论文部分内容阅读
摘 要:专注于如何将移动支付手段用到“一卡通”系统,将对各种常见的移动支付方案进行分析比较,综合考量安全性、便利性等因素,项目将分别研究采用新型的基于HCE的手机公交卡模式、基于蓝牙卡的手机支付模式、基于在线帐户实现手机离线支付解决方案等,使之能在技术上达到以下要求:更简便、闭环的非接触支付、实时的支付卡分发、不必改变终端软件即可实现便利的部署、不依赖于手机运营商。
关键词:公共交通;一卡通;移动支付;移动商务;系统分析
中图分类号:TP 202 文献标志码:A
0 引言
交通一卡通作为城市公共交通领域的便捷支付工具,是营造优质公共交通服务体系,提升公共交通竞争力和吸引力的重要举措,对方便市民的日常出行,擴充运载工具的服务效能,提高行业管理效率和服务水平,缓解交通拥堵,建设和谐型、资源节约型、环境友好型社会,具有重要意义。
交通智能卡本身的研发、生产和应用能够直接扩大就业、拉动内需,形成新的经济增长点。国研网数据显示,2020年我国整个城市交通卡的年市场容量预计为50亿元,未来三到五年,每年至少需要3亿张以上城市交通卡被售出。
除了城市交通一卡通卡本身的市场规模外,城市交通一卡通卡的广泛应用还能够在很大程度上带动关联产业的发展,并能够带来可观的就业规模。同时也可以培育出一个城市通卡产业,包括芯片设计、芯片制造、芯片仿制、芯片封装、读写模块的设计制造、相关读写设备与系统等等一个完整的产业链。
本项目旨在研究新型的移动支付手段在区域性城市一卡通系统中的使用的可行性以及实现方案,深入研究各种需要整合的历史遗留系统,根据现行系统的软、硬件状况,从技术上探讨一个整体框架,使乘客通过各种手机移动支付手段,能够乘坐公交、地铁、出租等交通工具,并进一步探讨使用手机进行小额消费支付的架构设计和实现方式,将手机支付用在高速公路休息区购物、景区门票、商场购物、自动售货机、便利店、超市等场景。
1 基于安卓HCE架构的手机支付模式
Android4.4版本后引入了HCE(Host Card Emulation)模式的卡片仿真,不需要SE参与,CPU直接应答终端的指令。
HCE提供了如下能力使得厂家能够通过移动设备提供卡片功能:
·更简便的支付方案;
·闭环的非接触支付方案;
·实时的支付卡分发;
·更具有战略意义的是,不必改变终端软件即可实现便利的部署。
采用HCE模式的优缺点如下:
优点:
·不依赖于手机运营商;
·完全自主实现,创新性的实现方案
缺点:
·安全性实现需要保证,如Token的使用、密钥的存储;
·成功案例少(2015年5月5日,工商银行宣布与银联、VISA合作推出云支付信用卡产品),实现风险大;
主要描述如下:
1、持卡人在注册应用时设置一用于持卡人身份的PIN码,持卡人可通过手机客户端对此PIN码进行修改;
2、HCE上存储黔通智联下发的Token(见4.3.2.2.2)及其对应的应用数据,此数据使用后台保存的PIN码进行加密;
3、Token的时效性可设置,建议为1天;
4、HCE中保存的是经过PIN码加密后的Token及其对应的应用数据;
5、在进行消费交易时,需要持卡人在手机上键入PIN码(PIN码保存在内存中);
6、手机上的APP配合HCE应用对,保存在手机上的Token及其对应的应用数据进行解密后进行交易;
7、可提供将PIN码保存在手机中的选项,方便持卡人的交易。
1.1 标记化(TOKENIZATION)
EMVCo于2014年3月发布了支付标记(Payment Tokenization)框架,旨在通过制定全球通用的标准推动支付标记的应用和推广。采用传统的加密形式来实现数据保护有两个潜在弱点:加密结果的可逆性和密钥管理的复杂性。
与加密方案有所不同,标记化是用数据替代的形式实现敏感信息的保护,不仅攻击者不能通过可逆的方法来获取原始数据,而且替代值的格式和结构可以同原有的数据完全一样,以减少对业务和应用产生影响。
方案中加以的TOKEN就是指数据替代的形式保护黔通智联卡内的敏感数据,如卡号、有效期、密钥等值。
1.2 和账户同步机制
手机黔通公交卡和实体卡不同,包括:
1.2.1電子钱包和账户余额同步
