登錄
注冊
PBOC借貸記和小額支付將為Java卡帶來新商機
作者: 辛鐵鋒
來源:中國智能卡網
日期:2008-07-10 08:59:40
摘要:目前從全球來看,第一波的EMV遷移進程已經接近尾聲,現在人們關注的是如何從SDA(靜態數據認證)進一步升級到DDA(動態數據認證)或者CDA(關于SDA、DDA、CDA的定義參見EMV規范),從而進一步增強卡片的防欺詐能力。
目前從全球來看,第一波的EMV遷移進程已經接近尾聲,現在人們關注的是如何從SDA(靜態數據認證)進一步升級到DDA(動態數據認證)或者CDA(關于SDA、DDA、CDA的定義參見EMV規范),從而進一步增強卡片的防欺詐能力。
反觀國內市場,EMV遷移幾乎還停留在起步階段,只有為數不多的幾家銀行發行了少量的EMV卡。更多的銀行還在熱火朝天地推廣普通的磁條信用卡,五花八門的促銷手段和普天蓋地的廣告,讓人目不暇接。國內各家銀行會同威士、萬事達、JCB、美國運通發行的各種雙幣種信用卡,不僅讓普通的消費者無所適從,也讓國內銀行間交易處理業務的中國銀聯感到了市場的嚴峻,所以中國銀聯采取各種策略,希望國內的銀行能夠發行銀聯卡,并且不遺余力地推廣PBOC借貸記和小額支付規范的應用,這樣從市場上為PBOC借貸記和小額支付的大量普及消除了阻力。
PBOC規范和EMV規范
在EMV2000芯片卡規范頒布之后,各個主要的銀行卡組織都根據自身的需要對EMV規范進行了細化和修訂,其中包括威士推出的VSDC,萬事達推出的 Mchip以及JCB推出的Jsmart等。通過各個銀行卡組織的細化,進一步明確了在EMV規范中一些籠統的定義,并且把一些發卡行可以靈活定義的選項作了明確的約定,這樣可以保證同一個銀行卡品牌在全球各地的成員銀行進行EMV芯片遷移的時候可以做到一致,更好地實現互操作性,當然這也為眾多的智能卡廠商在產品開發方面提供了必要的參考依據。
PBOC規范可以說是中國人民銀行針對EMV規范的本地化版本,在EMV規范的整體框架內,根據中國的銀行卡實際進行了適當的修訂,所以卡片交易的流程以及個人化指南方面和EMV規范幾乎完全一致。
PBOC規范和Java卡以及GP規范
我們都知道Java卡是SUN公司推出的面向智能卡的一種Java體系結構,利用Java卡可以加快應用開發的進度,避免開發者苦苦鉆研具體的智能卡芯片底層結構,能夠以更靈活的方式支持卡片多應用以及卡片發行后的應用添加和刪除。不同應用之間具有防火墻,可用通過安全通道的方式實現卡片和終端之間的保密通訊。
當然如果僅僅從功能上來看,Java卡的各種功能也都可以在Native卡上實現,不過Native卡實現上述功能的方法在不同廠商之間會存在很大的差別,增加了用戶在個人化、應用開發方面的困難。
對于Java卡在應用的下載、刪除、個人化、卡片生命周期管理等方面都有明確的定義,這就是GP(Global Platform)規范的內容。很多智能卡廠商、芯片廠商、銀行卡組織和電信運營商都是GP的成員,而GP規范最早是威士開發的Open Platform,所以在EMV卡的個人化方面參照GP規范也就不足為奇了。
PBOC規范在第10部分《中國金融集成電路(IC)卡借記貸記應用個人化指南》中所定義的命令和流程以及EMV卡的個人化流程也是一致的,也就是說同樣符合GP規范。
因此如果采用Java卡進行PBOC借貸記應用開發的話,在個人化方面很容易滿足個人化指南的要求。但是對于Native卡而言,如果要達到同樣的結果不僅所需要的開發周期長,而且開發難度也大。
所以從規范的角度看,雖然PBOC規范沒有像威士那樣明確定義Open Platform,但是從內容上看和Java卡以及GP規范都是一致的,在PBOC規范中也同樣定義了如何利用INITIALIZE UPDATE,EXTERNAL AUTHENTICATE,STORE DATA(詳情參見GP規范)等命令進行數據和密鑰的個人化。
國內的Java卡和Native卡應用
