随着移动支付在各个行业领域的逐渐应用和推广,一方面不仅大大提高了社会信息化程度,在一定程度上还加快推进了国家经济与社会的发展。特别是近两年随着智能手机的普及, 移动通信领域3G的普及和4G的推广,以及移动互联网的高速发展,通过手机进行移动支付已经成为越来越多用户的选择。 伴随着移动支付的发展,手机终端也越来越智能化,移动终端越来越多的涉及到个人信息安全等信息,通过智能手机木马软件等恶意方式,移动支付面临着严峻的安全挑战. 手机智能卡作为手机用户必不可少的产品,一方面除了提供基本的通信功能之外,在移动支付领域中还可以发挥其硬件安全的特性,为移动支付领域中的身份识别、信息安全等方面提供更加安全的应用,从而确保移动支付信息的安全。 1、移动支付行业安全现状 截至2014年,我国手机网民规模达到5.27亿,手机上网比例为83.4%,首次超越PC上网比例,成为第一大上网终端。14年的“双十一”则用新纪录为移动金融做了“代言”。数据显示,去年11月11日当天,支付宝移动支付规模为1.97亿笔、243亿元人民币,占总成交额的42.6%。日前发布的《2014中国电子银行调查报告》预计,2015年我国个人手机银行将出现爆发式增长。据了解,电子银行业务包括网上银行业务、手机银行业务、电话银行业务等。业内人士预测,随着移动金融时代的全面到来,继电子银行全面超越柜台业务之后,手机银行可能后来居上,成为未来电子银行服务主要依赖的渠道。 但是随着智能手机的普及,以及相关主流手机操作系统的源代码开源程度较高,手机遭到手机病毒、木马的案例也逐渐增多,通过手机病毒同样会导致用户移动支付的关键信息的泄露.给用户的移动支付安全带来的较大的风险。此外为了给大众用户带来更便捷的体验,市面上已有众多快捷支付的应用,关联银行卡后每次付款只需输入支付密码即可完成付款。但是已有多起报道手机被盗或号码被恶意挂失后可以通过修改支付密码遭到盗刷的案例.除了在线支付之外,目前在市场上还存在着通过二维码等技术实现离线支付方式的方式,通过智能手机扫码方式实现支付。因为技术门槛和可制作和发布成本较低,行业相关资质、发布要求处在化状态,从外观无法辨别内容,很容易导致犯罪将病毒链接嵌入二维码中导致用户隐私泄露、账户被盗等风险。移动支付的安全问题,已经成为未来普及推广的一个重大隐患。 2、移动支付智能卡安全解决方案 传统的支付方式是通过实体卡刷卡的方式进行的,卡片作为用户资金账户的安全载体确保了用户的信息安全。通过智能IC卡为载体,进一步增加了用户支付的安全性,用户的相关账户信息、交易密码和交易过程数据都是通过智能卡硬件进行安全的,并且交易过程全程加密,卡片与支付系统、机具之间交易之前也都要双向进行认证,通过后才能正常交易。从而确保了用户的卡片和账户信息不会被、复制或破解。 在移动支付的时代来临后,运营商也在大力推广移动支付的业务,并且已经成功实现了基于手机智能卡作为支付应用的载体实现移动支付的功能。并已经批量应用在银行、公交、一等多个领域,手机用户都可以通过手机智能卡实现银行卡的刷卡消费、公交刷卡等支付应用。手机智能卡同样是基于安全芯片的高安全IC卡,安全级别同银行卡同等级,同样有金融行业的安全性认证等资质,从安全性的角度完全可以替代银行IC卡,能够满足用户的支付信息安全。 在公交一、金融等支付领域,相关行业主导方也在大力推动支付服务手段的继承式创新发展,一方面,推动加快IC卡的发卡进度,拓展IC卡的支付应用场景;另一方面,也再推动将支付IC卡信息嵌入手机安全模块,把手机转变为移动式金融IC卡,发展支付、转账、信用查询、信贷等各种应用,并推广自主可控密码算法,从根本上提高金融基础设施的安全性。手机安全模块即包括基于手机SIM卡这种的硬件安全模块,确保支付安全。 手机智能卡作为手机必不可少的一部分,一方面不仅可以把支付应用和用户核心安全数据存储在的硬件安全载体内,通过安全的操作系统软件进行高安全级别的,避免了通过手机操作系统的木马获取到用户隐私和支付账户信息。另外手机智能卡还可支持RSA或国产高安全的加密算法,通过加载电子签名证书等身份识别的高安全应用,通过移动网络接入后台系统可以同时确保用户的身份安全认证和信息传输安全。