位置:中国电商网 > 快讯 > 正文 >

泰尔终端实验室袁琦:移动支付安全检测技术和标准

2019年08月14日 03:28来源:未知手机版

红线女丈夫,kk游戏,学生会工作计划

来源:移动支付网 2016-10-24 9:50

10月20日,由移动支付网和北京移动金融产业联盟联合主办的 MPSC 2016中国移动支付安全大会 在深圳隆重召开,500多位产业链各方齐聚一堂,探讨移动支付的未来,从政策、标准、技术、创新、未来等各个方面聚焦移动支付安全。中国信息通信研究院泰尔终端实验室信息安全部副主任袁琦以《移动支付安全检测技术和标准》为主题参与演讲。以下是整理之后的演讲实录:

中国信息通信研究院泰尔终端实验室信息安全部副主任袁琦

移动支付安全问题凸显

随着移动支付成为移动互联网时代的重要业务,移动支付安全威胁日益凸显,移动支付安全研究已经成为当前热点。3月15日晚,央视315晚会曝光扫码支付安全问题,揭秘手机扫 带毒二维码 送花生油骗局,手机用户扫描问题二维码后手机即被恶意程序入侵,支付账号、密码等个人信息被盗取。不仅是有毒二维码,问题POS机都会威胁消费者的移动支付安全。隐藏在各种知名的应用软件中,一旦中毒会损失巨额的财产。钓鱼网站也在手机上出现,经常收到一些短信。对于移动支付安全的研究,目前已经成为企业和研究机构的重要热点。

移动支付有哪些安全威胁?我们列出的移动支付的安全框架(PPT图),从终端层安全和通讯网络安全以及云端平台网络安全,解析移动支付安全的框架。在终端层安全,涉及到硬件安全、数据安全,通信安全等等。通信网络安全包括NFC、蓝牙、WIFI等等。

这三个终端有哪些攻击种类,我们列出四个方面的关键点,首先是从软件方面攻击,包括了操作系统层面和应用软件的漏洞,黑客很有可能利用终端的操作软件来攻击。还有应用软件的后门和渗透,也会造成攻击。还有一些通过逆向分析,挖掘逻辑漏洞,寻找硬编码的密钥和证书,伪造固件,植入恶意代码。在通信协议方面,可以通过嗅探,拦截、篡改、伪造传输信息,伪造身份信息进行攻击。硬件攻击包括两方面,一个是基础硬件的,还有一个是SE的攻击。对基础硬件的是总线监听。

在网络层,安全攻击,访问控制缺乏,明文传输,协议安全缺陷。云端平台层存在的漏洞,用户数据过度采集,以及云端服务安全缺陷,或者是平台所采用的安全措施不完善所导致的。

移动支付的安全防护技术

相对于这些威胁,我们怎么来保障移动支付的安全呢?目前针对与这些威胁,我们做了哪些具体标准呢?针对于刚刚三个维度,首先来看一下智能终端安全防护措施,在软件层面:1、代码混淆、加密,增加逆向分析难度;2、进行业务逻辑安全分析,避免逻辑漏洞;3、固件内不要硬编码密钥、证书等敏感信息;4、对固件进行签名,升级时对签名进行验证;5、将安全融入产品生命周期,建立完善的安全设计、安全开发、安全测试、安全响应流程。

通信协议层面:在通信协议中增加安全认证和访问控制机制,防止安全功能被绕过,对传输信息进行加密,以防拦截、篡改、伪造信息,研制低复杂度高度安全的移动支付安全解决方案。

硬件层面:对调试接口进行保护,阻止非授权用户访问安全数据。采用安全架构,使用专用的安全芯片SE对密钥进行存储,执行签名校验,加密操作。

目前在终端方面用到的技术点是TEE安全防护技术,应用政府办公、内容保护、金融支付领域。随着指纹识别的发展,TEE的发展非常广泛,从可信环境中底层硬件到上层的软件,能够做到可信的存储,输入输出,以及安全的驱动链。

当然也提到了SE对敏感信息对于保护,目前很多方案将SE和TEE方案相互融合,把SE芯片放在TEE当中,提高安全环境。远程的TSM平台,建立安全通道,对SE的安全域和生命周期管理。通过平台,也能够对用户安全起到很好的防护作用。

本文地址:http://www.shangoudaohang.com/kuaixun/187689.html 转载请注明出处!

今日热点资讯