行動付款(Mobile Payment)是近距離通訊(NFC)技術最有前景的發展之一,整合了手機通訊平台、金融付款、以及交通票證的小額付款機制。然而行動付款的商業模式,在各國的發展趨勢並不一致,以目前世界各地十幾個小規模的NFC營運試點作為觀察對象,缺乏可靠的空中下載(Over The Air, OTA)卡片生命週期管理平台、無法整合多家行動網路營運商(Mobile Network Operator, MNO)、以及缺乏可靠的第三方服務管理者(Trusted Service Manager, TSM),都是NFC行動付款無法普及化的關鍵所在
複雜商業模式阻礙NFC快速推展
金融交易與ID卡識別程式所需要安全元件(Security Element)可以用三種不同的硬體架構整合到NFC手機上,分別是與用戶識別卡(SIM)整併、內建到手機硬體平台、以及內嵌到SD記憶卡中。
目前NFC手機行動付款試辦計畫多以第二種方案的架構為主。其中,NFC論壇與GSM協會(GSMA)致力於標準化硬體架構,JSR257也提供手機程式存取RFID的標準軟體介面,並提供NDEF標籤儲存格式。基於NFC手機的強大的標準化功能,使得NFC手機能適用於目前非接觸式卡片的使用環境,原有的卡片應用程式也易於移轉至NFC手機安全元件中,且卡片程式的運作與手機平台互相獨立。通用用戶識別模組(USIM)架構的NFC手機則是將安全元件內嵌在SIM卡中,使用單線協定(Single Wire Protocal, SWP)與主控介面(Host Controller Interface, HCI)的標準連結介面。
但這三種硬體架構都面臨複雜的商業營運模式所造成的困境,因為行動付款手機平台牽涉到MNO、銀行、TSM等不同業者的整合,而且硬體本身必須符合銀行金融需求的卡片安全需求與管理流程。除此之外,缺乏獨立與公正的TSM卡片管理系統,以提供可靠的OTA卡片程式下載與個人化機制,也對NFC推廣帶來許多難題。
TSM為NFC行動交易架構之核心
TSM是公正第三方的NFC行動付款系統的安全管理系統,目的是專注於提供給銀行、特約商店、交通運輸公司等卡片應用服務供應商(Application Provider)便利且可靠的NFC行動支付平台。TSM可降低商業營運的複雜度,易於讓MNO與應用服務供應商的營運模式整合。TSM的出現,確保各系統之間可整合運作,以及金鑰由獨立公正的第三者所維護。
TSM發行非接觸式NFC行動付款手機,並提供金鑰管理系統、卡片應用程式生命週期管理、以及資金管理的系統。卡片服務供應商透過TSM與行動網路來處理客戶需求,並且執行公正第三方的安全策略(Security Policy),例如產生載入金鑰與憑證到安全元件上。除此之外,TSM也負責NFC手機卡片程式安全的下載與生命週期的管理,產生與管理卡片服務供應商的安全區域(Security Domain)。
從行動支付環境的建立、提供服務、到卡片生命週期的管理,都必須要在TSM平台上進行,因此TSM實為推展NFC最核心的元素。
透過TSM的管控,NFC行動付款可透過OTA行動網路進行安全下載,使用者可以透過OTA的方式選擇並下載安裝EMV(Europay, MasterCard and Visa)金融信用卡、交通票證的卡片交易程式,並完成個人化設定。這點是NFC行動付款比一般塑膠卡片更具優勢之處。但是,要提供這樣的服務,現有的銀行金融發卡、交通票券發卡等傳統塑膠卡片的發卡流程都必須轉移到OTA上才可實現。
除了允許使用者選擇與新增其他附加功能之外,OTA也可以用來實現卡片生命週期管理。智慧卡全球平台(GlobalPlatform)標準目前已經可以支援這樣的卡片管理機制,其過程如下:首先,TSM先與安全元件的發行者安全區域(Issuer Security Domain, ISD)交互認證,建立安全傳輸通道。接著在安全元件上建立應用提供者專屬的安全區域(Application Provider Security Domain, APSD),TSM向卡片服務供應商提出請求產生金鑰,將此金鑰載入至APSD中。在完成金鑰載入的動作後,卡片程式接著透過OTA行動網路下載,將程式安裝至APSD中,並藉由與APSD的交互認證,建立專屬於應用提供者的安全通道,將個人化的金鑰與加密資訊,透過OTA網路傳送到APSD內的卡片程式中。
