移動(dòng)支付在公共交通一卡通的創(chuàng)新應(yīng)用

俞杰+陳志剛+李因易

摘 要：專注于如何將移動(dòng)支付手段用到“一卡通”系統(tǒng)，將對(duì)各種常見的移動(dòng)支付方案進(jìn)行分析比較，綜合考量安全性、便利性等因素，項(xiàng)目將分別研究采用新型的基于HCE的手機(jī)公交卡模式、基于藍(lán)牙卡的手機(jī)支付模式、基于在線帳戶實(shí)現(xiàn)手機(jī)離線支付解決方案等，使之能在技術(shù)上達(dá)到以下要求：更簡(jiǎn)便、閉環(huán)的非接觸支付、實(shí)時(shí)的支付卡分發(fā)、不必改變終端軟件即可實(shí)現(xiàn)便利的部署、不依賴于手機(jī)運(yùn)營(yíng)商。

關(guān)鍵詞：公共交通；一卡通；移動(dòng)支付；移動(dòng)商務(wù)；系統(tǒng)分析

中圖分類號(hào)：TP 202 文獻(xiàn)標(biāo)志碼：A

0 引言

交通一卡通作為城市公共交通領(lǐng)域的便捷支付工具，是營(yíng)造優(yōu)質(zhì)公共交通服務(wù)體系，提升公共交通競(jìng)爭(zhēng)力和吸引力的重要舉措，對(duì)方便市民的日常出行，擴(kuò)充運(yùn)載工具的服務(wù)效能，提高行業(yè)管理效率和服務(wù)水平，緩解交通擁堵，建設(shè)和諧型、資源節(jié)約型、環(huán)境友好型社會(huì)，具有重要意義。

交通智能卡本身的研發(fā)、生產(chǎn)和應(yīng)用能夠直接擴(kuò)大就業(yè)、拉動(dòng)內(nèi)需，形成新的經(jīng)濟(jì)增長(zhǎng)點(diǎn)。國(guó)研網(wǎng)數(shù)據(jù)顯示，2020年我國(guó)整個(gè)城市交通卡的年市場(chǎng)容量預(yù)計(jì)為50億元，未來三到五年，每年至少需要3億張以上城市交通卡被售出。

除了城市交通一卡通卡本身的市場(chǎng)規(guī)模外，城市交通一卡通卡的廣泛應(yīng)用還能夠在很大程度上帶動(dòng)關(guān)聯(lián)產(chǎn)業(yè)的發(fā)展，并能夠帶來可觀的就業(yè)規(guī)模。同時(shí)也可以培育出一個(gè)城市通卡產(chǎn)業(yè)，包括芯片設(shè)計(jì)、芯片制造、芯片仿制、芯片封裝、讀寫模塊的設(shè)計(jì)制造、相關(guān)讀寫設(shè)備與系統(tǒng)等等一個(gè)完整的產(chǎn)業(yè)鏈。

本項(xiàng)目旨在研究新型的移動(dòng)支付手段在區(qū)域性城市一卡通系統(tǒng)中的使用的可行性以及實(shí)現(xiàn)方案，深入研究各種需要整合的歷史遺留系統(tǒng)，根據(jù)現(xiàn)行系統(tǒng)的軟、硬件狀況，從技術(shù)上探討一個(gè)整體框架，使乘客通過各種手機(jī)移動(dòng)支付手段，能夠乘坐公交、地鐵、出租等交通工具，并進(jìn)一步探討使用手機(jī)進(jìn)行小額消費(fèi)支付的架構(gòu)設(shè)計(jì)和實(shí)現(xiàn)方式，將手機(jī)支付用在高速公路休息區(qū)購(gòu)物、景區(qū)門票、商場(chǎng)購(gòu)物、自動(dòng)售貨機(jī)、便利店、超市等場(chǎng)景。

