物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊

通付盾汪德嘉:移動支付安全技術(shù)創(chuàng)新發(fā)展

作者:本站采編
來源:移動 LABS
日期:2015-04-22 14:40:18
摘要:4月22日-23日,2015中國移動支付產(chǎn)業(yè)論壇在北京召開,移動LABS作為大會戰(zhàn)略合作媒體受邀現(xiàn)場直播。通付盾創(chuàng)始人兼CEO汪德嘉分享移動支付安全技術(shù)創(chuàng)新發(fā)展。
關(guān)鍵詞:HCE移動支付支付安全

  4月22日-23日,2015中國移動支付產(chǎn)業(yè)論壇在北京召開,移動LABS作為大會戰(zhàn)略合作媒體受邀現(xiàn)場直播。通付盾創(chuàng)始人兼CEO汪德嘉分享移動支付安全技術(shù)創(chuàng)新發(fā)展。

4月22日-23日,2015中國移動支付產(chǎn)業(yè)論壇在北京召開,移動LABS作為大會戰(zhàn)略合作媒體受邀現(xiàn)場直播。通付盾創(chuàng)始人兼CEO汪德嘉分享移動支付安全技術(shù)創(chuàng)新發(fā)展。

  通付盾創(chuàng)始人兼CEO汪德嘉

  演講速記:

  汪德嘉是連續(xù)三年參加這個會議了,他記得2013年的時候,他們在這邊做了移動支付的報告。今天他給大家匯報一下他們通付盾在移動支付,也就是移動金融這方面的一些最新的研究成果。

  這是他跟大家分享的一個目錄。眾所周知,移動支付的發(fā)展現(xiàn)在已經(jīng)到了一個起飛期,這里面包括手機銀行的發(fā)展,還有APP、金融的發(fā)展。他也是從美國網(wǎng)站大會回來,今天其實是ISA的安全大會。

  2014年銀行的調(diào)查,發(fā)展很迅猛,但是也暴露了很多問題,用戶很關(guān)系的是安全問題,包括隱私安全,財產(chǎn)安全。有一些數(shù)據(jù),移動安全的重大威脅,前不久他們聯(lián)合OWASP,還有一些安全廠商,發(fā)布了一個“十大移動應(yīng)用惡意行為”,包括隱私竊取等等,不一一列舉了。這里面有一個數(shù)據(jù),大家可以在網(wǎng)上去查。它的威脅很大,有幾類的,包括WIFI??偟膩碚f,不外乎渠道、操作這幾個方面,后來鏈條越來越短。加了一個WIFI,偽基站,還有二維碼,這方面的一些有威脅的問題。

  層次方面,他做了一些層次的歸納。比如用戶的角度,從應(yīng)用,從介質(zhì),從平臺。移動金融呈現(xiàn)的方式其實還是APP,就是應(yīng)用的安全、終端的安全,還有業(yè)務(wù)的安全這幾塊。有幾個環(huán)節(jié),比如用戶的認(rèn)證授權(quán)是不是被盜用了,數(shù)據(jù)的傳輸是不是被篡改了,業(yè)務(wù)是不是有風(fēng)險。這些環(huán)節(jié),這些環(huán)節(jié)都需要解決方案。

  剛才解釋了一下移動支付這個領(lǐng)域有一些風(fēng)險。有一些環(huán)節(jié)存在風(fēng)險。怎么樣回避這些問題?方案百花齊放,他們不外乎就是下面幾點。第一、認(rèn)證授權(quán)。第二、令牌化。第三、HCE。第四、風(fēng)險管理。

