电信运营商推广PBOC2.0是发展手机支付的良机

(版权所有,本博首发,转载 请注明出处)

中国经济整体增长趋势在对外贸易乏力的前提下对拉动内需的压力显而易见,内需的增长必然带来消费金 融领域的爆发性增长。与此同时,电信运营商在电信运营领域的市场增长已 经接近极限,电信运营商显然想极力切入消费金融的市场,获得一块蛋糕。电信运营商切入消费金融领域在国外已有成功运营的先例,日本docomo基于felica技术的支 付业务从手机钱包一直扩展到借记卡、信用卡,用户数量近3000万,创造了电信运营商进入消费金融领域的典范,Docomo参股银行的做法也成为运营商提 供金融服务获取相关资质的捷径。从运营商提供金融支付的途径来看,主要是通过非接触近场支付和手机客户端远程支付两种途径,切入点是解决用户易用性问题, 即通过手机替代和扩展银行卡或现金在支付中的作用。

中国电信运营商的手机 支付之路漫长而又坎坷,非接触近场支付最开始的解决方案是NFC,即手机内置
NFC芯片实现非接触、安全交易处理等功能,用户在开通服务后既可以 在支持NFC的终端上实现刷卡支付,手机操作系统也可以通过内置客户端实现对安全芯片的访问,实现安全的远程交易。NFC由于需要更换手机,在中国手机销 售渠道和电信运营商分离的情况下,推广艰难。握奇的simpass方 案,需要更换sim卡,并通过sim卡外接天线的方式实现非接触近场支付功能,由于机壳的构造不同可能会屏蔽无线信号,触点连接的方式容易产生接触不良, 问题多多,推广仍然停留在试点阶段。

虽然艰难,电信运营商布局消费金融领域的战略从未停止过,中国移动与银联合资的联动优势以手机钱包起步,采用的是手机与银行账号绑定的模 式,目前市场份额有限。2009年中国移动推出了RF-sim方案,即 通过微波2.4G频段实现sim卡直接内置天线的方式非接触支付,2.4G的穿透能力和一体化天线解决了Simpass的问题,中国移动逐步认识到13.56M 作为NFC、Docomo 等近场支付领域先行者支持的标准,已经得到广泛的普及,2.4G频谱通用性受到制约,而且,卡和终端的成本不菲,如果整个产业链均需要移动一家支 撑,要形成竞争优势,成本必然接近天文数字,因此,移动并未大规模推 广。2010年初银联、电信、联通形成名义上支付联盟,共同推动以 PKI-SD卡为基础的手机支付标准,在支持microSD接口的手机上,插入具备PKI和非接触功能的智能卡,可以实现非接触近场支付和手机客户端远程 支付的功能。但是,该方案要求手机支持microsd并且安装客户端,涉及到专利的Microsd PKI非接触卡的成本同样不菲,从而存在技术和成本的双重门槛。更为关键的是银联与电信运营商在该方案中产业链的定位并不清晰,此次结盟更多的是面对咄咄逼人的中国移动手机支付匆忙应战,联盟的政治利益显然是高于经济利益。

电信运营商参与手机支付如何破局,发行 什么样的卡,以及如何体现电信运营商的发卡价值,个人认为还是在尊重现实的前提下,以 成熟的国际和国家标准为前提,参与到整个支付产业链中去,而不是各搞一套,自成体系。以EMV标准为基础的中国金融集成电路卡规范2.0即通称的 PBOC2.0标准的推广是运营商切入消费金融领域的绝佳机会。电信运营商推动PBOC2.0标准,可以在获得公平参与消费金融领域竞争的同时,参与共同做大了市场蛋糕的工作,扩大而不是损害现有消费金融领域产业链的利益。

PBOC2.0增加了卡和应用级的PKI认证技术,解决了磁条卡普遍存在的伪卡问题,在防止用户信息泄露,降低伪卡欺诈方面作用明显。 PBOC2.0利用智能卡强大加解密协处理器的运算能力,高效的实现了复杂的加解密运算,在保障用户良好体验的基础上提高了支付的安全性。PKI在PBOC2.0中的应用主要体现在卡和终端的识别上,交易过程依然采用传统的对称密钥机 制,这样,既可以保障原有支付系统的兼容性,又可以提高用户支付的安全 性,保障用户和金融机构的利益。PBOC2.0支持一卡多应用的方式,可以通过在一张智能卡上写入多应用,实现对智能卡的复用。为 了实现应用隔离,各应用采用不同的卡私钥保障应用的独立性,各应用的对称主密钥仍由各应用发行方发行。

