一贯以来,传统非打仗式IC卡定位于快速支付运用,紧张基于13.56MHz射频技能实现短间隔非打仗式读写操作,以及采取基于卡内钱包的脱机交易形式,因而得以实现安全、快速的交易运用,范例交易韶光约250ms-300ms,能够知足公共交通特殊是轨道交通的大容量客流快速通过场景的运用需求,因此在公共交通畅业得到了普遍、成熟的运用,个中尤其以中国为范例运用代表。
海内城市规模弘大,人口流动频繁,超千万人口城市比比皆是,由于生活及事情区域相对分散,城市居民对公交通勤具有巨大的需求。以北上广及喷鼻香港为例,逐日地铁客流量均已逼近或超过1000万人次,对应公交通勤卡发卡量均超过4000万张,日交易量均超过1000万笔;国行家业总发卡量超过4亿张,总体运用规模居环球之首。由于公交通勤卡运器具有额度小、频率高、利用广等特点,因此得以成为运用规模最大、运用模式最成熟的快速支付运用。
金融行业同时也在大力推广非打仗式支付运用。中国银联主推的闪付(QuickPass)、VISA主推的payWave、MasterCard主推的PayPass,都采取了同样的射频技能和类似的技能标准。以中国银联为例,在海内已支配受理闪付终端超过400万台,组织各成员银行发行金融IC卡超过10亿张。
随着移动通讯技能的发展,通过将非打仗式IC卡技能与移动通讯技能领悟的NFC手机支付技能成为市场的热点。实在NFC技能最早自2005年即开始发展,诺基亚、三星便是首批推出NFC手机的厂商。由于NFC手机支付运用家当链条比较长,包括NFC芯片厂商、手机厂商、移动运营商、支付机构等,涉及各方利益较为繁芜,技能标准及运用模式各有不合,导致实际运用情形尚不理想,比如时下的NFC全终端、NFC-SIM两种紧张模式,分别对应由支付机构和移动运营商主导和推动,终极结果便是范例的“空想很丰满,现实很骨感”,支持NFC技能手机比例不敷10%,运用规模则更小。日前Apple强势推出Apple Pay,以独特的安全和体验上风,开启了NFC支付运用的新局势。
随着移动互联网的遍及,以及可穿着产品的兴起,通过非打仗式IC卡技能与蓝牙4.0(BLE)低功耗通讯技能领悟的外置式NFC支付产品也逐渐成为市场热点。由于蓝牙BLE技能已经基本遍及和成熟,不会受得手机终真个制约,而且外置式NFC支付产品家当链条短、运用模式灵巧,并且本钱低廉,可以直接成为现有非打仗式IC卡的升级和替代,具有大规模运用的爆发条件。
二、外置式NFC支付产品安全剖析
NFC支付运用与现有非打仗式IC卡支付运用之间,有一点最大的差异,便是封闭和开放的差异。现有传统IC卡支付运用近乎处于一个封闭的运用环境,消费在专用的金融POS或公交收费终端上完成,圈存在专用的ATM、自助终端或人工网点完成,所有设备处于封闭的专线内网或者VPN网络内部,可以确保环境、设备及操作安全;即便可以通过互联网操作,也采取专门定制的设备和专用的协议,具有类似的封闭效果。NFC支付运用支配在用户的手机终端和外设产品上,设备、环境、用户均不受制约,安全性受到较大的制约和寻衅。
外置式NFC支付产品作为与NFC手机的互补性产品,两者同样定位于实现NFC移动支付运用,有必要做一个比较大略的比拟剖析。
外置式NFC支付产品构造比较大略,与NFC手机具有较大差别,如下图。
NFC手机通过基带掌握器分别连接SE和NFC掌握器,NFC掌握器再与非打仗式射频天线(含主动或被动射频天线组件)连接;NFC手机处理用具有相称于PC处理器的处理能力,能够胜任各种繁芜的业务逻辑和安全打算任务;NFC手机具有成熟的、工业级的操作系统,具有非常完善的权限掌握和访问规则,可以从OS层、运用层等多个层级进行戒备,担保整体安全性。
外置式NFC支付产品通过蓝牙BLE芯片或附加MCU直接连接IC卡芯片的7816接口,IC卡芯片再与非打仗式射频天线(含主动或被动射频天线组件)连接;由于产品形态以手环、腕表等形式为主,依赖电池供电,对产品的功耗、体积具有比较严格的限定,MCU处理能力有限,因此难以实现比较繁芜的业务逻辑和安全打算任务,只能采取哑终真个思路,即产品固件不包括业务逻辑,通过将IC卡指令和数据在远程系统与IC卡芯片之间相互传送,实现指令的远程掌握和本地实行。遗憾的是,如果对通过蓝牙透传IC卡操作指令和数据不采纳安全防护处理,产品固件只是大略掌握组件的访问,将为产品和系统带来较大的安全隐患。
