未来智讯 > 移动支付论文 > 平安支付――来自移动互联网的挑战

平安支付――来自移动互联网的挑战

发布时间:2018-12-04 01:06:01 文章来源:未来智讯    
    平安支付――来自移动互联网的挑战作者:未知   “Heartbleed”,意即“心脏出血”。今年,以其为代号的事件成为互联网史上最大的信息平安问题。无数台计算机、成千上万的用户都遭到这个小小的“缓冲区越边界读取”问题的考验。业内权威杂志《电子周刊》(eWeek)预估美国方面的丧失高达5亿美元。但是,这一平安事件完全能够避免――只需在发布产品前做个平安评估测试即可,费用仅需几千美元。在平安评估测试期间,源代码会得到仔细的检测,还会采取渗透测试来核查产品对现有抨击手段的平安保障力度。
  采取不同级别的审核和渗透测试,平安检测评估能够让用户知晓产品平安的保障级别。由于信息平安产品的层次各有不同,这也导致评估内容千差万别,但在实际应用中,主要有三种最为常见的平安评估认证类型:
  ・通用规则(CC)认证;
  ・平安智能卡产品的认证;
  ・支付终端和相关设备的认证;
  而在每种类型的认证中,都有三方面的参与:认证机构负责颁布证书;平安评估实验室负责测试;以及开发商或者卖家提供测试样本,并提供源代码和文档等认证所需材料。
  通用规则平安评估认证
  通用规则(CC)作为国际标准,专用于计算机的平安认证方面。而信息和通讯行业(ICT)的爆炸性发展为如何应对平安问题带来一系列挑战。大略说来,ICT行业一方面需要大量的数据接入处理,但另一方面在处理其中的重要信息时又要确保这些数据的平安和完整。倘若没有得到授权,任何第三方都无法泄露或窜改原始数据。然而,一般的消费者难以对此作出评判,评估某个ICT系统的平安性(主要有机密性、完整性和可用性)。因此,我们需要来自独立公正的第三方的测评服务,普通的消费者也能藉此明白所使用产品的平安特质和本能。
  通用规则实际上是一套针对ICT产品的平安品质进行评估和检测的标准,便于业内对产品开展定性定量的分析。通用规则帮助公众理解两个方面的问题:“这个产品的用途是什么?”(平安功能)和“您对其平安功能有几多信心?”(平安保证)。任何一位ICT系统的用户都可通过这个标准框架确定他们的平安要求;卖家也可通过这个框架确定或者宣扬他们产品的特质和优势;测评实验室还可通过这一框架来得出测评结果,便于公众理解。通用规则为ICT行业带来整个流程的平安保证 ―― 保证其规范设计、实现和评估都遵循了准确、标准的方式。
  通过平安测评,评估对象(TOE)的平安本能都需要一一验证。为保证其平安功能的实际使用,但凡涉及到TOE平安特征的功能都需要得到认证。
  评测过程也是一个确立对其平安性信心的过程,通过各种质量保证检测手段,测试出产品的平安本能。业内常常采取评估保证级(EAL)以量化评估内容,这样用户就对评估深度和严格程度有了一个确切的明白,不同产品间的对照衡量也有了一个通用平台。必须要指出的是,更高级别的EAL并不一定总意味着“更好的平安性”――这只只是说明评估对象的受检范围更为广泛,评测实验室对其本能的检测更为细致。从国际层面上看,国际通用规则认证互认协定(CCRA)给通用规则(CC)认证带来更为广泛的适用性。常常,惟有不高于EAL 2(包括EAL2)的评测结果才能得到国家间的彼此承认。
  平安智能卡产品的平安评估认证
  同通用规则(CC)不一样,某些平安评估认证的对象仅以智能卡产品为主,例如EMVCo、万事达CAST、维萨VCSP、运通卡、发现卡、银联,以及JCB等。这些都是国际知名的信用卡组织,它们的智能卡产品遍布全球各个角落。因此,这些机构极为关注它们产品的平安保证和认证问题。从实际检测中看,它们委托多个评估实验室来开展平安检测,一般都按照如下程序来检测:
  文档研讨 代码评估/脆弱性分析 初步测试 抨击选项 渗透测试 抨击评级 最后汇报
