金融信息化研究所所長 李曉楓

　　歲末年初，人民銀行先后印發(fā)了《關(guān)于進(jìn)一步做好金融IC卡應(yīng)用工作的通知》、《關(guān)于推動移動金融技術(shù)創(chuàng)新健康發(fā)展的指導(dǎo)意見》兩個重要文件。要求“自2015年4月1日起，各發(fā)卡銀行新發(fā)行的芯片卡應(yīng)符合PBOC3.0規(guī)范;2015年底，110個金融IC卡公共服務(wù)領(lǐng)域應(yīng)用城市，POS終端非接觸式受理比例同比至少增加20個百分點。自2016年1月1日起，發(fā)卡銀行、銀行卡清算機(jī)構(gòu)等開展的移動金融服務(wù)應(yīng)以基于金融IC卡芯片的有卡交易方式為主;加強(qiáng)移動金融賬戶介質(zhì)標(biāo)準(zhǔn)符合性管理，增強(qiáng)移動金融安全可控能力;加快構(gòu)建安全可信基礎(chǔ)環(huán)境，發(fā)揮檢測認(rèn)證的質(zhì)量保障作用”。

　　兩個文件的發(fā)布，對促進(jìn)銀行業(yè)將金融IC卡的發(fā)展重心更多轉(zhuǎn)至公共服務(wù)領(lǐng)域、國產(chǎn)芯片及國密算法推廣預(yù)先布局、移動金融的發(fā)展重心更多轉(zhuǎn)至TSM技術(shù)路線，將發(fā)揮重要的指導(dǎo)作用。筆者結(jié)合金融信息化研究所的研究工作情況，就貫徹落實文件精神，談兩方面的意見。

　　聚合共識，盡快明確金融IC卡新常態(tài)時期的發(fā)展目標(biāo)

　　我國的金融IC卡已進(jìn)入新常態(tài)發(fā)展時期。2014年12月，金融IC卡累計發(fā)行已達(dá)12億張，占比存量約31%，銀行卡市場結(jié)構(gòu)已跨過質(zhì)變的拐點。預(yù)測2015~2018年能全面完成換芯，金融IC卡發(fā)行將會超過30億張，扣除兒童和部分高齡人群，達(dá)到人均三張銀行IC卡的標(biāo)準(zhǔn)，銀行卡芯片化遷移全面完成。

　　一是金融IC卡將進(jìn)入“到期換新、以舊換新”為主的穩(wěn)態(tài)市場。新常態(tài)時期金融IC卡的戰(zhàn)略目標(biāo)是什么呢?社會、銀行業(yè)、持卡人心理預(yù)期都會與戰(zhàn)略目標(biāo)是否明確息息相關(guān)，筆者認(rèn)為可以考慮將2019年1月1日設(shè)為“D”日——DecisionDay，從2019年1月1日起，全國停止磁條卡的人民幣業(yè)務(wù)受理。若依此預(yù)期性的戰(zhàn)略目標(biāo)，金融IC卡新常態(tài)時期工作即能圍繞目標(biāo)展開明確清晰的部署與安排，利于整合行業(yè)與社會的共識，意義等同2011年3月人民銀行64號文中提出的“2015年商業(yè)銀行全面發(fā)行金融IC卡”的目標(biāo)。

　　二是規(guī)?；l(fā)卡是金融IC卡新常態(tài)時期的重要特征。若今明兩年內(nèi)能帶起國產(chǎn)芯片、國密算法的應(yīng)用規(guī)模，銀行業(yè)在此關(guān)鍵問題上將極大地造福社會，有利于升級國內(nèi)IC芯片產(chǎn)業(yè)結(jié)構(gòu)、規(guī)?；捎米灾髦R產(chǎn)權(quán)，有利于穩(wěn)固金融業(yè)有卡移動支付的產(chǎn)業(yè)基礎(chǔ)。筆者認(rèn)為應(yīng)分兩步予以實現(xiàn)。先推行國產(chǎn)芯片卡的規(guī)?；l(fā)行應(yīng)用，其次才是國密算法的推進(jìn)。若這些工作能在2018年見成效，我國銀行卡業(yè)務(wù)、技術(shù)、信息安全將會有一個穩(wěn)固的產(chǎn)業(yè)與運(yùn)營基礎(chǔ)，初步實現(xiàn)自主可控、安全可持續(xù)目標(biāo)。

　　三是公共服務(wù)領(lǐng)域應(yīng)用現(xiàn)在已具備突破勢能。在重點領(lǐng)域如公交、ETC、鐵路等，要重視抓好機(jī)會窗口，堅決執(zhí)行“政府主導(dǎo)、央行推進(jìn)”的多應(yīng)用推進(jìn)路線。

　　四是重視行業(yè)認(rèn)證。隨著清算市場的對內(nèi)、對外放開，對將來各個卡組織下的銀行IC卡認(rèn)證，應(yīng)有上升為金融行業(yè)認(rèn)證的準(zhǔn)備性安排，使行業(yè)標(biāo)準(zhǔn)與檢測認(rèn)證成為銀行卡行業(yè)管理的重要導(dǎo)向與抓手。

　　深入研究移動金融發(fā)展規(guī)律，明確發(fā)展策略

　　對當(dāng)前移動支付觀察分析結(jié)果看，商業(yè)銀行的線上網(wǎng)絡(luò)支付陣地已處于明顯劣勢，幾近淪為第三方網(wǎng)絡(luò)支付機(jī)構(gòu)、尤其是支付寶的后臺和資金管道。從筆者實際使用經(jīng)歷看，手機(jī)內(nèi)一個支付寶APP即能解決大多數(shù)的線上支付需求。2014年9月，支付寶與華為發(fā)布MATE7指紋支付，又走在銀行的前面。筆者曾在不同場合給銀行的同事們演看Mate7的支付寶按壓指紋支付，大家的共同感受是：為什么我們的手機(jī)銀行不這樣做呢?我國商業(yè)銀行的手機(jī)銀行發(fā)展很快，是目前移動金融發(fā)展的主流，但在易用性、客戶體驗上，仍然要低下頭向互聯(lián)網(wǎng)企業(yè)學(xué)習(xí)。

　　其次，在移動支付方面，除了ApplePay能與無卡支付(如支付寶)在易用性、客戶體驗上毗美，全球范圍的Android體系仍然停滯不前。所以，一方面要考慮以己優(yōu)勢、避開劣勢，避開互聯(lián)網(wǎng)企業(yè)的鋒芒，以金融IC卡規(guī)模發(fā)行應(yīng)用守住線下(第三方的線下手機(jī)支付并沒有比銀行卡更具優(yōu)勢)，同時發(fā)展NFC拍卡應(yīng)用和Android體系移動金融安全終端、完善SE介質(zhì)下的手機(jī)銀行等三項創(chuàng)新發(fā)展內(nèi)容，深挖洞、廣積糧，謀長遠(yuǎn)。在Android體系移動金融安全終端尚未形成規(guī)模前，不妨先跳過移動支付這一步，著重以SE介質(zhì)的手機(jī)銀行來發(fā)展移動金融，加強(qiáng)其安全性。將手機(jī)銀行從目前的互補(bǔ)型電子渠道提升為超越網(wǎng)銀的主渠道。這一點商業(yè)銀行能通過產(chǎn)業(yè)合作方式很快做到，今年就應(yīng)推出指紋認(rèn)證的手機(jī)銀行產(chǎn)品。在人民銀行的指導(dǎo)下，銀行業(yè)的力量也應(yīng)因時、因事、因市場競爭態(tài)勢的需要而做出布局調(diào)整。兵分兩路，商業(yè)銀行以完善手機(jī)銀行走移動金融之路，以中國銀聯(lián)、中國金融電子化公司主導(dǎo)的產(chǎn)業(yè)聯(lián)盟發(fā)展移動支付。

　　為了實現(xiàn)兩條腿走路的移動金融與移動支付策略，手機(jī)銀行除了按壓指紋認(rèn)證，還要解決大額支付、匯劃、信貸單據(jù)、征信記錄安全存儲等安全與易用性兼顧的一體化體驗。這就要建立硬件TRUSTZONE+GPTEE技術(shù)(包含獨立OS、可信TUI)、指紋認(rèn)證、U盾證書等技術(shù)要件組合。也就是說做出手機(jī)自帶二代或三代U盾的手機(jī)銀行產(chǎn)品。加強(qiáng)與主要國內(nèi)手機(jī)廠商合作，可加速將TRUSTZONE+GPTEE、指紋認(rèn)證、嵌入式OS及可信接口TUI等引入手機(jī)銀行。

　　國內(nèi)的移動支付市場，不像金融IC卡那樣結(jié)構(gòu)簡潔、規(guī)律易循，類似春秋諸國爭雄時期。市場在NFC通道技術(shù)方面：有ApplePay推出Token，招行發(fā)布“一閃通”品牌，銀聯(lián)欲推Androidpay，某大行有HCE支付計劃，部分銀行有手機(jī)U盾計劃，有銀聯(lián)錢包、中移動和包等。在電商及O2O線上支付方面：支付寶無卡支付錢包風(fēng)頭很盛，還有微信支付、銀聯(lián)快捷支付、工銀E支付，以及VISA的FIDO(Server)，銀聯(lián)與南航的Token支付。其他方面：支付寶二維碼線下支付、聲波當(dāng)面付、微信二維碼支付和PayPal的FIDO(client)等。人們不禁要問，為什么會出現(xiàn)如此多的產(chǎn)品?

　　筆者認(rèn)為，這與移動終端多樣性與多重屬性的特點相關(guān)。除了封閉系統(tǒng)的蘋果手機(jī)外，Android體系的開放性決定其產(chǎn)品的多樣性和多重屬性特點。前者表現(xiàn)在Android操作系統(tǒng)版本較多，沒有一個版本能一統(tǒng)天下，而硬件有高中低的性能配置不同，還有不少定制類別操作系統(tǒng)的如華為EMUI、小米MIUI、三星、HTC的等等，導(dǎo)致同一個Applet應(yīng)用在不同手機(jī)、不同系統(tǒng)版本上都要調(diào)試。Android體系手機(jī)的多樣化往往導(dǎo)致業(yè)務(wù)應(yīng)用部署耗時較長，以至于用戶對業(yè)務(wù)發(fā)展的要求難以得到及時響應(yīng)，達(dá)成用戶體驗一致性的難度比IOS體系大。Android體系手機(jī)多重屬性特點表現(xiàn)在其可以是：手機(jī)銀行客戶端的借/貸記卡、POS機(jī)、錢包、公交地鐵卡、U盾等。

　　上述“兩多”的特點，加之我們要求必須是以SE介質(zhì)存儲安全信息，如個人(企業(yè))敏感數(shù)據(jù)、U盾、CA證書、第三方支付錢包賬號證書、銀行卡號或Token數(shù)據(jù)、網(wǎng)絡(luò)數(shù)字身份證、指紋模板等，客觀上構(gòu)成了開放、不安全的終端環(huán)境與SE安全小環(huán)境共存的尷尬境地。所以，現(xiàn)實中若映射一張卡到一個Android手機(jī)做支付、做金融并“不難”，但映射同一屬性的卡到同一品牌高中低版性能配置不同的Android手機(jī)就“很難”了。如果是不同廠商、不同品牌的，那就“難上加難”，往往導(dǎo)致業(yè)務(wù)應(yīng)用部署耗時較長，以至于用戶的業(yè)務(wù)一體化體驗要求難以得到及時響應(yīng)。

　　所以，針對Android體系的開放性特點和近年來國內(nèi)手機(jī)廠商的市場崛起，加之用戶對移動金融始終揮之不去的安全疑慮，臺風(fēng)前鋒已經(jīng)到來，我們可以順勢而為，提出需要“移動金融安全終端”這個硬件性能配置較佳、軟件一體化程度較高的金融支付工具，就如同金融IC卡的支付工具介質(zhì)。筆者認(rèn)為，Android體系的“移動金融安全終端”應(yīng)具備以下七個技術(shù)要件。

　　(1)基于芯片硬件的隔離技術(shù)——TrustZone芯片內(nèi)硬件隔離技術(shù);(2)集成獨立的芯片內(nèi)加密、解密模塊——RSA或SM算法;(3)可信安全操作系統(tǒng)，實現(xiàn)內(nèi)核底層監(jiān)控——GPTEE下的OS;(4)可信用戶界面，保證輸入輸出安全——TUI;(5)安全存儲空間，讓用戶賬戶實現(xiàn)保護(hù)——SIM-SE或ESE;(6)Android4.4以上版本;(7)指紋認(rèn)證。

　　如此，證書存儲與簽名在SE硬件介質(zhì)或HCE的TEEOS安全分隔環(huán)境中，運(yùn)行系統(tǒng)是GPTEE下的OS，且通過安全與標(biāo)準(zhǔn)的檢測認(rèn)證，能有效解決“映射同一屬性卡到一批手機(jī)上業(yè)務(wù)應(yīng)用部署耗時較長”的問題，也能處理好開放、不安全的終端環(huán)境與SE、HCE安全小環(huán)境共存的尷尬問題。

　　從目前的市場與技術(shù)發(fā)展看，國產(chǎn)手機(jī)的“臺風(fēng)口”已經(jīng)在展現(xiàn)之中。例如華為Mate7手機(jī)已初步達(dá)到移動金融安全終端支付工具的要求。過去兩年來，智能手機(jī)世界在“摩爾定律”的支配下，硬件性能配置迅速達(dá)到PC機(jī)的水平，軟硬件一體化用戶體驗已經(jīng)接近蘋果手機(jī)，實現(xiàn)“移動金融安全終端”支付工具產(chǎn)品是可行的。在產(chǎn)業(yè)發(fā)展的機(jī)遇期，應(yīng)重視以下工作和觀點。

　　一是在移動終端檢測認(rèn)證上有所轉(zhuǎn)變。從SE芯片、COS嵌入式軟件的單項檢測認(rèn)證逐漸轉(zhuǎn)變?yōu)閷?移動金融安全終端"的解決方案認(rèn)證，要與國內(nèi)手機(jī)廠商合作出臺檢測標(biāo)準(zhǔn)與規(guī)范。如此，有利于指導(dǎo)占據(jù)市場83%份額的Android體系生產(chǎn)金融行業(yè)得心應(yīng)手的支付工具。

　　二是重新認(rèn)識NFC與金融IC卡的關(guān)系。應(yīng)該說NFC技術(shù)為金融IC卡開辟了通往線上支付的通道，而金融IC卡也為NFC提供了廣泛的應(yīng)用，兩者是共存關(guān)系?，F(xiàn)在已經(jīng)有了一些NFC拍卡應(yīng)用的移動支付，表現(xiàn)出了移動終端多重屬性的特點，如閃電刷、Q幣閃付充值與支付、卡卡聯(lián)、小漁支付的NFC拍卡支付應(yīng)用。以NFC非接方式受理金融IC卡(如閃付充值)，這時候手機(jī)成為POS機(jī)并能受理金融IC卡，而后同一部手機(jī)又會成為支付工具，發(fā)出交易指令、建立VPN通道與后臺“握手”做線上支付。所以，新的NFC拍卡小額支付應(yīng)用模式，是NFC與金融IC卡共存下的新的移動支付應(yīng)用，銀行業(yè)應(yīng)支持這樣的支付業(yè)務(wù)發(fā)展。

　　三是Android體系循著有卡支付的兩條路線應(yīng)考慮的政策框架?，F(xiàn)在是TSM技術(shù)路線先走一步，在政策上如做好以下關(guān)鍵工作，2015年的發(fā)展道路將更為順暢。

　　(1)加強(qiáng)與通信運(yùn)營商基于SIM-SE的移動支付合作，此中要害是三個問題：第一，定制SIM-SE下的移動金融安全終端;第二，雙方能磨合出可持續(xù)性發(fā)展的商業(yè)模式;第三，對客戶服務(wù)的一體化。

　　(2)編撰移動金融終端的技術(shù)配置細(xì)則，與手機(jī)廠商合作出臺標(biāo)準(zhǔn)與測試規(guī)范，開展移動金融安全終端的檢測認(rèn)證工作。

　　(3)考慮建設(shè)第三方的SEI-TSM，一方面可以為生產(chǎn)移動金融安全終端的手機(jī)廠商提供SEI-TSM外包服務(wù)，開發(fā)并提供符合檢測認(rèn)證的GPTEEOS預(yù)安裝和技術(shù)支持。另一方面對于通過檢測認(rèn)證的移動金融安全終端，可免費(fèi)分配發(fā)放SEID號段，納入公共服務(wù)平臺MTPS的統(tǒng)一管理。

　　(4)開展Tokenization行業(yè)標(biāo)準(zhǔn)編制，明確云平臺信息安全規(guī)范，并適時啟動HCE應(yīng)用試點工作。

　　筆者相信，2015年若能對以上工作逐步落實，2016年內(nèi)，數(shù)量眾多的移動金融安全終端產(chǎn)品將會涌現(xiàn)。第二條路線——HCE的發(fā)展或許超乎市場預(yù)期，出現(xiàn)跨越態(tài)勢，甚至趕超TSM路線。