移动支付安全技术创新发展

所属类别: 经验交流    发布时间:2015-7-1   发布人:xiedq   来源:文/通付盾
 

    众所周知,移动支付的发展现在已经到了一个起飞期,这里面包括手机银行的发展,还有APP。2014年银行的调查,移动支付发展很迅猛,但是也暴露了很多问题,用户很关心的是安全问题,包括隐私安全,财产安全。总的来说,不外乎渠道、操作这几个方面,后来链条越来越短。加了一个WIFI,伪基站,还有二维码,这方面有一些有威胁的问题。
   
    层次方面,比如站在用户的角度,从应用,从介质,平台。移动金融呈现的方式其实还是APP,就是应用的安全、终端的安全,还有业务的安全这几块。有几个环节,比如用户的认证授权是不是被盗用了,数据的传输是不是被篡改了,业务是不是有风险。这些环节都需要解决方案。
   
    那么怎么样解决这些问题?目前各种解决方案百花齐放,不外乎下面几点。第一、认证授权。第二、令牌化。第三、HCE。第四、风险管理。
   
    移动身份认证这一块的难题。包括下面几点:接口不统一、体验不统一、流程不统一、不对上层开放。但是,它的趋势就是身份认证可以广泛的认可,尤其是指纹的认证。在国际上现在有一个Fido的联盟,这个联盟国际上比如像金融机构,像手机厂商,包括安全厂商都积极参加。Fido是身份证快速认证的组织。它解决的是强身份验证设备之间缺乏协作,用户需要创建多个用户名、密码,其实它要代替密码,在线身份的识别这方面,这个组织解决这个问题。定义一个开发、可扩展、协作的机制,代替密码用于在线服务的身份验证。懒惰是人的本性,另外移动上有很多应用,怎么样在这些应用之间,统一的做身份认证,这是一个强烈的需求。这是认证授权这一块。
   
     第二、Tokenization令牌化这个方向。什么是令牌?简单的说,将敏感的数据用唯一的标识来替代,并且要求在数学不可逆。以支付场景为例,就是将敏感信息用一串令牌数据替代,减少卡号的泄露机密。好的令牌需要满足业务的需求,可选的长度保留部分的信息,比如卡号后四位。实际上这是一个趋势。
    令牌化到底解决什么问题?第一、保护了敏感信息,防范数据泄露。第二、减少支付数据系统的数目,减少PCI-DSS合规审核范围,减少合规费用。令牌化是以一种方向,一种趋势。它与加密有什么区别?加密是把敏感信息通过密钥完成,就是用户获得密钥的人,都可以保留敏感数据,通过密文其实可以还原敏感数据。令牌化和密文有一些区别。
   
    令牌化的标准,美国国家标准学会,EMVCo五、PCI安全标准委员会,清算所协会等组织正在制定令牌化标准,2014年3月,EMVCo令牌化标准正在提供一些这方面的服务。刚才讲到认证的授权和令牌化这方面的。
   
    第三、HCE的这个方向。是一种NFC功能设备上执行卡片模拟功能的技术,无需依赖安全单元,也被称为Cloud-Based  SE,AndroidV4.4以上及BlackBerry  OS10。移动支付摆脱运营商/手机生产厂商的限制。为了给用户,更方便,更便捷。HCE也有一些问题,怎么检测HCE的安全性?因为它毕竟是一个软件的东西,它的身份认证的安全,如何验证这个用户身份的授权,移动支付应用被逆向如何保护?特别是Android上。怎么认证?就是HCE的安全性。另外,数据的安全,旁边其实对于HCE安全也有一些相应的解决方案,其实我们也提供了。
   
    第四、HCE是一种软件的方法。令牌化是把敏感信息进行随机化。认证授权是对身份的确认。这里面其实是端和网的一个相应的解决方案。另外其实就是云的,不管怎么样能做到100%,所以云端有一些风险管理的需求。这也是目前互联网金融,移动金融所面临的一些问题。
   
