创新手机银行安全手段确保移动支付发展
随着移动通信网络的发展成熟、移动设备特别是手机处理能力的快速提升,移动支付日渐普及,在零售业务中取代PC端网银支付的趋势日益明显。
目前,我国移动支付主体阵营包括商业银行、通信运营商和第三方支付组织,应用范围涉及转账汇款、网上购物、自助缴费、手机话费、公共交通、个人理财等诸多领域。据统计,2015年上半年移动支付业务量为22.86亿笔,金额为26.81万亿元,同比分别增长141.34%和445.14%。交易笔数、交易金额增长迅猛。
移动支付为百姓生活带来便利的同时,风险也相伴而生、如影随形,安全事件时有发生且有上升趋势。中国人民银行于2015年初印发《关于推动移动金融技术创新健康发展的指导意见》,要求推广应用具有安全芯片、支持硬件数字证书、采用国家密码管理局规定算法的移动智能终端,保障移动电子商务交易的安全性和真实性;支持相关企业基于TSM和安全移动终端。
监管部门的要求非常明确,商业银行在解决便利性的同时要提高移动支付的安全性。数字证书作为保障电子支付安全性的重要手段,存储在Usbkey中,PC端发起网银交易时,通过USB口读取数字证书,完成数字签名。如何将数字证书用于手机银行,各家机构做了许多尝试,有通过音频口读取证书的、有通过蓝牙读取证书的,但在实际应用中存在兼容性、便利性等问题,没有得到广泛应用。
为落实人民银行相关要求,农信银配合广西联社创新研发了移动设备使用数字证书的方法。为更适应移动支付的便利性原则,经分析考察,我们将数字证书置于智能贴片卡内,再将智能贴片卡与SIM卡粘合,手机就成了数字证书设备,如下图所示。
图 农信银智能贴片卡安全解决方案原理
客户自交易发起端(PC、Pad、手机或其他设备)发起支付交易时,交易请求信息通过交易发起端发送至银行后台,后台记录并加入部分交易要素后,生成二维码回传交易发起端并显示于屏幕,客户用加签端设备(带数字证书的手机)读取二维码,交易信息将在加签端设备上展示,客户核对交易信息并输入数字证书密码后,加签交易信息并通过移动网络或加密短信形式传送至银行后台,后台对加签信息验签后与交易发起端上送的预请求信息对比,验证一致,才进行转账处理。
一笔支付交易要使用两个设备才能完成,一个是交易发起端,一个是加签端。交易信息通过发起端传送至银行后台,预存在数据库中,交易发起端通过二维码将交易信息传送至加签端并由客户确认。之后,再通过另一信道将交易信息发送至银行后台,并与之前预存在数据库中的交易信息做比对,信息比对一致,交易才能成功。交易发起端和交易加签端之间通过加密二维码传输信息,做完全物理隔离,以双信道传输,杜绝了中间人以及其他攻击,安全性极大提高。
使用数字证书能够保障手机银行交易安全,可以发起与网银业务同样的交易限额,同理于企业客户。我们推出了企业版手机银行,可以办理大额资金支付业务,已于近期在广西联社应用上线。