前言
电话支付作为电话和POS支付相结合的创新电子支付手段,经过近六年的发展,无论是终端机具、平台系统、应用模式、市场培育、客户接受程度等均已经相当成熟。目前各金融机构布放的各类电话支付终端累计已经超过200万台,已经成为了和传统POS、ATM并驾齐驱的主流电子支付渠道之一。那么,电话支付交易的安全性到底如何?这是很多商户、消费者以及金融机构普遍关心的问题。尤其是中国银联正式出台了电话支付终端技术规范后,布放在商户、批发市场、有人值守代办点等场所的II型终端从哪些方面来保证交易的安全性?
下文将从联机交易安全、终端机具安全、业务管理等三方面对电话支付的安全性作全面详细的分析。
第一章、电话支付产业发展回顾与展望
2003年电信以及银联开始考虑针对个人家庭用户的电话和POS功能相结合的新型的电子支付产品,于是出现了电话支付最早的产品雏形。它在不同行业有不同的一些称谓,例如电信运营商一般称之为固网支付,一些银行称之为转账电话或者电话POS,等等。
2003年~2006年间,电话支付行业还处于探索期,银联、商业银行、电信等从不同角度对行业发展进行了多种铺垫和探索,各自在一些区域进行了小规模的试点和尝试。但总的来说,终端总量较低,市场处于起步期,规模增长较为缓慢。
2006年~2008年是电话支付行业的应用培育期。经过前期的探索,业务应用逐步集中在了商户和批发市场的老板收款、针对个人市场的信用卡还款以及各类缴费业务等业务上。此阶段整个产业链架构基本完成,基础设施铺设到位,终端设备在全国范围内逐渐普及,消费者对电话支付产品也逐渐认可,所以产业得到了快速的发展,截至2008年底终端布放量超过了100万台。但同时产业内部的一些问题也日益突出。主要表现在:(1)随着市场的快速发展,大大小小各种终端厂商纷纷涌入,厂家实力和产品质量良莠不齐,行业缺乏强制和统一规范的机具认证标准;(2)行业缺乏统一的技术标准:各厂商纷纷采用自己的技术标准建设平台,导致各种系统平台标准不统一,终端机具不兼容,也增加了终端厂商的研发和维护成本。(3)对电话支付业务的开展缺乏统一规范的业务管理和引导,各金融机构大多是自行发展,自行管理。随着终端布放量的急剧放大,如何加强对电话支付业务的管理,规避业务风险的问题已经提到日常上来。
正是在这样的产业发展阶段和背景下,中国银联在2008年下半年开始组织制定了电话支付终端技术规范以及业务管理办法,并于09年2月正式颁布。这势必将为产业后续持续健康快速的发展打下了良好的基础。
2008年~2012年将是电话支付快速发展的黄金时期。目前,国内包括银联、各国有大商业银行以及中小商业银行都已经开展了电话支付业务。经过多年的培育,电话支付已经积累了逾200万台的规模,同时用户对电话支付业务已经达到一定熟悉程度,使用习惯和消费依赖性已经形成,因此,用户数量和质量都有较大幅度增长,市场规模开始迅速增长,盈利空间逐步释放。同时,商业模式方面,除了继续在批发市场和中小商户等广泛推广外,大规模进入个人家庭、办公室、有人值守的代办点等场所地时机也日渐成熟。在未来三年内,电话支付终端有望突破1000万台的规模,覆盖的用户数量将达到3亿人,交易规模到2012年更是将接近2万亿元大关。
第二章、电话支付的安全性
电话支付I型终端主要布放在个人家庭,使用环境相对比较简单和安全;II型终端主要布放在批发市场、中小商户等场所,使用环境和传统POS比起来更复杂,所以某种程度上说,对II型终端的安全性要求甚至要超过传统的POS。下面我们主要从联机交易的安全性、终端机具的安全性以及业务管理等三方面对电话支付尤其是II型终端的安全性进行介绍。
2.1、联机交易的安全性
电话支付利用PSTN 公共电话网络,通过FSK信号进行传输,在平台一侧使用数字语音卡或者交换机作为接入设备。和传统POS类似,电话支付交易时需要刷银行卡和输入密码,这种“有磁有密”的交易模式与电话银行以及网上银行相比,更容易被消费者接受。
