SIM卡在手机支付中的发展研究

李奕

【摘要】 本文对SIM卡在移动支付中的各种技术实现方案进行剖析，分析了系统的安全控制要求，然后对SIM卡做支付相比普通卡的优势进行说明，最后对最近出现的一些无SIM卡参与的移动支付方案进行简介，并与SIM卡移动支付的特点做简要对比。

【关键词】 手机支付 SIM卡 通信

移动支付也称为手机支付，是指利用手机完成商品交易支付的行为，比如坐公交可以刷手机，去超市买东西也可以刷手机。作为新兴的电子支付方式，手机支付拥有随时随地和方便、快捷、安全等优点。由于这种支付方式不受时空、地域的限制，已成为现金支付、银行卡支付和网上支付等方式之外的一种强有力的支付手段，同时逐渐发展成为现有金融服务系统中一种更具竞争力的新型服务模式。本文对SIM卡在移动支付中的各种技术实现方案进行剖析，分析系统的安全控制要求，然后对SIM卡做支付相比普通卡的优势进行说明，最后对最近出现的一些无SIM卡参与的移动支付方案进行简介，并与SIM卡移动支付的特点做简要对比。

一、SIM卡在移动支付中的各种技术实现方案

卡片可分为磁条卡和智能卡。磁条卡典型的应用是银行卡，银行卡是利用磁信息记录客户的卡号，只能作为简单信息记录的一个载体，容易被复制，国家现在已经强制银行卡全部转用智能卡以增强安全性。智能卡集成了CPU、存储器的集成电路芯片，能对数据进行灵活的运算和存储，不易被复制，安全性很高。智能卡从通信模式上又可以分为接触卡和非接卡，利用电磁波和读卡器进行数据交互的就是非接卡，比如公交卡；而将卡电路引出来和读卡器进行连接后通信的就是接触卡，这种卡的表面上能看到铜片。传统的SIM卡就是接触卡，但是要想利用SIM卡做移动支付，就需要其同时支持非接通信功能，这是SIM卡做移动支付要解决的关键问题，各种不同的SIM卡移动支付方案也是围绕解决这个问题展开的。

传统的非接卡是大卡，卡片上有足够的空间用来放置天线，其使用13.56MHz通信频率，遵循的是ISO 14443规范。SIM卡的尺寸比传统非接卡要小得多，如何放置天线是一个重要问题，并且SIM卡放在手机里面，可能被手机的金属后盖或者电池压住，这会对非接通信产生明显的影响。

最开始的SIM卡支付方案由中国移动主导，国民技术主和国内几家主要的卡商进行开发，使用的是2.45GHz的非接通信频率，通常称为2.45G方案。国民技术负责开发非接通信芯片，卡商负责开发SIM卡上的电子钱包、一卡通等应用。2.45G方案因为其非接通信频率高，使用很小的天线即可完成稳定的非接通信，并且通过调整射频芯片的发射功率，可以灵活地调整刷卡距离，从非接通信效果来说优于13.56MHz方案。但是目前使用的POS机都是按照13.56MHz的标准来做的，如果换用2.45G方案，POS机的硬件需要进行改造，这将会耗费大量的资金，也正是因为这个原因，2.45G方案在与13.56MHz方案的竞争中落败，2013年13.56MHz方案成为移动支付的国标。但是2.45G方案也没有放弃，最近有消息称工信部可能把2.45G也作为移动支付的标准，主要因为其通信效果好，并且2.45GHz方案是中国企业的方案，其专利权全部掌握在中国企业手中。

为了使手机支付SIM卡尽快推广适用，要求其适用于现有的POS机，使用13.56MHz通信频率。最开始商用的13.56Hz SIM卡外接了一个面积较大的软体线圈作为天线，业内通常称为SIMPASS方案，因为外接的天线跟大卡的天线面积可以做的差不多大，其非接通信效果跟一般的非接大卡类似。但是该方案也存在明显的缺陷，首先，因为天线跟卡体使用软线连接，容易折断，一旦天线折断，非接功能就无法使用，就需要换卡；其次，不同的手机SIM卡插槽的方向不一样，天线和卡连接的位置如果不合适，可能导致卡插入卡槽时被连接线阻碍而插不进去，若强行插入，就可能导致天线很快被损坏，为了解决这个问题，通常需要制作天线连接位置不同的各种卡片，然后用户根据手机SIM卡插槽选择合适的卡片；最后，因为加了一个软体天线，塞在手机里面可能导致有些手机的后盖合不严密，影响美观。

