嵌入式系统中的银行支付令牌和HCE技术简介

文章正文
发布时间:2024-09-10 14:03

编者按:分析了银行支付令牌和HCE技术的原理;在此基础上,介绍了安全对比。最后提出了硬件安全的重要性。


摘要:分析了银行支付令牌和HCE技术的原理;在此基础上,介绍了安全对比。最后提出了硬件安全的重要性。

本文引用地址:https://www.eepw.com.cn/article/283518.htm

  令牌为实现Apple Pay等新的支付方式创造了条件。本文将从安全的角度对支付令牌和主机卡模拟(HCE)技术进行比较和介绍。

  和大多数其他智能卡芯片一样,支付卡芯片存储有受保护和不受保护的数据。受保护数据是内部用于生成密码的加密密钥。发卡银行在支付交易进行时或完成后要验证这些密码,以确定卡上数据及支付卡是真实的。

  不受保护数据存储在卡上的档案里,商户的支付终端及任何熟悉档案结构的人都能访问。这些数据在芯片上不受保护,因为它们要让商户和网络可以访问。银行卡号——也称PAN(私人账号)——就是不受保护数据的一个例子。其他例子还有银行卡有效期、首选语言或产品名称等。比如,在网络中,PAN被用于将交易发送给发卡银行以获取授权。这时潜在的银行卡窃贼即可用任何方式访问数据,因为它们大多数都印刷在卡上面或是包含在磁条数据中。

一旦上网,银行卡数据就有危险了

  只要这些不受保护的数据留存在你实体钱夹里的银行卡上,你就没什么好担心的。一旦上网,银行卡数据就有危险了。比如,你在网购时用银行卡付款或者将银行卡数据添加到手机钱包都会导致银行卡数据暴露到网上。再比如,向利用联网系统处理银行卡数据的商家付款时,你的银行卡数据也会上网。在所有这些情况下,黑客都可趁机大量收集银行卡数据。然后,诈骗分子即可利用这些被盗的银行卡数据伪造磁条卡或者在商家不验证有无实体卡的网店购物。这类事件在报纸上屡见不鲜,常被称为“银行卡盗刷”。美国零售商“Target”在2013年末遭遇的一次大规模银行卡数据泄露事件是最突出的一个例子。

令牌是包含密码等其他数据在内的一个替代卡号

  为了防止那些银行卡数据泄露事件,Visa、万事达和美国运通等支付网络已推出一种所谓的令牌化技术。令牌化就是用一个替代卡号取代银行卡账号(PAN)。连同令牌有效期、所用的支付渠道和密码等其他数据一起,该替代卡号被称为“令牌”。乍一看,在银行卡上徒增一个号码好像没什么意义,因为上述攻击同样可以在这个令牌号上进行。然而区别在于,该令牌只供支付网络进行验证,不直接发送给发卡银行用于获取支付授权。相反,令牌是被发送给支付网络里的令牌服务提供商(TSP)。

  TSP同时也是一个过滤器和防火墙。它将对令牌进行验证,比如验证所用的支付渠道(在非接触式芯片卡终端支付)或者令牌有效性。如果所用支付渠道不同(在网店或磁条卡终端支付)或者持卡人已将令牌作废(如果手机丢失),TSP可以直接拒绝交易。

  只有通过所有验证,TSP才将令牌与真正的银行卡账号比对后,再将其发送给发卡银行获取支付授权。如果发生银行卡数据泄露,诈骗分子窃取的只是不能在网店支付或磁条卡终端支付等典型诈骗渠道使用的令牌。而且,如果令牌被发卡银行或持卡人作废,真正的银行卡数据仍然有效。

ID&V确保令牌非诈骗分子创建

  要想给一个信用卡账号创建和获取令牌,用户必须完成一个所谓的“识别和验证”(ID&V)安全流程。该流程可确保令牌非诈骗分子创建。比如,如果想向手机钱包添加银行卡,你必须完成ID&V。ID&V包含发卡银行规定的验证项目。这种验证就像登记卡号时进行的在线账号验证一样简单。其他发卡银行可能要求用户到当地分行登记个人信息。

只有生成的唯一密码能授权使用令牌

  务必要知道的是,在被持卡人或发卡银行作废之前,令牌不只适用于一次交易,而是在特定渠道上进行的所有交易。然而,替代卡号或令牌有效期等静态的令牌字段通常伴有密码等用于验证支付设备或持卡人的动态的一次性数据。只有生成的唯一密码能授权使用令牌和证明持卡人身份。

  过去,近场通信(NFC)的非接触式前端使手机通常与安全芯片直接相连。手机里的安全芯片也被称为“安全元件”(SE)。Apple Pay已采用该系统。完成ID&V后,令牌证书被一次性颁发给手机,保存在安全元件里。每次支付交易使用一个交易令牌。该交易令牌包含一个在安全元件里生成的动态密码。因此有人说Apple Pay使用“动态令牌”。

  将于2015年底推出的Android Pay将使用主机卡模拟(HCE)技术。HCE不需要在手机上装安全元件。完成ID&V后,令牌证书被颁发和保存在云端。进行每次支付交易时,云端生成一个交易令牌(包含生成的唯一密码),该交易令牌再被提供给手机(见图1)。

  通常云端会提前生成一个以上交易令牌,以便用户在设备未联网时仍可使用HCE支付。因为HCE令牌是保存在随时可完成交易的设备上,这些令牌通常被称为“静态令牌”。

令牌保护云端的银行卡数据,安全芯片确保增强认证

  之前讨论发现,令牌并非主要针对安全认证,它的主要作用是解决云端黑客可以访问的银行卡数据安全问题。用银行卡支付时,安全芯片验证银行卡,PIN或签名验证持卡人身份。用Apple Pay支付时,安全芯片验证设备,指纹或密码验证持卡人身份。用Android Pay(HCE)支付时,持卡人身份在云端被验证后,一定数量的令牌被颁发给持卡人的手机以供未来的支付交易使用。

  安全芯片在提供比云端持卡人验证更高效、更便捷的增强银行卡验证方面仍发挥着重要作用(图2)。

  支付令牌的用途并非局限于移动支付。它们还能取代保存银行卡信息以供未来交易时使用的商户系统中的卡号。这在你第一次购物时可以登记银行卡信息的网店中很常见。登记后,如果再到这家网店购物,你只需确认所登记的银行卡信息。该系统被称为“卡存档”系统。亚马逊等许多电商企业采用这种系统。

  支付令牌还能用在不能将真实银行卡信息暴露给商户系统的传统芯片卡上。和移动支付令牌一样,芯片上的银行卡令牌可与接触式和非接触式交易绑定,从而降低真实银行卡信息被诈骗分子在其他支付渠道上使用的风险。

  全球支付网络对支付令牌的标准化是发展先进移动支付技术的重要步骤。令牌可防止银行卡信息被黑客窃取和银行卡盗刷。但令牌既不取代也不需要安装安全元件。所需的验证级别仍然有赖于发卡银行对风险进行的评估。

参考文献:

  [1]周明.支付标记化技术解读[J]. 银行卡检测中心咨询平台,2015(9)

  [2]柴洪峰.银行业移动支付的发展情况与新趋势[J]. 中国电子报,2015(8)

  [3]李伟.关于云端支付的探索与交流[J]. 金融电子化2015(6)

  [4]吕芙蓉,林发全.关注HCE:安全挑战及解决方案[J]. 金融电子化2015(5)

  [5]方宁.HCE:便捷移动支付的背后,需要全生命周期的安全防护. 中国金融电脑 2015(10)