NFC手机支付

背景和意义：

    随着无线通信技术和网络应用的飞速发展，移动用户的数量迅速增长，人们对使用手机便捷支付服务的需求也变得越来越迫切，同时运营商和银行希望能够一次简化管理促进消费。因此对这边计算机技术和移动技术日益完善的结合，手机支付已经成为现如今炙手可热的话题。手机支付大体上可以分为两种：近场支付和远程支付两种。远程支付指：通过Web、SWS、语音等方式购物，而费用从在线账户支付的方式。近场支付是指将手机作为IC卡承载平台以及与POS机通信工具。

    近场支付方式一般分为三种：NFC，RF-SIM ，SIMPASS。本次调研的目标是NFC近场通讯技术，及其在移动支付中的应用。

NFC是Near Field Communication的缩写。一方面，它是一种短距离通信技术，主要用在手持设备上。如：日常生活中的手机。另一方面，NFC技术也是RFID技术的一个延伸。RFID技术在我们生活中还是比较常见的。我们乘坐的公交车，大学食堂里用到的饭卡，还有学生宿舍的门禁，这些地方都是RFID技术的体现。不过，传统的RFID技术只能实现信息的读取，从而来进行判定的工作。然而NFC技术则强调的是可以进行信息交互。NFC技术的应用范围很广泛，如：无接触支付，交通运输，医疗健康等。其中，大家最熟悉的莫过于，用NFC技术进行移动支付。

NFC移动支付的处理是不需要使用移动网络的。是使用NFC射频通道实现与POS收款机或者自动售货机等设备的本地通讯。点击手机的支付方式比刷信用卡的购物体验要美好的多，而且每天有越来越多的公司正在加入NFC支付的行列。但NFC和手机支付真正有趣的地方其实是它使用的应用软件给消费者和商家都能带来的价值。

 

NFC技术：

 NFC手机近场支付应用主要有：

 1）金融领域：银行、银联等金融机构以及第三方支付公司与电信运营商合作，推出手机电子钱包、手机电子现金等应用，消费者可以使用手机直接POS机进行消费，或通过手机短信或GPRS通道进行充值。

2）交通领域：公交、地铁、铁路运营公司以手机为载体，承载交通卡应用，实现刷手机乘公交、地铁、火车，并可以通过手机短信或GPRS通道进行充值。

3）电子票务：借助手机作为载体，下载音乐会、演唱会、电影、旅游景点等门票，通过手机刷卡进行票务验证。

4）门禁、安全，可以作为企业员工门禁卡，也可以作为校园学生一卡通。

 

     基于NFC的支付系统及原理：

     NFC是一种非接触式识别和互联技术，可以在移动设备、消费类电子产品、PC和智能控件工具间进行近距离无线通信。使用13.56MHZ频率进行通信。NFC方案可以分成全手机

方案和NFC+SWP方案。

全手机方案即所有硬件数据读写，安全保证均在手机实现，手机与NFC芯片接口由各厂家自行定义，较难统一运营。

NFC+SWP方案则与SIM卡结合，接口基本标准化。NFC产业链发展最为完善，从芯片制造商到SIM卡商、终端制造商、到运营商，均匀大量厂家、运营商支持。

 

NFC+SWP方案的通信主要由四部分组成：

   1）SIM卡

      涵盖SIM卡及非接触应用功能，具备安全性。

   2）SWP协议

      连接手机中近场通信芯片和SIM卡中非接触应用，并且支持在手机断电情况下继  

      续使用非接触应用

   3）NFC芯片

      实现非接触功能，连接手机中天线，并传输应用数据等到SIM卡。

      NFC芯片有以下三种工作模式。点对点通信模式：即实现无线数据交换，将两个   

      具备NFC功能的设备连接，能实现数据点对点传输。读卡器模式：即作为非接触  

      读卡器使用。卡模式：是指用于非接触移动支付，用户只需要将手机靠近读卡器，  

      然后用户只需输入密码确认交易或者直接接受交易即可。

 