手机黔通公交卡内电子钱包与汇联通在线账户内的余额同步,联机(是指手机与后台账户之间通信正常)时电子钱包余额与账户余额同步;脱机(是指手机与后台账户之间无法通信)下,手机黔通公交卡采用记账模式,但设置“脱机消费限额和次数”,在限额范围内,手机黔通公交卡采用记账模式支付;超过限额部分,需要手机联机同步(如手机上网时Android后台程序自动同步、或手机无法上网时在空中充值、客服中心等场所联机处理)。
1.2.2.终端上手机黔通公交卡与实体卡一致
对终端而言,手机黔通公交卡与实体卡相同,支持交通运输部《城市公共交通IC卡卡片技术规范》的卡片规范,支持规范中的指令和流程。
1.3 电子钱包与后台账户同步机制
电子钱包与后台账户保持一致,需要同步机制确保电子钱包的数据与后台账户保持一致。同步方式有三种:手机发起同步;终端发起同步;系统发起同步。
1.3.1.手机发起同步
手机发起同步是指手机黔通公交卡刷卡支付后,手机端将最新的交易通知到后台,由后台对账户的余额等信息进行更新。 手机黔通公交卡在每次支付后,后台的服务将交易明细同步到后台,同时同步账户余额与电子钱包余额。
1.3.2.终端发起同步
终端发起同步是指手机黔通公交卡刷卡支付后,终端将最新的交易记录通知到后台(例如手机不能上网,或手机发起同步不成功),由后台对账户的余额等信息进行更新。
终端发起同步时,手机参与到支付过程,因此也无需系统再次将账户的余额同步到手机端。
所有实体卡电子钱包的余额更新均采用终端发起同步。
1.3.3.系统发起同步
后台账户的支付方式除了手机黔通公交卡外,还支持其他方式的在线支付方式(例如通过网页支付等),这种情况下需要系统发起同步,以通知手机黔通公交卡后台账户余额发生变化。
1.4 脱机使用场景
脱机使用场景是指手机和终端同时处于脱机状态——手机无法联机到后台,终端也无法联机到后台。例如,脱机的手机黔通公交卡在公交POS机上使用。
由于不同同步机制造成的账户数据不同步(例如客户使用在线账户通过网页支付,余额发生变化,但同步到手机失败,这时手机上的余额与后台的余额不一致),这种情况下手机的余额与后台账户余额的数据可能有较大出入,有恶意透支的风险。因此,手机脱机使用时,设置“脱机消费限额”——脱机情况手机支付的最大限额,以降低资金风险。
例如,设置“脱机消费限额”为100.
如果手机一直脱机,最大消费金额为100;
如果手机脱机消费的余额还剩下20,手机联机并且数据同步成功后,“脱机消费限额”重新设置为100;
手机脱机消费余额为0后,联机同步(手机自身、客服中心等)成功后,“脱机消费限额”重新设置为100。
对于部分实名制并且绑定了信用卡的高端客户,可以考虑授权一定程度的额度进行交易。在规范的框架内可以使用“小额复合消费的透支限额”或者“脱机借贷记流程中的累计脱机交易金额上限”进行实现。
对于上述两种方式中任何一种的实现都需要對POS流程进行单独的修改。
1.5 联机使用场景
联机使用场景是指手机联机或终端处于联机。
在联机模式下,手机和终端需要将手机黔通公交卡在脱机模式下的消费明细同步到后台,并且同步账户余额与手机电子钱包的余额。同步发起可由手机或终端之一或同步发起。
2 基于蓝牙卡的手机支付模式
2.1 苹果蓝牙卡
现在市场上的主流机型主要为苹果和安卓两大阵营。
苹果对于支付和NFC的态度比较封闭,NFC相关接口都在苹果的控制之下,第三方App无法对其进行任何改动和使用(不论是作为卡片还是读卡器)。这就意味着如果要在苹果手机上实现移动支付则必须依赖外设进行。
现有的解决方案一般是使用外置的手环、手表和异形卡等设备进行非接触交易,通过蓝牙4.0接口连接手机和外设并使用APP对其进行操作。
通过在蓝牙卡中增加GPS模块,通过手机APP俘获GPS信息,以满足老人、小孩行动轨迹的追踪和查看。
2.1.1 标准蓝牙卡
制作标准大小左右的实体卡,内部含有蓝牙4.0芯片、射频模块,手机通过蓝牙与卡配对后通信,通过手机APP实现空中发卡、圈存等功能。
2.1.2 手环卡
可穿戴设备手环中含有蓝牙4.0芯片以及射频模块,实现机制与标准蓝牙卡相同。
2.1.3 手表卡
