1、引言
近年来随着移动互联网业务发展和智能机普及,网上支付业务规模快速增长。据赛迪顾问《中国第三方支付行业半年度研究报告(2013H1)》通报,2013年上半年中国第三方支付市场交易规模6.9亿,其中移动手机支付达993亿元,而网络安全是影响支付业务发展的一个重要因素,据统计约6O%的人认为电子支付方式存在安全问题。
电子支付应保障交易过程中信息安全性、完整性、保密性、可靠性和可鉴别性。支付业务安全涉及用户、设备厂商、商家等各环节,以及政策、管理、技术等多方面,由电信运营商推动的移动支付业务同样面临着网络、技术和业务应用的诸多安全风险。
2、移动支付安全风险
2.1翼支付概况
运营商网络具备多种支付方式,如短信、IVR,互联网、WAP支付等。前三种方式比较成熟,这里所讨沦的移动支付主要指WAP远程支付和手机近场支付。以中国电信为例,融合支付平台由全国平台、省级平台组成(参见图1),全国平台设在上海天翼电子商务公司,省级平台位于各省公司。全国平台主要负责支付帐户的集中管理、支付处理,统一接入资金源,实现省级平台和全国级商户POS的接入管理,实现完整的清结算体系和系统管理功能。省级平台主要负责与本省CRM等支撑系统的接入、负责本省商户POS机或业务系统的接入、负责各种接入方式支付数据的汇聚与转发以及相应的平台管理功能。支付平台的外围周边系统主要包括电信内部的CRM平台、UDB平台、OTA平台、发片系统;还包括银行等第三方金融结构、外部接入商户。已开展的业务包括:公交刷片、手机充值、水电缴费、超市购物、订购车票、车辆加油等。
CRM系统给支付平台发送用户及业务开销户信息。UDB平台实现用户WEB方式统一鉴权和登陆认证。OTA平台实现数据短信的上传下载功能。片管系统负责UIM片、支付片片的发行管理。银行等第三方金融结构平台作为支付账户的资金来源,通过接口实现银行与支付系统之间的资金划转(充值)、信息同步(绑定关系等)、查询、对账等业务交互。
一起近场支付典型流程如下:用户在商铺利用手机终端刷片之后,POS机将信息传递给省平台;省平台执行本省的业务策略(如本省优惠、折扣等),然后将该次交易转换成一个普通的支付请求,通过互连链路发给全国平台;全国平台对账号进行认证鉴权后,调用该合作商户的业务接口,交互支付详细信息,处理完交易并进行扣费,同时向省平台反馈交易成功信息;省平台通知POS机打印交易成功的单据并记录整个交易的详细信息。
2.2支付安全风险
根据大量移动支付案例分析,常见的安全问题包括:
应用缺陷、钓鱼网站、病毒木马、欺诈信息(电子邮件、手机短信)、数字证书文件窃取、动态密码被盗用、人为因素等造成。支付涉及用户、网络、商户、金融机构等多个环节,每个环节都存在网络与技术上的风险点。从交易的端到端流程分析,可将移动支付安全分为三个层面:终端、网络、交易过程。
(1)网络基础设施安全,包括支付平台、接入网络、POS机、手机终端、软件程序等构成的IT基础设施的安全保障。可能发生的问题如网络传输中数据被截取、密码短信拦截、软件漏洞利用、电子商务网站被攻击植入木马、交易信息泄露等。
(2)交易过程安全,包括用户开始登录发起交易到交易完成的各环节安全保障。首先要确保参与交易各方的身份识别,对商家和消费者合法身份的确认;其次是交易过程监控:如账号监测、分级安全管理、风险管理控制等。常见问题如账户或片被盗用、恶意支付请求、欺诈短信、欺诈邮件、钓鱼网站等。
(3)终端安全,主要威胁包括系统后门或漏洞导致的恶意软件危害、病毒木马植入,以及终端丢失、用户信息泄密导致的账户盗用问题等。此外我国商业信用体系尚不够完善还可能造成恶意透支、恶意拒付等风险。
3、安全技术与措施
