Apple Pay最近出现的中间人攻击,让人们更加关注Tokenization技术的发展,最近来自TSM及移动商务软件与提供商Sequent的高级产品副总裁 Kaushik Roy就认为,确保移动支付安全拥有Tokenization还是不够的,设备内的软件仍然担当着移动支付安全的重要角色移动支付网进行了简要的编译,以下是其观点:,下面我们就来聊聊关于如何理解nfc支付 HCE安全仅有Tokenization还不够?接下来我们就一起去了解一下吧!

如何理解nfc支付 HCE安全仅有Tokenization还不够

如何理解nfc支付 HCE安全仅有Tokenization还不够

Apple Pay最近出现的中间人攻击,让人们更加关注Tokenization技术的发展,最近来自TSM及移动商务软件与提供商Sequent的高级产品副总裁 Kaushik Roy就认为,确保移动支付安全拥有Tokenization还是不够的,设备内的软件仍然担当着移动支付安全的重要角色。移动支付网进行了简要的编译,以下是其观点:

在不需要将卡信息储存在设备的情况下,HCE云端移动支付方式开启了产业新模式,与此同时也伴随着各种风险管理问题。

缺乏硬件SE的情况下,需要强大的软件解决方案来确保敏感卡信息在手机交易当中的安全。Tokenization技术就是确保云端支付手段的重要解决方案,用Token来替代PAN码,保护PAN码免于滥用误用。

支付安全有Tokenization技术就够了吗?

习惯上来说,Tokenization意味着一次性的使用数据,如果一次性的卡数据安全存在风险,那风险也仅仅局限于一次交易中。然而,Tokenization都遵守EMVCo标准,Token的定义是PAN码的替代,这不等同与一次性的使用数据。现在Tokenization已经开始各种商用,而在手机上的Tokenization使用,延长了其活跃寿命,这也同时给诈骗开了一扇窗。最近Spot.me的中间人攻击事件(SpotMe APP让用安卓NFC手机用上Apple Pay),也将 Tokenizatin的安全推向了风口浪尖。

Tokenization在云端支付安全当中扮演的角色(较之PAN)在重要性方面略低,因为黑客即使截获了Tokenization也不能盗取卡信息或者其他用途(这也意味着Tokenization更容易截获)。此外,在手机数据库的加密和功能形态,让支付信息更容易遭到攻击。

这两方面的因素是HCE和Tokenization发展至关重要的。一个是动态的Token,一个则是设备内的安全和管理。

HCE支付的服务提供商一般熟悉卡的发行以及个性化。而卡发行和个性化在SE和HCE两种形式的移动支付解决方案中都有许多共同。二者最关键的不同是,基于SE的解决方案是静态的,而HCE是动态的。动态的发行需要动态的卡信息管理以及账户信息管理,而Tokenization却不需要。

设备管理是监测各种阈值参数的能力,从而为各种事务的处理以及执行提供信息。设备安全,是基于软件SE来保护设备中的卡信息、加密以及功能安全。此外,也需要维护应用的完整性,以抵御黑客攻击。所以说,设备的安全保障非常重要。特别是随着HCE支付发展,所有可用的安全工具都可能被应用,无论是基于网络的Tokenization还是动态发行和管理,亦或是逐渐成熟的指纹技术。

小编注释:Kaushik Roy是Sequent的高级产品副总裁,拥有20年的软件应用经验,同时他也参与撰写了多个移动支付、NFC和流程管理技术专利。本文Kaushik Roy想表达的观点是,未来的HCE安全,不仅仅是需要Tokenization的参与,还需要基于手机自身设备安全管理的参与,其中还包含着各种安全认证技术,在Apple Pay的引领下,指纹技术正在逐渐加入到支付安全的技术保障行列,未来任何能钱包设备安全的技术,都可能结合HCE,扮演应有的安全防护者。

推荐微信公众号,NFC日报:nfcdaily 移动支付网:mpaypass

,