解析:移动支付安全新技术
随着移动互联深入百姓的日常生活,金融服务的移动化趋势不断显现。2014年底,CFCA发布《2014电子银行调查报告》显示:2014年个人手机银行用户比例为17.8%,同比增长50%,连续4年呈现指数增长趋势。手机银行发展已经达到创新“起飞期”,预计2015年手机银行用户比例将达到24.1%,移动支付将成为后续手机银行发展的重要关注点。
金融界《2014手机银行调查》显示,安全性问题仍然是困扰用户使用的首要因素,占比超过50%。同时,用户希望移动金融服务手机兼容性提高的比例超过20%,实现无需更换硬件即可获得移动金融服务。
国外厂商围绕移动支付安全提供不同形式的解决方案,其中包含多种移动支付安全技术。不管是Apple Pay、Android Pay(Google Wallet)、LoopPay(Samsung Pay)还是CurrentC,在笔者看来,都需要解决以下四类技术问题:认证授权、令牌化、HCE和风险控制。
认证授权(Authorization)
如何在移动终端用户身份认证的问题?如何保证关键操作在用户授权后执行?常用的方式通过输入四位PassCode完成身份认证与支付授权, 这种方式简便但安全性不足。随着生物认证在移动端被广泛认可,尤其是指纹认证的认可,加之指纹模块成本的降低,新型手机都开始支持指纹识别。但是指纹识别也存在多种问题,如没有统一的标准、移动支付应用提供指纹认证功能需要适配多种机型等。在此过程中,需要解决接口不统一、访问标准不统一的问题。
针对身份认证的难题, 国际上于2012年7月由微软,谷歌,VISA, Mastercard, PayPal, Nok Nok Labs等企业牵头发起成立了FIDO Alliance, (线上快速身份验证联盟)。国际金融机构、手机厂商、安全厂商都积极参加这个联盟。它解决的是强身份验证设备之间缺乏协作的问题,通过定义一个可扩展、可协作的机制,代替密码用于在线服务的身份验证。联盟提出一系列身份认证协议,可实现适用于移动设备的无密码身份认证。
令牌化(Tokenization)
不管是Apple Pay 还是Android Pay都利用了Tokenization技术,其原理是什么?安全性有何提升?什么是令牌化?简单的说,就是在支付方案中将敏感数据(例如银行卡号)用唯一标识替代,并且要求在数学不可逆。以支付场景为例,将PAN(敏感信息)用一串令牌数字(例如VAN)替代,从而减少卡号泄漏几率。令牌化服务在支付流程中用于传递信息,后台会还原成原始信息。令牌化服务对转换安全性以及业务需求有较高的要求, 好的Token需要满足业务需求,比如可选长度(16/19),可保留部分信息(卡号后四位)等。
令牌化的优势在于: 一、可以保护敏感数据,防范数据泄漏。减少支付数据系统数目。二、减少PCI-DSS合规审核范围,减少合规费用。它与加密有什么区别?加密是把敏感信息通过密钥完成,获得密钥的人都可以保留敏感数据,通过密文可以还原敏感数据。令牌化是使用唯一的随机数代替敏感信息。美国国家标准学会(ANSI ASC X9)、EMVCo、PCI安全标准委员会(PCI SSC)、清算所协会(TCH)等组织正在制定令牌化标准。2014年3月,EMVCo令牌化标准V1.0版本发布。
HCE(Host Card Emulation)
HCE是一种NFC功能设备上执行卡片模拟功能的技术, 无需依赖安全单元,也被称为Cloud-Based SE,在Android V4.4以上及BlackBerry OS10系统实现此功能。
基于HCE技术,移动支付方案提供商无需依赖运营商或者手机制造商,具有更多的灵活性和适用范围。另一方面,由于没有SE保护,基于HCE的移动支付方案也将面临更大的安全威胁,涉及身份验证和数据安全的问题,需要实施全方位的安全体系保护交易数据的完整性和保密性。
风险控制(Risk Management)
在移动支付方案中,后台的风险控制也是必不可少的一环。虚拟世界里,如何判断是否是真实的用户、真实的账号、是否有真实的风险?
第一、是否是真实的用户?有些黑客采用程序模型用户操作,重复执行操作,有的通过爬虫获取系统数据,尝试系统漏洞进而攻击。这些欺诈手段给企业带来很多不确定的安全隐患。第二、是否是真实的帐号?刷信用,养小号,僵尸粉产业链已经非常成熟。还有病毒、木马盗取帐号、密码、威胁帐号安全。第三、是否存在真实的风险?有些通过模拟器绕过移动应用的安全限制。有些采用VPN、代理等方式隐藏真实地理信息。