安全无小事,无论是在哪个行业、任何场景下。而在金融支付领域,安全又多了更深的含义。作为保障用户个人财产和隐私的最后一道防线,安全支付是维护社会健康发展的根本。因此,不论是银行卡支付、手机二维码支付,还是NFC支付对安全都有很高的要求。但随着支付场景的不断拓展和丰富,开放性也渐渐受到关注。如何兼顾安全与开放性,成为很多业内人最大的困惑。而智能POS的出现,不仅带来了全新的启发,更凭借极高的兼容性和安全性获得各方的认可,成为时下主流的金融受理终端。
目前绝大多数智能POS产品采用了硬件物理防护+系统深度定制+应用程序封闭式管理的安全体系架构,并将自身安全防护机制拆分成安全区域和应用区域。安全区域作为了一个独立的封闭环境,拥有极高的安全等级,能有效防止黑客入侵,核心支付程序及相关隐私数据的运行处理都在该区域完成。除此以外的商用程序及相关数据的处理在应用区域进行,以此提高处理能力、方便联网通讯。这样既提供了开放的可拓展能力,又实现多层级的安全保障。
“全域安全” 补齐智能POS最后一块安全短板
有意思的是,上述的双系统解决方案如今已广泛运用在智能手机内,但在2006年由OMTP(Open Mobile Terminal Platform)工作组提出时,仅作为一种安全理念,却无法实现。直到OMTP和GP(GlobalPlatform)组织深入沟通后,采用了GP终端工作组的STIP(Secure Terminal Interoperability Platform)规范作为双系统之中安全区域的技术实现。之后ARM公司也加入了这个联合工作小组,基于STIP的方案,结合自身硬件技术实现,演进为如今的TEE(Trust Execution Environment)标准和TrustZone产品,最终应用到每一台智能手机之中。
上海慧银作为行业老兵,专家团队在安全支付领域深耕多年,在国内外创造了多项创新成就,早在2004年就获得了世界上第一款手持移动POS的PCI安全认证,这是Visa和MasterCard首次针对POS硬件安全联手制定统一的全球标准。而且因为团队很早就洞察到开放平台在金融终端行业的必然趋势和巨大潜力,所以在Visa等组织的推荐下,受邀加入GP,成为终端工作组的重要成员,同时,也作为STIP规范制定的核心成员之一,参与了相关标准的起草工作和其后与OMTP的交流工作。因为在多应用管理、分发平台和安全加密协议等方面的突出贡献,曾受到过多次表彰,并作为唯一一支来自中国的技术团队,被推举为GP组织的年度之星。在这一过程中,慧银专家团队逐渐认识到在软硬件一体化、平台化的发展趋势下,支付安全也必须扩大其涵盖范围才能提供真正意义上的安全保障。
“全域安全” 补齐智能POS最后一块安全短板
世事轮回,10年前,源于POS行业的安全技术架构助力智能手机行业完成双系统安全机制;10年后,Android和TEE在智能手机上的广泛应用又推动了POS行业从传统技术架构向智能POS演进。
但是,手机的TEE解决方案过于依赖芯片,其核心技术掌握在芯片厂商手中,服务商只能通过调用芯片厂商提供的标准API接口,构建系统级的安全体系,并不能做到从底层硬件到软件交互的全方位安全保障。特别是针对智能POS这样的商用化终端,不能只依赖于TEE的安全性和双系统架构。
从严格意义上讲,普通的智能POS双系统架构有别于TEE,基于TEE的安全理念,采用应用处理芯片+安全芯片的形式重构了双系统架构,虽然从物理层面进一步加强了安全保护,但不可否认,仍然遗留下“不同区域存在安全防护差异”的事实,而针对安全防护薄弱区域的攻击,既可以采用构造钓鱼式用户界面的方式以较低的成本达到攻击目的,或通过不断提权的方式,最终攻破整个安全体系。
“全域安全”,补齐最后一块安全短板
正所谓千里之堤,溃于蚁穴。虽然智能POS作为安全技术的集大成者,并通过了各项权威安全认证,但也无法杜绝任何潜在的安全风险。只要存在安全短板,那么随时都有可能会动摇安全的根基。为了补齐短板,就必须用创新的方式构建更符合智能POS商业运用的安全体系架构。
因此,慧银在研发智能POS时,提出了“全域安全”这一概念。为了提升整体安全性,将应用处理器和安全芯片的安全级别设定为同一安全等级。专家团队将原有的核心安全区域覆盖范围,扩大至整个POS前后端以及相关商业应用环境之中,所有程序、服务、数据都将会得到最高安全级别的保护。针对未知的系统漏洞,设计了一套主动监测,动态防御,远程更新的机制,通过动态调节加密虚拟环境的方式控制风险,为修复漏洞或应对其他情况争取必要的时间。
“全域安全” 补齐智能POS最后一块安全短板
“全域安全”是慧银技术实力的体现,也是团队坚持理想推动安全创新的结果,更是我们对全球合作伙伴的承诺。当然,在安全方面,我们做的远远不够,还有更多问题和挑战需要解决。上至监管部门、银行、支付机构,下至设备厂商、服务提供商,只有产业链各方共同努力,参与到相关体系和规范的建立和完善的工作中,才能实现整个行业的全域安全。
安全是一种信仰,因此绝不能妥协,必须坚持到底!
文章来源:中国电子银行网