「當你出門,忘了帶甚麼東西,會讓你一定要跑回家拿?」在未來,這個問題的答案,可能只有「智慧型手機」。因為它不僅有通信、定位、社交等全方位的生活功能,重要將會有的支付功能,也將成為生活中的重大改變。
全球進入行動支付時代
向國際看齊! 中國人民銀行二月份的報告顯示,2014年電子支付業務超過30%,其中行動支付成長尤其顯示顯著,支付金額較前年同期增加134%。路透社的新聞也指出去年中國電子支付業務和金額增加近三成,其中行動支付業務增幅達一倍以上。
而台灣,在第一季,行動支付也即將登場!金融、電信等業者都積極搶進行動支付的市場,包括了台灣行動支付、群信行動數位科技、聯合國際支付三大平台。
值得一提的是,除了聯合國際採用技術不同外,其他兩家都是採用TSM方式,他們必須讓民眾更換NFC USIM卡,就可以用指定信用卡與手機,透過空中下載,進行行動支付。而聯合國際是使用HCE的技術,可用手機模擬一或多張智慧卡成多卡合一,並將原本由SIM卡或micro SD承載的安全元件儲存訊息,直接交付雲端執行,因而可減少發卡單位的發卡成本,以及手機整合等兩大安全元件問題。
何謂 TSM?
行動支付可分為遠端支付及近端支付兩種,遠端支付指的是利用線上付款的方式,像上網刷卡、App或是電子錢包就是屬遠端方式,而必須和實體商家面對面完成付款,就是近端支付,像利用 QR Code和NFC手機信用卡就是近端支付的代表。
因此雖具備NFC手機,行動支付仍必須要有其他環節的配合,全球仍有許多國家包括台灣,至今在NFC行動支付商務仍遲未推展,歸咎原因主要出在NFC行動支付所牽扯業務範圍太廣,擴及層面包含電信運營商、金融業者、零售商和交通業者等,而這些面向皆須要靠TSM系統來統合。
什麼是 TSM呢? 就近端支付方面,主角就是信託服務管理平台(Trusted Service Management,TSM),它是行動支付運作的核心關鍵,是應用程式下載的平台,也是第三方認證平台。如同 Apple的App store,Android的Google Play,消費者透過此點選使用其中一家信用卡、悠遊卡、門禁卡等功能,支付功能就內建在SIM卡,就可享受行動便利的快感。
TSM 技術淺析
TSM就像你的手機及信用卡,都會有個開通、暫停與中止,也可能會遺失,再重新啟用。而這些活動之後都將進入你我的生活之中。
NFC服務生命週期包括透過 OTA下載應用服務的各項卡片應用服務管理作業,如應用服務佈署、啟用、暫停、恢復、換版、資料更新及刪除等。重點在於佈署階段。
使用者可向應用服務提供者,如金融機構,申請手機NFC服務,下載應用服務。服務提供者接獲申請,完成審核後,在下載前,TSM須先執行合宜性檢核,以確認相關環境是否備妥:
- 手機是否符合NFC作業方式、安全元件是否符合NFC作業需要?
- OTA環境是否備妥?
- 安全元件是否備妥?如記憶體是否足夠。
另外就一般使用者,也會有生命週期,這也是有管理的循環。包括了安全元件更換、行動裝置更換、行動裝置遺失、行動裝置遺失後找回、行動裝置遺失後找回,此階段需考量安全元件更新、行動設備更換及電腦號碼更換。另外亦需提停止遺失裝置中安全元件的應用服務,同時暫停提供該安全元件任何應用服務。最後兩項是終止應用服務與更換 MNO,最後階段則要考量安全元件的更新,及消費者可能會更換電信服務業者。
安全元件是核心
安全元件又是什麼? 2013年前被廣泛討論就是根據GP(Global Platform)標準來訂的,分別是UICC(Universal Integrated Circuit Card)、SMC(Secure Memory Card)及手機內建晶片等安全元件(Secure Element,SE)都可做為行動支付的載具,它們就是儲存支付資料的所在。
隨著科技持續進展,安全元件也有新的發展。如2013年香港銀聯通寶公司(JETCO)所成立的TSM平台,以率先支援以插入耳機孔之外掛裝置(Add-On Device)作為其安全元件的載具,使得不須行動服務業者的SIM卡,就可提供服務,讓此產業鏈中的各單位關係產生了變化。
2013年9月Google Android 4.4 KitKat版新增一項手機主機板模擬的技術(Host-based Card Emulation,HCE),該技術可讓行動裝置應用軟體在作業系統保護下,模擬安全元件,並以此作為另外一種的解決方案。2014年2月 Visa已發表聲明全面支援HCE作業方式。
HCE與Token
HCE
是Google 下一代Google Wallet將要採用的標準,聯合國際支付公司所採用的技術,它讓消費者若更換手機或電信業者,都不必更換晶片卡,只需重新自雲端下載回復先前的使用狀態,即可繼續啟用先前的行動支付服務,便利性大為提高,幫銀行業者省下許多換卡的成本。
HCE雖然可以不用仰賴 SIM 卡,不過會對無線網路上網的高度依賴。在HCE支付系統中,雲端主機會透過網路傳送一次性的加密金鑰到使用者的手機裡,使用者必須要透過金鑰驗證才能付款,付款完畢後,金鑰就消失、金鑰的保存期限大約是一個小時,若沒有上網,取得新的金鑰,就無法再利用手機付款。有時為讓消費者方便,特定情況HCE也可以讓使用者一次取得多組有時間限制的金鑰,不過金鑰數量並不是無上限的。
Token(令牌)
Apple Pay所採用的方式。簡單來說就是讓信用卡的卡號變成隨機的虛擬代碼,取代傳統卡片上的帳號資訊,以避免被駭的風險。
Token的產生原是要解決店家存放太多信用卡卡號,而產生的安全漏洞問題。藉由令牌化,店家收到刷卡要求時,刷卡機會向發卡機構提出使用者信用卡代碼請求,發卡機構比對代碼和卡號相符之後,才能完成結帳,因此店家就不會直接得到消費者的卡號,卡號將由安全性更高的 Token Vault來管理,一組卡號可以對應到多組代碼,也能限定代碼的使用,因此一旦有某個代碼不慎遭竊,損失也較以往來得輕微。
安全是成功的保障
如Android手機是種開放式系統,而且具備上網、持續連線的特性,也是病毒與木馬程式鎖定的目標。行動支付業務的有效推展取決於消費者的信賴度。因此安全性是行動支付成功的基本要件。
在科技改變的同時,不僅改變產業的服務,也改變了消費者的行為,而能否改變成真,也端賴各方的溝通、協調與整合,而且能選定長久且看好的技術,持續發展,更是成功的要件。不管如何,行動支付所帶來的生活改變將是即刻來到的!