嵌入式系統中的銀行支付令牌和HCE技術(shù)簡(jiǎn)介

摘要：分析了銀行支付令牌和HCE技術(shù)的原理;在此基礎上，介紹了安全對比。最后提出了硬件安全的重要性。

　　令牌為實(shí)現Apple Pay等新的支付方式創(chuàng )造了條件。本文將從安全的角度對支付令牌和主機卡模擬(HCE)技術(shù)進(jìn)行比較和介紹。

　　和大多數其他智能卡芯片一樣，支付卡芯片存儲有受保護和不受保護的數據。受保護數據是內部用于生成密碼的加密密鑰。發(fā)卡銀行在支付交易進(jìn)行時(shí)或完成后要驗證這些密碼，以確定卡上數據及支付卡是真實(shí)的。

　　不受保護數據存儲在卡上的檔案里，商戶(hù)的支付終端及任何熟悉檔案結構的人都能訪(fǎng)問(wèn)。這些數據在芯片上不受保護，因為它們要讓商戶(hù)和網(wǎng)絡(luò )可以訪(fǎng)問(wèn)。銀行卡號——也稱(chēng)PAN(私人賬號)——就是不受保護數據的一個(gè)例子。其他例子還有銀行卡有效期、首選語(yǔ)言或產(chǎn)品名稱(chēng)等。比如，在網(wǎng)絡(luò )中，PAN被用于將交易發(fā)送給發(fā)卡銀行以獲取授權。這時(shí)潛在的銀行卡竊賊即可用任何方式訪(fǎng)問(wèn)數據，因為它們大多數都印刷在卡上面或是包含在磁條數據中。

一旦上網(wǎng)，銀行卡數據就有危險了

　　只要這些不受保護的數據留存在你實(shí)體錢(qián)夾里的銀行卡上，你就沒(méi)什么好擔心的。一旦上網(wǎng)，銀行卡數據就有危險了。比如，你在網(wǎng)購時(shí)用銀行卡付款或者將銀行卡數據添加到手機錢(qián)包都會(huì )導致銀行卡數據暴露到網(wǎng)上。再比如，向利用聯(lián)網(wǎng)系統處理銀行卡數據的商家付款時(shí)，你的銀行卡數據也會(huì )上網(wǎng)。在所有這些情況下，黑客都可趁機大量收集銀行卡數據。然后，詐騙分子即可利用這些被盜的銀行卡數據偽造磁條卡或者在商家不驗證有無(wú)實(shí)體卡的網(wǎng)店購物。這類(lèi)事件在報紙上屢見(jiàn)不鮮，常被稱(chēng)為“銀行卡盜刷”。美國零售商“Target”在2013年末遭遇的一次大規模銀行卡數據泄露事件是最突出的一個(gè)例子。

令牌是包含密碼等其他數據在內的一個(gè)替代卡號

　　為了防止那些銀行卡數據泄露事件，Visa、萬(wàn)事達和美國運通等支付網(wǎng)絡(luò )已推出一種所謂的令牌化技術(shù)。令牌化就是用一個(gè)替代卡號取代銀行卡賬號(PAN)。連同令牌有效期、所用的支付渠道和密碼等其他數據一起，該替代卡號被稱(chēng)為“令牌”。乍一看，在銀行卡上徒增一個(gè)號碼好像沒(méi)什么意義，因為上述攻擊同樣可以在這個(gè)令牌號上進(jìn)行。然而區別在于，該令牌只供支付網(wǎng)絡(luò )進(jìn)行驗證，不直接發(fā)送給發(fā)卡銀行用于獲取支付授權。相反，令牌是被發(fā)送給支付網(wǎng)絡(luò )里的令牌服務(wù)提供商(TSP)。

　　TSP同時(shí)也是一個(gè)過(guò)濾器和防火墻。它將對令牌進(jìn)行驗證，比如驗證所用的支付渠道(在非接觸式芯片卡終端支付)或者令牌有效性。如果所用支付渠道不同(在網(wǎng)店或磁條卡終端支付)或者持卡人已將令牌作廢(如果手機丟失)，TSP可以直接拒絕交易。

　　只有通過(guò)所有驗證，TSP才將令牌與真正的銀行卡賬號比對后，再將其發(fā)送給發(fā)卡銀行獲取支付授權。如果發(fā)生銀行卡數據泄露，詐騙分子竊取的只是不能在網(wǎng)店支付或磁條卡終端支付等典型詐騙渠道使用的令牌。而且，如果令牌被發(fā)卡銀行或持卡人作廢，真正的銀行卡數據仍然有效。

ID&V確保令牌非詐騙分子創(chuàng )建

　　要想給一個(gè)信用卡賬號創(chuàng )建和獲取令牌，用戶(hù)必須完成一個(gè)所謂的“識別和驗證”(ID&V)安全流程。該流程可確保令牌非詐騙分子創(chuàng )建。比如，如果想向手機錢(qián)包添加銀行卡，你必須完成ID&V。ID&V包含發(fā)卡銀行規定的驗證項目。這種驗證就像登記卡號時(shí)進(jìn)行的在線(xiàn)賬號驗證一樣簡(jiǎn)單。其他發(fā)卡銀行可能要求用戶(hù)到當地分行登記個(gè)人信息。