  其中,渗透测试是评估过程的核心,包括了智能卡产品的两种渗透测试:旁路抨击和干扰抨击。旁路抨击尝试通过旁路信号以获取敏感数据,譬如密钥或者个人识别码(PIN)等。旁路信号常常包括执行平安相关指令时智能卡芯片的电流变化、电磁泄露、执行时间以及音频信号等。下面这幅图说明了在运行RSA密码算法的过程中,一张智能卡的RSA密钥是如何通过电流变化来获得的。我们日常生活中RSA密码算法无处不在,每次用网银U盾做交易时就会进行RSA密码计算,上网浏览时浏览器和服务器之间通讯时也会进行RSA密码计算,等等。目前生界上商用的RSA密钥常常有1024位或2048位,常常一次RSA密码运算需要做上千次或几千次平方和乘法运算(图1),当密钥的那一位是“1”时需要做一次平方运算(绿色所示)及一次乘法运算(红色所示),当密钥的那一位是“0”时则只需要做一次平方运算。
  干扰抨击则试图改变IC卡芯片的正常运行使得平安相关的指令执行过程出现漏洞,进而导致密钥或个人识别码(PIN)等敏感数据的泄露。干扰的方式多种多样,有些很好理解。例如,改变正常的电压/频率范围、用光/激光脉冲、电子感应或电涌影响电子行为特征等。这些都可能导致密码计算错误、程序流程变动和数据变更等。当前光抨击在干扰测试中应用最为广泛。(图2)
  除了智能卡,支付终端以及各种相关设备的平安保障问题也得到公众的亲密关注,其中最为常见便是PED和POS,分辨表示个人识别码(PIN)输入设备和销售点终端。
  众所周知,PED/POS设备的平安保障至关重要,因为大量的金融欺诈都与此有关。在整个交易环境中,支付终端老是最薄弱的一环。易于接入、无人值守、设备庞杂等客观原因都对这个环节造成巨大的压力。
  在PED设备的评测中,我们一般采取三种测试方法:
  窜改证据――表明有抨击发生的证据;
  针对窜改行为的抵制措施――对抨击采取被动的物理保护措施;
  针对窜改的侦测和反应――当抨击发生时,会采取主动的反应行动,阻止其发展。
  未来的平安评估会是怎样的?
  总之,ICT产品的平安程度必须要得到用户认可,这一点是整个行业发展的关键。唯有如此,人们才会确信信息平安产品能真正保护他们的资产,如密钥或个人识别码(PIN)。
  现在移动支付发展的势头如火如荼。中国2013年的移动支付总数就高达1.2万亿人民币。能够预见,人们对移动支付平安程度的要求将会越来越高。(图3)
  只管目前移动支付发展势头很猛,广受公众欢迎,但业内迄今未建立起国际性的平安评估/认证标准。主要有如下三个原因:
  1 各方意见不一,难以统一。市场中不同的参与方提出不同的方案,而其方案均源于不同的细分行业。例如,传统支付机构、移动服务供应商、移动设备制造商以及第三方支付机构等。硬件技能也有各方的诉求。例如,平安硬件模块(IC)、主机卡模拟技能(HCE)、信标技能以及在线(支付)账户等。
  2 证实平安性的过程耗时费力。我们需要加入大量的时间和精力来部署测评策略,这样才能确信产品能达到用户期望的平安等级。目前,从产品设计制造到下线上市的时间老是很短。如此短的时间里测评汇报的意义不是很大。
  3 大众对平安意识的理解有偏差。只管负面的事件会对总体移动支付的业态环境造成不利影响,但按照墨菲法则,但凡可能出错的事必定会出错,技能进步过程中这种事情终究无法避免。如今市面上针对移动支付的解决方案千差万别,多数仍处于研发试行的阶段,部署规模尚不够大,因此各种瑕疵或差池带来的丧失也有限。从供应商和用户的角度看,人们的注意力还在应用开发上,相对来说,对于平安评估的关注还没有提升到一个应有的水平。
  成熟完备的解决方案当然会广受欢迎,但现实是我们需要时间来满足各方的需求。更为重要的是,家当链中的参与者必须认识到平安屏障被破坏而带来的损害。文首提及的“心脏出血”事件就已让我们清楚看到:必须将平安因素纳入核心的设计策略,严格执行评测标准,这样才能开发出一流的ICT系统/产品,为整个行业奠定互利互益的基础。
转载请注明来源。原文地址:https://www.7428.cn/page/2018/1204/50877/
 与本篇相关的热门内容: