在国标的制定过程中,移动支付技术标准始终围绕由中国移动主导的2.4GHz标准和银联主导的13.56MHz标准展开。尽管国标今年10月才出台,但是,早在一年前,行业内就有声音称“13.56MHz方案将成为未来发展的主流”,去年12月中旬,中国人民银行正式发布的《中国金融移动支付系列技术标准》,也在NFC(近距离无线通讯技术)标准中采用了13.56MHz技术。
“每种方案各有特点,反映了不同的应用模式。工作组没有排斥任何一种方案。”耿力表示,“我们采取了公开、透明、协商一致的原则,广泛听取各方面的意见,积极地交流和沟通。在标准制定过程中,中国电子技术标准化研究院组织银联和三大运营商结合各自的试点应用情况对市场上的各种移动支付技术方案从技术特点、产业链情况、应用环境现状、试用及验证情况、标准支持情况、知识产权状况等方面进行了详细的分析并进行了深入的交流。从兼容现有金融标准、现有金融非接触受理网络的角度出发,经工作组讨论,现阶段国家标准以13.56MHz工作频率为基础,以符合金融安全及相关规范的要求。”
移动支付安全问题如何保障
安全问题在手机支付业务中始终占据着极其重要的位置。一方面,银行需要对用户的交易密码做加密处理,如对某些重要数据做硬件加密以及相应的日志管理。另一方面,通信运营商需加强信号传输中的安全问题,防止信号被截获等。在此次公布的移动支付国家标准中,这一问题是如何解决的呢?
耿力告诉记者,国家标准从移动支付空中接口安全以及多应用管理和安全方面进行了阐述。首先在原有移动支付空中接口传输协议的基础上,提出了一种可选的支持射频接口安全防护的实现机制;其次移动支付是典型的多应用,需要利用多通道管理多个应用,确定应用的各种状态、应用生命周期等,要重点保证不同应用的并存、并发及应用自身的安全、应用间互访的安全等。“在标准中针对已发行的安全单元载体中的多应用安全单元提出安全规定和要求,描述了不同类型的安全威胁以及相应的应对策略,并建立了从威胁到安全要求或安全防护的映射,规定了每一个威胁都将被至少一个安全要求或安全防护覆盖。”
国标中建议的安全措施有:应用程序的安装校验防护、攻击检测防护、密码算法服务防护、平台状态管理防护、安全引导防护、安全通讯机制防护、识别与认证防护、应用程序接口防护、用户安全管理防护等等。
意义深远
更多详细信息,请您微信关注“计算网”公众号:
