搜索歷史

熱搜詞

原創(chuàng)

活動(dòng)

創(chuàng)新2.0

I T

產(chǎn)業(yè)

當(dāng)前位置：首頁 >互聯(lián)網(wǎng)?IT > 安全 > 移動(dòng)安全 > 正文

解析：移動(dòng)支付安全新技術(shù)

來源：物聯(lián)網(wǎng)世界：佚名 2015-05-25 10:15:51

隨著移動(dòng)互聯(lián)深入百姓的日常生活，金融服務(wù)的移動(dòng)化趨勢不斷顯現(xiàn)。2014年底，CFCA發(fā)布《2014電子銀行調(diào)查報(bào)告》顯示：2014年個(gè)人手機(jī)銀行用戶比例為17 8%，同比增長50%，連續(xù)4年呈現(xiàn)指數(shù)增長趨勢。手機(jī)銀行發(fā)展已經(jīng)達(dá)到創(chuàng)新“起飛期”，預(yù)計(jì)2015年手機(jī)銀行用戶比例將達(dá)到24 1%，移動(dòng)支付將成為后續(xù)手機(jī)銀行發(fā)展的重要關(guān)注點(diǎn)。

隨著移動(dòng)互聯(lián)深入百姓的日常生活，金融服務(wù)的移動(dòng)化趨勢不斷顯現(xiàn)。2014年底，CFCA發(fā)布《2014電子銀行調(diào)查報(bào)告》顯示：2014年個(gè)人手機(jī)銀行用戶比例為17.8%，同比增長50%，連續(xù)4年呈現(xiàn)指數(shù)增長趨勢。手機(jī)銀行發(fā)展已經(jīng)達(dá)到創(chuàng)新“起飛期”，預(yù)計(jì)2015年手機(jī)銀行用戶比例將達(dá)到 24.1%，移動(dòng)支付將成為后續(xù)手機(jī)銀行發(fā)展的重要關(guān)注點(diǎn)。

金融界《2014手機(jī)銀行調(diào)查》顯示，安全性問題仍然是困擾用戶使用的首要因素，占比超過50%。同時(shí)，用戶希望移動(dòng)金融服務(wù)手機(jī)兼容性提高的比例超過20%，實(shí)現(xiàn)無需更換硬件即可獲得移動(dòng)金融服務(wù)。

國外廠商圍繞移動(dòng)支付安全提供不同形式的解決方案，其中包含多種移動(dòng)支付安全技術(shù)。不管是Apple Pay、Android Pay(Google Wallet)、LoopPay(Samsung Pay)還是CurrentC，在筆者看來，都需要解決以下四類技術(shù)問題：認(rèn)證授權(quán)、令牌化、HCE和風(fēng)險(xiǎn)控制。

認(rèn)證授權(quán)(Authorization)

如何在移動(dòng)終端用戶身份認(rèn)證的問題?如何保證關(guān)鍵操作在用戶授權(quán)后執(zhí)行?常用的方式通過輸入四位PassCode完成身份認(rèn)證與支付授權(quán)，這種方式簡便但安全性不足。隨著生物認(rèn)證在移動(dòng)端被廣泛認(rèn)可，尤其是指紋認(rèn)證的認(rèn)可，加之指紋模塊成本的降低，新型手機(jī)都開始支持指紋識(shí)別。但是指紋識(shí)別也存在多種問題，如沒有統(tǒng)一的標(biāo)準(zhǔn)、移動(dòng)支付應(yīng)用提供指紋認(rèn)證功能需要適配多種機(jī)型等。在此過程中，需要解決接口不統(tǒng)一、訪問標(biāo)準(zhǔn)不統(tǒng)一的問題。

針對(duì)身份認(rèn)證的難題，國際上于2012年7月由微軟，谷歌，VISA, Mastercard, PayPal, Nok Nok Labs等企業(yè)牽頭發(fā)起成立了FIDO Alliance, (線上快速身份驗(yàn)證聯(lián)盟)。國際金融機(jī)構(gòu)、手機(jī)廠商、安全廠商都積極參加這個(gè)聯(lián)盟。它解決的是強(qiáng)身份驗(yàn)證設(shè)備之間缺乏協(xié)作的問題，通過定義一個(gè)可擴(kuò)展、可協(xié)作的機(jī)制，代替密碼用于在線服務(wù)的身份驗(yàn)證。聯(lián)盟提出一系列身份認(rèn)證協(xié)議，可實(shí)現(xiàn)適用于移動(dòng)設(shè)備的無密碼身份認(rèn)證。

