联通兴业通信技术有限公司 龙文祥 王俊清
移动支付卡将进入快速发展阶段
联通兴业通信技术有限公司 龙文祥 王俊清
通过对支付市场面临的困境和几种支付卡的比较,简述了发展移动支付的新兴战略意义和现有的支付手段向移动支付过度的必然性及需要解决的问题,并进一步说明移动支付卡在移动互联网中可以起到的安全、支付和身份识别功能以及成为未来终端安全枢纽的可能。通过对现有终端及国际规范的研究,描述了电信卡若要成为终端安全枢纽对手机的要求和手机目前的支持现状。
非接CPU卡;SWP;安全;身份识别;安全枢纽;移动支付
目前有两种用于支付的卡很普及:
一是银行卡(磁条卡)、一是公交卡(Mifare及兼容卡)。
据中国人民银行粗略估算,我国目前每年银行卡案件涉及金额在1亿元左右,并呈逐年上升趋势。银行卡犯罪持续高发,主要原因是目前国内银行普遍使用磁条银行卡。
事实上,在欧美等发达国家,磁条卡已经很少使用,人们使用的银行卡主要是IC卡(确切地说是指CPU卡),我国的银行卡已超过20亿张,90%以上的银行卡仍然是磁条卡。根据中国人民银行和中国银行业协会联合下发的芯片卡推广草案讨论稿,各商业银行计划在2015年将全面停止发行磁条卡。
另外一个有安全隐患的支付卡就是Mifare卡,2008年,国内的很多公交系统、门禁系统已发行了大量的Mifare卡。但同年10月,互联网上公布了破解Mifare 1芯片的办法,致使一些不法分子,用很少的代价就可以对采用该芯片的一卡通和门禁卡进行充值和复制,给社会经济和安全带来了极大的危害和隐患。随着有关部委的一纸文件,Mifare卡向非接触CPU卡的升级就成了很多已经发行了Mifare公交卡的城市所要关心的问题,而那些还没有开始发公交IC卡的城市也在考虑该如何直接发行非接CPU卡。
2.1 非接CPU卡与磁卡的比较
非接CPU卡的外形与磁卡相似,它与磁卡的区别在于数据存储的媒体不同。磁卡是通过卡上磁条的磁场变化来存储信息的,而非接CPU卡是通过嵌入卡中的电擦除式可编程只读存储器集成电路芯片(EEPROM)来存储数据信息的。因此,与磁卡相比较,非接CPU卡具有以下优点:
(1)非接CPU卡存储容量更大。磁卡的存储容量大约在200个数字字符;非接CPU卡的存储容量根据型号不同,小的几百个字符,大的有几百兆甚至几千兆的字符。
(2)非接CPU卡安全保密性更好。非接CPU卡上的信息能够随意读取、修改、擦除,但都需要密码。而磁卡却易被读出和伪造、保密性差,需要计算机网络或中央数据库的支持。
(3)非接CPU卡具有数据处理能力。在与读卡器进行数据交换时,可对数据进行加密、解密甚至和POS互相认证,以确保交换数据的准确可靠;而磁卡则无此功能。
(4)磁卡读磁易失误,常会导致交易失败,从而影响客户服务及商家对利润的获取。
(5)非接CPU卡使用寿命长,更为安全。
(6)随着非接CPU卡价格持续下降,磁卡的价格优势也逐步消失。
2.2 Mifare卡和非接触CPU卡的比较
(1)Mifare卡也是一种IC卡,采用私有加密算法,实质为逻辑加密卡;而非接触CPU卡多数采用的是公开的DES算法,内部具有微处理器CPU,在安全方面,非接触CPU卡有更高的安全措施和保证。
(2)Mifare卡的通讯协议仅支持到ISO14443-3,采用typeA协议;而非接触CPU卡可以支持ISO14443-,具有typeA、typeB两种协议,非接触CPU卡还可以支持ISO/IEC 18092,采用type F协议,因此非接触CPU卡有更为宽泛的通信兼容性。
(3)Mifare卡的交易时间远小于CPU卡的交易时间,不过随着CPU卡的运算速度的不断提升,差距会越来越小,而且,牺牲眨眼功夫的时间来保证安全也是值得的。
(4)非接触CPU卡的运算速度彼此差异很大,内置COS(卡操作系统),相当于一台微型电脑,它对计算机网络系统要求较低,可实现脱机操作,成为真正意义的一卡多应用。
通过对几种主流支付卡的分析比较,可看出带CPU的IC卡具有其他卡类不可比拟的优势,它的多功能性、高安全性和高处理能力,必定会成为行业内及跨行业一卡多应用发展的翘楚。
3.1 非接触IC卡的向后兼容