对交易报文中的敏感数据,包括磁条信息和PIN,电话支付都进行了128位的高强度3DES加密。在报文最后,加有经过一系列加密处理过后产生的报文鉴别码MAC(Message Authentication Code)来保证报文的完整性和正确性,防止在传输过程中被非法篡改。交易过程中,终端上不保存任何诸如PIN、磁道信息、卡片有效期、卡片验证码等敏感数据。
考虑到I型、II型终端的使用环境、使用方式、机具成本、安全管理方式等各方面的差异,电话支付I型、II型终端采用了不同的安全体系。I型终端使用TSAM卡作为加密设备,每次都通过随机数分散算法产生动态密钥作为本次交易的工作密钥,这样就实现了I型终端的“一次一密,一机一密”的安全特点。而II型终端强制要求使用密码键盘作为加密设备,采用和传统POS类似的“签到”方式的安全体系。当需要进行密钥更新时,终端需要进行签到操作。密码键盘中保存有多组工作密钥,每组密钥中包含了PIK、MAK 和TDK三个密钥,分别用于PIN、MAC计算、磁道加密等用途。PED的PIN BLOCK加密算法符合ISO9564的标准。
电话支付还有一种特殊的交易安全措施是其他支付方式所不具备的:电话号码、TSAM卡(密码键盘)和终端序列号之间的绑定。这个措施,保证了该终端只能在固定场所、固定线路上进行交易,而无法随意更换和移动,极大地提升了电话支付广泛应用时的安全性。
另外,电话支付每台终端都具有独立的终端主密钥,这也是电话支付安全管理方面的一个特点。
2.2、终端机具的安全性
中国银联电话支付终端规范的出台,一个重要意义是对终端机具的安全进行了详细而明确的要求,并由银行卡检测中心开始对电话支付终端机具进行全面而严格的认证工作。这在国内电子支付的发展史上还是首次。尤其是对II型终端,由于它主要布放在批发市场、中小商户等场所,使用环境复杂,所以对它的要求更是严格,是参照国际上要求最权威最严格的PCI标准进行认证的。
升腾资讯公司作为国内领先的电话支付厂家,较早通过了银联I型、II型终端的认证。 下面我们就以II型终端C730E为例,来防入侵、逻辑安全等方面阐述一下机具本身的安全性。
◆ II型终端的防入侵机制
具有有效的防入侵机制是II型终端安全性的重点之一。C730E II型终端和密码键盘都必须具有拆机自锁功能,配备有备份电池,即使在断电情况下也具有多个感应点来检测外壳是否被打开。一旦机具被打开,则自动锁定并不可恢复,内部敏感数据被自动擦除。处于锁定的机具只有回到厂家使用专用设备才能进行维修。
作为II型终端最核心的安全设备-密码键盘,C730E 配套密钥键盘CK-30使用了专用的具有自毁功能的安全芯片来作为处理器,该芯片内部有外壳传感器、温度传感器、电池电压传感器、用于频率检测的RTC传感器等多种传感功能,所以可以通过多种独立的安全机制来防止包括破坏外壳、拆机、钻孔、化学溶剂融化、过高过低电压、过高过低温度、异常频率输入到CPU等多种入侵手段。一旦检测到这些非法行为,CK-30密码键盘会触发保护机制,清除敏感数据,进入“自毁”状态。而在硬件布板上,CK-30密码键盘也采用了MESH电路、盲埋孔、多层电路板、导电橡胶、增加保护层等多种防窥和防破解措施。
在物理层的设计上,C730E 密码键盘的敏感数据和敏感功能都在安全芯片CPU内部,而且仅在PED被保护区域内使用,不会出现在外部总线上。在芯片外部安装有防护盖,它采用了柔性电路板布置成网状结构,为敏感数据和敏感功能添加了一道屏障。一旦4个防拆开关、金属保护盖、MESH保护电路等中间的一个被触发,密码键盘将会自动擦除内部的BPK等敏感数据,进入不可用状态。
安全芯片由于是BGA封装,所有引脚都隐藏在芯片下面,每个引球只有0.4mm大小,很难触及到,而且不预留有调试接口。
◆ II型终端的逻辑安全机制
C730E II型终端主机和密码键盘都有开机自检和定期自检的机制,除了对一般硬件是否正常的检测外,还包括入侵检测、程序完整性检测、硬件真实性的检测等等。
