电话支付终端与交易的安全性分析.docVIP

电话支付终端与交易的安全性分析 福建升腾资讯有限公司 张登峰 余杭军 综述：电话支付产业经过近六年的发展，已经逐渐成为主流的电子支付渠道之一，支付终端规模已经突破200万台。中国银联2009年初正式颁布了电话支付终端规范和相关的业务管理办法，统一了行业的技术规范，强化了终端机具的检测与认证，是电话支付产业发展过程中的重大里程碑事件，必将对产业日后健康持续的发展产生深远而积极的作用。本文作者作为长期从事电话支付产品研发和产业研究的资深技术专家，对电话支付终端机具以及交易的安全性进行了全面详细的分析。 关键词：电话支付 I型 II型 TSAM卡 密码键盘 前言电话支付作为电话和POS支付相结合的创新电子支付手段，经过近六年的发展，无论是终端机具、平台系统、应用模式、市场培育、客户接受程度等均已经相当成熟。目前各金融机构布放的各类电话支付终端累计已经超过200万台，已经成为了和传统POS、ATM并驾齐驱的主流电子支付渠道之一。那么，电话支付交易的安全性到底如何？这是很多商户、消费者以及金融机构普遍关心的问题。尤其是中国银联正式出台了电话支付终端技术规范后，布放在商户、批发市场、有人值守代办点等场所的II型终端从哪些方面来保证交易的安全性？下文将从联机交易安全、终端机具安全、业务管理等三方面对电话支付的安全性作全面详细的分析。第一章、电话支付产业发展回顾与展望2003年电信以及银联开始考虑针对个人家庭用户的电话和POS功能相结合的新型的电子支付产品，于是出现了电话支付最早的产品雏形。它在不同行业有不同的一些称谓，例如电信运营商一般称之为固网支付，一些银行称之为转账电话或者电话POS，等等。2003年～2006年间，电话支付行业还处于探索期，银联、商业银行、电信等从不同角度对行业发展进行了多种铺垫和探索，各自在一些区域进行了小规模的试点和尝试。但总的来说，终端总量较低，市场处于起步期，规模增长较为缓慢。2006年～2008年是电话支付行业的应用培育期。经过前期的探索，业务应用逐步集中在了商户和批发市场的老板收款、针对个人市场的信用卡还款以及各类缴费业务等业务上。此阶段整个产业链架构基本完成，基础设施铺设到位，终端设备在全国范围内逐渐普及，消费者对电话支付产品也逐渐认可，所以产业得到了快速的发展，截至2008年底终端布放量超过了100万台。但同时产业内部的一些问题也日益突出。主要表现在：（1）随着市场的快速发展，大大小小各种终端厂商纷纷涌入，厂家实力和产品质量良莠不齐，行业缺乏强制和统一规范的机具认证标准；（2）行业缺乏统一的技术标准：各厂商纷纷采用自己的技术标准建设平台，导致各种系统平台标准不统一，终端机具不兼容，也增加了终端厂商的研发和维护成本。（3）对电话支付业务的开展缺乏统一规范的业务管理和引导，各金融机构大多是自行发展，自行管理。随着终端布放量的急剧放大，如何加强对电话支付业务的管理，规避业务风险的问题已经提到日常上来。正是在这样的产业发展阶段和背景下，中国银联在2008年下半年开始组织制定了电话支付终端技术规范以及业务管理办法，并于09年2月正式颁布。这势必将为产业后续持续健康快速的发展打下了良好的基础。2008年～2012年将是电话支付快速发展的黄金时期。目前，国内包括银联、各国有大商业银行以及中小商业银行都已经开展了电话支付业务。经过多年的培育，电话支付已经积累了逾200万台的规模，同时用户对电话支付业务已经达到一定熟悉程度，使用习惯和消费依赖性已经形成，因此，用户数量和质量都有较大幅度增长，市场规模开始迅速增长，盈利空间逐步释放。同时，商业模式方面，除了继续在批发市场和中小商户等广泛推广外，大规模进入个人家庭、办公室、有人值守的代办点等场所地时机也日渐成熟。在未来三年内，电话支付终端有望突破1000万台的规模，覆盖的用户数量将达到3亿人，交易规模到2012年更是将接近2万亿元大关。第二章、电话支付的安全性电话支付I型终端主要布放在个人家庭，使用环境相对比较简单和安全；II型终端主要布放在批发市场、中小商户等场所，使用环境和传统POS比起来更复杂，所以某种程度上说，对II型终端的安全性要求甚至要超过传统的POS。下面我们主要从联机交易的安全性、终端机具的安全性以及业务管理等三方面对电话支付尤其是II型终端的安全性进行介绍。2.1、联机交易的安全性 电话支付利用PSTN 公共电话网络，通过FSK信号进行传输，在平台一侧使用数字语音卡或者交换机作为接入设备。和传统POS类似，电话支付交易时需要刷银行卡和输入密码，这种“有磁有密”的交易模式与电话银行以及网上银行相比，更容易被消费者接受。对交易报文中的敏感数据，包括磁条信息和PIN，电话支付都进行了128位的高强度3DES加密。在报文最后，加有经过一系列加密处理过后产生的