Apple Pay最近出現(xiàn)的中間人攻擊，讓人們更加關注Tokenization技術的發(fā)展，最近來自TSM及移動商務軟件與提供商Sequent的高級產(chǎn)品副總裁 Kaushik Roy就認為，確保移動支付安全擁有Tokenization還是不夠的，設備內(nèi)的軟件仍然擔當著移動支付安全的重要角色。記者進行了簡要的編譯，以下是其觀點：

　　在不需要將卡信息儲存在設備的情況下，HCE云端移動支付方式開啟了產(chǎn)業(yè)新模式，與此同時也伴隨著各種風險管理問題。

　　缺乏硬件SE的情況下，需要強大的軟件解決方案來確保敏感卡信息在手機交易當中的安全。Tokenization技術就是確保云端支付手段的重要解決方案，用Token來替代PAN碼，保護PAN碼免于濫用誤用。

　　支付安全有Tokenization技術就夠了嗎?

　　習慣上來說，Tokenization意味著一次性的使用數(shù)據(jù)，如果一次性的卡數(shù)據(jù)安全存在風險，那風險也僅僅局限于一次交易中。然而，Tokenization都遵守EMVCo標準，Token的定義是PAN碼的替代，這不等同與一次性的使用數(shù)據(jù)。現(xiàn)在Tokenization已經(jīng)開始各種商用，而在手機上的Tokenization使用，延長了其活躍壽命，這也同時給詐騙開了一扇窗。最近Spot.me的中間人攻擊事件(SpotMe APP讓用安卓NFC手機用上Apple Pay)，也將 Tokenizatin的安全推向了風口浪尖。

　　Tokenization在云端支付安全當中扮演的角色(較之PAN)在重要性方面略低，因為黑客即使截獲了Tokenization也不能盜取卡信息或者其他用途(這也意味著Tokenization更容易截獲)。此外，在手機數(shù)據(jù)庫的加密和功能形態(tài)，讓支付信息更容易遭到攻擊。

　　這兩方面的因素是HCE和Tokenization發(fā)展至關重要的。一個是動態(tài)的Token，一個則是設備內(nèi)的安全和管理。

　　HCE支付的服務提供商一般熟悉卡的發(fā)行以及個性化。而卡發(fā)行和個性化在SE和HCE兩種形式的移動支付解決方案中都有許多共同。二者最關鍵的不同是，基于SE的解決方案是靜態(tài)的，而HCE是動態(tài)的。動態(tài)的發(fā)行需要動態(tài)的卡信息管理以及賬戶信息管理，而Tokenization卻不需要。

　　設備管理是監(jiān)測各種閾值參數(shù)的能力，從而為各種事務的處理以及執(zhí)行提供信息。設備安全，是基于軟件SE來保護設備中的卡信息、加密以及功能安全。此外，也需要維護應用的完整性，以抵御黑客攻擊。所以說，設備的安全保障非常重要。特別是隨著HCE支付發(fā)展，所有可用的安全工具都可能被應用，無論是基于網(wǎng)絡的Tokenization還是動態(tài)發(fā)行和管理，亦或是逐漸成熟的指紋技術。

　　小編注釋：Kaushik Roy是Sequent的高級產(chǎn)品副總裁，擁有20年的軟件應用經(jīng)驗，同時他也參與撰寫了多個移動支付、NFC和流程管理技術專利。本文Kaushik Roy想表達的觀點是，未來的HCE安全，不僅僅是需要Tokenization的參與，還需要基于手機自身設備安全管理的參與，其中還包含著各種安全認證技術，在Apple Pay的引領下，指紋技術正在逐漸加入到支付安全的技術保障行列，未來任何能錢包設備安全的技術，都可能結合HCE，扮演應有的安全防護者。