化学试剂批发厂家
免费服务热线

Free service

hotline

010-00000000
化学试剂批发厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

陈谨运移动支付领域安全建设的参考标准

发布时间:2021-01-16 21:07:11 阅读: 来源:化学试剂批发厂家

2011年4月14日,“2011第三届中国移动支付产业论坛”正式召开。

主持人:下面,有请atsec高级咨询顾问陈谨运发言。

陈谨运:大家好!我是来自atsec的陈谨运,非常高性能代表atsec跟大家就移动支付进行探讨。我的主题是“移动支付领域安全建设的参考标准”。

在开始之前,让我们简单回顾一下目前国内移动支付的方案。就目前而言,国内移动支付讨论最多的有四大方案,据我的了解目前国内很多专家、学者已经着手在制定移动支付领域的安全标准。看完了国内的移动支付方案不知道大家是否想了解一下目前国外移动支付领域到底有什么样的趋势?

右边的图是国外目前比较时尚的一种支付方式,这种技术在行业内叫做Spuaer,可以插到手机当中允许用户手机信用卡的支付,作为最终用户的我们可能不禁会想,真的相信这些移动支付手段确保我的信息安全吗?从国内外移动支付技术高速发展的现状来看,信息安全无疑已经成为了一个非常重要的问题。

对移动支付我们总结了一下目前大体面临如下问题:移动支付和信用卡支付面临的安全问题一样,怎样保护移动支付领域的敏感信息成为重要的问题。标准体系的健全以及技术的支撑,制约着移动支付技术的发展。作为第三方评测实验室,我们建议在移动支付领域当中引入或参考PCI DSS。合规评测和验证体系有待完善,缺乏权威且公正的验证或审核机构和独立的第三方评测机构。

对于上述的安全问题,atsec结合了自身在安全领域的成功经验,我们觉得安全标准能为移动支付安全标准提供好的规范。移动支付产业涉及到不同的角色,对于不同的支付环节我们认为可以参考不同的安全标准,作为移动支付最核心的数据安全保护问题,可以参考140-2密码模块设计实现安全标准,第三方支付应用软件可以借助软件、硬件或固件的数据安全评估标准,对于目前国内讨论最多的非接技术,ISO/IEC14443无疑是参考的主要标准。

对于无论是传统的支付方式还是现在我们所讨论的移动支付,怎样对数据进行安全保护无疑是最重要的问题。而作为数据保护当中永恒的话题,加密技术对移动支付而言就显得尤为重要了。根据国际领域知名厂商的广泛接受程度,已经将atsec的成功经验,我们认为FIPS140-2这个标准能够为用户安全标准提供很好的规范。它是由美国NIST所发布的针对密码模块的安全标准。什么是密码模块?所谓的密码模块是硬件、软件或固件的集合,这种模块在一定的系统边界内实现了安全功能。

或许大家都会问到FIPS140-2这样的标准,能够为移动支付产业带来怎样的实质价值?是的,这也是我们一直在思考的一个问题,FIPS140-2可以帮助解决移动支付的数据保护问题,比如采用什么样类型的加密算法?使用多长的加密密钥?怎样建立安全的通信机制?如何确保数据在传输过程中不被篡改等问题。同时FIPS140-2能够为厂商验证密码的正确性以及解决密钥管理等安全问题。另外FIPS140-2认证对于厂商进行海外市场法,尤其是欧美发达国家都非常有帮助,进入都需要FIPS140-2的认证。

下面我们简单看一下FIPS140-2的发展历史,FIPS140-2源自于美国联邦标准1027-1994年演变为FIPS140-2,2001年正式发布了目前正在使用的FIPS140-2,到现在FIPS140-3讨论版本没正式发布,从发展周期来看FIPS140是非常稳定的关注在密码和数据保护方面的标准,有着非常强的适用性。FIPS140-2一共有11个要求,这些要求重点关注在密码模块的端口和接口,物理安全、密钥管理、EMI/EMC电磁辐射安全等领域,关于要求和难以程度FIPS140-2可以将认证分为1-4级,从图中我们可以看到不同的认证级别对于安全要求是有所不同的。

对于FIPS140-2的测试和认证流程大体如下,首先密码模块的厂商训练寻找像atsec一样授权的FIPS140-2实验室,然后由实验室出具相应的报告,所有的问题都由实验室将厂商讨论确定后进行澄清。报告审核后会为厂商颁布认证证书,并列到官方网站中去。

前面介绍讲述的FIPS140-2是关注在数据安全的最基本的保护,而对于移动支付网络和支付应用的程序安全问题,我们认为PCI DSS、PA DSS很重要,我们同事之前对它进行过深入的介绍。为了保证PCI DSS的质量,所有进行PCI DSS的合规评估工作都需要获得标委会的资质授权,包括QOSAC和安全性评估机构,合规安全性评估以及ASV授权扫描服务商,atsec同时拥有上述的4种资质,目前而言PCI DSS2.0版本已经与2010年的10月份正式发布,2.0版本过度期限为一年时间,也就意味着2011年10月份之前大家可以使用2.0版本进行评估。

为什么会选择PCI DSS?为什么PCI DSS能够为移动支付的安全建设提供参考呢?我想可以从下面三个方面进行说明。对于PCI DSS的根本要求是如何保护持卡人数据,并规定哪些数据可以存储,但需要保护,哪些数据是在任何情况下都不能存储的。信用卡可以包含两大信息,包括完整的主帐号,持卡人姓名,服务代码以及有效期,另一类是不允许储存的敏感数据,包括完整的磁条信息,从PCI DSS的根本要求来看,它可以为移动支付产业制定保护对象,以及对该对象如果进行保护,提供参考和指引。