  移動身份認(rèn)證這一塊的難題。包括下面幾點:接口不統(tǒng)一、體驗不統(tǒng)一、流程不統(tǒng)一、不對上層開放。但是,它的趨勢就是身份認(rèn)證可以廣泛的認(rèn)可,尤其是指紋的認(rèn)證。在國際上現(xiàn)在有一個Fido的聯(lián)盟,這個聯(lián)盟國際上比如像金融機構(gòu),像手機廠商,包括安全廠商都積極參加。他們也是提供了一個成員,F(xiàn)ido是身份證快速認(rèn)證的組織。它解決的是強身份驗證設(shè)備之間缺乏協(xié)作,用戶需要創(chuàng)建多個用戶名、密碼,其實它要代替密碼,在線身份的識別這方面,這個組織解決這個問題。定義一個開發(fā)、可擴展、協(xié)作的機制,代替密碼用于在線服務(wù)的身份驗證。懶惰是人的本性,另外移動上有很多應(yīng)用,怎么樣在這些應(yīng)用之間,統(tǒng)一的做身份認(rèn)證,這是一個強烈的需求。這是認(rèn)證授權(quán)這一塊。

  第二、Tokenization令牌化這個方向。什么是令牌?簡單的說,將敏感的數(shù)據(jù)用唯一的標(biāo)識來替代,并且要求在數(shù)學(xué)不可逆。以支付場景為例,就是將敏感信息用一串令牌數(shù)據(jù)替代,減少卡號的泄露機密。好的令牌需要滿足業(yè)務(wù)的需求,可選的長度保留部分的信息,比如卡號后四位。實際上這是一個趨勢。

  令牌化到底解決什么問題?第一、保護(hù)了敏感信息,防范數(shù)據(jù)泄露。第二、減少支付數(shù)據(jù)系統(tǒng)的數(shù)目,減少PCI-DSS合規(guī)審核范圍,減少合規(guī)費用。令牌化是以一種方向,一種趨勢。它與加密有什么區(qū)別?加密是把敏感信息通過密鑰完成,就是用戶獲得密鑰的人,都可以保留敏感數(shù)據(jù),通過密文其實可以還原敏感數(shù)據(jù)。令牌化和密文有一些區(qū)別。

  令牌化的標(biāo)準(zhǔn),美國國家標(biāo)準(zhǔn)學(xué)會,EMVCo五、PCI安全標(biāo)準(zhǔn)委員會,清算所協(xié)會等組織正在制定令牌化標(biāo)準(zhǔn),2014年3月,EMVCo令牌化標(biāo)準(zhǔn)正在提供一些這方面的服務(wù)。剛才講到認(rèn)證的授權(quán)和令牌化這方面的。

  第三、HCE的這個方向。是一種NFC功能設(shè)備上執(zhí)行卡片模擬功能的技術(shù),無需依賴安全單元,也被稱為Cloud-Based SE,AndroidV4.4以上及BlackBerry OS10。移動支付擺脫運營商/手機生產(chǎn)廠商的限制。為了給用戶,更方便,更便捷。HCE也有一些問題,怎么檢測HCE的安全性?因為它畢竟是一個軟件的東西,它的身份認(rèn)證的安全,如何驗證這個用戶身份的授權(quán),移動支付應(yīng)用被逆向如何保護(hù)?特別是Android上。怎么認(rèn)證?就是HCE的安全性。另外,數(shù)據(jù)的安全,旁邊其實對于HCE安全也有一些相應(yīng)的解決方案,其實他們也提供了。

  第四、HCE是一種軟件的方法。令牌化是把敏感信息進(jìn)行隨機化。認(rèn)證授權(quán)是對身份的確認(rèn)。這里面其實是端和網(wǎng)的一個相應(yīng)的解決方案。另外其實就是云的,不管怎么樣能做到100%,所以云端有一些風(fēng)險管理的需求。這也是目前互聯(lián)網(wǎng)金融,移動金融所面臨的一些問題。

  虛擬世界里面,移動應(yīng)用有一個難題,移動應(yīng)用是真實用戶,還是一個機器人,這個APP是在模擬器上運行,還是在真正設(shè)備上運行。所以,這里面有一些難題。比如,有些黑客采用程序模型操作,重復(fù)執(zhí)行操作,有的通過爬蟲獲取系統(tǒng)數(shù)據(jù),嘗試系統(tǒng)漏洞。過去在開放的平臺上,而且在移動上面其實也有很多不法分子破壞這個系統(tǒng)。第一、真實的用戶還是機器人?第二、真實的帳號還是假的?比如刷信用,養(yǎng)小號,僵尸粉已經(jīng)非常成熟了,還有病毒、木馬盜取帳號、密碼、威脅帳號安全。第三、是不是有真實的風(fēng)險,模擬器,VPN,代理,等方式。

