HCE近場支付解決方案20140711_第1頁
HCE近場支付解決方案20140711_第2頁
HCE近場支付解決方案20140711_第3頁
HCE近場支付解決方案20140711_第4頁
HCE近場支付解決方案20140711_第5頁
已閱讀5頁,還剩22頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

NFC-HCE近場支付解決方案基于HCE的近場支付新業(yè)務(wù)模式目錄132HCE云端支付技術(shù)方案HCE業(yè)務(wù)模式什么是HCE?4HCE前端支付技術(shù)方案HCEHCE(Host-basedCardEmulation)是Google在剛剛發(fā)布的Android4.4KitKat中新增的一種系統(tǒng)服務(wù)API。HCE使得NFC手機(jī)可以在沒有硬件SE的情況下采用卡模擬模式進(jìn)行NFC支付。任意APP都可以模擬一張SE直接和Reader進(jìn)行通信。A:傳統(tǒng)的NFCSE架構(gòu)B:HCE架構(gòu):由NFC主控芯片收集的數(shù)據(jù),直接經(jīng)CPU傳送到APPAPPAPPHCE迅速受到業(yè)界廣泛歡迎Visa

hasintroducedanewstandardthatuses

hostcardemulation(HCE)

toenablefinancialinstitutionstosecurelyhostVisaaccountsinthecloud.

TheHCE-basedNFCpaymentssolutiontobedeployedbySpain'sBankinterthisyearhasbeendemonstratedbythebank'sAlbertoPerezLafuenteandtechnologyproviderSeglan'sImanolGarciainavideointerviewfilmedbyVisaEuropeatMWC2014.Ukraine's

PrivatBank

istolaunchacloud-basedNFCpaymentsserviceusinghostcardemulation(HCE).TransactiontechnologyproviderCartaWorldwide

hasaddedsupportforhostcardemulation(HCE)toitsmobilepaymentsplatform—andiscurrently"supportingmarkettrialsinEuropeandNorthAmerica"thatareexpectedtoleadtolargescaleHCEdeploymentsinlate2014.NXP

