移动支付也称为手机支付,是指利用手机完成商品交易支付的行为,比如坐公交可以刷手机,去超市买东西也可以刷手机。 作为新兴的电子支付方式,手机支付拥有随时随地和方便、快捷、安全等优点。 由于这种支付方式不受时空、地域的限制,已成为现金支付、银行卡支付和网上支付等方式之外的一种强有力的支付手段,同时逐渐发展成为现有金融服务系统中一种更具竞争力的新型服务模式。
本文对 SIM 卡在移动支付中的各种技术实现方案进行剖析,分析系统的安全控制要求,然后对 SIM 卡做支付相比普通卡的优势进行说明, 最后对最近出现的一些无 SIM卡参与的移动支付方案进行简介,并与 SIM 卡移动支付的特点做简要对比。
一、SIM 卡在移动支付中的各种技术实现方案。
卡片可分为磁条卡和智能卡。 磁条卡典型的应用是银行卡,银行卡是利用磁信息记录客户的卡号,只能作为简单信息记录的一个载体,容易被复制,国家现在已经强制银行卡全部转用智能卡以增强安全性。 智能卡集成了CPU、存储器的集成电路芯片,能对数据进行灵活的运算和存储,不易被复制,安全性很高。 智能卡从通信模式上又可以分为接触卡和非接卡,利用电磁波和读卡器进行数据交互的就是非接卡,比如公交卡;而将卡电路引出来和读卡器进行连接后通信的就是接触卡,这种卡的表面上能看到铜片。 传统的 SIM 卡就是接触卡,但是要想利用 SIM 卡做移动支付,就需要其同时支持非接通信功能,这是 SIM卡做移动支付要解决的关键问题, 各种不同的 SIM 卡移动支付方案也是围绕解决这个问题展开的。
传统的非接卡是大卡,卡片上有足够的空间用来放置天线,其使用 13.56MHz 通信频率,遵循的是 ISO 14443 规范。SIM 卡的尺寸比传统非接卡要小得多,如何放置天线是一个重要问题,并且 SIM 卡放在手机里面,可能被手机的金属后盖或者电池压住,这会对非接通信产生明显的影响。
最开始的 SIM 卡支付方案由中国移动主导,国民技术主和国内几家主要的卡商进行开发,使用的是 2.45GHz 的非接通信频率,通常称为 2.45G 方案。 国民技术负责开发非接通信芯片,卡商负责开发 SIM 卡上的电子钱包、一卡通等应用。2.45G 方案因为其非接通信频率高,使用很小的天线即可完成稳定的非接通信,并且通过调整射频芯片的发射功率,可以灵活地调整刷卡距离,从非接通信效果来说优于 13.56MHz 方案。 但是目前使用的 POS机都是按照13.56MHz 的标准来做的,如果换用 2.45G 方案,POS机的硬件需要进行改造,这将会耗费大量的资金,也正是因为这个原因,2.45G 方案在与 13.56MHz 方案的竞争中落败,2013 年 13.56MHz 方案成为移动支付的国标。 但是 2.45G方案也没有放弃,最近有消息称工信部可能把 2.45G 也作为 移 动 支 付 的 标 准 , 主 要 因 为 其 通 信 效 果 好 , 并 且2.45GHz 方案是中国企业的方案,其专利权全部掌握在中国企业手中。
为了使手机支付 SIM 卡尽快推广适用,要求其适用于现有的 POS机,使用 13.56MHz 通信频率。 最开始商用的13.56Hz SIM 卡外接了一个面积较大的软体线圈作为天线,业内通常称为 SIMPASS方案,因为外接的天线跟大卡的天线面积可以做的差不多大,其非接通信效果跟一般的非接大卡类似。 但是该方案也存在明显的缺陷,首先,因为天线跟卡体使用软线连接,容易折断,一旦天线折断,非接功能就无法使用,就需要换卡;其次,不同的手机 SIM 卡插槽的方向不一样, 天线和卡连接的位置如果不合适,可能导致卡插入卡槽时被连接线阻碍而插不进去,若强行插入,就可能导致天线很快被损坏,为了解决这个问题,通常需要制作天线连接位置不同的各种卡片,然后用户根据手机 SIM 卡插槽选择合适的卡片;最后,因为加了一个软体天线,塞在手机里面可能导致有些手机的后盖合不严密,影响美观。
