曹乙帆不論是金融 3.0(Bank 3.0) 所掀起的行動銀行等數位化顛覆革新,或是金融科技 (FinTech) 業者帶動的第三方支付、線上到線下 (Online to Offline, O2O) 與比特幣 (Bitcoin) 等行動支付熱潮,莫不以金鑰管理系統的建立做為電子/行動交易的關鍵安全基礎設施,同時更為 Thales 硬體安全模組 (HSM) 方案灌注新一波強勁的成長契機與動力。
本文目錄
從身分認證、端到端加密與手機資訊安全三管齊下
隨著行動網路基礎設施、無線連網裝置與相關技術,乃至從政府到產業,再到消費者的相關支援、配套措施與需求的日趨熱絡、成熟與完善,致使全球行動支付市場呈現大幅成長的態勢。為了順應全球行動支付的潮流,並推動台灣行動支付相關產業應用的蓬勃發展,2015 年 1 月立法院已三讀通過行政院送審的《電子支付機構管理條例》(亦即俗稱的「第三方支付專法」)。 3 月中旬,金管會並於所明定的「電子支付機構資訊系統標準及安全控管作業基準辦法」草案中,針對交易安全而將交易金額劃分成 3 種級距。
凡交易金額每筆低於 5,000 元、每日低於 2 萬元、每月低於 5 萬元者屬於第一級距,只需透過預先設定的密碼即可。凡每筆 5 萬元以下、每天 10 萬以下、每月 20 萬元以下者,皆屬第二級距,必須透過電子支付機構預先透過簡訊傳送的密碼來完成交易。至於第三級距是指每筆 5 萬元以上、每天 10 萬以上、每月 20 萬元以上的電子交易,則必須透過晶片金融卡或令牌裝置所產生的一次性密碼 (OTP) 來進行。再者,只要是帳戶間的款項移轉,前兩個級距都必須透過晶片金融卡或 Token OTP 來完成,至於第三級距則必須藉由臨櫃或憑證來辦理。
Thales 大中華區資訊安全部銷售總經理周志豪表示,整體而言,上述第三方支付專法及安全草案莫不是因應今後電子交易逐漸全面朝向行動化發展之全球大趨勢下,而在法制面的必然舉措與必要回應。不僅如此,當前使用者對行動支付的強烈需求,也加速金融科技化與科技金融化的發展腳步,前者亦即當前銀行界如火如荼展開的金融 3.0 (Bank 3.0) 政策,其中藉由智慧型手機取代實體銀行而成為掌上型分行,則成為 Bank 3.0 的主軸策略之一。
至於後者多半是指非金融機構透過前瞻科技推出創新性金融服務的顛覆性 FinTech 風潮而言,其中佼佼者,除了眾所皆知的第三方支付平台美國 Paypal 及中國支付寶外,並包括美國 P2P 借貸平台 Lending Club 、資金營運平台 C2FO 、中國理財平台陸金所 (LU.com) 等,而台灣也有支援行動聲波支付服務的紅陽科技,以及提供推播互動式安全認證機制的蓋特資訊 (iDGate) 。
「不論是 Bank 3.0 銀行或 FinTek 業者所推出的行動分行或第三方支付等各類創新應用及服務,都會以智慧型手機等行動裝置來進行交易,也因為如此行動裝置的安全性便顯得格外重要,」周志豪強調指出:「對此必須從三大層面來確保整體行動支付的安全性,首先得透過身分認證機制來確認使用者真實身分,其次是提升資訊傳輸的安全性,第三則是確保行動裝置中的資訊安全。」
根據香港銀行公會針對各國採用雙因素認證 (2-Factor Authentication) 的研究報告指出,透過簡訊發送 OTP 最為普遍,中、港、台、新等國皆普遍採行,但美國卻未實施,而只有透過密碼搭配提示問題的認證機制而已。對於跨國金融機構而言,通常會選擇 Token 等較高認證標準來確保網路/行動交易的安全性。為了杜絕中間人 (Man-in-the-Middle) 攻擊等網安風險的發生,端到端的加密防護已逐漸成為普遍要求。
周志豪表示,隨著行動支付與相關業務的大行其道,如何加強身份認證、端到端資料傳輸及手機資料的安全保護,會是今後金融/支付機構資源投入的一大重點。 Thales 旗下 HSM 方案,則是今後行動支付不論採取 PKI 、 Token 、 SMS OTP 或端到端加密等機制背後的關鍵基礎。不僅如此,Thales 並早已推出支援 HCE 與 mPOS 相關資源、所有功能與各項應用的行動支付專用 HSM-payShield 9000,進而協助業者打造方便、安全又高效率的行動支付平台。
Thales HSM 協助行動支付杜絕網路犯罪風險
在線上支付日漸蓬勃的同時,行動支付業者早已將焦點放在線下實體交易的 O2O 支付服務上,使用者到實體店面消費時,可以方便地透過手機 QR Code 完成線上帳戶的扣款支付作業,再再突顯出 O2O 將成為第三方支付之後的下一波兵家必爭重點。如今中國可說是全球第三方支付及 O2O 業務發展最迅速的地區,但在缺乏相關監管配套機制的情況下,一旦像是支付寶等 FinTech 業者倒閉,勢將引發重大的衝擊。
對此,周志豪預估指出,為了尋求更安全又簡便的行動支付機制,比特幣將會成為第三方/O2O 支付的下一步。比特幣是以區塊鏈 (BlockChain) 技術為基礎的電子錢包系統,而區塊鏈則是由密碼演算法產生而出,由於該技術能完美保存交易技術,因而提供遠比其他金錢交易系統更高、更完備的稽核、監控能力與安全性,因而勢將成為日後行動交易的明日之星。
不論是第三方、 O2O 或比特幣等行動支付服務,抑或當前香港推行的電子支票,都會涉及金鑰與憑證的管理與保護。此外,為了讓更安全的 PKI 或自然人憑證等機制應用在手機上,最簡便直接的做法就是將個人憑證全部集中交由金融機關或 FinTech 支付業者來管理,如此一來,金鑰與憑證的安全防護與管理便顯得更加重要。對此,Thales HSM 方案將會是確保金鑰與憑證安全無虞的最佳保障,更是杜絕日益猖獗之網路犯罪的必要安全基礎設施。
值得一的是,當前金管會的「電子支付機構資訊系統標準及安全控管作業基準辦法」草案中,對於私鑰儲存之晶片硬體安全強度標準,竟然採用的是較舊的 FIPS 140-1 Level 2 標準,對此,周志豪建議指出,面對行動支付金鑰管理機制的建立,可以採用 Thales HSM 方案,因為當前不論 Thales 旗下通用型 HSM 與支付專用型 HSM,皆符合最新 FIPS 140-2 Level 3 安全等級標準,因而能提供更安全無虞的硬體強化式的防篡改及防外洩保護機制。
在亞利安科技的代理支援下,目前 Thales 在台市場的經營成果有目共睹,除了許多 OEM 代工製造業者透過 Thales nShield HSM 進行智慧財產的安全保護外,同時有高達 60-70% 的信用卡與 ATM 皆採用 Thales HSM 方案。如今,隨著 Bank 3.0 及 FinTech 的商機蔚起,當前許多電子銀行、行動支付與 FinTech 業者,例如蓋特資訊、 MagTek 、 Proxama 、 TPS 、 Synthesis Software 等,莫不以 Thales HSM 做為重要的金鑰管理基礎設施,也為 Thales HSM 方案灌注新一波強勁的成長契機與動力。