移動(dòng)支付安全保障挑戰(zhàn)與機(jī)遇
作者:北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)系主任 陳鐘
?
我國(guó)移動(dòng)支付系列標(biāo)準(zhǔn)即將推出����,但還不能夠解決所有可預(yù)見(jiàn)的安全問(wèn)題�,特別是未來(lái)出現(xiàn)的新問(wèn)題。終端安全威脅還遠(yuǎn)沒(méi)有得到有效的控制����。
移動(dòng)支付突破了傳統(tǒng)電子商務(wù)的載體和地域限制�����,真正實(shí)現(xiàn)隨時(shí)隨地地通過(guò)無(wú)線方式進(jìn)行交易�,大大增強(qiáng)了買賣雙方的靈活性和支付性,從而使大規(guī)模用戶參與和個(gè)性化服務(wù)成為可能。因此也成為各類服務(wù)提供商競(jìng)相爭(zhēng)奪的新型服務(wù)市場(chǎng)之一,也是國(guó)際國(guó)內(nèi)技術(shù)�����、產(chǎn)品�����、業(yè)務(wù)����、商業(yè)模式創(chuàng)新最活躍的領(lǐng)域之一�����。
國(guó)際上移動(dòng)支付發(fā)展起步較早發(fā)展十分迅速���。據(jù)市場(chǎng)分析機(jī)構(gòu)Juniper Research預(yù)計(jì)��,到2013年全球移動(dòng)支付市場(chǎng)規(guī)模將達(dá)到6000億美元,具有手機(jī)錢包功能的手機(jī)擁有量將從目前的5000萬(wàn)部增長(zhǎng)到7億部����。
移動(dòng)支付也是技術(shù)創(chuàng)新�、標(biāo)準(zhǔn)跟進(jìn)最為活躍的領(lǐng)域之一��。美國(guó)和歐洲在移動(dòng)支付領(lǐng)域涌現(xiàn)出一批創(chuàng)新的企業(yè)吸引著投資�����,兼并收購(gòu)也非常活躍,如Square�、FigCard、Boku�����、zatawire等����。另外,許多大型互聯(lián)網(wǎng)企業(yè)也在大力推進(jìn)一批項(xiàng)目�,都在這一領(lǐng)域?qū)ふ倚律虣C(jī)����。移動(dòng)支付技術(shù)體制與安全挑戰(zhàn) 隨著移動(dòng)終端軟硬件技術(shù)的發(fā)展�,惡意代碼技術(shù)也在不斷發(fā)展。例如:x臥底軟件可以監(jiān)聽(tīng)用戶通話���,秘密讀取短信信息�、日志和郵件�,讀取手機(jī)GPS位置信息,轉(zhuǎn)發(fā)所有郵件到另一個(gè)郵箱����,通過(guò)SMS遠(yuǎn)程控制所有手機(jī)功能等��。再如:碎屏軟件內(nèi)含吸費(fèi)模塊,通常通過(guò)有吸引力的游戲等應(yīng)用中隱藏,或通過(guò)在原廠商安裝軟件的修改和捆綁來(lái)侵入用戶終端系統(tǒng)��。竊取用戶的賬號(hào)和密碼是攻擊者首選的攻擊手段之一����,這是因?yàn)榇蟛糠值闹Ц稇?yīng)用僅基于用戶賬號(hào)和密碼的鑒別技術(shù)。通過(guò)靜態(tài)篡改應(yīng)用代碼和界面誘騙用戶輸入其賬號(hào)和密碼,從而達(dá)到竊取賬號(hào)密碼的目的����。更進(jìn)一步�����,動(dòng)態(tài)截取用戶賬號(hào)和密碼的攻擊案例也已經(jīng)出現(xiàn)����,迫使系統(tǒng)軟件和應(yīng)用軟件的開(kāi)發(fā)者提供系統(tǒng)安全增強(qiáng)方案。
針對(duì)靜態(tài)竊取威脅���,主要通過(guò)安全控件技術(shù)對(duì)移動(dòng)支付安全插件、密碼保護(hù)插件等進(jìn)行安全防護(hù)��;針對(duì)動(dòng)態(tài)竊取威脅���,主要包括對(duì)安全通道的防護(hù)技術(shù)�����,包括應(yīng)用完整性檢測(cè)����、惡意軟件防護(hù)�、系統(tǒng)安全環(huán)境監(jiān)控、通道安全監(jiān)控等���。
