堪称支付宝“杀手”的HCE云闪付，你知道的可能都是错的

　　1、什么是HCE?

　　传统的基于移动设备的NFC支付应用需要编译并运行在安全模块(SE)中，但在某些操作系统(如谷歌Android4.4)允许移动设备基于应用处理器接收和处理来自非接触读卡器 (终端) 的APDU指令。 即HCE(Host Card Emulation)技术，通过该技术，任何一个移动设备的应用程序均可以完成对卡片的模拟。

　　2、什么是基于HCE的云闪付?

　　据了解，目前国外主要卡组织VISA、万事达和美国运通在2014年均先后发布了基于HCE的云端支付规范，并已开始通过EMVCo推动云端支付规范成为EMV标准。

　　与物理SE的支付方式不同，传统的基于SE的NFC支付是将密钥等持卡人敏感信息存储在SE中，从芯片级为支付过程提供了可靠的安全保证;而在HCE模式下不存在SE，而是由云端服务器(简称云SE)代替手机端物理SE模块来保证交易过程及账户的安全。

　　3、云闪付是否支持脱机交易?

　　基于安全的考虑，云端支付卡仅支持闪付联机交易，不支持电子现金脱机交易;

　　4、没有SE交易密钥和PAN存储在哪里

　　与物理SE模块将交易密钥存储在SE中不同，在云端支付模式中是交易密钥存储在云端支付平台中。当进行交易时由存储在云端的交易密钥动态按特定安全算法生成临时交易凭证(Token)替代原有真实交易PAN并下载至手机端并生成交易密文。

　　5、什么是Token?

　　为防止开放式安卓操作系统被Root、或遭受黑客攻击、或手机遗失造成敏感信息泄露风险并威胁持卡人账户安全，VISA、万事达、美国运通和银联在制定HCE落地方案中均采用了Tokenization技术，以替代在支付过程中本应出现的PAN等原有敏感交易信息，并将敏感信息存储在服务器端(云端)，仅将Token作为替代PAN号分发至移动设备本地存储参与交易。

　　该技术的应用对于交易安全性的保护可谓至关重要，Token的生成大多通过PAN等敏感数据作为输入，通过不可逆加密算法将PAN等持卡人敏感标识信息在后台系统内部映射为脱敏标识信息(或分配专用卡BIN号)，以替代敏感信息进行传输、分发、存储并参与交易。该映射关系仅存储在发卡行后台系统中，且Tokenization过程不可逆。因此即便Token在手机本地端发生泄漏，可以立即通过后台系统进行找回或重新分配，同时发行方结合电子现金云账户设立、支付密码、指纹识别和限额交易等业务风控操作，可已最大限度降低持卡人云账户中的资金损失且不会危机主账户资金安全。

　　6、比起传统PAN号Token有什么不同?

　　Token可为一次一用，交易完成后失效，且Token可每次交易时动态下载，动态变化，随着交易时间、地点和商户的不同发生变化。Token有一定有效期(如几秒、几分钟)，当交易凭证过期未使用时，此交易凭证自动失效。

　　7、Token如何生成?

　　Token作为PAN的替代信息、交易的唯一凭证，其产生、分发、传输、存储和处理仍要遵循一定的安全要求，符合一定的PCI安全标准和业务风控要求Tokenization的过程就是Token的生成过程，且其应不在本地端可逆。可能的方式包括但不限于：

　　1)以持卡人主账号(PAN)等敏感数据作为输入，通过足够强度的可逆数学加密算法(如3DES等金融算法)生成密文后替代原有PAN等敏感数据作为Token;

　　2)以PAN等敏感数据作为输入，通过不可逆加密算法(如HASH算法等)生成密文后替代原有PAN等数据作为Token;

　　3)独立于PAN等敏感数据由Token服务提供方(TSP)自行生成(如新订立专用卡BIN)。

　　8、国际卡组织及银联云闪付有哪些安全要求?

