發布日期:2022-05-20 點擊率:37
在非接觸式移動設備進行現場支付業務時,一般是利用NFC技術的卡模擬方式來實現,即把移動設備模擬成一張非接觸式的金融IC卡,與支持非接觸式受理的POS終端進行交互。在這種傳統的卡模擬方案中,需在移動設備內加載安全單元(SEcure E1ement,SE),用于支付應用及其數據的安全存儲和安全運算,為支付過程提供了芯片級的可靠安全保障。該安全單元的載體形式可以是智能SD卡、智能SIM卡或者移動終端內部的嵌入式獨立單元。這些安全單元的存在確實保障了金融數據安全,但同時也在卡的發行運營方面增加了移動支付的復雜性。
中國銀聯股份有限公司技術部助理總經理 李偉
2013年底,安卓操作系統4.4以上版本支持了主機卡模擬(Host-based Card Emulation,HCE)技術,該技術使基于操作系統應用軟件直接實現卡模擬技術成為可能,不再要求手機中必須存在安全單元。HCE技術的應用可以大幅降低支付應用的門檻,減少移動支付的推廣成本,因而引起了業界的廣泛關注。但是,由于HCE方案軟件卡支付應用不再要求移動終端中必須存在安全單元,因而需要應設計一套完整的安全加固方案以保護支付應用數據的安全。本文將對HCE技術在移動支付的應用安全進行分析,并提出典型的技術解決方案。
一、基于HCE的軟件卡技術方案整體架構
圖1給出了一個較為全面的能夠涵蓋多種具體解決方案的整體架構,其關鍵模塊介紹如下。
1.移動終端
移動終端是用戶支付應用的載體,具體形態可以為支持NFC功能的手機、平板或者可穿戴設備等。移動終端應具備用于支撐各類應用運行的執行環境,執行環境為上層應用提供運算、存儲管理、輸入輸出界面等一系列功能和服務。通過移動終端,用戶可以下載、安裝基于HCE技術實現的軟件卡支付應用軟件(如數字錢包應用等)。通過支付應用軟件,實現支付應用的管理、非接觸式支付或遠程支付等功能。可信執行環境(Trusted Execution Environment,TEE)技術被視為是未來進一步提升移動終端執行環境安全的一個重要方向。
2.軟件卡支付應用
軟件卡支付應用是解決方案中最為核心的組成要素,一般而言,其主要功能如下:
用戶軟件卡賬戶信息的管理,如申請、下載、刪除、暫停、恢復等功能;用戶賬戶信息的保存和處理,如賬戶參數的保存和更新等;支付過程中的數據運算,如非接觸支付中對終端指令的處理和響應、遠程支付中交易驗證數據的生成或驗證等;可提供賬戶信息查詢、余額查詢、圈存等操作入口。
軟件卡支付應用可以有多種實現形式,可以作為獨立的移動應用軟件存在,也可以作為插件的形式集成在其他服務提供商的移動應用軟件中。
3.移動應用平臺
移動應用平臺是移動應用軟件接入的既有或新建的后臺管理系統,提供移動應用的下載和管理功能。在云端支付解決方案中,它還可負責移動應用與云端支付平臺之間的數據轉發或路由。
4.云端支付平臺
云端支付平臺是云端支付解決方案中使用到的后臺系統,可提供云賬戶生命周期的管理服務,包括云賬戶為創建和初始化、活躍賬戶管理、交易驗證、交易處理、生命周期管理及后交易處理。除了這些基礎功能外,云端支付平臺可同時提供一些輔助功能,例如賬單服務、報告服務等。
5.標記化服務提供商系統
標記化服務提供商系統是指在符合EMVCo標記化規范架構下,能夠完成從標記生成和發布功能的系統,并在標記請求者發出請求時維護已建立的“標記一主賬號”的映射關系。
6.安全單元
在某些應用場景下,如果移動終端中存在安全芯片,軟件卡解決方案也可以結合SE,由其來提供更為安全的支付應用數據存儲和運算功能。
7.遠程支付網關
用于處理遠程支付交易的系統前置平臺。
二、安全性分析
相比于傳統基于SE實現的支付應用(主要由SE提供安全存儲和安全運算保障),軟件卡支付應用的安全防護需要由整體解決方案來提供。在軟件卡支付解決方案中,每一個部件都分擔了系統安全的一些責任,同時實現了系統安全的一些功能。安全性不再以某單獨部件的安全與否進行衡量,而是以多部件系統整體為單位進行衡量。
軟件卡解決方案的安全性可以從兩個角度來衡量,一方面是發現漏洞以及利用漏洞的難易程度,另一方面是一旦漏洞被利用之后造成損失的大小。由于軟件卡支付應用所處的移動終端操作系統能提供的安全防護較為薄弱,軟件卡支付應用一般在整體解決方案中不是獨立存在的,它一般與其它安全環境或者云端支付系統架構緊密結合。總體看來,軟件卡解決方案的安全性可以從前端和后端兩個方面來考慮:前端包含移動終端能提供的安全環境及軟件卡支付應用,后端主要是移動應用平臺、云端支付平臺等。
