HCE現(xiàn)狀及未來解析

責(zé)任編輯:editor009

2014-03-12 20:02:00

摘自:RFID世界網(wǎng)

2013年10月31日,Google發(fā)布了最新的Android4.4 操作系統(tǒng),這其中提到了一個(gè)新的NFC特性,即所謂的HCE(Host Card Emulation)。

2013年10月31日,Google發(fā)布了最新的Android4.4 操作系統(tǒng),這其中提到了一個(gè)新的NFC特性,即所謂的HCE(Host Card Emulation)。 自誕生之初,HCE就賺足了人們的眼球,這不僅僅因?yàn)檫@項(xiàng)令人耳目一新的新技術(shù)本身,更因?yàn)樗寴I(yè)界的所有人都看到了一種脫離安全載體(SE)而部署NFC的可能性。作者相信,HCE的出現(xiàn)會(huì)使得NFC服務(wù)的部署更加的容易和便捷,這是因?yàn)镠CE提供了一種簡(jiǎn)單但是安全性稍差的模擬NFC卡片的能力。HCE對(duì)于Service Providers來說,具有著重大的意義,它使得SP們可以選擇一種較低安全性但是開發(fā)成本更低、更能在短時(shí)間內(nèi)推向市場(chǎng)的技術(shù)。SP們需要在安全性和便捷性之間做一個(gè)權(quán)衡,以確定是否要采用HCE技術(shù),完成產(chǎn)品向用戶的推廣。本文的內(nèi)容選自多家安全實(shí)驗(yàn)室的報(bào)告,Google開發(fā)者文檔以及各安卓開發(fā)者論壇中的討論。作者匯總以上的所有信息,希望從安全、部署和商業(yè)的角度分析HCE技術(shù)帶來的相關(guān)影響。

1.簡(jiǎn)單回顧一下現(xiàn)有的NFC技術(shù):
 

NFC是進(jìn)場(chǎng)通信技術(shù)的簡(jiǎn)稱,主要有三種模式:點(diǎn)對(duì)點(diǎn),讀卡器和卡模擬。前面兩種模式目前在市面上的應(yīng)用還是比較多的,比如通過兩個(gè)手機(jī)對(duì)對(duì)碰后建立連接傳輸文件采用的是點(diǎn)對(duì)點(diǎn)模式,而把公交卡貼在手機(jī)背面就可以讀出余額和交易記錄采用的即是讀卡器模式。卡模擬模式則是我們所說的將手機(jī)模擬成為一張卡片,對(duì)于卡模擬模式來說,目前基于將所有敏感信息存放在一個(gè)叫做SE的安全芯片里,以確保整個(gè)環(huán)境的安全性。也正因?yàn)槿绱?,產(chǎn)業(yè)的各方都意識(shí)到SE本身是通向“手機(jī)錢包”的一扇門,通過掌握SE,可以占據(jù)支付、會(huì)員卡、優(yōu)惠券、身份識(shí)別、交通和門禁等多種使用場(chǎng)景。

目前SE存在著三種方式,UICC(基于手機(jī)SIM卡,例如國(guó)內(nèi)移動(dòng)的方案),嵌入式SE(Embeded SE,在手機(jī)中植入專門的SE芯片,主要由手機(jī)制造商所支持和采用),還有一種就是SD卡方案。

SD卡方案被證明是比較難于實(shí)施的,是因?yàn)镾D卡經(jīng)常是由第三方SP提供的,SD卡方案需要支持SWP-SD方案的手機(jī)支持,而市面上相關(guān)款式的機(jī)型還是太少。另外如果用戶希望能使用多種服務(wù)的話,還必須在不同的SD卡中間切換。

對(duì)于UICC和eSE來說,雖然解決了多應(yīng)用的問題,但SP是沒有占有SE的能力的。這意味著SP們必須要同SE的發(fā)行者們進(jìn)行溝通(多為移動(dòng)通信運(yùn)營(yíng)商及設(shè)備制造商),而這已被證明是相當(dāng)復(fù)雜和耗時(shí)的。

因此,HCE的出現(xiàn),讓大家看到了一絲解決這些問題的曙光。

2.HCE的技術(shù)特點(diǎn):
 

正如第一部分鐘提到的,NFC有三種模式:讀卡器、點(diǎn)對(duì)點(diǎn)和卡模擬。為了增強(qiáng)安全性,卡模擬技術(shù)中使用到了SE。在移動(dòng)設(shè)備中存在著一個(gè)叫做NFC控制器的芯片,該芯片的作用是根據(jù)NFC模式來做路由的決定。在卡模擬和點(diǎn)對(duì)點(diǎn)模式中,信息會(huì)被路由到主機(jī)CPU中,然而在卡模擬模式中,信息是被路由到SE芯片的。而在安卓4.4系統(tǒng)中,HCE的出現(xiàn)改變了這種傳統(tǒng)的路由方式??M模式中的命令可以被路由到CPU中所謂的HCE服務(wù)上,這就脫離了傳統(tǒng)的SE載體的限制,使得一個(gè)可以調(diào)動(dòng)HCE服務(wù)的軟件就可以作為SE存在。如下圖所示,需要說明的是,即使采用了HCE技術(shù),傳統(tǒng)的路由到SE的通道,也是保留的。

