金融信息化研究所所長 李曉楓

　　歲末年初，人民銀行先后印發了《關于進一步做好金融IC卡應用工作的通知》、《關于推動移動金融技術創新健康發展的指導意見》兩個重要文件。要求“自2015年4月1日起，各發卡銀行新發行的芯片卡應符合PBOC3.0規范;2015年底，110個金融IC卡公共服務領域應用城市，POS終端非接觸式受理比例同比至少增加20個百分點。自2016年1月1日起，發卡銀行、銀行卡清算機構等開展的移動金融服務應以基于金融IC卡芯片的有卡交易方式為主;加強移動金融賬戶介質標準符合性管理，增強移動金融安全可控能力;加快構建安全可信基礎環境，發揮檢測認證的質量保障作用”。

　　兩個文件的發布，對促進銀行業將金融IC卡的發展重心更多轉至公共服務領域、國產芯片及國密算法推廣預先布局、移動金融的發展重心更多轉至TSM技術路線，將發揮重要的指導作用。筆者結合金融信息化研究所的研究工作情況，就貫徹落實文件精神，談兩方面的意見。

　　聚合共識，盡快明確金融IC卡新常態時期的發展目標

　　我國的金融IC卡已進入新常態發展時期。2014年12月，金融IC卡累計發行已達12億張，占比存量約31%，銀行卡市場結構已跨過質變的拐點。預測2015~2018年能全面完成換芯，金融IC卡發行將會超過30億張，扣除兒童和部分高齡人群，達到人均三張銀行IC卡的標準，銀行卡芯片化遷移全面完成。

　　一是金融IC卡將進入“到期換新、以舊換新”為主的穩態市場。新常態時期金融IC卡的戰略目標是什么呢?社會、銀行業、持卡人心理預期都會與戰略目標是否明確息息相關，筆者認為可以考慮將2019年1月1日設為“D”日——DecisionDay，從2019年1月1日起，全國停止磁條卡的人民幣業務受理。若依此預期性的戰略目標，金融IC卡新常態時期工作即能圍繞目標展開明確清晰的部署與安排，利于整合行業與社會的共識，意義等同2011年3月人民銀行64號文中提出的“2015年商業銀行全面發行金融IC卡”的目標。

　　二是規模化發卡是金融IC卡新常態時期的重要特征。若今明兩年內能帶起國產芯片、國密算法的應用規模，銀行業在此關鍵問題上將極大地造福社會，有利于升級國內IC芯片產業結構、規模化采用自主知識產權，有利于穩固金融業有卡移動支付的產業基礎。筆者認為應分兩步予以實現。先推行國產芯片卡的規模化發行應用，其次才是國密算法的推進。若這些工作能在2018年見成效，我國銀行卡業務、技術、信息安全將會有一個穩固的產業與運營基礎，初步實現自主可控、安全可持續目標。

　　三是公共服務領域應用現在已具備突破勢能。在重點領域如公交、ETC、鐵路等，要重視抓好機會窗口，堅決執行“政府主導、央行推進”的多應用推進路線。

　　四是重視行業認證。隨著清算市場的對內、對外放開，對將來各個卡組織下的銀行IC卡認證，應有上升為金融行業認證的準備性安排，使行業標準與檢測認證成為銀行卡行業管理的重要導向與抓手。

　　深入研究移動金融發展規律，明確發展策略

　　對當前移動支付觀察分析結果看，商業銀行的線上網絡支付陣地已處于明顯劣勢，幾近淪為第三方網絡支付機構、尤其是支付寶的后臺和資金管道。從筆者實際使用經歷看，手機內一個支付寶APP即能解決大多數的線上支付需求。2014年9月，支付寶與華為發布MATE7指紋支付，又走在銀行的前面。筆者曾在不同場合給銀行的同事們演看Mate7的支付寶按壓指紋支付，大家的共同感受是：為什么我們的手機銀行不這樣做呢?我國商業銀行的手機銀行發展很快，是目前移動金融發展的主流，但在易用性、客戶體驗上，仍然要低下頭向互聯網企業學習。