手表中含有蓝牙4.0芯片以及射频模块,实现机制与标准蓝牙卡相同。
2.1.4 钥匙链
钥匙链中含有蓝牙4.0芯片以及射频模块,实现机制与标准蓝牙卡相同。
2.2 安卓蓝牙卡
安卓相对于苹果来说就非常开放,现在主流的三种:
·SWP-SIM(和移动运营商进行合作)
·全终端(和手机厂商进行合作)
·HCE(APP所有者自主可控)
三种方案各有优劣,针对黔通智联不想受制于移动运营商和手机厂商的现状,HCE相对于前两个方案来说是更加适宜的方案。
当然 ,安卓系统同样可以使用蓝牙4.0连接外设的方式实现。
2.3 蓝牙卡支付方案
基于蓝牙卡的手机支付模式同样采用HCE(APP所有者自主可控)方案,由移动设备的CPU直接对蓝牙卡中的芯片进行读写。
在线支付时,需要移动设备与蓝牙卡先配对成功,才能进行支付操作;离线支付时,只需要蓝牙卡直接与NFC射频读卡模块接触即可完成支付。
在使用蓝牙卡的支付模式中,同样采用HCE的优化方案来加强数据安全性。
3 脱机消费交易流程
HCE模拟卡脱机消费交易流程主要涉及客户端和消费终端两部分。大致的交易流程如下:
前置条件:
(1)用户将客户端APP激活
交易流程:
(1)由終端发起交易请求;
(2)客户端发送token给终端;
(3)终端判断客户端token的有效性;
(4)客户端判断是否支持此处交易(判断应用密钥、余额等);
(5)终端生成MAC1供客户端进行身份确认;
(6)客户端确认终端身份后,进行扣费并产生MAC2供终端验证;
(7)终端验证MAC2通过后,记录交易记录,结束交易。
4 结语
本项目研究了基于安卓HCE架构的手机支付模式、基于蓝牙卡的手机支付模式。这两种手机支付模式主要问题都集中在脱机支付时的安全性上,存放在HCE中的安全数据可能被非法读取,用于卡片的复制、数据覆盖等,有不可控制的伪卡风险。
本方案中采用token标记方式进行敏感信息的隐藏,对token设置合理的时效,能有效的降低风险,提高数据安全性;在脱机使用场景中采用设置脱机消费额度的方案,能有效防止手机的余额与后台账户余额的数据可能有较大出入,有效降低资金风险。
另外,在本方案中采用多种同步机制,及时更新token、黑名单等信息,加强数据、资金的安全性,确保电子钱包的数据与后台账户保持一致。
关键词:公共交通;一卡通;移动支付;移动商务;系统分析
中图分类号:TP 202 文献标志码:A
0 引言
交通一卡通作为城市公共交通领域的便捷支付工具,是营造优质公共交通服务体系,提升公共交通竞争力和吸引力的重要举措,对方便市民的日常出行,擴充运载工具的服务效能,提高行业管理效率和服务水平,缓解交通拥堵,建设和谐型、资源节约型、环境友好型社会,具有重要意义。
交通智能卡本身的研发、生产和应用能够直接扩大就业、拉动内需,形成新的经济增长点。国研网数据显示,2020年我国整个城市交通卡的年市场容量预计为50亿元,未来三到五年,每年至少需要3亿张以上城市交通卡被售出。
除了城市交通一卡通卡本身的市场规模外,城市交通一卡通卡的广泛应用还能够在很大程度上带动关联产业的发展,并能够带来可观的就业规模。同时也可以培育出一个城市通卡产业,包括芯片设计、芯片制造、芯片仿制、芯片封装、读写模块的设计制造、相关读写设备与系统等等一个完整的产业链。
本项目旨在研究新型的移动支付手段在区域性城市一卡通系统中的使用的可行性以及实现方案,深入研究各种需要整合的历史遗留系统,根据现行系统的软、硬件状况,从技术上探讨一个整体框架,使乘客通过各种手机移动支付手段,能够乘坐公交、地铁、出租等交通工具,并进一步探讨使用手机进行小额消费支付的架构设计和实现方式,将手机支付用在高速公路休息区购物、景区门票、商场购物、自动售货机、便利店、超市等场景。
1 基于安卓HCE架构的手机支付模式
Android4.4版本后引入了HCE(Host Card Emulation)模式的卡片仿真,不需要SE参与,CPU直接应答终端的指令。
HCE提供了如下能力使得厂家能够通过移动设备提供卡片功能:
·更简便的支付方案;
·闭环的非接触支付方案;
·实时的支付卡分发;
·更具有战略意义的是,不必改变终端软件即可实现便利的部署。
