嵌入式系統(tǒng)中的銀行支付令牌和HCE技術(shù)簡介

摘要：分析了銀行支付令牌和HCE技術(shù)的原理;在此基礎(chǔ)上，介紹了安全對比。最后提出了硬件安全的重要性。

　　令牌為實現(xiàn)Apple Pay等新的支付方式創(chuàng)造了條件。本文將從安全的角度對支付令牌和主機卡模擬(HCE)技術(shù)進行比較和介紹。

　　和大多數(shù)其他智能卡芯片一樣，支付卡芯片存儲有受保護和不受保護的數(shù)據(jù)。受保護數(shù)據(jù)是內(nèi)部用于生成密碼的加密密鑰。發(fā)卡銀行在支付交易進行時或完成后要驗證這些密碼，以確定卡上數(shù)據(jù)及支付卡是真實的。

　　不受保護數(shù)據(jù)存儲在卡上的檔案里，商戶的支付終端及任何熟悉檔案結(jié)構(gòu)的人都能訪問。這些數(shù)據(jù)在芯片上不受保護，因為它們要讓商戶和網(wǎng)絡(luò)可以訪問。銀行卡號——也稱PAN(私人賬號)——就是不受保護數(shù)據(jù)的一個例子。其他例子還有銀行卡有效期、首選語言或產(chǎn)品名稱等。比如，在網(wǎng)絡(luò)中，PAN被用于將交易發(fā)送給發(fā)卡銀行以獲取授權(quán)。這時潛在的銀行卡竊賊即可用任何方式訪問數(shù)據(jù)，因為它們大多數(shù)都印刷在卡上面或是包含在磁條數(shù)據(jù)中。

一旦上網(wǎng)，銀行卡數(shù)據(jù)就有危險了

　　只要這些不受保護的數(shù)據(jù)留存在你實體錢夾里的銀行卡上，你就沒什么好擔(dān)心的。一旦上網(wǎng)，銀行卡數(shù)據(jù)就有危險了。比如，你在網(wǎng)購時用銀行卡付款或者將銀行卡數(shù)據(jù)添加到手機錢包都會導(dǎo)致銀行卡數(shù)據(jù)暴露到網(wǎng)上。再比如，向利用聯(lián)網(wǎng)系統(tǒng)處理銀行卡數(shù)據(jù)的商家付款時，你的銀行卡數(shù)據(jù)也會上網(wǎng)。在所有這些情況下，黑客都可趁機大量收集銀行卡數(shù)據(jù)。然后，詐騙分子即可利用這些被盜的銀行卡數(shù)據(jù)偽造磁條卡或者在商家不驗證有無實體卡的網(wǎng)店購物。這類事件在報紙上屢見不鮮，常被稱為“銀行卡盜刷”。美國零售商“Target”在2013年末遭遇的一次大規(guī)模銀行卡數(shù)據(jù)泄露事件是最突出的一個例子。

令牌是包含密碼等其他數(shù)據(jù)在內(nèi)的一個替代卡號

　　為了防止那些銀行卡數(shù)據(jù)泄露事件，Visa、萬事達和美國運通等支付網(wǎng)絡(luò)已推出一種所謂的令牌化技術(shù)。令牌化就是用一個替代卡號取代銀行卡賬號(PAN)。連同令牌有效期、所用的支付渠道和密碼等其他數(shù)據(jù)一起，該替代卡號被稱為“令牌”。乍一看，在銀行卡上徒增一個號碼好像沒什么意義，因為上述攻擊同樣可以在這個令牌號上進行。然而區(qū)別在于，該令牌只供支付網(wǎng)絡(luò)進行驗證，不直接發(fā)送給發(fā)卡銀行用于獲取支付授權(quán)。相反，令牌是被發(fā)送給支付網(wǎng)絡(luò)里的令牌服務(wù)提供商(TSP)。

　　TSP同時也是一個過濾器和防火墻。它將對令牌進行驗證，比如驗證所用的支付渠道(在非接觸式芯片卡終端支付)或者令牌有效性。如果所用支付渠道不同(在網(wǎng)店或磁條卡終端支付)或者持卡人已將令牌作廢(如果手機丟失)，TSP可以直接拒絕交易。

　　只有通過所有驗證，TSP才將令牌與真正的銀行卡賬號比對后，再將其發(fā)送給發(fā)卡銀行獲取支付授權(quán)。如果發(fā)生銀行卡數(shù)據(jù)泄露，詐騙分子竊取的只是不能在網(wǎng)店支付或磁條卡終端支付等典型詐騙渠道使用的令牌。而且，如果令牌被發(fā)卡銀行或持卡人作廢，真正的銀行卡數(shù)據(jù)仍然有效。