　　其次，在移動支付方面，除了ApplePay能與無卡支付(如支付寶)在易用性、客戶體驗上毗美，全球范圍的Android體系仍然停滯不前。所以，一方面要考慮以己優勢、避開劣勢，避開互聯網企業的鋒芒，以金融IC卡規模發行應用守住線下(第三方的線下手機支付并沒有比銀行卡更具優勢)，同時發展NFC拍卡應用和Android體系移動金融安全終端、完善SE介質下的手機銀行等三項創新發展內容，深挖洞、廣積糧，謀長遠。在Android體系移動金融安全終端尚未形成規模前，不妨先跳過移動支付這一步，著重以SE介質的手機銀行來發展移動金融，加強其安全性。將手機銀行從目前的互補型電子渠道提升為超越網銀的主渠道。這一點商業銀行能通過產業合作方式很快做到，今年就應推出指紋認證的手機銀行產品。在人民銀行的指導下，銀行業的力量也應因時、因事、因市場競爭態勢的需要而做出布局調整。兵分兩路，商業銀行以完善手機銀行走移動金融之路，以中國銀聯、中國金融電子化公司主導的產業聯盟發展移動支付。

　　為了實現兩條腿走路的移動金融與移動支付策略，手機銀行除了按壓指紋認證，還要解決大額支付、匯劃、信貸單據、征信記錄安全存儲等安全與易用性兼顧的一體化體驗。這就要建立硬件TRUSTZONE+GPTEE技術(包含獨立OS、可信TUI)、指紋認證、U盾證書等技術要件組合。也就是說做出手機自帶二代或三代U盾的手機銀行產品。加強與主要國內手機廠商合作，可加速將TRUSTZONE+GPTEE、指紋認證、嵌入式OS及可信接口TUI等引入手機銀行。

　　國內的移動支付市場，不像金融IC卡那樣結構簡潔、規律易循，類似春秋諸國爭雄時期。市場在NFC通道技術方面：有ApplePay推出Token，招行發布“一閃通”品牌，銀聯欲推Androidpay，某大行有HCE支付計劃，部分銀行有手機U盾計劃，有銀聯錢包、中移動和包等。在電商及O2O線上支付方面：支付寶無卡支付錢包風頭很盛，還有微信支付、銀聯快捷支付、工銀E支付，以及VISA的FIDO(Server)，銀聯與南航的Token支付。其他方面：支付寶二維碼線下支付、聲波當面付、微信二維碼支付和PayPal的FIDO(client)等。人們不禁要問，為什么會出現如此多的產品?

　　筆者認為，這與移動終端多樣性與多重屬性的特點相關。除了封閉系統的蘋果手機外，Android體系的開放性決定其產品的多樣性和多重屬性特點。前者表現在Android操作系統版本較多，沒有一個版本能一統天下，而硬件有高中低的性能配置不同，還有不少定制類別操作系統的如華為EMUI、小米MIUI、三星、HTC的等等，導致同一個Applet應用在不同手機、不同系統版本上都要調試。Android體系手機的多樣化往往導致業務應用部署耗時較長，以至于用戶對業務發展的要求難以得到及時響應，達成用戶體驗一致性的難度比IOS體系大。Android體系手機多重屬性特點表現在其可以是：手機銀行客戶端的借/貸記卡、POS機、錢包、公交地鐵卡、U盾等。

　　上述“兩多”的特點，加之我們要求必須是以SE介質存儲安全信息，如個人(企業)敏感數據、U盾、CA證書、第三方支付錢包賬號證書、銀行卡號或Token數據、網絡數字身份證、指紋模板等，客觀上構成了開放、不安全的終端環境與SE安全小環境共存的尷尬境地。所以，現實中若映射一張卡到一個Android手機做支付、做金融并“不難”，但映射同一屬性的卡到同一品牌高中低版性能配置不同的Android手機就“很難”了。如果是不同廠商、不同品牌的，那就“難上加難”，往往導致業務應用部署耗時較長，以至于用戶的業務一體化體驗要求難以得到及時響應。

