mPOS是近年出現(xiàn)并得到迅速發(fā)展的一種新型受理產(chǎn)品,不少機構和生產(chǎn)企業(yè)進行了各種形式的試點。由于mPOS引入了手機、平板電腦等通用智能移動設備,并通過互聯(lián)網(wǎng)進行信息傳輸,因此其安全特點與傳統(tǒng)銀行卡受理終端存在不同;同時,市場對mPOS含義認識不一,安全水平參差不齊,因而也對安全管理提出了更大的挑戰(zhàn)。本文基于銀聯(lián)終端工作組研究成果,結合最新發(fā)布的《中國銀聯(lián)mPOS通用技術安全要求》(以下簡稱《要求》),對mPOS技術概念、安全目標和技術要求進行解讀,并提出系統(tǒng)應用部署的安全方案示例供交流和參考。
一、銀聯(lián)mPOS技術概念
mPOS是一個整體概念,包括終端設備和相關應用。具體指,通過移動通訊設備(含所搭載的支付應用軟件)進行商戶收銀操作,由外接專用受理終端完成銀聯(lián)卡相關信息的采集和加密,通過移動通訊設備與后臺處理系統(tǒng)交互完成交易,這一過程涉及的前端專用軟硬件設備總稱即為mPOS。
上述定義體現(xiàn)了以下幾個重要概念:
(一)“移動”設備
“mPOS”這一名稱最早在境外流行,全稱為“mobile POS”。加入“mobile”,體現(xiàn)了該類產(chǎn)品的“移動”特征:一是體現(xiàn)“移動通訊設備”對銀行卡支付受理的參與;二是體現(xiàn)專用受理終端亦是移動的、便攜的。
但是,mPOS在境內(nèi)市場不等同于中文直譯的“移動POS”。因為國內(nèi)業(yè)界習慣于將無線POS、手持POS稱為“移動POS”,因此在各類技術標準、業(yè)務規(guī)則、以及宣傳材料中一般直接采用“mPOS”這一英文縮寫,“移動POS”往往另有他指。
(二)商戶收單
銀聯(lián)mPOS是以商戶收單為目的、以收單級別為安全目標的受理產(chǎn)品,這與境外有所區(qū)別。境外(例如美國)市場mPOS概念很寬,包括了Square等手機外接刷卡器類產(chǎn)品、手機自身集成刷卡器類產(chǎn)品、以及銀聯(lián)定義中的產(chǎn)品。境內(nèi)市場對個人支付和商戶收單進行了區(qū)分,設定了不同的業(yè)務、風險和技術要求,管理手段也存在較大的差異。Square等手機刷卡器、迷你付等互聯(lián)網(wǎng)IC卡終端等均為個人支付類產(chǎn)品,由相應的技術標準和業(yè)務規(guī)則進行界定,不屬于銀聯(lián)mPOS定義范圍。
(三)mPOS是整體概念
標準和管理規(guī)則中的mPOS包括了硬件設備部分(專用的外接受理終端)和支付軟件部分(移動通訊設備上的應用軟件),單純的外接設備不能等同為mPOS。其實整個系統(tǒng)前端還包括手機、平板電腦等移動通訊設備(技術上稱其為“上位機”),但由于上位機為通用電子產(chǎn)品,非金融定制,因此一般對其不進行要求和限制。
(四)高要求的外接終端
mPOS中的外接受理終端是專用的安全設備,需要完成卡片讀取、PIN輸入、數(shù)據(jù)加解密、提示信息顯示等操作,與手機刷卡器等個人支付終端相比較,具有更高的安全性,這也是其運用于商戶收單、區(qū)別于個人支付設備的關鍵因素。
二、mPOS系統(tǒng)抽象架構
mPOS系統(tǒng)抽象架構以及其中各組成部分的功能見上圖說明。以此為基礎,mPOS在具體形態(tài)上具備靈活性。
