基于风险防护的支付安全技术发展研究

来源 :计算机世界 | 被引量 : 0次 | 上传用户:study_sky
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  对于支付安全风险的防护,事前的防控技术尤为重要。采取加密、支付标记化等技术,就能有效地防止数据泄密。
  1、支付标记化技术
  支付标记化技术用一串数替换了现有卡号,并限定了这一串数泄露后被用于欺诈的交易场景、使用范围。EMVCo于2014年3月发布了标记化技术框架,提出了与现有业务模式兼容的标记化应用流程,将标记化应用在线上商户、数字钱包、NFC支付以及二维码支付等领域,有效地降低了无卡交易欺诈,成功用于苹果支付。采用标记化技术避免把卡号直接留存终端设备、商户系统,即使黑客获取了支付标记也没法使用,支付标记泄漏没有影响。金融机构可以通过为用户重新分配一个新的支付标记,避免重新发卡、大大降低成本,也使得移动支付更安全和便捷。
  目前,中国银联已经建立了支付标记化服务系统(TSP),可面向金融机构、商户提供支付标记化服务,帮助机构在发展创新业务的同时,保障银行卡信息安全。
  2、端到端加密技术
  端到端加密技术要求在交易发起时,敏感账户信息能在安全的终端中实现加密,在交易的必经环节(商户、收单机构、卡组织、发卡机构等)能在安全的环境中进行加密转换、解密或者密文验证,用于加解密的密钥需要实现安全存储和时效性要求。加密技术并不是新的技术,但真正要做到安全加密,既要有可靠密码算法的支撑,也要达到足够的加密强度,还要能保障密钥的存储安全。在此基础上,端到端加密还需要支付环节与环节之间有效衔接,做到所有环节信息存储、信息传输的加密保护。
  (二)事中风险监测技术
  1、多元化、基于风险评估的身份认证技术
  真实、有效的身份认证是交易授权的保障。在交易过程中,选择与业务匹配的的身份认证模式判断用户身份的真实性,监测伪造身份的风险,为交易授权提供依据。
  对于线下有卡支付,其安全性主要取决于能否有效实现对用户身份真实性、卡片真实性以及交易真实性的鉴别。其中,对于用户身份真实性的鉴别,需要通过两个要素来确定:第一,用户拥有属于自己的银行卡;第二,用户拥有银行卡口令。对于卡片的真实性,其本身的安全性决定了其防复制的可能性。磁条卡的卡片特性决定了容易被伪造,而新一代的金融IC卡,采用安全芯片以及非对称密码算法实现动态认证,可以有效防止信息被复制、制造伪卡。对于交易的真实性,通过交易过程中对关键数据的加密(PIN加密、报文完整性校验等)来保证交易中的数据未被篡改且真实发生过。
  对于线上无卡支付,用户、银行、商户均隐藏在网络背后,如何验证用户的身份、防止交易抵赖与欺诈,已经成为了用户能够信赖接受银行卡创新支付手段的关键。在未来的支付领域,基于密码的身份认证方式将逐步被取代,取而代之的是多样化、智能化的身份认证模式。(见表1)
  尤其是进入移动互联网时代,参与认证的信息逐渐拓宽至持卡人随身使用的移动终端、智能设备。用户在支付过程中所使用终端的参数信息可以被应用程序所采集,后台系统智能学习后,基于特定的算法产生唯一的“设备指纹”,具备了对用户设备进行认证的能力。此外,持卡人的行为特征也可被采集作为重要的认证信息,系统通过记录、识别用户的日常支付场景和消费习惯,形成了用户独有的行为模型,也可以辅助进行用户身份认证。上述模式下,由移动终端上的应用程序自动采集信息,后台系统进行评估分析,简化了用户的身份认证。当后台系统评估发现设备指纹或者用户行为特征发生变化时,才会要求用户提供其它认证信息对用户身份确认,这就是“基于风险评估的身份认证”(Risk-Based Authentication)。