为了解决外接天线方案的缺陷，出现了另一种全卡方案：将天线集成到卡内部，卡的外形跟一般的SIM卡一样。因为SIM卡面积有限，集成在内部的天线面积也就很小，小天线感应到的电压也就很小，通常需要借助专门的射频芯片辅助完成非接数据的接收和发送，并且卡片一般需要手机供电才能非接刷卡。将天线和射頻芯片以及一些其他电路元件封装在一张小小的SIM卡上，增加了SIM卡的电路复杂度，并且对制造工艺要求较高，这就导致了此种手机支付卡的成本较高。

以上几种方案，都是由卡片自身完成了全部非接通信和支付功能，由于卡片的天线在手机内部，如果手机是金属外壳或者卡片被手机电池压住，非接通信效果往往不好。为了解决非接通信的问题，又出现了SWP-SIM方案。该方案中，和POS机的非接通信由手机完成，手机负责将POS机发来的数据发给卡，并且将卡返回的数据回送给POS机。也就是说手机成为了SIM卡和POS机数据交互的桥梁。手机和POS机的通信使用ISO14443协议，手机和卡的通信使用SWP协议，SWP协议是一个全双工的单线协议，利用原来SIM卡没有使用的C6引脚作为通信线路。SWP-SIM方案的非接通信效果是上述方案中最好的，但是其推广进度并不快，主要是前期手机支付使用范围不广，手机厂商没有动力投入成本在手机上增加NFC功能以支持和POS机的非接通信，而随着手机支付的逐渐兴起，支持NFC功能的手机正在逐渐变多，SWP-SIM方案应该会逐渐成为SIM卡在手机支付中的主流方案。

二、系统的安全控制要求

在移动支付过程中，安全性是最基本也是最重要的安全控制要求。当内部网与外部网互联时，网络通信安全是首先要解决的问题。针对不同的网络结构和不同的应用需求，应采用不同的安全对策，而一个常用和有效的方法是采用防火墙（Firewall）技术。根据中国人民银行手机钱包规范PBOC3.0的要求，在支付过程中，应该根据不同的交易类型，实现联机或脱机的交易认证。一般来说，对于联机或脱机交易认证，客户终端只是在用户卡与后台或终端安全访问模块PSAM（终端安全访问模块）卡之间传递认证数据，不需要获得用户卡的密钥。密钥存储在后台或PSAM卡中，在交易过程中通过分散算法计算出用户卡的密钥，并进一步计算出相关的交易认证数据输出或对输入进行验证。系统的安全体系与终端是没有任何关联的。在目前的非接触逻辑加密卡的应用中，由于卡片没有运算能力，终端必须通过对读写模块加载密钥才能实现对卡片的最终读写。因此如何保证密钥在传输过程中的安全性，是保证卡片安全交易的关键。本模块支持两种密钥安全体系：第一种方案是读写模块本身不需具备PSAM卡功能。工作时对需要加载的密钥进行密文传输，每次交易终端向后台或另一个独立的PSAM卡申请分散后的卡片密钥密文，传送给读写模块，由模块解密后使用。第二种方案是读写模块本身具备PSAM卡功能。交易过程中密钥由模块内部直接产生，不需要进行外部传送。

本系统同移动商务SP的服务系统的连接采用增加实时接口的方法，并且做到两者处于同一局域网中，局域网之间均采用最新的防火墙隔离技术。这样才能保证数据传输的实时性，且能在物理上同外界网络上实现数据传输上的物理隔离。同时，通过防火墙的审计日志和报警功能，能够及时预防和发现防火墙所受到的攻击。交易数据在SP、金融机构和手机钱包业务平台之间的传输建议使用DDN专线连接，如果使用不安全的因特网公网连接，则应采用SSL协议加密传输交易数据。系统同移动短信网关系统的连接采用标准的SMPP/CMPP短信协议为连接标准，短信数据的传输采用协议所规定的安全机制，以确保数据包的保密安全传输。