可能有人要说了,IC卡芯片内部本身包括安全芯片及COS,具有非常高的安全性,具有EAL5+等安全认证证书,怎么不屈安了?实在问题出在操作访问间隔上。非打仗式支付(近场支付)技能的刷卡操作间隔不超过10cm,并非受到射频技能的能力限定,而是出于交易安全的考虑。深圳等地采取的基于2.4G的RCC(限域通信)非打仗式支付技能,为了防止空中造孽操纵和盗取交易指令和数据,更是采纳技能手段主动将操作间隔降至10cm以内。在这种近间隔下,用户必须直接参与交易行为并视为对交易授权,这也是近场支付的由来。
外置式NFC支付产品基于蓝牙BLE技能实现无线连接及操作指令传送,最远可达100米,相称于将近场支付的操作间隔扩大了1000倍,实在已经相称于远程支付了。众所周知,IC卡支付运用普遍采取“严进宽出”模式(缘故原由你懂的),便是对钱包充值的操作掌握相比拟较严格,采取联机交易办法;而对钱包消费的操作掌握相比拟较宽松,采取脱机交易办法。这意味着稍有技能背景的攻击者在得到访问权限后,可随意扣除用户卡的钱包余额,以及读取卡内数据,包括PAN号等敏感数据。
三、外置式NFC支付产品安全对策建议
笔者认为,由于外置式NFC支付产品本身的打算和处理能力有限,仅靠产品本身难以掩护支付安全性,该当从整体的系统化思路进行考虑,由远程系统和外置式NFC支付产品之间相互合营,采纳在两者之间建立安全通道的办法,保障IC卡指令和数据的安全传输,防止空中截获及修改指令和数据或者发起非授权交易。
安全通道技能紧张包括两种:
1. COS安全通道
通过改造IC卡内部的COS软件,增加分外定制指令,通过定制指令建立远程系统和IC卡芯片之间的安全通道,与交易干系的APDU指令和数据全部通过定制指令以密文办法在远程系统和IC卡芯片之间传输,中途纵然截获数据也无法解码或修改,从而保障空中交易的安全性。
COS安全通道办法与GP采取安全通道实现空中发卡的事理类似,须要卡片支持JAVA,对COS运用进行开拓和测试,以及对密钥系统、发卡系统、充值系统进行开拓调度。据笔者理解,中国银联蓝牙卡暨可穿着产品移动支付方案采取COS安全通道办法。
2. 终端安全通道
通过改变产品设计,在产品硬件设计中额外增加具有PKI或对称加解密算法的安全芯片,通过额外安全芯片建立远程系统和产品固件之间的安全通道,所有IC卡APDU指令和数据全部通过安全通道以密文办法在远程系统和产品固件之间传输,中途纵然截获数据也无法解码或修改,从而保障空中交易的安全性。
终端安全通道办法与目前网银采取安全通道实现银行卡网上支付的事理类似,须要对安全芯片进行管理和发行,以及对充值系统进行开拓调度。
两种安全通道办法比拟,COS安全通道建立办法层级更低,通道位于IC卡COS层面,会话密钥位于IC卡芯片内部不可导出,安全性非常高,但对系统影响较大,牵扯多个根本系统的修正和调度,事情量较大,而且原则上哀求卡片采取JAVA卡;终端安全通道建立办法层级较高,通道位于产品固件层面,会话密钥位于安全芯片内部不可导出,安全性较高,但对系统影响较小,支持Native卡,无需对卡片及COS进行调度,须要建立额外建立安全芯片的管理体系,及对充值系统进行修正和调度,事情量较小。两种安全通道技能同样来源于金融支付领域的成熟运用技能,都能够知足建立安全通道、保障空中传输数据安全的哀求,可根据实际系统运用情形进行选择。
随着近期互联网+观点的提出,外置式NFC支付产品作为互联网与IC卡行业结合的IC卡+产品,通过为IC卡添加移动连接能力,使IC卡不再须要通过终端即可与系统直接连接,肃清中间环节,供应更有效率的访问办法,将为金融和交通畅业支付带来各种创新运用。笔者相信,IC卡+有机会成为现有传统IC卡的颠覆性替代和升级产品,以各种可穿着产品形态,与手机NFC支付运用一起成为移动近场支付的紧张版图。
如果进一步,建立基于IC+的云做事,直接连接所有IC卡+,结合空中开卡和空中充值、空中消费做事,将实现互联网+时期的全国交通卡移动互联互通。
注:笔者为原广州羊城通有限公司总经理/广东岭南通株式会社董事长,现为独立咨询顾问。
推举微信公众年夜众号,NFC日报:nfcdaily 移动支付网:mpaypass
