2016年为全球移动支付服务爆发年,随之带动金融安全挑战,中国期望透过标准、技术、政策、创新等方向聚焦移动支付安全。
目前中国央行联合六部委共同整治非法买卖金融卡资讯,以进一步完善金融业之生态管理体系和风险控管机制。
一. 安全仍是使用者採用移动支付之最大疑虑
透过智慧型手机进行交易之移动支付快速发展,由于移动支付提供相较于传统支付方式更便利、更快速的交易模式,加上全球移动商务蓬勃发展,使得电子支付逐渐普及。
然而随着新创商业模式兴起,在各类支付工具与技术发展下,使付款情境趋向多元,其中衍生资安漏洞及金融犯罪事件更是频传,另即将进入万物联网的时代,消费者有更多连网装置,预期2017年仍要持续防范智慧移动装置受攻击事件。
由于移动支付产业链牵涉多类型业者,其生态系统宽广复杂,整体流程包括从店家到银行,从移动装置到POS(Point of Sale)系统,各个环节间的合作更显重要。
另一方面,移动支付系统种类繁多,採用技术不尽相同,若要建立统一适用之安全交易型态并不容易,但用户在使用移动支付时的安全疑虑,的确需要被重视,尤其交易过程牵涉金流,多数手机用户期待有更多的安全防护解决方案。
二. 建构安全多元的支付环境,安全技术防护少不了
目前移动支付安全风险,分为来自外部攻击与内部风险。
1、外部主要包括钓鱼网站应用、盗版应用、木马病毒(Trojan Horse)、诈骗短讯等造成的安全漏洞。
2、内部则包括移动金融App应用安全、手机作业系统漏洞及移动支付系统服务缺口,因此唯有透过不断提升身份认证,以保障移动支付整个过程的安全。
包括在身份鉴定上採用金钥管理,强调认证性、机密性、完整性、不可否认性,透过加密晶片到认证中心过程,得到认证金钥,使用组合对称(单钥)金钥演算法,将有关认证数据传给移动支付中心,并建立基于对称密码演算法之认证/签名和加密协定,过程中的认证皆在晶片中完成。
基本上,移动支付安全架构分为3大部分。包括从底层的终端安全和中层通讯网路安全及最上层的云端平台安全。
1、终端安全主要涵盖包括硬体、数据、通讯、应用及操作系统安全,为第一道防护,多採用晶片内建或硬体层级之基础安全功能;
2、第二层通讯网路安全则包括各种无线通讯技术,例如Wi-Fi、移动网路、NFC、蓝牙等,由于通讯网路中有不同的传输媒体与拓朴,在资料传输过程中之安全防护,避免篡改、拦截、伪造资讯传输及伪造身份资讯进行攻击。
3、至于在云端平台安全上,涵盖TSM(Trusted Service Manager)平台、应用平台及支付平台,其中TSM平台建置对于移动支付推广非常重要,TSM平台针对卡片管理、应用对接等具有关键角色,因此移动支付发展将带来安全技术的崛起。
联系我们 邮箱:admin@hongwe.com.cn 电话:13916986908 |