3.1网络基础设施安全
电子支付安全体系分为三层:第一层:基本加密算法,包括对称与非对称秘钥算法等;第二层:安全认证手段,包括CA体系、数字签名、数字信封等基本技术;第三层:安全认证协议,比较成熟的协议有SET, SSL,PCP, S/MIME等。
其中SSL (Security Socket Layer)在套接口上I作,使用公开密钥加密技术和数字证书技术用于在服务器和客户机间建立一条安全通道,从而实现在网络中数据传输安全保密。SET标准的实施以实现交易各方的相互信任,其关键是CA认证中心的建立,通过CA发行五种数字证书:持片人证书、商家证书、支付网关证书、收单机构证书、发片机构证书,保证交易的安全性和隐秘性。
移动支付系统需要具备下列特性:系统本身是一个隔离开的、有安全控制、有安全措施,通过访问控制,建立系统内部与外部、系统内部不同信息源之间的隔离机制;可以确认交易双方的身份,通过身份认证辨别用户的身份真伪和信用程度,通常采用公共密钥、私用密钥或用户指纹、声音等特征,实现单因素或多因素认证;确保交易信息的私密性、一致性、完整性,往往采取对称加密和非对称加密、数字签名、数字摘要等技术实现。建立一个完善的安全交易环境需要从网络设施、交易过程、手机终端等方面提供整体安全技术手段和保障能力,涉及到多个环节:支付平台、网络接入、WAP无线通道、POS机、手机/PDA终端、数据安全、软件应用等,各环节均应可采取相应的措施,参见图2.
在业务平台方面安全保障措施有:部署安全设施,如防火墙、IDS. IPS、日志审计、防DDOS攻击设备;对系统进行安全域划分;定期安全扫描,及时更新漏洞库、病毒库,实施系统加固;加强系统的访问控制和权限;设置垃圾信息过滤;深度包检测签名服务;实施日志与审计措施;完善安全管理制度等方面。业务平台需做好数据的保护:数据的安全存储、安全传输、安全访问等。在数据存储阶段,采用专门格式的强加密技术对关键数据项进行保护;在数据传输过程中,一般采取SSL等进行加密处理;为防止恶意的内部人员非法访问,可采用密钥分割技术和门限密码技术对备份数据进行保护,例如将密钥分割为5份交给5个备份管理员分别保管,门限值设定为3,只有3个管理员同时出具备份密钥时,才可以解密存储的数据。为防范发生不可抗力灾难或其它系统瘫痪风险,应建立平台异地灾备节点保证服务连续性。
在网络接入方面主要是通过专线或V1'N方式建立可信任的通道。利用SSL, SET实现通信双方的认证和互信。在商户与支付平台之间、省平台与全国平台、全国平台与银行系统之间都通过加密机进行链路加密,防止信息传输过程中被截获和破译。WAP远程支付业务主要通过无线公钥基础设施(VGPI}、身份认证等方式来保证无线通道安全性。
对于POS机主要通过安装PSAM ( Purchase SecureAccess Module)卡(相当于手机的SIM卡)获得运营商的许可,鉴别支付片片真伪以及授权读写片操作。PSAM片在安装之前灌注密钥,POS机与支付平台之间一般通过VPN或者专线方式连接,并通过加密机实施链路加密。
POS机开机后,PSAM片与业务平台通过加密链路进行公钥和私钥的交换建立安全通信链路,再进行交易信息传递。POS机与PSAM片进行一对的绑定,实施一机一密和一片一密,以防止非法终端试图访问平台;当POS机更换时需要更新绑定关系并重新进行授权。在POS机签到和后续交易信息传递中,由POS终端、POSP和后台认证数据库协同进行加密解密并生成完整性校验报文鉴别码MAC确认信息完整性。支付使用的手机终端片,常用的包括NFC片、eNFC片、SIMPIISS片、贴片片等。运营商普遍选择eNFC作为将来手机支付的主要形式。无沦采取哪种形式,都会在片片或者终端上集成安全芯片,通过硬件加密防范非法访问,实施交易数据保护。
