NFC移動(dòng)支付專家：HCE安全僅有Tokenization還不夠

作者：子陽(yáng)

來(lái)源：移動(dòng)支付網(wǎng)

日期：2015-03-13 08:44:40

摘要：Apple Pay最近出現(xiàn)的中間人攻擊，讓人們更加關(guān)注Tokenization技術(shù)的發(fā)展，最近來(lái)自TSM及移動(dòng)商務(wù)軟件與提供商Sequent的高級(jí)產(chǎn)品副總裁 Kaushik Roy就認(rèn)為，確保移動(dòng)支付安全擁有Tokenization還是不夠的，設(shè)備內(nèi)的軟件仍然擔(dān)當(dāng)著移動(dòng)支付安全的重要角色。記者進(jìn)行了簡(jiǎn)要的編譯，以下是其觀點(diǎn)：

關(guān)鍵詞：HCENFC移動(dòng)支付

　　Apple Pay最近出現(xiàn)的中間人攻擊，讓人們更加關(guān)注Tokenization技術(shù)的發(fā)展，最近來(lái)自TSM及移動(dòng)商務(wù)軟件與提供商Sequent的高級(jí)產(chǎn)品副總裁 Kaushik Roy就認(rèn)為，確保移動(dòng)支付安全擁有Tokenization還是不夠的，設(shè)備內(nèi)的軟件仍然擔(dān)當(dāng)著移動(dòng)支付安全的重要角色。記者進(jìn)行了簡(jiǎn)要的編譯，以下是其觀點(diǎn)：

　　在不需要將卡信息儲(chǔ)存在設(shè)備的情況下，HCE云端移動(dòng)支付方式開(kāi)啟了產(chǎn)業(yè)新模式，與此同時(shí)也伴隨著各種風(fēng)險(xiǎn)管理問(wèn)題。

　　缺乏硬件SE的情況下，需要強(qiáng)大的軟件解決方案來(lái)確保敏感卡信息在手機(jī)交易當(dāng)中的安全。Tokenization技術(shù)就是確保云端支付手段的重要解決方案，用Token來(lái)替代PAN碼，保護(hù)PAN碼免于濫用誤用。

　　支付安全有Tokenization技術(shù)就夠了嗎?

　　習(xí)慣上來(lái)說(shuō)，Tokenization意味著一次性的使用數(shù)據(jù)，如果一次性的卡數(shù)據(jù)安全存在風(fēng)險(xiǎn)，那風(fēng)險(xiǎn)也僅僅局限于一次交易中。然而，Tokenization都遵守EMVCo標(biāo)準(zhǔn)，Token的定義是PAN碼的替代，這不等同與一次性的使用數(shù)據(jù)。現(xiàn)在Tokenization已經(jīng)開(kāi)始各種商用，而在手機(jī)上的Tokenization使用，延長(zhǎng)了其活躍壽命，這也同時(shí)給詐騙開(kāi)了一扇窗。最近Spot.me的中間人攻擊事件(SpotMe APP讓用安卓NFC手機(jī)用上Apple Pay)，也將 Tokenizatin的安全推向了風(fēng)口浪尖。

　　Tokenization在云端支付安全當(dāng)中扮演的角色(較之PAN)在重要性方面略低，因?yàn)楹诳图词菇孬@了Tokenization也不能盜取卡信息或者其他用途(這也意味著Tokenization更容易截獲)。此外，在手機(jī)數(shù)據(jù)庫(kù)的加密和功能形態(tài)，讓支付信息更容易遭到攻擊。

　　這兩方面的因素是HCE和Tokenization發(fā)展至關(guān)重要的。一個(gè)是動(dòng)態(tài)的Token，一個(gè)則是設(shè)備內(nèi)的安全和管理。

　　HCE支付的服務(wù)提供商一般熟悉卡的發(fā)行以及個(gè)性化。而卡發(fā)行和個(gè)性化在SE和HCE兩種形式的移動(dòng)支付解決方案中都有許多共同。二者最關(guān)鍵的不同是，基于SE的解決方案是靜態(tài)的，而HCE是動(dòng)態(tài)的。動(dòng)態(tài)的發(fā)行需要?jiǎng)討B(tài)的卡信息管理以及賬戶信息管理，而Tokenization卻不需要。

　　設(shè)備管理是監(jiān)測(cè)各種閾值參數(shù)的能力，從而為各種事務(wù)的處理以及執(zhí)行提供信息。設(shè)備安全，是基于軟件SE來(lái)保護(hù)設(shè)備中的卡信息、加密以及功能安全。此外，也需要維護(hù)應(yīng)用的完整性，以抵御黑客攻擊。所以說(shuō)，設(shè)備的安全保障非常重要。特別是隨著HCE支付發(fā)展，所有可用的安全工具都可能被應(yīng)用，無(wú)論是基于網(wǎng)絡(luò)的Tokenization還是動(dòng)態(tài)發(fā)行和管理，亦或是逐漸成熟的指紋技術(shù)。

　　小編注釋：Kaushik Roy是Sequent的高級(jí)產(chǎn)品副總裁，擁有20年的軟件應(yīng)用經(jīng)驗(yàn)，同時(shí)他也參與撰寫(xiě)了多個(gè)移動(dòng)支付、NFC和流程管理技術(shù)專利。本文Kaushik Roy想表達(dá)的觀點(diǎn)是，未來(lái)的HCE安全，不僅僅是需要Tokenization的參與，還需要基于手機(jī)自身設(shè)備安全管理的參與，其中還包含著各種安全認(rèn)證技術(shù)，在Apple Pay的引領(lǐng)下，指紋技術(shù)正在逐漸加入到支付安全的技術(shù)保障行列，未來(lái)任何能錢包設(shè)備安全的技術(shù)，都可能結(jié)合HCE，扮演應(yīng)有的安全防護(hù)者。