在商場(chǎng)，挑選完商品后的下一個(gè)動(dòng)作是什么?“付錢啦!”沒錯(cuò)!在挑選完商品后，我們需要拿出錢包、打開、掏錢、支付，或者拿出錢包、打開、取出信用卡、刷卡支付，再或者拿出手機(jī)、刷手機(jī)支付。

　　美好的移動(dòng)支付!美好的移動(dòng)支付?

　　等下，手機(jī)?刷手機(jī)支付?沒錯(cuò)，確切的說，是刷具有NFC功能的智能移動(dòng)設(shè)備——智能手機(jī)、智能手環(huán)、智能手表等等。NFC，Near Field Communication，也就是所謂的“近場(chǎng)通信”，是一種短距高頻的無(wú)線電技術(shù)。百度百科上對(duì)NFC的解讀是“由非接觸式射頻識(shí)別(RFID)及互聯(lián)互通技術(shù)整合演變而來(lái)，在單一芯片上結(jié)合感應(yīng)式讀卡器、感應(yīng)式卡片和點(diǎn)對(duì)點(diǎn)的功能，能在短距離內(nèi)與兼容設(shè)備進(jìn)行識(shí)別和數(shù)據(jù)交換。”

　　其實(shí)，使用擁有NFC功能的手機(jī)進(jìn)行移動(dòng)支付早已不是什么新鮮事兒了。在日本，NFC移動(dòng)支付產(chǎn)業(yè)就獲得了很大的成功，對(duì)于很多日本人來(lái)說，手機(jī)就是他們的錢包。去商場(chǎng)，刷手機(jī)買衣服;到影院，刷手機(jī)買門票;在餐廳，刷手機(jī)來(lái)買單……刷、我刷、刷刷刷——沒錢了!這意味著你的手機(jī)錢包被刷爆了，但也可能是你手機(jī)錢包里的錢被人給偷光了。

　　移動(dòng)支付很美好，移動(dòng)支付的安全更頭疼。

　　實(shí)現(xiàn)進(jìn)場(chǎng)支付的軟硬雙模式

　　如今的移動(dòng)支付(近場(chǎng)支付)主要通過兩種不同的卡模擬方式來(lái)實(shí)現(xiàn)支付，即SE方式和HCE方式。

　　安全模塊SE(Secure Element)是一種基于硬件的卡模擬方式，能夠提供對(duì)敏感信息的安全存儲(chǔ)，并為交易事務(wù)提供一個(gè)安全的執(zhí)行環(huán)境。NFC芯片將從外部讀寫器接收到的命令轉(zhuǎn)發(fā)到SE，SE進(jìn)行處理后，再通過NFC控制器回復(fù)。

　　HCE(Host-based Card Emulation)，即基于主機(jī)的卡模擬方式。HCE方式不需要SE安全模塊，由在手機(jī)中運(yùn)行的一個(gè)應(yīng)用或云端的服務(wù)器完成SE的功能，也就是說NFC芯片所接收到的數(shù)據(jù)會(huì)由操作系統(tǒng)發(fā)送至手機(jī)應(yīng)用里，或者通過移動(dòng)網(wǎng)絡(luò)發(fā)送至云端服務(wù)器中來(lái)完成交互。無(wú)論是本機(jī)應(yīng)用還是云端服務(wù)器都繞過了手機(jī)內(nèi)置SE的限制。

　　基于硬件的SE方式具有很高的安全性，不過從SE發(fā)卡、使用、管理等角度來(lái)看，其應(yīng)用復(fù)雜，推廣較慢。實(shí)際上，正是由于各個(gè)相關(guān)機(jī)構(gòu)對(duì)SE控制權(quán)的爭(zhēng)奪，導(dǎo)致了NFC移動(dòng)支付的發(fā)展緩慢。

　　基于軟件的HCE方式，很明顯擁有較易實(shí)現(xiàn)，易于推廣的優(yōu)勢(shì)。但同時(shí)，其也面臨著來(lái)自各個(gè)方面的安全威脅。

　　面臨重重安全危機(jī)的HCE

　　HCE方式之所以面臨重重安全問題，與其實(shí)現(xiàn)機(jī)制有著很大的關(guān)系。例如HCE的云端實(shí)現(xiàn)模式，在其云中發(fā)卡過程里，用戶的卡數(shù)據(jù)等信息會(huì)被保存在云端，NFC手機(jī)開啟HCE服務(wù)，并安裝電子錢包(由HCE發(fā)行者提供，如銀行等)，而替代個(gè)人銀行主賬號(hào)信息的支付令牌Token則保存在本地，云端實(shí)現(xiàn)Token與主賬號(hào)的對(duì)應(yīng)。在進(jìn)行交易驗(yàn)證過程里，用戶在電子錢包中選擇支付賬戶后，將手機(jī)靠近POS機(jī)實(shí)現(xiàn)支付，此時(shí)通常會(huì)要求用戶輸入PIN碼確認(rèn)，Token及交易信息會(huì)傳遞給POS機(jī)，再由POS機(jī)提交信息給后臺(tái)系統(tǒng)進(jìn)行認(rèn)證和交易授權(quán)。另外，HCE方式還需要安卓4.4以上手機(jī)操作系統(tǒng)的支持。

