在线支付安全性与云端身份认证Keypasco

客观来看,在线支付认证Keypasco这一方案引发了一个值得深入思考的问题,即我们是否为了安全而需要在硬件上不断的升级和投资,能否通过云端服务的新方式低成本又较好的实现在线身份安全认证?

在线支付安全问题大家关注已经很多,简要总结一下,以下三个方面可以看到在线支付的安全性在未来几年可能会成为有增无减的越发头疼课题。

一是在线支付用户数量的不断增长。CNNIC发布的《第30次中国互联网络发展状况统计报告》显示,截至2012年6月底,中国网民数量达到5.38亿,手机网民规模达到3.88亿,其中网络购物用户规模达到2.1亿,网民使用率为39.0%,四成的网民已经在使用网络购物和电子支付等方式,网络、智能手机、PAD等网络终端已成为大众日常生活和购物支付的重要工具。这么多的用户,并不能确保每个人都会应用安全的支付工具、有足够强的安全意识、能够在安全的环境下进行支付。

二是芯片卡迁移趋势的加快。全球除了美国外,芯片迁移已经是支付卡行业基本的共识和行动。在中国,2011年3月人民银行发布64号文件,提出了金融IC卡迁移的时间表,要求2011年打开局面,2012年扩大应用,2013年规模发卡,2015年全面实现,正式启动芯片化迁移。今后在芯片卡片和现场交易交互的情况下,支付的安全性是基本能够得到保障的,那么,传统针对磁条卡的欺诈和风险,势必随着在线支付的发展而直接迁移到网络上,金融IC卡的迁移也意味着风险的迁移。

三是在线支付欺诈手段的防不胜防和不断翻新。网络空间的虚拟性、间接性、广泛性、快速性等特征,一方面使得欺诈行为难以被发现,另一方面即便被发现了,查找的成本也很高,时效性差。而且,很多行骗者一次得手后,换个马甲再出来,成为打不死的小强。

据统计,在过去一年间,在有网购经历的网民中,31.8%的网民曾直接遭遇诈骗网站,网购遭遇诈骗风险的网民规模达到6169万。保守估算,每年因诈骗网站给网民造成的损失不低于308亿元,对比2011年我国在线购物市场交易额7566亿元,在线支付诈骗损失率达4.07%,这要在传统的磁条支付卡线下支付行业,就是整体风险都达到了高风险商户的水准(4%)。

五花八门不离其宗的手法

我们日常也都听到看到,不断出现一些支付案件,对在线支付业务和用户个人都造成很大影响。在线支付形式多样,环节很多,包括客户端、电子商务网站、电子支付平台,一直到银行,从现在的情况来看,安全问题更多的还是集中在客户层面或交易界面,导致用户支付信息被泄露而发生欺诈。目前常见的欺诈手法包括:

1、制作钓鱼网站或虚假的电商网站,通过中奖邮件、访问跳转、形色诱惑等各种手段诱骗客户登陆钓鱼网站盗取客户信息,得到用户名及口令后即到真实的银行网站进行转账或支付。

2、通过木马病毒窃取文件证书或盗取网上银行账号及密码,从而进行冒名转账、复制卡等盗用客户资金。

3、破解用户“弱口令”窃取资金,利用部分用户贪图方便、设置“弱口令”的漏洞,随机的扫号,导致密码简单的用户账户被盗。

4、杀“熟”。获知某人的卡号、生日、手机号等信息后,冒名尝试登陆。

此外,还有其他各类诈骗手法,目的无外乎获取卡号、密码等支付信息。根据CNNIC《2012年中国网络支付安全状况报告》,网上支付用户遭遇支付不安全事件比例为3.2%,与之前所计算的4%在线欺诈损失率差别不大。其中,钓鱼网站诱骗支付占首位。有3.2%的网上支付用户表示自己最近半年曾经遇到过支付不安全事件。用户遇到的最主要不安全问题是遭遇虚假网站欺骗后贸然支付,有64.4%的比例;第二位的是支付账号或密码被盗,有19.2%的比例。遇到支付不安全事件的用户中,40%有实际的资金损失。

