移动支付安全需解决四类技术问题

  随着移动互联深入百姓的日常生活,金融服务的移动化趋势不断显现。去年年底,CFCA发布《2014电子银行调查报告》显示:2014年个人手机银行用户比例为17.8%,同比增长50%,连续4年呈现指数增长趋势。手机银行发展已经达到创新“起飞期”,预计2015年手机银行用户比例将达到24.1%,移动支付将成为后续手机银行发展的重点。

  金融界《2014手机银行调查》显示,安全性问题仍然是困扰用户使用的首要因素,占比超过50%。同时,用户希望移动金融服务手机兼容性提高的比例超过20%,实现无需更换硬件即可获得移动金融服务。

  国外厂商围绕移动支付安全提供不同形式的解决方案,其中包含多种移动支付安全技术。不管是Apple Pay、Android Pay、LoopPay还是CurrentC,都需要解决以下四类技术问题:认证授权、令牌化、HCE和风险控制。

  ■认证授权(Authorization)

  如何在移动终端用户身份认证的问题?如何保证关键操作在用户授权后执行?常用的方式是通过输入四位Pass Code完成身份认证与支付授权,这种方式简便但安全性不足。随着生物认证在移动端被广泛认可,尤其是指纹认证的认可,加之指纹模块成本的降低,新型手机都开始支持指纹识别。但指纹识别也存在多种问题,如没有统一的标准、移动支付应用提供指纹认证功能需适配多种机型等。在此过程中,需要解决接口不统一、访问标准不统一的问题。

  针对身份认证的难题,国际上于2012年7月由微软、谷歌、VISA、PayPal等企业牵头发起成立了FIDO Alliance(线上快速身份验证联盟)。国际金融机构、手机厂商、安全厂商都积极参加这个联盟。它解决的是强身份验证设备之间缺乏协作的问题,通过定义一个可扩展、可协作的机制,代替密码用于在线服务的身份验证。联盟提出一系列身份认证协议,可实现适用于移动设备的无密码身份认证。

  ■令牌化(Tokenization)

  不管是Apple Pay还是Android Pay都利用了Tokenization技术,简单的说,就是在支付方案中将敏感数据用唯一标识替代。以支付场景为例,将PAN(敏感信息)用一串令牌数字替代,从而减少卡号泄漏几率。令牌化服务在支付流程中用于传递信息,后台会还原成原始信息。令牌化服务对转换安全性以及业务需求有较高的要求,好的Token需要满足业务需求。

  令牌化的优势在于:一、可以保护敏感数据,防范数据泄漏。减少支付数据系统数目。二、减少PCI-DSS合规审核范围,减少合规费用。它与加密的区别在于,加密是把敏感信息通过密钥完成,获得密钥的人都可以保留敏感数据,通过密文可以还原敏感数据。令牌化是使用唯一的随机数代替敏感信息。美国国家标准学会、EMVCo、PCI安全标准委员会、清算所协会等组织正在制定令牌化标准。2014年3月,EMVCo令牌化标准V1.0版本发布。

  ■HCE(HostCardEmulation)

  这是一种NFC功能设备上执行卡片模拟功能的技术,无需依赖安全单元,也被称为Cloud-Based SE,在Android V4.4以上及BlackBerry OS10系统实现此功能。

  基于HCE技术,移动支付方案提供商无需依赖运营商或者手机制造商,具有更多的灵活性和适用范围。另一方面,由于没有SE保护,基于HCE的移动支付方案也将面临更大的安全威胁,涉及身份验证和数据安全的问题,需要实施全方位的安全体系保护交易数据的完整性和保密性。

  ■风险控制(RiskManagement)

  在移动支付方案中,后台的风险控制也是必不可少的一环。我们应该如何判断风险?

  第一、是否是真实的用户?有些黑客采用程序模型用户操作,重复执行操作,有的通过爬虫获取系统数据,尝试系统漏洞进而攻击。这些欺诈手段给企业带来很多不确定的安全隐患。第二、是否是真实的帐号?刷信用,养小号,僵尸粉产业链已非常成熟。还有病毒、木马盗取帐号、密码、威胁帐号安全。第三、是否存在真实的风险?有些通过模拟器绕过移动应用的安全限制。有些采用VPN、代理等方式隐藏真实地理信息。

  本报记者 侯沁

……
关注读览天下微信, 100万篇深度好文, 等你来看……
阅读完整内容请先登录:
帐户:
密码: