mPOS是近年出現并得到迅速發展的一種新型受理產品,不少機構和生產企業進行了各種形式的試點。由于mPOS引入了手機、平板電腦等通用智能移動設備,并通過互聯網進行信息傳輸,因此其安全特點與傳統銀行卡受理終端存在不同;同時,市場對mPOS含義認識不一,安全水平參差不齊,因而也對安全管理提出了更大的挑戰。本文基于銀聯終端工作組研究成果,結合最新發布的《中國銀聯mPOS通用技術安全要求》(以下簡稱《要求》),對mPOS技術概念、安全目標和技術要求進行解讀,并提出系統應用部署的安全方案示例供交流和參考。
一、銀聯mPOS技術概念
mPOS是一個整體概念,包括終端設備和相關應用。具體指,通過移動通訊設備(含所搭載的支付應用軟件)進行商戶收銀操作,由外接專用受理終端完成銀聯卡相關信息的采集和加密,通過移動通訊設備與后臺處理系統交互完成交易,這一過程涉及的前端專用軟硬件設備總稱即為mPOS。
上述定義體現了以下幾個重要概念:
(一)“移動”設備
“mPOS”這一名稱最早在境外流行,全稱為“mobile POS”。加入“mobile”,體現了該類產品的“移動”特征:一是體現“移動通訊設備”對銀行卡支付受理的參與;二是體現專用受理終端亦是移動的、便攜的。
但是,mPOS在境內市場不等同于中文直譯的“移動POS”。因為國內業界習慣于將無線POS、手持POS稱為“移動POS”,因此在各類技術標準、業務規則、以及宣傳材料中一般直接采用“mPOS”這一英文縮寫,“移動POS”往往另有他指。
分享到
(二)商戶收單
銀聯mPOS是以商戶收單為目的、以收單級別為安全目標的受理產品,這與境外有所區別。境外(例如美國)市場mPOS概念很寬,包括了Square等手機外接刷卡器類產品、手機自身集成刷卡器類產品、以及銀聯定義中的產品。境內市場對個人支付和商戶收單進行了區分,設定了不同的業務、風險和技術要求,管理手段也存在較大的差異。Square等手機刷卡器、迷你付等互聯網IC卡終端等均為個人支付類產品,由相應的技術標準和業務規則進行界定,不屬于銀聯mPOS定義范圍。
(三)mPOS是整體概念
標準和管理規則中的mPOS包括了硬件設備部分(專用的外接受理終端)和支付軟件部分(移動通訊設備上的應用軟件),單純的外接設備不能等同為mPOS。其實整個系統前端還包括手機、平板電腦等移動通訊設備(技術上稱其為“上位機”),但由于上位機為通用電子產品,非金融定制,因此一般對其不進行要求和限制。
(四)高要求的外接終端
mPOS中的外接受理終端是專用的安全設備,需要完成卡片讀取、PIN輸入、數據加解密、提示信息顯示等操作,與手機刷卡器等個人支付終端相比較,具有更高的安全性,這也是其運用于商戶收單、區別于個人支付設備的關鍵因素。
二、mPOS系統抽象架構
分享到mPOS系統抽象架構以及其中各組成部分的功能見上圖說明。以此為基礎,mPOS在具體形態上具備靈活性。
在外接方式上,受理終端既可以通過Micro-USB等有線方式、也可以通過藍牙等無線方式與手機等上位機連接。
在移動通訊設備上,不限制設備類型——可以是智能手機、平板電腦等;不限制運行環境——主要指操作系統,可以是Android、iOS、Windows等。
在后臺通訊方式上,既可以通過3G/4G無線連接,也可以通過WiFi連接。
三、mPOS技術安全分析
mPOS在對受理產品進行創新的同時也引入了一些潛在風險,特別是線下收單設備運行環境打破了傳統的封閉格局,處于一個開放的環境中,容易受外部環境的威脅和攻擊,主要呈現以下特點:
一方面,區別于傳統全線路專線化的傳輸環境,mPOS及其相關應用和系統通過各種方式接入公共網絡,使安全度較低的公網成為信息傳輸線路的組成部分,交易數據和設備管理信息受到截取、篡改、重放等攻擊的可能性和容易性升高。
另一方面,智能手機、平板電腦(PAD)等設備功能日益強大,使用體驗不斷提升,因此mPOS方案中將其作為受理終端的上位機使用,訂單生成、交易上送甚至部分交易處理操作在上位機完成。由于智能終端通常搭載開放操作系統,同時接入公網,加之系統破解、獲取root權限等用戶現象的存在,易被木馬、病毒等攻擊,上位機設備本身的安全難以保障,對賬戶數據和支付信息的保密性、真實性、完整性等均提出了挑戰。
四、安全目標和技術要求
(一)安全目標
安全目標是產品設計、生產、使用、維護的基本技術安全原則。由于受現有技術條件、認識水平和研究能力約束,具體的技術要求存在未能完全覆蓋和掌控安全點的可能,但安全目標為各參與方提供了基本框架、指出了工作方向。mPOS技術安全目標包括以下四個方面:
一是應保證賬戶信息安全。對磁道信息、PIN、卡片驗證碼、卡片有效期等敏感信息,以及涉及的私有密鑰和證書,進行有效保護。
二是應保證其他關鍵交易信息安全。交易金額、交易類型、貨幣類型、商戶號、終端號、終端硬件序列號、交易流水號等表征交易的關鍵信息,在處理和傳輸過程中應不被篡改。
三是保證交易的真實性。對交易報文的來源進行鑒別,保證交易真實有效,防止信息偽造和重放攻擊。
四是應具有安全提示。向操作人(包括持卡人和收銀員,重點是持卡人)提供獲悉真實交易信息、判斷交易正常與否、指示下一步操作的有效參考途徑。
(二)技術安全要求
標準對mPOS的要求分為基本要求和疊加要求兩部分,均屬于通用技術要求范圍,對具體實現方案不進行限制。
1、基本要求
根據原有標準,為mPOS的主要組成部分設置基礎和前提性的要求,主要包括:受理終端應首先滿足《PIN輸入設備安全規范》要求;上位機軟件應首先滿足《支付應用軟件安全規范》;后臺處理系統應滿足《銀聯卡收單機構賬戶信息安全管理標準》、《銀聯卡賬戶信息與交易數據安全管理規則》、《第三方機構接入銀聯技術安全要求》等要求。
2、疊加要求
在基本要求基礎上,對各部分提出針對mPOS特點的疊加要求,具體項目不再贅述,僅對關鍵內容概括舉例如下:
對于受理終端,應具有安全讀取賬戶信息的功能(包括磁條卡和IC卡),對卡片數據進行有效保護;應能夠顯示交易類型、金額、結果等足夠操作和判斷的信息,并確保提示信息收到保護;設備固件、程序的下載和更新應具有合法性的驗證機制;設備應保證“一機一密”要求的落實,并建議在交易過程中實現“一次一密”密鑰機制;應有設備簽到機制,并向后臺處理系統上送設備序列號,同時具有對后臺系統合法性的驗證能力;對外提供的加密功能進行限制,對外提供MAC校驗功能需進行關鍵域校驗或強制填充;傳輸協議和接口進行安全保護;私有密鑰和證書進行安全保護;具備抗重放機制等。
對于上位機(支付應用軟件),要求上送上位機唯一特征碼作為參考信息;與后臺系統之間采用安全協議進行數據傳輸;具有用戶訪問控制;建議上送地理位置信息。對于后臺處理系統,要求對受理終端進行合法性驗證,并與受理終端配合實現防交易重放的功能。
3、其他方面
mPOS的前端核心安全主要由受理終端實現,由支付應用軟件和后臺處理系統配合。但受理終端主要提供設備安全,整體上必須由實際部署的應用流程和安全機制給予有效支撐。因此,在支付應用軟件的認證過程中,要求提交詳細的整體設計方案(包括受理終端至后臺處理系統的交互全流程和關鍵操作)供初步評估。
五、國外標準情況
EMVCo在2013年10月成立mPOS工作組,負責研制技術白皮書,銀聯參與了研制。EMVCo希望通過白皮書來整體性地顯示所有可能的mPOS形態和方案思路,但暫時不做技術標準及認證上的強制要求,事實上暫時放開了對mPOS的限制。
PCI是國際支付卡安全標準組織,提供境外銀行卡產品的安全標準和認證服務。PCI已和EMVCo聯合開展mPOS安全技術的研究,但尚未有針對性標準。
總體上,目前境外并沒有針對mPOS的完整技術規范,銀聯發布的mPOS技術安全要求及配套認證是該領域首個標準化服務。
六、其他實施建議
(一)處理流程
支付安全是整體性、系統性課題,在mPOS這類創新產品上顯得尤為突出。軟硬件設備自身的安全僅僅是其中一個方面,處理流程的設計和實施效果將直接影響整體安全性。
(二)交易組包
交易組包是處理流程中的關鍵問題。建議支付核心信息的報文組包和加密保護在受理終端完成。在現有條件下,不建議在上位機組包;如因業務需要確實需進行此類部署,收單機構應充分評估其風險,設計強化的安全機制和配套的業務風險管理機制,并謹慎應用。如后臺處理系統實現報文組包等交易處理邏輯,應強制實現受理終端與后臺處理系統建立數據傳輸的安全通道,并制定相應的密鑰和信息交互安全機制;此外,由于該模式對通訊穩定性有較高要求,實際部署效果未必理想。
(三)后臺系統安全
建議加強賬戶信息和系統技術安全的設計和管理,使之有效抵御網絡攻擊,防止非法終端對系統影響,及時處理異常。
(四)參考實踐方案
標準工作組針對mPOS設計了一些技術安全解決方案示例,以“資料性附錄”的形式,對《要求》提供適當補充,為受理終端、上位機支付應用軟件、后臺處理系統的設計和開發提供技術參考,不作為強制要求。