雖然支持GP規范的Java卡在全球市場已經得到了廣泛普及,但國內市場的一些項目主要還是Native卡占據主導地位。其中的原因除了成本考慮外,還有其它幾方面的因素:
◆ 國內各個不同應用部門機構之間利益分割嚴重,難以達成統一的多應用平臺,缺少Java卡的應用環境,使得Java卡的多應用優勢難以有效發揮;
◆ 因為開發Java卡需要向SUN公司支付一定的技術轉讓費用,所以國內一些卡商寧可投入大量的人力物力,開發屬于自己的Native卡,也不愿意開發Java卡,這樣從技術上缺少相應的儲備;
◆ 進入國內市場的一些國外廠商雖然有很好的Java卡產品,但是在國內的應用環境中絲毫發揮不了Java卡的優勢,比如電信領域的OTA應用,在Java卡中都有很好的實現,可惜不論是中國移動還是中國聯通都撇開成熟的技術不用,另起爐灶開發自己的OTA系統,把眾多的卡商弄的無所適從;
◆ 開發國內銀行IC卡電子錢包應用和社保應用的一些系統集成商已經熟悉了廣泛應用于Native卡的那套密鑰傳遞、管理機制和文件建立的流程,對于Java卡缺少了解。
但是我們也看到相關的單位和部門在智能卡多應用方面已經有所行動,比如去年成立的國家金卡工程多功能卡應用聯盟,號召各個應用部門之間協調合作,力推一卡多用。而Java卡是得到全球用戶廣泛認可的多應用產品,在未來中國的多功能卡應用中也同樣會發揮其獨特的作用。
部分國內銀行開始選擇Java卡
隨著PBOC借貸記卡項目的逐步啟動,一些銀行在卡片選型方面已經往Java卡方面傾斜。銀行之所以選擇Java卡,主要看中的就是Java卡所支持的GP規范,為銀行開發自己的增值應用提供了可能。
從國外EMV遷移的經驗來看,在項目啟動初期大家都急于尋找一個商業模式,以便能夠平衡EMV遷移帶來的投入,雖然其中包含減少欺詐損失的因素,但是銀行還是希望能夠在這個功能強大的芯片卡上面挖掘更多的潛能。于是人們自然會把注意力放在芯片卡的多應用方面,銀行也會根據不同的客戶群開發不同的增值應用,既防止客戶流失,也帶來了增值收入。
比如國內部分商業銀行正在進行的一些項目預測試,就希望采用具備一定存儲空間的Java卡,這樣才能夠把自己開發的一些應用下載到Java卡上,而且可以利用自己的發卡商權限更好地管理各種應用。
另外,中國銀聯也起草了支持非接觸交易的PBOC以及小額支付的規范,于是商業銀行在PBOC卡片的發行方面就會有自己不同的應用組合模式,Java卡在應用下載、安裝、刪除方面的通用性和靈活性無疑將會成為最佳選擇。
Java卡在PBOC借貸記和小額支付應用中的優勢
◆ 能夠滿足不同的市場需求:因為國內PBOC借貸記項目以及小額支付項目剛剛開始啟動,而且對于項目中如何取舍PBOC規范沒有明確定義的數據項,各個商業銀行之間也可能存在一些差異,那么在這個時候如果采用完全固化到芯片中的Native卡則很難具備應有的靈活性。但是Java卡因為應用程序本身可以靈活下載,所以可以更好地適應多變的市場;
◆ 具備快速進入市場的能力:因為多數銀行應用的Native卡都需要進行COS的掩模,而且這一過程通常需要2-3個月的周期,無疑延緩了產品上市的時間。而Java卡在應用程序開發完成之后,就可以對外銷售,相當于節省了掩模的時間,對于瞬息萬變的市場而言,這2-3個月顯得彌足珍貴;
◆ 可以簡化產品開發過程:如果采用Native卡開發PBOC借貸記和小額支付應用,需要從底層一點一滴做起,包括通訊協議、加密算法、內存管理、數據存儲等,任何環節出現錯誤都會導致整個項目的崩潰。而利用Java卡進行開發的話,則只需要關注應用本身,只要理清整個交易流程很快就能夠開發出滿足規范的產品,前面提到的那些底層開發工作已經都包含在Java卡的API里面了,使得開發工作變得簡單而容易;
◆ 項目初期整體成本低:一般來說單張Java卡的成本比Native卡略高,但是Native卡的成本優勢只有在大規模應用的時候才能夠體現出來,因為芯片廠商都會收取一筆不菲的掩模費。對于初期的PBOC借貸記和小額支付項目應用而言,一般試點規模都是以數萬張為限,所以Java卡反而具備更好的成本優勢。
總結
