近年来,随着智能手机的迅速普及,移动支付成为热门话题,各类移动支付产品层出不穷。作为安全领域的产品,移动支付涉及到了用户的资金安全,因此受到了用户的格外关注。基于PC环境的网络支付,经过前些年的发展,逐渐暴露出诸如病毒、钓鱼网站等安全问题,因此,当普通用户拿到一款移动支付产品时,首先关心的是:安全吗?
事实上,与PC系统相比,手机系统更加封闭,黑客可以利用的技术漏洞更少。而众多厂商为了保证移动支付的安全性,使用了各种先进的安全技术,移动支付总体上达到了相当高的安全标准。近年来,国产低功耗安全芯片技术取得了长足发展,为研发低成本、高安全的移动产品奠定了基础,使国内手机支付的春天提前来临。
目前国内移动支付方案提供商众多,产品繁杂,总体而言,可分为有硬件保护和无硬件保护两大类。有硬件保护方案一般采用金融级安全芯片,对传输的数据进行加解密,安全性更高,被视为移动支付产业未来的发展方向。本文将通过剖析一款典型的有硬件保护产品——钱袋宝扩展卡,来分析各种用于移动支付的安全技术。
首先,什么是钱袋宝扩展卡?
从外观上看,钱袋宝扩展卡是一张0.125毫米的超薄金融智能卡,可加载最多10张加密的银行卡信息。用户无需更换现有的手机和手机卡,只需把钱袋宝扩展卡粘贴到手机卡上,就可以通过便捷的STK|UTK菜单来操作各项金融功能。借助手机的无线通信技术和覆盖全国的移动通信网络,手机可变成随时、随地、随身的个人金融支付终端,持卡人可以享受足不出户的金融支付服务。
钱袋宝扩展卡采用了哪些安全措施:
1. 物理安全
从本质上讲,钱袋宝扩展卡是一张典型的智能卡,符合ISO7816国际规范中针对有毒性、耐化学性、温度稳定性、湿度、光、污染、紫外线、X-射线、电磁场、静电等要求。通电工作后,内置的COS(Chip Operating System)系统对卡内信息的存储和访问权限都进行了严格设置,外部指令无法读取卡内敏感数据信息。
2. 操作界面安全
智能手机逐渐普及,很多用户开始担心,自己的手机是否会感染病毒?Android手机root后、iPhone手机越狱后是否安全?自己下载的应用程序是否是官方版本?这些担心对于钱袋宝扩展卡来说都是多余的,钱袋宝扩展卡只能通过单一的7816指令与外界进行通信,目前各类手机操作系统对7816指令的调用权限管理得非常严格,所以手机中的应用程序无法通过调用7816指令来嗅探扩展卡中的信息。
事实上,用户在实际使用时无需下载任何应用程序客户端,只需也只能通过手机自带的STK|UTK菜单来操作各类金融应用。即使将来用户的手机操作系统被破解,感染恶意病毒,存储在钱袋宝扩展卡中的金融信息也不会失窃,因为钱袋宝扩展卡芯片内部设置了自我保护的熔断器机制,当遭到DPA/SPA等暴力破解时,芯片会马上自动熔断内部所有电路。
3. 多重密码保护
钱袋宝扩展卡在安装到用户手机后,一旦添加银行卡,将被强制要求设置登录密码。用户每次进入钱袋宝扩展卡的应用菜单都必须输入登录密码进行登录;钱袋宝扩展卡采用了超时自动退出设计,用户登录后,30秒内无操作将自动退出应用系统。当涉及银行卡操作,如转账、查询、消费时,必须输入相应银行卡账户的付款密码。
对于异常终端用户,钱袋宝服务器端可实现对于终端的快速锁定,对于锁定终端,用户即便拥有登录密码也无法登录进入钱袋宝扩展卡应用系统,直至卡片的锁定状态解除。
4. 与手机卡绑定
普通用户对移动支付产品的一个常见的问题是:如果我的手机丢了怎么办?钱袋宝扩展卡采用了金融芯片与手机卡一一绑定的策略,一旦激活使用,钱袋宝扩展卡只能在绑定的那张手机卡上使用。如果手机丢失,用户只需要新办一张手机卡,原来的钱袋宝扩展卡就会失效。
