关于移动支付安全技术现状与发展的探索

1|PresentationTitle|ClientName|XXMonthYear关于移动支付安全技术现状与发展的探索技术管理部2013-072|PresentationTitle|ClientName|XXMonthYear2一、引言二、现阶段主要风险及安全技术方案三、关于未来风险及安全技术方案的探索目录3|PresentationTitle|ClientName|XXMonthYear一引言（一）移动支付概述（二）智能手机日益增长的安全威胁（三）针对手机银行的攻击4|PresentationTitle|ClientName|XXMonthYear•移动支付发展历程：从一代、二代到三代–基于NFC技术的第三代移动支付是目前主流方案一代手机支付二代手机支付三代手机支付基于短信、语音的远程支付基于客户端、WAP的远程支付基于金融智能卡的远程和近场支付(一)移动支付概述5|PresentationTitle|ClientName|XXMonthYear•相对于传统银行卡支付的主要差异–两个主要创新点：移动服务、可信服务管理（TSM）(一)移动支付概述01移动服务02支付业务03TSM基于移动通信网络的各类增值服务远程支付近场支付+结合移动通信特色小额脱机账户空中发卡多应用管理+空中圈存手机交易查询、提示社交、签到、点对点传输6|PresentationTitle|ClientName|XXMonthYear•移动支付最终形态–基于NFC技术，以基于SE的近场、远程支付为主，以无卡远程支付、无卡预约支付为补充(一)移动支付概述远程支付有卡支付无卡支付近场支付有卡非接支付无卡预约支付7|PresentationTitle|ClientName|XXMonthYear•影响移动支付安全的两个关键环节(一)移动支付概述•移动终端（手机）安全•输入数据安全、数据存储和运行安全、与服务器的通信安全•安全单元（SE）安全•信息系统及互联安全•信息系统技术安全、运营管理安全•不同系统之间的互联安全•数据通信安全智能手机的开放环境面临来自外部的主要安全威胁8|PresentationTitle|ClientName|XXMonthYear•截止2012年底，IOS与Android系统几乎占据了智能手机市场全部份额(二)智能手机日益增长的安全威胁Android系统68.8%IOS系统18.8%9|PresentationTitle|ClientName|XXMonthYear•由于Android操作系统的开放性特点，市场上针对Android平台的恶意程序、病毒、木马等远超其它操作系统(二)智能手机日益增长的安全威胁Android系统的恶意代码占比达到98.96%Android系统的恶意代码总量增长迅速10|PresentationTitle|ClientName|XXMonthYear•常见针对手机客户端的攻击手段及危害(二)智能手机日益增长的安全威胁手机客户端安全威胁软件逆向工程、二次打包钓鱼、中间人攻击恶意监听、内存数据截取系统扫描，拒绝式攻击恶意转账伪冒消费恶意取现对服务器扫描，利用网络防护的漏洞侵占数据流量，发动拒绝服务攻击调用服务器接口，恶意删除客户端窃取银行卡号手机号码登陆密码交易密码窃取敏感数据篡改交易关键数据11|PresentationTitle|ClientName|XXMonthYear•常见针对手机客户端的攻击手段及危害(二)智能手机日益增长的安全威胁敏感数据泄露伪冒交易拒绝服务攻击用户的卡号、PIN、CVN2等数据泄露用这些数据通过网银等渠道发起攻击通过钓鱼、监听、利用程序、系统漏洞等手段伪冒交易伪造资金转账、消费，窃取用户账户的资金通过扫描服务器获取网络漏洞，利用漏洞，以阻塞网络通道等方式，使业务无法使用通过调用服务器端接口，删除客户端，造成业务无法使用12|PresentationTitle|ClientName