HCE的校園應(yīng)用研究

繆 凱（中國人民銀行濟南分行，山東 濟南 250000）

HCE的校園應(yīng)用研究

繆 凱
（中國人民銀行濟南分行，山東 濟南 250000）

快速、非接、高效的NFC市場是移動金融的必爭之地。為保障NFC支付安全，業(yè)內(nèi)通常采用SE（Secure Element）存儲關(guān)鍵信息，并以真實的硬件設(shè)備實現(xiàn)，如SIM卡、SD卡等。由于硬件SE涉及到運營商、手機廠商、金融行業(yè)、內(nèi)容服務(wù)商（service provider）等多個行業(yè)，產(chǎn)業(yè)鏈長，協(xié)調(diào)難度大，利益分配難以均衡，導(dǎo)致手機支付的NFC應(yīng)用一直沒有規(guī)模應(yīng)用。2013年，Google發(fā)布Andrioid4.4操作系統(tǒng)，開始支持HCE（Host Card Emulation），實現(xiàn)了以軟件模擬SE，極大縮短了NFC產(chǎn)業(yè)鏈，2014年，Visa和萬事達宣布基于HCE技術(shù)提供移動支付。但HCE的安全級別低于傳統(tǒng)硬件SE，更適合于封閉環(huán)境應(yīng)用。校園NFC應(yīng)用相對獨立，學(xué)生接受新生事物較快，為HCE的校園應(yīng)用提供了較好的基礎(chǔ)。本文將以校園為例，探討結(jié)合前端和云端HCE模式，在閉環(huán)中應(yīng)用移動金融的解決方案，并展望了利用復(fù)合技術(shù)，在開放環(huán)境下運用HCE的可能性。

HCE；校園應(yīng)用；可行性

一、HCE

NFC應(yīng)用有三種模式：讀卡器模式、點對點模式和卡模擬模式。對于讀卡器模式和點對點模式，信息直接路由到CPU；對于卡模式，信息會路由到SE芯片。

SE是關(guān)系到NFC卡模擬是否安全的關(guān)鍵因素，其主要功能是實現(xiàn)重要應(yīng)用和數(shù)據(jù)的安全存儲，對外提供安全運算服務(wù)，保障交易過程的安全性。目前在主流應(yīng)用中，SE的實現(xiàn)方式有SIM卡、SD卡和全手機三種支付方案，無論何種硬件實現(xiàn)方式，SP（Service Provider）需要溝通的產(chǎn)業(yè)鏈都較長。

HCE技術(shù)的最大特點，是脫離具體物理安全模塊，提供了全新的技術(shù)實現(xiàn)方案。因為HCE技術(shù)基于ISO/IEC 14443-4，并且支持ISO/IEC 7816-4的APDU指令交互，理論上，HCE可以完整的模擬PBOC和EMV芯片卡。

HCE按照認證模式不同，分為前端模式和云端模式，其中云端SE是實現(xiàn)云端認證模式的主要方式，前端認證的實現(xiàn)方式有主機模式、可信執(zhí)行環(huán)境和獨立安全存儲模塊模式。

云端模式是敏感信息的存儲和處理都在云端，手機客戶端只提供指令和傳輸平臺。手機終端通過移動網(wǎng)絡(luò)將數(shù)據(jù)請求發(fā)送至云端，通過手機和云端的交互驗證，實現(xiàn)安全保障。HCE模式相對于硬件SE，依賴與網(wǎng)絡(luò)速度，響應(yīng)稍慢，安全性方面也沒有硬件級別高。但HCE剪除了NFC支付利益糾葛，對于快速應(yīng)用至關(guān)重要。萬事達與VISA即采用安全模塊云模式，

主機模式直接將數(shù)據(jù)的存儲和處理放在主機的應(yīng)用上，實現(xiàn)最簡單但是安全性低，入侵者一旦獲得root，所有信息將面臨泄露風(fēng)險。

可信執(zhí)行環(huán)境（TEE）是指獨立于操作系統(tǒng)的一個執(zhí)行環(huán)境，專門用于提供安全服務(wù)，TEE有自己獨立的軟件和硬件資源，用于存儲和處理敏感信息，但TEE沒有SE的反篡改機制，實現(xiàn)復(fù)雜，沒有成形標(biāo)準。

獨立安全存儲模塊是將敏感信息的存儲和處理放在一塊單獨的安全模塊上（SE），但是這樣方式使HCE技術(shù)與傳統(tǒng)的SE卡模擬方案毫無優(yōu)勢，甚至增加了實現(xiàn)的復(fù)雜度。

二、校園HCE應(yīng)用模式

校園環(huán)境相對封閉，管理人數(shù)較多，尤其是大中院校，規(guī)模較大，由于缺乏有效的信息化規(guī)劃，傳統(tǒng)的管理模式主要依靠人工管理，食堂、圖書館、洗澡、考勤一事一卡，卡片的發(fā)行、補卡、銷毀浪費了大量的人力物力。從普惠金融和節(jié)約社會資源的角度考慮，校園迫切需要尋求一種快捷安全、成本低廉、方便使用的信息化模式，實現(xiàn)學(xué)校的高效管理。校園學(xué)生接受新生事物快，手機普及度高，Android操作系統(tǒng)使用普遍，為HCE的部署提供了有利條件。