令牌化(Tokenization)

不管是Apple Pay 還是Android Pay都利用了Tokenization技術(shù)，其原理是什么?安全性有何提升?什么是令牌化?簡單的說，就是在支付方案中將敏感數(shù)據(jù)(例如銀行卡號(hào))用唯一標(biāo)識(shí)替代，并且要求在數(shù)學(xué)不可逆。以支付場景為例，將PAN(敏感信息)用一串令牌數(shù)字(例如VAN)替代，從而減少卡號(hào)泄漏幾率。令牌化服務(wù)在支付流程中用于傳遞信息，后臺(tái)會(huì)還原成原始信息。令牌化服務(wù)對(duì)轉(zhuǎn)換安全性以及業(yè)務(wù)需求有較高的要求，好的Token需要滿足業(yè)務(wù)需求，比如可選長度(16/19)，可保留部分信息(卡號(hào)后四位)等。

令牌化的優(yōu)勢在于：一、可以保護(hù)敏感數(shù)據(jù)，防范數(shù)據(jù)泄漏。減少支付數(shù)據(jù)系統(tǒng)數(shù)目。二、減少PCI-DSS合規(guī)審核范圍，減少合規(guī)費(fèi)用。它與加密有什么區(qū)別?加密是把敏感信息通過密鑰完成，獲得密鑰的人都可以保留敏感數(shù)據(jù)，通過密文可以還原敏感數(shù)據(jù)。令牌化是使用唯一的隨機(jī)數(shù)代替敏感信息。美國國家標(biāo)準(zhǔn)學(xué)會(huì)(ANSI ASC X9)、EMVCo、PCI安全標(biāo)準(zhǔn)委員會(huì)(PCI SSC)、清算所協(xié)會(huì)(TCH)等組織正在制定令牌化標(biāo)準(zhǔn)。2014年3月，EMVCo令牌化標(biāo)準(zhǔn)V1.0版本發(fā)布。

HCE(Host Card Emulation)

HCE是一種NFC功能設(shè)備上執(zhí)行卡片模擬功能的技術(shù)，無需依賴安全單元，也被稱為Cloud-Based SE，在Android V4.4以上及BlackBerry OS10系統(tǒng)實(shí)現(xiàn)此功能。

基于HCE技術(shù)，移動(dòng)支付方案提供商無需依賴運(yùn)營商或者手機(jī)制造商，具有更多的靈活性和適用范圍。另一方面，由于沒有SE保護(hù)，基于HCE的移動(dòng)支付方案也將面臨更大的安全威脅，涉及身份驗(yàn)證和數(shù)據(jù)安全的問題，需要實(shí)施全方位的安全體系保護(hù)交易數(shù)據(jù)的完整性和保密性。

風(fēng)險(xiǎn)控制(Risk Management)

在移動(dòng)支付方案中，后臺(tái)的風(fēng)險(xiǎn)控制也是必不可少的一環(huán)。虛擬世界里，如何判斷是否是真實(shí)的用戶、真實(shí)的賬號(hào)、是否有真實(shí)的風(fēng)險(xiǎn)?

第一、是否是真實(shí)的用戶?有些黑客采用程序模型用戶操作，重復(fù)執(zhí)行操作，有的通過爬蟲獲取系統(tǒng)數(shù)據(jù)，嘗試系統(tǒng)漏洞進(jìn)而攻擊。這些欺詐手段給企業(yè) 帶來很多不確定的安全隱患。第二、是否是真實(shí)的帳號(hào)?刷信用，養(yǎng)小號(hào)，僵尸粉產(chǎn)業(yè)鏈已經(jīng)非常成熟。還有病毒、木馬盜取帳號(hào)、密碼、威脅帳號(hào)安全。第三、是否存在真實(shí)的風(fēng)險(xiǎn)?有些通過模擬器繞過移動(dòng)應(yīng)用的安全限制。有些采用VPN、代理等方式隱藏真實(shí)地理信息。

編輯：張路麒

關(guān)鍵字：移動(dòng)安全新技術(shù)