　　据了解，目前国际卡组织在制定云端支付规范过程中均对移动应用和云端支付平台提出了较高的安全要求，即规范中已明确要求云端支付平台、移动应用均必须符合PCI DSS和PCA PA-DSS的相关要求。

　　9、什么是PCI PA-DSS安全要求

　　PCI Payment Application Data Security Standard(类银联支付应用软件安全)，尽管Token将代替PAN等敏感信息存储在手机本地客户端，但是作为交易完成的必要组成部分，发行方密钥、密码、指纹数据等与云账户相关的敏感信息仍将在本地出现，对于此类经由本地客户端处理、传输和存储的敏感信息需要满足一定安全要求，以防止客户端软件处理不当发生的不必要泄露。依据这一标准实现的移动支付方案中本地客户端抗风险能力较强，可实现的业务类型局限性中等。

　　10、什么是PCI DSS安全要求?

　　PCI Data Security Standard(类银联账户信息安全)，尽管在交易中持卡人本地有Token云账户替代PAN的传输和存储，但是在发行方或服务提供方的系统后台中仍有大量敏感信息需要处理、存储和传输，以保障交易的顺利完成，如PAN与Token的对应关系将保存在系统后台中。依据这一标准实现的移动支付方案云端系统抗风险能力强，但本地端安全性不足，可实现的业务类型局限性较大。

　　11、Token的密钥体系有什么特点?

　　基于Token的移动支付方案大多面临来自于开放网络传输环境和开放操作系统所带来的安全风险，宜采用较强的密钥加密体系和算法，如DUKPT或一次一密体系，而非现有POS系统所使用的固定密钥体系。也正因此，密钥体系的设计和实现在整个Token方案中显得尤为重要，而选择合适的加密机作为硬件加解密模块更是整个加密方案的核心。

　　12、使用Token后还有什么辅助安全手段?

　　此外发行方还可结合Token设置单独支付密码、指纹识别、限额交易、Token失效或重新分配等业务风控规则，以最大限度降低持卡人子账户中的资金损失且不会危机PAN所对应的持卡人主账户资金安全。

　　13、什么是VISA Ready?

　　为了加强VISA支付技术与移动设备及平台的融合，针对HCE的推广应用VISA推出了“VISA Ready”合作伙伴认证项目，以此加强对手机厂商、软件开发商、移动运营商等合作伙伴的技术授权支持。

　　VISA此前已经推出了针对具NFC(近场通讯)功能的移动设备的认证项目，而即将推出的新项目则让API(应用编程接口)和SDK(软件开发工具包)支持所有移动POS收付款，并推出了“VISA Ready”认证标志——带有此标志的支付设备或解决方案都是获得VISA授权、兼容VISA技术要求(在不同国家有所差异)的，开发者可以将它作为一个判断依据，而金融机构和商家也能以此识别并采用经过测试、有安全保障的移动支付解决方案。

　　14、HCE真的安全吗?

　　从目前了解到情况来看，基于HCE的云端支付摆脱了对硬件的依赖，有利于金融机构主导NFC移动支付产业，因此得到了VISA、万事达、美国运通及EMV的强有力的支持。从安全和检测的思路来看，开展云端支付第一需要考虑仍然是安全。DPLSLab强烈建议开展云闪付的机构需保证其云端支付平台和移动应用能够符合DSS(账户信息安全)和PA-DSS(支付应用软件安全)的相关要求。

　　15、HCE真的是来打酱油的吗?

　　为了抢占移动支付的空中接口，针对支付宝和微信支付强推的二维码支付，银联依托于成熟的NFC技术于2014年在安卓手机平台强势推出了HCE云闪付服务，该项支付技术的推出可谓意义非凡。

　　首先Google基于安卓平台推出的HCE技术是完全开放的技术架构，其在落地过程即不依赖手机厂商也不受限于移动运营商，仅需依据系统API实现SDK开发即可实现，因此该技术的推广给了并非技术控制方的银行一次主导移动支付的绝佳机会，这也是为什么以工行为代表的广大HCE银行落地方案中，支付界面大多集成与其手机银行APP中的原因;其次HCE手机云闪付的推出为后续基于SE技术的ApplePay、SansumgPay、HuaweiPay、MiPay等进行了市场预热，扫除了受理终端与非接手机的许多兼容性Bug;此外最重要的是该技术的推出再次将基于智能手机的移动支付空中接口从二维码技术拉回了NFC技术。