从支付历史看认证在手机支付中的价值和应用

(本博原创首发,除授权媒体外,转载请注明出处)

在人类漫长的交易历史中,支付的方式和内涵发生过天翻地覆的变化。原始的易货交易采 用不同物品的实物交换,缺乏公正和准确的度量导致交易的规模局限在狭小的范围内。而为了扩大交易的范围和规模诞生了最早的货币,如南美的贝壳,货 币的原始动机是通过稀有而珍贵的物品作为统一的度量,因此,稀有、珍贵而且便于携带和计量是货币的基本属性。随着人类对火与工具的使用,贵重金 属,金和银逐渐成为不同种族不同地域人们对实物货币不约而同的选择。

为了保障公正和准确的度量,需要通过铸币机构把贵重金属铸造成 流通的货币,贵金属作为货币要确保货币的真实性,需要通过铸造含有标志的金属货币而确认货币的真实性的确认来源,同时需要确认铸币机构的公信力。 在漫长的人类历史中,大部分铸币是由强权的王朝缔造者掌握着铸币权,通过国家机器确认铸币机构的公信力。当然,铸币的过程也充满着智慧的较量,通 过调整贵金属的含量,铸币机构可以获得短暂的利益,不过劣币驱逐良币,劣币充斥之时也是铸币机构破产之时,而掌握铸币所有权的王朝往往也会随之土 崩瓦解。

贵金属的稀缺与开采困难,制造工艺的复杂性在一定程度上降低了伪造的可能性,而非专业人士也在实践中可以摸索到真伪辨别的 方式,例如,通过口吹银元耳听回声的方式判别银元的真伪已经成为民国时期电视剧常见的场景。在交易过程中对支付货币的认证简捷而有效。

在 中国的宋朝已经出现了票据式货币——交子,但是由于其流通范围有限,发行机构的公信力以及货币的真伪识别认证环节存在问题,并没有普及票据式货币 的使用,只有在近代,随着交易的种类,交易的规模日渐扩大,传统的贵金属货币已经远不能满足现代交易的需要,票据式货币才逐渐成为主流。为了解决 票据式货币发行的公信力,一般采用依据金融机构持有的黄金储备数量发行对应的货币,货币对应的是实物黄金,凭票即付。这就是历史上有名的金本位机 制,但是在20世纪60年代,金本位由于黄金开采量的限制再次阻碍了世界经济突飞猛进的发展而被各主要经济体联合废除。目前各国的货币发行模式一 般采用由金融机构购买国债,根据持有的国债规模发行对应的货币。由于政府国债代表国家的公信力,因此金融机构在购买的国债范围内发行货币可以由政 府兑现,转而把金融机构的公信力责任转嫁为国家承担。因此,从本质上来说,受国家监管的金融机构是可以拥有发钞权的,这也是国际通行的纸币发行方 式。但是,在中国,货币的发行权是只有人民银行才具备的,这也是中国不同于现代金融体系的一个特例。

在近代历史上,不具备公信力或 忽视公信力的政府往往会忽视经济规律滥发货币造成恶性通货膨胀,因此,票据式货币也就是纸币的价值只有在稳定并具有公信力的政府环境下才能够流通 并逐步取代贵金属货币,中国民国时期法币与银元的遭遇既是明证。

票据式货币的防伪远比贵金属货币复杂得多,在现代的纸币的印制环 节,政府对印刷设备、印刷材料方面均进行严格的控制,而且不断的采用各种创新的或复杂的印刷技术、印刷材料以及新的防伪成果来提高纸币伪造的难度。虽然 如此,现在的纸币仍然存在大量的假冒,而且几乎可以假乱真。在交易过程中支付环节的纸币认证成为不可或缺的一环,认证纸币真伪的相关设备也已经形成了具备 规模的产业链,手工鉴别和人眼鉴别在缺乏设备支持的交易场景中也成为无奈之举,纸币衍生的票据例如支票、汇票等基于票据的支付,存在同样的问题,笔者甚至 听说过为了验证一张支票的真伪,交易双方必须飞到支票签发地验证的故事。纸币和票据支付的本意是降低交易成本,但在现代社会中难以实现对纸币和票据的有效 地验证手段,无形之中又增加了交易的成本。这从一个方面也促进了现代电子支付的诞生和发展。

电子支付的范围比较广泛,传统的的基于磁条的借 记卡和贷记卡(信用卡)的现场支付是其中最为常见的一种,虽然这种支付手段在国外早有普及,但在中国,却还是近二十年才逐渐发展和普及,即使现在,依然存 在巨大的市场空间。比较新颖的支付手段是互联网的远程支付,随着支付宝、快钱、财付通等第三方支付的爆炸性增长,以及各金融机构信用卡和网上银行的普及, 远程支付的用户也从专业人士逐渐过渡到平民百姓,远程支付已经成为网上交易不可或缺的手段。近两年电信运营商、银联、以及各大银行不约而同的打起了手机 支付的注意,背后的巨大市场空间也不言而喻,仅中国移动一家已经拥有5亿多用户,如果引爆这个支付市场,其影响非同小可,无论对传统的银行卡支付还是网上 支付都是不小的冲击。

而如何做手机支付,在手机支付过程中应该注意哪些环节,无疑是需要重点考虑的,这个考虑也不能无的放矢,随性而为,一 定要尊重支付的历史,尊重在交易环节中支付所起的作用以及价值,一定要了解传统支付中存在的问题,并思考如何在手机支付发展中避免重蹈覆辙。

从支 付发展的历史来看,首当其冲的重大问题是认证问题,如何确定支付的货币的真实性,如何实现对货币的“认证”。说到这一点,并不是已经解决了手机支付的所有 问题,学习历史也一定要超越历史,要总结历史规律中隐含的颠扑不破的真知,我们在简单的回顾支付历史的过程中一直在谈货币的真伪、货币的公信力并总结出了 货币的认证在支付环节的重要性,但我们一直在忽略一个显而易见的细节,或者说因为显而易见我们才认为其并不重要,那就是对人的认证。

在贵金 属货币和纸币的支付环节,我们不追究货币获得的渠道以及使用者的身份,因为这远超出支付涉及到主体的范围,在这个交易过程中只涉及交易双方。然而后续的支 付从票据开始均开始加入第三方,即金融机构,而这个过程中已经不再是货币的实物交付,而是虚拟的账户数据变更,那么必须要确认账户所有者的身份才能变更账 户,否则,这个变更将丧失货币的真实性和公信力。

基于银行卡的现场支付从一定程度上考虑了认证的问题,并形成了一套在一段时间内行之有效的 安全认证机制,银行卡磁条信息存有用户的账户信息以及银行相关信息,部署在商户的刷取磁条卡的设备(POS)需要具备安全接入模块(SAM),操作人员通 过签到机制输入个人识别码识别操作员身份,POS和支付交易后台均具备同一密钥管理中心同一主密钥分发的密钥,密钥包括完整性校验密钥以及加密密钥两大类 型。在支付刷卡过程中,用户通过磁条卡的账户信息和个人密码识别用户身份,交易后台通过SAM卡识别POS身份,然后该信息通过POS设备的SAM卡内的 密钥进行处理实现完整性和机密性保护,透过POSP到达支付交易处理后台,交易后台采用主密钥和相同算法分散出对应POS密钥解密处理即可完成交易的验证, 验证完成后既可以提起清算。当然,实际的交易环节远比这里的简单描述复杂,但其核心思想十分明确,和上述描述过程基本相同,即在支付过程中实现对账户(磁 条卡)、用户(识别码\PIN\密码)、商户(SAM、识别码)、支付交易(金额等)的认证。

磁条卡由于只包含账户信息,而且磁条信息在 支付过程中需要读出,因此很容易伪造,目前伪卡的泛滥已经成为不小的隐患,另外,虽然合法POS具有用户识别码加密的功能,但是对恶意盗取用户密码的POS 或ATM设备,通过欺骗手段很容易获取用户输入的识别码,因此,非法的POS或ATM设备可以轻易获得用户的账户和密码,等同于没有认证环节,危害极 其严重。

国际最大的发卡组织VISA、Master等机构合作发起了EMV标准,即带安全芯片的智能卡标准,中国人民银行依据此标准主导制 定了中国金融芯片卡的国家标准即PBOC2.0,银联基于国家标准的基础上删节、修改制定了自己的企业标准QPBOC2.0。EMV标准最重要的核心意图 之一是通过非对称技术实现卡的认证,防止卡的复制和伪造,在标准中,对卡的识别和认证采用两种方式,第一种称作静态数据认证,即由发卡行对账户信息进行数 字签名后写入芯片卡,虽然这种方式可以防止账户信息的伪造,在非连接交易中可以有效保护金融机构和商户的利益,防止伪卡,但是静态数据认证只是对读出的数 据确认来源,并不能解决卡的复制问题,第二种称作动态数据认证,即由芯片卡的安全芯片产生不能导出私钥的非对称密钥对,然后由发卡的金融机构对导出的公钥 签名,生成用于卡片识别的数字证书,在验证动态数据时,由卡片数字证书对应的卡内私钥对账户和其他数据数字签名形成动态数据,POS设备读取到动态数据后 根据索引文件索引POS存储的颁发发卡金融机构证书的认证中心根证书,利用证书信任链机制验证发卡金融机构数字证书、卡片数字证书的有效性,证书有效性获 得保障后验证动态数据数字签名的有效性,由于私钥由安全芯片生成并且不可导出,动态数据认证可以有效地杜绝卡的复制,从而实现对卡的认证,即对账户的认证。 EMV标准对具体支付业务以及卡的形态、特性等做了详细的规定,在支付业务的处理过程中根据安全级别定义了不同的安全机制,从目前的支付体系来看,支付 业务本身通过对称密钥体制的安全级别可以保障支付交易的真实性和完整性,本文不再对EMV该部分细节进行描述。

现场支付虽然不断引入先进的 技术,但是其只能渐进式的对原有技术修改和替换,一个因素是标准要保障系统的向后兼容性,把对系统的改动降低到最小,例如EMV的标准中采用非对称机制实 现对卡的识别和认证,而在支付交易的过程中仍采用原有对称密钥机制实现。另外一个现实的因素是金融机构在没有巨大安全漏洞的前提下没有驱动力更换现有系统 的安全防护技术,这也是基于系统兼容性、稳定性和保护已有投资,降低运营成本的考虑。

现场支付还有一种广义的电子钱包模式,虽然EMV也有 电子钱包的实现规范,但在非金融领域,电子钱包是包含目前市场普及的逻辑卡小额支付的统称,国内很多城市推广的公交卡、地铁卡、市民卡、校园卡大多采用逻 辑卡电子钱包方式实现,由 于逻辑卡不能实现加解密运算和安全的认证功能,安全性很低,大多已经被证实破解。但由于该卡的成本低廉,且小额支付的 钱包特性,对安全性要求不高,因此目前仍有相当市场规模,但随着用户对安全的认知普及以及相关安全事故的暴漏,逻辑卡升级为智能卡已经是普遍的趋 势。

网络支付实现把基于专有网络的现场支付的范围扩充到基于互联网的远程支付。网络支付是在现场支付之后推出的新生事物,在技术环 节通常考虑采用最先进、最适合的技术来保障远程支付环节的安全,在国内外有大量的成功实践。

目前,远程支付的主流做法是采用互联网 的安全技术来保障支付环节的安全,然后通过金融机构的前置机实现银行系统与互联网系统的互通,远程支付的用户认证和账户认证环节采用银行颁发的数 字证书,银行系统通过数字证书实现用户身份与账户的后台绑定,数字证书载体一般采用具有安全芯片的USB KEY,在远程支付初期动态 口令卡甚至密码卡均被金融机构作为用户身份识别的机制使用过,但这种方式只是增加了对用户识别的安 全强度,并不能保障交易的完整性和机密性,即 只实现了用户的认证而不能实现对支付交易的认证。中国人民银行在2006年提出了安全支付的相关指引,严格限制了非数字证书用户网上交 易的金额,随后,各大银行也逐步取消了非数字证书的支付交易。另外一种数字证书载体是文件证书,由于标准文件证书存在私钥导出的隐患,对大众用户 而言,标准文件数字证书 需要复杂的手工安全机制才能保障安全显得勉为其难,因此,标准文件证书也逐步退出网上支付的舞台。当然,采用复杂的交互 式校验机制保护的文件数字证 书是可以在维持低成本的前提下有效实现支付环节认证的手段,在这方面,招商银行、支付宝均有成功实践。

