用户更新手机时，所有业务需要重新转移到新手机，成本高，流程长。

（2）、eNFC技术方案是使用SIM/UIM卡作为安全模块的NFC技术方案，又被称为SWP （单线通信协议）方案或NFC-SIM方案。

用SIM/UIM卡作为安全模块，存储用户支付账户、密钥等敏感数据，运行支付应用，手机中的NFC控制器通过SWP（Single Wire Protocol）协
议与SIM/UIM卡通信。

优势：SIM/UIM卡是移动用户必不可少的身份识别模块，用户对SIM卡作为安全模块较容易接受，同时卡片和应用的发行及服务可以借助电信运营商的受理渠道，容易进行业务的推广。

此外，SIM卡与终端分离，用户更换手机不会影响移动支付业务的继续使用，灵活性更高。

劣势：eNFC方案还面临诸多困难，如专利、规范等，更重要的是，支持eNFC的手机终端很少，eNFC的产业链不成熟，该技术的商用还有较大障碍，目前还没有非常典型的商用案例。

（3）、NFC-SD技术方案是使用移动终端智能SD卡作为安全模块的NFC技术。

其方案与eNFC方案类似，智能SD卡与NFC控制器芯片之间也采用SWP协议连接，可实现卡模拟、读卡器和点对点通信三种工作模式。

优势：采用NFC-SD方案服务提供商（Service Provider，SP）可以自行发行SD卡，这样就能独立于电信运营商发展NFC业务，因此金融机构做主导时更愿意采用这种方式。

劣势：SD卡方案需要支持SWP-SD方案的手机支持，而市面上相关款式的机型太少。

另外一张SD卡一般只能支持一个SP的服务，如果用户希望能使用多种服务的话，还必须在不同的SD卡中间切换，切换过程繁琐且成本偏高。

尽管NFC-SD方案被中国银联定为其移动现场支付标准，但NFC-SD卡方案被证明是比较难于实施的。

2、基于主机的卡模拟(HCE)
基于主机的卡模拟技术
使用基于主机的卡模拟时（HCE），NFC控制器从外部读写终端接收到的数据将直接被发送到主机系统上，而不是安全模块。

2013年11月1日，Google发布了最新的Android4.4系统，这其中提到了一个NFC的新技术，即HCE（Host Card Emulation）。

HCE技术，不仅仅在于这项令人耳目一新的新技术本身，更在于它让业界的所有人看到了一种脱离安全载体（SE）而部署NFC的可能性。

HCE
技术对第三方的服务提供商（SP）意义重大，它使得SP们可以将自己的服务在更短时间内以更低的开发成本推向市场，而用户也可以更方便的使用多个SP提供的服务。

HCE技术可以在不需要安全载体的情况下，由NFC控制器将智能卡指令数据通知到应用处理器（Application Processor），并由操作系统通知到制定的手机应用。

优势：无SE兼容性问题，部署成本低，兼容存量非接POS，应用方不再受发行方限制。

劣势：安全问题有待解决。

四、HCE安全性调研分析
HCE技术只是实现了将NFC读卡器的数据送至操作系统的HCE服务或者将回复数据返回给NFC读卡器，而对于数据的处理和敏感信息的存储则没有具体实现细，所以说到底HCE 技术是模拟NFC和SE通信的协议和实现。

但是HCE并没有实现SE，只是用NFC与SE通信的方式告诉NFC读卡器后面有SE的支持，从而以虚拟SE的方式完成NFC业务的安全保证。

既然没有SE，那么HCE用什么来充当SE呢，解决方案要么是本地软件的模拟，要么是云端服务器的模拟。

对于本地软件模拟SE的方案，用户敏感信息及交易数据存放在本地。

交易过程和数据存储由操作系统管理，这提供了一种基本的安全保障机制（如操作系统可以将每个程序运行在一个沙箱（sandbox）里，这样可以防止一个应用程序访问其他应用的数据）。