在外接方式上,受理終端既可以通過Micro-USB等有線方式、也可以通過藍牙等無線方式與手機等上位機連接。
在移動通訊設備上,不限制設備類型——可以是智能手機、平板電腦等;不限制運行環(huán)境——主要指操作系統(tǒng),可以是Android、iOS、Windows等。
在后臺通訊方式上,既可以通過3G/4G無線連接,也可以通過WiFi連接。
三、mPOS技術安全分析
mPOS在對受理產(chǎn)品進行創(chuàng)新的同時也引入了一些潛在風險,特別是線下收單設備運行環(huán)境打破了傳統(tǒng)的封閉格局,處于一個開放的環(huán)境中,容易受外部環(huán)境的威脅和攻擊,主要呈現(xiàn)以下特點:
一方面,區(qū)別于傳統(tǒng)全線路專線化的傳輸環(huán)境,mPOS及其相關應用和系統(tǒng)通過各種方式接入公共網(wǎng)絡,使安全度較低的公網(wǎng)成為信息傳輸線路的組成部分,交易數(shù)據(jù)和設備管理信息受到截取、篡改、重放等攻擊的可能性和容易性升高。
另一方面,智能手機、平板電腦(PAD)等設備功能日益強大,使用體驗不斷提升,因此mPOS方案中將其作為受理終端的上位機使用,訂單生成、交易上送甚至部分交易處理操作在上位機完成。由于智能終端通常搭載開放操作系統(tǒng),同時接入公網(wǎng),加之系統(tǒng)破解、獲取root權限等用戶現(xiàn)象的存在,易被木馬、病毒等攻擊,上位機設備本身的安全難以保障,對賬戶數(shù)據(jù)和支付信息的保密性、真實性、完整性等均提出了挑戰(zhàn)。
四、安全目標和技術要求
(一)安全目標
安全目標是產(chǎn)品設計、生產(chǎn)、使用、維護的基本技術安全原則。由于受現(xiàn)有技術條件、認識水平和研究能力約束,具體的技術要求存在未能完全覆蓋和掌控安全點的可能,但安全目標為各參與方提供了基本框架、指出了工作方向。mPOS技術安全目標包括以下四個方面:
一是應保證賬戶信息安全。對磁道信息、PIN、卡片驗證碼、卡片有效期等敏感信息,以及涉及的私有密鑰和證書,進行有效保護。
二是應保證其他關鍵交易信息安全。交易金額、交易類型、貨幣類型、商戶號、終端號、終端硬件序列號、交易流水號等表征交易的關鍵信息,在處理和傳輸過程中應不被篡改。
三是保證交易的真實性。對交易報文的來源進行鑒別,保證交易真實有效,防止信息偽造和重放攻擊。
四是應具有安全提示。向操作人(包括持卡人和收銀員,重點是持卡人)提供獲悉真實交易信息、判斷交易正常與否、指示下一步操作的有效參考途徑。
(二)技術安全要求
標準對mPOS的要求分為基本要求和疊加要求兩部分,均屬于通用技術要求范圍,對具體實現(xiàn)方案不進行限制。
1、基本要求
根據(jù)原有標準,為mPOS的主要組成部分設置基礎和前提性的要求,主要包括:受理終端應首先滿足《PIN輸入設備安全規(guī)范》要求;上位機軟件應首先滿足《支付應用軟件安全規(guī)范》;后臺處理系統(tǒng)應滿足《銀聯(lián)卡收單機構賬戶信息安全管理標準》、《銀聯(lián)卡賬戶信息與交易數(shù)據(jù)安全管理規(guī)則》、《第三方機構接入銀聯(lián)技術安全要求》等要求。
2、疊加要求
在基本要求基礎上,對各部分提出針對mPOS特點的疊加要求,具體項目不再贅述,僅對關鍵內(nèi)容概括舉例如下:
