安全是核心,全面解析银联手机POS的安全问题
芸 2018年12月14日 13:09
2018年12月4日,中国银联联合各大商业银行及华为、小米、三星、OPPO、魅族等主流手机厂商正式启动了银联手机POS产品首批应用试点合作。至此,备受业界关注的全球首款手机POS正式揭开其神秘面纱,智能手机变身进行收单成为现实。
作为全球首款手机POS,顾名思义,其是一款以API控件赋能给第三方APP,可直接基于手机自身安全硬件实现收单功能的新型移动POS产品,它具备非接银行卡、手机pay和二维码等多种收单功能,主要面向小微商户、三农市场和境外市场。
而作为一款移动金融的创新应用,其安全问题无疑是最受关注的点,那么银联的手机POS是如何保证支付安全的呢?
关键词:标准解读 设备安全 下一代风控
首先,出于国际领先的自我要求,银联对手机POS项目的安全标准提出了非常高的要求,力求从物理安全性、逻辑安全性、联机安全性、脱机安全性等多方面进行严格的检测和评估。实际上,银联的手机POS产品严格地遵循了人行《移动终端支付可信环境技术规范》,并且联合相关机构充分解读细化PCI于今年3月发布的SPOC规范。
其次,智能手机作为移动终端的集大成者,由于其系统开源、业务繁杂等特性,早已成为“兵家必争之地”,如今跨界集成POS功能之后,手机厂商原有的安全能力属性能否应对全新的挑战,成为整个产业链关注的焦点。也因此,银联从一开始就将设备安全提升到了前所未有的高度,并创造性地提出了下一代智能终端金融风控解决方案。
那么如此高的标准和基于标准但要超越标准的自我要求,银联又是如何实现的呢?这就不得不提到站在银联身后的一家颇为低调的能力型安全公司——安天移动。
从设计到风控,安天移动是银联手机POS的唯一安全合作伙伴
如果说,银联手机POS中TEE和SE的安全为其提供了硬件安全和可信环境的基础,那么从银联手机POS依托PCI的SPOC规范的设计研发到整个安全体系的打通,以及应对外部威胁的下一代智能终端金融风控系统,都离不开安天移动的努力。
我们都知道,虽然当业务运行在TEE+SE的基础环境下,安全性已经得到了极大的提升,但这只是第一步而已,其价值还需借助系统安全能力才会得到最大程度的释放。举例来说,就像盖一栋楼,你选用再好的建筑材料,如果地基不牢,后果依然不堪设想。这也是为什么业内更愿意称业务安全为“上层安全”,而系统安全才是真正的“基石安全”。
那么,安天移动到底配合银联做了哪些基石安全的工作呢?
首先,标准解读。合作期间,安天移动配合银联,对PCI SPOC等相关标准进行充分的细化解读。例如基于标准中对环境监控的要求,在没有任何可借鉴参考经验的情况下,从硬件、系统、应用多维度入手,完成了手机POS需求的监控环境安全解决方案。
其次,芯片级技术安全。核心是关于芯片级安全特性的利用!如对芯片级ROOT行为和状态的监控等。根据记者发布会现场了解到的情况,该方案已通过了银行卡检测中心的严格评测。这也意味着在安天移动的助力下,银联基于标准“超越标准”的目标初步实现。
最后,攻防一体的方案设计和实施。这体现在两个方面,一是安天移动拥有近十年的终端安全的攻防实战经验。据悉,目前主流的智能手机品牌,如华为、小米、VIVO等均是其合作伙伴,支付行业的联迪、利楚等也在其合作之列。二是超过10亿部终端安全的大数据积累。而上述两点能力在发布会现场展示的金融级态势感知平台上得到了完美呈现。而这也可以部分解释,为何如此重磅的产品发布,银联选择了安天移动作为独家安全合作伙伴。显然上述能力是非一朝一夕创建的。
正如发布会现场,安天移动CEO潘宣辰在接受笔者采访时所提到的,手机POS产品的安全性是一项重大的技术突破,一方面银联作为行业领导者,出于国际领先的自我要求,对安全解决方案和标准的制定提出了非常高的要求,另一方面安天移动作为合作方全力配合银联以及相关机构共同将安全能力进行了实现。
物联网和智能交互是趋势,终端安全很关键
应该说,银联手机POS的问世,第一次将“基石安全”(终端系统安全)的概念抛诸于世。
诚然,对于智能手机来说,POS功能也许只是其承载的又一项创新业务而已,但对金融支付行业来说,无疑是一次全新的场景化革命创新,其对原有产业链的冲击和影响必将日久弥新。
然而,站在更高的维度来看,从物联网和智能终端的大背景下,我们可以清晰看到,支付行业基于终端和业务的场景创新更像是一个开端。随着物联网的发展,智能设备之间的交互将会变得异常重要。有权威第三方数据预测显示,按照30%的年均复合增长速度来计算,预计到2022年智能物联网终端的数量将会超过200亿台。其对安全的诉求必然会越来越多,越来越复杂。
透过银联手机POS项目,我们可以清楚地看到,在物联网终端安全领域,无论是面向企业或商户的商业智能终端还是面向消费者的个人智能终端,安全标准的“国际级”,安全方案的“系统级”,已然成为众多行业参与者们正在或是在不远的将来必须面对和解决的问题。
IT时代网(关注微信公众号ITtime2000,定时推送,互动有福利惊喜)所有原创文章版权所有,未经授权,转载必究。创客100创投基金成立于2015年,直通硅谷,专注于TMT领域早期项目投资。LP均来自政府、互联网IT、传媒知名企业和个人。创客100创投基金对IT、通信、互联网、IP等有着自己独特眼光和丰富的资源。决策快、投资快是创客100基金最显著的特点。