安全通道和安全控件的協(xié)同防護(hù)是應(yīng)對(duì)移動(dòng)支付系統(tǒng)安全威脅的重要保障。安全通道提供安全的運(yùn)行環(huán)境�����,移動(dòng)支付安全插件運(yùn)行在此安全環(huán)境中�����,從而達(dá)到安全保障增強(qiáng)目的�����。安全通道對(duì)于移動(dòng)支付安全插件是透明的����,也就是說(shuō),即使沒(méi)有安全通道,移動(dòng)支付安全插件也可以正常運(yùn)行,但安全性會(huì)降低。
從軟件工程的角度來(lái)看�,移動(dòng)支付系統(tǒng)是依托移動(dòng)終端設(shè)備��、通信網(wǎng)絡(luò)和后臺(tái)處理共同組成的完整的支付軟件系統(tǒng)。終端設(shè)備用于移動(dòng)支付的硬件技術(shù)體制大致劃分為兩種主流方案,DI—SIM和NFC方案���。移動(dòng)支付系統(tǒng)按照技術(shù)特點(diǎn)來(lái)分大致可以分成4類:基于SMS的系統(tǒng)、基于WAP的系統(tǒng)、基于I—mode的系統(tǒng)和基于J2ME的系統(tǒng)。其中終端設(shè)備中移動(dòng)支付軟件部署的位置分布包括:SIM卡中��、手機(jī)定制應(yīng)用軟件��、手機(jī)OS之上的應(yīng)用軟件�、手機(jī)瀏覽器擴(kuò)展插件等幾種類型����。
概括來(lái)講,智能手機(jī)移動(dòng)支付安全問(wèn)題包含以下三大方面。
終端安全:主要威脅包括系統(tǒng)后門/漏洞導(dǎo)致的惡意軟件危害�、非法訪問(wèn)文件系統(tǒng)等���。
通信安全:直接連接的釣魚網(wǎng)站����、密碼短信攔截、交易確認(rèn)信息攔截��、中間數(shù)據(jù)被竊取等����。
程序自身的安全:程序代碼被靜態(tài)或動(dòng)態(tài)篡改、中間數(shù)據(jù)被篡改或盜取�,特別重要的是程序輸入輸出接口的安全性——密碼輸入控件��、驅(qū)動(dòng)的安全性保障�。
安全技術(shù)創(chuàng)新機(jī)遇
機(jī)遇之一:在研究評(píng)價(jià)現(xiàn)有安全威脅的基礎(chǔ)上提供系統(tǒng)安全增強(qiáng)方案
正像個(gè)人計(jì)算時(shí)代軟件技術(shù)發(fā)展過(guò)程一樣,手機(jī)平臺(tái)隨著網(wǎng)絡(luò)和計(jì)算功能比重加大,安全威脅與安全防護(hù)技術(shù)相伴而生、相對(duì)發(fā)展����。目前��,一些有關(guān)移動(dòng)支付安全插件、密碼保護(hù)插件技術(shù)、程序安裝保護(hù)技術(shù)已經(jīng)開(kāi)始出現(xiàn),一批針對(duì)應(yīng)用完整性檢測(cè)、惡意軟件防護(hù)�、系統(tǒng)安全環(huán)境監(jiān)控�����、通道安全監(jiān)控的技術(shù)和產(chǎn)品已經(jīng)現(xiàn)有的系統(tǒng)中發(fā)揮一定的作用。
機(jī)遇之二:構(gòu)建網(wǎng)絡(luò)化操作系統(tǒng)安全體系
2008年����,北京大學(xué)網(wǎng)絡(luò)和軟件安全保障教育部重點(diǎn)實(shí)驗(yàn)室作為安全機(jī)制和系統(tǒng)研究的負(fù)責(zé)單位參與了“面向新型網(wǎng)絡(luò)應(yīng)用模式的網(wǎng)絡(luò)化操作系統(tǒng)”核高基重大專項(xiàng)�,設(shè)計(jì)實(shí)現(xiàn)了一套身份管理服務(wù)��,包括標(biāo)識(shí)密碼算法和實(shí)現(xiàn)��,用實(shí)現(xiàn)以用戶為中心的標(biāo)識(shí)管理機(jī)制、用戶普適的身份認(rèn)證技術(shù)、面向服務(wù)的授權(quán)和訪問(wèn)控制技術(shù)�、網(wǎng)絡(luò)化操作系統(tǒng)代碼可信分發(fā)技術(shù)���,實(shí)現(xiàn)了組合公鑰的硬件化和服務(wù)化���、以用戶為中心的標(biāo)識(shí)管理��、環(huán)境和設(shè)備感知的身份認(rèn)證、基于屬性細(xì)粒度的訪問(wèn)控制、代碼可信分發(fā)機(jī)制�����。相關(guān)技術(shù)和系統(tǒng)的研究與應(yīng)用對(duì)于系統(tǒng)化��、體系化解決移動(dòng)支付系統(tǒng)安全保障具有借鑒和工程參考意義����。