對于受理終端,應具有安全讀取賬戶信息的功能(包括磁條卡和IC卡),對卡片數(shù)據(jù)進行有效保護;應能夠顯示交易類型、金額、結果等足夠操作和判斷的信息,并確保提示信息收到保護;設備固件、程序的下載和更新應具有合法性的驗證機制;設備應保證“一機一密”要求的落實,并建議在交易過程中實現(xiàn)“一次一密”密鑰機制;應有設備簽到機制,并向后臺處理系統(tǒng)上送設備序列號,同時具有對后臺系統(tǒng)合法性的驗證能力;對外提供的加密功能進行限制,對外提供MAC校驗功能需進行關鍵域校驗或強制填充;傳輸協(xié)議和接口進行安全保護;私有密鑰和證書進行安全保護;具備抗重放機制等。
對于上位機(支付應用軟件),要求上送上位機唯一特征碼作為參考信息;與后臺系統(tǒng)之間采用安全協(xié)議進行數(shù)據(jù)傳輸;具有用戶訪問控制;建議上送地理位置信息。對于后臺處理系統(tǒng),要求對受理終端進行合法性驗證,并與受理終端配合實現(xiàn)防交易重放的功能。
3、其他方面
mPOS的前端核心安全主要由受理終端實現(xiàn),由支付應用軟件和后臺處理系統(tǒng)配合。但受理終端主要提供設備安全,整體上必須由實際部署的應用流程和安全機制給予有效支撐。因此,在支付應用軟件的認證過程中,要求提交詳細的整體設計方案(包括受理終端至后臺處理系統(tǒng)的交互全流程和關鍵操作)供初步評估。
五、國外標準情況
EMVCo在2013年10月成立mPOS工作組,負責研制技術白皮書,銀聯(lián)參與了研制。EMVCo希望通過白皮書來整體性地顯示所有可能的mPOS形態(tài)和方案思路,但暫時不做技術標準及認證上的強制要求,事實上暫時放開了對mPOS的限制。
PCI是國際支付卡安全標準組織,提供境外銀行卡產(chǎn)品的安全標準和認證服務。PCI已和EMVCo聯(lián)合開展mPOS安全技術的研究,但尚未有針對性標準。
總體上,目前境外并沒有針對mPOS的完整技術規(guī)范,銀聯(lián)發(fā)布的mPOS技術安全要求及配套認證是該領域首個標準化服務。
六、其他實施建議
(一)處理流程
支付安全是整體性、系統(tǒng)性課題,在mPOS這類創(chuàng)新產(chǎn)品上顯得尤為突出。軟硬件設備自身的安全僅僅是其中一個方面,處理流程的設計和實施效果將直接影響整體安全性。
(二)交易組包
交易組包是處理流程中的關鍵問題。建議支付核心信息的報文組包和加密保護在受理終端完成。在現(xiàn)有條件下,不建議在上位機組包;如因業(yè)務需要確實需進行此類部署,收單機構應充分評估其風險,設計強化的安全機制和配套的業(yè)務風險管理機制,并謹慎應用。如后臺處理系統(tǒng)實現(xiàn)報文組包等交易處理邏輯,應強制實現(xiàn)受理終端與后臺處理系統(tǒng)建立數(shù)據(jù)傳輸?shù)陌踩ǖ?,并制定相應的密鑰和信息交互安全機制;此外,由于該模式對通訊穩(wěn)定性有較高要求,實際部署效果未必理想。
(三)后臺系統(tǒng)安全
建議加強賬戶信息和系統(tǒng)技術安全的設計和管理,使之有效抵御網(wǎng)絡攻擊,防止非法終端對系統(tǒng)影響,及時處理異常。
(四)參考實踐方案
標準工作組針對mPOS設計了一些技術安全解決方案示例,以“資料性附錄”的形式,對《要求》提供適當補充,為受理終端、上位機支付應用軟件、后臺處理系統(tǒng)的設計和開發(fā)提供技術參考,不作為強制要求。
