编者按:移动支付在刚刚过去的春节掀起了2016中国互联网第一阵风潮,随之而来的是安全圈的一片质疑声。首先我们需要强调的是产品体验与安全机制是两个层面的问题。春节前夕,笔者发起了关于移动安全话题的讨论,从企业安全和用安全角度,移动设备本身带来的便捷性就是一把双刃剑,如果说移动设备和移动应用提供给开发者无数的机遇,那么也正意味着有更多的诸如后门之类的可乘之机开放给了攻击者。
探秘移动安全系列文章其三:移动支付
安全本身是一个悖论,针对移动安全笔者针对传统IT企业、互联网安全公司以及专业安全企业进行了采访。业内专家各抒己见,从不同层面阐释了移动安全的本质。飞天诚信从移动支付领域解读了加密技术与金融行业的耦合。
艾瑞咨询数据显示,2008-2012年,移动支付用户规模从0.86亿户增长到2.86亿 户,年均复合增长率达35.04%;移动支付交易规模从275亿元增长到1511亿元,年均复合增长率达到53.10%。预计到2017年,中国移动支付市场交易规模将突破2万亿元。
统计显示,用户在使用移动支付时,对资金安全问题的关注程度极高。高达56.8%的手机银行用户希望有更多的安全措施,对资金安全的担忧也导致移动支付进一步推广的阻力较大。然而,移动支付系统分类方式繁杂,技术手段迥异,对于分析移动支付系统的安全需求造成了障碍。因此,有必要建立统一的适用于移动支付的安全模型,并在此基础上对移动支付业务系统的安全要求进行分析。
与基于封闭专用网络的核心业务系统不同,电子银行必须抵御开放网络带来的病毒侵袭、黑客入侵、信息泄漏……等等各种安全风险。然而,开放网络等并不在银行控制范围之内,银行难以主动部署防控措施,也很难保证采取措施的效能,更难控制由此带来的风险及危害。基于这样的实际情况,从架构上将电子银行系统分为前端、通信网络、后端三部分。不同的前端、通信网络以及后端的组合形成了多种多样的电子银行业务渠道。典型的电子银行渠道包括网上银行渠道、手机银行渠道、电话银行渠道、自助终端渠道等等。在渠道架构中,前端部署和实施安全保障措施,后端进行校验鉴别,通信网络只负责传递数据,由此可规避开放网络带来的潜在风险以及控制风险的难度。除此之外,渠道之间相对独立,渠道与核心业务系统通过后端隔离开来。如果某个渠道发生安全事件关闭对应的后端,即可将该渠道从系统中“切除”,避免危及核心系统,同时不至于影响其他渠道。
金融IC 卡内置CPU芯片,可存储用户指纹、照片、身份证、密码等多种信息,具有独立运算、加解密和存储能力。金融行业标准JR/T 0025《中国金融集成电路(IC)卡规范》(以下简称《规范》)规定了金融IC卡与终端的接口、借记/贷记等金融业务应用的交易流程以及金融业务应用初始化等方面的要求。金融IC卡能够独立完成《规范》在报文及指令中融入的完整性校验、信源认证等安全措施所需的密码运算,并且为密钥、PIN码、运算过程等敏感信息和敏感行为提供足够的安全防护。因此,金融IC卡有条件承担除用户交互之外的支付前端子系统的行为。与此同时,可以将支付中心看作核心支付子系统,而将金融IC卡通过移动终端、支付设备进而与支付中心之间的通信作为通信网络处理。这意味着除了人机交互部分之外,可以不在移动终端部署额外的安全防护措施,金融IC卡基本能够保证近场支付的安全性。
具备交互功能、支持移动终端应用的智能密码钥匙,是保障远程移动支付系统安全性的重要组成部分。根据密码行业技术指南GM/Z 0001-2013《密码术语》的定义,智能密码钥匙是“实现密码运算、密钥管理功能,提供密码服务的终端密码设备,一般使用USB接口形态”。在远程移动支付系统中,移动设备承担了支付前端子系统的角色,负责根据与用户交互的结果生成支付指令。这与手机银行客户端的功能十分相似(在实际应用中,远程移动支付往往是通过手机银行完成的)。可以比照现有较为成熟的网上银行来评估其安全需求。金融行业标准JR/T 0068-2012《网上银行系统信息安全通用规范》规定“USB Key应能防劫持,具有屏幕显示或语音提示以及按键确认等确认功能,可对交易指令完整性进行校验、对交易指令合法性进行鉴别、对关键交易数据进行输入、确认和保护”。因此,远程移动支付系统也应当使用防劫持的智能密码钥匙来保障系统的安全。
本文转自d1net(转载)