1 基于安卓HCE架構(gòu)的手機(jī)支付模式

Android4.4版本后引入了HCE（Host Card Emulation）模式的卡片仿真，不需要SE參與，CPU直接應(yīng)答終端的指令。

HCE提供了如下能力使得廠家能夠通過移動(dòng)設(shè)備提供卡片功能：

·更簡(jiǎn)便的支付方案；

·閉環(huán)的非接觸支付方案；

·實(shí)時(shí)的支付卡分發(fā)；

·更具有戰(zhàn)略意義的是，不必改變終端軟件即可實(shí)現(xiàn)便利的部署。

采用HCE模式的優(yōu)缺點(diǎn)如下：

優(yōu)點(diǎn)：

·不依賴于手機(jī)運(yùn)營(yíng)商；

·完全自主實(shí)現(xiàn)，創(chuàng)新性的實(shí)現(xiàn)方案

缺點(diǎn)：

·安全性實(shí)現(xiàn)需要保證，如Token的使用、密鑰的存儲(chǔ)；

·成功案例少（2015年5月5日，工商銀行宣布與銀聯(lián)、VISA合作推出云支付信用卡產(chǎn)品），實(shí)現(xiàn)風(fēng)險(xiǎn)大；

主要描述如下：

1、持卡人在注冊(cè)應(yīng)用時(shí)設(shè)置一用于持卡人身份的PIN碼，持卡人可通過手機(jī)客戶端對(duì)此PIN碼進(jìn)行修改；

2、HCE上存儲(chǔ)黔通智聯(lián)下發(fā)的Token（見4.3.2.2.2）及其對(duì)應(yīng)的應(yīng)用數(shù)據(jù)，此數(shù)據(jù)使用后臺(tái)保存的PIN碼進(jìn)行加密；

3、Token的時(shí)效性可設(shè)置，建議為1天；

4、HCE中保存的是經(jīng)過PIN碼加密后的Token及其對(duì)應(yīng)的應(yīng)用數(shù)據(jù)；

5、在進(jìn)行消費(fèi)交易時(shí)，需要持卡人在手機(jī)上鍵入PIN碼（PIN碼保存在內(nèi)存中）；

6、手機(jī)上的APP配合HCE應(yīng)用對(duì)，保存在手機(jī)上的Token及其對(duì)應(yīng)的應(yīng)用數(shù)據(jù)進(jìn)行解密后進(jìn)行交易；

7、可提供將PIN碼保存在手機(jī)中的選項(xiàng)，方便持卡人的交易。

1.1 標(biāo)記化（TOKENIZATION）

EMVCo于2014年3月發(fā)布了支付標(biāo)記（Payment Tokenization）框架，旨在通過制定全球通用的標(biāo)準(zhǔn)推動(dòng)支付標(biāo)記的應(yīng)用和推廣。采用傳統(tǒng)的加密形式來實(shí)現(xiàn)數(shù)據(jù)保護(hù)有兩個(gè)潛在弱點(diǎn)：加密結(jié)果的可逆性和密鑰管理的復(fù)雜性。

與加密方案有所不同，標(biāo)記化是用數(shù)據(jù)替代的形式實(shí)現(xiàn)敏感信息的保護(hù)，不僅攻擊者不能通過可逆的方法來獲取原始數(shù)據(jù)，而且替代值的格式和結(jié)構(gòu)可以同原有的數(shù)據(jù)完全一樣，以減少對(duì)業(yè)務(wù)和應(yīng)用產(chǎn)生影響。

方案中加以的TOKEN就是指數(shù)據(jù)替代的形式保護(hù)黔通智聯(lián)卡內(nèi)的敏感數(shù)據(jù)，如卡號(hào)、有效期、密鑰等值。

