将关键支付凭据存储在安全的共享存储库中,而不是在手机上

确保移动电话的安全,使其可用于在实体销售点 (POS) 终端进行信用卡或借记卡交易是一项挑战。 基于磁条卡的支付系统已经演变为使用 EMV 芯片卡,下一阶段自然是利用大多数手机内称为 Secure Element 的专用安全硬件来托管支付应用程序、用户支付凭据和相关加密密钥。

但是,事实证明,由于各种原因,这种方法很难实现从试点到大规模部署 – 移动电话缺乏标准化、认证要求复杂,最重要的是,许多银行不愿将控制权交给第三方,即信托服务管理平台 (TSM)。 在 TSM 模式中,银行向安全元件上的“租用空间”付款,安全元件通常由移动网络运营商 (MNO) 或手机制造商控制。 为了克服这些挑战,另一种方法正在迅速获得支持,即主机卡模拟 (HCE)。 借助 HCE,关键支付凭据将存储在安全的共享存储库(发卡机构数据中心或私有云)中,而不是手机上。 使用主机卡模拟,将有限使用凭据提前发送到手机,以实现非接触式交易。 尽管主机卡模拟消除了对 TSM 的需求,并将控制权移交回银行,但它带来了一系列不同的安全和风险挑战。

发卡机构后台系统

主机卡模拟图解

    挑战

    在线访问支付凭证

    建立集中式服务以存储数百万个支付凭据或按需创建一次性使用凭据会造成明显的攻击点。 尽管银行发卡已有多年,但这些系统基本上已处于离线状态,不需要与支付令牌(在本例中为塑料卡)进行环云交互。 主机卡模拟要求这些服务在线并作为个人支付交易的一部分可实时访问。 未能保护这些服务平台会使发卡机构面临相当大的欺诈风险。

    支付凭证保护和交易保护

    尽管手机已不再作为支付凭据的存储,但它仍扮演着三个关键的安全角色。 所有这三者都为盗窃或替换凭据或交易信息创造了机会。

    • 它为应用程序提供了请求存储在主机卡模拟 (HCE) 服务中的卡数据的方法。
    • 它是对用户进行身份验证并授权服务提供支付凭据的方法。
    • 它提供了将支付凭据传递到 POS 终端的通信渠道。

    提供灵活的基于风险的审批

    所有移动支付解决方案都比传统的银行卡支付方案复杂得多,然而智能手机用户的期望却非常高。 移动网络覆盖率不佳使 HCE 服务无法访问,复杂的身份验证方案会导致错误,而软件或硬件不兼容可能会使一切停滞不前。 在缓存凭据的情况下,将需要一种灵活的方法,而在标准日趋成熟并且需要认证的时候,基于风险的审批将成为常态。

    解决方案

    主机卡模拟移动支付: Entrust nShield HSM 解决方案

    Entrust nShield 硬件安全模块 (HSM) 目前正在使用,帮助确保基于 HCE 的解决方案的安全。 发卡机构使用 HSM 安全地生成并集中存储支付凭据,发卡机构还可以灵活地决定在任何给定时间在手机中存储多少密钥,因而涵盖支持离线授权作为发卡机构风险决策的一部分的情况。 在在线授权的情况下(这是 HCE 解决方案的通常部署模式),发卡机构使用 HSM 实时验证手机应用程序生成的密文,作为非接触式移动支付交易的一部分。 在这种情况下,手机应用程序的安全设计至关重要,以确保手机内部的处理会限制密钥或敏感数据暴露于欺诈性攻击的风险。 这就是为什么在银行可以使用 HCE 服务之前,卡方案会对移动支付应用程序的安全性进行广泛验证(其中包括涉及 HSM 的发卡机构的接口)。

    优势

    Entrust nShield HSM 有助于确保基于 HCE 的解决方案的安全

    • 将与目前在全球范围内用于发行 EMV 卡的相同类型的 Entrust nShield HSM 用于 HCE
    • 利用 Entrust nShield HSM 集成合作伙伴生态系统来获得可靠的基于 HCE 的解决方案,并自动与最新的卡方案规格兼容
    • 从 Entrust nShield HSM 已经支持的一系列加密算法和密钥管理方案中进行选择,在发卡机构系统和手机之间创建基于硬件的安全会话,从而消除凭据加载过程中的中间人攻击
    • 利用 FIPS 140-2 3 级 HSM 认证,简化审计合规性,确保部署可能的最佳密钥生成和保护方法

    资源中心

    手册: Entrust nShield HSM 系列手册

    Entrust nShield® HSM 为密码处理、密钥生成和保护、加密等的安全性创造了更加稳固、防篡改的环境。 Entrust nShield HSM 具有三种经过 FIPS 140-2 认证的外形规格,支持各种部署方案。

    相关产品