来源: 作者: 发布时间:2015-04-22 14:40:19 字体:[大 中 小]
摘 要:4月22日-23日,2015中国移动支付产业论坛在北京召开,移动LABS作为大会战略合作媒体受邀现场直播。通付盾创始人兼CEO汪德嘉分享移动支付安全技术创新发展。
4月22日-23日,2015中国移动支付产业论坛在北京召开,移动LABS作为大会战略合作媒体受邀现场直播。通付盾创始人兼CEO汪德嘉分享移动支付安全技术创新发展。
通付盾创始人兼CEO汪德嘉
演讲速记:
汪德嘉是连续三年参加这个会议了,他记得2013年的时候,他们在这边做了移动支付的报告。今天他给大家汇报一下他们通付盾在移动支付,也就是移动金融这方面的一些最新的研究成果。
这是他跟大家分享的一个目录。众所周知,移动支付的发展现在已经到了一个起飞期,这里面包括手机银行的发展,还有APP、金融的发展。他也是从美国网站大会回来,今天其实是ISA的安全大会。
2014年银行的调查,发展很迅猛,但是也暴露了很多问题,用户很关系的是安全问题,包括隐私安全,财产安全。有一些数据,移动安全的重大威胁,前不久他们联合OWASP,还有一些安全厂商,发布了一个“十大移动应用恶意行为”,包括隐私窃取等等,不一一列举了。这里面有一个数据,大家可以在网上去查。它的威胁很大,有几类的,包括WIFI。总的来说,不外乎渠道、操作这几个方面,后来链条越来越短。加了一个WIFI,伪基站,还有二维码,这方面的一些有威胁的问题。
层次方面,他做了一些层次的归纳。比如用户的角度,从应用,从介质,从平台。移动金融呈现的方式其实还是APP,就是应用的安全、终端的安全,还有业务的安全这几块。有几个环节,比如用户的认证授权是不是被盗用了,数据的传输是不是被篡改了,业务是不是有风险。这些环节,这些环节都需要解决方案。
刚才解释了一下移动支付这个领域有一些风险。有一些环节存在风险。怎么样回避这些问题?方案百花齐放,他们不外乎就是下面几点。第一、认证授权。第二、令牌化。第三、HCE。第四、风险管理。
移动身份认证这一块的难题。包括下面几点:接口不统一、体验不统一、流程不统一、不对上层开放。但是,它的趋势就是身份认证可以广泛的认可,尤其是指纹的认证。在国际上现在有一个Fido的联盟,这个联盟国际上比如像金融机构,像手机厂商,包括安全厂商都积极参加。他们也是提供了一个成员,Fido是身份证快速认证的组织。它解决的是强身份验证设备之间缺乏协作,用户需要创建多个用户名、密码,其实它要代替密码,在线身份的识别这方面,这个组织解决这个问题。定义一个开发、可扩展、协作的机制,代替密码用于在线服务的身份验证。懒惰是人的本性,另外移动上有很多应用,怎么样在这些应用之间,统一的做身份认证,这是一个强烈的需求。这是认证授权这一块。
第二、Tokenization令牌化这个方向。什么是令牌?简单的说,将敏感的数据用唯一的标识来替代,并且要求在数学不可逆。以支付场景为例,就是将敏感信息用一串令牌数据替代,减少卡号的泄露机密。好的令牌需要满足业务的需求,可选的长度保留部分的信息,比如卡号后四位。实际上这是一个趋势。
令牌化到底解决什么问题?第一、保护了敏感信息,防范数据泄露。第二、减少支付数据系统的数目,减少PCI-DSS合规审核范围,减少合规费用。令牌化是以一种方向,一种趋势。它与加密有什么区别?加密是把敏感信息通过密钥完成,就是用户获得密钥的人,都可以保留敏感数据,通过密文其实可以还原敏感数据。令牌化和密文有一些区别。
令牌化的标准,美国国家标准学会,EMVCo五、PCI安全标准委员会,清算所协会等组织正在制定令牌化标准,2014年3月,EMVCo令牌化标准正在提供一些这方面的服务。刚才讲到认证的授权和令牌化这方面的。