为了解决外接天线方案的缺陷,出现了另一种全卡方案:将天线集成到卡内部,卡的外形跟一般的 SIM 卡一样。
因为 SIM 卡面积有限,集成在内部的天线面积也就很小,小天线感应到的电压也就很小,通常需要借助专门的射频芯片辅助完成非接数据的接收和发送,并且卡片一般需要手机供电才能非接刷卡。 将天线和射频芯片以及一些其他电路元件封装在一张小小的 SIM 卡上, 增加了 SIM 卡的电路复杂度,并且对制造工艺要求较高,这就导致了此种手机支付卡的成本较高。
以上几种方案,都是由卡片自身完成了全部非接通信和支付功能,由于卡片的天线在手机内部,如果手机是金属外壳或者卡片被手机电池压住, 非接通信效果往往不好。 为了解决非接通信的问题,又出现了 SWP- SIM 方案。
该方案中,和 POS机的非接通信由手机完成,手机负责将POS机发来的数据发给卡, 并且将卡返回的数据回送给POS机。 也就是说手机成为了 SIM 卡和 POS机数据交互的桥梁。 手机和 POS机的通信使用 ISO14443 协议,手机和卡的通信使用 SWP协议,SWP协议是一个全双工的单线协议,利用原来 SIM 卡没有使用的 C6 引脚作为通信线路。SWP- SIM 方案的非接通信效果是上述方案中最好的,但是其推广进度并不快,主要是前期手机支付使用范围不广, 手机厂商没有动力投入成本在手机上增加 NFC 功能以支持和 POS机的非接通信, 而随着手机支付的逐渐兴起, 支持 NFC 功能的手机正在逐渐变多,SWP- SIM 方案应该会逐渐成为 SIM 卡在手机支付中的主流方案。
二、系统的安全控制要求。
在移动支付过程中,安全性是最基本也是最重要的安全控制要求。 当内部网与外部网互联时,网络通信安全是首先要解决的问题。 针对不同的网络结构和不同的应用需求,应采用不同的安全对策,而一个常用和有效的方法是采用防火墙( Firewall)技术。 根据中国人民银行手机钱包规范 PBOC3.0 的要求,在支付过程中,应该根据不同的交易类型,实现联机或脱机的交易认证。 一般来说,对于联机或脱机交易认证,客户终端只是在用户卡与后台或终端安全访问模块 PSAM( 终端安全访问模块) 卡之间传递认证数据, 不需要获得用户卡的密钥。 密钥存储在后台或PSAM 卡中,在交易过程中通过分散算法计算出用户卡的密钥,并进一步计算出相关的交易认证数据输出或对输入进行验证。 系统的安全体系与终端是没有任何关联的。 在目前的非接触逻辑加密卡的应用中,由于卡片没有运算能力,终端必须通过对读写模块加载密钥才能实现对卡片的最终读写。 因此如何保证密钥在传输过程中的安全性,是保证卡片安全交易的关键。 本模块支持两种密钥安全体系: 第一种方案是读写模块本身不需具备 PSAM 卡功能。
工作时对需要加载的密钥进行密文传输,每次交易终端向后台或另一个独立的 PSAM 卡申请分散后的卡片密钥密文,传送给读写模块,由模块解密后使用。 第二种方案是读写模块本身具备 PSAM 卡功能。交易过程中密钥由模块内部直接产生,不需要进行外部传送。
本系统同移动商务 SP的服务系统的连接采用增加实时接口的方法,并且做到两者处于同一局域网中,局域网之间均采用最新的防火墙隔离技术。 这样才能保证数据传输的实时性,且能在物理上同外界网络上实现数据传输上的物理隔离。 同时,通过防火墙的审计日志和报警功能,能够及时预防和发现防火墙所受到的攻击。 交易数据在 SP、金融机构和手机钱包业务平台之间的传输建议使用 DDN专线连接,如果使用不安全的因特网公网连接,则应采用SSL 协议加密传输交易数据。 系统同移动短信网关系统的连接采用标准的 SMPP/CMPP 短信协议为连接标准,短信数据的传输采用协议所规定的安全机制,以确保数据包的保密安全传输。