在身份认证方面,一般采取双因素认证、动态口令方式。双因素认证是指认证过程中除账户口令外采取如验证码、生物识别信息等其他验证因素。常用的动态口令如电子口令牌、硬件令牌、手机短信密码、混合型令牌(生物识别+动态口令)等。生物识别认证技术包括指纹识别、虹膜识别等,涉及到一个关键问题是生物设别信息库的收集,日前可在业务办理时收集用户指纹和虹膜信息,随着政府等公共服务机构对于公民信息收集的逐渐完善,后期也可从政府公共信息系统(如公民身份证信息)中提取签约客户的信息。
在支付业务软件开发中应实施安全应用软件开发、安全控件、浏览与支付分离的软件架构。安全软件开发包括实施代码加密、完整性保护、底层的数据加密、网页加密、页面防篡改、防代码注入;采用适当的密码管理策略强制密码长度、复杂度、有效空闲时长、最大错误输入次数等。安全控件包括集键盘输入保护、脚本接口保护、进程权限保护、SSL增强保护等以防止木马、病毒等非法程序窃取用户的账户密码等信息。使用浏览与支付分离软件架构,当用户手机上网浏览需要购物时,浏览器会帮助用户验证商家网址安全性及支付插件的可靠性之后调用手机支付插件,手机屏幕、键盘的控制权都会交给支付插件,验证手机硬件、手机片号、支付账号等多重信息,数据信息操作只在插件内完成处理相对独立,浏览器无法获知用户支付信息,从而让整个流程更加可靠。
3.2交易过程安全
交易过程中涉及安全的关键点包括:账号安全登录、交易过程控制、账号监控、赔付机制,风险控制机制等。用户账号应采用双密码制度,即用户在登陆时和支付时采用两组不同密码,以提升支付账号在账户管理中的权限。使用动态口令和双因素认证,静态密码需要避免弱口令。
商务网站通常采取网页加密、页面防篡改、防SQL注入、防DOS攻击等手段,除了网站本身在软硬件和业务流程的安全加固外,设置可信网站的黑白名单是一项有效措施。黑白名单是由安全服务商、商户、运营商、银行等联合整个行业建立并不断完善、及时更新、资源共享。用户在日常使用过程中也需要注意分辨是否有钓鱼网站或陷阱。用户应培养良好的使用习惯,例如在支付页面设置安全选项、设置个性化登录确认信息等,充分利用系统的安全配置功能才能最大程度减小风险。
实施帐号监控和分级控制。支付平台应提供各种交易智能分析报表;及时更新失片盗片黑名单数据库;对每一笔交易进行扫描;识别可疑IP位置和使用量异常的账户;监控帐号内可能的异常交易并及时预警。实施交易限额,对不同客户、不同业务、信用额度可采用日、周、月、年时间限额或业务种类限额方式。采取分级控制,对超过一定额度的、重要的交易请求增加更严格的审核措施,例如:大额交易客服回呼确认、客户身份二次核实、交易延时支付等。
建立交易风险控制机制。移动支付存在着用户手机片被盗用、恶意支付、欺诈风险等,尤其是开通手机信用支付功能之后风险性剧增。运营商需要在系统软件上通过对用户行为的追踪和统计设计出高适应性的风险过滤规则;管理手段上需要建立专门的风险管控团队;对任何可疑的高风险交易和账户进行人I审核(参见图3);允许商户自定义交易规则和黑名单;进行交易记录深度分析以识辨交易来源和风险;建立欺诈管理控制机制,完善欺诈案件处理。商户自身也需要建立风险控制,对用户进行行为追踪,构建风险模型并实施高风险交易人I审核(参见图4)。无沦是运营商还是商户都应该彼此配合通过风险控制,减少盗片、黑片、恶意透支进入交易;同时应完善交易纠纷的应急处理机制,以解决因争议导致的用户或商户的损失。建立并完善赔付机制,如果确认是由于被盗用或欺诈造成用户损失应该对用户提供赔付。由于当前我国信用体系尚不完善,恶意透支、恶意欠费、交易欺诈等现象屡有发生,需要通过完善客户信用机制来防范处理。