为防范在线支付风险,2011年6月,支付宝联手百家公司成立安全支付联盟,保障用户权益。安全联盟成员包括银行、安全公司、浏览器、第三方支付、电商企业等横向产业链成员。安全联盟旨在将通过成员间共享技术、数据、情报,实现更为紧密的合作,在产业链各环节对支付安全严密保护,打消公众的疑虑,助推中国电子商务产业的发展。然而这种松散型的联盟,固然会通过两两之间或一对多之间的合作来实现一定程度的风险防控,但从行业角度而言,并没有出现实质性的风险防范手段或技术的革新。

身份认证仍是关键

无论是线上还是线下交易,要做到真正安全,就要确保在两个核心问题上的保障。

第一,对交易者身份的确认,这一点来说,线上线下交易有着根本的区别。线下交易以卡为基础,无论是凭密交易,还是签名交易,持有卡片交易、完成密码或签名就代表了本人,这样在安全责任界定上就没有问题。当然,磁条卡因为信息存在被侧录的可能性,致使身份认证也受到更大威胁,因而,磁条的芯片卡将增强对线下交易交易者身份的认证。对比起来,线上交易无卡无磁无芯片,身份认证就更加重要,最传统的认证方式包括银行柜台签约+密码支付,单一密码验证支付已经成为比较脆弱的验证方式了。

第二,对从商户、终端开始的交易参与环节的确认,保证交易信息在各环节的完整性、保密性和不可否认性,保证信息不被篡改、不被泄露、来源合法。在这点上,支付卡行业已经形成了较完善的加密处理技术标准和实践,分层密钥体系、SSL加密、3DES加密、PCI认证、银联账户信息安全标准等。在线支付中,主要通过数字证书来实现确认,或者是银行、支付机构自主发放数字证书,或者是权威第三方认证机构发放数字证书。以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性。从实际来看,国内还尚未出现大规模因支付机构原因导致的持卡人交易信息泄露事件。

目前提高在线支付安全性、加强身份认证的基本思路都是从交易者输入信息的那一刻,就确定交易者的身份,并将交易信息全程保密处理。国内最常用的是动态口令和数字证书两种多因素认证方式。动态口令或动态密码可以通过令牌(大部分是银行)或手机方式(如支付宝的手机ME令、银联在线的手机短信动态码)提供,目前来看还相对安全,主要风险是遗失手机;数字证书则是给用户发放一个唯一的数字证书作为用户的身份凭证,并基本实现移动数字证书(USB Key,U盾等),证书方式认证的不便在于需携带,且需要在已安装证书的终端使用,而且有一定成本,U盾本身的安全性并非无懈可击,也是需要不断升级的。庞大的用户数量可能导致更换U盾成本高昂的无底洞。

KeyPasco,基于云端的多因素机制

今天和今后的互联网服务都需要解决用户的身份认证,即你是谁这一关键。没有好的在线安全解决方案,不解决在云计算服务提供时代用户安全性的问题,号称互联网第三次变革的云计算就不能真正的起飞,没有好的在线安全解决方案,用户上网就是中存在隐忧,而网络实名制和个人隐私保护的需求都在持续的增长。

Keypasco安全认证解决方案由曾创办网上银行安全认证知名企业Todos的创始人林茂聪等提出,用他的话说,要革自己的命,过去他用硬件Token作为身份认证,现在则走向纯云端架构,以服务为主题实现同样的目标。他认为,近年来云端概念服务逐渐成形,移动设备的概念也更加成熟,才可能出现这样的商业运营模式,以摆脱Todos过去存在的一些拼镜,例如成本高、推广难、一旦被破解就需要马上大量更换设备等,更重要的是,採取硬件身份认证的概念将难以在云端环境中被使用。