機(jī)遇之三:支持生命周期安全模型的新型基礎(chǔ)設(shè)施
生命周期安全模型已經(jīng)成為指導(dǎo)安全軟件系統(tǒng)設(shè)計(jì)和評(píng)測(cè)的重要理論基礎(chǔ)��。在研究和分析移動(dòng)支付數(shù)據(jù)全生命周期安全威脅與安全機(jī)制設(shè)計(jì)中,以信用卡支付為例�,移動(dòng)支付中的關(guān)鍵數(shù)據(jù)包括用戶賬戶與隱私信息和信用卡號(hào)碼����、PIN��、支付信息等�,它們形成特定格式的結(jié)構(gòu)化數(shù)據(jù)��。數(shù)據(jù)在生命周期中處于傳輸�、靜態(tài)(存儲(chǔ))和處理中這三種狀態(tài)之一�。
傳輸中數(shù)據(jù)。當(dāng)數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時(shí)處于傳輸狀態(tài)�,在傳輸中的數(shù)據(jù)容易受到網(wǎng)絡(luò)上的被動(dòng)竊聽(tīng)攻擊��、主動(dòng)攻擊或者Phishing攻擊。
靜態(tài)數(shù)據(jù)(即存儲(chǔ)中的數(shù)據(jù))���。存儲(chǔ)中的靜態(tài)數(shù)據(jù)容易受到有管理權(quán)用戶(例如電子支付機(jī)構(gòu)的惡意員工、進(jìn)入系統(tǒng)的黑客)未經(jīng)授權(quán)的訪問(wèn)�。在存儲(chǔ)器損壞銷毀后磁盤或者磁帶上殘存數(shù)據(jù)仍然可能被讀出導(dǎo)致數(shù)據(jù)泄露���。
處理中數(shù)據(jù)��。在對(duì)數(shù)據(jù)進(jìn)行處理時(shí),通常需要將來(lái)自網(wǎng)絡(luò)或者存儲(chǔ)器中的數(shù)據(jù)讀人內(nèi)存進(jìn)行處理�����,容易受到主機(jī)上的木馬等惡意軟件的安全威脅。
數(shù)據(jù)的全生命周期安全機(jī)制設(shè)計(jì)旨在針對(duì)數(shù)據(jù)在創(chuàng)建���、傳輸、使用�����、存儲(chǔ)��、備份、銷毀的全過(guò)程中的各種威脅���、防止任何環(huán)節(jié)的漏洞所導(dǎo)致的數(shù)據(jù)泄漏。保障移動(dòng)支付中關(guān)鍵數(shù)據(jù)安全的措施包括可靠的安全硬件+針對(duì)性的密碼算法+安全軟件實(shí)現(xiàn)技術(shù)的綜合應(yīng)用��。
此外��,研制適用于手機(jī)的安全令牌技術(shù)也是十分重要的工作�����。本實(shí)驗(yàn)室組織研制的以耳機(jī)接口通信的手機(jī)安全U盾解決了更大范圍不同類型手機(jī)統(tǒng)一適配的問(wèn)題,目前已經(jīng)在Android���、iPhone、iPad����、FeaturePhone等設(shè)備上完成測(cè)試驗(yàn)證����?���;谟布盾的解決方案將進(jìn)一步增強(qiáng)軟件系統(tǒng)的安全性、加大攻擊難度��。