1.2 和賬戶同步機(jī)制

手機(jī)黔通公交卡和實(shí)體卡不同，包括：

1.2.1電子錢包和賬戶余額同步

手機(jī)黔通公交卡內(nèi)電子錢包與匯聯(lián)通在線賬戶內(nèi)的余額同步，聯(lián)機(jī)（是指手機(jī)與后臺(tái)賬戶之間通信正常）時(shí)電子錢包余額與賬戶余額同步；脫機(jī)（是指手機(jī)與后臺(tái)賬戶之間無法通信）下，手機(jī)黔通公交卡采用記賬模式，但設(shè)置“脫機(jī)消費(fèi)限額和次數(shù)”，在限額范圍內(nèi)，手機(jī)黔通公交卡采用記賬模式支付；超過限額部分，需要手機(jī)聯(lián)機(jī)同步（如手機(jī)上網(wǎng)時(shí)Android后臺(tái)程序自動(dòng)同步、或手機(jī)無法上網(wǎng)時(shí)在空中充值、客服中心等場(chǎng)所聯(lián)機(jī)處理）。

1.2.2.終端上手機(jī)黔通公交卡與實(shí)體卡一致

對(duì)終端而言，手機(jī)黔通公交卡與實(shí)體卡相同，支持交通運(yùn)輸部《城市公共交通IC卡卡片技術(shù)規(guī)范》的卡片規(guī)范，支持規(guī)范中的指令和流程。

1.3 電子錢包與后臺(tái)賬戶同步機(jī)制

電子錢包與后臺(tái)賬戶保持一致，需要同步機(jī)制確保電子錢包的數(shù)據(jù)與后臺(tái)賬戶保持一致。同步方式有三種：手機(jī)發(fā)起同步；終端發(fā)起同步；系統(tǒng)發(fā)起同步。

1.3.1.手機(jī)發(fā)起同步

手機(jī)發(fā)起同步是指手機(jī)黔通公交卡刷卡支付后，手機(jī)端將最新的交易通知到后臺(tái)，由后臺(tái)對(duì)賬戶的余額等信息進(jìn)行更新。

手機(jī)黔通公交卡在每次支付后，后臺(tái)的服務(wù)將交易明細(xì)同步到后臺(tái)，同時(shí)同步賬戶余額與電子錢包余額。

1.3.2.終端發(fā)起同步

終端發(fā)起同步是指手機(jī)黔通公交卡刷卡支付后，終端將最新的交易記錄通知到后臺(tái)（例如手機(jī)不能上網(wǎng)，或手機(jī)發(fā)起同步不成功），由后臺(tái)對(duì)賬戶的余額等信息進(jìn)行更新。

終端發(fā)起同步時(shí)，手機(jī)參與到支付過程，因此也無需系統(tǒng)再次將賬戶的余額同步到手機(jī)端。

所有實(shí)體卡電子錢包的余額更新均采用終端發(fā)起同步。

1.3.3.系統(tǒng)發(fā)起同步

后臺(tái)賬戶的支付方式除了手機(jī)黔通公交卡外，還支持其他方式的在線支付方式（例如通過網(wǎng)頁支付等），這種情況下需要系統(tǒng)發(fā)起同步，以通知手機(jī)黔通公交卡后臺(tái)賬戶余額發(fā)生變化。

1.4 脫機(jī)使用場(chǎng)景

脫機(jī)使用場(chǎng)景是指手機(jī)和終端同時(shí)處于脫機(jī)狀態(tài)——手機(jī)無法聯(lián)機(jī)到后臺(tái)，終端也無法聯(lián)機(jī)到后臺(tái)。例如，脫機(jī)的手機(jī)黔通公交卡在公交POS機(jī)上使用。

由于不同同步機(jī)制造成的賬戶數(shù)據(jù)不同步（例如客戶使用在線賬戶通過網(wǎng)頁支付，余額發(fā)生變化，但同步到手機(jī)失敗，這時(shí)手機(jī)上的余額與后臺(tái)的余額不一致），這種情況下手機(jī)的余額與后臺(tái)賬戶余額的數(shù)據(jù)可能有較大出入，有惡意透支的風(fēng)險(xiǎn)。因此，手機(jī)脫機(jī)使用時(shí)，設(shè)置“脫機(jī)消費(fèi)限額”——脫機(jī)情況手機(jī)支付的最大限額，以降低資金風(fēng)險(xiǎn)。

例如，設(shè)置“脫機(jī)消費(fèi)限額”為100.