简要的来说,Keypasco想解决的问题很简单,其一是确保用户的支付卡只有在其所在的地方才能使用,那么就不会有信用卡被盗刷的可能;其二只有用户能在自己的终端设备上登陆自己的账号 。这意味着全世界70亿人口中,包括用户本人,除了用户自己的终端设备,没有人可以在全世界其他100多亿的设备中,登陆用户的账号。

这样,Keypasco提供的认证方法是:在用户名和密码的双因素基础上,增加了可绑定的个人终端设备ID、地理位置定位,甚至是上线时间,再加上消费者行为分析相关的风险评估机制(可以分析其他用户是否尝试通过其他终端登陆用户账户),采取多重因素认证方式提升安全性。

为了安全因素与保护客户隐私,Keypasco运用云端资源,通过加密的分散式存放等方式存放用户登记信息。用户只有通过所绑定的一台或多台终端,在自己提前设定的地理区域,以自己的身份登陆,所有的访问和尝试登陆日志都会保留在系统中,用户可以方便查询。由于这一认证方式基于软件和云服务实现,成本极低,在没有大规模增加成本的前提下提高了整个行业的安全水平。

用户操作起来也比较方便,第一次使用某一终端简单的注册登陆,用户即被赋予一个唯一的Keypasco ID,登录设备也被赋予一个唯一的设备ID,两个ID及设备本身在今后的登录中即被关联,其后进入系统可设定绑定其他设备、使用区域等。提供该服务的支付机构或网络服务提供机构可以在其中设定自己的风险规则,确定某些情况下的风险阀值和使用要求。应该说,Keypasco基本在不太改变用户现有习惯的基础上,以云端认证单点登陆的方式,确保了用户身份的合法性。

在电子支付之外,电子商务公司、网络游戏、网上银行、电子政务等运营机构,均可使用这一身份认证方式以确定和管理其客户身份,台湾已经有游戏公司在使用这一方案,效果良好。客观来看,这一方案引发了一个值得深入思考的问题,即我们是否为了安全而需要在硬件上不断的升级和投资,能否通过云端服务的新方式低成本又较好的实现在线身份安全认证?

时间: 2024-10-27 17:53:38

在线支付安全性与云端身份认证Keypasco的相关文章

一种基于主板BIOS的身份认证方案及实现

一.BIOS简介 BIOS是只读存储器基本输入/输出系统,它是被固化到计算机中的一组程序,为计算机提供最低级的.最直接的硬件控制,在计算机系统中起着非常重要的作用.BIOS是硬件与软件程序之间的接口,负责解决硬件的即时需求,并按软件对硬件的操作要求具体执行.BIOS的功能包括自检及初始化.硬件中断处理.程序服务处理. 1. 自检及初始化 这个部分的功能是启动计算机,包括三个部分,第一个部分是用于计算机刚接通电源时对硬件部分的检测,也叫做加电自检(POST),功能是检查计算机是否良好.第二个部分是

SQL Server 数据库身份认证以及包含数据库

首先分为SQL Server 认证与Windows 身份认证. SQL Server 认证可以运行以下语句来查询 1 select * from sys.sql_logins 管理员可以直接修改密码,但无法知晓原有密码原文,SQL Server使用混淆算法来保护安全性不如Windows 身份认证, Windows认证模式 首先分为本机账号与域账号 SQL Server 将认证和授权分散给了不同的对象来完成,SQL Server 的"登入名"(Login)用于认证,连接SQL Serve

生物识别与身份认证技术无缝结合 国民认证终结移动支付最大痛点

以生物特征为主的多因子认证技术代表了移动支付领域的最新发展方向,将成为未来互联网金融安全的重要支撑.为解决当前移动支付安全领域的难题:安全与便捷的平衡,万达集团旗下"快钱钱包"欲以生物认证技术为切入口,与国民认证合作上线指纹身份认证. "现在连买个煎饼果子都可以用手机支付了!" 这句话很形象地体现了当今中国移动支付发展迅猛之势.出门不带钱,掏出手机就可以"买买买",移动支付已经逐渐把我们引入不带钱包的时代! 不过,这么简单快速的手机支付,我们多少