|XXMonthYear•近期出现的一种新型攻击手段—APT（高级持续攻击）–主要定义：对整体网络和信息系统的高级持续性攻击–主要方法：收集目标网络和服务器信息，综合运用多种手段收集和分析现有体系的漏洞，持续直到找出可利用的漏洞为止，针对特定的漏洞使用相关黑客技术实施攻击–主要案例：据部分网络安全专家推测，前期全球爆出的针对多个国家政府机构、著名院校门户网站的黑客攻击，攻击者并没有采用某种特定攻击技术，而是通过APT方法，持续收集和分析信息，使攻击得逞(二)智能手机日益增长的安全威胁13|PresentationTitle|ClientName|XXMonthYear•手机银行病毒（技术门槛低，可复制传播，防护较容易）–背景：2013年3月，腾讯公司的移动安全实验室发布报告，根据腾讯手机安全管家的数据，近期出现了第一款专门针对手机银行的病毒程序–主要功能：主要通过监听手机银行进程，窃取用户输入的卡号、密码等敏感数据，后续可用于网银等其它渠道伪冒交易–主要防护手段：手机银行通过动态密码软键盘、输入数据加密存储、对留存数据及时清场等手段；第三方安全管理软件也可及时发现和关闭病毒(三)针对手机银行的攻击14|PresentationTitle|ClientName|XXMonthYear•权威安全机构的攻击测试（技术门槛高、不易复制、防护较难）–2013年5月，总参三部选择了部分银行的手机银行产品进行了攻击测试，发现部分手机银行存在安全漏洞，可能被利用进行安全攻击逆向工程和二次打包，可植入恶意代码，使客户端执行恶意操作，例如伪冒的资金转账、消费等内存数据截取，造成敏感数据泄露(三)针对手机银行的攻击15|PresentationTitle|ClientName|XXMonthYear二现阶段主要风险及安全技术方案（一）市场涌现的主要安全风险（二）现有安全技术方案及主要成果（三）现有安全管理措施16|PresentationTitle|ClientName|XXMonthYear•针对移动支付的安全风险主要集中在智能手机及移动互联网环境中–常见智能手机病毒造成的安全威胁（根据腾讯移动安全实验室的分析数据）(一)市场涌现的主要安全风险对用户使用手机造成风险，可能产生恶意扣费、远程控制、隐私数据泄露等，部分攻击手段可作为后续直接攻击支付行为的基础资费消耗诱骗欺诈ROOT权限隐私获取恶意监听占用流量系统破坏远程监控恶意传播流氓行为恶意扣费17|PresentationTitle|ClientName|XXMonthYear•针对移动支付的安全风险主要集中在智能手机及移动互联网环境中–针对手机银行的病毒（根据腾讯移动安全实验室的分析数据）(一)市场涌现的主要安全风险窃取银行卡账户密码窃取银行卡号、有效期、CVN2窃取用户登录手机银行密码主要威胁•利用程序编程的漏洞•利用系统组件调用接口•监听进程通信、截取内存数据等（需要ROOT权限）目标：窃取敏感数据18|PresentationTitle|ClientName|XXMonthYear•针对移动支付的安全风险主要集中在智能手机及移动互联网环境中–钓鱼网站、中间人攻击、DNS重定向等互联网攻击手段移植到移动互联网产生的安全威胁主要特点：经过重定向，将WEB界面转移到恶意服务器上，从而窃取用户输入的数据或伪冒交易适用范围：主要适用于移动互联网的WEB页面，由于支付客户端一般采用了HTTPS与服务器之间双向认证，因此该风险较低(一)市场涌现的主要安全风险主要对于使用WEB界面进行支付的用户存在上述安全威胁，由于手机上的第三方安全管理软件使用还不普遍，类似于钓鱼网站的一些技术门槛比较低的攻击可能也会奏效19|PresentationTitle|ClientName|XXMonthYear•针对手机银行或支付客户端的安全加固（防止数据泄露和窃取）–银联基于发改委移动支付安全标准研制项目、公安三所安全测试评估等多项工作，对支付客户端