在數(shù)據(jù)的創(chuàng)建階段�,通過(guò)前置機(jī)的安全控件為用戶提供信用卡號(hào)碼、PIN碼等關(guān)鍵數(shù)據(jù)的安全輸入控件�����。在前置機(jī)中�����,用戶的輸人容易遭到本地木馬、鍵盤記錄器等惡意軟件的安全威脅����,安全輸入控件結(jié)合保護(hù)操作系統(tǒng)輸入事件鉤子�����、通過(guò)驅(qū)動(dòng)級(jí)程序直接訪問(wèn)鍵盤鼠標(biāo)輸入、軟鍵盤技術(shù)等多項(xiàng)系統(tǒng)級(jí)安全機(jī)制,抵御來(lái)自惡意軟件的威脅��。安全控件在得到用戶輸入后���,通過(guò)混淆算法初步對(duì)內(nèi)存中的用戶輸入數(shù)據(jù)進(jìn)行混淆���,以增加惡意軟件對(duì)信息的分析和截獲的難度���。為了減少關(guān)鍵數(shù)據(jù)在內(nèi)存中暴露的時(shí)間�,安全控件結(jié)合內(nèi)存鎖定技術(shù)等安全軟件開(kāi)發(fā)方法,及時(shí)銷毀內(nèi)存中的關(guān)鍵數(shù)據(jù),并阻止關(guān)鍵輸入被置換出內(nèi)存寫入磁盤交換區(qū)。
在數(shù)據(jù)傳輸階段����,采用兩層數(shù)據(jù)保護(hù)機(jī)制對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行保護(hù)�。外層的保護(hù)主要是在安全控件和支付服務(wù)器之間建立基于SSL/TLS的安全鏈接����,以保護(hù)通信的基本安全。由于SSL/TLS只能夠保證主機(jī)之間的通信安全�����,不能保證多跳通信和Phishing攻擊���,因此在內(nèi)層還可以通過(guò)基于身份的端到端加密來(lái)保障關(guān)鍵數(shù)據(jù)的安全��。發(fā)送方可以指定以特定接收方的身份標(biāo)識(shí)加密關(guān)鍵數(shù)據(jù)����,即使數(shù)據(jù)傳輸經(jīng)過(guò)多跳�,在中間節(jié)點(diǎn)主機(jī)上,關(guān)鍵數(shù)據(jù)仍然以加密的形式存在。即使通信另一段的服務(wù)器是一個(gè)偽造的服務(wù)器,由于基于身份的加密可以指定接收者�����,偽造的服務(wù)器也不能解密關(guān)鍵數(shù)據(jù)�。
在數(shù)據(jù)的靜態(tài)存儲(chǔ)階段,采用保留格式的加密技術(shù)對(duì)關(guān)鍵數(shù)據(jù)項(xiàng)進(jìn)行保護(hù)。靜態(tài)存儲(chǔ)中的數(shù)據(jù)就是保存在磁盤等存儲(chǔ)設(shè)備中的數(shù)據(jù)����。在電子支付中����,靜態(tài)存儲(chǔ)數(shù)據(jù)和一般的應(yīng)用有很大的不同��,一般應(yīng)用是無(wú)結(jié)構(gòu)的數(shù)據(jù)��,而電子支付中的關(guān)鍵數(shù)據(jù)主要是結(jié)構(gòu)化數(shù)據(jù),具有特定的格式�����,不是存儲(chǔ)在文件系統(tǒng)中����,而是存儲(chǔ)在數(shù)據(jù)庫(kù)表中。一些常用的格式數(shù)據(jù)包括:特定長(zhǎng)度限制和字符集限制的字符串、具有特定長(zhǎng)度限制的十進(jìn)制數(shù)字(如6位數(shù)字的PIN碼、18位數(shù)字的身份證號(hào)碼、16位的貸記卡號(hào)碼和16~19位的借記卡號(hào)碼)�����、帶校驗(yàn)位的數(shù)據(jù)(例如身份證號(hào)碼��、貸記卡號(hào)碼中均包含校驗(yàn)位)。普通的加密算法如AES在將數(shù)據(jù)加密后通常是二進(jìn)制的密文(如果編碼為數(shù)字則會(huì)引起密文數(shù)據(jù)長(zhǎng)度明顯大于密文長(zhǎng)度)�,無(wú)法和已有的協(xié)議��、數(shù)據(jù)庫(kù)表兼容,無(wú)法對(duì)數(shù)據(jù)庫(kù)等應(yīng)用系統(tǒng)進(jìn)行透明的加密����。本課題采用多種格式保留的加密技術(shù)�����,保證格式化數(shù)據(jù)在加密后仍然保持相同的數(shù)據(jù)格式,如16位的貸記卡號(hào)碼加密后仍然為16位的十進(jìn)制數(shù)字���,并且保留校驗(yàn)位有效。