远 程支付没有了专用网络,传输过程的安全保障一般采用互联网安全协议中的传输层安全或安全套接字层(TLS/SSL)协议,SSL协议在协议协商的 过程中采用用户和服务器双向认正保障通信双方身份的真实性,协商完成后,通过服务器端数字证书实现传输数据的加密和数字签名,保障传输内容的机密 性、完整性和抗抵赖。这样既可以通过互联网实现专有网络才具备的安全网络环境。支付交易认证,可以直接使用用户数字证书的数字签名实现。远程支付 中,金融机构和用户之间通过端到端的认证直接实现支付交易,省略了现场支付环节的POS设备以及POS安全保障的SAM卡,在降低支付部署成本的 同时也减少了需要保障的安全环节。

讨论完现有金融机构的电子支付的主要形式以及发展的历史,手机支付该如何做也逐渐清晰和明朗。那 就是在手机支付的过程中要做到用户、商户、金融机构、支付交易认证的同时,利用最新的最合适的技术尽可能的减少中间环节,保障支付交易安全。

手 机支付同样分为现场支付和远程支付两种主要形态,远程支付即通过手机客户端或浏览器以移动互联网为载体实现远程支付,这种支付方式与互联网远程支 付没有根本性的区别,只是数字证书载体的不同。从目前的载体形态来看,MicroSD接口的智能卡、安全芯片SIM卡(手机操作系统或中间件需要 具备机卡通信能力)都是可行的选择,但鉴于手机系统及设备的复杂性,这两种形态的兼容性都非常有限,还有一种载体是基于文件证书,从文件证书的安 全性来看,目前卓望数码拥有专利的基于内存的文件证书是比较好的选择。

手机现场支付一般是指基于非接触技术实现的现场刷卡支付,中 国移动湖南公司积极推广的即是现场支付模式,目前其标准有限的借鉴了银联的企业标准QPBOC,并在QPBOC的基础上做了调整和修改,其技术实 现是采用对称密钥机制的手机钱包,手机钱包作为电子钱包的一种实现,本文并不对其安全性进行过多的讨论。

我们重点关注的是现现场支 付的联机支付,在具备非接触卡的前提下,如果要实现与金融机构网络的兼容性,那么PBOC2.0或QPBOC标准是首先要考虑的问
题,即在非接触 卡上实现数字证书的承载,以供实现动态数据认证,通过POS设备根证书的载入合作,在金融机构现有的网络系统中既可以实现手机支付的现场支付。

在 保障与金融机构兼容性的同时,还有一个广大的市场空间,即借助互联网技术实现远程支付的现场化。部署POS的庞大成本开支对金融机构、对商户都是 不容小觑的压力。因此,目前商户的POS普及率仍然较低。突破这个屏障,在实现手机支付的同时,有力促进整个支付交易产业链的延长和发展才是手机 支付的必经之路。

商户具备互联网、具备电脑,再加上一个读卡器,就可以完整的串起手机远程支付现场化的链条,在需要支付的场景中用户通 过刷卡完成支付,用户、账户、支付交易的认证通过非接触智能卡中的数字证书的数字签名实现,由于商户的读卡器相当于现场支付的POS,需要增加商户的认证。 手机支付不需要考虑金融机构原有体系的后向兼容,采用与用户认证相同的非对称认证技术实现商户认证,读卡器采用安全芯片承载商户数字证书,商户的认证通 过商户数字证书数字签名实现。采用相同的认证技术,不但,简化了技术实现的复杂性,而且在降低了系统建设和维护成本的同时加强了支付交易的安全性。

手机 支付是一个新的课题,在借鉴历史经验的同时,眼光要广阔而深邃,通过支付历史借鉴到的应该是核心要素而不是表面的形式,如果只是照猫画虎,学习不到历史经 验的精髓,即浪费了投资又得不到切实的回报。只有把握住支付安全保障的核心要素——认证,避免偏颇,避免蛮干,依据技术的发展趋势、市场环境的变化,综合 考虑后制定科学、合理、可行的方案,才能真正实现手机支付的春天,从而真正有效地把用户黏住。

发表评论

电子邮件地址不会被公开。 必填项已用*标注