×关闭背景

通付盾汪德嘉:移动支付安全技术创新发展

2015-04-22 11:44:09      来源:移动 LABS       

移动支付安全

【摘要】【移动LABS】4月22日-23日,2015中国移动支付产业论坛在北京召开,移动LABS作为大会战略合作媒体受邀现场直播。通付盾创始人兼CEO汪德嘉分享移动支付安全技术创新发展。

【移动LABS】4月22日-23日,2015中国移动支付产业论坛在北京召开,移动LABS作为大会战略合作媒体受邀现场直播。通付盾创始人兼CEO汪德嘉分享移动支付安全技术创新发展。

通付盾创始人兼CEO汪德嘉


演讲速记:

前年我在这里讲移动支付安全面临的新挑战;去年我讲的是如何有效地解决二维码支付安全问题;今年我将给大家汇报一下我们通付盾在移动支付、移动金融这方面的一些最新的研究成果,我的演讲题目是移动支付技术创新发展。

我的分享将从以下三个方面展开:移动支付创新发展与挑战,移动支付安全技术发展,通付盾端到端移动支付安全防护体系。

移动支付发展达到创新“起飞期”。先分享一组数据:根据《2014电子银行调查报告》,2014年个人手机银行用户比例为17.8%,同比增长50%,连续4年呈指数增长趋势。83%个人手机银行用户使用频率增加。根据创新扩散理论,手机银行发展已经达到创新“起飞期”,预计2015年手机银行用户比例将达到24.1%左右(22.4%-25.8%)。这个银行调查报告同时指出安全性问题仍然是困扰用户使用的首要因素,占比高达55.6%,用户希望手机兼容性提高的比例达到20.5%。

移动支付安全面临重大威胁。前不久OWASP联合我们等国内几家顶尖移动安全厂商及应用市场发布“十大移动应用恶意行为”。“隐私窃取”、“窃取资金”等行为直接影响移动金融用户的资金安全。根据各行业盗版率排行统计,移动金融应用(理财保险、证券基金、手机银行、支付等)面临盗版率高的威胁,累计超过21%应用为盗版应用。

移动安全威胁直接影响业务安全,潜在威胁巨大。不法分子通过伪基站、社交关系、病毒二维码、二次打包等途径进行窃取账号密码、窃取用户隐私、消耗资源、骚扰广告;从而威胁用户的隐私安全、资金安全。威胁服务提供商的系统安全与业务安全。

这张PPT总结一下移动支付安全的层次及环节。移动支付安全从层次上可分为账号安全、终端安全、应用安全及业务安全,对应的是用户、介质、应用、平台,包括三个环节:认证授权,数据安全传输及风险控制。我下面从认证授权,Tokenization(令牌化),HCE及风险管理这几个角度来讨论移动支付安全技术发展。

首先讨论身份认证技术。生物特征认证在移动端被广泛认可,尤其是指纹认证,1、存在多种问题,没有统一的标准,2、移动支付应用提供指纹认证功能需要适配多种机型。移动身份认证的难题在于接口不统一、体验不统一、流程不统一、不对上层开放。这里我重点介绍一下FIDO联盟,其成员包括金融业(卡组织、银行、第三方支付)、手机厂商(硬件、系统、设备)、安全厂商等。通付盾也是FIDO联盟成员。 FIDO(FastIdentity Online)在线快速标识(身份)联盟成立于2012年7月,解决强身份验证设备之间缺乏协作,用户需要创建多个用户名、密码等问题。FIDO的目标是定义一个开发、可扩展、协作的机制,代替密码用于在线服务的身份验证。

其次讨论Tokenization令牌化技术。什么是令牌?简单的说,将敏感数据用唯一标识替代,并且要求在数学不可逆。以支付场景为例,将PAN(敏感信息)用一串令牌数字(例如VAN)替代,减少卡号泄漏几率。好的Token需要满足业务需求,比如可选长度(16/19),保留部分信息(卡号后四位)。令牌化到底解决什么问题?第一、保护敏感数据,防范数据泄漏。第二、减少支付数据系统数目,减少PCI-DSS合规审核范围,减少合规费用。令牌化是一种方向,一种趋势。它与加密有什么区别? 加密是把敏感数据加密成密文,通过密钥还原成明文,任何获得密钥的人都可以还原敏感数据,其问题在于黑客获取足够多的密文之后可能会破解加密算法。令牌化使用唯一的随机数代替敏感信息。美国国家标准学会(ANSI ASC X9)、EMVCo、PCI安全标准委员会(PCI SSC)、清算所协会(TCH)等组织正在制定令牌化标准。2014年3月,EMVCo令牌化标准V1.0版本发布。