采用HCE模式的优缺点如下:
优点:
·不依赖于手机运营商;
·完全自主实现,创新性的实现方案
缺点:
·安全性实现需要保证,如Token的使用、密钥的存储;
·成功案例少(2015年5月5日,工商银行宣布与银联、VISA合作推出云支付信用卡产品),实现风险大;
主要描述如下:
1、持卡人在注册应用时设置一用于持卡人身份的PIN码,持卡人可通过手机客户端对此PIN码进行修改;
2、HCE上存储黔通智联下发的Token(见4.3.2.2.2)及其对应的应用数据,此数据使用后台保存的PIN码进行加密;
3、Token的时效性可设置,建议为1天;
4、HCE中保存的是经过PIN码加密后的Token及其对应的应用数据;
5、在进行消费交易时,需要持卡人在手机上键入PIN码(PIN码保存在内存中);
6、手机上的APP配合HCE应用对,保存在手机上的Token及其对应的应用数据进行解密后进行交易;
7、可提供将PIN码保存在手机中的选项,方便持卡人的交易。
1.1 标记化(TOKENIZATION)
EMVCo于2014年3月发布了支付标记(Payment Tokenization)框架,旨在通过制定全球通用的标准推动支付标记的应用和推广。采用传统的加密形式来实现数据保护有两个潜在弱点:加密结果的可逆性和密钥管理的复杂性。
与加密方案有所不同,标记化是用数据替代的形式实现敏感信息的保护,不仅攻击者不能通过可逆的方法来获取原始数据,而且替代值的格式和结构可以同原有的数据完全一样,以减少对业务和应用产生影响。
方案中加以的TOKEN就是指数据替代的形式保护黔通智联卡内的敏感数据,如卡号、有效期、密钥等值。
1.2 和账户同步机制
手机黔通公交卡和实体卡不同,包括:
1.2.1電子钱包和账户余额同步
手机黔通公交卡内电子钱包与汇联通在线账户内的余额同步,联机(是指手机与后台账户之间通信正常)时电子钱包余额与账户余额同步;脱机(是指手机与后台账户之间无法通信)下,手机黔通公交卡采用记账模式,但设置“脱机消费限额和次数”,在限额范围内,手机黔通公交卡采用记账模式支付;超过限额部分,需要手机联机同步(如手机上网时Android后台程序自动同步、或手机无法上网时在空中充值、客服中心等场所联机处理)。
1.2.2.终端上手机黔通公交卡与实体卡一致
对终端而言,手机黔通公交卡与实体卡相同,支持交通运输部《城市公共交通IC卡卡片技术规范》的卡片规范,支持规范中的指令和流程。
1.3 电子钱包与后台账户同步机制
电子钱包与后台账户保持一致,需要同步机制确保电子钱包的数据与后台账户保持一致。同步方式有三种:手机发起同步;终端发起同步;系统发起同步。
1.3.1.手机发起同步
手机发起同步是指手机黔通公交卡刷卡支付后,手机端将最新的交易通知到后台,由后台对账户的余额等信息进行更新。 手机黔通公交卡在每次支付后,后台的服务将交易明细同步到后台,同时同步账户余额与电子钱包余额。
1.3.2.终端发起同步
终端发起同步是指手机黔通公交卡刷卡支付后,终端将最新的交易记录通知到后台(例如手机不能上网,或手机发起同步不成功),由后台对账户的余额等信息进行更新。
终端发起同步时,手机参与到支付过程,因此也无需系统再次将账户的余额同步到手机端。
所有实体卡电子钱包的余额更新均采用终端发起同步。
1.3.3.系统发起同步
后台账户的支付方式除了手机黔通公交卡外,还支持其他方式的在线支付方式(例如通过网页支付等),这种情况下需要系统发起同步,以通知手机黔通公交卡后台账户余额发生变化。
1.4 脱机使用场景
脱机使用场景是指手机和终端同时处于脱机状态——手机无法联机到后台,终端也无法联机到后台。例如,脱机的手机黔通公交卡在公交POS机上使用。
由于不同同步机制造成的账户数据不同步(例如客户使用在线账户通过网页支付,余额发生变化,但同步到手机失败,这时手机上的余额与后台的余额不一致),这种情况下手机的余额与后台账户余额的数据可能有较大出入,有恶意透支的风险。因此,手机脱机使用时,设置“脱机消费限额”——脱机情况手机支付的最大限额,以降低资金风险。
例如,设置“脱机消费限额”为100.