3.3手机终端安全
智能终端存引起的安全隐患远大于传统移动终端。智能终端采用开放的操作系统及软件平台架构,为开发者提供开放接口及平台;部分手机在出厂时预留了非公开API后门,以及操作系统可能存在的漏洞,致使智能终端可能被木马、蠕虫等恶意代码利用,造成用户隐私及业务信息被窃取。近年来移动互联网病毒木马数量急剧增长,呈现出恶意代码的云端指令攻击强化、流程复杂化、伪装性加强等特征,往往是对知名手机支付、购物类应用进行二次打包,已发现的“新宙斯木马”、“洛克蠕虫”、“伪淘宝”病毒都凸显这些特点。还有诈骗网站伪装成正常网站给用户发送中奖信息短信或邮件方式推送病毒木马。手机下载了山寨nPP或扫描到伪装合法的二维码都有可能被感染植入病毒。调查中发现智能手机用户仅70%安装安全软件,安全防范意识和技能不足使安全威胁剧增。
解决这些问题需要对用户培养良好的安全习惯:从官方站点和安全电子市场下载正版应用;及时进行操作系统和应用程序的补丁升级;安装正版防火墙、杀毒等安全软件;在上网中提高警惕,对要求输入支付片号的邮件和短信中奖等信息不要轻易点击。同时应建立反欺诈的联动机制建设,当用户、商家或运营商发现有欺诈和非法信息后及时向相关部门反馈,行业内信息共享,形成线上线下配合、群防群控的防范局面。
手机丢失、口令泄密是影响安全的又一重要方面。近日发生一起案例,一用户手机丢失后,在营业厅办理停机手续时发现其支付账户中数千元不翼而飞。经查询得知在2小时前该账户曾登录并将数千元转账到另一账户,后经警方对转入账户资金流向进行监控找到了相关线索,由于该账户直接利用手机号码的后6位作为密码,且登陆和支付密码相同,账户被盗用后资金被轻易转走。该案例提醒用户不能使用生日、身份证号、电话号码等弱密码以防止泄密;当发现手机遗失需立刻向运营商报失停机,取消手机支付服务;使用指纹、虹膜等生物识别技术实施身份认证是有效防范手机被盗用的方式,苹果公司的Iphoneys中已指纹识别将作为标准配置,后续将会有更多的终端支持该功能。
4、端到端综合解决方案
针对移动支付各个环节中的安全风险,从端到端的角度综合考虑业务平台、支付应用及手机终端各方面的应对措施,提出一个整体安全解决方案(参见表1)。从解决方案的完备性、技术可行性、交易参与者的接收程度等方面对风险可控性进行评估后发现:网络基础设施方面技术手段较为完善,规范性和可执行性强,安全措施易于落实和核查,只要设备商、运营商、商户等加强规范的落实,在生产、流通和交易环节遵守规范执行,则风险可控性较强;而用户终端、交易过程中由于环境的复杂性、参与方安全知识程度参差不齐、使用习惯各异、人员素质差异等原因,加上屡屡发生的欺诈事件,故风险可控性较弱,是需要重点解决的网络安全短板。
5、翼支付安全应用
在中国电信翼支付业务中,实施了一系列安全防护手段和措施,包括对业务平台配置众多防护设备并设置异地灾备节点;网络上通过专用线路、VPDN结合加密机对实施链路安全保护以及配置冗余路由;联合设备厂商对POS机、手机片片等方面采取了严格遵照行业规范的入网检测制度;定期实施全网安全扫描和渗透测试,及时排查风险隐患等;协调合作商户进行安全加固;及时向用户发布手机软件更新消息;通过沦坛和微博、微信群向用户宣灌安全知识;故网络和业务安全可靠性较高。
随着业务量快速增长和交易环境日趋复杂,安全问题依然是重中之重,后续重点在交易监控和风险控制上完善措施。支付安全与业务流程中各环节密切相关,相比较之下,网络基础设施方面风险可控性较强,而手机终端和交易过程风险可控性较弱,需要交易参与方共同去完善解决。
