HCE究竟为NFC业务带来了什么好处

2015-06-29 16:00:34 重庆诺塔斯智能科技有限公司 364

    

HCE究竟为NFC业务带来了什么好处,需要从NFC支持的业务谈起,首先需要澄清的是NFC不等同于移动支付,移动支付只是NFC诸多应用中安全要求最高的应用之一,在移动互联网业务爆发的时代,NFC应用的范围也日益广泛,会员卡、优惠券、电子票等基于身份、凭证的应用有些虽然可以划入广义的移动支付的范畴,但和需要牌照的支付和银行的支付在安全和业务监管要求的程度上不尽相同。这些类型的NFC应用安全要求不像账户中有大量资金的银行类支付业务,虽然需要对用户身份、凭证的安全性做出确认,避免假冒和伪造,但还未上升到金融业务的高度,因此如何在安全、便利和业务发展之间寻求平衡十分重要。同时,NFC是嫁接移动互联网与线下,共同完成O2O电子商务活动的关键要素,完全称得上是移动互联网O2O业务的依赖的核心交互技术手段,是O2O行业发展的不遑多让的关键助力。O2O业务的发展,在没有HCE的时代,同样受至于NFC的发展,堪称裹足不前(当然,基于二维码、RFID的一些业务也在风风火火开展,只不过是有不小的局限性而已)。谷歌HCE的出现为这些非金融支付类的O2O业务打开了一扇门,在一定程度上提供安全的模拟手段,经济的解决SE的问题,为业务的蓬勃发展大有助力。

 

至于金融级别的移动支付,HCE是否可以登堂入室,第一要看Visamaster、银联是否能够解决本地软件、远程云端SE的安全问题,第二要看,技术上可以解决后上述机构和政府层面是否愿意接受这样的方案。目前,国内有个别运营商和银行在小规模试用类似HCE的技术手段,希望推动移动支付的发展,但是否能够成为标准,形成规模,还需要时间考验。因此,HCE对移动支付行业发展的影响,暂时不好评论。

 

HCENFC的发展带来了价值,同样也存在着一定的安全风险。HCE带来了繁花似锦,也免不了苍蝇蚊虫,HCEO2O的业务发展打开了一扇门,也给投机取巧恶意钻营者开了一扇窗。本地软件模式和云端模拟远程实现SE,安全级别没有硬件芯片级别的安全级别高,在通信和使用中,存在SE密钥安全泄露的问题。另外,也存在假冒具备安全芯片第三方SE的可能性,即使使用了安全芯片SE的金融支付应用,也可以被人为地使用HCE假冒和伪造,带来较高的风险。伪造和假冒别人的SE技术成本降低,SE造成的欺诈也会如影随行。因此,配套的对SE类型和业务的鉴别和认证机制建设和运营迫在眉睫。如果没有认证的SE大行其道,欺骗欺诈满天飞,HCE营造的NFC业务发展的大好前途只会黯然收场。甚至是牵连目前已经具备硬件芯片SE的应用也会受到影响,中国制定的移动支付标准的根本或者也会受到动摇,即使发行了SIM卡的SE也会受到不小的挫折。

 

从谷歌一贯的作风来看,谷歌对安全控制的形象一直不佳,甚至有些安全手段的控制力度只能用匪夷所思来形容。例如,在应用认证机制中,允许开发者自签名证书,用笑柄来形容并不为过,可以堂而皇之的使用第三方的名义发布应用,没有权威机构发行的证书是对PKI/CA机制不了解造成,有时候,没文化真可怕。

 

当然,谷歌可以解释为安全方面留白太多是给终端制造商和通信运营商以控制和运营安全机制的机会。不过,从终端制造商和通信运营商来看,真正能把这个机制建设和运营好的,也只能说是寥寥无几。因此这种留白,只能说是个天大的漏洞。

 

同样,面对HCE时代的SE认证机制,如果终端制造商和通信运营商没有把手里的权力和责任使用好完善模拟SE的实现并提出安全解决方案,建立对SE的鉴别和认证机制,避免模拟SE漏洞百出,避免伪造和假冒第三方SE大行其道。那么结局也会相当悲催,最可能的结果是彻底埋葬NFC的前途,唱响NFC的最终葬歌。

 

总体来说,谷歌的HCE布局的先手优势明显,非常到位的解决了困扰NFC以及O2O业务发展的瓶颈,同时为产业链留下了可以深耕的空间,开发、销售、运营本地软件模拟和远程云端模拟SE是一门不错的生意。这种方式,即成全了谷歌开放的名声,也减轻了安全的相关责任。同时,谷歌的HCE对本地软件和远程云端的SE并未建立起完备安全的认证机制,可能造成欺诈风险肆虐,从而影响HCE的推广和发展,甚至会影响NFC的发展。

 

作为一个开放平台提供商,谷歌可以不运营这样的机制,但是谷歌需要提供这样的机制和解决方案。这个机制的运营可以由终端制造商和通信运营商来承担。当然,在谷歌不具备该机制的前提下,终端制造商和通信运营商应该及时补位,提出模拟SE安全性和SE鉴别认证机制,从而针对性的解决HCE发布带给NFC发展的问题。避免形式恶化后不可收拾的崩盘。