三、SIM卡做支付相比普通卡的优势

普通商户和消费者之间通过手机进行交易的前提是需要商户和用户都和指定的银行签约，然后用户就可以到签约商户的店铺实时实地通过手机购买商品，当时可返回消费信息到用户和商户的手机上。用户通过登录WAP网站输入特定的商户号码和消费金额就可以进行自由消费，消费金额从手机钱包账户上扣除。实现这一功能要求用户和商户都拥有移动SIM卡，并且需要手机支持WAP上网功能和短信息收发功能，同时还要拥有指定银行的银行卡。系统的实现结构图如图1所示。

利用SIM卡做支付，相比普通的公交卡、银行卡等普通卡做支付有明显的好处。SIM卡上的内容可以借助手机进行展示，比如可以通过手机查询SIM卡上电子钱包的余额和刷卡记录。借助手机网络的功能，SIM卡可以和远程的服务器进行交互，可以随时随地用手机完成SIM卡钱包开卡、充值等功能。早期的SIM卡人机交互主要依靠STK，和远程服务器的通信则依靠短信通道，人机交互界面单一，远程通信较慢。随着手机的发展，现在几乎所有的手机都是智能机，并且拥有网络功能，也有越来越多的手机支持simalliance组织制定的openMobile API，利用该API，手机上的应用可以方便地访问SIM卡，这样就可以开发出各种各样的手机APP，使SIM卡的人机交互界面更丰富。快速的网络速度可以使SIM卡方便地和远程服务器交互，利用手机就可以完成以前一定要到营业网点才能进行的操作，大大方便了人们的生活。

移动支付系统中，到底选择哪一种非接方案SIM卡，并没有绝对的优劣之分，而是要根据市场环境和使用环境合理选择。比如使用地区NFC手机普及率较高，就应该选择SWP SIM卡方案；如果2.45G的POS机部署较多，就可以选择2.45G SIM卡方案。非接方案的选择跟支付功能本身没有关系，在移动支付系统中，同样功能的SIM卡可以有各种不同的非接方案共存，以便根据不同的环境和地区灵活推广。

四、结语

随着移动支付越来越火热，参与其中的公司也越来越多，提出了几种没有智能卡参与的手机支付方案，比如最近炒的比较火的HCE、支付宝付款码、Appe pay。HCE的支付過程跟有卡支付最为类似，就是利用手机APP来替代智能卡完成支付功能，该方案相比有卡支付最大的缺陷就是安全性不高，手机上的APP容易被恶意程序攻击，一旦支付应用程序崩溃，其信息又没有备份到服务器，将会导致用户的资金消失。剩余两种手机支付方案无法做到离线近场支付。支付宝的付款码实际上是利用条形码或二维码表达支付宝账号，由联网的扫码机把账号信息传到支付宝后台进行扣款。苹果的Apple pay是把信用卡账号信息存储到手机上，支付的时候通过NFC手机将加密的信用卡账号信息传给联网的POS机进行扣款。智能卡在离线近场支付中有天生的优势，在手机支付中，智能卡可能不是以SIM卡形式出现的，而是以SD卡形式出现，或是作为手机的一个元件嵌入手机中，不管以什么形式出现，智能卡在手机支付中都将占有一席之地。

4G时代的高速网络将为用户提供快捷流畅的移动化应用平台。移动运营商要积极抓住机遇，制定、完善二维码和RFID技术应用到手机支付领域的具体标准和政策，并积极引领手机自动识别技术的应用潮流，提供快捷便利的通信渠道，从而将移动支付业务拓展开来，做好做大做强。

【参考文献】

[1] 中国联通电信智能卡SWP卡技术规范v2.0[Z].2013.

[2] 袁琦：移动支付技术方案与标准进展[J].信息通信技术，2012（6）.

[3] 中国金融集成电路（IC）卡规范（简称PBOC3.0规范）[Z].2013.

[4] 边延风、王建民、曹宁：移动近场支付系统构建与业务开发实践[J].电信技术，2014（2）.

（责任编辑：张琼芳）