未来智讯 > 移动支付论文 > 移动支付平安需解决四类技能问题

移动支付平安需解决四类技能问题

发布时间:2018-12-02 01:06:01 文章来源:未来智讯    
    移动支付平安需解决四类技能问题作者: 侯沁   随着移动互联深入百姓的日常生活,金融服务的移动化趋势不时显现。去年年底,CFCA发布《2014电子银行调查汇报》显示:2014年个人手机银行用户比率为17.8%,同比增长50%,连续4年呈现指数增长趋势。手机银行发展已经达到创新“起飞期”,预计2015年手机银行用户比率将达到24.1%,移动支付将成为后续手机银行发展的重点。
  金融界《2014手机银行调查》显示,平安性问题仍然是困扰用户使用的首要因素,占比超过50%。同时,用户希望移动金融服务手机兼容性提高的比率超过20%,实现无需更换硬件即可获得移动金融服务。
  国外厂商围绕移动支付平安提供不同形式的解决方案,其中包含多种移动支付平安技能。不管是Apple Pay、Android Pay、LoopPay还是CurrentC,都需要解决以下四类技能问题:认证授权、令牌化、HCE和风险抑制。
  ■认证授权(Authorization)
  如何在移动终端用户身份认证的问题?如何保证关键操作在用户授权后执行?常用的方式是通过输入四位Pass Code完成身份认证与支付授权,这种方式简便但平安性不足。随着生物认证在移动端被广泛认可,尤其是指纹认证的认可,加之指纹模块成本的降低,新型手机都起初支持指纹识别。但指纹识别也存在多种问题,如没有统一的标准、移动支付应用提供指纹认证功能需适配多种机型等。在此过程中,需要解决接口不统一、访问标准不统一的问题。
  针对身份认证的难题,国际上于2012年7月由微软、google、 VISA、 PayPal等企业牵头倡议成立了FIDO Alliance (线上快速身份验证联盟)。国际金融机构、手机厂商、平安厂商都积极参加这个联盟。它解决的是强身份验证设备之间缺乏协作的问题,通过定义一个可扩展、可协作的机制,代替密码用于在线服务的身份验证。联盟提出一系列身份认证协议,可实现适用于移动设备的无密码身份认证。
  ■令牌化(Tokenization)
  不管是Apple Pay 还是Android Pay都利用了Tokenization技能,大略的说,便是在支付方案中将敏感数据用唯一标识替代。以支付场景为例,将PAN(敏感信息)用一串令牌数字替代,从而削减卡号泄漏概率。令牌化服务在支付流程中用于传递信息,后台会还原成原始信息。令牌化服务对转换平安性以及业务需求有较高的要求,好的Token需要满足业务需求。
  令牌化的优势在于: 一、能够保护敏感数据,防范数据泄漏。削减支付数据系统数目。二、削减PCI-DSS合规审核范围,削减合规费用。它与加密的区别在于,加密是把敏感信息通过密钥完成,获得密钥的人都能够保留敏感数据,通过密文能够还原敏感数据。令牌化是使用唯一的随机数代替敏感信息。美国国家标准学会、EMVCo、PCI平安标准委员会、清算所协会等组织正在制定令牌化标准。2014年3月,EMVCo令牌化标准V1.0版本发布。
  ■HCE(Host Card Emulation)
  这是一种NFC功能设备上执行卡片模拟功能的技能,无需依赖平安单元,也被称为Cloud-Based SE,在Android V4.4以上及BlackBerry OS10系统实现此功能。
  基于HCE技能,移动支付方案提供商无需依赖运营商或者手机制造商,具有更多的灵活性和适用范围。另一方面,由于没有SE保护,基于HCE的移动支付方案也将面临更大的平安威胁,涉及身份验证和数据平安的问题,需要实施全方位的平安体系保护交易数据的完整性和保密性。
  ■风险抑制(Risk Management)
  在移动支付方案中,后台的风险抑制也是必不可少的一环。我们应该如何判断风险?
  第一、是否是真实的用户?有些黑客选取程序模型用户操作,反复执行操作,有的通过爬虫获取系统数据,尝试系统漏洞进而抨击。这些欺诈手段给企业带来很多不确定的平安隐患。第二、是否是真实的帐号?刷信用,养小号,僵尸粉家当链已相当成熟。还有病毒、木马盗取帐号、密码、威胁帐号平安。第三、是否存在真实的风险?有些通过模拟器绕过移动应用的平安限制。有些选取VPN、代办等方式隐藏真实地理信息。
转载请注明来源。原文地址:https://www.7428.cn/page/2018/1202/49962/
 与本篇相关的热门内容: