作者:卓望
來源:LABS
縮寫解釋:
O2O:即Online To Offline,是指將線下的商務機會與互聯網結合,讓互聯網成為線下交易的前臺
NFC:是Near Field Communication縮寫,即近距離無線通訊技術
SE:Secure Element,安全原件
HCE:Host card emulation
ROM:Read only Memory,唯讀儲存,手機ROM指寫入ROM晶片的手機作業系統
NFC-SWP:Near Field Communication(NFC)-Single Wire Protocol(SWP)
面對行動支付,以及撲面而來的O2O電子商務的機會,NFC始終是一道朦朧的風景。NFC的不慍不火,一直讓堅守NFC陣營的人們期待這只是黎明前的黑暗,不過,轉眼間黎明前的黑暗已經10年。10年來,NFC一直只聽樓梯響不見佳人來,害苦了賭上一切、壓寶NFC的芸芸眾生。
NFC經歷了終端功能從功能機到智慧機,終端品牌從諾基亞到三星,終端業務管道從互聯網到行動互聯網,現在看起來,NFC依然是那個NFC,蘋果已經推出了ibeacon,笑看雲起雲落,義無反顧的拋棄了NFC。說不清是對NFC堅守者的嘲笑還是不屑。
只所以出現如今的局面,原因可能千萬,但其中NFC發展始終有一道坎,就是如何解決松耦合的無線通訊與安全的平衡,這道坎上人頭攢動,終端製造商、卡商、通信運營商、業務提供商,各顯神通。提出的方案也是五花八門,全終端、SIM卡、SD卡,沖著的都是那個解決安全問題的SE(安全單元)。可惜,在這場百花爭鳴的盛宴中誰也不能一統江湖,你方唱吧我登場,但均是叫好不叫座,不能帶來突破。
谷歌在行動互聯網的盛宴中,起的不能算早,甚至也看不到在這個領域橫徵暴斂一夜暴富的潛力,但賠本賺吆喝之餘,不聲不響的佔據了智慧終端機半壁江山的android,卻為谷歌帶來業界實打實的話語權,雖然不是終端製造商,也不是通信運營商,但對作業系統開放體系的掌握,無人能及,以至於android無論出什麼官方的更新都可能變成行動終端上事實上的工業標準。當谷歌宣佈在andorid
4.4的系統中支援HCE時,著實朝著NFC這一潭死水中扔了個大炮仗。
HCE說白了就是模擬NFC和SE的通信的協議和實現。HCE沒有實現SE,但是HCE以NFC與SE通信的方式告訴NFC讀卡器後面有SE支持,從而以虛擬SE的方式完成NFC業務的安全保障。HCE可以讓讀卡器信以為真有SE,那麼沒有SE晶片,HCE用誰來充當SE呢,解決方案要麼是雲端的類比,要麼是本地軟體的類比。
谷歌提出HCE的技術並不是創新和發明,早在2011年,黑莓已經提出了類似的方案(吐槽一句,其實對黑莓而言,真的沒必要提出模擬SE的方案,黑莓終端是自家的硬體,搞個全終端方案不就好了嗎,何必繞圈子。
當然,也許HCE可以節省SE的成本是黑莓方案背後的秘密)。美國的行動互聯網創新者simplytapp也早提出了雲端SE的概念,並通過Cyanogen MOD的非官方發行android ROM發佈了類似谷歌HCE的實現,也就是說,擁有android手機的使用者可以通過root 系統後刷機的方式,利用非官方ROM使用類似於谷歌HCE的功能。
因此,谷歌HCE只不過是谷歌根據業界的創新和未來戰略提出的HCE官方的實現而已。不過這個官方實現,對於谷歌來說,也是一個開創新的業務模式的創新,這樣有爭議的創新,官方發佈也具備了一些值得稱道的勇氣。
谷歌的HCE只是模擬了NFC與SE的通信,至於SE的實現則是空白,沒有提出解決方案和實現。針對SE,谷歌留下的是空間但同時也是責任,負責安全的SE如何通過當地語系化的軟體或者遠端的雲端實現,並且能夠保障安全性,著實是個頭疼的問題,傳統意義上而言,沒有獨立硬體支撐的金鑰儲存和運算機制,安全都要打一個折扣,這也是為什麼一個SE把NFC產業折騰的欲仙欲死的根源所在。谷歌聰明的把這個難題留白,給各路神仙留下了空間,同時,也相對的把安全責任的包袱給甩得一乾二淨。
HCE究竟為NFC業務帶來了什麼好處,需要從NFC支援的業務談起,首先需要澄清的是NFC不等同於行動支付,行動支付只是NFC諸多應用中安全要求最高的應用之一,在行動互聯網業務爆發的時代,NFC應用的範圍也日益廣泛,會員卡、優惠券、電子票等基於身份、憑證的應用有些雖然可以劃入廣義的行動支付的範疇,但和需要牌照的支付和銀行的支付,在安全和業務監管要求的程度上不盡相同。
這些類型的NFC應用安全要求,不像帳戶中有大量資金的銀行類支付業務,雖然需要對使用者身份、憑證的安全性做出確認,避免假冒和偽造,但還未上升到金融業務的高度,因此如何在安全、便利和業務發展之間尋求平衡十分重要。同時,NFC是嫁接行動互聯網與線下,共同完成O2O電子商務活動的關鍵要素,完全稱得上是行動互聯網O2O業務的依賴的核心交互技術手段,是O2O行業發展的不遑多讓的關鍵助力。
O2O業務的發展,在沒有HCE的時代,同樣受至於NFC的發展,堪稱裹足不前(當然,基於二維碼、RFID的一些業務也在風風火火開展,只不過是有不小的局限性而已)。谷歌HCE的出現為這些非金融支付類的O2O業務打開了一扇門,在一定程度上提供安全的模擬手段,經濟的解決SE的問題,為業務的蓬勃發展大有助力。
至於金融級別的行動支付,HCE是否可以登堂入室,第一要看Visa、master是否能夠解決本地軟體、遠端雲端SE的安全問題,第二要看,技術上可以解決後上述機構和政府層面是否願意接受這樣的方案。目前,大陸有個別運營商和銀行在小規模試用類似HCE的技術手段,希望推動行動支付的發展,但是否能夠成為標準,形成規模,還需要時間考驗。因此,HCE對行動支付行業發展的影響,暫時不好評論。
HCE為NFC的發展帶來了價值,同樣也存在著一定的安全風險。HCE帶來了繁花似錦,也免不了蒼蠅蚊蟲,HCE給O2O的業務發展打開了一扇門,也給投機取巧惡意鑽營者開了一扇窗。本地軟體模式和雲端類比遠端實現SE,安全級別沒有硬體晶片級別的安全級別高,在通信和使用中,存在SE金鑰安全洩露的問題。
另外,也存在假冒具備安全晶片協力廠商SE的可能性,即使使用了安全晶片SE的金融支付應用,也可以被人為地使用HCE假冒和偽造,帶來較高的風險。偽造和假冒別人的SE技術成本降低,SE造成的欺詐也會如影隨行。因此,配套的對SE類型和業務的鑒別和認證機制建設和運營迫在眉睫。如果沒有認證的SE大行其道,欺騙欺詐滿天飛,HCE營造的NFC業務發展的大好前途只會黯然收場。甚至是牽連目前已經具備硬體晶片SE的應用也會受到影響。
從穀歌一貫的作風來看,谷歌對安全控制的形象一直不佳,甚至有些安全手段的控制力度只能用匪夷所思來形容。例如,在應用認證機制中,允許開發者自簽章憑證,用笑柄來形容並不為過,可以堂而皇之的使用協力廠商的名義發佈應用,沒有權威機構發行的證書是對PKI/CA機制不瞭解造成,有時候,沒文化真可怕。
當然,谷歌可以解釋為安全方面留白太多,是給終端製造商和通信運營商以控制和運營安全機制的機會。不過,從終端製造商和通信運營商來看,真正能把這個機制建設和運營好的,也只能說是寥寥無幾。因此這種留白,只能說是個天大的漏洞。
同樣,面對HCE時代的SE認證機制,如果終端製造商和通信運營商沒有把手裡的權力和責任使用好完善模擬SE的實現並提出安全解決方案,建立對SE的鑒別和認證機制,避免模擬SE漏洞百出,避免偽造和假冒協力廠商SE大行其道。那麼結局也會相當悲哀,最可能的結果是徹底埋葬NFC的前途,唱響NFC的最終葬歌。
總體來說,谷歌的HCE佈局的先手優勢明顯,非常到位的解決了困擾NFC以及O2O業務發展的瓶頸,同時為產業鏈留下了可以深耕的空間,開發、銷售、運營本地軟體類比和遠端雲端類比SE是一門不錯的生意。這種方式,即成全了谷歌開放的名聲,也減輕了安全的相關責任。同時,谷歌的HCE對本地軟體和遠端雲端的SE並未建立起完備安全的認證機制,可能造成欺詐風險肆虐,從而影響HCE的推廣和發展,甚至會影響NFC的發展。
作為一個開放平臺提供商,谷歌可以不運營這樣的機制,但是谷歌需要提供這樣的機制和解決方案。這個機制的運營可以由終端製造商和通信運營商來承擔。當然,在谷歌不具備該機制的前提下,終端製造商和通信運營商應該及時補位,提出模擬SE安全性和SE鑒別認證機制,從而針對性的解決HCE發佈帶給NFC發展的問題。避免形式惡化後不可收拾的崩盤。
0 comments:
張貼留言