RSS订阅信息安全技术跟踪与研究:技术、平台、会议、论文、产业
你现在的位置:首页 / 技术积累 / 正文

Apple Pay外其它移动支付方式整理

0 技术积累 | 2015年9月16日
转载申明:本站原创,欢迎转载。但转载时请保留原文地址。
原文地址:http://www.vonwei.com/post/othermobilepay.html

1.1   Google Wallet

         Google早在20119月份就推出其基于SIM卡的钱包,通过与MasterCard合作,其解决方案将一个虚拟的MasterCard信用卡凭证加载到SIM卡上,允许用户通过NFC连接POS机进行刷机支付。Google支付给商家,并从消费者的文件信用卡(credit card on file)进行扣款。这种方式由于商业模式的问题,并没有得到很好的推广:一方面Google会获得用户所有的交易信息,发卡行对用户的交易而不得而知;另一方面,该方案的部署受到移动运营商MNO的限制,只有与Google合作的MNO才能支持。

         201310月份,Google宣布Android 4.4 KitKat操作系统将支持HCE技术,并且在20143月份,Google宣布在版本低于4.4Android操作系统中终止对NFC支付方式的支持。20152月份,Google宣布其获得Softcard的技术和专利,可以改进其支付服务。而且Google签订条款,将Google钱包预装到AT&T, Verizon, T-Mobile提供的NFC Android手机中。20153月初,Softcard宣布关掉所有账户,意味着Google不再为基于SIM卡的解决方案提供支持。从目前情形来看,Google在移动支付方案将会更加关注HCE技术,摆脱移动运营商的限制

1.2   Android Pay

         20153月初,Google宣布了Android Pay平台,允许开发者通过一个API层将移动支付嵌入到他们的App应用中。而且,发卡行和商家也可以使用这个API来设计他们自己的Android设备支付应用。Android Pay平台将支持HCE、令牌化的卡号(即Tokenized PAN)和NFC。将来Android Pay会增加指纹扫描,使用生物特征的认证方式。不知道Android Pay平台什么时候公开,但2015年还是值得期待的。

         Google已经表示VisaMasterCard以及American Express将支持其推出的Android Pay可能与Apple Pay类似,令牌化服务将会由这些支付网络提供。如果这种情况属实,Android Pay能为钱包创建者提供端到端的解决方案,钱包创建者只需要创建用户接口即可。发卡行需要和支付网络的TSPs协调工作来支持Android Pay的运行。

1.3   PayPal

         1998年就成立了,PayPal是因特网上主要的第三方支付服务提供商。PayPal是在线商务的一个主要参与者,而且还是很多交易的源头。PayPal在物理POS机支付方面已经有很多年的经验,并且在20139月份宣布推出其数字钱包。PayPal的钱包app允许消费者执行的功能包含存储信用卡、支付、预定、发钱收钱等。在2014年,PayPal总交易额 226亿美金中,几乎20%是在移动设备上完成的,其中一小部分是与POS机的交易。

         20153月份,PayPal宣布收购支付初创公司Paydiant,一家为商家和发卡行提供移动支付技术的公司。Paydiant使用的是软件解决方案,可以在POS终端或者收据上生成QR码(二维码的一种)。消费者扫一下QR码,然后可以选择如何通过钱包中存储的凭证为该交易进行支付。凭证信息安全地存储在云中,不会和商家共享;凭证信息会安全地发送给收单行,收单行按照惯例进行处理。PaydiantMCX所选择的钱包供应商。

 

1.4   Samsung Pay

         三星早在20153月份宣布今年夏天可能推出Samsung Pay,不过现在似乎要推迟,其推出将主要在美国和韩国两个地域进行。Samsung Pay提供两类解决方案:依赖不同的设备模型和不同的国家,支付凭证既可以存储在硬件SE中,也可以存储在云SE中。由于在北美市场的三星设备一般没有嵌入一个硬件SE,而且这种情况还将继续下去,因此其推出的支付方案支持更广一点。不论采用哪类解决方案,都会使用云来生成动态数据。

         Apple Pay类似,Samsung Pay也采用令牌化:信用卡号被令牌化,由一个设备特定的Token来代替。这种解决方案使用的是HCE技术,令牌化服务也将由支付网络来提供(这一点也与Apple Pay类似)。

         不同的是,除了支持近场通信NFC外,Samsung Pay还将支持磁卡交易,使用一种称为MSTMagnetic Secure Transmission)的专有技术,该技术是20152月份三星通过收购LoopPay获得的。这种技术使得消费者可以在传统的没有NFC支持的POS机上进行非接触式支付,即与旧的设备保持兼容以获得市场青睐。理论上,通过使用MST,北美大约90%的商家拥有立即接受Samsung Pay非接触式支付的能力。

 

1.5   支付宝

二维码/条形码+令牌化,纯软件的支付解决方案。

看一下支付宝的几种使用方式:

         远程支付:无论是通过网页或者app等应用购买物品或者服务后,都可以选择使用“支付宝的支付方式。在PC上购物后,使用支付宝会跳出一个二维码,手机打开支付宝扫描二维码,然后用户输入交易密码即可完成支付。也可以直接在手机上进行在线支付,输入用户交易密码即可。

         线下支付:比如超市购物后,POS机连接的扫描枪先扫描商品,然后用户打开手机上的支付宝钱包,调出手机上的二维码,扫描枪直接扫描手机支付宝上的二维码即可完成支付。

         纯软件方案安全性肯定会差一点,而且支付宝这种还谈不上使用HCE技术,因此支付宝账号被盗,支付宝被盗刷事情常有发生。支付时除了需要交易密码外,还可能有动态口令(通过短信发送的6位动态数据)来进行授权和安全保护。后台可能还有大数据分析技术辅助,分析用户的支付等习惯进行额外判断。关联银行卡需要实名认证(身份证号+手机号),注册一个支付宝账号,关联别人的身份证号和手机号是可能的。只要能复制别人的SIM卡(或者通过恶意软件从别人手机出读取短信),收到短信发来的动态数字,就可以完全控制别人的卡,使用别人的卡进行支付了。

         还要注意钓鱼二维码,特别是扫描二维码让你去访问一个网站的方式一定要小心,说不定就到钓鱼网站了。你捡到一部手机,如果他的支付宝是默认了密码且没有加密的话,你就可以打开他,然后去商店让店员扫码支付。手机root了,恶意软件可能完全控制支付宝等app

        

1.6   微信支付

二维码/条形码+令牌化,纯软件的支付解决方案。

类似支付宝。

安全风险进一步分析(来自知乎):

技术上的安全性:

本身二维码只是一段索引信息,真正的数据在生成二维码系统的后台,所以二维码本身是安全的。二维码的风险主要体现在两个方面:1二维码生成者不安全。即钓鱼风险,这也是传统二维码模式最大的风险点,也是”技术无法规避的风险“。欺骗者生成一个二维码,通过种种手段骗你去扫,扫完后欺骗你做一笔支付。这类风险主要发生在主扫式,即商户生成订单,客户扫描订单二维码。2二维码被复制。二维码被复制的成本非常低,但复制能够产生的收益也极低。这类风险主要发生在被扫式,即客户生成二维码,商户扫描。

其他如被劫持替换等,都和以往的WEB安全没有本质区别。这次微信相当于生成一张实体卡的“影子”,如果在1分钟内,二维码被其他人复制使用,理论上是有风险的,但我估计生成时加入了时间戳+机器设备标识,所以微信通过时间+单点登录+设备识别解决了这个问题。也就是说,哪怕我可以仿制出所有卡片的信息,但如果我没办法在同样的设备上,在被访者没有登录的情况下使用,也是没有意义的。

 

业务流程的安全性

         这个就非常复杂了。现在的支付风险也主要体现于此。简单的跨站、SQL注入经过扫描和渗透测试都可被发现,但业务流程风险就全靠人琢磨了。

客户的安全和二维码支付相关的业务流程有:

1微信支付的开通:需要验证身份证,手机号,如果是信用卡则要验有效期等,必须和银行预留的一致;如果你的卡相关信息在银行预留的没有问题,手机号不是别人的(我不理解很多人在银行留别人手机号这么危险的行为)等,就保证了开通的安全,当然如果有人知道你的全部信息这个就没安全性可言了。

2支付时的安全:第一次需要输入微信支付密码,以后每次重登录后需要输入微信支付密码,允许在其他机器登出。微信这次的做法很聪明:客户生成二维码,也就是实体卡的“影子”,商户借助微信POS扫描二维码;信息合法性和双方的身份认证都由微信的后台系统来保证,基本规避了业务流程安全。他的安全手段主要依靠“微信密码+微信支付密码”,当你更换设备或者不更换但重登录后,都会要求重新验证“微信密码+微信支付密码”,所以这两个不丢,就基本保证了客户的安全。

当然如果手机丢了,没有及时登出微信;或者微信被盗号,被人破解了微信登录密码+支付密码,也会有风险;但此类风险就和你丢失了一张无密信用卡,没有及时向银行挂失是一样的。况且,额度和交易次数限制的极低(10笔,300元)。

而商户端的安全如何保证呢?商户也会被骗刷。但被骗刷在微信里几乎很难行的通。因为必须在微信后台找到对应的实体卡,所以即使破解了二维码生成算法,生成一张可以刷过的二维码,在后台也是一样要找到对应的实体卡才可以,所以意义不大。而配套的后台风控:如可疑交易筛查,可疑用户筛查,可疑商户筛查等等,以及投保,都保证了风险发生后,把风险损失降到最低。

 


  • ------------------分隔线----------------

  • 如果感兴趣,欢迎关注本站微信号,跟踪最新博文信息,手机微信扫一扫下面的二维码,即可关注!
  • 微月信公众号
  • 推荐您阅读更多有关于“ 移动支付   ”的文章

    请填写你的在线分享代码
    上一篇:2015新型技术总结下一篇:[转]接入与身份认证技术概述

    猜你喜欢

    评论列表:

    发表评论

    必填

    选填

    选填

    必填,不填不让过哦,嘻嘻。

    记住我,下次回复时不用重新输入个人信息

    本站介绍
    最近发表
    本年最热文章
    本月最热文章
    网站分类
    文章归档