換一個(gè)角度看HCE-安全、部署以及商業(yè)未來

不管是HCE也好,基于SE的服務(wù)也罷,都需要把應(yīng)用標(biāo)識(shí)符(AID)進(jìn)行注冊(cè),而AID是在安裝的時(shí)候就已經(jīng)確定的。在安卓4.4系統(tǒng)中,默認(rèn)的NFC路由是到Host CPU。這意味著如果要采用基于SE的NFC服務(wù),就需要在NFC控制器的的所謂路由表中注冊(cè)一個(gè)新的AID。當(dāng)終端選擇AID的時(shí)候,通信數(shù)據(jù)就根據(jù)路由表中的記錄被路由至Host或者是SE。作為這種機(jī)制的一個(gè)影響,現(xiàn)有的已經(jīng)部署了SE的設(shè)備在升級(jí)至安卓4.4的過程中必須要做一次重新適配,這也意味著用戶可能需要到柜臺(tái)等地方去重新做一次升級(jí)。

安卓4.4定義了兩種NFC服務(wù)的類型,支付服務(wù)和其它服務(wù)。對(duì)于支付服務(wù),不管是基于HCE的還是基于SE的,都需要在操作系統(tǒng)中注冊(cè)為支付服務(wù)的類別。在安卓設(shè)置菜單里,有一個(gè)Tap&Pay的選項(xiàng),在這里可以選擇默認(rèn)的支付應(yīng)用。需要注意的是這個(gè)設(shè)置選項(xiàng)的位置和錢包應(yīng)用中選擇默認(rèn)支付應(yīng)用的位置是不一樣的,這意味著開發(fā)者需要特別注意這點(diǎn)而避免不必要的默認(rèn)應(yīng)用選擇的沖突。

3.HCE安全性的一些討論:
 

HCE場(chǎng)景下交易的路由還是通過了整個(gè)安卓系統(tǒng),這使得HCE的安全性基本是可以保證的。但是如果是一部終端已經(jīng)被root的終端,這種基本的安全性就被破壞了。相對(duì)于傳統(tǒng)的基于SE的方案來說,HCE具有如下一些可能的安全性風(fēng)險(xiǎn):

3.1 用戶可以對(duì)終端進(jìn)行Root操作,通過Root用戶可以取得所有儲(chǔ)存在應(yīng)用中的信息,包括類似于支付憑證之類的敏感數(shù)據(jù),這就使得惡意軟件也有了獲取敏感信息的可乘之機(jī)。從統(tǒng)計(jì)數(shù)量上來說,只有很少一部分的安卓終端進(jìn)行了Root操作,但是這仍然意味著數(shù)百萬級(jí)別的終端數(shù)量。

3.2 惡意軟件可以自行Root操作系統(tǒng)。對(duì)于前期安卓系統(tǒng)來說,由于存在著一些漏洞,導(dǎo)致不少的惡意軟件可以直接Root系統(tǒng)。雖然這些漏洞看起來影響范圍不是特別的大(比如如果用戶不安裝未知來源的安卓軟件就不會(huì)有這個(gè)問題),但在分析的過程中仍然需要考慮到這個(gè)問題。安卓系統(tǒng)的一個(gè)已知漏洞的彌補(bǔ)是很難的,這是因?yàn)榘沧肯到y(tǒng)冗長(zhǎng)的更新過程,需要花費(fèi)很長(zhǎng)的時(shí)間才能使得市面上的大部分終端都更新到最新的系統(tǒng)版本。如果在支持HCE的系統(tǒng)版本中也出現(xiàn)了缺陷,也需要花費(fèi)足夠長(zhǎng)的時(shí)間去解決現(xiàn)有終端上的缺陷問題;

3.3 如果手機(jī)丟失或者被盜取,一個(gè)惡意用戶可以Root終端或者通過其它方式訪問終端的存儲(chǔ)系統(tǒng),并且獲取各種存儲(chǔ)于應(yīng)用中的信息。這可能帶來致命的問題,比如惡意用戶可以使用這些敏感數(shù)據(jù)去完成一些偽卡的交易。

但是總的來說,如果手機(jī)不被Root的話,基本信息的安全還是可以保證的;