hasupdatedits

PN547NFCcontroller‘sfirmwareandmiddlewaretoprovideenhancedsupportforhostcardemulation(HCE)transactions.HCE和全終端eSE方案的區(qū)別NFC全終端手機(jī)將NFC芯片和SE都集成于手機(jī)中,手機(jī)客戶端通過基帶處理器與安全芯片SE進(jìn)行交互,可以通過客戶端方式對SE進(jìn)行應(yīng)用加載個(gè)人化等操作。全終端方案仍需在手機(jī)中內(nèi)置硬件SE安全芯片。這是和HCE最大的區(qū)別。HCE支持的協(xié)議和訪問機(jī)制支持APDU協(xié)議;可兼容現(xiàn)有的借貸記、電子現(xiàn)金、電子錢包卡APPAID1APPAID2AID注冊表每個(gè)APP有唯一的AID根據(jù)AID路由到指定APP進(jìn)行數(shù)據(jù)處理HCE的安全機(jī)制APP后臺密鑰安全:由APP自定義密鑰安全APP安全:Android沙箱(SandBox)確保APP運(yùn)行和數(shù)據(jù)安全。通道安全:Android系統(tǒng)確保APP和NFC之間的APDU傳輸安全;確保APP和NFC之間數(shù)據(jù)傳輸?shù)奈ㄒ恍浴PP和后臺安全:由APP和后臺自定義安全協(xié)議后臺HCE兩種認(rèn)證模式APPA:前端模式優(yōu)點(diǎn):快速交易缺點(diǎn):密鑰可能被泄漏適用于:小額快速脫機(jī)交易密鑰APP密鑰B:云端模式優(yōu)點(diǎn):密鑰更安全缺點(diǎn):需要實(shí)時(shí)聯(lián)網(wǎng)適用于:大額聯(lián)機(jī)交易兩種認(rèn)證模式的比較前端模式云端模式卡數(shù)據(jù)存儲位置存儲在前端;密鑰保存在軟件APP中存儲在后臺交易速度較快稍慢;依賴于網(wǎng)絡(luò)速度適用場景小額快速脫機(jī)交易大額聯(lián)機(jī)交易建議適用的業(yè)務(wù)類型電子錢包;電子現(xiàn)金;有限額的預(yù)付費(fèi)卡;定額卡;會員ID卡;門禁、考勤等借/貸記卡;額度較大的預(yù)付費(fèi)卡安全體系需求需要設(shè)計(jì)具有較高強(qiáng)度的數(shù)據(jù)安全存儲機(jī)制,確??〝?shù)據(jù)存儲和調(diào)用安全需要設(shè)計(jì)較為完整的APP認(rèn)證機(jī)制,確保對APP進(jìn)行認(rèn)證和鑒權(quán)后才能調(diào)用后臺卡數(shù)據(jù)目錄132HCE云端支付技術(shù)方案HCE業(yè)務(wù)模式什么是HCE?4HCE前端支付技術(shù)方案HCE是線上線下業(yè)務(wù)的連接點(diǎn)onlineoffline線上發(fā)卡:APP業(yè)務(wù)入口空中發(fā)卡在線充值:形成以銀行卡賬戶為核心的消費(fèi)模式。數(shù)據(jù)分析、消費(fèi)引導(dǎo)線下刷卡:形成O2O消費(fèi)閉環(huán)銀聯(lián)POS、自有POS、合作POS……手機(jī)當(dāng)POS用,直接刷銀行卡消費(fèi)HCE使得商業(yè)銀行可以發(fā)行“軟卡”,擺脫對實(shí)體硬件的依賴。這能夠?qū)⒃械木€下卡業(yè)務(wù)整合到線上,建立起實(shí)時(shí)可達(dá)的卡用戶交互通道,形成革命性的變革。結(jié)合大數(shù)據(jù)精準(zhǔn)分析,將能夠進(jìn)一步打造智能會員分析體系。HCE云端支付業(yè)務(wù)模型APPAID1APPAID2云端支付平臺卡1數(shù)據(jù)托管卡2數(shù)據(jù)托管POS密鑰收單行/清結(jié)算網(wǎng)絡(luò)發(fā)卡行系統(tǒng)NFC手機(jī)終端空中發(fā)卡交易驗(yàn)證交易請求交易請求交易驗(yàn)證卡片驗(yàn)證/交易處理HCE前端脫機(jī)支付業(yè)務(wù)模型APP云端支付平臺用戶認(rèn)證卡數(shù)據(jù)POS密鑰收單行/清結(jié)算網(wǎng)絡(luò)發(fā)卡行系統(tǒng)NFC手機(jī)終端空中發(fā)卡空中發(fā)卡清結(jié)算日結(jié)/批上送脫機(jī)卡片驗(yàn)證/脫機(jī)交易處理目錄132HCE云端支付技術(shù)方案HCE業(yè)務(wù)模式什么是HCE?4HCE前端支付技術(shù)方案HCE云端支付系統(tǒng)框架銀行HCE-APP銀行TSM-A銀行手機(jī)錢包APP銀行金融IC卡系統(tǒng)密鑰系統(tǒng)個(gè)人化系統(tǒng)數(shù)據(jù)準(zhǔn)備系統(tǒng)空中發(fā)卡空中充值SE-TSM對接運(yùn)營商SE-TSM運(yùn)營商手機(jī)錢包APP云端支付平臺卡密鑰托管密鑰運(yùn)算APP認(rèn)證鑒權(quán)空中發(fā)卡流程APPAID1云端支付平臺卡數(shù)據(jù)托管發(fā)卡行系統(tǒng)NFC手機(jī)終端2、發(fā)卡請求1、發(fā)卡請求4、返回結(jié)果3、下發(fā)卡數(shù)據(jù)3、用戶身份驗(yàn)證發(fā)卡前,用戶需安裝APP應(yīng)用程序,并注冊登錄。在登錄之后,用戶在APP上點(diǎn)擊申請新卡片。此時(shí),APP將啟動(dòng)空中發(fā)卡流程。由云端支付平臺生成卡數(shù)據(jù),并托管在后臺。云端支付交易流程APPAID1云端支付平臺卡數(shù)據(jù)托管POS密鑰收單行/清結(jié)算網(wǎng)絡(luò)發(fā)卡行系統(tǒng)NFC手機(jī)終端2、APDU驗(yàn)證請求6、聯(lián)機(jī)處理6、聯(lián)機(jī)處理4、返回結(jié)果1、應(yīng)用選擇/初始化/SDA3、APP認(rèn)證鑒權(quán)/APDU處理5、返回結(jié)果HCE-APP應(yīng)用認(rèn)證機(jī)制APP云端支付平臺APP認(rèn)證鑒權(quán)APP私鑰NFC手機(jī)終端發(fā)卡行CA應(yīng)用認(rèn)證/PIN驗(yàn)證/終端驗(yàn)證數(shù)字證書簽發(fā)/驗(yàn)證采用數(shù)字證書、用戶PIN碼、終端驗(yàn)證的三重驗(yàn)證機(jī)制。在登錄之后,用戶在APP上點(diǎn)擊申請新卡片。此時(shí),APP將啟動(dòng)空中發(fā)卡流程??罩邪踩诺溃⊿SL)HCE-APP安全威脅與防守方案攻擊目標(biāo)攻擊方法防守方案破解反編譯,重新打包;用戶仿冒截屏多機(jī)重復(fù)登錄應(yīng)用仿冒偽裝應(yīng)用惡意分發(fā)惡意復(fù)制后臺攻擊重放攻擊非授權(quán)的遠(yuǎn)程接口調(diào)用防破解代碼簽名驗(yàn)證混淆NDK強(qiáng)認(rèn)證用戶身份證書綁定數(shù)字簽名證書認(rèn)證用戶密鑰保護(hù)應(yīng)用、終端、用戶唯一性綁定抵御后臺攻擊SID防重放攻擊;遠(yuǎn)程接口調(diào)用者應(yīng)用身份認(rèn)證;抗仿冒代碼簽名應(yīng)用認(rèn)證;數(shù)字證書HCE-APP云端支付平臺目錄132HCE云端支付技術(shù)方案HCE業(yè)務(wù)模式什么是HCE?4HCE前端支付技術(shù)方案HCE前端脫機(jī)支付安全需求21采用數(shù)字證書技術(shù)來解決卡密鑰數(shù)據(jù)存在的安全威脅,是目前最好的解決方案和途徑。

