2020-01-15 来源:安全付 作者:Memory
本文为第三方支付技术与监督,其中一章节,如需查看全文,请点击:《第三方支付技术与监督》全文
从技术维度分析,通过综合应用多种基础安全技术,可以从三个方面建立起第三方支付安全技术保障体系,包括:终端层的支付安全技术、网络层的支付安全技术和应用层的支付安全技术。
1.手机终端安全技术
手机终端安全PKI应用体系是基于手机USIM卡或者SD卡的高安全芯片完成机密数据存储和加密,同时在手机上提供基于PKCS# 11的安全中间件为应用提供安全身份认证功能,该技术主要用于移动互联网中手机终端的身份认证。该体系由物理层和安全组件层组成。
(1)物理层
物理层主要涉及SDKey及USIM(全球用户识别卡)等硬件设备。SDKey 是一张SD密码卡,USIM是一张手机卡,两者的功能都是提供高芯片安全,完成机密数据存储和加密算法。用于标识用户身份的私有密钥存储和密钥运算都在这些硬件设备中完成,这样可以有效地防止用户私有密钥泄露,为用户提供硬件级的安全保证。
(2)安全组件层
物理层之上是安全组件层,该层为上层应用提供符合两组标准的接口,分别是微软CSP标准(可用于Windows Mobile手机操作系统)或者是PKCS# 11标准(可用于An-droid手机操作系统)。手机终端应用开发者只需根据CSP标准或PKCS#11提供的标准接口开发API,至于设备底层采用何种密码硬件则无须考虑,开发出的应用都可以跨手机终端平台正常运行。
2.网络层支付安全技术
移动支付在网络层主要面临着网络接入风险,相对应的安全技术包括移动网络接人安全技术和无线局域网接入安全技术。
(1)移动网络接入安全技术
移动网络主要是指移动运营商提供语音和数据服务的移动通信网络,包括2G、3G和4G网络。移动网络接入安全技术包括:数据传输安全技术和无线公钥基础设施。
●数据传输安全技术
数据传输安全技术主要包括安全套接层协议(SecureSocketsLayer,SSL)和安全电子交易协议(Secure Electronic Transaction,SET)。
SSL协议为Netscape公司所研发的用于网络传输层与应用层之间的安全连接技术。
该技术基于RSA公钥算法,通过数字签名和数字证书来实行身份认证,广泛应用于Web浏览器与服务器之间的身份认证和加密数据传输,可确保数据在网络传输过程中不会被截取及窃听。
SET协议是由美国Visa和MasterCard两大信用卡组织联合国际上多家机构共同制定的在线交易安全标准,该标准是在B2C上基于信用卡支付模式而设计的,主要目的是保障消费者的信用卡在线购物安全。它采用的技术有:对称密钥/公开密钥加密、哈希算法、数字签名技术。SET协议使信用卡信息和订单信息隔离。订单送到商家时,商家只能看见订单信息,看不到信用卡信息,同时需要持卡人和商家相互认证,确定通信双方身份,一般由认证中介为双方提供信用担保,保证信息的机密性和完整性。
●无线公钥基础设施
无线公钥基础设施( Wireless Public Key Infrastructure, WPKI)的思想来源于公钥基础设施PKI,它将互联网电子商务中PKI安全机制移植到无线网络环境中,WPKI是一套遵循已有标准的密钥和证书管理的平台体系。移动网络中使用的公开密钥和数字证书都是由WPKI进行管理的,WPKI可以建立安全可信的无线网络环境,方便实现交易双方信息的安全传递。
WPKI的工作流程主要由发放WPKI证书和WAP的安全连接两部分组成,其工作过程如下:
①用户利用移动终端向注册中心(RA)递交证书申请。
②RA审查用户递交的申请,审查合格后将申请传递给认证中心(CA)。
③CA为用户生成一对密钥并制作证书,并将证书传回给RA。
④CA将证书存于证书目录数据库中,供所有在线用户查询。
⑤RA保存用户的证书,为每-一个证书生成一个对应的URL,并将该URL发送给持有移动终端的用户。
⑥在线网络服务器从证书目录服务器处下载证书列表以备使用。
⑦CA颁发的证书为移动用户终端和WAP网关之间建立安全的连接。
⑧WAP网关和在线网络服务器之间建立起安全连接,保证移动用户终端和在线网络服务器的信息安全传输。
(2)无线局域网接入安全技术
无线局域网接人安全技术主要体现在无线局域网的安全协议上,目前常用的是IEEE802.11i协议体系和无线局域网鉴别与保密基础结构( WLAN Authentication andPrivacy Infrastructure , WAPI)。
●IEEE 802. 11i协议体系