  2、实时交易风险监测技术
  实时的交易风险监测是发现、控制欺诈交易风险的重要手段,主要包括以下核心技术:
  用户数据采集:在用户网上购物、支付过程中,将产生海量数据,主要包括用户设备数据、用户行为数据、用户交易数据、用户商品信息等,这些数据存储下来,作为风险监测与分析的基础数据。
  智能化风险分析:在大数据收集、存储的基础上,需要建立智能化的大数据分析引擎,智能地学习、分析数据,建立相应的风险分析模型,形成欺诈交易的特征库及黑名单。
  实时欺诈交易拦截:对于线下有卡支付,采用IC卡芯片安全技术后,伪卡交易得到有效控制。对于线上的无卡交易,由于移动终端、联网PC终端所面临的安全风险,容易引发欺诈交易,应针对每笔上送的互联网支付、移动支付交易,对照已经建立的风险模型、设立的风险规则以及黑名单,鉴别是否为欺诈交易,在判别为欺诈交易时,应进行实时交易拦截。
  实时交易风险监测需要在交易过程中给予快速评估分析,给出结论是否进行交易授权。因此一方面,对风险分析引擎的智能化程度要求较高,要求具备其强大的自学习能力和高效的风险分析规则;另一方面,实时交易风险监测对系统性能的要求极高,在处理性能上必须能达到毫秒级。从目前的技术发展趋势来看,采用大数据的存储架构以及云计算的处理机制是高效进行风险分析的最优方案。
  (三)事后风险响应技术
  事前的风险防护和事中的风险监测能控制大多数的交易风险,但仍然不能完全避免交易风险的发生。在交易风险事件发生后,可以通过风险响应技术进行及时处置,尽量减少用户损失。
  实时通知:在确认欺诈交易后,风险系统实时通知商户进行货物拦截,减少用户损失;实时通知银行、公安机关,协同对犯罪进行侦查。
  特征库更新:在确认欺诈交易后,系统实时更新交易黑名单,并更新相应的风险特征库。
  伴随移动互联网的发展,线上和线下逐渐融合,移动终端将成为未来网上购物、支付的主要载体。在支付创新的同时,支付安全已经得到普遍关注,正在逐步摒弃以等待风险发生、事后风险处置为主的被动做法,向基于风险防范的整体安全保障方向发展。支付标记化、端到端加密、身份认证、实时风险监测等技术将成为未来保障支付安全的核心技术。只有支付产业的参与各方共同关注、积极实践、形成合力,才能真正保障持卡人安全用卡、放心支付。
  (作者简介:赵海 中国银联技术部助理总经理
  陈芳 中国银联技术部高级主管
  周皓 中国银联技术部主管)
  除了网站平台泄露用户信息外,钓鱼网站、欺诈电话、非法邮件也成为诈骗用户泄漏个人账户信息的主要渠道。
其他文献
近日,由中国电子竞技运动发展中心主办的“竞游ECL电子竞技冠军联赛2012年度总决赛”在位于北京石景山区的中国电竞馆举办,比赛持续3天,现场气氛热烈而火爆。按照组委会人士的说法:“ECL年度总决赛就是电竞的‘全运会’,我们下一步的目标是走向亚洲、走向世界。”  竞游ECL电子竞技冠军联赛至今已连续举办了三届,也是国内唯一一项持续全年办赛的电竞赛事。联赛主办方中国电子竞技运动发展中心是我国唯一一家集
好吧,不得不承认,我确实有点吃惊,虽然刚开始漏洞百出,但是你居然挺过来了。  现在我决定让你做一些更有挑战性的事,你将会首次承担起领导团队的责任。这可不是一个简单的差事,尤其是对你,以前那些工作你可以通过毅力挺过去,但是现在你不仅得保证自己的工作进度,还必须让手底下的男人能够认同你——要知道,一个女人来做一群极客的头儿,这实在是太可笑了。老实说,我已经有些迫不及待地等着他们来向我抱怨了。  对了,
