久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

隨著移動互聯(lián)深入百姓的日常生活，金融服務(wù)的移動化趨勢不斷顯現(xiàn)。2014年底，CFCA發(fā)布《2014電子銀行調(diào)查報告》顯示：2014年個人手機銀行 用戶比例為17.8%，同比增長50%，連續(xù)4年呈現(xiàn)指數(shù)增長趨勢。手機銀行發(fā)展已經(jīng)達到創(chuàng)新“起飛期”，預(yù)計2015年手機銀行用戶比例將達到 24.1%，移動支付將成為后續(xù)手機銀行發(fā)展的重要關(guān)注點。

金融界《2014手機銀行調(diào)查》顯示，安全性問題仍然是困擾用戶使用的首要因素，占比超過50%。同時，用戶希望移動金融服務(wù)手機兼容性提高的比例超過20%，實現(xiàn)無需更換硬件即可獲得移動金融服務(wù)。

國外廠商圍繞移動支付安全提供不同形式的解決方案，其中包含多種移動支付安全技術(shù)。不管是Apple Pay、Android Pay(Google Wallet)、LoopPay(Samsung Pay)還是CurrentC，在筆者看來，都需要解決以下四類技術(shù)問題：認證授權(quán)、令牌化、HCE和風(fēng)險控制。

認證授權(quán)(Authorization)

如何在移動終端用戶身份認證的問題?如何保證關(guān)鍵操作在用戶授權(quán)后執(zhí)行?常用的方式通過輸入四位PassCode完成身份認證與支付授權(quán)， 這種方式簡便但安全性不足。隨著生物認證在移動端被廣泛認可，尤其是指紋認證的認可，加之指紋模塊成本的降低，新型手機都開始支持指紋識別。但是指紋識別 也存在多種問題，如沒有統(tǒng)一的標準、移動支付應(yīng)用提供指紋認證功能需要適配多種機型等。在此過程中，需要解決接口不統(tǒng)一、訪問標準不統(tǒng)一的問題。

針對身份認證的難題， 國際上于2012年7月由微軟，谷歌，VISA, Mastercard, PayPal, Nok Nok Labs等企業(yè)牽頭發(fā)起成立了FIDO Alliance, (線上快速身份驗證聯(lián)盟)。國際金融機構(gòu)、手機廠商、安全廠商都積極參加這個聯(lián)盟。它解決的是強身份驗證設(shè)備之間缺乏協(xié)作的問題，通過定義一個可擴展、可 協(xié)作的機制，代替密碼用于在線服務(wù)的身份驗證。聯(lián)盟提出一系列身份認證協(xié)議，可實現(xiàn)適用于移動設(shè)備的無密碼身份認證。

令牌化(Tokenization)

不管是Apple Pay 還是Android Pay都利用了Tokenization技術(shù)，其原理是什么?安全性有何提升?什么是令牌化?簡單的說，就是在支付方案中將敏感數(shù)據(jù)(例如銀行卡號)用唯 一標識替代，并且要求在數(shù)學(xué)不可逆。以支付場景為例，將PAN(敏感信息)用一串令牌數(shù)字(例如VAN)替代，從而減少卡號泄漏幾率。令牌化服務(wù)在支付流 程中用于傳遞信息，后臺會還原成原始信息。令牌化服務(wù)對轉(zhuǎn)換安全性以及業(yè)務(wù)需求有較高的要求， 好的Token需要滿足業(yè)務(wù)需求，比如可選長度(16/19)，可保留部分信息(卡號后四位)等。

令牌化的優(yōu)勢在于： 一、可以保護敏感數(shù)據(jù)，防范數(shù)據(jù)泄漏。減少支付數(shù)據(jù)系統(tǒng)數(shù)目。二、減少PCI-DSS合規(guī)審核范圍，減少合規(guī)費用。它與加密有什么區(qū)別?加密是把敏感信息 通過密鑰完成，獲得密鑰的人都可以保留敏感數(shù)據(jù)，通過密文可以還原敏感數(shù)據(jù)。令牌化是使用唯一的隨機數(shù)代替敏感信息。美國國家標準學(xué)會(ANSI ASC X9)、EMVCo、PCI安全標準委員會(PCI SSC)、清算所協(xié)會(TCH)等組織正在制定令牌化標準。2014年3月，EMVCo令牌化標準V1.0版本發(fā)布。

HCE(Host Card Emulation)

HCE是一種NFC功能設(shè)備上執(zhí)行卡片模擬功能的技術(shù)， 無需依賴安全單元，也被稱為Cloud-Based SE，在Android V4.4以上及BlackBerry OS10系統(tǒng)實現(xiàn)此功能。

基于HCE技術(shù)，移動支付方案提供商無需依賴運營商或者手機制造商，具有更多的靈活性和適用范圍。另一方面，由于沒有SE保護，基于HCE的移動支付方案也將面臨更大的安全威脅，涉及身份驗證和數(shù)據(jù)安全的問題，需要實施全方位的安全體系保護交易數(shù)據(jù)的完整性和保密性。

風(fēng)險控制(Risk Management)

在移動支付方案中，后臺的風(fēng)險控制也是必不可少的一環(huán)。虛擬世界里，如何判斷是否是真實的用戶、真實的賬號、是否有真實的風(fēng)險?

第一、是否是真實的用戶?有些黑客采用程序模型用戶操作，重復(fù)執(zhí)行操作，有的通過爬蟲獲取系統(tǒng)數(shù)據(jù)，嘗試系統(tǒng)漏洞進而攻擊。這些欺詐手段給企業(yè) 帶來很多不確定的安全隱患。第二、是否是真實的帳號?刷信用，養(yǎng)小號，僵尸粉產(chǎn)業(yè)鏈已經(jīng)非常成熟。還有病毒、木馬盜取帳號、密碼、威脅帳號安全。第三、是 否存在真實的風(fēng)險?有些通過模擬器繞過移動應(yīng)用的安全限制。有些采用VPN、代理等方式隱藏真實地理信息。