在前端的安全考慮中,由移動終端操作系統自身提供的安全防護在目前階段往往存在安全漏洞。因此,建議應用提供方在實現軟件卡支付應用時,應該著重分析會有哪些可能存在的風險,然后采用相應的防護技術降低風險。比如,針對支付應用自身,可采用白盒加密、代碼混淆等技術手段來提升安全防護能力,減少漏洞,降低漏洞暴露的可能性,提升漏洞被利用的難度;另一方面,盡量降低漏洞被利用之后造成的損失,如可采用賬號標記化、限制密鑰使用等手段。
在后端的系統實現中,從安全的角度看,一個關鍵前提是在設計服務器端時不應該假設前端是安全的,應該要考慮到前端安全有被攻破的可能性。基于這個思想,系統做支付授權時,不應只根據前端信息做決定,而應根據前端和后端的信息做出綜合決定。另外,服務器端應該實現一些遠程管理的功能,保障一旦前端出現安全漏洞服務器能采取一定的措施去修復。同時,應充分利用移動終端和前端支付應用提供的信息,比如位置服務(LBS、指紋識別、交易頻次、設備指紋等,建立模型進行綜合風險監控。
因此,就軟件卡支付應用作為單個部件而言,和基于SE的支付應用實現相比,其風險無疑大幅增加。但如果能合理結合多種安全加固措施和后臺服務平臺,從系統整體上來看,其安全性能夠得到保障。此外,在實現軟件卡支付的安全解決方案后,相應的檢測與認證也將面臨一個新的挑戰,此時,檢測和認證的對象不再只是系統內的某個部件,而應針對整個解決方案進行綜合的評估。
三、典型解決方案示例
以下列出幾個典型的軟件卡解決方案,重點描述實現過程中需充分考慮的安全要點。
1.云端支付解決方案
云端支付產品是目前基于HCE實現的軟件卡主流解決方案。在本方案中,支付應用的核心數據在服務器云端(云端支付平臺),軟件卡支付應用的管理模塊、支付運算模塊以及存儲模塊都基于移動終端的操作系統實現,與POS終端交互,實現非接觸式移動支付。移動終端需支持基于HCE實現的NlFC功能。
由于本方案中前端支付應用運行在普通移動設備的操作系統之下,所以在服務器端需采取較為嚴格的參數管理、交易風險控制策略,比如,不允許基于本模型實現線下脫機交易、減少交易參數的有效次數和縮短有效周期、控制基于該模型實現的支付應用單次交易限額和累計交易限額等。通過較為嚴格的后臺風險控制,可以降低系統性攻擊的風險。
后臺服務器應對用戶身份、移動設備及移動應用等進行全方位的驗證。在驗證通過后,軟件卡支付應用與后臺服務器之間的數據通信建立在安全連接的基礎上,敏感數據通過安全通道進行傳輸。
2.標記化技術在云端支付解決方案中的應用
在云端支付解決方案的基礎上,后臺服務器為了進一步加強風險控制力度,可以進一步增加標記化服務器(Token ServICe Provider,TSP)的角色,云端支付平臺可向標記化服務器申請標記(Token),進一步解決在手機中存放卡號等敏感數據形成潛在風險的問題。國際金融IC卡聯合組織EMVCo統一在全球范圍對TSP進行了編號,并通過各卡組織分別建立技術業務體系,管理卡組織自身銀行卡對應Token的注冊、標記庫、標記提取、生命周期管理等功能。
相比于普通的云端支付解決方案,疊加標記(Token)技術后,對軟件卡支付應用中所存儲的支付卡信息的保護和管控得到進一步加強,后臺服務器可基于標記化技術有效控制因前端安全漏洞所造成的卡信息泄露帶來的損失,同時也進一步提高了對持卡人各類交易風險的綜合管控。
3.TEE技術在云端支付解決方案中的應用
由于以上解決方案的前端應用客戶端仍處于安全級較低的操作系統環境下,理論上仍存在一定的安全漏洞,為進一步增強安全,還可進一步引進TEE技術。
通過運用移動終端所提供的TEE環境,可有效提升前端應用的安全防護水平。TEE是移動終端中一個與通用環境相隔離的執行環境,能夠提供例如應用隔離運行、可信應用及其資源完整性和保密性保護等安全功能。不過,TEE的安全除了需要自身軟件保障以外,還需要依賴于移動終端平臺硬件的保障。
利用TEE提供的安全環境,軟件卡應用可以通過多種方式提升自身安全防護能力,比如,可將軟件卡應用中的敏感數據如交易參數、與后臺服務器的通信密鑰等存儲在TEE環境下;軟件卡應用與NFC芯片之間的通信信道可通過TEE環境進行安全隔離保護;將軟件卡應用的支付運算模塊以可信應用(TA)的方式運行在TEE環境下;對用戶身份的認證(例如指紋識別)可通過TEE內置的安全服務來實現等。
四、總結
通過云端存儲和控制、Token技術、TEE環境等技術的運用,基于HCE技術的移動支付應用成為安全可行的業務模式。當然,軟件卡支付應用還可以直接利用移動設備中已有的SE提供的安全環境來存放敏感數據,從而進一步提升自身的安全防護能力,對此,發行方需根據實際具體情況進行綜合考量。
基于HCE技術的軟件卡方案可降低NFC支付的門檻,減少NFC技術的推廣成本,已成為支付產業界的新熱點,相信在卡組織和發卡機構的創新推動下,相關的移動支付產品不久即將為持卡人廣泛使用。
下一篇: PLC、DCS、FCS三大控
上一篇: NFC技術規范與測試要
