摘要：分析了銀行支付令牌和HCE技術(shù)的原理;在此基礎(chǔ)上，介紹了安全對比。最后提出了硬件安全的重要性。

　　令牌為實(shí)現(xiàn)Apple Pay等新的支付方式創(chuàng)造了條件。本文將從安全的角度對支付令牌和主機(jī)卡模擬(HCE)技術(shù)進(jìn)行比較和介紹。

　　和大多數(shù)其他智能卡芯片一樣，支付卡芯片存儲有受保護(hù)和不受保護(hù)的數(shù)據(jù)。受保護(hù)數(shù)據(jù)是內(nèi)部用于生成密碼的加密密鑰。發(fā)卡銀行在支付交易進(jìn)行時(shí)或完成后要驗(yàn)證這些密碼，以確定卡上數(shù)據(jù)及支付卡是真實(shí)的。

　　不受保護(hù)數(shù)據(jù)存儲在卡上的檔案里，商戶的支付終端及任何熟悉檔案結(jié)構(gòu)的人都能訪問。這些數(shù)據(jù)在芯片上不受保護(hù)，因?yàn)樗鼈円屔虘艉途W(wǎng)絡(luò)可以訪問。銀行卡號——也稱PAN(私人賬號)——就是不受保護(hù)數(shù)據(jù)的一個(gè)例子。其他例子還有銀行卡有效期、首選語言或產(chǎn)品名稱等。比如，在網(wǎng)絡(luò)中，PAN被用于將交易發(fā)送給發(fā)卡銀行以獲取授權(quán)。這時(shí)潛在的銀行卡竊賊即可用任何方式訪問數(shù)據(jù)，因?yàn)樗鼈兇蠖鄶?shù)都印刷在卡上面或是包含在磁條數(shù)據(jù)中。

一旦上網(wǎng)，銀行卡數(shù)據(jù)就有危險(xiǎn)了

　　只要這些不受保護(hù)的數(shù)據(jù)留存在你實(shí)體錢夾里的銀行卡上，你就沒什么好擔(dān)心的。一旦上網(wǎng)，銀行卡數(shù)據(jù)就有危險(xiǎn)了。比如，你在網(wǎng)購時(shí)用銀行卡付款或者將銀行卡數(shù)據(jù)添加到手機(jī)錢包都會導(dǎo)致銀行卡數(shù)據(jù)暴露到網(wǎng)上。再比如，向利用聯(lián)網(wǎng)系統(tǒng)處理銀行卡數(shù)據(jù)的商家付款時(shí)，你的銀行卡數(shù)據(jù)也會上網(wǎng)。在所有這些情況下，黑客都可趁機(jī)大量收集銀行卡數(shù)據(jù)。然后，詐騙分子即可利用這些被盜的銀行卡數(shù)據(jù)偽造磁條卡或者在商家不驗(yàn)證有無實(shí)體卡的網(wǎng)店購物。這類事件在報(bào)紙上屢見不鮮，常被稱為“銀行卡盜刷”。美國零售商“Target”在2013年末遭遇的一次大規(guī)模銀行卡數(shù)據(jù)泄露事件是最突出的一個(gè)例子。

令牌是包含密碼等其他數(shù)據(jù)在內(nèi)的一個(gè)替代卡號

　　為了防止那些銀行卡數(shù)據(jù)泄露事件，Visa、萬事達(dá)和美國運(yùn)通等支付網(wǎng)絡(luò)已推出一種所謂的令牌化技術(shù)。令牌化就是用一個(gè)替代卡號取代銀行卡賬號(PAN)。連同令牌有效期、所用的支付渠道和密碼等其他數(shù)據(jù)一起，該替代卡號被稱為“令牌”。乍一看，在銀行卡上徒增一個(gè)號碼好像沒什么意義，因?yàn)樯鲜龉敉瑯涌梢栽谶@個(gè)令牌號上進(jìn)行。然而區(qū)別在于，該令牌只供支付網(wǎng)絡(luò)進(jìn)行驗(yàn)證，不直接發(fā)送給發(fā)卡銀行用于獲取支付授權(quán)。相反，令牌是被發(fā)送給支付網(wǎng)絡(luò)里的令牌服務(wù)提供商(TSP)。

　　TSP同時(shí)也是一個(gè)過濾器和防火墻。它將對令牌進(jìn)行驗(yàn)證，比如驗(yàn)證所用的支付渠道(在非接觸式芯片卡終端支付)或者令牌有效性。如果所用支付渠道不同(在網(wǎng)店或磁條卡終端支付)或者持卡人已將令牌作廢(如果手機(jī)丟失)，TSP可以直接拒絕交易。

　　只有通過所有驗(yàn)證，TSP才將令牌與真正的銀行卡賬號比對后，再將其發(fā)送給發(fā)卡銀行獲取支付授權(quán)。如果發(fā)生銀行卡數(shù)據(jù)泄露，詐騙分子竊取的只是不能在網(wǎng)店支付或磁條卡終端支付等典型詐騙渠道使用的令牌。而且，如果令牌被發(fā)卡銀行或持卡人作廢，真正的銀行卡數(shù)據(jù)仍然有效。

