首页 - 理财 - 产品动态 - 正文

重构主账号和敏感信息交易认证方式 切断敏感信息泄漏源头

关注证券之星官方微博:
如何确保客户的敏感数据的安全,如果可以改变传统基于主账号和相应敏感信息的交易认证方式,那么客户的敏感信息将从根本上得到保护。

(原标题:重构主账号和敏感信息交易认证方式 切断敏感信息泄漏源头)


当前,信息化与移动化已经成为全球金融服务创新发展的重要特征。移动支付服务这种新的支付形态必将成为黑客攻击的新目标,越来越多的不法分子将支付卡信息视为攻击对象。在为客户提供便利、快捷支付体验的同时,如何确保客户的敏感数据的安全,如果可以改变传统基于主账号和相应敏感信息的交易认证方式,那么客户的敏感信息将从根本上得到保护

1、支付标记化系统框架

支付标记化是使用一个唯一的数值来替代传统的银行卡主账号及有效期的过程,既确保该数值的应用被限定在一个特定的范围,如商户、渠道或设备,又可以应用在银行卡产业全环节,确保国际通用性。根据标记化的覆盖范围与应用目的,可以分为收单端标记、发卡端标记与卡组织标记。

(1)收单端标记(Acquirer Token):收单机构维护管理标记;商户使用标记发起交易,由收单机构转换为卡号送给卡组织。

(2) 发卡端标记(Issuer Token): 发卡机构维护管理该标记;商户、收单机构与卡组织均实用化标记处理交易,发卡银行最终与原始卡号对应,并进行交易处理。

(3) 卡组织标记(Payment Network Token):卡组织维护管理标记;商户使用标记发起交易,经由收单机构系统,被卡组织转换为卡号送给发卡银行。EMVCo认为卡组织标记才能称为支付标记。

虚拟卡是支付标记的一种特殊类型,通常被认为是一种和主卡关联的、一次一变的动态标记。文中为表述方便和区别发卡端标记与收单端标记、卡组织标记的差异,将发卡端标记称为虚拟卡。

其中,虚拟卡的可扩展的安全控制信息(如图)包括但不仅限下列内容:支付卡号、个性化欢迎语、收单行标识码、商户名称、商户编号、受卡机终端标识码、实际有效期、单次性卡/多次性卡、服务代码/服务约束、卡片验证码、个人标识码、动态验证码接收号码、允许重输次数、交易货币代码、额度金额、虚拟卡持卡人身份认证信息等,以上述各信息的组合作为虚拟卡的授权认证的安全要素,实现支付卡交易支付的多重安全组合机制。


2、现有支付标记化系统框架和实现中的不足

EMVCo支付标记化系统构架(如图所示)在不改变现有产业各方分工的基础上,新增加了标记请求方(TR)与标记服务提供方(TSP)两个重要角色。其中TR负责搜集持卡人卡号、有效期及相关信息,TSP申请支付标记并将标记返回相关方;TSP负责产生标记、有效期及担保级别,并负责在交易过程中实现支付标记到卡号的转换。

支付标记化的申请流程对持卡人而言就是一个绑卡的操作,需要用户在商户或支付服务商的页面提交账户信息;在用户绑卡时,采集用户账户信息的主体可作为标记请求方(TR)向标记服务提供方(TSP)申请支付标记;在现有的实现中,用户通过标记请求方(TR)注册申请标记时,提供的都是主账户(PAN)信息(卡号、有效期及相关信息),这使得作为标记请求方(TR)的商户或支付服务商依然存在留存用户敏感账户信息的风险。

同时,在现实使用中,比如ApplePay、SamsungPay、银联云闪付和第三方快捷支付(如支付宝钱包等,可以看作一种类支付标记化)等都是采用主账户信息(卡号、有效期及相关信息)注册绑定主账户,其结果就是这些不同的标记都是主账户的“完全替代”,并没有做到风险的完全隔离,任何一个标记被盗、挪用都会导致主账户损失的风险。

另外,在支付标记化系统构架的完整数据流中,独缺支付终端(比如移动支付终端)与受理终端间数据传输交换的有效安全措施,无论是二维码、NFC还是磁性安全传输(MST)、蓝牙支付或者声波支付,都是一种传播手段,都存在被截取、挪用的风险,比如二维码的侧摄、磁性安全传输(MST)的无线方式窃取、NFC的RFID略读(RFID-skimming)。

3、对现有支付标记化系统构架和实现的扩展建议

介于上述现有支付标记化系统架构和实现中的不足,提出一些扩展建议,扩展后的支付标记化系统架构如图所示。

在现有支付标记化系统构架和实现中,通过引入发卡端标记的虚拟卡替代原持卡人,不仅解决了原始卡号落地后被泄露的安全问题,而且因为虚拟卡可以具有彼此独立的额度金额、有效期等账户控制信息,使得注册申请的标记间以及和主账户相互独立,任何标记的被盗、挪用也只会影响到所涉及的标记的限定额度金额,而不会无限扩散到主账户,实现风险的可控性。

针对现有支付标记化系统构架和实现中存在的支付终端与受理终端间数据传输交换缺乏有效安全措施的问题,通过引入支付终端与受理终端间交互方式,支付终端获取受理终端信息(收款账户信息/商户信息,商户信息至少包含商户号、终端号),并将标记和受理终端信息绑定,然后再由受理终端获取绑定后的支付密文,使得任何截取支付终端与受理终端间数据传输交换的行为失去价值,同时,可选限额选项又可以进一步限制差错带来的支付风险。

4、基于虚拟卡的商务、公务卡业务扩展

传统公务、商务消费“现金支付、先开支后报账”的程序不仅不利于管理和监督,甚至发生财务报销环节出现凑票报销,多开、虚开报销发票的现象。使用商务、公务卡结算,既不需要财务人员从银行提取和保管现金,也不需要工作人员提前向单位借款,简化了手续,减轻了单位财务人员的工作量,同时财务部门还可以有效监控支付的真实性和规范性。员工申请报销时,单位财务人员可以通过专门的商务、公务卡支持系统,直接查询该员工商务、公务消费的时间、地点、消费金额、商户名称等多项明细信息,并与发票及刷卡凭证一一核对审核,杜绝利用虚假发票报销等漏洞,对于提升单位财务管理水平具有重要的促进作用。而虚拟卡支付技术与商务、公务卡需求匹配,通过虚拟卡的客户自我维护管理的特约商务名单、有效期、金额等,限定虚拟卡在指定的时间框架内仅做特定用途的支付,不会被滥用到其他场合。而虚拟卡的身份认证方式中的数字证书(可不同于主账户)、动态验证码接收号(可不同于主账户)等为向非主账户持有人的第三者安全授权提供了技术手段。同时,虚拟卡作为一种标记,一方面避免了支付信息外泄造成的诈骗风险,另一方面虚拟卡生成的所有标记的消费都将集中汇总到同一个账户的账单上,减少行政管理耗时。

同样,虚拟卡也可扩展用于家庭业务方面。

最后,随便谈谈银行IC卡的电子现金圈存。电子现金交易是事先将一笔小金额"圈存"在卡片芯片内,然后通过"感应"或"插卡"方式来达成的小额、免输密码的快速交易。相对于主账户,电子现金账户是独立存在的,其交易信息全部存在于信用卡芯片内,采取不联网模式,因而交易速度比传统联网模式快捷许多,尤其适合高流量场合的脱机支付,比如公交、地铁场景。但现有使用规则中电子圈存现金不可挂失的规定,成为阻碍用户使用的主要障碍。那是否可以通过对使用规则的调整,重新发挥银行IC卡的电子现金的功能优势了?因为按现有的使用规则,遗失不能挂失,但卡片毁损、卡片到期或注销,是可以携带证件及原卡至银行行柜面申请圈提电子现金,申请成功后系统会自动把电子现金余额转至您的主账户。那是否可以做如下的调整:指定可以对银行IC卡进行“电子圈存”的主账户,电子现金的使用的有效日期=最后圈存日+N天(缩短有效期),电子现金使用有效期内未使用或清结算金额退回原主账户日=使用有效日期+清结算周期+M日,M为保护期限。这样就可以在保留原有电子现金特点的基础上,又最大限度的解决了遗失损失问题,有可能重新发挥银行IC卡的电子现金本来应有的价值。(作者:闻进)

参考文献:

《一种基于可见码的多重安全组合机制的支付方法和系统》 闻进

《一种交互式获取受理终端信息并关联支付卡信息的安全支付方法》 闻进

《全球支付产业标记化发展现状与趋势分析》 周皓、周明、赵海

《中国银联支付标记化技术指引》 2016-7-1 发布

文章系作者投稿,文中内容不代表中国电子银行网观点和立场!转载请务必注明作者姓名!作者:闻进

微信
扫描二维码
关注
证券之星微信
APP下载
下载证券之星
郑重声明:以上内容与证券之星立场无关。证券之星发布此内容的目的在于传播更多信息,证券之星对其观点、判断保持中立,不保证该内容(包括但不限于文字、数据及图表)全部或者部分内容的准确性、真实性、完整性、有效性、及时性、原创性等。相关内容不对各位读者构成任何投资建议,据此操作,风险自担。股市有风险,投资需谨慎。如对该内容存在异议,或发现违法及不良信息,请发送邮件至jubao@stockstar.com,我们将安排核实处理。
网站导航 | 公司简介 | 法律声明 | 诚聘英才 | 征稿启事 | 联系我们 | 广告服务 | 举报专区
欢迎访问证券之星!请点此与我们联系 版权所有: Copyright © 1996-