“Game Changer(破局者)”,3D打印厂商Stratasys用这个词来形容其最新发布的Objet500 Connex3彩色多材料3D打印机产品。之所以将其形容为“破局”,是因为,根据Stratasys方面的说法,这一机型是全球首款也是目前唯一一款可以将彩色打印和多材料3D打印相结合的3D打印机。换句话说,其所打印出来的物体将比以往更加真实、贴近实物。  3D打印很亲民  3D打印是这两年
随着大数据和分析技术的发展,芝麻信用希望成为一个洞察人性的大数据征信公司,将“信用 ”应用到更多的金融和生活场景中。  “我们在阿里小微金融服务这块也做了很多工作,我们想做的不是金融,是信用体系。”早在2013年11月中国首家网络保险公司众安在线的成立仪式上,马云在谈及信用时候如是说,中国不缺金融,缺的是一套消费者的信用体系。  如今,阿里小微金服化身蚂蚁金服,马云“心心念”的信用体系也已经初见端
“搜索在PC端和移动端的展现形式,以及用户对于不同终端的需求和体验完全不同,因此,移动搜索应用必须具备三个特点:个性化体验、及时的主动提示服务,以及信息互动和分享平台。”中搜总裁陈沛说。  4月23日,中搜召开2013年移动战略新闻发布会,并发布了5款移动互联网产品——中搜搜悦、中搜第三代搜索移动版、中搜应用宝典、中搜V商,以及中搜移动船票。  据中搜高级副总裁陈波介绍,2013年,中搜将全面进军
随着信息安全日益得到重视,并上升为国家战略,灾难恢复系统也作为国家信息安全保障体系的重要组成部分,成为国家关键信息基础设施,是保障信息系统安全的最后一道防线,其地位、作用日益凸显。  一年一度的“中国灾难恢复行业高层论坛”今年已经是第九届了。今年的大会以“构建网络强国方略的灾备基石”为主题,由中国信息安全测评中心和北京大学联合主办,《中国信息安全》杂志社承办。会议围绕云计算、大数据等新技术背景下的
富士施乐在中国这个庞大的市场中,凭借什么做到“按张收费”?又如何依靠在售后服务站住脚?  近日,富士施乐(中国)在售后服务方面再次获得客户满意度第一。 “取得这样的成绩与我们强大的售后服务体系密不可分。”3月9日,在富士施乐(中国)位于北京三元桥附近的办公室内,富士施乐(中国)有限公司副总裁许焕豪告诉记者。  许焕豪口中强大的售后服务体系指的就是富士施乐的“全包服务”。全包服务就是富士施乐的专业服
虚拟化、云计算的大规模普及正在改变我们的工作方式。如今在越来越多的企业,移动办公已经成为一种常态。为满足日益增多的移动办公需求,近日思杰(Citrix)宣布在中国推出名为 Workspace Suite(工作空间套件)的移动整体解决方案。  据思杰公司大中华区技术总监侯继涛介绍,该套件整合了思杰在应用虚拟化、桌面虚拟化等领域的多项关键技术,能够支持每个用户同时使用多台公司配发或个人自带的设备,并实
过去10年间最成功的社交网络是这样产生的:我们需要有一个真实的资料页面认识其他人,并且分享自己的生活,于是有了脸书(Facebook);我们需要一个代表职业身份的资料页面,描绘自己的职业生涯,于是有了LinkedIn;进入移动互联网时代,写博客交流文字费时费力,我们需要快速即时的沟通,于是有了Twitter;手机摄像头进步了,人们想拍摄更美的照片并且分享给别人,于是有了Instagram;发短信不
平台数量及其地域分布  截止2015年12月31日,零壹研究院数据中心监测到的P2P借贷平台共3657家(仅包括有线上业务的平台),其中正常运营的有1924家,较去年年底增长74.1%;但是正常平台仅占到全部平台的52.6%,较去年同期(49.8%)增长了2.8个百分点。  广东、北京、上海、山东和浙江是平台数量最多的五个省市,占比分别为17.47%、15.86%、10.99%、9.73%和9.6