     虚拟世界里面,移动应用有一个难题,移动应用是真实用户,还是一个机器人,这个APP是在模拟器上运行,还是在真正设备上运行。所以,这里面有一些难题。比如,有些黑客采用程序模型操作,重复执行操作,有的通过爬虫获取系统数据,尝试系统漏洞。过去在开放的平台上,而且在移动上面其实也有很多不法分子破坏这个系统。第一、真实的用户还是机器人?第二、真实的帐号还是假的?比如刷信用,养小号,僵尸粉已经非常成熟了,还有病毒、木马盗取帐号、密码、威胁帐号安全。第三、是不是有真实的风险,模拟器,VPN,代理,等方式。
   
    移动支付安全威胁的几个例子。第一、假冒12306、病毒伪装成12306订票软件。第二、模拟器,这里面是一个银行的APP,相当于一个营销活动。有些不法分子通过模拟器利用这个营销活动获得利益,这个活动是基于帐号、地区的限制。
   
    移动支付风险管理反欺诈的技术。目前它的趋势,国际上向大数据的方向发展,在云的方向发展,这也是与我们论坛的主题“大数据开启移动支付新时代”相切合的。它从数据和系统,多方面识别伪造,发现异常,挖掘观点,有效的管理创新金融业务面临的安全风险。
   
    在网络世界里面,很重要的一点,到底用户是不是真的?到底帐号是不是真的,设备是不是真的,数据是不是真的,信誉是不是真的,因为信誉也可以刷,其实有很多挑战。我们经过多年的积累有一个数据库,这个数据库非常大,我们叫网籍库,是针对网络设备,到底设备是不是真实的,某一个地方有欺诈行为,我们会记录下来,然后给它做画像评分。
   
    前面讲的是发展趋势,移动支付在起飞期,移动金融是移动支付的一种形态,现在的发展越来越迅猛,几个技术就是从身份认证,从令牌化,从HCE,从风险管理的角度介绍了一下。
   
    通付盾是一个解决方案提供商,可以为移动金融、移动支付类公司提供安全解决方案。通付盾解决方案,可以把第三方隐藏的异常操作都能扫描出来。还有Android应用,或者IOS应用,有加固、加密的需求。假如有移动支付,特别是O2O支付的需求,比如二维码支付不安全,但是可以把二维码支付做的非常安全,通付盾有盾码技术,二维码其实就是一个信息的载体,我们把这个码供起来,像孙悟空七十二变,这个变化能够加强黑客入侵的难度,就是安全二维码支付更安全。第三、可以有网络征信,还有安全咨询服务。
   
    通付盾的目标客户是互联网金融、移动支付、移动办公、智慧城市、智慧教育,智慧交通、智慧医疗,提供灵活多样的安全解决方案。通付盾是基础的产品,根据用户的需求,给提供解决方案。有整个成套体系。

    通付盾CyberIntelli产品,在国内试运行三年多。CyberIntelli是中国第一家非常灵活的自学习的Predictive和Actionable,可预测的,可操作的网络身份识别和反欺诈的系统,这里面包括反欺诈的数据服务。

 

 

 

 

添加到IE收藏夹 百度收藏 QQ书签 新浪ViVi 雅虎收藏夹

【友情提示】:

1、凡本网的所有原创作品,包括本网刊载经授权的文章以及标有“中国智能卡网”版权LOGO的图片,版权均属于中国智能卡网,转载者必需保证作品的完整性并注明“来源:中国智能卡网”和作者姓名。违反上述声明者,本网将追究其相关法律责任。
2、本网注明“来源:×××”的作品(非中国智能卡网原创的作品),均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责,本网不承担此类稿件侵权行为的连带责任。
3、中国智能卡网立志于打造智能卡行业的创新服务平台,为智能卡产业界上下游尽心服务,如有任何问题及相关合作事宜,请发信至
(news#fondcard.com)(注:发邮件请把#换成@发送,谢谢合作)


 
新闻动态
推荐企业
北京神州优创科技有限公司
    北京神州优创科技有限公司成立于北京,是一家专注于智能卡发卡设备...详细
供求信息