IEEE 802. 11i协议体系是美国电气和电子工程师协会IEEE工作组针对IEEE802. 11在安全机制上存在的WEP( Wired Equivalent Privacy)安全缺陷,于2004年6月发布的新一代安全标准,该安全标准为了增强WLAN的数据加密和认证功能,定义了健壮安全网络(Robust Security Network, RSN)概念。
IEEE802.11i协议体系按照功能划分为三层,最上层为可扩展认证协议(ExtensibleAuthentication Protocol,EAP) ,用户的接人认证使用基于EAP的各种认证协议来完成。
EAP-TLS协议是对基于接人点(AP)和客户端(STA)所拥有的数字证书进行双向认证的协议。中间层为IEEE802.1x接口访问机制,该机制用以实现合法用户对无线网络访问的认证、授权和动态密钥管理功能。底层包括三种协议:临时密钥完整性协议(TemporalKey Integrity Protocol, TKIP)、计数器模式密码块链消息完整码协议(Counter CBC-MAC Protocol ,CCMP)、无线健壮安全认证协议( Wireless Robust Authenticated Proto-col,WRAP),该层协议可实现信息通信的机密性和完整性。
●WAPI安全技术
我国于2003年颁布了WAPI,它是一套无线局域网安全标准,这套安全标准是我国自主创新并拥有知识产权的标准,在计算机宽带无线网络通信领域属于首次研发的产品。
它以公钥基础设施(PKI)架构为基础,全新定义了WLAN实体认证和数据保密通信安全基础架构。这种安全机制由无线局域网鉴权基础设施( WLAN Authentication Infra-structure, WAI)和无线局域网保密基础设施( WLAN Privacy Infrastructure, WPI)两部分组成,分别用于鉴别用户身份和加密传输数据。
WAI可以实现无线接人点和无线用户之间的双向鉴权认证,其中身份凭证采用基于公钥密码体系的数字证书,签名算法采用192/224/256位椭圆曲线签名算法,认证管理方法采用集中式或分布集中式管理方法,使整个认证过程较易操作;认证服务单元扩展方便,可以支持用户的异地接入;客户端支持多证书,方便用户实现异地漫游。WAI具有鉴别机制更安全、密钥管理技术更灵活、基础网络的用户易集中管理的特点,能够满足更多用户和更复杂的安全需求。
MAC服务数据单元(MACServiceDataUnit,MSDU)由WPI进行加/解密处理。
WPI的主要功能有:WLAN设备的密钥协商、访问控制、链路验证和身份鉴别,传输数据和数字证书的加/解密与用户信息的加密保护。
3.应用层服务安全技术
支付系统的接口层面临电信运营商短信平台、空中下载技术(OverTheOAirTech-nology,OTA)平台、金融系统、商户系统等外围系统的接入,接入模块之间是以WebService接口交互的,系统彼此间的信息安全传递尤为重要。因此,研究应用服务层安全技术主要考虑Web Service 接口安全技术,该技术可以保证外围系统安全接入支付平台系统,满足信息的一致性、完整性要求。
WebService是一种典型的面向服务体系结构(SOA),SOA可以提供一组松耦合的服务,每个服务的建立和替换都相对简单。Web Service 接口安全技术主要包括网络防火墙技术和简单对象访问协议SOAP消息监控网关技术。
(1)网络防火墙技术
企业应用安全威胁有可能来自包含恶意数据的SOAP消息,因此,在支付平台外部署一套网络防火墙来对付恶意SOAP消息是很有必要的,网络防火墙可以对恶意SOAP消息仔细地进行内容审查和过滤。如果支付平台与外围系统之间使用少量的、有限的SOAP消息,部署传统防火墙就能满足需求。如果还需验证SOAP消息,则需专门在传统防火墙后面再部署一道应用程序层面的防火墙,来验证消息发送者是否经过授权。
(2) SOAP消息监控网关技术
SOAP消息路由器.SOAP消息检查器和SOAP消息阻截器三者共同组成了SOAP消息监控网关,可以实现SOAP消息数据级、消息级、传输级的安全。
SOAP消息路由器通过对SOAP消息进行加密和数字签名,提供数据级机密性和完整性功能,同时采用单点登录令牌,使消息在多个端点之间可以安全地传递,保证将消息最终安全地到达服务提供者。
SOAP消息检查器主要用于检查和验证XML消息的质量,安全机制包括:认证、验证、授权、XML数字签名、XML加密、XML密钥管理及消息级安全识别。
SOAP消息阻截器是实施SOAP消息传输级的安全机制。通过安全检查接收和发送的XML数据流,验证SOAP消息是否符合标准的XML格式,鉴别消息的唯一性和发送者的真实性。另外,SOAP消息传输级安全还应通过SSL连接建立、IP检查和URL访问控制来实现。