ID&V確保令牌非詐騙分子創(chuàng)建

　　要想給一個(gè)信用卡賬號創(chuàng)建和獲取令牌，用戶必須完成一個(gè)所謂的“識別和驗(yàn)證”(ID&V)安全流程。該流程可確保令牌非詐騙分子創(chuàng)建。比如，如果想向手機(jī)錢包添加銀行卡，你必須完成ID&V。ID&V包含發(fā)卡銀行規(guī)定的驗(yàn)證項(xiàng)目。這種驗(yàn)證就像登記卡號時(shí)進(jìn)行的在線賬號驗(yàn)證一樣簡單。其他發(fā)卡銀行可能要求用戶到當(dāng)?shù)胤中械怯泜€(gè)人信息。

只有生成的唯一密碼能授權(quán)使用令牌

　　務(wù)必要知道的是，在被持卡人或發(fā)卡銀行作廢之前，令牌不只適用于一次交易，而是在特定渠道上進(jìn)行的所有交易。然而，替代卡號或令牌有效期等靜態(tài)的令牌字段通常伴有密碼等用于驗(yàn)證支付設(shè)備或持卡人的動態(tài)的一次性數(shù)據(jù)。只有生成的唯一密碼能授權(quán)使用令牌和證明持卡人身份。

　　過去，近場通信(NFC)的非接觸式前端使手機(jī)通常與安全芯片直接相連。手機(jī)里的安全芯片也被稱為“安全元件”(SE)。Apple Pay已采用該系統(tǒng)。完成ID&V后，令牌證書被一次性頒發(fā)給手機(jī)，保存在安全元件里。每次支付交易使用一個(gè)交易令牌。該交易令牌包含一個(gè)在安全元件里生成的動態(tài)密碼。因此有人說Apple Pay使用“動態(tài)令牌”。

　　將于2015年底推出的Android Pay將使用主機(jī)卡模擬(HCE)技術(shù)。HCE不需要在手機(jī)上裝安全元件。完成ID&V后，令牌證書被頒發(fā)和保存在云端。進(jìn)行每次支付交易時(shí)，云端生成一個(gè)交易令牌(包含生成的唯一密碼)，該交易令牌再被提供給手機(jī)(見圖1)。

　　通常云端會提前生成一個(gè)以上交易令牌，以便用戶在設(shè)備未聯(lián)網(wǎng)時(shí)仍可使用HCE支付。因?yàn)镠CE令牌是保存在隨時(shí)可完成交易的設(shè)備上，這些令牌通常被稱為“靜態(tài)令牌”。

令牌保護(hù)云端的銀行卡數(shù)據(jù)，安全芯片確保增強(qiáng)認(rèn)證

　　之前討論發(fā)現(xiàn)，令牌并非主要針對安全認(rèn)證，它的主要作用是解決云端黑客可以訪問的銀行卡數(shù)據(jù)安全問題。用銀行卡支付時(shí)，安全芯片驗(yàn)證銀行卡，PIN或簽名驗(yàn)證持卡人身份。用Apple Pay支付時(shí)，安全芯片驗(yàn)證設(shè)備，指紋或密碼驗(yàn)證持卡人身份。用Android Pay(HCE)支付時(shí)，持卡人身份在云端被驗(yàn)證后，一定數(shù)量的令牌被頒發(fā)給持卡人的手機(jī)以供未來的支付交易使用。

　　安全芯片在提供比云端持卡人驗(yàn)證更高效、更便捷的增強(qiáng)銀行卡驗(yàn)證方面仍發(fā)揮著重要作用(圖2)。

　　支付令牌的用途并非局限于移動支付。它們還能取代保存銀行卡信息以供未來交易時(shí)使用的商戶系統(tǒng)中的卡號。這在你第一次購物時(shí)可以登記銀行卡信息的網(wǎng)店中很常見。登記后，如果再到這家網(wǎng)店購物，你只需確認(rèn)所登記的銀行卡信息。該系統(tǒng)被稱為“卡存檔”系統(tǒng)。亞馬遜等許多電商企業(yè)采用這種系統(tǒng)。

　　支付令牌還能用在不能將真實(shí)銀行卡信息暴露給商戶系統(tǒng)的傳統(tǒng)芯片卡上。和移動支付令牌一樣，芯片上的銀行卡令牌可與接觸式和非接觸式交易綁定，從而降低真實(shí)銀行卡信息被詐騙分子在其他支付渠道上使用的風(fēng)險(xiǎn)。

　　全球支付網(wǎng)絡(luò)對支付令牌的標(biāo)準(zhǔn)化是發(fā)展先進(jìn)移動支付技術(shù)的重要步驟。令牌可防止銀行卡信息被黑客竊取和銀行卡盜刷。但令牌既不取代也不需要安裝安全元件。所需的驗(yàn)證級別仍然有賴于發(fā)卡銀行對風(fēng)險(xiǎn)進(jìn)行的評估。

參考文獻(xiàn)：

　　[1]周明.支付標(biāo)記化技術(shù)解讀[J]. 銀行卡檢測中心咨詢平臺,2015(9)

　　[2]柴洪峰.銀行業(yè)移動支付的發(fā)展情況與新趨勢[J]. 中國電子報(bào),2015(8)

　　[3]李偉.關(guān)于云端支付的探索與交流[J]. 金融電子化2015(6)

　　[4]呂芙蓉,林發(fā)全.關(guān)注HCE：安全挑戰(zhàn)及解決方案[J]. 金融電子化2015(5)

　　[5]方寧.HCE：便捷移動支付的背后，需要全生命周期的安全防護(hù). 中國金融電腦 2015(10)