mPOS是近年出现并得到迅速发展的一种新型受理产品，不少机构和生产企业进行了各种形式的试点。由于mPOS引入了手机、平板电脑等通用智能移动设备，并通过互联网进行信息传输，因此其安全特点与传统银行卡受理终端存在不同;同时，市场对mPOS含义认识不一，安全水平参差不齐，因而也对安全管理提出了更大的挑战。本文基于银联终端工作组研究成果，结合最新发布的《中国银联mPOS通用技术安全要求》(以下简称《要求》)，对mPOS技术概念、安全目标和技术要求进行解读，并提出系统应用部署的安全方案示例供交流和参考。

　　一、银联mPOS技术概念

　　mPOS是一个整体概念，包括终端设备和相关应用。具体指，通过移动通讯设备(含所搭载的支付应用软件)进行商户收银操作，由外接专用受理终端完成银联卡相关信息的采集和加密，通过移动通讯设备与后台处理系统交互完成交易，这一过程涉及的前端专用软硬件设备总称即为mPOS。

　　上述定义体现了以下几个重要概念：

　　(一)“移动”设备

　　“mPOS”这一名称最早在境外流行，全称为“mobile POS”。加入“mobile”，体现了该类产品的“移动”特征：一是体现“移动通讯设备”对银行卡支付受理的参与;二是体现专用受理终端亦是移动的、便携的。

　　但是，mPOS在境内市场不等同于中文直译的“移动POS”。因为国内业界习惯于将无线POS、手持POS称为“移动POS”，因此在各类技术标准、业务规则、以及宣传材料中一般直接采用“mPOS”这一英文缩写，“移动POS”往往另有他指。

　　(二)商户收单

　　银联mPOS是以商户收单为目的、以收单级别为安全目标的受理产品，这与境外有所区别。境外(例如美国)市场mPOS概念很宽，包括了Square等手机外接刷卡器类产品、手机自身集成刷卡器类产品、以及银联定义中的产品。境内市场对个人支付和商户收单进行了区分，设定了不同的业务、风险和技术要求，管理手段也存在较大的差异。Square等手机刷卡器、迷你付等互联网IC卡终端等均为个人支付类产品，由相应的技术标准和业务规则进行界定，不属于银联mPOS定义范围。

　　(三)mPOS是整体概念

　　标准和管理规则中的mPOS包括了硬件设备部分(专用的外接受理终端)和支付软件部分(移动通讯设备上的应用软件)，单纯的外接设备不能等同为mPOS。其实整个系统前端还包括手机、平板电脑等移动通讯设备(技术上称其为“上位机”)，但由于上位机为通用电子产品，非金融定制，因此一般对其不进行要求和限制。

　　(四)高要求的外接终端

　　mPOS中的外接受理终端是专用的安全设备，需要完成卡片读取、PIN输入、数据加解密、提示信息显示等操作，与手机刷卡器等个人支付终端相比较，具有更高的安全性，这也是其运用于商户收单、区别于个人支付设备的关键因素。

　　二、mPOS系统抽象架构

　　mPOS系统抽象架构以及其中各组成部分的功能见上图说明。以此为基础，mPOS在具体形态上具备灵活性。

　　在外接方式上，受理终端既可以通过Micro-USB等有线方式、也可以通过蓝牙等无线方式与手机等上位机连接。

　　在移动通讯设备上，不限制设备类型——可以是智能手机、平板电脑等;不限制运行环境——主要指操作系统，可以是Android、iOS、Windows等。

　　在后台通讯方式上，既可以通过3G/4G无线连接，也可以通过WiFi连接。

　　三、mPOS技术安全分析

　　mPOS在对受理产品进行创新的同时也引入了一些潜在风险，特别是线下收单设备运行环境打破了传统的封闭格局，处于一个开放的环境中，容易受外部环境的威胁和攻击，主要呈现以下特点：

　　一方面，区别于传统全线路专线化的传输环境，mPOS及其相关应用和系统通过各种方式接入公共网络，使安全度较低的公网成为信息传输线路的组成部分，交易数据和设备管理信息受到截取、篡改、重放等攻击的可能性和容易性升高。

　　另一方面，智能手机、平板电脑(PAD)等设备功能日益强大，使用体验不断提升，因此mPOS方案中将其作为受理终端的上位机使用，订单生成、交易上送甚至部分交易处理操作在上位机完成。由于智能终端通常搭载开放操作系统，同时接入公网，加之系统破解、获取root权限等用户现象的存在，易被木马、病毒等攻击，上位机设备本身的安全难以保障，对账户数据和支付信息的保密性、真实性、完整性等均提出了挑战。

　　四、安全目标和技术要求

　　(一)安全目标

　　安全目标是产品设计、生产、使用、维护的基本技术安全原则。由于受现有技术条件、认识水平和研究能力约束，具体的技术要求存在未能完全覆盖和掌控安全点的可能，但安全目标为各参与方提供了基本框架、指出了工作方向。mPOS技术安全目标包括以下四个方面：