   4）射频天线

          接收和发送射频信号。

 

   由于现有金融、交通等行业标准均在13.56MHZ，从兼容性及成熟度来看，NFC+SWP方案应为手机近场支付终极解决方案。

   NFC终端有3种工作模式：主动模式下，NFC终端作为一个读卡器，主动发出自己的射频场去识别和读/写，它只在其他设备发出的射频场中被动响应；双向模式下，双方都主动发出射频场来建立点对点的通信。NFC手机刷卡支付使用NFC终端的被动模型。

   基于NFC技术的手机支付系统包括终端硬件系统、终端软件系统和后台软件系统三个组成部分。其中终端硬件系统包括消费终端、充值终端和NFC手机上的MIDlet和Applet程序。

   终端硬件系统和终端软件系统统统成为“NFC系统客户端”。NFC后台系统包括NFC手机发行子系统、安全子系统、NFC应用子系统、WEB子系统、会员管理子系统，清算子系统等构成单元。

 

    NFC安全机制

    NFC系统的安全机制包括本地安全机制和系统安全机制两个部分。本地安全机制实现密匙相关应用中密匙的生命期管理，用于保证密匙等NFC系统敏感数据在使用中不会被泄露。

   系统安全机制实现通信信道的安全管理，包括创建和维护通信信道的安全，可信。用于保证NFC系统中通信双方身份以及NFC服务相关数据在网络传输中的安全性。

为了确保NFC手机的安全性，NFC手机支付系统需要具备这样一个组成部分：安全单元SE（Secure Element）,负责确保支付系统的安全，SE可以固化在NFC芯片中，也可以存在于SIM卡或者SD卡这样的可拆卸集成芯片中。安全模块是存储应用、密匙及敏感数据的载体，对于支付、身份认证等安全性要求高的应用来说必不可少。

NFC-SIM卡模式符合全球通用的规范，国际通用的VISA/MASTER/中国的银联信用卡都支持该模式，即SIM卡芯片中带有安全模块（SE）。而在手机机身中集成了NFC控制芯片和天线。具体如下图所示：

   

 

   

    NFC安全分析

　　对于NFC安全仍然要回归其基本的三大功能，卡模拟、读写、点对点交互。而功能之下，技术上都是通过频段进行数据传输，在传输过程，近场通讯安全可能遭到破坏的方式可分为四种：窃听、数据破坏、数据篡改、中间人攻击。

　　前三种攻击方式，所需要的技术能力较强，危险不大。有安全分析师表示一些针对NFC手机的仿冒和欺骗攻击已经是事实，NFC数据安全最让人忧虑的是“中间人攻击”，通过在一台手机上插入某种形式的间谍软件或恶意软件，达到再感染其它手机，这样一来窃取用户的数据。而现在的反病毒软件和操作系统架构，控制着应用程序之间的信息流，这样就提供了重要的保障措施，到达减轻这类攻击的效果,另外，智能手机、制造商和无线运营商还有着强大的加密手段和认证协议，这也是以确保NFC移动支付安全一个重要手段。不过前提是协议无漏洞，实现无BUG。

　　总述，对于如：NFC盗刷问题，通过合法POS在非授信环境中的盗刷，难以防范，但是由于通信距离近，而且成功率较差，被盗刷风险存在，但是难度大。而通过改造NFC手机进行盗刷，需要清算机构和POS管理方的规范管理。对于NFC支付的其他安全问题，随着NFC移动支付的发展，也将会逐渐变得可靠，成熟，让人们易于接受，造福人们生活

 

      目前NFC手机支付方案：

 

      根据安全模块位置的不同可衍生出两种方案，分别是：全终端方案：在手机上继承安

全芯片；机卡协作SWP方案：利用SIM卡中的安全芯片，使用SWP接口。无论何种方案均需要增加NFC通信模块，主要实现13.56MHZ信号的调制解调、编解码等底层功能，是手机与非接触POS机互通的前端。

 