ID&V確保令牌非詐騙分子創(chuàng)建

　　要想給一個信用卡賬號創(chuàng)建和獲取令牌，用戶必須完成一個所謂的“識別和驗證”(ID&V)安全流程。該流程可確保令牌非詐騙分子創(chuàng)建。比如，如果想向手機錢包添加銀行卡，你必須完成ID&V。ID&V包含發(fā)卡銀行規(guī)定的驗證項目。這種驗證就像登記卡號時進行的在線賬號驗證一樣簡單。其他發(fā)卡銀行可能要求用戶到當(dāng)?shù)胤中械怯泜€人信息。

只有生成的唯一密碼能授權(quán)使用令牌

　　務(wù)必要知道的是，在被持卡人或發(fā)卡銀行作廢之前，令牌不只適用于一次交易，而是在特定渠道上進行的所有交易。然而，替代卡號或令牌有效期等靜態(tài)的令牌字段通常伴有密碼等用于驗證支付設(shè)備或持卡人的動態(tài)的一次性數(shù)據(jù)。只有生成的唯一密碼能授權(quán)使用令牌和證明持卡人身份。

　　過去，近場通信(NFC)的非接觸式前端使手機通常與安全芯片直接相連。手機里的安全芯片也被稱為“安全元件”(SE)。Apple Pay已采用該系統(tǒng)。完成ID&V后，令牌證書被一次性頒發(fā)給手機，保存在安全元件里。每次支付交易使用一個交易令牌。該交易令牌包含一個在安全元件里生成的動態(tài)密碼。因此有人說Apple Pay使用“動態(tài)令牌”。

　　將于2015年底推出的Android Pay將使用主機卡模擬(HCE)技術(shù)。HCE不需要在手機上裝安全元件。完成ID&V后，令牌證書被頒發(fā)和保存在云端。進行每次支付交易時，云端生成一個交易令牌(包含生成的唯一密碼)，該交易令牌再被提供給手機(見圖1)。

　　通常云端會提前生成一個以上交易令牌，以便用戶在設(shè)備未聯(lián)網(wǎng)時仍可使用HCE支付。因為HCE令牌是保存在隨時可完成交易的設(shè)備上，這些令牌通常被稱為“靜態(tài)令牌”。

令牌保護云端的銀行卡數(shù)據(jù)，安全芯片確保增強認證

　　之前討論發(fā)現(xiàn)，令牌并非主要針對安全認證，它的主要作用是解決云端黑客可以訪問的銀行卡數(shù)據(jù)安全問題。用銀行卡支付時，安全芯片驗證銀行卡，PIN或簽名驗證持卡人身份。用Apple Pay支付時，安全芯片驗證設(shè)備，指紋或密碼驗證持卡人身份。用Android Pay(HCE)支付時，持卡人身份在云端被驗證后，一定數(shù)量的令牌被頒發(fā)給持卡人的手機以供未來的支付交易使用。

　　安全芯片在提供比云端持卡人驗證更高效、更便捷的增強銀行卡驗證方面仍發(fā)揮著重要作用(圖2)。

　　支付令牌的用途并非局限于移動支付。它們還能取代保存銀行卡信息以供未來交易時使用的商戶系統(tǒng)中的卡號。這在你第一次購物時可以登記銀行卡信息的網(wǎng)店中很常見。登記后，如果再到這家網(wǎng)店購物，你只需確認所登記的銀行卡信息。該系統(tǒng)被稱為“卡存檔”系統(tǒng)。亞馬遜等許多電商企業(yè)采用這種系統(tǒng)。

　　支付令牌還能用在不能將真實銀行卡信息暴露給商戶系統(tǒng)的傳統(tǒng)芯片卡上。和移動支付令牌一樣，芯片上的銀行卡令牌可與接觸式和非接觸式交易綁定，從而降低真實銀行卡信息被詐騙分子在其他支付渠道上使用的風(fēng)險。

　　全球支付網(wǎng)絡(luò)對支付令牌的標(biāo)準(zhǔn)化是發(fā)展先進移動支付技術(shù)的重要步驟。令牌可防止銀行卡信息被黑客竊取和銀行卡盜刷。但令牌既不取代也不需要安裝安全元件。所需的驗證級別仍然有賴于發(fā)卡銀行對風(fēng)險進行的評估。

參考文獻：

　　[1]周明.支付標(biāo)記化技術(shù)解讀[J]. 銀行卡檢測中心咨詢平臺,2015(9)

　　[2]柴洪峰.銀行業(yè)移動支付的發(fā)展情況與新趨勢[J]. 中國電子報,2015(8)

　　[3]李偉.關(guān)于云端支付的探索與交流[J]. 金融電子化2015(6)

　　[4]呂芙蓉,林發(fā)全.關(guān)注HCE：安全挑戰(zhàn)及解決方案[J]. 金融電子化2015(5)

　　[5]方寧.HCE：便捷移動支付的背后，需要全生命周期的安全防護. 中國金融電腦 2015(10)