大大增加了移动支付用户的信息和支付安全。为现有移动支付的安全风险提供了最安全的解决方案。此外手机智能卡本身还可支持离线的NFC支付应用,基于国际成熟的技术标准,相比二维码等离线支付方式具备了良好的安全性保障。 2.1技术方案分析 基于手机智能卡的移动支付解决方案,可以有几种方式。一种是基于非智能手机,可以通过智能卡内置支付应用,配合卡片内置的支付业务菜单,通过传统的短信通道实现安全支付,经过短信传输的关键信息均为密文并且经过卡片安全应用和后台系统的双向认证,同时进入卡片业务菜单进行支付时需要密码,确保了用户手机丢失或恶意挂失修改密码的风险。另外一种方案是基于支持手机客户端和智能道的智能手机,可以通过手机客户端接入3G、4G网络连接支付后台系统,通过客户端将交互的指令发送给手机智能卡,手机智能卡负责支付应用的装载和消费,并且可以装载身份识别等安全应用与后台系统进行身份认证以及交互信息的签名、加密等安全处理。确保了用户移动支付的信息安全。 手机智能卡除了基于在线支付的安份认证、信息加密处理之外,还能够装在支付应用实现离线的移动支付近场应用,符合国际ISO相关近场通讯标准和行业支付应用标准,可以进行公交、银行卡小额消费等日常生活中的支付应用。满足高安全的同时,还可为用户带来便捷的日常消费功能。结合线上和线下支付多种应用,为移动支付带来更加便捷安全的解决方案。 2.2合作发卡流程 根据以上技术方案分析以及实际的商用案例,目前基于一张手机智能卡实现支付和安全多应用整合方案,都会产生多方合作发卡的相关问题,例如同一张手机卡片装载多个行业应用,具体的发卡流程肯定不同于传统发卡流程,此外多个应用的安全性的必须得到等。 在移动通信行业中,SIM卡的发行通常是由运营商指定的卡片提供商,按照运营商的生产安全相关要求,进行生产和个人化,其中通信安全数据的个人化是由指定卡商来完成的。 而在支付行业中,卡片程序的预装载是由指定的卡商来完成的,但是卡片的密钥数据个人化的流程,通常是由公交、银行、第三方支付方或指定厂商来进行的。相对通信SIM卡有着更高的安全要求。 在安全行业中,卡片安全应用的核心算法授权下载也是需要卡片生产厂商经过安全认证并且指定安全机构进行算法灌装和证书发行的,也需要极高的安全要求。 根据通信行业和支付行业、安全行业发卡流程的不同,如果将这几种应用同时装载到一张卡内,那么从发卡流程来看,首先需要选择一家卡片生产商,同时既是运营商指定的入围卡商,也是支付方指定的供货商,同时还具备相关的安全行业资质,才能进行相关发卡工作,并且通信和支付方以及安全应用的发卡流程都需要按照各自原有的发卡流程进行。目前已有商用案例能够实现以上的卡片生产发卡过程。 从应用的安全要求来看,同一张SIM卡装载多种应用(通信应用、支付应用和安全应用),对于不同应用对应的各自密钥体系,务必要求相互且不可互相访问,各自应用方在进行相关安全操作的时候,对别家应用无法进行任何操作,目前SIM卡根据相关的安全逻辑规范及要求,已经可以支持多逻辑通道等安全性要求,能够确保多应用并行运行互不干扰的基本要求。 3、发展趋势 在未来几年移动支付将会呈现井喷式发展,随着多行业融合发展的趋势,行业市场拥有着广阔的发展前景和良好的机遇。但是安全问题将会成为越来越严重的制约移动支付发展的因素,在支付服务越来越同质化的情况下,为用户提供即安全有便捷的支付方案将会成为有力的竞争手段,通过手机智能卡的方案将会成为重要的解决方案之一,随着智能手机的普及和更新,未来的手机智能卡可能不仅仅为用户提供通信功能,还将成为集支付载体和安份识别应用为一体的多功能融合卡,成为人们日常生活中必不可少的随身携带的产品。 本文作者系: “城市一企业创新与发展联合会”单位、住房和城乡建设部IC卡应用服务中心产品检测过检企业恒宝股份有限公司张萌 支付圈:递送行业信息,支付正能量 支付圈 递送支付行业信息,支付正能量!您的支持是我前进的动力! (欢迎订阅) 关注“支付圈”有3种方式 1.点击添加朋友搜索微信号:zhifuquanzi 2.点击添加朋友查找微信账号输入:支付圈 3.扫一扫下面的二维码 推荐: |