目前,Java卡在國內的市場雖然所占的份額還很小,但是我們看到未來的趨勢正朝著有利于Java卡的方向發展。而且國內一些具有前瞻性的卡商也開始著手進行Java卡的開發,在GP成員的名單中也有了中國公司的身影。這都說明Java卡得以普及的內部和外部環境都在逐步改善,我們相信伴隨著未來幾年國內商業銀行針對PBOC借貸記、小額支付以及qPBOC芯片卡項目的逐步啟動,以及NFC移動支付業務的發展,Java卡的前景也會越來越樂觀。
附:本文提到的相關規范可以瀏覽以下鏈接獲得詳情:
1.EMV規范:http://www.emvco.com/specifications.asp
2.Java卡規范:http://java.sun.com/javacard/specs.html
3.GP規范:http://www.globalplatform.org/showpage.asp?code=specifications
關于SDA和DDA:
脫機數據認證是PBOC2.0中的重要部分的,是驗證金融IC卡的有效手段。未來,消費者在使用符合PBOC2.0要求的金融IC卡進行持卡消費的時候,布置在商家的POS系統會與IC卡交互完成脫機數據認證工作,判斷該卡是否被惡意篡改過或非法復制。在PBOC2.0中定義了兩種脫機數據認證的方式,即靜態數據認證和動態數據認證。
靜態數據認證(簡稱SDA),由終端驗證IC卡中的數字簽名來完成。其目的是確認存放在IC卡中關鍵的靜態數據的合法性,以及可以發現在卡片個人化以后,對卡內的發卡行數據未經授權的改動,不僅能有效地檢測IC卡內關鍵靜態數據的真實性,而且防止卡片的非法復制和偽造。
動態數據認證(簡稱DDA)。在動態數據認證過程中,終端驗證卡片上的靜態數據以及卡片產生的交易相關信息的簽名,DDA能確認卡片上的發卡行應用數據自卡片個人化后沒有被非法篡改。DDA還能確認卡片的真實性,防止卡片的非法復制。
DDA可以是標準動態數據認證或復合動態數據認證/應用密文生成(CDA)。
關于Native卡:
Native卡是和Java卡相對應的概念,通常所說的Native卡是指卡片的COS和硬件平臺緊密相關,卡片不具有通用性和二次開發的API接口,應用的開發和底層COS密不可分,而且多數的Native卡僅支持單一應用,即便是支持多應用也是事先固化在芯片里的多應用,不能夠像Java卡那樣支持多應用的動態下載。
反觀國內市場,EMV遷移幾乎還停留在起步階段,只有為數不多的幾家銀行發行了少量的EMV卡。更多的銀行還在熱火朝天地推廣普通的磁條信用卡,五花八門的促銷手段和普天蓋地的廣告,讓人目不暇接。國內各家銀行會同威士、萬事達、JCB、美國運通發行的各種雙幣種信用卡,不僅讓普通的消費者無所適從,也讓國內銀行間交易處理業務的中國銀聯感到了市場的嚴峻,所以中國銀聯采取各種策略,希望國內的銀行能夠發行銀聯卡,并且不遺余力地推廣PBOC借貸記和小額支付規范的應用,這樣從市場上為PBOC借貸記和小額支付的大量普及消除了阻力。
PBOC規范和EMV規范
在EMV2000芯片卡規范頒布之后,各個主要的銀行卡組織都根據自身的需要對EMV規范進行了細化和修訂,其中包括威士推出的VSDC,萬事達推出的 Mchip以及JCB推出的Jsmart等。通過各個銀行卡組織的細化,進一步明確了在EMV規范中一些籠統的定義,并且把一些發卡行可以靈活定義的選項作了明確的約定,這樣可以保證同一個銀行卡品牌在全球各地的成員銀行進行EMV芯片遷移的時候可以做到一致,更好地實現互操作性,當然這也為眾多的智能卡廠商在產品開發方面提供了必要的參考依據。
PBOC規范可以說是中國人民銀行針對EMV規范的本地化版本,在EMV規范的整體框架內,根據中國的銀行卡實際進行了適當的修訂,所以卡片交易的流程以及個人化指南方面和EMV規范幾乎完全一致。
PBOC規范和Java卡以及GP規范
我們都知道Java卡是SUN公司推出的面向智能卡的一種Java體系結構,利用Java卡可以加快應用開發的進度,避免開發者苦苦鉆研具體的智能卡芯片底層結構,能夠以更靈活的方式支持卡片多應用以及卡片發行后的應用添加和刪除。不同應用之間具有防火墻,可用通過安全通道的方式實現卡片和終端之間的保密通訊。