  移動支付安全威脅的幾個例子。第一、假冒12306、病毒偽裝成12306訂票軟件。第二、模擬器,這里面是一個銀行的APP,相當(dāng)于一個營銷活動。有些不法分子通過模擬器利用這個營銷活動獲得利益,這個活動是基于帳號、地區(qū)的限制。

  移動支付風(fēng)險管理反欺詐的技術(shù)。目前它的趨勢,國際上向大數(shù)據(jù)的方向發(fā)展,在云的方向發(fā)展,這也是與他們論壇的主題“大數(shù)據(jù)開啟移動支付新時代”相切合的。它從數(shù)據(jù)和系統(tǒng),多方面識別偽造,發(fā)現(xiàn)異常,挖掘觀點,有效的管理創(chuàng)新金融業(yè)務(wù)面臨的安全風(fēng)險。

  在網(wǎng)絡(luò)世界里面,很重要的一點,到底用戶是不是真的?到底帳號是不是真的,設(shè)備是不是真的,數(shù)據(jù)是不是真的,信譽是不是真的,因為信譽也可以刷,其實有很多挑戰(zhàn)。他們經(jīng)過多年的積累有一個數(shù)據(jù)庫,這個數(shù)據(jù)庫非常大,他們叫網(wǎng)籍庫,是針對網(wǎng)絡(luò)設(shè)備,到底設(shè)備是不是真實的,某一個地方有欺詐行為,他們會記錄下來,然后給它做畫像評分。

  前面講的是發(fā)展趨勢,移動支付在起飛期,移動金融是移動支付的一種形態(tài),現(xiàn)在的發(fā)展越來越迅猛,幾個技術(shù)就是從身份認(rèn)證,從令牌化,從HCE,從風(fēng)險管理的角度介紹了一下。

  通付盾公司簡介。他們是一個解決方案提供商,這里面很多參會者可能你們也想做移動金融、移動支付,他們可以給你們提供這個解決方案。他們這個公司已經(jīng)成立第四個年頭了,他們做了云、管、端,是他們團(tuán)隊給大家提供解決方案,有這個需求,可以到他們的網(wǎng)站,也可以聯(lián)系他們的客服??赡苡械娜嗽谝苿影踩矫嬗行枨?,比如APP安全度的掃描,第三方注冊的安全,這邊他們有解決方案,可以把第三方隱藏的異常操作都能掃描出來。還有Android應(yīng)用,或者IOS應(yīng)用,有加固、加密的需求,他們有這方面的解決方案。假如有移動支付,特別是O2O支付的需求,比如二維碼支付不安全,但是可以把二維碼支付做的非常安全,他們有盾碼這個技術(shù),二維碼其實就是一個信息的載體,他們把這個碼供起來,像孫悟空七十二變,這個變化能夠加強黑客入侵的難度,就是安全二維碼支付更安全。第三、可以有網(wǎng)絡(luò)征信,還有安全咨詢服務(wù)。

  他們目標(biāo)客戶是互聯(lián)網(wǎng)金融、移動支付、移動辦公、智慧城市、智慧教育,智慧交通、智慧醫(yī)療,提供靈活多樣的安全解決方案。他們是基礎(chǔ)的一些產(chǎn)品,根據(jù)你們的需求,給你們提供解決方案。這是他們整個一套體系。

  在這個會上他們想發(fā)布他們CyberIntelli的產(chǎn)品,是他們在國內(nèi)試運行三年多的產(chǎn)品。CyberIntelli是中國第一家非常靈活的自學(xué)習(xí)的Predictive和Actionable,可預(yù)測的,可操作的網(wǎng)絡(luò)身份識別和反欺詐的系統(tǒng),這里面包括反欺詐的數(shù)據(jù)服務(wù)。這是他們的一些功能,你們可以去預(yù)測,然后可以去體驗。

人物訪談