只有生成的唯一密碼能授權使用令牌

　　務(wù)必要知道的是，在被持卡人或發(fā)卡銀行作廢之前，令牌不只適用于一次交易，而是在特定渠道上進(jìn)行的所有交易。然而，替代卡號或令牌有效期等靜態(tài)的令牌字段通常伴有密碼等用于驗證支付設備或持卡人的動(dòng)態(tài)的一次性數據。只有生成的唯一密碼能授權使用令牌和證明持卡人身份。

　　過(guò)去，近場(chǎng)通信(NFC)的非接觸式前端使手機通常與安全芯片直接相連。手機里的安全芯片也被稱(chēng)為“安全元件”(SE)。Apple Pay已采用該系統。完成ID&V后，令牌證書(shū)被一次性頒發(fā)給手機，保存在安全元件里。每次支付交易使用一個(gè)交易令牌。該交易令牌包含一個(gè)在安全元件里生成的動(dòng)態(tài)密碼。因此有人說(shuō)Apple Pay使用“動(dòng)態(tài)令牌”。

　　將于2015年底推出的Android Pay將使用主機卡模擬(HCE)技術(shù)。HCE不需要在手機上裝安全元件。完成ID&V后，令牌證書(shū)被頒發(fā)和保存在云端。進(jìn)行每次支付交易時(shí)，云端生成一個(gè)交易令牌(包含生成的唯一密碼)，該交易令牌再被提供給手機(見(jiàn)圖1)。

　　通常云端會(huì )提前生成一個(gè)以上交易令牌，以便用戶(hù)在設備未聯(lián)網(wǎng)時(shí)仍可使用HCE支付。因為HCE令牌是保存在隨時(shí)可完成交易的設備上，這些令牌通常被稱(chēng)為“靜態(tài)令牌”。

令牌保護云端的銀行卡數據，安全芯片確保增強認證

　　之前討論發(fā)現，令牌并非主要針對安全認證，它的主要作用是解決云端黑客可以訪(fǎng)問(wèn)的銀行卡數據安全問(wèn)題。用銀行卡支付時(shí)，安全芯片驗證銀行卡，PIN或簽名驗證持卡人身份。用Apple Pay支付時(shí)，安全芯片驗證設備，指紋或密碼驗證持卡人身份。用Android Pay(HCE)支付時(shí)，持卡人身份在云端被驗證后，一定數量的令牌被頒發(fā)給持卡人的手機以供未來(lái)的支付交易使用。

　　安全芯片在提供比云端持卡人驗證更高效、更便捷的增強銀行卡驗證方面仍發(fā)揮著(zhù)重要作用(圖2)。

　　支付令牌的用途并非局限于移動(dòng)支付。它們還能取代保存銀行卡信息以供未來(lái)交易時(shí)使用的商戶(hù)系統中的卡號。這在你第一次購物時(shí)可以登記銀行卡信息的網(wǎng)店中很常見(jiàn)。登記后，如果再到這家網(wǎng)店購物，你只需確認所登記的銀行卡信息。該系統被稱(chēng)為“卡存檔”系統。亞馬遜等許多電商企業(yè)采用這種系統。

　　支付令牌還能用在不能將真實(shí)銀行卡信息暴露給商戶(hù)系統的傳統芯片卡上。和移動(dòng)支付令牌一樣，芯片上的銀行卡令牌可與接觸式和非接觸式交易綁定，從而降低真實(shí)銀行卡信息被詐騙分子在其他支付渠道上使用的風(fēng)險。

　　全球支付網(wǎng)絡(luò )對支付令牌的標準化是發(fā)展先進(jìn)移動(dòng)支付技術(shù)的重要步驟。令牌可防止銀行卡信息被黑客竊取和銀行卡盜刷。但令牌既不取代也不需要安裝安全元件。所需的驗證級別仍然有賴(lài)于發(fā)卡銀行對風(fēng)險進(jìn)行的評估。

參考文獻：

　　[1]周明.支付標記化技術(shù)解讀[J]. 銀行卡檢測中心咨詢(xún)平臺,2015(9)

　　[2]柴洪峰.銀行業(yè)移動(dòng)支付的發(fā)展情況與新趨勢[J]. 中國電子報,2015(8)

　　[3]李偉.關(guān)于云端支付的探索與交流[J]. 金融電子化2015(6)

　　[4]呂芙蓉,林發(fā)全.關(guān)注HCE：安全挑戰及解決方案[J]. 金融電子化2015(5)

　　[5]方寧.HCE：便捷移動(dòng)支付的背后，需要全生命周期的安全防護. 中國金融電腦 2015(10)