當然如果僅僅從功能上來看,Java卡的各種功能也都可以在Native卡上實現,不過Native卡實現上述功能的方法在不同廠商之間會存在很大的差別,增加了用戶在個人化、應用開發方面的困難。
對于Java卡在應用的下載、刪除、個人化、卡片生命周期管理等方面都有明確的定義,這就是GP(Global Platform)規范的內容。很多智能卡廠商、芯片廠商、銀行卡組織和電信運營商都是GP的成員,而GP規范最早是威士開發的Open Platform,所以在EMV卡的個人化方面參照GP規范也就不足為奇了。
PBOC規范在第10部分《中國金融集成電路(IC)卡借記貸記應用個人化指南》中所定義的命令和流程以及EMV卡的個人化流程也是一致的,也就是說同樣符合GP規范。
因此如果采用Java卡進行PBOC借貸記應用開發的話,在個人化方面很容易滿足個人化指南的要求。但是對于Native卡而言,如果要達到同樣的結果不僅所需要的開發周期長,而且開發難度也大。
所以從規范的角度看,雖然PBOC規范沒有像威士那樣明確定義Open Platform,但是從內容上看和Java卡以及GP規范都是一致的,在PBOC規范中也同樣定義了如何利用INITIALIZE UPDATE,EXTERNAL AUTHENTICATE,STORE DATA(詳情參見GP規范)等命令進行數據和密鑰的個人化。
國內的Java卡和Native卡應用
雖然支持GP規范的Java卡在全球市場已經得到了廣泛普及,但國內市場的一些項目主要還是Native卡占據主導地位。其中的原因除了成本考慮外,還有其它幾方面的因素:
◆ 國內各個不同應用部門機構之間利益分割嚴重,難以達成統一的多應用平臺,缺少Java卡的應用環境,使得Java卡的多應用優勢難以有效發揮;
◆ 因為開發Java卡需要向SUN公司支付一定的技術轉讓費用,所以國內一些卡商寧可投入大量的人力物力,開發屬于自己的Native卡,也不愿意開發Java卡,這樣從技術上缺少相應的儲備;
◆ 進入國內市場的一些國外廠商雖然有很好的Java卡產品,但是在國內的應用環境中絲毫發揮不了Java卡的優勢,比如電信領域的OTA應用,在Java卡中都有很好的實現,可惜不論是中國移動還是中國聯通都撇開成熟的技術不用,另起爐灶開發自己的OTA系統,把眾多的卡商弄的無所適從;
◆ 開發國內銀行IC卡電子錢包應用和社保應用的一些系統集成商已經熟悉了廣泛應用于Native卡的那套密鑰傳遞、管理機制和文件建立的流程,對于Java卡缺少了解。
但是我們也看到相關的單位和部門在智能卡多應用方面已經有所行動,比如去年成立的國家金卡工程多功能卡應用聯盟,號召各個應用部門之間協調合作,力推一卡多用。而Java卡是得到全球用戶廣泛認可的多應用產品,在未來中國的多功能卡應用中也同樣會發揮其獨特的作用。
部分國內銀行開始選擇Java卡
隨著PBOC借貸記卡項目的逐步啟動,一些銀行在卡片選型方面已經往Java卡方面傾斜。銀行之所以選擇Java卡,主要看中的就是Java卡所支持的GP規范,為銀行開發自己的增值應用提供了可能。
從國外EMV遷移的經驗來看,在項目啟動初期大家都急于尋找一個商業模式,以便能夠平衡EMV遷移帶來的投入,雖然其中包含減少欺詐損失的因素,但是銀行還是希望能夠在這個功能強大的芯片卡上面挖掘更多的潛能。于是人們自然會把注意力放在芯片卡的多應用方面,銀行也會根據不同的客戶群開發不同的增值應用,既防止客戶流失,也帶來了增值收入。
比如國內部分商業銀行正在進行的一些項目預測試,就希望采用具備一定存儲空間的Java卡,這樣才能夠把自己開發的一些應用下載到Java卡上,而且可以利用自己的發卡商權限更好地管理各種應用。
另外,中國銀聯也起草了支持非接觸交易的PBOC以及小額支付的規范,于是商業銀行在PBOC卡片的發行方面就會有自己不同的應用組合模式,Java卡在應用下載、安裝、刪除方面的通用性和靈活性無疑將會成為最佳選擇。
