缪 凯（中国人民银行济南分行，山东 济南 250000）

HCE的校园应用研究

缪 凯
（中国人民银行济南分行，山东 济南 250000）

快速、非接、高效的NFC市场是移动金融的必争之地。为保障NFC支付安全，业内通常采用SE（Secure Element）存储关键信息，并以真实的硬件设备实现，如SIM卡、SD卡等。由于硬件SE涉及到运营商、手机厂商、金融行业、内容服务商（service provider）等多个行业，产业链长，协调难度大，利益分配难以均衡，导致手机支付的NFC应用一直没有规模应用。2013年，Google发布Andrioid4.4操作系统，开始支持HCE（Host Card Emulation），实现了以软件模拟SE，极大缩短了NFC产业链，2014年，Visa和万事达宣布基于HCE技术提供移动支付。但HCE的安全级别低于传统硬件SE，更适合于封闭环境应用。校园NFC应用相对独立，学生接受新生事物较快，为HCE的校园应用提供了较好的基础。本文将以校园为例，探讨结合前端和云端HCE模式，在闭环中应用移动金融的解决方案，并展望了利用复合技术，在开放环境下运用HCE的可能性。

HCE；校园应用；可行性

一、HCE

NFC应用有三种模式：读卡器模式、点对点模式和卡模拟模式。对于读卡器模式和点对点模式，信息直接路由到CPU；对于卡模式，信息会路由到SE芯片。

SE是关系到NFC卡模拟是否安全的关键因素，其主要功能是实现重要应用和数据的安全存储，对外提供安全运算服务，保障交易过程的安全性。目前在主流应用中，SE的实现方式有SIM卡、SD卡和全手机三种支付方案，无论何种硬件实现方式，SP（Service Provider）需要沟通的产业链都较长。

HCE技术的最大特点，是脱离具体物理安全模块，提供了全新的技术实现方案。因为HCE技术基于ISO/IEC 14443-4，并且支持ISO/IEC 7816-4的APDU指令交互，理论上，HCE可以完整的模拟PBOC和EMV芯片卡。

HCE按照认证模式不同，分为前端模式和云端模式，其中云端SE是实现云端认证模式的主要方式，前端认证的实现方式有主机模式、可信执行环境和独立安全存储模块模式。

云端模式是敏感信息的存储和处理都在云端，手机客户端只提供指令和传输平台。手机终端通过移动网络将数据请求发送至云端，通过手机和云端的交互验证，实现安全保障。HCE模式相对于硬件SE，依赖与网络速度，响应稍慢，安全性方面也没有硬件级别高。但HCE剪除了NFC支付利益纠葛，对于快速应用至关重要。万事达与VISA即采用安全模块云模式，

主机模式直接将数据的存储和处理放在主机的应用上，实现最简单但是安全性低，入侵者一旦获得root，所有信息将面临泄露风险。

可信执行环境（TEE）是指独立于操作系统的一个执行环境，专门用于提供安全服务，TEE有自己独立的软件和硬件资源，用于存储和处理敏感信息，但TEE没有SE的反篡改机制，实现复杂，没有成形标准。

独立安全存储模块是将敏感信息的存储和处理放在一块单独的安全模块上（SE），但是这样方式使HCE技术与传统的SE卡模拟方案毫无优势，甚至增加了实现的复杂度。

二、校园HCE应用模式

校园环境相对封闭，管理人数较多，尤其是大中院校，规模较大，由于缺乏有效的信息化规划，传统的管理模式主要依靠人工管理，食堂、图书馆、洗澡、考勤一事一卡，卡片的发行、补卡、销毁浪费了大量的人力物力。从普惠金融和节约社会资源的角度考虑，校园迫切需要寻求一种快捷安全、成本低廉、方便使用的信息化模式，实现学校的高效管理。校园学生接受新生事物快，手机普及度高，Android操作系统使用普遍，为HCE的部署提供了有利条件。

