mPOS是近年出現(xiàn)并得到迅速發(fā)展的一種新型受理產(chǎn)品,不少機(jī)構(gòu)和生產(chǎn)企業(yè)進(jìn)行了各種形式的試點(diǎn)。由于mPOS引入了手機(jī)、平板電腦等通用智能移動設(shè)備,并通過互聯(lián)網(wǎng)進(jìn)行信息傳輸,因此其安全特點(diǎn)與傳統(tǒng)銀行卡受理終端存在不同;同時(shí),市場對mPOS含義認(rèn)識不一,安全水平參差不齊,因而也對安全管理提出了更大的挑戰(zhàn)。本文基于銀聯(lián)終端工作組研究成果,結(jié)合最新發(fā)布的《中國銀聯(lián)mPOS通用技術(shù)安全要求》(以下簡稱《要求》),對mPOS技術(shù)概念、安全目標(biāo)和技術(shù)要求進(jìn)行解讀,并提出系統(tǒng)應(yīng)用部署的安全方案示例供交流和參考。
一、銀聯(lián)mPOS技術(shù)概念
mPOS是一個(gè)整體概念,包括終端設(shè)備和相關(guān)應(yīng)用。具體指,通過移動通訊設(shè)備(含所搭載的支付應(yīng)用軟件)進(jìn)行商戶收銀操作,由外接專用受理終端完成銀聯(lián)卡相關(guān)信息的采集和加密,通過移動通訊設(shè)備與后臺處理系統(tǒng)交互完成交易,這一過程涉及的前端專用軟硬件設(shè)備總稱即為mPOS。
上述定義體現(xiàn)了以下幾個(gè)重要概念:
(一)“移動”設(shè)備
“mPOS”這一名稱最早在境外流行,全稱為“mobile POS”。加入“mobile”,體現(xiàn)了該類產(chǎn)品的“移動”特征:一是體現(xiàn)“移動通訊設(shè)備”對銀行卡支付受理的參與;二是體現(xiàn)專用受理終端亦是移動的、便攜的。
但是,mPOS在境內(nèi)市場不等同于中文直譯的“移動POS”。因?yàn)閲鴥?nèi)業(yè)界習(xí)慣于將無線POS、手持POS稱為“移動POS”,因此在各類技術(shù)標(biāo)準(zhǔn)、業(yè)務(wù)規(guī)則、以及宣傳材料中一般直接采用“mPOS”這一英文縮寫,“移動POS”往往另有他指。
分享到
(二)商戶收單
銀聯(lián)mPOS是以商戶收單為目的、以收單級別為安全目標(biāo)的受理產(chǎn)品,這與境外有所區(qū)別。境外(例如美國)市場mPOS概念很寬,包括了Square等手機(jī)外接刷卡器類產(chǎn)品、手機(jī)自身集成刷卡器類產(chǎn)品、以及銀聯(lián)定義中的產(chǎn)品。境內(nèi)市場對個(gè)人支付和商戶收單進(jìn)行了區(qū)分,設(shè)定了不同的業(yè)務(wù)、風(fēng)險(xiǎn)和技術(shù)要求,管理手段也存在較大的差異。Square等手機(jī)刷卡器、迷你付等互聯(lián)網(wǎng)IC卡終端等均為個(gè)人支付類產(chǎn)品,由相應(yīng)的技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)規(guī)則進(jìn)行界定,不屬于銀聯(lián)mPOS定義范圍。
(三)mPOS是整體概念
標(biāo)準(zhǔn)和管理規(guī)則中的mPOS包括了硬件設(shè)備部分(專用的外接受理終端)和支付軟件部分(移動通訊設(shè)備上的應(yīng)用軟件),單純的外接設(shè)備不能等同為mPOS。其實(shí)整個(gè)系統(tǒng)前端還包括手機(jī)、平板電腦等移動通訊設(shè)備(技術(shù)上稱其為“上位機(jī)”),但由于上位機(jī)為通用電子產(chǎn)品,非金融定制,因此一般對其不進(jìn)行要求和限制。
(四)高要求的外接終端
mPOS中的外接受理終端是專用的安全設(shè)備,需要完成卡片讀取、PIN輸入、數(shù)據(jù)加解密、提示信息顯示等操作,與手機(jī)刷卡器等個(gè)人支付終端相比較,具有更高的安全性,這也是其運(yùn)用于商戶收單、區(qū)別于個(gè)人支付設(shè)備的關(guān)鍵因素。
二、mPOS系統(tǒng)抽象架構(gòu)
分享到mPOS系統(tǒng)抽象架構(gòu)以及其中各組成部分的功能見上圖說明。以此為基礎(chǔ),mPOS在具體形態(tài)上具備靈活性。
在外接方式上,受理終端既可以通過Micro-USB等有線方式、也可以通過藍(lán)牙等無線方式與手機(jī)等上位機(jī)連接。