如果手機(jī)一直脫機(jī)，最大消費(fèi)金額為100；

如果手機(jī)脫機(jī)消費(fèi)的余額還剩下20，手機(jī)聯(lián)機(jī)并且數(shù)據(jù)同步成功后，“脫機(jī)消費(fèi)限額”重新設(shè)置為100；

手機(jī)脫機(jī)消費(fèi)余額為0后，聯(lián)機(jī)同步（手機(jī)自身、客服中心等）成功后，“脫機(jī)消費(fèi)限額”重新設(shè)置為100。

對(duì)于部分實(shí)名制并且綁定了信用卡的高端客戶，可以考慮授權(quán)一定程度的額度進(jìn)行交易。在規(guī)范的框架內(nèi)可以使用“小額復(fù)合消費(fèi)的透支限額”或者“脫機(jī)借貸記流程中的累計(jì)脫機(jī)交易金額上限”進(jìn)行實(shí)現(xiàn)。

對(duì)于上述兩種方式中任何一種的實(shí)現(xiàn)都需要對(duì)POS流程進(jìn)行單獨(dú)的修改。

1.5 聯(lián)機(jī)使用場(chǎng)景

聯(lián)機(jī)使用場(chǎng)景是指手機(jī)聯(lián)機(jī)或終端處于聯(lián)機(jī)。

在聯(lián)機(jī)模式下，手機(jī)和終端需要將手機(jī)黔通公交卡在脫機(jī)模式下的消費(fèi)明細(xì)同步到后臺(tái)，并且同步賬戶余額與手機(jī)電子錢包的余額。同步發(fā)起可由手機(jī)或終端之一或同步發(fā)起。

2 基于藍(lán)牙卡的手機(jī)支付模式

2.1 蘋果藍(lán)牙卡

現(xiàn)在市場(chǎng)上的主流機(jī)型主要為蘋果和安卓?jī)纱箨嚑I(yíng)。

蘋果對(duì)于支付和NFC的態(tài)度比較封閉，NFC相關(guān)接口都在蘋果的控制之下，第三方App無法對(duì)其進(jìn)行任何改動(dòng)和使用（不論是作為卡片還是讀卡器）。這就意味著如果要在蘋果手機(jī)上實(shí)現(xiàn)移動(dòng)支付則必須依賴外設(shè)進(jìn)行。

現(xiàn)有的解決方案一般是使用外置的手環(huán)、手表和異形卡等設(shè)備進(jìn)行非接觸交易，通過藍(lán)牙4.0接口連接手機(jī)和外設(shè)并使用APP對(duì)其進(jìn)行操作。

通過在藍(lán)牙卡中增加GPS模塊，通過手機(jī)APP俘獲GPS信息，以滿足老人、小孩行動(dòng)軌跡的追蹤和查看。

2.1.1 標(biāo)準(zhǔn)藍(lán)牙卡

制作標(biāo)準(zhǔn)大小左右的實(shí)體卡，內(nèi)部含有藍(lán)牙4.0芯片、射頻模塊，手機(jī)通過藍(lán)牙與卡配對(duì)后通信，通過手機(jī)APP實(shí)現(xiàn)空中發(fā)卡、圈存等功能。

2.1.2 手環(huán)卡

可穿戴設(shè)備手環(huán)中含有藍(lán)牙4.0芯片以及射頻模塊，實(shí)現(xiàn)機(jī)制與標(biāo)準(zhǔn)藍(lán)牙卡相同。

