文/东信和平科技股份有限公司 黄小鹏

　　摘要：城市通卡的数字化建设是未来通卡行业，乃至城市信息化建设的未来目标。HCE技术的出现，将会影响城市通卡行业的技术发展方向。本文将在“互联互通”、“互联网+”、“互联网思维”等国家级政策、思想指导下，对HCE技术在城市通卡领域的应用进行探讨。

　　一、简述城市通卡应用现状

　　随着城市信息化建设和应用的不断推进，以IC卡为存储和身份识别介质的城市智能卡系统在社会公共服务和金融服务领域得到了广泛应用。城市通卡早已超越了以公共交通领域为主的传统应用模式，跨行业、多领域应用以及区域间实现互联互通成为主要发展方向，有效整合政府资源，完善政府为民服务功能。

　　城市通卡的应用可归纳至八大领域，包括：交通领域(公交、出租、加油)、消费购物(超市、便利店)、时尚生活(美容、干洗)、医疗健康、旅游拓展(景区年卡)、休闲餐饮、文化娱乐生活、代缴费业务(水电气费、移动及固定电话费)。

　　与此同时，与市民密切相关的公共事业缴费、金融服务、个人身份识别都能够通过城市通卡这个纽带有效的串联起来，使一卡多用、一卡通用落到了实处，真正做到便民、利民、惠民。

　　1、城市通卡行业市场

　　根据行业内不完全统计，目前按照住建部行业标准统一建设项目建设城市有190多个，涵盖了全国90%的省会城市和地级城市，覆盖了7亿以上人口，互联互通卡发卡量达到了1.5亿张。截至目前，全国城市一卡通互联互通城市有72个。

　　2、城市通卡支付应用

　　1)主流支付应用载体：

　　完善的卡片类产品：纯非接卡、双界面卡、纯非接异型卡等，均可加载不同的应用(PBOC、公交一卡通、第三方支付等);

　　手机终端类产品：SWP SIM卡、SWPSD卡、NFC SIM全卡、NFC SD全卡、SIMpass、eSE手机、NFC手机等;

　　移动支付终端设备产品：基于移动支付业务的POS终端、自助(发卡)服务终端;

　　移动支付系统平台：基于安全的核心系统TSM、密钥管理、远程发卡、账号管理的系统产品及各类增值业务平台。

　　2)移动支付方面依旧保持TSM + SE生态系统模式

　　3、城市通卡发展方向

　　城市通卡在实现区域间、行业间的互联互通之外，移动支付应用的发展已是未来行业拓展的方向之一。于2015年7月，央行发布《关于促进互联网金融健康发展的指导意见》，指出互联网支付应始终坚持服务电子商务发展和为社会提供小额、快捷、便民小微支付服务的宗旨。该指导意见的提出为城市通卡在移动支付方面带来了很大的机遇，特别是具有金融功能的移动支付方式。以NFC为契机，围绕通卡“小微”之特色，实现空中发卡、充值消费、小额支付等等，为市民带来便利，在“互联网+”国家级政策指导下的城市通卡将会摸索出新的方向。

　　二、HCE技术在城市通卡领域应用

　　1、回顾移动支付技术---NFC

　　近场通信(Near Field Communication，简称为NFC)业务是一项以手机为载体，把非接触式IC卡应用结合于手机中，主要有三种模式：点对点，读卡器和卡模拟。实现支付、身份认证和信息交换等多种应用的服务产品。可以大大方便我们的工作生活，让我们轻松享受“刷机生活”。

　　前面两种模式目前在市面上的应用还是比较多的，比如通过两个手机对对碰后建立连接传输文件采用的是点对点模式，而把公交卡贴在手机背面就可以读出余额和交易记录采用的即是读卡器模式。卡模拟模式则是我们所说的将手机模拟成为一张卡片，对于卡模拟模式来说，目前基于将所有敏感信息存放在一个叫做SE的安全芯片里，以确保整个环境的安全性。在移动设备中存在着一个叫作NFCController芯片，该芯片可根据NFC应用的模式来作数据路由。在读卡器和点对点模式中，信息被路由到主机CPU中，而在卡模拟模式中，数据被路由到SE芯片，实现数据的鉴权和加解密。也正因为如此，产业的各方都意识到SE本身是通向“手机钱包”的一扇门，通过掌握SE，可以占据支付、会员卡、优惠券、身份识别、交通和门禁等多种使用场景。