　　看看，問題來(lái)了!從數(shù)據(jù)安全、代碼安全到傳輸安全，基于HCE的支付業(yè)務(wù)所面臨的安全挑戰(zhàn)實(shí)在是夠多。

　　如果模擬卡數(shù)據(jù)是保存在手機(jī)本地，那么脆弱的安卓系統(tǒng)很容易被黑客利用其弱點(diǎn)和漏洞進(jìn)行攻擊獲得Root權(quán)限，進(jìn)而輕松獲取支付憑證、交易密碼、加密密鑰等敏感信息，劫持交易，將用戶銀行里的錢劃到黑客的腰包里。如果手機(jī)丟失，那就更慘啦，由于不具備SE的抗攻擊特性，手機(jī)里的敏感數(shù)據(jù)存在“被看到、被拿走”的安全風(fēng)險(xiǎn)。

　　而且，支付流程本身的業(yè)務(wù)邏輯代碼也面臨著被反編譯和逆向分析的威脅。近期爆發(fā)的Xcode事件，更讓人們驚訝的發(fā)現(xiàn)，其實(shí)在軟件應(yīng)用誕生之初就可能已經(jīng)感染病毒。

　　如果模擬卡數(shù)據(jù)保存在了云端服務(wù)器，那么云端自身的可用性、安全性，以及第三方的可信性問題就不得不需要提前考慮了。在本地與云端進(jìn)行數(shù)據(jù)通訊時(shí)所使用的加密密鑰更要極好的予以保管。

　　保衛(wèi)HCE需要從“始”到“終”

　　現(xiàn)在許多的HCE支付方案會(huì)采用Token、一次一密、多重認(rèn)證等安全機(jī)制來(lái)實(shí)現(xiàn)對(duì)業(yè)務(wù)的安全保護(hù)，但很顯然，這還遠(yuǎn)遠(yuǎn)不夠。在梆梆安全看來(lái)，既然HCE是基于軟件的方式，那么自然需要基于軟件生命周期維度的全方位安全防護(hù)：從應(yīng)用規(guī)劃階段即開始，到應(yīng)用設(shè)計(jì)、應(yīng)用開發(fā)、應(yīng)用發(fā)布，甚至是應(yīng)用運(yùn)維都需要將不同的安全能力融入其中。

　　具體到HCE實(shí)現(xiàn)的關(guān)鍵組件和環(huán)節(jié)，首先需要對(duì)Token、LUK、報(bào)文秘鑰、通訊證書等關(guān)鍵數(shù)據(jù)實(shí)施梆梆白盒加密，在身份認(rèn)證方面加入設(shè)備、應(yīng)用、用戶等多維度認(rèn)證環(huán)節(jié)。通過對(duì)涉及支付核心邏輯的SO庫(kù)的源代碼進(jìn)行一重加固，防止源碼在內(nèi)存運(yùn)行中被竊取后進(jìn)行逆向分析;然后對(duì)編譯后產(chǎn)生的支付SDK進(jìn)行二重加固，防止SDK被反編譯和非法調(diào)用;最后對(duì)電子錢包APP進(jìn)行三重加固，防止APP被非法破解和篡改。而且為了在安全的前提下保證用戶體驗(yàn)，還要對(duì)應(yīng)用本身的靜態(tài)數(shù)據(jù)及運(yùn)行過程中產(chǎn)生的動(dòng)態(tài)數(shù)據(jù)進(jìn)行透明加密，對(duì)運(yùn)行環(huán)境進(jìn)行安全檢測(cè)，例如檢查系統(tǒng)安全、TEE安全、存儲(chǔ)安全、運(yùn)行安全等等。

　　采取這些安全措施就夠了么?當(dāng)然……還不夠，除此之外，HCE的健康運(yùn)行還需要相應(yīng)的安全服務(wù)支撐。比如，對(duì)HCE客戶端進(jìn)行安全測(cè)評(píng)，規(guī)范Visa云端支付。還要對(duì)NFC手機(jī)進(jìn)行適配測(cè)試，包括適用主流NFC機(jī)型、系統(tǒng)版本及CPU架構(gòu)等。

　　考慮到“人”這個(gè)安全體系里最為薄弱的環(huán)節(jié)，梆梆安全還提供安全框架、安全設(shè)計(jì)、安全開發(fā)、漏洞監(jiān)測(cè)及響應(yīng)等安全咨詢服務(wù)。

　　移動(dòng)支付極大的便利了人們的生活，而為了讓人們能夠快樂的享受移動(dòng)支付，需要為其提供從“始”至“終”的安全防護(hù)。威脅無(wú)孔不入，安全更要無(wú)處不在。