采用了如下手段进行安全加固(二)现有安全技术方案•客户端输入数据安全采用动态密码软键盘不留存敏感数据对敏感数据“清场”功能•客户端完整性、防止反编译代码混淆，防止反编译和破解防止二次打包等手段密钥数据重新编码和隐藏20|PresentationTitle|ClientName|XXMonthYear•针对手机银行或支付客户端的安全加固（防止钓鱼、重定向攻击）–银联基于发改委移动支付安全标准研制项目、公安三所安全测试评估等多项工作，对支付客户端采用了如下手段进行安全加固(二)现有安全技术方案•客户端与服务器双向认证采用HTTPS协议双向认证，防止服务器重定向•客户端与服务器传输加密“一次一密”机制报文计算MAC，防止交易数据篡改订单等计算数字签名，防止篡改经过与不同银行的专题交流，目前大部分银行也针对手机银行采取了类似的安全加固措施，部分银行可能存在安全漏洞，人民银行已发文要求金融机构针对常见安全威胁自查并进行安全改进21|PresentationTitle|ClientName|XXMonthYear•针对手机银行或支付客户端的安全加固（客户端与SE交互安全性）–基于GPAC国际标准，银联与中移动在合作项目中首次采用了新的手机安全方案，可进一步加强客户端与SE交互安全性(二)现有安全技术方案访问控制手机操作系统（OS）安全单元（SE）客户端管理组件金融应用访问规则访问规则同步实现手机OS对访问SE的客户端进行合法性认证，防止恶意程序访问SE，读取IC卡静态数据或伪冒交易22|PresentationTitle|ClientName|XXMonthYear•辅助手段：安装第三方安全管理软件–通过安装第三方安全管理软件，可查杀一些常见的手机病毒、木马，防止恶意程序对支付进程的监听、隐私窃取等常见攻击手段，提升智能手机OS整体环境的安全性(二)现有安全技术方案23|PresentationTitle|ClientName|XXMonthYear•安全工作是一项综合性工作，仅依赖技术手段是不够的，还需要配套的安全管理措施–客户端发布渠道管理和宣传，加强用户宣传和指引，防止下载恶意程序或二次打包后的客户端–做好交易限额等后台风险控制，在风险出现时及时“止付”–关注与传统支付、互联网支付的业务及风控差异，防止利用手机支付特有的一些业务场景发动攻击–对于智能卡、客户端等产品的安全认证管理–对于第三方机构及服务商的入网测试和管理(三)现有安全管理措施从前期发生的一些案例分析，很多案例技术含量很低，主要是对“人”的因素，只要安全管理措施及时落实，可避免市场上可能出现的很多安全风险攻击24|PresentationTitle|ClientName|XXMonthYear三关于未来风险及安全技术方案的探索（一）新形态安全风险分析（二）安全技术方案的顶层设计（三）面向用户的整体安全解决方案25|PresentationTitle|ClientName|XXMonthYear•传统银行卡支付—专有设备和网络环境，与公共开放网络相对隔离(一)新形态安全风险分析非接受理网络转接和支付系统支付账户POS终端是专有设备，不支持开放性系统，无法任意加载应用专线、NAC等构成了专有网络，与公共网络隔离卡组织、银行等的系统和网络环境独立于公共网络系统之间一般采用专线连接发卡和个人化在卡厂和个人化中心完成，物理隔离单应用卡，不支持其它行业应用不支持动态加载，数据安全存储，安全性较高26|PresentationTitle|ClientName|XXMonthYear•基于移动支付特殊性的新型安全威胁(一)新形态安全风险分析移动支付平台POS商圈平台银行卡转接清算中心银行卡账务系统支付环境SETSMSPTSM银行卡发卡系统A…N行业卡发卡系统A…N可信服务环境27|PresentationTitle|ClientName|XXMonthYear•移动支付安全风险的总体分析–发卡过程的安全风险：空中申请