　　目前SE存在着三种方式，UICC(基于手机SIM卡)，嵌入式SE(EmbededSE，在手机中植入专门的SE芯片)，还有一种就是SD卡方案，然而SD卡方案需要支持SWP-SD方案的手机支持，而市面上相关款式的机型还是太少，在多服务应用中的使用体验也存在欠缺。在城市通卡行业中，则选择的是嵌入式SE方式，将SE嵌入通卡内，以确保刷卡应用中的安全性。

　　2、HCE技术概述

　　HCE(host card emulation)是Google在2013年年底发布的Android4.4(KitKat)版本中推出的新技术，中文名称是『主机卡模拟技术』。基于该技术，VISA和中国银联已先后发布了HCE云端支付技术规范，即用手机APP 软件模拟芯片卡的安全技术，实现银行卡发卡交易。

　　HCE的出现改变了传统的路由方式。卡模拟模式中的数据可以被路由到手机APP中所谓的HCE服务上，这就脱离了传统的SE芯片载体的限制，使得主机安装一个可以调用HCE服务的软件就能够作为SE存在，各类应用的卡密钥被存储在云端服务器(另外一种是本地终端模式，将密钥放在本地终端内，主要实现小额脱机支付)，当交易进行时，Host CPU将从云端调用相应密钥进行鉴权。目前在HCE的协议栈中已经实现了ISO14443和ISO7816的相应规范，能够支持常用的NFC卡模拟应用。

　　HCE技术协议特性：支持APDU协议，可兼容选择AID进入应用的场景(如：DC、EC、qPBOC和EDEP等)、支持ISO14443-3TYPE A/Type B、支持Android托管ISO14443-3非接协议参数。

　　3、HCE技术与SE技术对比

　　在此比较一下HCE方案与NFC全终端手机方案，NFC全终端手机方案依旧将NFC芯片和SE集成于手机中，手机客户端通过基带处理器与安全芯片SE进行交互，可通过客户端方式对SE进行应用加载个人化等操作。同时与HCE技术最大区别在于全终端方案仍需要在手机中内置硬件SE安全芯片。

　　4、HCE技术与TEE相结合

　　HCE最大的吸引力是向应用方提供独立的、轻量级的客户端方案，在成本降低的同时，产业链也有所缩短，而城市通卡存在多应用需求，安全性始终是移动支付必须迈过的坎。

　　HCE技术只是实现了将NFC读卡器的数据送至HCE APP(各细分行业提供应用)以及将回复数据返回给NFC读卡器，而对于数据的处理和敏感信息的存储则没有具体实现细分，所以说到底HCE技术是模拟NFC和SE通信的协议和实现。但是HCE并没有实现SE功能，只是用NFC与SE通信的方式告诉NFC读卡器后面(即手机系统连接上的云端)有SE存在，从而以虚拟SE的方式完成NFC业务的安全保证。而现实的用户使用操作、各个城市通卡支付应用软件的运行处理往往存在不确定性，无法保证诸如用户自行ROOT系统、存在第三方恶意软件获取系统权限、仿冒应用以及后台攻击等异常情况下的安全性。

　　由于缺少了实体SE的保护，对于使用HCE云端支付的城市通卡应用需要结合其他安全加固方案才能保证支付安全性。基于TEE(TrustedExecution Environments可信执行环境)的HCE移动支付将是最为合理的解决方案，它提供介于普通RichOS和SE之间的安全性的框架，目的是将高安全敏感的应用与通用的软件环境进行隔离，具有安全地提供访问硬件资源(如安全存储、安全显示和用户接口等)的能力。在此列举银联基于HCE的移动支付流程框架作分析，如下图所示：

　　下图为结合TEE后，安全性增强的HCE APP本地认证机制：

　　结合TEE移动解决方案，可保持现有的云端支付平台不用改造，将客户端安全操作和存储直接移到TEE侧。而TrustedOS默认先于操作系统独立启动，通过对设备资源的特权访问，为授权的应用程序提供安全的存储和运行环境，防止敏感应用及数据受到来自开放操作系统端恶意软件的攻击，保护可信应用及数据的保密性、完整性，也同时保证HCE本地端支付模式及云端支付模式的安全性。当然，HCE与Token技术的相结合也是另外一种较为成熟的云端SE安全解决方案，在这就不详细探讨了。

　　5、HCE技术推动城市通卡移动支付应用

　　1)移动支付应用推动情况

　　在城市通卡的移动支付推广应用当中，主要使用工具是与手机相结合的NFC终端类产品。为适合实际生活各类群体的使用习惯、经济收入及运营商的推广优势，可分为SWP SIM卡、SWP SD卡、SIMepay、SDepay、SIMpass、eSE手机、NFC手机等相关形态。

　　SWP SIM卡为移动运营商最为大力推广NFC移动支付产品之一，SWP SIM卡属于SIM卡的国际标准，以一种新规格的SIM卡作为安全芯片，将卡号与密码存放在SIM卡内，支持NFC移动支付。优势在于NFC手机内的NFC芯片与SIM卡的连接使用C6(SWP)触点，并不影响SIM卡高速空中数据下载，此类型的NFC芯片与安全模块(Secure Element)相互分离，支付等安全类应用等加载在SIM卡上，非安全类应用等安装在手机客户端上。尽管根据行业内部统计，SWP SIM卡在2014年出货量以95%的年增长率增长。但从产业链方面来看，移动运营商控制着城市通卡业务应用量及模式，隐性制约着城市通卡发展。

(SWP SIM解决方案)

(SIMepay解决方案)

　　SWP SD卡同样是NFC移动支付产品之一，应用服务提供商(Service Provider，SP)可以自行发行SD卡，这样就能独立于移动运营商发展NFC业务，因此金融行业机构做主导时更愿意采用这种方式。但是SWP SD卡方案需要支持SWP-SD方案的手机支持，而手机厂商都此类技术应用并不感冒。另外一张SWP SD卡一般只能支持一个SP的服务，若用户希望能使用多种类服务，必须在不同的SWP SD卡中间切换，切换过程繁琐且成本偏高。SIMepay、SDepay、SIMpass、eSE手机、NFC手机所产生的成本更高，推广力度小。

　　2)HCE技术让城市通卡行业加速转型

　　HCE将是线上线下业务的连接点，HCE使得发卡机构可以自行发行“软卡”，摆脱对实体SE的依赖，将原有的线下卡业务整合到线上，建立起实时可达的卡用户交互通道，形成革命性的变革。若结合大数据精准分析，将能够进一步打造智能会员分析体系。以下是运用HCE技术的移动支付业务应用交易流程。

　　HCEAPP本地认证(前端脱机)支付业务：

　　HCEAPP云端支付业务：

　　6、可穿戴移动支付结合HCE技术探讨

　　HCE技术的云支付应用主要受限于“软”、“硬”两方面的限制：Android4.4(KitKat)系统及NFC功能硬件。智能手机行业众所周知，Android系统的更新迭代速度、用户普及率过慢过低，且大部分智能手机均不支持NFC功能，即便有数据显示，至2018年，全球三分之二的手机将支持NFC功能，NFC手机的出货量将达到12亿台，但国民对NFC功能的接受程度依然有待提高，特别在智能手机的更换频率方面，也是较亚洲地区处于平均水平以下。如何运用更为方便、更为经济的方式突破HCE发展的“硬”限制，可穿戴支付产品将是下一个关键“硬”动力。

　　我们可以设想将NFC近场支付模块脱离智能手机，并内置于可穿戴支付产品。在进行支付交互操作时，通过蓝牙通道由移动手机与云端支付平台进行HCE APP认证鉴权/APDU业务处理等处理。

　　该方式可解决NFC手机用户普及低的问题，且不改变客户端的使用习惯及体验效果。可穿戴支付产品一直以来以提高用户体验、提高用户接受新兴科技的推动产品之一，更多是以智能手环、智能手表的表现方式存在，也许是因为Apple Watch的存在，智能手环、手表是智能可穿戴设备中认知率最高的。无论从成本及用户体验方面，对比起智能手机的学习成本也相对较低，可穿戴产品在突破基于HCE技术的云支付应用推广限制方面，作为一个新兴近场支付形态载体也不失为一个可尝试验证的理论方案。

