繆 凱（中國(guó)人民銀行濟(jì)南分行，山東 濟(jì)南 250000）

HCE的校園應(yīng)用研究

繆 凱
（中國(guó)人民銀行濟(jì)南分行，山東 濟(jì)南 250000）

快速、非接、高效的NFC市場(chǎng)是移動(dòng)金融的必爭(zhēng)之地。為保障NFC支付安全，業(yè)內(nèi)通常采用SE（Secure Element）存儲(chǔ)關(guān)鍵信息，并以真實(shí)的硬件設(shè)備實(shí)現(xiàn)，如SIM卡、SD卡等。由于硬件SE涉及到運(yùn)營(yíng)商、手機(jī)廠商、金融行業(yè)、內(nèi)容服務(wù)商（service provider）等多個(gè)行業(yè)，產(chǎn)業(yè)鏈長(zhǎng)，協(xié)調(diào)難度大，利益分配難以均衡，導(dǎo)致手機(jī)支付的NFC應(yīng)用一直沒(méi)有規(guī)模應(yīng)用。2013年，Google發(fā)布Andrioid4.4操作系統(tǒng)，開始支持HCE（Host Card Emulation），實(shí)現(xiàn)了以軟件模擬SE，極大縮短了NFC產(chǎn)業(yè)鏈，2014年，Visa和萬(wàn)事達(dá)宣布基于HCE技術(shù)提供移動(dòng)支付。但HCE的安全級(jí)別低于傳統(tǒng)硬件SE，更適合于封閉環(huán)境應(yīng)用。校園NFC應(yīng)用相對(duì)獨(dú)立，學(xué)生接受新生事物較快，為HCE的校園應(yīng)用提供了較好的基礎(chǔ)。本文將以校園為例，探討結(jié)合前端和云端HCE模式，在閉環(huán)中應(yīng)用移動(dòng)金融的解決方案，并展望了利用復(fù)合技術(shù)，在開放環(huán)境下運(yùn)用HCE的可能性。

HCE；校園應(yīng)用；可行性

一、HCE

NFC應(yīng)用有三種模式：讀卡器模式、點(diǎn)對(duì)點(diǎn)模式和卡模擬模式。對(duì)于讀卡器模式和點(diǎn)對(duì)點(diǎn)模式，信息直接路由到CPU；對(duì)于卡模式，信息會(huì)路由到SE芯片。

SE是關(guān)系到NFC卡模擬是否安全的關(guān)鍵因素，其主要功能是實(shí)現(xiàn)重要應(yīng)用和數(shù)據(jù)的安全存儲(chǔ)，對(duì)外提供安全運(yùn)算服務(wù)，保障交易過(guò)程的安全性。目前在主流應(yīng)用中，SE的實(shí)現(xiàn)方式有SIM卡、SD卡和全手機(jī)三種支付方案，無(wú)論何種硬件實(shí)現(xiàn)方式，SP（Service Provider）需要溝通的產(chǎn)業(yè)鏈都較長(zhǎng)。

HCE技術(shù)的最大特點(diǎn)，是脫離具體物理安全模塊，提供了全新的技術(shù)實(shí)現(xiàn)方案。因?yàn)镠CE技術(shù)基于ISO/IEC 14443-4，并且支持ISO/IEC 7816-4的APDU指令交互，理論上，HCE可以完整的模擬PBOC和EMV芯片卡。

HCE按照認(rèn)證模式不同，分為前端模式和云端模式，其中云端SE是實(shí)現(xiàn)云端認(rèn)證模式的主要方式，前端認(rèn)證的實(shí)現(xiàn)方式有主機(jī)模式、可信執(zhí)行環(huán)境和獨(dú)立安全存儲(chǔ)模塊模式。

云端模式是敏感信息的存儲(chǔ)和處理都在云端，手機(jī)客戶端只提供指令和傳輸平臺(tái)。手機(jī)終端通過(guò)移動(dòng)網(wǎng)絡(luò)將數(shù)據(jù)請(qǐng)求發(fā)送至云端，通過(guò)手機(jī)和云端的交互驗(yàn)證，實(shí)現(xiàn)安全保障。HCE模式相對(duì)于硬件SE，依賴與網(wǎng)絡(luò)速度，響應(yīng)稍慢，安全性方面也沒(méi)有硬件級(jí)別高。但HCE剪除了NFC支付利益糾葛，對(duì)于快速應(yīng)用至關(guān)重要。萬(wàn)事達(dá)與VISA即采用安全模塊云模式，