PBOC2.0的非对称密钥认证机制引入了PKI的认证中心(CA)的概念,引入的CA中心作为发卡行证书的颁发者,CA根证书作为信任链的起点。公用CA中心的机制符合我国制定的《电子签名法》,体现了认证机构作为一种公众服务的理念。由于 历史原因,目前金融机构大多采用前身为行业行政机构的中国金融认证中心的数字证书以实现网上银行的认证机制。但这种历史原因造成的影响产生了广为流传的误
解, 以为只有中国金融认证中心才能提供金融行业的认证业务。其实,符合《电子签名法》的公用CA即可提供包括金融行业在内的认证服务,中国金融认证中心只是获 得经营许可证的众多CA中心之一,金融机构选择哪一家公用CA中心提供认证服务是基于商业和企业利益的企业行为考量,并不存在行政和法律的规 定。根据上述理念,PBOC2.0规定,符合PBOC2.0规范的终端 设备要求支持6家CA中心的根证书,以满足不同发卡行选择不同公用认证中心时完成信任链的认证。

PBOC2.0规范中定义了基于PKI技术的脱机认证包括静态认证方式和动态认证方式,静态认证方式由于只是采用发卡行证书对发卡过程 中的个人化信息进行签名,只能防止对发卡行个人化信息的篡改和伪造新的持卡人个人化信息。由于静态认证方式本身并未对卡本身进行认证,仍然存在从合法卡中 盗用个人化信息制造伪卡的风险。动态认证方式是发卡行在发卡过程中以发卡行证书签发针对卡片的数字证书,在认证的过程中需要使用卡的私钥签名个人化信息和 动态数据,终端对卡的认证包括对卡私钥签名、卡证书、发卡行证书的认证,只有全部认证后方能进行金融支付交易,这样就从根本上杜绝了卡的伪造以及持卡人个 人化数据的盗用,解决了磁条卡出现的大量伪卡问题。

了解了PKI在PBOC2.0规范中的应用和价值,可 以提出运营商借助PBOC2.0切入消费金融领域是扩大消费金融领域的 规模而不是损害既有产业链的利益的可行方案。

以中国移动为例,目前中国移动已经规划并建设了中国移动CA中心(CMCA)并成功启动运营,但 是
CMCA在手机支付领域的应用仍局限于后台系统的保障以及商户间的安全保障,手机支付本身仍采用传统金融领域的对称密钥机制,具体实现是脱机支 付的钱包应用。PBOC2.0经过金融领域的长期试点、测试和检验,安全性和先进性都经受住了考验,如果中国移动手机支付采用CMCA作为公用CA中心,并以湖南账户为基础建立中国移动发卡行子 CA,承担PBOC2.0发卡的卡证书签发功能,将可以平滑过渡到PBOC2.0规范。至于发卡的种类,由于PBOC2.0可以保障发卡方的利益,并不一 定必须实现手机的物理绑定,只要能保障卡的安全性、易用性和低成本即 可。例如,挂坠、贴片等卡的类型也不失为一个好的选择。

在支持PBOC2.0规范的消费金融领域现有终端上载入中国移动的根证书,可以完成对中国移动发 行的PBOC2.0卡的认证。同时,中国移动商户拓展过程中发展的终端只需要植入第三方发卡方采用的CA根证书,可以完成对第三方PBOC2.0卡的认证。中国移动和现有消费金融产业链发卡方同样基PBOC2.0标准,为实现消费金融领域的互通奠定了基础。中国移动与现有消费金融产业链收 单方多方共同拓展商户,有效的拓展了消费金融的市场规模,是增加而不是损害现有消费金融产业链的利益。

由于发卡行证书需要签发卡证书,本质上是发卡行需要建设子CA中心完成发卡,而CA中心的建设需 要
遵照严格的规范和国家标准,必须获得工信部的资质认证和授权,建设和运营成本巨大,中国移动CA中心作为获得资质的公用CA中心,可以依托中国 移动的云计算战略,借助于中国移动的网络优势和移动互联网优势,为发卡行提供托管CA服务,即以托管发卡行子CA提供卡证书的签发服务,降低发卡行建设 CA以及发卡成本的同时,为金融行业的公用CA多样化贡献力量。

在手机支付领域势必烽烟四起,多方博弈,早日寻找到着力点并形成自己的核心竞争力,电信运营商才能 立于不败之地。

发表评论

电子邮件地址不会被公开。 必填项已用*标注