     但是以上方案在手机和SIM卡更换时，考虑的部分金融英语的安全及业务管理要求，  用户换手机必须去营业厅才能将已订购的应用重新装入手机使用，要求绑定SIM卡则需 

用户重新绑定，并完成账户金额、交易信息等个人信息的迁移。总之，用户要相应方便 

快捷的移动支付则必须拥有一部NFC手机，而商家则必须配备相应的结算终端。

 

  NFC协议的主要特性：

  1）安全通信建立方便：NFC协议是一种距离非常短的通信协议，这种短距离通信非

     常安全，只需要将通信的双方“touch”就可以建立通信。

  2）支持passive通信模式：这一点对于依靠电池供电的设备，如移动电话来说是非

     常重要的。

  3）关联性：能够与其他协议关联（如蓝牙、WLAN）,从而选择设备并自动建立连接。

  4）兼容性：兼容其他广泛使用的无接触智能卡协议,如Felica和Mifare。这些卡的

     应用相对比较广泛，价格也比较便宜，兼容性可以拓展NFC设备的应用范围，即

     NFC既可以作为卡识别器，也可以作为卡被其他设备读写。

 

      NFC技术的延伸：HCE

        HCE技术只是实现了将NFC读卡器的数据送至操作系统的HCE服务或者将回复数据返回给NFC读卡器，而对于数据的处理和敏感信息的存储则没有具体实现细，所以说到底HCE技术是模拟NFC和SE通信的协议和实现。但是HCE并没有实现SE，只是用NFC与SE通信的方式告诉NFC读卡器后面有SE的支持，从而以虚拟SE的方式完成NFC业务的安全保证。既然没有SE，那么HCE用什么来充当SE呢，解决方案要么是本地软件的模拟，要么是云端服务器的模拟。

　　对于本地软件模拟SE的方案，用户敏感信息及交易数据存放在本地。交易过程和数据存储由操作系统管理，这提供了一种基本的安全保障机制(如操作系统可以将每个程序运行在一个沙箱(sandbox)里，这样可以防止一个应用程序访问其他应用的数据)。但是Android系统的安全性本来就很差，所以这种安全保证是非常脆弱的。当一部Android手机被Root之后，用户可以取得系统的最高权限，这样基本上就可以为所欲为了。

　　相较于传统的基于SE的NFC方案，HCE技术可能面临以下的风险：

　　1. 用户可以对终端进行Root操作，通过Root用户可以取得所有储存在应用中的信息，包括类似于支付凭证之类的敏感数据,这些都是服务提供商所不愿看到的，因为这也给了恶意软件获取敏感信息的可乘之机。从统计数量上来说，只有很少一部分的安卓终端进行了Root操作，但是这仍然意味着数百万级别的终端数量。

　　2. 恶意软件可以自行Root操作系统。对于前期安卓系统来说，由于存在着一些漏洞，导致不少的恶意软件可以直接Root系统。虽然这些漏洞看起来影响范围不是特别的大(比如如果用户不安装未知来源的安卓软件就不会有这个问题)，但是这仍然是一个需要考虑的问题。安卓系统的一个已知漏洞的弥补是很难的，这是因为安卓系统冗长的更新过程，需要花费很长的时间才能使得市面上的大部分终端都更新到最新的系统版本。如果在支持HCE的系统版本中也出现了缺陷，也需要花费足够长的时间去解决现有终端上的缺陷问题。

　　3. 如果手机丢失或者被盗取，一个恶意用户可以Root终端或者通过其它方式访问终端的存储系统，并且获取各种存储于应用中的信息。这可能带来致命的问题，比如恶意用户可以使用这些敏感数据去完成一些伪卡的交易。

 由此可见Android系统提供的安全保障机制非常有限，一旦被Root这种机制就荡然无存。提高HCE技术的安全性可以从两个方面来考虑，一个是提供一个更安全的存储敏感信息的位置，另外一个就是提供更安全的机制来保证这个位置的信息的安全性。