　　所以，針對Android體系的開放性特點和近年來國內手機廠商的市場崛起，加之用戶對移動金融始終揮之不去的安全疑慮，臺風前鋒已經到來，我們可以順勢而為，提出需要“移動金融安全終端”這個硬件性能配置較佳、軟件一體化程度較高的金融支付工具，就如同金融IC卡的支付工具介質。筆者認為，Android體系的“移動金融安全終端”應具備以下七個技術要件。

　　(1)基于芯片硬件的隔離技術——TrustZone芯片內硬件隔離技術;(2)集成獨立的芯片內加密、解密模塊——RSA或SM算法;(3)可信安全操作系統，實現內核底層監控——GPTEE下的OS;(4)可信用戶界面，保證輸入輸出安全——TUI;(5)安全存儲空間，讓用戶賬戶實現保護——SIM-SE或ESE;(6)Android4.4以上版本;(7)指紋認證。

　　如此，證書存儲與簽名在SE硬件介質或HCE的TEEOS安全分隔環境中，運行系統是GPTEE下的OS，且通過安全與標準的檢測認證，能有效解決“映射同一屬性卡到一批手機上業務應用部署耗時較長”的問題，也能處理好開放、不安全的終端環境與SE、HCE安全小環境共存的尷尬問題。

　　從目前的市場與技術發展看，國產手機的“臺風口”已經在展現之中。例如華為Mate7手機已初步達到移動金融安全終端支付工具的要求。過去兩年來，智能手機世界在“摩爾定律”的支配下，硬件性能配置迅速達到PC機的水平，軟硬件一體化用戶體驗已經接近蘋果手機，實現“移動金融安全終端”支付工具產品是可行的。在產業發展的機遇期，應重視以下工作和觀點。

　　一是在移動終端檢測認證上有所轉變。從SE芯片、COS嵌入式軟件的單項檢測認證逐漸轉變為對"移動金融安全終端"的解決方案認證，要與國內手機廠商合作出臺檢測標準與規范。如此，有利于指導占據市場83%份額的Android體系生產金融行業得心應手的支付工具。

　　二是重新認識NFC與金融IC卡的關系。應該說NFC技術為金融IC卡開辟了通往線上支付的通道，而金融IC卡也為NFC提供了廣泛的應用，兩者是共存關系。現在已經有了一些NFC拍卡應用的移動支付，表現出了移動終端多重屬性的特點，如閃電刷、Q幣閃付充值與支付、卡卡聯、小漁支付的NFC拍卡支付應用。以NFC非接方式受理金融IC卡(如閃付充值)，這時候手機成為POS機并能受理金融IC卡，而后同一部手機又會成為支付工具，發出交易指令、建立VPN通道與后臺“握手”做線上支付。所以，新的NFC拍卡小額支付應用模式，是NFC與金融IC卡共存下的新的移動支付應用，銀行業應支持這樣的支付業務發展。

　　三是Android體系循著有卡支付的兩條路線應考慮的政策框架。現在是TSM技術路線先走一步，在政策上如做好以下關鍵工作，2015年的發展道路將更為順暢。

　　(1)加強與通信運營商基于SIM-SE的移動支付合作，此中要害是三個問題：第一，定制SIM-SE下的移動金融安全終端;第二，雙方能磨合出可持續性發展的商業模式;第三，對客戶服務的一體化。

　　(2)編撰移動金融終端的技術配置細則，與手機廠商合作出臺標準與測試規范，開展移動金融安全終端的檢測認證工作。

　　(3)考慮建設第三方的SEI-TSM，一方面可以為生產移動金融安全終端的手機廠商提供SEI-TSM外包服務，開發并提供符合檢測認證的GPTEEOS預安裝和技術支持。另一方面對于通過檢測認證的移動金融安全終端，可免費分配發放SEID號段，納入公共服務平臺MTPS的統一管理。

　　(4)開展Tokenization行業標準編制，明確云平臺信息安全規范，并適時啟動HCE應用試點工作。

　　筆者相信，2015年若能對以上工作逐步落實，2016年內，數量眾多的移動金融安全終端產品將會涌現。第二條路線——HCE的發展或許超乎市場預期，出現跨越態勢，甚至趕超TSM路線。