对于已经发行了银行卡和Mifare卡的,IC卡的升级是一个循序渐进的过程。由于已经布置的机具不一定支持非接触CPU卡,而已经发行的卡也很难强制回收。这时如果发行了新的非接触CPU卡,就需要兼容过去的磁卡和Mifare卡。目前,大部分芯片厂商的非接触CPU卡都具备模拟Mifare的功能。
3.2 机具的升级
对于机具的升级,也应考虑要同时支持既有的Mifare卡和新发行的非接触CPU卡。
3.3 非接触CPU卡的应用标准
标准的制定和选择是至关重要的,曾有运营商由于选择了某使用私有规范的厂家的产品,造成了后期业务发展骑虎难下的局面:继续购买,受制于人,没有其他竞争厂家,拿不到优惠价格;不继续购买,已经铺好的系统就会成为废弃物。
因此,从系统初建起就选择符合国家或国际标准的产品是明智之举。
由于安全需求,磁条卡升级为CPU卡成为银行业的必然,但因成本很高,再加上ATM机和POS机的改造成本更高,将会使普及CPU卡的过程变得更为漫长。但移动支付却在客观上加速了这一进程。
因为手机就是无数个POS终端,并可作为支付平台。手机的便捷性,让一些不具备使用传统的票据、银行卡类业务的偏远的地方多了一项便捷的支付手段。在确保安全的前提下,发展移动支付可以提高经济活动效率,降低商务和消费成本,有助于从根本上改变农村等偏远地区支付手段落后的现状,拉动消费,扩大内需。
另外,随着移动通信的快速发展,手机的业务日益丰富,功能更加强大,支付的远程化、随身化,将各种支付卡、票券集成入手机已经成为趋势,手机成为整合远近程支付业务的最好工具。将原有近场支付业务如手机银行卡、手机公交卡等进行整合,并与远程支付结合,通过客户端进行展示,采用空中下载技术,或以预加载后激活的方式让用户自主选择所需应用,也是提高客户服务的有效手段。
目前,我国手机用户数超过7.5亿,而银行个人账户超过28个亿,还有2000多万个单位账户。近30亿的银行账户,如果和7.5亿手机用户密切联系起来,这个市场前景将非常巨大,发展移动支付,具有战略意义。
SWP电信智能卡是非接CPU卡和电信USIM卡的合集。支付、社交、云计算,是移动互联网中最重要的应用,隐私问题、安全问题是限制其发展的最大障碍。而电信智能卡的安全性、独特功能可以最大限度地解决这些问题。
随着移动支付的发展,移动支付卡本身还将发挥更多的安全优势,带来更多的边缘效应。计算机网上支付尚需U盾等外部智能卡的帮助,更何况一个实时在线的手机终端。社交实名制也为运营商带来新的契机:手机号关联身份证号,由运营商来保证实名制,会带来更多的信任度。小小的移动电信智能卡有成为终端安全枢纽的可能。
发挥好SWP电信智能卡的身份认证和安全枢纽功能,有利于提高运营商在整个移动互联网中的核心地位,增强行业竞争力。
电信智能卡要想充分发挥作用,需要手机的配合。移动支付卡有接触式、非接触式两种,接触式支付通过STK菜单向专有接入号发短信激发应用,并通过回送系统的验证码来验证并完成支付请求。由于此种STK应用较手机终端的应用界面更差,安全性没有优势而鲜有使用。非接触式支付卡根据相关银行规范要求来保证安全,是常用的支付卡。
6.1 非接支付卡对手机的要求和终端支持现状
目前,主流的非接CPU卡有RFSIM、SIMPASS、和SWP。
前两者需要手机终端适配,但不需要改造。后者需要NFC手机。目前市面上支持NFC的手机已有160余款。随着支付业务的开展,支持NFC的手机将越来越多,甚至可能成为标配。
6.2 成为终端安全枢纽的电信卡对手机的要求和终端支持现状
手机最重要的应用是接打电话,应用在运行时不应该影响接收电话,即接收电话应有最高优先级。手机若正在进行一笔交易却来了电话,相当于正在进行消费的银行卡被强迫插拔卡或掉电,一旦手机应用编程质量不高,极易引起纠纷,造成严重的后果。即便应用程序质量良好,而刷卡成功的不确定性也会给客户带来不好的消费体验,影响移动支付行业的健康发展。
另外,有时需要一张卡中的几个应用相互并行地与同一台终端交换数据,如,一个人拿着个电信多功能智能卡在通话的同时,将建行钱包的一笔钱存到中行。由于IC卡是单个串行接口,而来自卡的应答APDU不含有原命令的信息,即从终端处不可能断定卡已经回送的代码属于哪条命令。那么国际规范中是否已有解决之道,拥有支持智能卡多应用并行的功能指令呢?答案是肯定的,即开辟不同的逻辑通道,使不同的应用在独立的逻辑通道中运行。