WINPASS静脉身份认证系列产品最大的技术优势是安全性

很长一段时间里,应用最广泛也最为公众了解的生物识别身份认证技术是指纹识别身份认证.随着更多的指纹产品进入寻常百姓家,安全问题逐渐引起大家的关注.为了解决大家对安全问题的担忧,智冠股份通过对生物识别身份技术的进一步了解,发现日本80%的ATM都使用了指静脉识别身份认证装置取代密码输入.既然指静脉身份识别技术能在日本金融领域大规模应用,那是否证明了这项技术具有高安全性呢?智冠股份通过进一步的调查,确定了这一事实并将静脉识别技术引入国内.智冠股份从创业之初的进军电子政务领域到2010年涉足生物识别技术

芯盾时代:致力于身份认证安全的领军者

本文讲的是芯盾时代:致力于身份认证安全的领军者 信息安全技术的关注点,一直在随着互联网的发展而变化. 互联网兴起时,作为流量聚集地的门户网站,主要面向大众提供信息,缺乏个性化色彩,防火墙.IDS/IPS.防病毒等作为主流安全防护技术足以应对黑客恶意攻击. 而随着移动互联网时代的发展,个人信息价值逐渐凸显,例如新闻.游戏.社交.金融等都是个性化定制,每个人在不同平台都有相应的一套账户密码体系,为适应这一变化,互联网安全技术正在发生本质的变化.具体来说,传统的网络安全应对的是攻防,即与黑客进行此消彼

新金融、新安全下的身份认证方式

[51CTO.com原创稿件]身份认证是保障网络金融安全最重要的一道防线.既安全又便捷的身份验证方式是什么呢?这就是生物识别技术. 10月25日,在2016蚂蚁金服新金融安全论坛上,蚂蚁金服安全产品技术部资深总监冯春培表示,传统的身份验证方式就是账号加密码.互联网发展至今,几乎我们每个人都会在不同网站或者APP上注册账号,随着账号的增加设置的密码难免相同,非常容易被攻击者在得知一个账号密码后在别的平台实施撞库,致使其他平台的信息遭遇泄露的风险.于是出现了手机短信验证,动态的验证码不易被泄露,但是

芯盾时代: 开启“智慧身份认证”新时代

[51CTO.com原创稿件]随着信息化的快速发展,无论对国家.公司还是个人,越来越多的机密或私密信息通过网络传输与存储,这也促使为获取这些信息为目的的网络犯罪事件急剧上升.身份认证技术作为网络安全的第一道,甚至是最重要的一道防线,有着十分重要地位. 想要解决因认证缺陷导致的互联网信任危机,确保信息只被"对的人"访问,需要提高身份认证水平,采用更加先进的技术和方法.目前有哪些专注做身份认证的公司?有哪些主流的身份认证技术呢?带着这些疑问, 51CTO记者近日走访了身份认证安全厂商芯盾时

宽带门户网站身份认证系统设计

设计 摘 要 研究了湖南铁通宽带门户网站身份认证系统的功能需求,从统一认证.认证安全性和通用性等方面提出了一套全面的解决方案.方案利用集中用户管理实现统一认证:利用"一次一密",两次认证的方式实现良好的安全性:利用WEB SERVICES架构实现系统的通用性. 关键词 统一身份认证:时间戳:Web Services 背景 在以前,宽带的速度是吸引用户的根本原因.当宽带用户以前所未有的速度成倍增长的时候,价格和速度已不是影响网民上网的主要因素,没有丰富的内容用户就不能真正享受"

统一身份认证子系统数据库设计与数据访问层实现

访问|设计|数据|数据库|数据库设计 目 录 一 引言--------------------------------1 二 需求分析 (一)系统的功能要求------------------------2 (二)系统的性能要求------------------------2 (三)运行环境要求-------------------------2 (四)开发工具简介-------------------------2 三 总体设计 (一)系统模块化分----------------------