備份數(shù)據(jù)的保護(hù)��。備份數(shù)據(jù)中通常集中大量的關(guān)鍵數(shù)據(jù)和歷史記錄���,一旦泄露后果不可估量��,而且由于備份數(shù)據(jù)脫離業(yè)務(wù)系統(tǒng)�,并保存在磁帶等可移動(dòng)存儲(chǔ)設(shè)備中��,極易被臨時(shí)獲得密鑰的惡意的內(nèi)部人員非法訪問(wèn)�����。為了保證備份數(shù)據(jù)的安全,本課題主要采用密鑰分割技術(shù)和門限密碼技術(shù)對(duì)備份數(shù)據(jù)進(jìn)行保護(hù)����,例如將密鑰分割為5份交給5個(gè)備份管理員分別保管,門限值設(shè)定為3�����,只有3個(gè)管理員同時(shí)出具備份密鑰時(shí),才可以解密備份數(shù)據(jù)����。因此可以從技術(shù)上為備份數(shù)據(jù)的安全管理提供支持�。
數(shù)據(jù)的銷毀����。報(bào)廢的存儲(chǔ)設(shè)備中殘存的關(guān)鍵數(shù)據(jù)是一個(gè)信息泄露的重要途徑,綜合數(shù)據(jù)加密��、集中化的密鑰管理和高可靠的數(shù)據(jù)擦除技術(shù)來(lái)保證關(guān)鍵數(shù)據(jù)的有效銷毀���。首先關(guān)鍵數(shù)據(jù)在全生命周期中都是以加密的狀態(tài)存在的����,因此在數(shù)據(jù)需要銷毀時(shí),只需要銷毀數(shù)據(jù)的加密密鑰��。本系統(tǒng)通過(guò)基于身份的集中密鑰管理方式對(duì)密鑰進(jìn)行集中的管理����,解密密鑰不會(huì)散步在系統(tǒng)的各個(gè)節(jié)點(diǎn)中,在銷毀時(shí)只要在集中的密鑰管理系統(tǒng)中銷毀對(duì)應(yīng)的密鑰即可����。高可靠的數(shù)據(jù)擦除技術(shù)主要用于磁盤等存儲(chǔ)設(shè)備中關(guān)鍵數(shù)據(jù)�、密鑰數(shù)據(jù)的高可靠有效擦除��,經(jīng)過(guò)直接通過(guò)驅(qū)動(dòng)跳過(guò)文件系統(tǒng)直接訪問(wèn)物理磁盤���,對(duì)磁盤塊進(jìn)行多輪隨機(jī)數(shù)反復(fù)擦寫,杜絕數(shù)據(jù)恢復(fù)的可能性。
結(jié)束語(yǔ)
值得注意的是��,我國(guó)移動(dòng)支付系列標(biāo)準(zhǔn)即將推出�,這無(wú)疑會(huì)對(duì)整個(gè)行業(yè)的協(xié)作與發(fā)展起到積極的作用。但同時(shí)我們也應(yīng)該清醒地注意到,標(biāo)準(zhǔn)還不能夠解決所有可預(yù)見(jiàn)的安全問(wèn)題,特別是未來(lái)出現(xiàn)的新問(wèn)題����。終端安全威脅還遠(yuǎn)沒(méi)有得到有效的控制�。因此�����,還應(yīng)該進(jìn)一步鼓勵(lì)創(chuàng)新���,從整體上發(fā)展安全可信技術(shù)和有效的解決方案�����,為移動(dòng)支付產(chǎn)業(yè)的健康發(fā)展提供有效支撐。
(陳鐘��,教授���、博士生導(dǎo)師�,北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)系主任、北京大學(xué)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室主任、北京大學(xué)金融信息化研究中心主任、北京大學(xué)工程學(xué)位評(píng)審委員會(huì)副主任���。兼任中國(guó)計(jì)算機(jī)學(xué)會(huì)信息保密專業(yè)委員會(huì)副主任、中國(guó)軟件行業(yè)協(xié)會(huì)常務(wù)理事、中國(guó)證監(jiān)會(huì)網(wǎng)上證券委托交易審核委員會(huì)委員、公安部通訊標(biāo)準(zhǔn)化委員會(huì)委員等。)
(文章來(lái)源于:金融電子化)
本文鏈接:http://www.lajishu.com/product/html/26.html轉(zhuǎn)載請(qǐng)注明����!