Java卡在PBOC借貸記和小額支付應用中的優勢
◆ 能夠滿足不同的市場需求:因為國內PBOC借貸記項目以及小額支付項目剛剛開始啟動,而且對于項目中如何取舍PBOC規范沒有明確定義的數據項,各個商業銀行之間也可能存在一些差異,那么在這個時候如果采用完全固化到芯片中的Native卡則很難具備應有的靈活性。但是Java卡因為應用程序本身可以靈活下載,所以可以更好地適應多變的市場;
◆ 具備快速進入市場的能力:因為多數銀行應用的Native卡都需要進行COS的掩模,而且這一過程通常需要2-3個月的周期,無疑延緩了產品上市的時間。而Java卡在應用程序開發完成之后,就可以對外銷售,相當于節省了掩模的時間,對于瞬息萬變的市場而言,這2-3個月顯得彌足珍貴;
◆ 可以簡化產品開發過程:如果采用Native卡開發PBOC借貸記和小額支付應用,需要從底層一點一滴做起,包括通訊協議、加密算法、內存管理、數據存儲等,任何環節出現錯誤都會導致整個項目的崩潰。而利用Java卡進行開發的話,則只需要關注應用本身,只要理清整個交易流程很快就能夠開發出滿足規范的產品,前面提到的那些底層開發工作已經都包含在Java卡的API里面了,使得開發工作變得簡單而容易;
◆ 項目初期整體成本低:一般來說單張Java卡的成本比Native卡略高,但是Native卡的成本優勢只有在大規模應用的時候才能夠體現出來,因為芯片廠商都會收取一筆不菲的掩模費。對于初期的PBOC借貸記和小額支付項目應用而言,一般試點規模都是以數萬張為限,所以Java卡反而具備更好的成本優勢。
總結
目前,Java卡在國內的市場雖然所占的份額還很小,但是我們看到未來的趨勢正朝著有利于Java卡的方向發展。而且國內一些具有前瞻性的卡商也開始著手進行Java卡的開發,在GP成員的名單中也有了中國公司的身影。這都說明Java卡得以普及的內部和外部環境都在逐步改善,我們相信伴隨著未來幾年國內商業銀行針對PBOC借貸記、小額支付以及qPBOC芯片卡項目的逐步啟動,以及NFC移動支付業務的發展,Java卡的前景也會越來越樂觀。
附:本文提到的相關規范可以瀏覽以下鏈接獲得詳情:
1.EMV規范:http://www.emvco.com/specifications.asp
2.Java卡規范:http://java.sun.com/javacard/specs.html
3.GP規范:http://www.globalplatform.org/showpage.asp?code=specifications
關于SDA和DDA:
脫機數據認證是PBOC2.0中的重要部分的,是驗證金融IC卡的有效手段。未來,消費者在使用符合PBOC2.0要求的金融IC卡進行持卡消費的時候,布置在商家的POS系統會與IC卡交互完成脫機數據認證工作,判斷該卡是否被惡意篡改過或非法復制。在PBOC2.0中定義了兩種脫機數據認證的方式,即靜態數據認證和動態數據認證。
靜態數據認證(簡稱SDA),由終端驗證IC卡中的數字簽名來完成。其目的是確認存放在IC卡中關鍵的靜態數據的合法性,以及可以發現在卡片個人化以后,對卡內的發卡行數據未經授權的改動,不僅能有效地檢測IC卡內關鍵靜態數據的真實性,而且防止卡片的非法復制和偽造。
動態數據認證(簡稱DDA)。在動態數據認證過程中,終端驗證卡片上的靜態數據以及卡片產生的交易相關信息的簽名,DDA能確認卡片上的發卡行應用數據自卡片個人化后沒有被非法篡改。DDA還能確認卡片的真實性,防止卡片的非法復制。
DDA可以是標準動態數據認證或復合動態數據認證/應用密文生成(CDA)。
關于Native卡:
Native卡是和Java卡相對應的概念,通常所說的Native卡是指卡片的COS和硬件平臺緊密相關,卡片不具有通用性和二次開發的API接口,應用的開發和底層COS密不可分,而且多數的Native卡僅支持單一應用,即便是支持多應用也是事先固化在芯片里的多應用,不能夠像Java卡那樣支持多應用的動態下載。