安全認證不可或缺
由於NFC行動交易此一概念的提出,就是要讓手機也能化身為各種金融交易與支付的工具,因此NFC行動交易必須符合各種金融安全規範的要求。例如卡片的發行流程要轉移到OTA行動網路上,就必須符合相關的安全標準程序。在GlobalPlatform現有的標準發卡程序中,安全通道協定(Secure Channel Protocol, SCP)便定義了初始更新(Initialize Update)、外部認證(External Authenticate)的安全認證程序。而EMV CPS卡片個人化標準文件也定義了以SCP02為安全基礎,提供訊息完整性鑑別(Message Authentication Code, MAC)、加密等功能。因此,在OTA行動網路的環境中,以實作SCP02安全協定建立安全通道,並用以產生安全區域以及個人化的一切安全操作流程,是目前現階段的最佳選擇。
金融機構卡片發行管理環境必須符合EAL4+/CAST安全標準,也就是經過安全認證的晶片、卡片作業系統、應用、以及整個系統。而在NFC行動付款平台上,當然也需MNO、銀行、政府單位的認證。因此如何同時在多個MNO、多個銀行架構下,認證安全的NFC行動付款系統,正面臨相當大的整合議題。
全球平台提供安全共享環境
除了建立TSM之外,在一個已經成熟的NFC環境裡,多個TSM同時並存在一個NFC行動付款系統中將是必然發生的情況,而GlobalPlatform則可在其中扮演協調支援的角色。為了支援多個MNO與多個TSM的NFC行動付款系統,GlobalPlatform基於UICC(Universal Integrated Circuit Cards)的架構,建議許多MNO、TSM、控制認證單位(Controlling Authority, CA)、銀行、特約商店與交通運輸業者等主要的平台參與者之間的架構關係。如圖1所示的架構是基於Card Specification V2.2,並且受到GSMA認可在USIM環境下建構的環境。
|
資料來源:GlobalPlatform 圖1 多重MNO、TSM的NFC行動付款系統架構 |
在開放的商業模式中,NFC行動付款必須支援如以下的功能:應用提供者如銀行、特約商店、交通運輸業者必須可透過第三方行動網路,以OTA方式來載入、安裝、個人化、管理卡片程式與安全區域;發卡者/NFC手機發卡單位也必須能透過OTA動態產生安全區域,並將應用提供者的機密資訊與金鑰載入至此安全區域中。CA則是管控卡片程式載入安裝的許可。因此,TSM、CA、行動網路營運商、發卡者的角色定位與營運模式的選擇,就和三種USIM/NFC手機硬體架構一樣,端看各方態度與市場機制決定。
NFC行動付款平台一方面必須開放讓多家應用提供者安全地經營管理,另一方面也必須允許多家行動網路營運商與TSM在同一系統中共存,例如銀行可自行選定搭配的MNO,透過其OTA網路將金融卡片程式安全地載入到NFC手機內,同時多家銀行與多個MNO手機網路供應商也可以共用內建在NFC手機安全元件內的GlobalPlatform安全平台。
目前GlobalPlatform提供了對稱加密的SCP02安全協定,作為建立安全通道與提供認證、加密傳輸與資料完整性確認的演算法。未來的Card Specification V2.2修正版正在發展Secure Channel for OTA(SCP80),並且替安全區域預留記憶體空間,使卡片能支援TSM與授權管理(Delegation Management)的功能。
GlobalPlatform協助NFC克服導入障礙
在NFC行動交易正式上路之前,還有許多前置作業必須完成。例如TSM的建置、金融交易安全規範的測試驗證、乃至卡片發卡流程的變更等,每個環節都牽連甚廣,需要產業鏈上下游的通力合作方能克竟全功。而GlobalPlatform的許多規範,其實頗有值得NFC借力之處。相信GlobalPlatform與NFC行動交易服務將可望有更緊密的合作關係。
(本文作者任職於資策會網路多媒體研究所)