但是Android 系统的安全性本来就很差，所以这种安全保证是非常脆弱的。

当一部Android手机被Root 之后，用户可以取得系统的最高权限，这样基本上就可以为所欲为了。

相较于传统的基于SE的NFC方案，HCE技术可能面临以下的风险：
1. 用户可以对终端进行Root操作，通过Root用户可以取得所有储存在应用中的信息，包括类似于支付凭证之类的敏感数据,这些都是服务提供商所不愿看到的，因为这也给了恶意软件获取敏感信息的可乘之机。

从统计数量上来说，只有很少一部分的安卓终端进行了Root操作，但是这仍然意味着数百万级别的终端数量。

2. 恶意软件可以自行Root操作系统。

对于前期安卓系统来说，由于存在着一些漏洞，导致不少的恶意软件可以直接Root系统。

虽然这些漏洞看起来影响范围不是特别的大(比如如果用户不安装未知来源的安卓软件就不会有这个问题)，但是这仍然是一个需要考虑的问题。

安卓系统的一个已知漏洞的弥补是很难的，这是因为安卓系统冗长的更新过程，需要花费很长的时间才能使得市面上的大部分终端都更新到最新的系统版本。

如果在支持HCE的系统版本中也出现了缺陷，也需要花费足够长的时间去解决现有终端上的缺陷问题。

3. 如果手机丢失或者被盗取，一个恶意用户可以Root终端或者通过其它方式访问终端的存储系统，并且获取各种存储于应用中的信息。

这可能带来致命的问题，比如恶意用户可以使用这些敏感数据去完成一些伪卡的交易。

由此可见Android系统提供的安全保障机制非常有限，一旦被Root这种机制就荡然无存。

提高HCE技术的安全性可以从两个方面来考虑，一个是提供一个更安全的存储敏感信息的位置，另外一个就是提供更安全的机制来保证这个位置的信息的安全性。

另外，HCE服务虽然运行在Android系统上，但SP可以要求将敏感信息存储和处理放在在一个更安全的位置。

方案一：HCE+物理SE
方案二：HCE+云端SE
方案三：HCE+Token管理
方案四：HCE+TEE
四种方案需解决的问题：
HCE+物理SE:无统一标准，比传统的基于SE方案复杂，也需对SE重新注册等。

HCE+云端SE:受制于通信网络，交易速度慢。

HCE+Token管理:无统一标准，产业链尚未建立，业务模式需要被认可。

HCE+TEE:无统一的标准，双系统对手机性能、硬件等是考验。

五、HCE技术对产业链的影响和发展趋势展望调研
对产业链的影响：
HCE将有利于缩短NFC产业链，有利于解决NFC困局，有利于SP（Service Provider）服务快速部署。

对传统的运营商、卡商和TSM提供商来说，HCE是一个挑战，应加快产品服务升级转型，适应、引导新技术的发展。

对SP来说，有利于加快NFC服务部署，降低发卡也交易成本，但应权衡其与安全之间关系。

对支付组织来说，应协调好各参与方的责任，加强风险管理，统一标准。

发展趋势展望：
目前的HCE更适合闭环应用，HCE结合各种安全技术有望实现开环支付。

基于HCE的技术标准将会得到发展，通过云服务，TOKEN等手段来打造安全的HCE开环支付服务将成为主流。

综上，可分析出，HCE技术提供了一种安全性稍差，但是部署起来非常方便的NFC服务解决方案。

HCE技术在未来的发展中能否登堂入室，首先要看Visa、Master、银联等金融机构是否能够解决本地软件、远程云端SE的安全问题。

其次要看用户更方便的体验上，这也是推广HCE移动支付的重要因素。

未来应用场景分析：
模拟公交卡、模拟地铁卡、模拟银行电子现金(零售商店电子现金支付)、模拟小区门禁卡、员工卡、会员卡、电子门票等NFC刷卡场景。

参考资料:
基于HCE的移动支付研究.doc
HCE近场支付解决方案.pptx
HCE技术展望.pdf
HCE技术或将成为移动支付发展转折点(/iot/market/275372.html)
附表一：
目前存在的移动支付方案一览表。