嵌入式系統中的銀行支付令牌和HCE技術簡介

摘要：分析了銀行支付令牌和HCE技術的原理;在此基礎上，介紹了安全對比。最后提出了硬件安全的重要性。

　　令牌為實現Apple Pay等新的支付方式創造了條件。本文將從安全的角度對支付令牌和主機卡模擬(HCE)技術進行比較和介紹。

　　和大多數其他智能卡芯片一樣，支付卡芯片存儲有受保護和不受保護的數據。受保護數據是內部用于生成密碼的加密密鑰。發卡銀行在支付交易進行時或完成后要驗證這些密碼，以確定卡上數據及支付卡是真實的。

　　不受保護數據存儲在卡上的檔案里，商戶的支付終端及任何熟悉檔案結構的人都能訪問。這些數據在芯片上不受保護，因為它們要讓商戶和網絡可以訪問。銀行卡號——也稱PAN(私人賬號)——就是不受保護數據的一個例子。其他例子還有銀行卡有效期、首選語言或產品名稱等。比如，在網絡中，PAN被用于將交易發送給發卡銀行以獲取授權。這時潛在的銀行卡竊賊即可用任何方式訪問數據，因為它們大多數都印刷在卡上面或是包含在磁條數據中。

一旦上網，銀行卡數據就有危險了

　　只要這些不受保護的數據留存在你實體錢夾里的銀行卡上，你就沒什么好擔心的。一旦上網，銀行卡數據就有危險了。比如，你在網購時用銀行卡付款或者將銀行卡數據添加到手機錢包都會導致銀行卡數據暴露到網上。再比如，向利用聯網系統處理銀行卡數據的商家付款時，你的銀行卡數據也會上網。在所有這些情況下，黑客都可趁機大量收集銀行卡數據。然后，詐騙分子即可利用這些被盜的銀行卡數據偽造磁條卡或者在商家不驗證有無實體卡的網店購物。這類事件在報紙上屢見不鮮，常被稱為“銀行卡盜刷”。美國零售商“Target”在2013年末遭遇的一次大規模銀行卡數據泄露事件是最突出的一個例子。

令牌是包含密碼等其他數據在內的一個替代卡號

　　為了防止那些銀行卡數據泄露事件，Visa、萬事達和美國運通等支付網絡已推出一種所謂的令牌化技術。令牌化就是用一個替代卡號取代銀行卡賬號(PAN)。連同令牌有效期、所用的支付渠道和密碼等其他數據一起，該替代卡號被稱為“令牌”。乍一看，在銀行卡上徒增一個號碼好像沒什么意義，因為上述攻擊同樣可以在這個令牌號上進行。然而區別在于，該令牌只供支付網絡進行驗證，不直接發送給發卡銀行用于獲取支付授權。相反，令牌是被發送給支付網絡里的令牌服務提供商(TSP)。

　　TSP同時也是一個過濾器和防火墻。它將對令牌進行驗證，比如驗證所用的支付渠道(在非接觸式芯片卡終端支付)或者令牌有效性。如果所用支付渠道不同(在網店或磁條卡終端支付)或者持卡人已將令牌作廢(如果手機丟失)，TSP可以直接拒絕交易。

　　只有通過所有驗證，TSP才將令牌與真正的銀行卡賬號比對后，再將其發送給發卡銀行獲取支付授權。如果發生銀行卡數據泄露，詐騙分子竊取的只是不能在網店支付或磁條卡終端支付等典型詐騙渠道使用的令牌。而且，如果令牌被發卡銀行或持卡人作廢，真正的銀行卡數據仍然有效。

ID&V確保令牌非詐騙分子創建

　　要想給一個信用卡賬號創建和獲取令牌，用戶必須完成一個所謂的“識別和驗證”(ID&V)安全流程。該流程可確保令牌非詐騙分子創建。比如，如果想向手機錢包添加銀行卡，你必須完成ID&V。ID&V包含發卡銀行規定的驗證項目。這種驗證就像登記卡號時進行的在線賬號驗證一樣簡單。其他發卡銀行可能要求用戶到當地分行登記個人信息。