同时,C730E II型终端为了保证机具安全对密钥的使用和管理做了很多处理。例如,不允许使用PIN加密密钥或者密钥加密密钥对任意数据组合进行加解密运算;不允许输出私钥或者秘密的明文密钥或者PIN明文;不允许从高安全组件向低安全组件传递明文密钥;禁止未经授权的密钥替换和密钥滥用;对密钥的管理严格按照ISO11568或者ANSI X9.24标准规定等等。
在电话支付交易过程中加密算法会使用到随机数。II型终端中随机数要求是由硬件生成的,保证了它的足够随机,大大提高了被破解的难度。CK-30在机具认证时依据严格的NIST PUB800-22标准通过了包括频率测试、游程测试、累积和测试、二元矩阵秩测试、离散傅立叶变换测试、随机漂移测试等在内的十五项高强度测试。
同时为了减少由于未授权使用敏感服务而带来的风险以及防止利用盗取的设备穷举探测来获得PIN,C730E 对一定时间内PIN允许输入的次数进行了强制限制。一旦超出规定的范围,终端会强制返回到正常状态,不允许继续输入。
◆ 其他
为了保证II型终端在复杂环境下的机具安全性,按照中国银联的要求,升腾C730E II型终端还具有以下设计和控制措施:
■ 终端具有独特外观,保证无法通过零售市场上能采购得到的商品组件来组装;
■ PIN输入时密码以*进行显示,不同数字按键音要完全相同;
■ 密码键盘具有防窥设计,防止其他人对PIN输入的窥视;
■ 交易数据的输入和PIN输入分开,防止由于持卡人误操作导致在屏幕上显示PIN明文;
■ 软件版本文件具有多重加密处理的安全机制,终端升级时会对版本的真实性、完整性进行有效的验证,防止软件版本文件被非法篡改。
■ 在软件版本的变更控制上,升腾公司也有完善的管理控制流程。每次终端软件版本的升级,都要经过变更申请、预估安全模块变更风险、预估工作量和进度偏差、变更的审查和批准、变更的实施、变更结果的验证、变更受控并发布等流程的控制。整个过程都有完整记录,可供审计。
2.3、强化业务管理防范交易风险,提高交易安全
电子支付渠道的安全性并不仅仅依赖于联机交易的安全机制和终端机具的安全措施等技术手段,规范有效的业务管理能够规范银行卡市场秩序,防范业务风险。所以,在电话支付渠道的管理方面,各商业银行和中国银联也出台了相关的业务管理办法。
在银联关于电话支付跨行交易的管理规定中,对I型和II型终端上能够受理的业务进行了明确的规定。自助支付类业务包括自助消费业务、自助转账业务和信用卡还款业务。非自助支付类业务包括特定商户通过电话终端发起的面对面支付业务。在这样的业务类型划分下,布放于家庭用于自助支付类业务的电话终端可采用I型电话终端;布放于家庭以外,包括但不限于单位办公场所、有人值守的便民服务点等场所,用于自助支付类业务及用于非自助支付类业务的电话终端必须采用II型电话终端。
金融机构对电话支付业务的申请和审核也具有一定的要求,包括申请时申请人的资质要求、必须提供的各种材料、信息登记、帐号的绑定、终端机具的发放和安装、用户回访和维护等等都具有详细的规定和执行流程。同时,中国银联在《电话支付终端跨行业务处理方案》中对电话支付系统端的管理也有较为详细的规定,包括报文必须上送域的要求、商户类别码(MCC)分类、差错处理、应答码的规定等等。随着银联对电话支付跨行交易管理办法的出台,目前大多数的电话支付系统平台都需要随之做一定的改造。
为了防范交易风险,一般商业银行对商户银行帐户存款、单笔交易限额、单日交易限额等根据自身管理办法都会做一定的规定。
第三章、结束语
经过以上的分析我们可以看出,电话支付终端尤其是II型终端的机具无论是联机交易、终端机具还是业务管理方面都有极严格的规定,它的安全性完全能够满足批发市场、中小商户、有人值守代办点、办公室等复杂环境下的安全要求。
电话支付已经成为了主流的电子支付渠道之一,相信在中国银联的电话支付终端相关技术和业务管理规范出台后,整个产业将更加健康规范地高速发展,电话支付产业的春天已经来临!
|