第二方面,PCI DSS V2.0可以分为6类12大要求,这12大要求分别从网络架构的规划,使用安全的密码策略和安全参数设置,传输加密、远程访问、定期监控和测试网络的安全性、安全管理,以及如何保证持卡人数据方方面面的要求,构建一个安全的网络环境,这值得指出的是PCI DSS在关于如何保护持卡人数据上,要求使用FIPS140-2所认可的强加密的安全算法。从PCI DSS上述的12大要求可以看到,或许我们可以参考或希望为移动支付的网络安全建设提供指导。

第三方面,从PCI DSS产业链以及产业联盟的角度来产出PCI DSS为移动支付带来的价值,对于5个决策的要求大体上是一致的,截至2011年3月24日以前已经差不多600多个机构参与到支付卡当中,从现在的情况PCI占据了绝大部分数量,但亚洲和欧洲PCI的发展是非常迅速的,从PCI的产业链和产业联盟的角度来看,它与移动支付的产业链非常相似,在移动支付当中我们可能会包含如下的角色。用户、电信运营商、第三方支付公司、商户、银行,PCI无疑可以为构建国内移动支付产业联盟提供了最好的参考实例。

到这里或许大家都打着一个问号,我前面提到的PCI DSS就能够完全解决移动支付这个产业链上的所有问题吗?PCI DSS能够解决细到软件层面的安全问题吗?对于这个问题我想用一个词语“术业有专攻”来回答,PCI DSS是从网络架构、配置和管理流程等方面去确保持卡人数据的安全,对于软件层面的安全PA DSS会更加适用,什么是PA DSS?PA DSS是面向支付软件供应商所设计的安全要求,这个标准的目的是为了让客户更好的满足PCI DSS的要求,PA DSS适用于第三方支付应用,这些支付应用可能会涉及到授权、清算结算过程中对持卡人数据的存储、传输和处理。

什么样的应用算是第三方支付应用呢?我这里举一个简单的例子,我们刚刚与杭州东信共同完成了PA DSS验证的PCI公共平台,就属于一个第三方支付应用,这个平台就有点类似于操作系统,用户可以在该平台上的基础上运用开发,该平台会涉及到信用卡的授权、清算和结算流程,在这些流程当中会涉及到对持卡人数据的存储、传输和处理等操作。

PA DSS V2.0包含了13大要求,对于下述的要求或许大家都觉得非常熟悉,是的,这13大要求与前面提到的PCI DSS 12大要求是非常相似的,不同的是PA DSS重点关注在支付应用的软件设计开发、安全编码、测试等环节,这13大要求包括保护持卡人数据、开发安全的支付应用程序、增强支付应用远程访问的安全性,等方方面面的问题。从PA DSS的13大要求不难看出,PA DSS的价值在于能够为移动支付中第三方支付应用提供强有力的安全保障,以确保支付应用在方方面面能够确保用户数据的安全。

以下几则是来自VISA的消息,对PA DSS有两个强制的时间节点,2012年7月1日之前所有商户必须使用PA DSS的合规应用支付软件,另外一则消息如果满足下述条件将不用满足PA DSS合规的情况,这里需要强调的是PA DSS并没有失去它的价值,PA DSS仍然是非常重要的,只不过VISA应用了另外一个EMV标准确保用户的安全。什么是EMV?EMV规范的是由Europay、万事达卡、VISA三大国际组织联合制定的IC卡支付应用标准。为什么VISA和其它卡品牌会对EMV进行推广呢?从下面这张图大家可以发现目前我们正在使用的信用卡其实并不是安全的,图中展示了信用卡的磁条信息,里面包含了两个非常重要的卡元素,完整的卡号和CVC、CVV等信息,大家可能都知道,只要有上述这两个信息任何用户就可以对信用卡进行支付的操作。在这张图中,我们可以看到,目前全球范围内EMV迁移的状况,非常庆幸的看到中国正在试行和推广EMV工作,银行和各大卡片生产商已经走在了最前沿,作为第三方独立的安全实验室atsec正在积极成为EMV的检测实验室,希望日后能够为EMV领域的安全检测贡献力量。

接下来,我希望通过分享几张图片让大家对atsec有更深入的了解。这是atsec的能力工具箱的展示,箱子里面形象的反映了atsec服务于信息安全领域的能力和技能。atsec这个名字是源自意大利语“篮子”,也就是atsec倒过来的一个单词cesta,创始人希望创造一个专家之篮,为用户提供定制化的服务,图中罗列出了atsec篮子里面精心为客户烹饪的一道道佳肴。下面是一张安全标准的地铁图,我们认为各个安全标准之间是能够相互联通的,在atsec你可以把不同的安全标准很好的联系起来。另外跟大家分享一个激动人心的消息,atsec已经获得了生物识别实验室的认证,我们希望在日后与各位在生物识别领域展开深度的合作。

最后我想用两句话对我今天所述的内容进行总结:移动支付产业链涉及多个不同的角色,整体产业链的共同合规建设和遵循同等的安全防护级别能够加速移动支付的推广。atsec愿与各位一道推动国内移动支付产业发展贡献力量。我们在外面设立了展台,那里有我们资深的顾问进行现场解答,感谢大家的莅临、旁听,谢谢!

力量与荣耀破解版

乐盈彩app最新版下载

仙魔变

皇室战争修改器葫芦侠