只有生成的唯一密碼能授權使用令牌

　　務必要知道的是，在被持卡人或發卡銀行作廢之前，令牌不只適用于一次交易，而是在特定渠道上進行的所有交易。然而，替代卡號或令牌有效期等靜態的令牌字段通常伴有密碼等用于驗證支付設備或持卡人的動態的一次性數據。只有生成的唯一密碼能授權使用令牌和證明持卡人身份。

　　過去，近場通信(NFC)的非接觸式前端使手機通常與安全芯片直接相連。手機里的安全芯片也被稱為“安全元件”(SE)。Apple Pay已采用該系統。完成ID&V后，令牌證書被一次性頒發給手機，保存在安全元件里。每次支付交易使用一個交易令牌。該交易令牌包含一個在安全元件里生成的動態密碼。因此有人說Apple Pay使用“動態令牌”。

　　將于2015年底推出的Android Pay將使用主機卡模擬(HCE)技術。HCE不需要在手機上裝安全元件。完成ID&V后，令牌證書被頒發和保存在云端。進行每次支付交易時，云端生成一個交易令牌(包含生成的唯一密碼)，該交易令牌再被提供給手機(見圖1)。

　　通常云端會提前生成一個以上交易令牌，以便用戶在設備未聯網時仍可使用HCE支付。因為HCE令牌是保存在隨時可完成交易的設備上，這些令牌通常被稱為“靜態令牌”。

令牌保護云端的銀行卡數據，安全芯片確保增強認證

　　之前討論發現，令牌并非主要針對安全認證，它的主要作用是解決云端黑客可以訪問的銀行卡數據安全問題。用銀行卡支付時，安全芯片驗證銀行卡，PIN或簽名驗證持卡人身份。用Apple Pay支付時，安全芯片驗證設備，指紋或密碼驗證持卡人身份。用Android Pay(HCE)支付時，持卡人身份在云端被驗證后，一定數量的令牌被頒發給持卡人的手機以供未來的支付交易使用。

　　安全芯片在提供比云端持卡人驗證更高效、更便捷的增強銀行卡驗證方面仍發揮著重要作用(圖2)。

　　支付令牌的用途并非局限于移動支付。它們還能取代保存銀行卡信息以供未來交易時使用的商戶系統中的卡號。這在你第一次購物時可以登記銀行卡信息的網店中很常見。登記后，如果再到這家網店購物，你只需確認所登記的銀行卡信息。該系統被稱為“卡存檔”系統。亞馬遜等許多電商企業采用這種系統。

　　支付令牌還能用在不能將真實銀行卡信息暴露給商戶系統的傳統芯片卡上。和移動支付令牌一樣，芯片上的銀行卡令牌可與接觸式和非接觸式交易綁定，從而降低真實銀行卡信息被詐騙分子在其他支付渠道上使用的風險。

　　全球支付網絡對支付令牌的標準化是發展先進移動支付技術的重要步驟。令牌可防止銀行卡信息被黑客竊取和銀行卡盜刷。但令牌既不取代也不需要安裝安全元件。所需的驗證級別仍然有賴于發卡銀行對風險進行的評估。

參考文獻：

　　[1]周明.支付標記化技術解讀[J]. 銀行卡檢測中心咨詢平臺,2015(9)

　　[2]柴洪峰.銀行業移動支付的發展情況與新趨勢[J]. 中國電子報,2015(8)

　　[3]李偉.關于云端支付的探索與交流[J]. 金融電子化2015(6)

　　[4]呂芙蓉,林發全.關注HCE：安全挑戰及解決方案[J]. 金融電子化2015(5)

　　[5]方寧.HCE：便捷移動支付的背后，需要全生命周期的安全防護. 中國金融電腦 2015(10)