解析银联UC移动安全支付
4月24日,中国银联和UC优视联合发布了一个移动安全支付解决方案。当然,有不少读者会担心这个方案的会存在隐私泄露的风险。雷锋网特别为各位进行简单的解析,让大家了解更多的关于这个安全支付的一些技术信息。
技术架构:浏览和支付分离
从业务流程方面看,在这个方案中,当用户使用手机上网浏览需要进行购物时,UC浏览器会帮助用户验证过商家网址的安全性及支付插件的可靠性之后调用中国银联的支付手机支付插件。用户在中国银联的插件中输入相关银行卡信息之后即可完成支付,整个流程无需跳出UC浏览器。
UC银联移动支付技术架构:上半部分是UC浏览器,下半部分是银联支付插件
从架构上看,此次UC与银联发布的移动解决方案使用了浏览和支付分离的方式,UC浏览器会在用户有支付需求的时候发起银联插件的调用流程。在用户进行支付操作时,手机屏幕、键盘的控制权都会交给支付插件,由银联验证手机硬件、手机卡号、银行卡号等多重支付信息。支付结束后控制权会被返还给UC浏览器。数据信息和操作都会相对独立,这样一来,UC浏览器是无法获知用户的支付信息,用户的金融属性的信息只会在银联的插件内完成处理。在保障用户体验的同时,也让整个流程更加可靠。
技术标准:高安全级别
在安全方面,UC和银联都宣称使用较高等级的防范措施,使用了“与PC上的银联支付同等安全级别”的技术标准。
银联支付插件会与银行服务器直接对接,采用3DES和1024位的RSA算法验证和加密技术,使用银行级别的HTTPS加密通道进行数据传输。在防木马截取方面,UC会首先识别用户访问网站的可靠性并给予用户危险等级提示。当调用插件时,安全插件的密钥会被二次加密使用。在处理敏感数据输入的问题上,也会采用自定义软键盘方式输入,并会输入后立即采用私有算法加密。
此外,UC与银联发布的这个移动安全支付解决方案已经通过国家银行卡检测中心的十一项严格检验,得到了金融机构的监测认证。根据雷锋网了解到的内部消息,这十一项检验分别为开发测试环境测试,WEB应用测试,变更控制测试,安装测试,后台系统安全测试,用户安全测试,数据输入安全测试,敏感数据访问测试,敏感数据认证储存测试,敏感数据访问测试,无线传输测试,公开网络敏感数据测试。可以说还是非常详尽和细致地覆盖了每一个可能存在风险的环节。
相信大家看完之后,都对这次银联和UC的努力有所了解,移动支付有很多种方式,个人感觉也没有哪个方式能保证绝对的安全,不过既然是保证安全性能和PC平台同等,小编也没什么理由不放心它的安全问题,毕竟小编在电脑上还是一样要使用浏览器和其他插件就进行网上支付。