如果手机一直脱机,最大消费金额为100;
如果手机脱机消费的余额还剩下20,手机联机并且数据同步成功后,“脱机消费限额”重新设置为100;
手机脱机消费余额为0后,联机同步(手机自身、客服中心等)成功后,“脱机消费限额”重新设置为100。
对于部分实名制并且绑定了信用卡的高端客户,可以考虑授权一定程度的额度进行交易。在规范的框架内可以使用“小额复合消费的透支限额”或者“脱机借贷记流程中的累计脱机交易金额上限”进行实现。
对于上述两种方式中任何一种的实现都需要對POS流程进行单独的修改。
1.5 联机使用场景
联机使用场景是指手机联机或终端处于联机。
在联机模式下,手机和终端需要将手机黔通公交卡在脱机模式下的消费明细同步到后台,并且同步账户余额与手机电子钱包的余额。同步发起可由手机或终端之一或同步发起。
2 基于蓝牙卡的手机支付模式
2.1 苹果蓝牙卡
现在市场上的主流机型主要为苹果和安卓两大阵营。
苹果对于支付和NFC的态度比较封闭,NFC相关接口都在苹果的控制之下,第三方App无法对其进行任何改动和使用(不论是作为卡片还是读卡器)。这就意味着如果要在苹果手机上实现移动支付则必须依赖外设进行。
现有的解决方案一般是使用外置的手环、手表和异形卡等设备进行非接触交易,通过蓝牙4.0接口连接手机和外设并使用APP对其进行操作。
通过在蓝牙卡中增加GPS模块,通过手机APP俘获GPS信息,以满足老人、小孩行动轨迹的追踪和查看。
2.1.1 标准蓝牙卡
制作标准大小左右的实体卡,内部含有蓝牙4.0芯片、射频模块,手机通过蓝牙与卡配对后通信,通过手机APP实现空中发卡、圈存等功能。
2.1.2 手环卡
可穿戴设备手环中含有蓝牙4.0芯片以及射频模块,实现机制与标准蓝牙卡相同。
2.1.3 手表卡
手表中含有蓝牙4.0芯片以及射频模块,实现机制与标准蓝牙卡相同。
2.1.4 钥匙链
钥匙链中含有蓝牙4.0芯片以及射频模块,实现机制与标准蓝牙卡相同。
2.2 安卓蓝牙卡
安卓相对于苹果来说就非常开放,现在主流的三种:
·SWP-SIM(和移动运营商进行合作)
·全终端(和手机厂商进行合作)
·HCE(APP所有者自主可控)
三种方案各有优劣,针对黔通智联不想受制于移动运营商和手机厂商的现状,HCE相对于前两个方案来说是更加适宜的方案。
当然 ,安卓系统同样可以使用蓝牙4.0连接外设的方式实现。
2.3 蓝牙卡支付方案
基于蓝牙卡的手机支付模式同样采用HCE(APP所有者自主可控)方案,由移动设备的CPU直接对蓝牙卡中的芯片进行读写。
在线支付时,需要移动设备与蓝牙卡先配对成功,才能进行支付操作;离线支付时,只需要蓝牙卡直接与NFC射频读卡模块接触即可完成支付。
在使用蓝牙卡的支付模式中,同样采用HCE的优化方案来加强数据安全性。
3 脱机消费交易流程
HCE模拟卡脱机消费交易流程主要涉及客户端和消费终端两部分。大致的交易流程如下:
前置条件:
(1)用户将客户端APP激活
交易流程:
(1)由終端发起交易请求;
(2)客户端发送token给终端;
(3)终端判断客户端token的有效性;
(4)客户端判断是否支持此处交易(判断应用密钥、余额等);
(5)终端生成MAC1供客户端进行身份确认;
(6)客户端确认终端身份后,进行扣费并产生MAC2供终端验证;
(7)终端验证MAC2通过后,记录交易记录,结束交易。
4 结语
本项目研究了基于安卓HCE架构的手机支付模式、基于蓝牙卡的手机支付模式。这两种手机支付模式主要问题都集中在脱机支付时的安全性上,存放在HCE中的安全数据可能被非法读取,用于卡片的复制、数据覆盖等,有不可控制的伪卡风险。
本方案中采用token标记方式进行敏感信息的隐藏,对token设置合理的时效,能有效的降低风险,提高数据安全性;在脱机使用场景中采用设置脱机消费额度的方案,能有效防止手机的余额与后台账户余额的数据可能有较大出入,有效降低资金风险。
另外,在本方案中采用多种同步机制,及时更新token、黑名单等信息,加强数据、资金的安全性,确保电子钱包的数据与后台账户保持一致。