HCE的應(yīng)用有三個定位：一是前端認證和云端認證相結(jié)合；二是完善業(yè)務(wù)流程提高安全保障；三是資金支付與非支付相分離。在這三個定位下，HCE有望實現(xiàn)校園手機通。

（一）前端認證和云端認證相結(jié)合，支付非支付相分離

通常手機將HCE的前端認證和云端認證獨立安裝，但兩種認證模式優(yōu)缺點很明顯：前端認證速度快、安全級別低；云端認證速度慢、安全級別高。如果按照是否存在資金流動，分為支付應(yīng)用和非支付應(yīng)用。其中支付應(yīng)用包括商場消費、食堂就餐、超市購物等，資金由銀行管理，應(yīng)用云端認證模式；非支付應(yīng)用包括考勤、門禁等，存儲ID號、照片等，作為學(xué)生唯一標(biāo)識，應(yīng)用前端認證模式。前端認證的密鑰獨立于云端，前端密鑰體系的建設(shè)應(yīng)平衡成本和安全，提高實效性。將兩種認證模式同時部署于手機，支付類和非支付類相分離，就能夠取長補短，加強應(yīng)用實效性。為了保障資金的安全，建議控制手機資金支付在校園以內(nèi)，在HCE沒有完全成熟前，還是在封閉環(huán)境下使用NFC功能。

（二）建議禁止ROOT，加強用戶驗證

一部Android手機獲取root后，用戶獲取最高權(quán)限的同時，安全性也將隨之降低，為進一步保障安全體系，可以建議校園移動金融用戶禁止ROOT。手機用戶首次激活時，建議設(shè)置登陸管理密碼、問答驗證、大額消費短信提醒，對于短期異場景使用，終端可以拒絕支付。

（三）控制交易量交易額，加強掛失資金保障

HCE是新生事物，在試點階段，要最大限度的保障安全，可以限制每日交易次數(shù)，每次交易額和每日交易總額的上限，允許用戶通過手機管理軟件修改限制，但必須輸入手機驗證碼。對于手機HCE掛失，可以在云端設(shè)置黑名單，快速實現(xiàn)服務(wù)中斷，最大限度的保障手機用戶資金安全。

三、HCE應(yīng)用的建議及展望

HCE應(yīng)用提供了一種安全級別稍低，但應(yīng)用快捷的NFC解決方案。盡管HCE最大的難題是安全性，但我們相信，HCE技術(shù)仍將加快整體NFC市場的發(fā)展。HCE如果走出校園等閉環(huán)交易環(huán)境，達到校園內(nèi)外一機通，就需要復(fù)合技術(shù)手段配合，以增強開放應(yīng)用的安全級別。

（一）使用生物測定復(fù)合驗證，加強安全保障。目前主流的測定技術(shù)包括指紋識別、指紋靜脈識別、聲音識別、面部識別和虹膜掃描等。對于開放環(huán)境下的NFC識別，指紋識別具有明顯的優(yōu)勢，目前指紋識別主要有按壓和滑動兩種，其中按壓指紋識別相對成功率較高。在更為開放的環(huán)境下，建議采用HCE+指紋識別的模式，使用NFC。

（二）優(yōu)化網(wǎng)絡(luò)環(huán)境，提升HCE云端使用效率。NFC的使用一般需要在500ms以內(nèi)，HCE的云端認證模式距這一目標(biāo)仍有差距，目前網(wǎng)絡(luò)的穩(wěn)定性和速度仍有待進一步提高。但我們相信，在局部地區(qū)和特定型號手機，還是具備用戶良好體驗的可能。隨著4G熱點基站的擴建，通信建設(shè)的完善，HCE云端認證的實效性將快速改善。

（三）加強銀行卡綁定限制，提高個人信息保障力度。使用HCE的銀行卡綁定應(yīng)更加嚴格，建議提供銀行卡照片信息并電話確認后，綁定手機與銀行卡的關(guān)聯(lián)。這種方案保證了犯罪分子即使獲取手機信息，也不能重新綁定銀行卡套取資金。但與此同時，客戶體驗也將隨之下降。

HCE技術(shù)是一場歷史性的革命，對于NFC市場是一次強有力的沖擊。在這一場變革中，任何一個SP都面臨著機遇與挑戰(zhàn)。在金融應(yīng)用中，安全是至關(guān)重要的因素，而解決這一問題，可能需要通信商、手機制造商、金融機構(gòu)的共同努力。本文提出了校園封閉環(huán)境的HCE解決方案，希望不久的將來，HCE能夠應(yīng)用到更廣泛的開放環(huán)境，贏得產(chǎn)業(yè)各方的共贏。

[1]HCE：移動支付領(lǐng)域的革新[J].中國信用卡，2014（05），53-54.

[2]鄭錄軍，繆凱.探研手機近場支付發(fā)展路徑[J].金融電子化，2014（07）：78-79.

TP393

A

繆凱，男，研究生，工程師，中國人民銀行濟南分行。