        HCE(host-based card emulation)，即基于主机的卡模拟。在一部配备NFC功能的  

    手机实现卡模拟，目前有两种方式：一种是基于硬件的，称为虚拟卡模式(Virtual Card 

    Mode);一种是基于软件的，被称为主机卡模式(Host Card Mode)

在虚拟卡模式下，需要提供安全模块SE(Secure Elemen)，SE提供对敏感信息的安全存储和对交易事务提供一个安全的执行环境。NFC芯片作为非接触通讯前端，将从外部读                  写器接收到的命令转发到SE，然后由SE处理，并通过NFC控制器回复。

而在主机卡模式下，不需要提供SE，而是由在手机中运行的一个应用或云端的服务器完成SE的功能，此时NFC芯片接收到的数据由操作系统或发送至手机中的应用，或通过移动网络发送至云端的服务器来完成交互。两种方式的特点都是绕过了手机内置的SE的限制。

  HCE技术展望

    不可否认的一点是，HCE技术提供了一种安全性稍差但是部署起来非常方便的NFC服务解决方案。HCE技术对服务提供商而言至关重要，无需SE，剪除了不少NFC支付利益方纠葛，因此他们会是HCE技术的坚决支持者。据最新的消息，万事达卡(MasterCard)已正式宣布将推出适用于HCE技术的NFC规范，而Visa则将在Visa Ready Program中加入HCE支付应用的支持特色。而NFC论坛也表态力挺HCE技术，其旗下多种标准已支持HCE技术，包括NFC控制器介面(NCI)规范，该标准结合国际标准组织(ISO)14443及日本工业标准(JIS)X 6319-4等。NFC论坛指出，现在多个产业团体陆续启动NFC服务，而HCE技术将十分有希望成为加速整体NFC市场成长的潜在因素，因此NFC论坛将持续追踪HCE技术新的开发动态并持续透过标准开发工作回应市场需求。Google公司也是大力推动HCE技术的重要角色，在其最新的Nexus 5智能手机当中，已经应用HCE技术到谷歌钱包中，搭配安卓4.4系统，无需SE安全元件就可以进行PayPass交易。

HCE技术面临的最大难题还是其安全性问题。无论是本地软件还是云端SE的方案，都没有硬件级别的安全性高。对于金融级别的移动支付，HCE技术最可行的解决方案还是基于云端SE的方法，将支付数据存储在云端并且采用一些技术(如Token或者非对称密钥等)确保从HCE Host到云端服务器的数据传输通道是安全的，HCE的安全性是可以得到提高和增强的。

虽然在金融级别的移动支付方面前景还不太明朗，但是对于像会员卡、优惠券、电子票等低价值的闭环支付方面HCE技术还是有很大的发挥余地的。这些类型的NFC应用安全要求不像账户中有大量资金的银行类支付业务，虽然需要对用户身份、凭证的安全性做出确认，避免假冒和伪造，但还未上升到金融业务的高度，因此如何在安全、便利和业务发展之间寻求平衡十分重要。谷歌HCE的出现为这些非金融支付类的O2O业务打开了一扇门，在一定程度上提供安全的模拟手段，经济的解决SE的问题，为业务的蓬勃发展大有助力。服务供应商须评估、决定储存安全凭据最好的方式，并清楚在不同的使用情境下不同的解决方案将各有优缺点，安全风险(Security Risk)与便利性间须有所取舍。

　　总之，HCE技术带来的是一次变革，为NFC的发展和普及带来了价值，同样也带来了一定的安全风险。移动支付中的安全问题至关重要，解决这个问题需要金融服务提供商、通信运营商和谷歌等方面建立起完备的安全机制。另外HCE的出现，对于传统的卡厂、运营商来说都产生了一定的威胁和挑战，能否实现产业的共赢，亦是产业各方需要去权衡和考虑的。

 

