【行业新闻】移动支付安全技术措施 - 移动支付安全_指纹芯片_安全单元_三代Key_动态令牌芯片—杭州晟元芯片技术有限公司
您当前的位置:首页>关于晟元>企业新闻企业新闻

【行业新闻】移动支付安全技术措施

来源:          上传日期:2014-07-04


事实上,与PC系统相比,手机系统更加封闭,黑客可以利用的技术漏洞更少。而众多厂商为了保证移动支付的安全性,使用了各种先进的安全技术,移动支付总体上达到了相当高的安全标准。近年来,国产低功耗安全芯片技术取得了长足发展,为研发低成本、高安全的移动产品奠定了基础,使国内手机支付的春天提前来临。

目前国内移动支付方案提供商众多,产品繁杂,总体而言,可分为有硬件保护和无硬件保护两大类。有硬件保护方案一般采用金融级安全芯片,对传输的数据进行加解密,安全性更高,被视为移动支付产业未来的发展方向。本文将通过剖析一款典型的有硬件保护产品——钱袋宝扩展卡,来分析各种用于移动支付的安全技术。

扩展卡采用了哪些移动支付安全措施:

1. 物理安全

从本质上讲,钱袋宝扩展卡是一张典型的智能卡,符合ISO7816国际规范中针对有毒性、耐化学性、温度稳定性、湿度、光、污染、紫外线、X-射线、电磁场、静电等要求。通电工作后,内置的COS(Chip Operating System)系统对卡内信息的存储和访问权限都进行了严格设置,外部指令无法读取卡内敏感数据信息。

2. 操作界面安全

智能手机逐渐普及,很多用户开始担心,自己的手机是否会感染病毒?Android手机root后、iPhone手机越狱后是否安全?自己下载的应用程序是否是官方版本?这些担心对于钱袋宝扩展卡来说都是多余的,钱袋宝扩展卡只能通过单一的7816指令与外界进行通信,目前各类手机操作系统对7816指令的调用权限管理得非常严格,所以手机中的应用程序无法通过调用7816指令来嗅探扩展卡中的信息。

事实上,用户在实际使用时无需下载任何应用程序客户端,只需也只能通过手机自带的STK|UTK菜单来操作各类金融应用。即使将来用户的手机操作系统被破解,感染恶意病毒,存储在钱袋宝扩展卡中的金融信息也不会失窃,因为钱袋宝扩展卡芯片内部设置了自我保护的熔断器机制,当遭到DPA/SPA等暴力破解时,芯片会马上自动熔断内部所有电路。

3. 多重密码保护

钱袋宝扩展卡在安装到用户手机后,一旦添加银行卡,将被强制要求设置登录密码。用户每次进入钱袋宝扩展卡的应用菜单都必须输入登录密码进行登录;钱袋宝扩展卡采用了超时自动退出设计,用户登录后,30秒内无操作将自动退出应用系统。当涉及银行卡操作,如转账、查询、消费时,必须输入相应银行卡账户的付款密码。

对于异常终端用户,钱袋宝服务器端可实现对于终端的快速锁定,对于锁定终端,用户即便拥有登录密码也无法登录进入钱袋宝扩展卡应用系统,直至卡片的锁定状态解除。

4. 与手机卡绑定

普通用户对移动支付产品的一个常见的问题是:如果我的手机丢了怎么办?钱袋宝扩展卡采用了金融芯片与手机卡一一绑定的策略,一旦激活使用,钱袋宝扩展卡只能在绑定的那张手机卡上使用。如果手机丢失,用户只需要新办一张手机卡,原来的钱袋宝扩展卡就会失效。

5. 实名认证

钱袋宝扩展卡启用了严格的实名认证流程,用户安装激活产品后,必须输入真实的姓名、身份证号码、身份证有效期等实名信息,通过验证后才能启用金融功能。同时,只有用户本人名下的银行卡才能绑定到钱袋宝扩展卡进行金融消费。

若用户愿意提供身份证复印件,将可获得更好的业务体验,如提交身份证复印件进行实名认证的用户,可以比未提交的用户获得更高的资金使用限额。

通过这类实名认证措施,既有效降低了金融欺诈风险,也让用户实实在在地感觉到了产品的安全,使用起来更加安心。

6. 通信及应用数据安全

钱袋宝扩展卡通过短信与后台进行通信,但不是我们常见的文字明文短信,而是经过加密的数据短信。

钱袋宝扩展卡的密钥体系完全遵循《中国金融集成电路(IC)卡规范》 ,对数据短信内容、报文的关键应用数据域,采用加密算法进行了加密传输并计算报文鉴别码,保证数据的安全传输,并通过通信层和应用层的报文校验码,保证数据短信内容在终端卡片和后台之间数据传输的完整性。同时,在个人化时每张卡片将由服务器端动态生成一个唯一的终端芯片序列号,终端芯片序列号作为应用报文数据的报文鉴别码计算因子,进一步加强卡端的加密级别,同时达到对卡端身份的确认作用。

安全、便捷两不误

衡量一个移动支付产品好坏的基本要素就是安全和便捷。钱袋宝扩展卡集成了多种先进的安全技术,既充分保证了用户金融数据的安全,又保留了极简的使用体验:无需安装客户端,全文字菜单操作,手机适配性极高。