　　7、HCE技术在通卡应用中的可行性分析

　　1)从终端用户使用习惯及用户体验分析

　　HCE技术的应用存在太多方面的限制，如首要改变的是将支付载体改为带Android4.4(KitKat)系统移动设备，而且必须具有NFC Controller模块，HCE技术的应用才具有意义。目前，主流的手机厂商三星设备在全球智能移动设备市场的占有率达到30%，仅2013年的出货量达4410万台。而在这些智能产品中大部分都支持NFC应用，其中包括三星Galaxy NoteⅡ，Galaxy Note III，Galaxy S3，Galaxy S4，Galaxy S4 Active及三星Xoom等。虽然目前三星推出众多移动设备中支持NFC功能占有一定比例，但Android4.4(KitKat)版本的应用率仅还不足NFC智能设备总数的2%，更何况全球移动设备厂商在2015年出品支持NFC的手机普及率仅大约20%，远远低于预期。另一方面，将让终端用户改变使用工具，将明显增加升级成本，在此不得不再提及一种情况，如消费者无法在手机没电的情况下执行移动支付功能，或在交通运输的电子票证应用上需要较硬体方案更长的执行时间等，皆将阻碍该HCE技术在市场上普及的脚步，这些是在推动基于HCE的云支付发展时也需要考虑的因素。

　　2)从支付安全角度分析

　　考虑到Android系统本身的安全性，HCE的认证信息不储存在系统中，同时还要求完整的端对端加密方式，包括信令(Tokenization)以及兼容现有的规范，这增加了HCE系统建设成本的同时也意味着存储于云端的密钥体系一旦被攻破，支付安全将陷入系统性风险。

　　HCE技术目前更适合应用于安全要求较低的闭环应用环境，比如会员卡、优惠券等，对于通卡支付部分应用环境也是较为合适的。

　　3)从产业链角度分析

　　HCE技术极度简化了复杂繁复的NFC移动支付产业链，使得发卡机构摆脱了长期对SE的依赖，真正获得对SE的自主控制权。HCE模式下，依托SE云服务基础设施，如东信和平等制卡单位及发卡机构将会有效控制云端SE访问权限，各产业链角色也会慢慢转型，产业结构及未来发展方向将会有一定的过渡调整期。

　　8、行业政策、标准等层面大力支持移动金融

　　1)政府推动

　　在中国特有的国情大环境下发展，任何可行性创新技术突破及普及发展都离不开国家政府政策的大力推动。而从智能卡行业内部得知由交通部主导出台的一卡通移动支付规范中也特别明确将支持HCE的技术应用。

　　《交通一卡通移动支付规范》第3部分：近场支付提及到『云端支付交易模型是指用户通过客户端软件或应用管理终端完成身份识别、比对和认证交易，用户账号、应用密码等敏感的个人身份信息可存储在云端平台，使用HCE、TOKEN等机制来实现安全认证，无需SE实体的支持，如图所示。』

　　2)行业推动

　　移动互联网时代下移动支付呈高速发展的趋势，金融领域的移动金融创新应用产品更是层出不穷，基于HCE的云支付近来成为一大热门，几大银行纷纷涉足。继国内工行首推出HCE云支付信用卡之后，潍坊银行、南京银行、中信银行等也推出了相应的云支付产品，据了解中行、建行以及银联等也都在积极布局相关的HCE产品。在国外业界，VISA、Bankinter、PrivatBank、CARTAworldwode、NXP等整体智能卡产业链更是普遍看好HCE、Tokenization、TEE等技术应用前景，迅速受到业界广泛欢迎。

　　总结

　　随着智能卡支付向移动支付、数字支付方向的转变，让整个智能卡行业有了新的思考。据欧洲智能卡协会Eurosmart预测，2015年SE安全元件的芯片出货量将达到9.01亿。如今加上HCE、Tokenization、TEE等技术的发展和应用，NFC移动设备的普及将会带来整个移动支付产业的变化。

　　银行业务与服务已走上互联网金融的转型与升级之路，对于我们一直关注的城市通卡未来发展，云计算和大数据技术融合应用是必须的，而基于云计算 + 软件SE +Token + TEE技术的移动新产品和新服务方式，将是未来的选择。

　　面对数字化的趋势，HCE在未来的支付方式一定是多样化、融合化的，智能卡行业的走向我们也无法预测，我们需要做的是接受、运用新的技术和方式，以致推动整个智能卡行业的发展。