但是由于在手機(jī)上不能像在PC上采用U盾來存儲私鑰和進(jìn)行簽名運(yùn)算,存在以下關(guān)鍵技術(shù)問題需要解決:密鑰數(shù)據(jù)安全保護(hù)如何保證用戶私鑰在普通手機(jī)上的安全存儲和使用,保證私鑰在使用時(shí)不能被跟蹤?密鑰數(shù)據(jù)訪問控制如何保證調(diào)用用戶私鑰的APP是經(jīng)過認(rèn)證的,是沒有被篡改的,抗擊非法調(diào)用?對用戶在移動(dòng)終端上的密鑰數(shù)據(jù)進(jìn)行安全保護(hù),密鑰不能被導(dǎo)出、竊聽,確保用戶私鑰安全。對用戶私鑰建立起訪問控制機(jī)制,確保手機(jī)客戶端經(jīng)過認(rèn)證和授權(quán)之后才能訪問私鑰,防止非法應(yīng)用對私鑰的非法訪問。核心安全需求APPHCE前端支付密鑰安全機(jī)制數(shù)據(jù)加密密鑰DEK用戶私鑰PrivKeyIMEI隨機(jī)數(shù)用戶PIN卡密鑰組消費(fèi)密鑰MAC密鑰……2、解密2、解密用戶公鑰PubKey1、加密1、加密用戶私鑰(SM2):以非對稱密碼算法的私鑰作為信任基點(diǎn)。采用多因子分散的方法進(jìn)行私鑰組裝運(yùn)算。不需要存儲私鑰。DEK(3DES):采用對稱密鑰DEK作為工作密鑰。DEK由用戶公鑰加密,私鑰解密。DEK加密后存儲在手機(jī)端??荑€(依應(yīng)用而定):卡密鑰由DEK進(jìn)行加密,加密后存儲在手機(jī)端。用戶私鑰保護(hù)機(jī)制密鑰算法:采用基于ECC的國產(chǎn)非對稱密碼算法SM2。SM2的私鑰可以在創(chuàng)建時(shí)指定。密鑰分散:由多個(gè)互不相關(guān)的因子組裝形成私鑰。設(shè)備信息:采用手機(jī)唯一的IMEI作為設(shè)備信息參與運(yùn)算。運(yùn)算時(shí)從系統(tǒng)接口中讀取,不需要存儲。用戶信息:采用用戶設(shè)置的PIN碼作為用戶信息。運(yùn)算時(shí)由用戶輸入,不需要存儲。隨機(jī)因子:采用軟件隨機(jī)數(shù)作為隨機(jī)因子。在生成密鑰時(shí)創(chuàng)建,保存在手機(jī)中。密鑰因子相關(guān)性:密鑰因子之間無相關(guān)性。最大程度提升保密強(qiáng)度。密鑰分段運(yùn)算:各段因子在進(jìn)行運(yùn)算時(shí)分別運(yùn)算,不需要組裝成完整私鑰再運(yùn)算。這是SM2算法的特性。密鑰存儲與運(yùn)行數(shù)據(jù)安全:因?yàn)槭欠侄芜\(yùn)算,因此手機(jī)上永遠(yuǎn)不會存儲完整私鑰,在運(yùn)算過程中內(nèi)存數(shù)據(jù)中也不會出現(xiàn)私鑰臨時(shí)數(shù)據(jù)??梢缘挚箖?nèi)存分析

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論