打开手机逻辑通道的指令首先需要手机基带芯片支持,其次,需要手机操作系统支持。
目前,高通的基带芯片已经给出了打开这一通道的基础,那么,所有使用高通基带芯片的手机在操作系统层就有条件实现打开手机到智能卡的逻辑通道,因此,随着移动通信产业链的不断成熟,随着移动支付市场的不断成熟和移动互联网的不断发展,电信智能卡也必将迎来其快速发展的时期。
[1]3GPP TS 27.007 V8.3.0(2008-03)”Technical Specif i cation 3rd Generation Partnership Project;Technical Specification Group Core Network and Terminals;AT command set for User Equipment(UE)(Release 8).
[2]3GPP TS 31.102: “3rd Generation Partnership Project;Technical Specif i cation Group Terminals;Characteristics of the USIM Application.
[3]ETSI TS 102 221 “Smart Cards;UICC-Terminal interface;Physical and logical characteristics(Release 1999).
[4]3GPP TS 31.111 V7.0.0(2005-06)Technical Specif i cation 3rd Generation Partnership Project;Technical Specif i cation Group Core Network and Terminals;USIM Application Toolkit(USAT)(Release 6).
[5]3GPP TS 31.101:”UICC-Terminal Interface;Physical and Logical Characteristics.”.
[6]ETSI TS 102 310:”Smart Cards;Extensible Authentication Protocol support in the UICC”.
[7]ETSI TS 102 221:”Smart cards;UICC-Terminal interface;Physical and logical characteristics”.
[9]ETSI TS 100 916 V7.8.0(2003-03)Technical Specif i cation Digital cellular telecommunications system(Phase 2+);AT Command set for GSM Mobile Equipment(ME)(3GPP TS 07.07 version 7.8.0 Release 1998).
[10]IETF RFC 4187(January 2006):Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement(EAP-AKA).
[11]http://blog.sina.com.cn/s/blog_4df8400a0100fucv.html智能卡技术博客.
[12]http://www.icmade.com/Sheet/48001.html智能卡安全数据传输逻辑通道.
[13]NFC-OTA平台-移动支付多应用管理平台,2009-09-07 15:14:09握奇.
[14]云安全云隐私是云模式普及的主要挑战2011-12-14 10:23.来源:风云在线.
[15]http://tech.sina.com.cn/i/2010-03-30/11164002258.shtml胡虎,人民邮电报.
王俊清,联通兴业通信技术有限公司工程师,主要从事智能卡COS编写工作。
龙文祥,联通兴业通信技术有限公司工程师,主要从事移动通信技术领域的相关工作。