基于NFC密匙卡支付系统：

   基于NFC密匙卡支付方案是利用手机中的NFC芯片读取同样内置NFC芯片的密匙卡，手机中NFC芯片处于读卡器模式，密匙卡中NFC芯片处于卡模式，从而迅速的导入所需的安全数据。从NFC密匙卡读取的数据直接用于认证和数据发送，不在终端中存储，可以避免手机丢失和账户被盗用的安全问题。NFC密匙卡中的动态密匙可以通过USB接口从网络服务器上下载更新，动态密匙的生成和验证由第三方安全认证中心完成，网络下载过程中密匙加密解密运算由密匙卡中安全芯片完成，在电脑终端不对数据进行处理。

 

  硬件结构：NFC密匙卡分成如下几部分

（1）NFC主控芯片；（2）Smart MX安全芯片；（3）USB接口芯片（4）超薄充电锂电池

 

  NFC密匙卡注册及密匙下载流程：

 使用NFC做手机支付时，密匙的输入和使用，支付双方的身份认证都是很关键的环节。本方案的NFC密匙卡和第三方认证平台的引入，使得支付的安全性得到加强。这个支付过程分为两个部分：NFC密匙卡注册及密匙下载流程

     NFC密匙卡使用USB接口连接电脑，通过驱动和相应的安全程序连接第三方认证网站，验证密钥卡ID和用户身份，通过手机短信绑定NFC密钥卡和对应的手机，由网站分配密钥卡和手机间通信密钥。

 

  手机NFC支付流程

  手机与支付对象（收款方是个人或是商家）终端通信，在手机上显示支付明细和对方身份信息，通过第三方认证平台确认无误并获取一个用于和支付对象数据交换的加密密钥。发送自己身份和代替账号信息，收款方同样通过第三方认证平台确认，并获取一个数据加密密钥。之后进入无线加密通信，传输双方交易身份和金额，通过外部安全机制激活NFC密钥卡相应区域读取功能，读取动态密钥并发往第三方认证平台确认支付。第三方认证平台通过银行进行确定金额足以支付完成支付行为，并将支付结果通知收款方终端，双方终端均保存支付凭证信息。

  NFC手机和SIM卡与密钥卡的绑定关系只涉及到下载的那一组动态密钥，更换手机或SIM卡需要密钥卡在线认证新的手机和卡，更新后密钥卡内支付数据也被刷新。手机系统内无支付密码信息，单独丢失由于无支付动态密钥，不会对账户安全有影响。而NFC密钥卡单独丢失，无对应的手机软件和动态密钥加密密码也无法进行支付。

    本方案的创新主要在于打破了手机支付中，密钥等关键信息要储存在移动终端或附属卡中的思想，将密钥置于移动终端外，避免了手机丢失、病毒、误操作对通信安全的影响。方案中使用NFC技术又可以方便安全的读取密钥等信息，同时设计了三方认证机制和相应的安全协议保证密钥读取和传输的安全。

 

对NFC移动支付的展望：

   虽然NFC技术给手机支付带来了莫大的希望，但作为一种新兴的技术，其在应用上也存在着不小的麻烦。

首先，支持NFC技术的交易终端还远未普及。由于考虑到增加NFC功能将导致手机成本和价格的上升，手机厂商在推出NFC手机时肯定瞻前顾后，NFC手机是否能够大量上市尚属未知。

其次，NFC在安全性方面仍然存在很多不足。手机支付使用无线接入，可能造成用户支付信息的泄露；支付中很可能出现欺诈性交易。

现有的手机支付成本要比传统支付方式高，因为一方面银行会对手机支付业务收取一定比例的手续费，另一方面运营商也会收取相应的服务费和通信费。

除此之外，电信和金融两大产业，对移动支付主导权争夺，支付手续费用不统一。

移动支付市场是一座金矿，在我国的发展也还只是在初步阶段，由于根深蒂固的消费习惯会导致大部分主流消费者对于移动支付并不太热衷，我国消费者的消费习惯是“一手交钱，一手交货”，因此让NFC手机支付在后去深入生活应用推广普及中会遇到很大的阻力。移动支付产业链涉及到金融、电信、手机终端制造商、智能卡和安全芯片厂商等多方利益。所以这需要运营商和银行等之间的协作，寻找一个完美的支点，致力发展NFC手机支付，这样伴随着智能刷卡手机的普及，NFC手机支付深入各个领域，惠及全民也指日可待。