在移動通訊設(shè)備上,不限制設(shè)備類型——可以是智能手機(jī)、平板電腦等;不限制運(yùn)行環(huán)境——主要指操作系統(tǒng),可以是Android、iOS、Windows等。
在后臺通訊方式上,既可以通過3G/4G無線連接,也可以通過WiFi連接。
三、mPOS技術(shù)安全分析
mPOS在對受理產(chǎn)品進(jìn)行創(chuàng)新的同時(shí)也引入了一些潛在風(fēng)險(xiǎn),特別是線下收單設(shè)備運(yùn)行環(huán)境打破了傳統(tǒng)的封閉格局,處于一個(gè)開放的環(huán)境中,容易受外部環(huán)境的威脅和攻擊,主要呈現(xiàn)以下特點(diǎn):
一方面,區(qū)別于傳統(tǒng)全線路專線化的傳輸環(huán)境,mPOS及其相關(guān)應(yīng)用和系統(tǒng)通過各種方式接入公共網(wǎng)絡(luò),使安全度較低的公網(wǎng)成為信息傳輸線路的組成部分,交易數(shù)據(jù)和設(shè)備管理信息受到截取、篡改、重放等攻擊的可能性和容易性升高。
另一方面,智能手機(jī)、平板電腦(PAD)等設(shè)備功能日益強(qiáng)大,使用體驗(yàn)不斷提升,因此mPOS方案中將其作為受理終端的上位機(jī)使用,訂單生成、交易上送甚至部分交易處理操作在上位機(jī)完成。由于智能終端通常搭載開放操作系統(tǒng),同時(shí)接入公網(wǎng),加之系統(tǒng)破解、獲取root權(quán)限等用戶現(xiàn)象的存在,易被木馬、病毒等攻擊,上位機(jī)設(shè)備本身的安全難以保障,對賬戶數(shù)據(jù)和支付信息的保密性、真實(shí)性、完整性等均提出了挑戰(zhàn)。
四、安全目標(biāo)和技術(shù)要求
(一)安全目標(biāo)
安全目標(biāo)是產(chǎn)品設(shè)計(jì)、生產(chǎn)、使用、維護(hù)的基本技術(shù)安全原則。由于受現(xiàn)有技術(shù)條件、認(rèn)識水平和研究能力約束,具體的技術(shù)要求存在未能完全覆蓋和掌控安全點(diǎn)的可能,但安全目標(biāo)為各參與方提供了基本框架、指出了工作方向。mPOS技術(shù)安全目標(biāo)包括以下四個(gè)方面:
一是應(yīng)保證賬戶信息安全。對磁道信息、PIN、卡片驗(yàn)證碼、卡片有效期等敏感信息,以及涉及的私有密鑰和證書,進(jìn)行有效保護(hù)。
二是應(yīng)保證其他關(guān)鍵交易信息安全。交易金額、交易類型、貨幣類型、商戶號、終端號、終端硬件序列號、交易流水號等表征交易的關(guān)鍵信息,在處理和傳輸過程中應(yīng)不被篡改。
三是保證交易的真實(shí)性。對交易報(bào)文的來源進(jìn)行鑒別,保證交易真實(shí)有效,防止信息偽造和重放攻擊。
四是應(yīng)具有安全提示。向操作人(包括持卡人和收銀員,重點(diǎn)是持卡人)提供獲悉真實(shí)交易信息、判斷交易正常與否、指示下一步操作的有效參考途徑。
(二)技術(shù)安全要求
標(biāo)準(zhǔn)對mPOS的要求分為基本要求和疊加要求兩部分,均屬于通用技術(shù)要求范圍,對具體實(shí)現(xiàn)方案不進(jìn)行限制。
1、基本要求
根據(jù)原有標(biāo)準(zhǔn),為mPOS的主要組成部分設(shè)置基礎(chǔ)和前提性的要求,主要包括:受理終端應(yīng)首先滿足《PIN輸入設(shè)備安全規(guī)范》要求;上位機(jī)軟件應(yīng)首先滿足《支付應(yīng)用軟件安全規(guī)范》;后臺處理系統(tǒng)應(yīng)滿足《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》、《銀聯(lián)卡賬戶信息與交易數(shù)據(jù)安全管理規(guī)則》、《第三方機(jī)構(gòu)接入銀聯(lián)技術(shù)安全要求》等要求。
2、疊加要求
在基本要求基礎(chǔ)上,對各部分提出針對mPOS特點(diǎn)的疊加要求,具體項(xiàng)目不再贅述,僅對關(guān)鍵內(nèi)容概括舉例如下:
對于受理終端,應(yīng)具有安全讀取賬戶信息的功能(包括磁條卡和IC卡),對卡片數(shù)據(jù)進(jìn)行有效保護(hù);應(yīng)能夠顯示交易類型、金額、結(jié)果等足夠操作和判斷的信息,并確保提示信息收到保護(hù);設(shè)備固件、程序的下載和更新應(yīng)具有合法性的驗(yàn)證機(jī)制;設(shè)備應(yīng)保證“一機(jī)一密”要求的落實(shí),并建議在交易過程中實(shí)現(xiàn)“一次一密”密鑰機(jī)制;應(yīng)有設(shè)備簽到機(jī)制,并向后臺處理系統(tǒng)上送設(shè)備序列號,同時(shí)具有對后臺系統(tǒng)合法性的驗(yàn)證能力;對外提供的加密功能進(jìn)行限制,對外提供MAC校驗(yàn)功能需進(jìn)行關(guān)鍵域校驗(yàn)或強(qiáng)制填充;傳輸協(xié)議和接口進(jìn)行安全保護(hù);私有密鑰和證書進(jìn)行安全保護(hù);具備抗重放機(jī)制等。
對于上位機(jī)(支付應(yīng)用軟件),要求上送上位機(jī)唯一特征碼作為參考信息;與后臺系統(tǒng)之間采用安全協(xié)議進(jìn)行數(shù)據(jù)傳輸;具有用戶訪問控制;建議上送地理位置信息。對于后臺處理系統(tǒng),要求對受理終端進(jìn)行合法性驗(yàn)證,并與受理終端配合實(shí)現(xiàn)防交易重放的功能。
3、其他方面
mPOS的前端核心安全主要由受理終端實(shí)現(xiàn),由支付應(yīng)用軟件和后臺處理系統(tǒng)配合。但受理終端主要提供設(shè)備安全,整體上必須由實(shí)際部署的應(yīng)用流程和安全機(jī)制給予有效支撐。因此,在支付應(yīng)用軟件的認(rèn)證過程中,要求提交詳細(xì)的整體設(shè)計(jì)方案(包括受理終端至后臺處理系統(tǒng)的交互全流程和關(guān)鍵操作)供初步評估。
五、國外標(biāo)準(zhǔn)情況
EMVCo在2013年10月成立mPOS工作組,負(fù)責(zé)研制技術(shù)白皮書,銀聯(lián)參與了研制。EMVCo希望通過白皮書來整體性地顯示所有可能的mPOS形態(tài)和方案思路,但暫時(shí)不做技術(shù)標(biāo)準(zhǔn)及認(rèn)證上的強(qiáng)制要求,事實(shí)上暫時(shí)放開了對mPOS的限制。
PCI是國際支付卡安全標(biāo)準(zhǔn)組織,提供境外銀行卡產(chǎn)品的安全標(biāo)準(zhǔn)和認(rèn)證服務(wù)。PCI已和EMVCo聯(lián)合開展mPOS安全技術(shù)的研究,但尚未有針對性標(biāo)準(zhǔn)。
總體上,目前境外并沒有針對mPOS的完整技術(shù)規(guī)范,銀聯(lián)發(fā)布的mPOS技術(shù)安全要求及配套認(rèn)證是該領(lǐng)域首個(gè)標(biāo)準(zhǔn)化服務(wù)。
六、其他實(shí)施建議
(一)處理流程
支付安全是整體性、系統(tǒng)性課題,在mPOS這類創(chuàng)新產(chǎn)品上顯得尤為突出。軟硬件設(shè)備自身的安全僅僅是其中一個(gè)方面,處理流程的設(shè)計(jì)和實(shí)施效果將直接影響整體安全性。
(二)交易組包
交易組包是處理流程中的關(guān)鍵問題。建議支付核心信息的報(bào)文組包和加密保護(hù)在受理終端完成。在現(xiàn)有條件下,不建議在上位機(jī)組包;如因業(yè)務(wù)需要確實(shí)需進(jìn)行此類部署,收單機(jī)構(gòu)應(yīng)充分評估其風(fēng)險(xiǎn),設(shè)計(jì)強(qiáng)化的安全機(jī)制和配套的業(yè)務(wù)風(fēng)險(xiǎn)管理機(jī)制,并謹(jǐn)慎應(yīng)用。如后臺處理系統(tǒng)實(shí)現(xiàn)報(bào)文組包等交易處理邏輯,應(yīng)強(qiáng)制實(shí)現(xiàn)受理終端與后臺處理系統(tǒng)建立數(shù)據(jù)傳輸?shù)陌踩ǖ?,并制定相?yīng)的密鑰和信息交互安全機(jī)制;此外,由于該模式對通訊穩(wěn)定性有較高要求,實(shí)際部署效果未必理想。
(三)后臺系統(tǒng)安全
建議加強(qiáng)賬戶信息和系統(tǒng)技術(shù)安全的設(shè)計(jì)和管理,使之有效抵御網(wǎng)絡(luò)攻擊,防止非法終端對系統(tǒng)影響,及時(shí)處理異常。
(四)參考實(shí)踐方案
標(biāo)準(zhǔn)工作組針對mPOS設(shè)計(jì)了一些技術(shù)安全解決方案示例,以“資料性附錄”的形式,對《要求》提供適當(dāng)補(bǔ)充,為受理終端、上位機(jī)支付應(yīng)用軟件、后臺處理系統(tǒng)的設(shè)計(jì)和開發(fā)提供技術(shù)參考,不作為強(qiáng)制要求。