三、SIM 卡做支付相比普通卡的优势。
普通商户和消费者之间通过手机进行交易的前提是需要商户和用户都和指定的银行签约,然后用户就可以到签约商户的店铺实时实地通过手机购买商品,当时可返回消费信息到用户和商户的手机上。 用户通过登录 WAP网站输入特定的商户号码和消费金额就可以进行自由消费,消费金额从手机钱包账户上扣除。 实现这一功能要求用户和商户都拥有移动 SIM 卡,并且需要手机支持 WAP上网功能和短信息收发功能, 同时还要拥有指定银行的银行卡。
利用 SIM 卡做支付,相比普通的公交卡、银行卡等普通卡做支付有明显的好处。 SIM 卡上的内容可以借助手机进行展示, 比如可以通过手机查询 SIM 卡上电子钱包的余额和刷卡记录。 借助手机网络的功能,SIM 卡可以和远程的服务器进行交互, 可以随时随地用手机完成 SIM 卡钱包开卡、充值等功能。 早期的 SIM 卡人机交互主要依靠STK,和远程服务器的通信则依靠短信通道,人机交互界面单一,远程通信较慢。 随着手机的发展,现在几乎所有的手机都是智能机,并且拥有网络功能,也有越来越多的手机支持 simalliance 组织制定的 openMobile API, 利用该API,手机上的应用可以方便地访问 SIM 卡,这样就可以开发出各种各样的手机 APP, 使 SIM 卡的人机交互界面更丰富。 快速的网络速度可以使 SIM 卡方便地和远程服务器交互,利用手机就可以完成以前一定要到营业网点才能进行的操作,大大方便了人们的生活。
移动支付系统中,到底选择哪一种非接方案 SIM 卡,并没有绝对的优劣之分,而是要根据市场环境和使用环境合理选择。 比如使用地区 NFC 手机普及率较高,就应该选择 SWP SIM 卡方案; 如果 2.45G 的 POS机部署较多,就可以选择 2.45G SIM 卡方案。 非接方案的选择跟支付功能本身没有关系,在移动支付系统中,同样功能的 SIM 卡可以有各种不同的非接方案共存,以便根据不同的环境和地区灵活推广。
四、结语。
随着移动支付越来越火热,参与其中的公司也越来越多,提出了几种没有智能卡参与的手机支付方案,比如最近炒的比较火的 HCE、支付宝付款码、Appe pay. HCE 的支付过程跟有卡支付最为类似, 就是利用手机 APP来替代智能卡完成支付功能,该方案相比有卡支付最大的缺陷就是安全性不高,手机上的 APP容易被恶意程序攻击,一旦支付应用程序崩溃,其信息又没有备份到服务器,将会导致用户的资金消失。 剩余两种手机支付方案无法做到离线近场支付。 支付宝的付款码实际上是利用条形码或二维码表达支付宝账号,由联网的扫码机把账号信息传到支付宝后台进行扣款。 苹果的 Apple pay 是把信用卡账号信息存储到手机上, 支付的时候通过 NFC 手机将加密的信用卡账号信息传给联网的 POS机进行扣款。 智能卡在离线近场支付中有天生的优势,在手机支付中,智能卡可能不是以 SIM 卡形式出现的,而是以 SD 卡形式出现,或是作为手机的一个元件嵌入手机中, 不管以什么形式出现,智能卡在手机支付中都将占有一席之地。
4G 时代的高速网络将为用户提供快捷流畅的移动化应用平台。 移动运营商要积极抓住机遇,制定、完善二维码和 RFID 技术应用到手机支付领域的具体标准和政策,并积极引领手机自动识别技术的应用潮流,提供快捷便利的通信渠道,从而将移动支付业务拓展开来,做好做大做强。