基于NFC的支付有很多种形式，但万变不离其中，形式分类的标准确定下来，结果也就一清二楚。
其实从大的方面来讲，支付本身只要搞清楚几个问题，分类、原理也就会很清楚。
如按照支付的账户载体（或支付介质）来说，可以分为磁条卡、IC卡、虚拟卡（线上）
从接触方式来说，可以分为接触式和非接触式，这里通过NFC支付必然是非接触式，也就是所谓的“闪付”
从支付路径上来说，可以分为线上和线下等。
其实，我们只要弄懂一是支付的载体，二是支付的路径，三是资金的清算，这三个答案分别是什么就会比较清楚整个支付过程。
就NFC支付来说，它是非接触式支付的主要技术和实现载体。首先从支付载体来说，它可以是具有“闪付”标识的IC卡，也可以是手机（apple pay，samsung pay，云闪付，这都是银联和手机公司推出的针对不同类型的支付产品），通过不同的应用app（可以是手机，如apple，可以是银行，也可以是第三方）绑定实体卡号，进行支付。

------------------------
这里补充一点，不同的手机支付产品，在支付的规范标准上都是统一的，只是标准的实现方式不尽相同，这里不详细展开，具体不同可参考我的其他答案，如apple pay是账户信息保存在apple手机的se模块中，apple提供统一接口进行内部安全信息的访问，云闪付是将账户信息放置在云端，支付使用token进行验证等。
---------------------------------------------------------

第二是支付的路径，目前支付NFC的受理终端（注，不一定是POS，但用POS使用appley pay必须支持“闪付”）也有很多种，比如一些第三方的综合受理终端、手机刷卡器等等，因为规范都是一致的，只是不同的实现而已。

第三是资金清算，目前支持NFC的基本都是银联推出的产品，资金清算均是传统的商户入账流程，这里不详细展开。

• NFC常见的，据我所知有三种形式，不过基本都是基于13.56MHz的：
  
  1. 银联闪付银行卡
     这个就是非常常见的，背面有“闪付”LOGO的银行卡，一般这种银行卡会附带一个IC，并且在正面会露出IC的接触点，也就是我们常说的芯片卡。
     
  2. 闪付异形卡
     异形卡主要是银行推出的，比如工行的闪酷卡（跟圆片门禁卡一样大小）、招行的Hello Kitty心形卡，这些也是闪付银行卡的一种，内置NFC芯片，支持闪付交易，只是卡片不单独发行，需要绑定某张标规的卡作为扣款账户，特点是方便携带、外观新颖好看。
  3. NFC手机
     这就是时下这几天比较火的了，NFC支付需要通过App获取支付的Token令牌，这个令牌也是与某个实体卡绑定的。通常NFC支付App分为两种，一种是银行发行的，一种是非银行发行的。
     银行发行的App，就是在安卓上的银行客户端“云闪付”插件（和银联合作的），一般启用此插件后，需要绑定卡片，获取Token，注册到系统NFC，麻烦之处在于，你有10个不同银行的卡，如果他们都支持手机NFC，那么你需要安装十个App来解决这个需求，并且没有办法很快很方便的在支付的时候选择默认卡之外的银行和卡片……
     非银行发行的App，主要是Apple Pay、Android Pay和电信钱包（刚听说），这些通过与银行和卡组织合作，提供集中式的卡片管理和Token管理，工作方式也是基于NFC，与银行的App大同小异，只是集中管理后更方便。不过iOS不开放NFC给App调用，所以爱疯上一直没有所谓的“云闪付”出现，直到Apple Pay出现大家才醒悟原来前年的iPhone 6是有NFC的呀~
• 银联闪付和Apple Pay都是基于13.56MHz的非接触式交易，工作方式及原理大同小异。