第三、HCE的这个方向。是一种NFC功能设备上执行卡片模拟功能的技术,无需依赖安全单元,也被称为Cloud-Based SE,AndroidV4.4以上及BlackBerry OS10。移动支付摆脱运营商/手机生产厂商的限制。为了给用户,更方便,更便捷。HCE也有一些问题,怎么检测HCE的安全性?因为它毕竟是一个软件的东西,它的身份认证的安全,如何验证这个用户身份的授权,移动支付应用被逆向如何保护?特别是Android上。怎么认证?就是HCE的安全性。另外,数据的安全,旁边其实对于HCE安全也有一些相应的解决方案,其实他们也提供了。
第四、HCE是一种软件的方法。令牌化是把敏感信息进行随机化。认证授权是对身份的确认。这里面其实是端和网的一个相应的解决方案。另外其实就是云的,不管怎么样能做到100%,所以云端有一些风险管理的需求。这也是目前互联网金融,移动金融所面临的一些问题。
虚拟世界里面,移动应用有一个难题,移动应用是真实用户,还是一个机器人,这个APP是在模拟器上运行,还是在真正设备上运行。所以,这里面有一些难题。比如,有些黑客采用程序模型操作,重复执行操作,有的通过爬虫获取系统数据,尝试系统漏洞。过去在开放的平台上,而且在移动上面其实也有很多不法分子破坏这个系统。第一、真实的用户还是机器人?第二、真实的帐号还是假的?比如刷信用,养小号,僵尸粉已经非常成熟了,还有病毒、木马盗取帐号、密码、威胁帐号安全。第三、是不是有真实的风险,模拟器,VPN,代理,等方式。
移动支付安全威胁的几个例子。第一、假冒12306、病毒伪装成12306订票软件。第二、模拟器,这里面是一个银行的APP,相当于一个营销活动。有些不法分子通过模拟器利用这个营销活动获得利益,这个活动是基于帐号、地区的限制。
移动支付风险管理反欺诈的技术。目前它的趋势,国际上向大数据的方向发展,在云的方向发展,这也是与他们论坛的主题“大数据开启移动支付新时代”相切合的。它从数据和系统,多方面识别伪造,发现异常,挖掘观点,有效的管理创新金融业务面临的安全风险。
在网络世界里面,很重要的一点,到底用户是不是真的?到底帐号是不是真的,设备是不是真的,数据是不是真的,信誉是不是真的,因为信誉也可以刷,其实有很多挑战。他们经过多年的积累有一个数据库,这个数据库非常大,他们叫网籍库,是针对网络设备,到底设备是不是真实的,某一个地方有欺诈行为,他们会记录下来,然后给它做画像评分。
前面讲的是发展趋势,移动支付在起飞期,移动金融是移动支付的一种形态,现在的发展越来越迅猛,几个技术就是从身份认证,从令牌化,从HCE,从风险管理的角度介绍了一下。
通付盾公司简介。他们是一个解决方案提供商,这里面很多参会者可能你们也想做移动金融、移动支付,他们可以给你们提供这个解决方案。他们这个公司已经成立第四个年头了,他们做了云、管、端,是他们团队给大家提供解决方案,有这个需求,可以到他们的网站,也可以联系他们的客服。可能有的人在移动安全方面有需求,比如APP安全度的扫描,第三方注册的安全,这边他们有解决方案,可以把第三方隐藏的异常操作都能扫描出来。还有Android应用,或者IOS应用,有加固、加密的需求,他们有这方面的解决方案。假如有移动支付,特别是O2O支付的需求,比如二维码支付不安全,但是可以把二维码支付做的非常安全,他们有盾码这个技术,二维码其实就是一个信息的载体,他们把这个码供起来,像孙悟空七十二变,这个变化能够加强黑客入侵的难度,就是安全二维码支付更安全。第三、可以有网络征信,还有安全咨询服务。
他们目标客户是互联网金融、移动支付、移动办公、智慧城市、智慧教育,智慧交通、智慧医疗,提供灵活多样的安全解决方案。他们是基础的一些产品,根据你们的需求,给你们提供解决方案。这是他们整个一套体系。
在这个会上他们想发布他们CyberIntelli的产品,是他们在国内试运行三年多的产品。CyberIntelli是中国第一家非常灵活的自学习的Predictive和Actionable,可预测的,可操作的网络身份识别和反欺诈的系统,这里面包括反欺诈的数据服务。这是他们的一些功能,你们可以去预测,然后可以去体验。