主機(jī)模式直接將數(shù)據(jù)的存儲(chǔ)和處理放在主機(jī)的應(yīng)用上，實(shí)現(xiàn)最簡(jiǎn)單但是安全性低，入侵者一旦獲得root，所有信息將面臨泄露風(fēng)險(xiǎn)。

可信執(zhí)行環(huán)境（TEE）是指獨(dú)立于操作系統(tǒng)的一個(gè)執(zhí)行環(huán)境，專門用于提供安全服務(wù)，TEE有自己獨(dú)立的軟件和硬件資源，用于存儲(chǔ)和處理敏感信息，但TEE沒(méi)有SE的反篡改機(jī)制，實(shí)現(xiàn)復(fù)雜，沒(méi)有成形標(biāo)準(zhǔn)。

獨(dú)立安全存儲(chǔ)模塊是將敏感信息的存儲(chǔ)和處理放在一塊單獨(dú)的安全模塊上（SE），但是這樣方式使HCE技術(shù)與傳統(tǒng)的SE卡模擬方案毫無(wú)優(yōu)勢(shì)，甚至增加了實(shí)現(xiàn)的復(fù)雜度。

二、校園HCE應(yīng)用模式

校園環(huán)境相對(duì)封閉，管理人數(shù)較多，尤其是大中院校，規(guī)模較大，由于缺乏有效的信息化規(guī)劃，傳統(tǒng)的管理模式主要依靠人工管理，食堂、圖書館、洗澡、考勤一事一卡，卡片的發(fā)行、補(bǔ)卡、銷毀浪費(fèi)了大量的人力物力。從普惠金融和節(jié)約社會(huì)資源的角度考慮，校園迫切需要尋求一種快捷安全、成本低廉、方便使用的信息化模式，實(shí)現(xiàn)學(xué)校的高效管理。校園學(xué)生接受新生事物快，手機(jī)普及度高，Android操作系統(tǒng)使用普遍，為HCE的部署提供了有利條件。

HCE的應(yīng)用有三個(gè)定位：一是前端認(rèn)證和云端認(rèn)證相結(jié)合；二是完善業(yè)務(wù)流程提高安全保障；三是資金支付與非支付相分離。在這三個(gè)定位下，HCE有望實(shí)現(xiàn)校園手機(jī)通。

（一）前端認(rèn)證和云端認(rèn)證相結(jié)合，支付非支付相分離

通常手機(jī)將HCE的前端認(rèn)證和云端認(rèn)證獨(dú)立安裝，但兩種認(rèn)證模式優(yōu)缺點(diǎn)很明顯：前端認(rèn)證速度快、安全級(jí)別低；云端認(rèn)證速度慢、安全級(jí)別高。如果按照是否存在資金流動(dòng)，分為支付應(yīng)用和非支付應(yīng)用。其中支付應(yīng)用包括商場(chǎng)消費(fèi)、食堂就餐、超市購(gòu)物等，資金由銀行管理，應(yīng)用云端認(rèn)證模式；非支付應(yīng)用包括考勤、門禁等，存儲(chǔ)ID號(hào)、照片等，作為學(xué)生唯一標(biāo)識(shí)，應(yīng)用前端認(rèn)證模式。前端認(rèn)證的密鑰獨(dú)立于云端，前端密鑰體系的建設(shè)應(yīng)平衡成本和安全，提高實(shí)效性。將兩種認(rèn)證模式同時(shí)部署于手機(jī)，支付類和非支付類相分離，就能夠取長(zhǎng)補(bǔ)短，加強(qiáng)應(yīng)用實(shí)效性。為了保障資金的安全，建議控制手機(jī)資金支付在校園以內(nèi)，在HCE沒(méi)有完全成熟前，還是在封閉環(huán)境下使用NFC功能。

（二）建議禁止ROOT，加強(qiáng)用戶驗(yàn)證

一部Android手機(jī)獲取root后，用戶獲取最高權(quán)限的同時(shí)，安全性也將隨之降低，為進(jìn)一步保障安全體系，可以建議校園移動(dòng)金融用戶禁止ROOT。手機(jī)用戶首次激活時(shí)，建議設(shè)置登陸管理密碼、問(wèn)答驗(yàn)證、大額消費(fèi)短信提醒，對(duì)于短期異場(chǎng)景使用，終端可以拒絕支付。