再其次讨论HCE(HostCard Emulation)技术。HCE是一种NFC功能设备上执行卡片模拟功能的技术,无需依赖安全单元,也被称为Cloud-Based SE,Android V4.4以上及BlackBerry OS10。HCE技术让移动支付摆脱运营商(UICC)/手机生产厂商(eSE)限制。HCE也有一些问题,怎么检测HCE的安全性?HCE安全问题包括 1、身份验证:如何验证用户身份并授权?移动支付应用被逆向如何保护?2、数据安全:PAN如何保护不被泄露?通付盾针对HCE安全有一些相应的解决方案。

最后分享风险管理反欺诈技术。HCE是一种软件的方法,令牌化是把敏感信息进行随机化,认证授权是对身份的确认。以上端和网技术,不管怎么样都不能做到100%安全,所以服务器端(云端)有风险管理反欺诈的需求。这也是目前互联网金融,移动支付应用防伪的难题:第一、区别真实的用户还是机器人。欺诈者可采用程序模拟用户操作,重复执行操作;通过爬虫获取系统数据,尝试系统漏洞。第二、是否是真实的账号。目前刷信用、养小号、僵尸粉产业链已经非常成熟;病毒、木马盗取账号、密码,威胁账号安全。欺诈者可通过模拟器绕过移动应用的安全限制,采用VPN、代理等方式隐藏真实地理信息。以下是两个真是欺诈案件。案件一、假冒12306:病毒伪装成12306订票软件。手机病毒均被二次打包到12306相关应用中,并散布在各大手机论坛、非安全电子市场供用户下载安装。下载安装后,病毒自动激活,并在后台偷偷运行,用户无法觉察。案件二、模拟器:通过模拟器绕过地区、账号的限制。某保险企业新业务限定在6个指定城市才能参与活动。黑客通过模拟器运行应用,底层修改工具伪造GPS经纬度,绕过限制。

移动支付风险管理反欺诈的技术趋势国际上是向大数据的方向发展,这也是与我们论坛的主题“大数据开启移动支付新时代”相切合的。它从数据和系统,多方面识别伪造,发现异常,挖掘观点,有效的管理创新金融业务面临的安全风险。在网络世界里面,很重要的问题是真实度问题,到底用户是不是真的?到底帐号是不是真的,设备是不是真的,数据是不是真的,信誉是不是真的,因为信誉也可以刷。通付盾经过多年的积累建立了一个数据库,这个数据库非常大,我们叫网籍库。网籍库是一个设备征信系统。针对网络设备,到底设备是不是真实的,它在某一个地方是否有欺诈行为,我们会记录下来,然后给它做画像评分。

以上分享了移动支付安全技术发展。安全是木桶效应,针对移动支付安全问题,迫切需要端到端的安全解决方案。这里介绍一下通付盾公司及通付盾端到端移动支付安全防护体系。

通付盾公司是互联网金融安全公司,是一家移动支付安全解决方案提供商,我们的愿景是让移动支付安全不再是门槛,让专业的人做专业的事。通付盾的主要安全产品服务包括:应用盾(AppShield)、时空令(TSC SecurID)、网络征信(CyberIntelli)、安全咨询服务四大系列,提供覆盖“云、网、端”的全方位、一体化安全保护解决方案。通付盾以网籍库为核心的端到端移动金融安全防护体系确保移动金融应用安全、账号安全、交易安全。通付盾网籍库拥有4亿多设备,掌握用户设备的网络数据。聚焦移动应用安全、移动支付安全及移动大数据业务安全等目标市场,采用咨询、合规、运营、数据服务的商业模式,为互联网金融、移动支付、移动办公、智慧城市、智慧教育、智慧交通、智慧医疗等提供灵活多样的安全解决方案,目前已服务上千家企业级客户。

通付盾作为网络身份识别及反欺诈数据服务提供商行业典型领军企业,通过在行业里的技术研发优势,已将云计算、大数据等资源整合到自身产品及服务中,通过设备指纹技术生成设备的唯一标识,用信息关系图谱可视化实体间的联系,用征信系统计算实体信誉分数,用反欺诈技术来评估事件风险,提供决策支持。最后通过这个机会正式发布我们通付盾的大数据风险管理反欺诈云平台CyberIntelli,这是一个在国内已试运行三年多的产品。CyberIntelli是中国第一家Adaptive, Predictive和Actionable网络身份识别和反欺诈的系统,欢迎大家去体验。谢谢大家!

声明:所有会议记录均为现场速记整理,未经演讲者审阅,本站刊登此文出于传递更多信息之目的,并不意味赞同其观点或证实其描述。

更多会议精彩内容请参见专题:http://labs.chinamobile.com/mpays_2015

(责任编辑:王砾瑟)
共 1 页
分享到: 0

评论

全部评论我的评论

小猫猫喵2015-04-22 11:55

这样的文章应该多转发。。。

北斗20142015-04-22 11:52

发现移动LABS有些内容还是不错的