移動支付在公共交通一卡通的創新應用

俞杰+陳志剛+李因易

摘 要：專注于如何將移動支付手段用到“一卡通”系統，將對各種常見的移動支付方案進行分析比較，綜合考量安全性、便利性等因素，項目將分別研究采用新型的基于HCE的手機公交卡模式、基于藍牙卡的手機支付模式、基于在線帳戶實現手機離線支付解決方案等，使之能在技術上達到以下要求：更簡便、閉環的非接觸支付、實時的支付卡分發、不必改變終端軟件即可實現便利的部署、不依賴于手機運營商。

關鍵詞：公共交通；一卡通；移動支付；移動商務；系統分析

中圖分類號：TP 202 文獻標志碼：A

0 引言

交通一卡通作為城市公共交通領域的便捷支付工具，是營造優質公共交通服務體系，提升公共交通競爭力和吸引力的重要舉措，對方便市民的日常出行，擴充運載工具的服務效能，提高行業管理效率和服務水平，緩解交通擁堵，建設和諧型、資源節約型、環境友好型社會，具有重要意義。

交通智能卡本身的研發、生產和應用能夠直接擴大就業、拉動內需，形成新的經濟增長點。國研網數據顯示，2020年我國整個城市交通卡的年市場容量預計為50億元，未來三到五年，每年至少需要3億張以上城市交通卡被售出。

除了城市交通一卡通卡本身的市場規模外，城市交通一卡通卡的廣泛應用還能夠在很大程度上帶動關聯產業的發展，并能夠帶來可觀的就業規模。同時也可以培育出一個城市通卡產業，包括芯片設計、芯片制造、芯片仿制、芯片封裝、讀寫模塊的設計制造、相關讀寫設備與系統等等一個完整的產業鏈。

本項目旨在研究新型的移動支付手段在區域性城市一卡通系統中的使用的可行性以及實現方案，深入研究各種需要整合的歷史遺留系統，根據現行系統的軟、硬件狀況，從技術上探討一個整體框架，使乘客通過各種手機移動支付手段，能夠乘坐公交、地鐵、出租等交通工具，并進一步探討使用手機進行小額消費支付的架構設計和實現方式，將手機支付用在高速公路休息區購物、景區門票、商場購物、自動售貨機、便利店、超市等場景。

1 基于安卓HCE架構的手機支付模式

Android4.4版本后引入了HCE（Host Card Emulation）模式的卡片仿真，不需要SE參與，CPU直接應答終端的指令。

HCE提供了如下能力使得廠家能夠通過移動設備提供卡片功能：

·更簡便的支付方案；

·閉環的非接觸支付方案；

·實時的支付卡分發；

·更具有戰略意義的是，不必改變終端軟件即可實現便利的部署。

采用HCE模式的優缺點如下：

優點：

·不依賴于手機運營商；

·完全自主實現，創新性的實現方案

缺點：

·安全性實現需要保證，如Token的使用、密鑰的存儲；

·成功案例少（2015年5月5日，工商銀行宣布與銀聯、VISA合作推出云支付信用卡產品），實現風險大；

主要描述如下：

1、持卡人在注冊應用時設置一用于持卡人身份的PIN碼，持卡人可通過手機客戶端對此PIN碼進行修改；

2、HCE上存儲黔通智聯下發的Token（見4.3.2.2.2）及其對應的應用數據，此數據使用后臺保存的PIN碼進行加密；

3、Token的時效性可設置，建議為1天；

4、HCE中保存的是經過PIN碼加密后的Token及其對應的應用數據；

5、在進行消費交易時，需要持卡人在手機上鍵入PIN碼（PIN碼保存在內存中）；

6、手機上的APP配合HCE應用對，保存在手機上的Token及其對應的應用數據進行解密后進行交易；

7、可提供將PIN碼保存在手機中的選項，方便持卡人的交易。

1.1 標記化（TOKENIZATION）

EMVCo于2014年3月發布了支付標記（Payment Tokenization）框架，旨在通過制定全球通用的標準推動支付標記的應用和推廣。采用傳統的加密形式來實現數據保護有兩個潛在弱點：加密結果的可逆性和密鑰管理的復雜性。

與加密方案有所不同，標記化是用數據替代的形式實現敏感信息的保護，不僅攻擊者不能通過可逆的方法來獲取原始數據，而且替代值的格式和結構可以同原有的數據完全一樣，以減少對業務和應用產生影響。

方案中加以的TOKEN就是指數據替代的形式保護黔通智聯卡內的敏感數據，如卡號、有效期、密鑰等值。

1.2 和賬戶同步機制

手機黔通公交卡和實體卡不同，包括：

1.2.1電子錢包和賬戶余額同步

手機黔通公交卡內電子錢包與匯聯通在線賬戶內的余額同步，聯機（是指手機與后臺賬戶之間通信正常）時電子錢包余額與賬戶余額同步；脫機（是指手機與后臺賬戶之間無法通信）下，手機黔通公交卡采用記賬模式，但設置“脫機消費限額和次數”，在限額范圍內，手機黔通公交卡采用記賬模式支付；超過限額部分，需要手機聯機同步（如手機上網時Android后臺程序自動同步、或手機無法上網時在空中充值、客服中心等場所聯機處理）。

1.2.2.終端上手機黔通公交卡與實體卡一致

對終端而言，手機黔通公交卡與實體卡相同，支持交通運輸部《城市公共交通IC卡卡片技術規范》的卡片規范，支持規范中的指令和流程。

1.3 電子錢包與后臺賬戶同步機制

電子錢包與后臺賬戶保持一致，需要同步機制確保電子錢包的數據與后臺賬戶保持一致。同步方式有三種：手機發起同步；終端發起同步；系統發起同步。

1.3.1.手機發起同步

手機發起同步是指手機黔通公交卡刷卡支付后，手機端將最新的交易通知到后臺，由后臺對賬戶的余額等信息進行更新。

手機黔通公交卡在每次支付后，后臺的服務將交易明細同步到后臺，同時同步賬戶余額與電子錢包余額。

1.3.2.終端發起同步

終端發起同步是指手機黔通公交卡刷卡支付后，終端將最新的交易記錄通知到后臺（例如手機不能上網，或手機發起同步不成功），由后臺對賬戶的余額等信息進行更新。

終端發起同步時，手機參與到支付過程，因此也無需系統再次將賬戶的余額同步到手機端。

所有實體卡電子錢包的余額更新均采用終端發起同步。

1.3.3.系統發起同步

后臺賬戶的支付方式除了手機黔通公交卡外，還支持其他方式的在線支付方式（例如通過網頁支付等），這種情況下需要系統發起同步，以通知手機黔通公交卡后臺賬戶余額發生變化。

1.4 脫機使用場景

脫機使用場景是指手機和終端同時處于脫機狀態——手機無法聯機到后臺，終端也無法聯機到后臺。例如，脫機的手機黔通公交卡在公交POS機上使用。

由于不同同步機制造成的賬戶數據不同步（例如客戶使用在線賬戶通過網頁支付，余額發生變化，但同步到手機失敗，這時手機上的余額與后臺的余額不一致），這種情況下手機的余額與后臺賬戶余額的數據可能有較大出入，有惡意透支的風險。因此，手機脫機使用時，設置“脫機消費限額”——脫機情況手機支付的最大限額，以降低資金風險。

例如，設置“脫機消費限額”為100.

如果手機一直脫機，最大消費金額為100；

如果手機脫機消費的余額還剩下20，手機聯機并且數據同步成功后，“脫機消費限額”重新設置為100；

手機脫機消費余額為0后，聯機同步（手機自身、客服中心等）成功后，“脫機消費限額”重新設置為100。

對于部分實名制并且綁定了信用卡的高端客戶，可以考慮授權一定程度的額度進行交易。在規范的框架內可以使用“小額復合消費的透支限額”或者“脫機借貸記流程中的累計脫機交易金額上限”進行實現。

對于上述兩種方式中任何一種的實現都需要對POS流程進行單獨的修改。

1.5 聯機使用場景

聯機使用場景是指手機聯機或終端處于聯機。

在聯機模式下，手機和終端需要將手機黔通公交卡在脫機模式下的消費明細同步到后臺，并且同步賬戶余額與手機電子錢包的余額。同步發起可由手機或終端之一或同步發起。

2 基于藍牙卡的手機支付模式

2.1 蘋果藍牙卡

現在市場上的主流機型主要為蘋果和安卓兩大陣營。

蘋果對于支付和NFC的態度比較封閉，NFC相關接口都在蘋果的控制之下，第三方App無法對其進行任何改動和使用（不論是作為卡片還是讀卡器）。這就意味著如果要在蘋果手機上實現移動支付則必須依賴外設進行。

現有的解決方案一般是使用外置的手環、手表和異形卡等設備進行非接觸交易，通過藍牙4.0接口連接手機和外設并使用APP對其進行操作。

通過在藍牙卡中增加GPS模塊，通過手機APP俘獲GPS信息，以滿足老人、小孩行動軌跡的追蹤和查看。

2.1.1 標準藍牙卡

制作標準大小左右的實體卡，內部含有藍牙4.0芯片、射頻模塊，手機通過藍牙與卡配對后通信，通過手機APP實現空中發卡、圈存等功能。

2.1.2 手環卡

可穿戴設備手環中含有藍牙4.0芯片以及射頻模塊，實現機制與標準藍牙卡相同。

2.1.3 手表卡

手表中含有藍牙4.0芯片以及射頻模塊，實現機制與標準藍牙卡相同。

2.1.4 鑰匙鏈

鑰匙鏈中含有藍牙4.0芯片以及射頻模塊，實現機制與標準藍牙卡相同。

2.2 安卓藍牙卡

安卓相對于蘋果來說就非常開放，現在主流的三種：

·SWP-SIM（和移動運營商進行合作）

·全終端（和手機廠商進行合作）

·HCE（APP所有者自主可控）

三種方案各有優劣，針對黔通智聯不想受制于移動運營商和手機廠商的現狀，HCE相對于前兩個方案來說是更加適宜的方案。

當然 ，安卓系統同樣可以使用藍牙4.0連接外設的方式實現。

2.3 藍牙卡支付方案

基于藍牙卡的手機支付模式同樣采用HCE（APP所有者自主可控）方案，由移動設備的CPU直接對藍牙卡中的芯片進行讀寫。

在線支付時，需要移動設備與藍牙卡先配對成功，才能進行支付操作；離線支付時，只需要藍牙卡直接與NFC射頻讀卡模塊接觸即可完成支付。

在使用藍牙卡的支付模式中，同樣采用HCE的優化方案來加強數據安全性。

3 脫機消費交易流程

HCE模擬卡脫機消費交易流程主要涉及客戶端和消費終端兩部分。大致的交易流程如下：

前置條件：

（1）用戶將客戶端APP激活

交易流程：

（1）由終端發起交易請求；

（2）客戶端發送token給終端；

（3）終端判斷客戶端token的有效性；

（4）客戶端判斷是否支持此處交易（判斷應用密鑰、余額等）；

（5）終端生成MAC1供客戶端進行身份確認；

（6）客戶端確認終端身份后，進行扣費并產生MAC2供終端驗證；

（7）終端驗證MAC2通過后，記錄交易記錄，結束交易。

4 結語

本項目研究了基于安卓HCE架構的手機支付模式、基于藍牙卡的手機支付模式。這兩種手機支付模式主要問題都集中在脫機支付時的安全性上，存放在HCE中的安全數據可能被非法讀取，用于卡片的復制、數據覆蓋等，有不可控制的偽卡風險。

本方案中采用token標記方式進行敏感信息的隱藏，對token設置合理的時效，能有效的降低風險，提高數據安全性；在脫機使用場景中采用設置脫機消費額度的方案，能有效防止手機的余額與后臺賬戶余額的數據可能有較大出入，有效降低資金風險。

另外，在本方案中采用多種同步機制，及時更新token、黑名單等信息，加強數據、資金的安全性，確保電子錢包的數據與后臺賬戶保持一致。