上回,我們在理解行動支付的應用及機制一文中,曾概略的談過行動支付到底是怎麼一回事,這回我們透過 Visa 台灣區總經理麻少華以及台灣 Visa 總監陳志銘的說明,來更深入了解 NFC 行動支付中所謂 TSM、HCE、Visa Token 的生態、特點以及背後的架構,對於行動支付的安全性有疑慮的人,也可以藉此更了解 Visa 如何確保交易的安全。
簡單來說行動支付可以分為遠端支付及近端支付兩種方式,遠端支付指的是可提供線上付款的電子商務,不管是利用電腦刷卡、手機 APP 上網購物或是電子錢包都在這個分類中;需要和實體商家面對面完成付款的行為就是近端支付,例如 NFC 及 QRCode,而近日熱門的手機信用卡就屬於近端支付的一種。
NFC 行動支付生態系統
要發展 NFC 行動支付,當然背後要有一套完整的支付系統來應對各種狀況發生。最早,在提出手機支付之前,Visa 先發展出一套 Vise payWave 的功能,只要信用卡上有五條弧形圖示就可以透過感應的方式付款;接著電信商加入行動支付戰局,與銀行業者合作提出了 TSM 平台,來完成電信商規劃的行動支付流程;當然手機作業系統的開發者也不會遺漏這塊,像是 Google 的 Android 利用雲端模擬晶片,發展出虛擬的 HCE 解決方案,讓所有 Android 裝置不須更換 SIM 卡就能當電子錢包使用;最後是 Apple 的 iOS 系統,利用 Visa Token 的服務,把信用卡卡號變成虛擬的數字代碼,成為了新的 Apple pay 付款並減少資料被盜取的風險。
以下將針對這三種不同的行動支付做更深入的說明。
▲行動支付須由店家、電信商和手機三個環境共同運作才能創造便利的流程。
▲Visa payWave 能作為 NFC 感應式付款的解決方案。
TSM 平台:台灣目前主流支付方式
TSM 的全文為 Trusted Service Manager(信託服務管理),是電信業者和銀行業者以外的公正第三方平台。之所以要有 TSM 的存在是因為電信業者和銀行業者都分別有自己的安全元件需要管理,而這些安全元件會一起存在在 microSD 卡或是 SIM 卡的晶片上,因此需透過公正的第三方做安全控管,並整合中間的資料或是資訊交流。
以下圖來說明,在行動支付加入以前,原有的支付流程式橘色區塊,發卡機構發出信用卡給消費者,消費者在商家利用收單機構提供的刷卡機刷卡後,刷卡紀錄回到支付網路中就能完成付款流程;行動支付加入後就多了藍色的區塊,包含 TSM(公正第三方平台)、安全元件供應商(製造安全元件)、電信商(提供行動上網)和手機商(製造 NFC 手機)四個角色,因此乍看之下少帶一張信用卡出門很方便,事實上背後的工作流程變得複雜許多。
如果採用 TSM 行動支付方式,安全元件可以依照不同形式呈現,像是 MicroSD 卡、SIM 卡、內建晶片或是外接晶片,前陣子中華電信推出的 SWP-SIM 卡就是以 SIM 卡形式出現的一個例子,使用者在得到 SIM 卡之後再下載 APP,就可以透過手機付款。
HCE 解決方案:Google 提出的簡化版行動支付
HCE 的全名為 Host Card Emulation(主機板模擬),是 Google 在 2013 年底所發表的行動支付方案,它能讓 Kitkat 以上版本的 Android 手機利用內建的 NFC 功能完成感應付款。
和 TSM 相比,HCE 的生態相對簡單許多,原因是 HCE 能透過主機在雲端模擬晶片所做的事,手機裡不用再加入安全元件(也就不需要安全元件商),電信商也不需要介入換發 SIM 卡(但還是要提供行動上網),因此 HCE 能讓行動產業和支付產業間的合作更為簡化。
不過 HCE 還是有一些小缺點,那就是對無線上網的高度依賴。在 HCE 支付系統中,雲端主機會透過網路傳送一次性的加密金鑰到使用者的手機裡,使用者必須要通過金鑰驗證才能付款,付款完畢後該筆金鑰就消失。金鑰的保存期限約莫一個小時,也就是說,如果在付完款之後手機沒有重新連接網路,就沒有辦法取得新的金鑰,也就無法再次利用手機付款。
為了要方便一般消費者使用,因此在特定的情境下 HCE 也可以讓使用者一次取得多組有使用時間限制的金鑰,不過金鑰的數量並不是無上限,因此如果長時間無法上網(例如出國或是到手機收訊極差的地方),HCE 的付款方式就會受到限制。
▲左邊四個圖為 TSM 支付方式、右邊黃色圖為 HCE 支付方式。
Visa 代碼服務技術(Token):Apple Pay 的基礎
Visa Token 簡單來說就是讓信用卡的卡號變成隨機的虛擬「代碼」,取代傳統卡片上的帳號資訊,降低消費者的帳號資料被盜取的風險。
Visa 最早發展出這套代碼服務技術是為了要解決店家存放太多信用卡卡號而產生的安全漏洞問題,萬一有駭客蓄意入侵店家系統,可能會出現卡號外流的風險。有了 Visa Token 之後,店家收到刷卡要求時,刷卡機會向發卡機構提出使用者的信用卡代碼授權請求,發卡機構比對代碼和信用卡卡號相符之後才能完成結帳,因此店家就不會直接得到消費者的卡號,卡號將轉由安全性更高的 Token Vault 管理,一組卡號可以對應到多組代碼,也能限定代碼的使用情境,因此萬一有某個代碼不慎遭竊,損失和之前相比也能降低不少。
Apple Pay 的支付方式裡,除了包含文章最開頭提到的 TSM 方案之外,還加入 Visa Token 代碼服務,因此 Apple 才會在發表會上保證不會儲存消費者的帳戶資料,還能確保交易的安全性。
▲Token 代碼服務好處不少,不過台灣受限於法規及環境,目前還無法使用。
Visa 談台灣,行動支付的發展與現況
Visa 台灣區總經理麻少華認為,NFC 行動支付要在台灣成功發展,有幾個重要的關鍵因素:
- 支援NFC技術的手機在台灣要越來越普及
- 有越來越多的商家裝置 Visa payWave 感應式讀卡機
- 建立消費者使用電子支付的習慣
從現金交易轉變為電子支付或是行動支付已是目前的流行趨勢,目前 Visa 已經有超過 3 萬台 Visa payWave 讀卡機在超過 12,000 家商店裡使用,從藥妝店、量販店、美食街、電影院或是高鐵、客運等處,都能發現 payWave 讀卡機的蹤影,未來 Visa 會繼續跟所有的金融機構、電信營運商、資訊業者等緊密合作,透過跨產業的合作與整合,提供消費者更多便利、安全的付款選擇。
延伸閱讀:
理解行動支付的應用及機制:手機信用卡、Apple Pay 到底是什麼?
簡單說:
若是手機只要是 OS:Kitkat 且有 NFC 功能是否就能使用 HCE 呢 ?
> 想問 HCE 是否為"百分百的純軟體" ?
> 簡單說:
> 若是手機只要是 OS:Kitkat 且有 NFC 功能是否就能使用 HCE 呢 ?
還要再加上有網路功能,就能使用 HCE。
> 還要再加上有網路功能,就能使用 HCE。
當然是有網路功能呀.
能確認 ASUS Padfone 全系列是否能用 HCE 嗎 ?
我的 Padfone 2 有 NFC(OS:Kitkat),
但 APP 測沒有 HCE,
ASUS 好像把它給醃了 !!
可否能跟 Visa/或是業內詢問一下 HCE 是否為"百分百的純軟體" ?
我想知道 HCE 跟"硬體"有無關係 ?
不然 ASUS 幹麻把 HCE 給醃了 !!
ASUS Padfone 全系列不能支援 SWP-SIM,
只能看 HCE 有沒希望了.
謝啦.
> ※ 引述《洪免》的留言:
> > 還要再加上有網路功能,就能使用 HCE。
>
> 當然是有網路功能呀.
> 能確認 ASUS Padfone 全系列是否能用 HCE 嗎 ?
> 我的 Padfone 2 有 NFC(OS:Kitkat),
> 但 APP 測沒有 HCE,
> ASUS 好像把它給醃了 !!
>
> 可否能跟 Visa/或是業內詢問一下 HCE 是否為"百分百的純軟體" ?
>
> 我想知道 HCE 跟"硬體"有無關係 ?
> 不然 ASUS 幹麻把 HCE 給醃了 !!
> ASUS Padfone 全系列不能支援 SWP-SIM,
> 只能看 HCE 有沒希望了.
>
> 謝啦.
感謝你的提問,我向 Visa 確認過,原則上只要是 Kitkat 以上手機,有 NFC 功能就能使用 HCE,不過由於"""硬體的安全性必須通過 Visa 認證""",因此不是每隻 Kitkat NFC 手機都能支援 HCE。
Visa payWave行動感應技術認證的手機列表: https://technologypartner.visa.com/Testing/TestMaterials.aspx#454
> 感謝你的提問,我向 Visa 確認過,原則上只要是 Kitkat 以上手機,有 NFC 功能就能使用 HCE,不過由於"""硬體的安全性必須通過 Visa 認證""",因此不是每隻 Kitkat NFC 手機都能支援 HCE。
>
> Visa payWave行動感應技術認證的手機列表: https://technologypartner.visa.com/Testing/TestMaterials.aspx#454
>
了解,
感謝您的回答.