HCE的应用有三个定位：一是前端认证和云端认证相结合；二是完善业务流程提高安全保障；三是资金支付与非支付相分离。在这三个定位下，HCE有望实现校园手机通。

（一）前端认证和云端认证相结合，支付非支付相分离

通常手机将HCE的前端认证和云端认证独立安装，但两种认证模式优缺点很明显：前端认证速度快、安全级别低；云端认证速度慢、安全级别高。如果按照是否存在资金流动，分为支付应用和非支付应用。其中支付应用包括商场消费、食堂就餐、超市购物等，资金由银行管理，应用云端认证模式；非支付应用包括考勤、门禁等，存储ID号、照片等，作为学生唯一标识，应用前端认证模式。前端认证的密钥独立于云端，前端密钥体系的建设应平衡成本和安全，提高实效性。将两种认证模式同时部署于手机，支付类和非支付类相分离，就能够取长补短，加强应用实效性。为了保障资金的安全，建议控制手机资金支付在校园以内，在HCE没有完全成熟前，还是在封闭环境下使用NFC功能。

（二）建议禁止ROOT，加强用户验证

一部Android手机获取root后，用户获取最高权限的同时，安全性也将随之降低，为进一步保障安全体系，可以建议校园移动金融用户禁止ROOT。手机用户首次激活时，建议设置登陆管理密码、问答验证、大额消费短信提醒，对于短期异场景使用，终端可以拒绝支付。

（三）控制交易量交易额，加强挂失资金保障

HCE是新生事物，在试点阶段，要最大限度的保障安全，可以限制每日交易次数，每次交易额和每日交易总额的上限，允许用户通过手机管理软件修改限制，但必须输入手机验证码。对于手机HCE挂失，可以在云端设置黑名单，快速实现服务中断，最大限度的保障手机用户资金安全。

三、HCE应用的建议及展望

HCE应用提供了一种安全级别稍低，但应用快捷的NFC解决方案。尽管HCE最大的难题是安全性，但我们相信，HCE技术仍将加快整体NFC市场的发展。HCE如果走出校园等闭环交易环境，达到校园内外一机通，就需要复合技术手段配合，以增强开放应用的安全级别。

（一）使用生物测定复合验证，加强安全保障。目前主流的测定技术包括指纹识别、指纹静脉识别、声音识别、面部识别和虹膜扫描等。对于开放环境下的NFC识别，指纹识别具有明显的优势，目前指纹识别主要有按压和滑动两种，其中按压指纹识别相对成功率较高。在更为开放的环境下，建议采用HCE+指纹识别的模式，使用NFC。

（二）优化网络环境，提升HCE云端使用效率。NFC的使用一般需要在500ms以内，HCE的云端认证模式距这一目标仍有差距，目前网络的稳定性和速度仍有待进一步提高。但我们相信，在局部地区和特定型号手机，还是具备用户良好体验的可能。随着4G热点基站的扩建，通信建设的完善，HCE云端认证的实效性将快速改善。

（三）加强银行卡绑定限制，提高个人信息保障力度。使用HCE的银行卡绑定应更加严格，建议提供银行卡照片信息并电话确认后，绑定手机与银行卡的关联。这种方案保证了犯罪分子即使获取手机信息，也不能重新绑定银行卡套取资金。但与此同时，客户体验也将随之下降。

HCE技术是一场历史性的革命，对于NFC市场是一次强有力的冲击。在这一场变革中，任何一个SP都面临着机遇与挑战。在金融应用中，安全是至关重要的因素，而解决这一问题，可能需要通信商、手机制造商、金融机构的共同努力。本文提出了校园封闭环境的HCE解决方案，希望不久的将来，HCE能够应用到更广泛的开放环境，赢得产业各方的共赢。

[1]HCE：移动支付领域的革新[J].中国信用卡，2014（05），53-54.

[2]郑录军，缪凯.探研手机近场支付发展路径[J].金融电子化，2014（07）：78-79.

TP393

A

缪凯，男，研究生，工程师，中国人民银行济南分行。