（三）控制交易量交易額，加強(qiáng)掛失資金保障

HCE是新生事物，在試點(diǎn)階段，要最大限度的保障安全，可以限制每日交易次數(shù)，每次交易額和每日交易總額的上限，允許用戶通過(guò)手機(jī)管理軟件修改限制，但必須輸入手機(jī)驗(yàn)證碼。對(duì)于手機(jī)HCE掛失，可以在云端設(shè)置黑名單，快速實(shí)現(xiàn)服務(wù)中斷，最大限度的保障手機(jī)用戶資金安全。

三、HCE應(yīng)用的建議及展望

HCE應(yīng)用提供了一種安全級(jí)別稍低，但應(yīng)用快捷的NFC解決方案。盡管HCE最大的難題是安全性，但我們相信，HCE技術(shù)仍將加快整體NFC市場(chǎng)的發(fā)展。HCE如果走出校園等閉環(huán)交易環(huán)境，達(dá)到校園內(nèi)外一機(jī)通，就需要復(fù)合技術(shù)手段配合，以增強(qiáng)開放應(yīng)用的安全級(jí)別。

（一）使用生物測(cè)定復(fù)合驗(yàn)證，加強(qiáng)安全保障。目前主流的測(cè)定技術(shù)包括指紋識(shí)別、指紋靜脈識(shí)別、聲音識(shí)別、面部識(shí)別和虹膜掃描等。對(duì)于開放環(huán)境下的NFC識(shí)別，指紋識(shí)別具有明顯的優(yōu)勢(shì)，目前指紋識(shí)別主要有按壓和滑動(dòng)兩種，其中按壓指紋識(shí)別相對(duì)成功率較高。在更為開放的環(huán)境下，建議采用HCE+指紋識(shí)別的模式，使用NFC。

（二）優(yōu)化網(wǎng)絡(luò)環(huán)境，提升HCE云端使用效率。NFC的使用一般需要在500ms以內(nèi)，HCE的云端認(rèn)證模式距這一目標(biāo)仍有差距，目前網(wǎng)絡(luò)的穩(wěn)定性和速度仍有待進(jìn)一步提高。但我們相信，在局部地區(qū)和特定型號(hào)手機(jī)，還是具備用戶良好體驗(yàn)的可能。隨著4G熱點(diǎn)基站的擴(kuò)建，通信建設(shè)的完善，HCE云端認(rèn)證的實(shí)效性將快速改善。

（三）加強(qiáng)銀行卡綁定限制，提高個(gè)人信息保障力度。使用HCE的銀行卡綁定應(yīng)更加嚴(yán)格，建議提供銀行卡照片信息并電話確認(rèn)后，綁定手機(jī)與銀行卡的關(guān)聯(lián)。這種方案保證了犯罪分子即使獲取手機(jī)信息，也不能重新綁定銀行卡套取資金。但與此同時(shí)，客戶體驗(yàn)也將隨之下降。

HCE技術(shù)是一場(chǎng)歷史性的革命，對(duì)于NFC市場(chǎng)是一次強(qiáng)有力的沖擊。在這一場(chǎng)變革中，任何一個(gè)SP都面臨著機(jī)遇與挑戰(zhàn)。在金融應(yīng)用中，安全是至關(guān)重要的因素，而解決這一問(wèn)題，可能需要通信商、手機(jī)制造商、金融機(jī)構(gòu)的共同努力。本文提出了校園封閉環(huán)境的HCE解決方案，希望不久的將來(lái)，HCE能夠應(yīng)用到更廣泛的開放環(huán)境，贏得產(chǎn)業(yè)各方的共贏。

[1]HCE：移動(dòng)支付領(lǐng)域的革新[J].中國(guó)信用卡，2014（05），53-54.

[2]鄭錄軍，繆凱.探研手機(jī)近場(chǎng)支付發(fā)展路徑[J].金融電子化，2014（07）：78-79.

TP393

A

繆凱，男，研究生，工程師，中國(guó)人民銀行濟(jì)南分行。