3.4 上面提到的三點(diǎn)主要是從操作系統(tǒng)和應(yīng)用層面本身來論證HCE是不安全的,但在作者看來,將支付數(shù)據(jù)存儲(chǔ)在云端并且采用一些技術(shù)(如Token或者非對(duì)稱密鑰等)確保從HCE Host到云端服務(wù)器的數(shù)據(jù)傳輸通道是安全的,HCE的安全性是可以得到提高和增強(qiáng)的,但采用這種方式會(huì)對(duì)交易的速度產(chǎn)生一定的影響。

4. HCE對(duì)于NFC生態(tài)的影響:

HCE提供了一種簡(jiǎn)單但并非安全的可以替代現(xiàn)有NFC格局的方式,這有可能使得HCE成為加快NFC服務(wù)部署的一個(gè)因素。HCE對(duì)于那些愿意以較低安全性去換取較大市場(chǎng)份額、較快部署速度和較低投入的SP來說,具有重要的意義。HCE可能會(huì)讓SP們不需要過多關(guān)注于同SE的發(fā)行者們進(jìn)行合作,而更加關(guān)注與利用HCE可能實(shí)現(xiàn)的業(yè)務(wù)本身。同時(shí)對(duì)于現(xiàn)有的TSM平臺(tái)來說,HCE的出現(xiàn)也使得TSM平臺(tái)需要做相應(yīng)的功能更改,從可以完成在SE上Applet的個(gè)人化,向?qū)崿F(xiàn)HCE服務(wù)個(gè)人化功能的演進(jìn)。

由于沒有采用基于硬件的SE芯片,HCE的風(fēng)險(xiǎn)會(huì)更大。我們可以考慮一個(gè)提供大金額服務(wù)并且使用范圍很廣的開環(huán)支付服務(wù)商采用HCE后可能產(chǎn)生的場(chǎng)景。使用了HCE意味著服務(wù)商可以更快并且更靈活的將自己的支付服務(wù)提供給廣大的用戶,但與此同時(shí)大量的用戶也意味著潛在的風(fēng)險(xiǎn)非常之高。因此在采用HCE之前,服務(wù)商必須進(jìn)行細(xì)致的成本估算以確認(rèn)采用HCE技術(shù)的風(fēng)險(xiǎn)是否為可控的或者可能的損失是否是可承受的。另外對(duì)于開環(huán)支付服務(wù)運(yùn)營(yíng)商來說,采用HCE還必須協(xié)調(diào)好參與各方的權(quán)力和責(zé)任,設(shè)計(jì)在出現(xiàn)可能風(fēng)險(xiǎn)時(shí)應(yīng)當(dāng)采取的策略和規(guī)則。這對(duì)于運(yùn)營(yíng)商來說也是一個(gè)不小的挑戰(zhàn)。支付組織對(duì)于HCE的態(tài)度對(duì)于HCE的推廣來說也至關(guān)重要。

對(duì)于閉環(huán)服務(wù)運(yùn)營(yíng)商來說,上面這些提到的這些問題所產(chǎn)生的影響就相對(duì)較小,閉環(huán)服務(wù)運(yùn)營(yíng)商的所有支付和結(jié)算過程均留存在體系的內(nèi)部,在規(guī)則設(shè)定和風(fēng)險(xiǎn)策略上靈活性會(huì)更大。同時(shí),如果閉環(huán)服務(wù)運(yùn)營(yíng)商主要運(yùn)營(yíng)小額交易的話,采用HCE的風(fēng)險(xiǎn)就可能是可以接受的。

不可否認(rèn)的一點(diǎn)是HCE的出現(xiàn)為NFC服務(wù)的進(jìn)一步拓展提供了一個(gè)快捷但是不安全的方案。HCE能否得到發(fā)展需要找到合適的應(yīng)用場(chǎng)景,并且需要有較好的風(fēng)險(xiǎn)控制機(jī)制,以確保服務(wù)的安全。同時(shí),由于需要和云端服務(wù)器進(jìn)行通訊和授權(quán),在采用了HCE技術(shù)以后,能否還保持傳統(tǒng)的基于SE的NFC技術(shù)在交易場(chǎng)景中快捷和迅速的特點(diǎn),也是值得觀望的。HCE的出現(xiàn),對(duì)于傳統(tǒng)的卡廠、運(yùn)營(yíng)商來說都產(chǎn)生了一定的威脅和挑戰(zhàn),能否實(shí)現(xiàn)產(chǎn)業(yè)的共贏,亦是產(chǎn)業(yè)各方需要去權(quán)衡和考慮的。不管怎樣,我們會(huì)繼續(xù)關(guān)注HCE技術(shù)的發(fā)展,期待著這項(xiàng)技術(shù)對(duì)于NFC的普及所產(chǎn)生的積極作用。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)