2.1.3 手表卡

手表中含有藍(lán)牙4.0芯片以及射頻模塊，實(shí)現(xiàn)機(jī)制與標(biāo)準(zhǔn)藍(lán)牙卡相同。

2.1.4 鑰匙鏈

鑰匙鏈中含有藍(lán)牙4.0芯片以及射頻模塊，實(shí)現(xiàn)機(jī)制與標(biāo)準(zhǔn)藍(lán)牙卡相同。

2.2 安卓藍(lán)牙卡

安卓相對(duì)于蘋果來說就非常開放，現(xiàn)在主流的三種：

·SWP-SIM（和移動(dòng)運(yùn)營(yíng)商進(jìn)行合作）

·全終端（和手機(jī)廠商進(jìn)行合作）

·HCE（APP所有者自主可控）

三種方案各有優(yōu)劣，針對(duì)黔通智聯(lián)不想受制于移動(dòng)運(yùn)營(yíng)商和手機(jī)廠商的現(xiàn)狀，HCE相對(duì)于前兩個(gè)方案來說是更加適宜的方案。

當(dāng)然 ，安卓系統(tǒng)同樣可以使用藍(lán)牙4.0連接外設(shè)的方式實(shí)現(xiàn)。

2.3 藍(lán)牙卡支付方案

基于藍(lán)牙卡的手機(jī)支付模式同樣采用HCE（APP所有者自主可控）方案，由移動(dòng)設(shè)備的CPU直接對(duì)藍(lán)牙卡中的芯片進(jìn)行讀寫。

在線支付時(shí)，需要移動(dòng)設(shè)備與藍(lán)牙卡先配對(duì)成功，才能進(jìn)行支付操作；離線支付時(shí)，只需要藍(lán)牙卡直接與NFC射頻讀卡模塊接觸即可完成支付。

在使用藍(lán)牙卡的支付模式中，同樣采用HCE的優(yōu)化方案來加強(qiáng)數(shù)據(jù)安全性。

3 脫機(jī)消費(fèi)交易流程

HCE模擬卡脫機(jī)消費(fèi)交易流程主要涉及客戶端和消費(fèi)終端兩部分。大致的交易流程如下：

前置條件：

（1）用戶將客戶端APP激活

交易流程：

（1）由終端發(fā)起交易請(qǐng)求；

（2）客戶端發(fā)送token給終端；

（3）終端判斷客戶端token的有效性；

（4）客戶端判斷是否支持此處交易（判斷應(yīng)用密鑰、余額等）；

（5）終端生成MAC1供客戶端進(jìn)行身份確認(rèn)；

（6）客戶端確認(rèn)終端身份后，進(jìn)行扣費(fèi)并產(chǎn)生MAC2供終端驗(yàn)證；

（7）終端驗(yàn)證MAC2通過后，記錄交易記錄，結(jié)束交易。

4 結(jié)語

本項(xiàng)目研究了基于安卓HCE架構(gòu)的手機(jī)支付模式、基于藍(lán)牙卡的手機(jī)支付模式。這兩種手機(jī)支付模式主要問題都集中在脫機(jī)支付時(shí)的安全性上，存放在HCE中的安全數(shù)據(jù)可能被非法讀取，用于卡片的復(fù)制、數(shù)據(jù)覆蓋等，有不可控制的偽卡風(fēng)險(xiǎn)。

本方案中采用token標(biāo)記方式進(jìn)行敏感信息的隱藏，對(duì)token設(shè)置合理的時(shí)效，能有效的降低風(fēng)險(xiǎn)，提高數(shù)據(jù)安全性；在脫機(jī)使用場(chǎng)景中采用設(shè)置脫機(jī)消費(fèi)額度的方案，能有效防止手機(jī)的余額與后臺(tái)賬戶余額的數(shù)據(jù)可能有較大出入，有效降低資金風(fēng)險(xiǎn)。

另外，在本方案中采用多種同步機(jī)制，及時(shí)更新token、黑名單等信息，加強(qiáng)數(shù)據(jù)、資金的安全性，確保電子錢包的數(shù)據(jù)與后臺(tái)賬戶保持一致。