　　一是应保证账户信息安全。对磁道信息、PIN、卡片验证码、卡片有效期等敏感信息，以及涉及的私有密钥和证书，进行有效保护。

　　二是应保证其他关键交易信息安全。交易金额、交易类型、货币类型、商户号、终端号、终端硬件序列号、交易流水号等表征交易的关键信息，在处理和传输过程中应不被篡改。

　　三是保证交易的真实性。对交易报文的来源进行鉴别，保证交易真实有效，防止信息伪造和重放攻击。

　　四是应具有安全提示。向操作人(包括持卡人和收银员，重点是持卡人)提供获悉真实交易信息、判断交易正常与否、指示下一步操作的有效参考途径。

　　(二)技术安全要求

　　标准对mPOS的要求分为基本要求和叠加要求两部分，均属于通用技术要求范围，对具体实现方案不进行限制。

　　1、基本要求

　　根据原有标准，为mPOS的主要组成部分设置基础和前提性的要求，主要包括：受理终端应首先满足《PIN输入设备安全规范》要求;上位机软件应首先满足《支付应用软件安全规范》;后台处理系统应满足《银联卡收单机构账户信息安全管理标准》、《银联卡账户信息与交易数据安全管理规则》、《第三方机构接入银联技术安全要求》等要求。

　　2、叠加要求

　　在基本要求基础上，对各部分提出针对mPOS特点的叠加要求，具体项目不再赘述，仅对关键内容概括举例如下：

　　对于受理终端，应具有安全读取账户信息的功能(包括磁条卡和IC卡)，对卡片数据进行有效保护;应能够显示交易类型、金额、结果等足够操作和判断的信息，并确保提示信息收到保护;设备固件、程序的下载和更新应具有合法性的验证机制;设备应保证“一机一密”要求的落实，并建议在交易过程中实现“一次一密”密钥机制;应有设备签到机制，并向后台处理系统上送设备序列号，同时具有对后台系统合法性的验证能力;对外提供的加密功能进行限制，对外提供MAC校验功能需进行关键域校验或强制填充;传输协议和接口进行安全保护;私有密钥

　　和证书进行安全保护;具备抗重放机制等。

　　对于上位机(支付应用软件)，要求上送上位机唯一特征码作为参考信息;与后台系统之间采用安全协议进行数据传输;具有用户访问控制;建议上送地理位置信息。对于后台处理系统，要求对受理终端进行合法性验证，并与受理终端配合实现防交易重放的功能。

　　3、其他方面

　　m POS的前端核心安全主要由受理终端实现，由支付应用软件和后台处理系统配合。但受理终端主要提供设备安全，整体上必须由实际部署的应用流程和安全机制给予有效支撑。因此，在支付应用软件的认证过程中，要求提交详细的整体设计方案(包括受理终端至后台处理系统的交互全流程和关键操作)供初步评估。

　　五、国外标准情况

　　EMVCo在2013年10月成立mPOS工作组，负责研制技术白皮书，银联参与了研制。EMVCo希望通过白皮书来整体性地显示所有可能的mPOS形态和方案思路，但暂时不做技术标准及认证上的强制要求，事实上暂时放开了对mPOS的限制。

　　PCI是国际支付卡安全标准组织，提供境外银行卡产品的安全标准和认证服务。PCI已和EMVCo联合开展mPOS安全技术的研究，但尚未有针对性标准。

　　总体上，目前境外并没有针对mPOS的完整技术规范，银联发布的mPOS技术安全要求及配套认证是该领域首个标准化服务。

　　六、其他实施建议

　　(一)处理流程

　　支付安全是整体性、系统性课题，在mPOS这类创新产品上显得尤为突出。软硬件设备自身的安全仅仅是其中一个方面，处理流程的设计和实施效果将直接影响整体安全性。

　　(二)交易组包

　　交易组包是处理流程中的关键问题。建议支付核心信息的报文组包和加密保护在受理终端完成。在现有条件下，不建议在上位机组包;如因业务需要确实需进行此类部署，收单机构应充分评估其风险，设计强化的安全机制和配套的业务风险管理机制，并谨慎应用。如后台处理系统实现报文组包等交易处理逻辑，应强制实现受理终端与后台处理系统建立数据传输的安全通道，并制定相应的密钥和信息交互安全机制;此外，由于该模式对通讯稳定性有较高要求，实际部署效果未必理想。

　　(三)后台系统安全

　　建议加强账户信息和系统技术安全的设计和管理，使之有效抵御网络攻击，防止非法终端对系统影响，及时处理异常。

　　(四)参考实践方案

　　标准工作组针对mPOS设计了一些技术安全解决方案示例，以“资料性附录”的形式，对《要求》提供适当补充，为受理终端、上位机支付应用软件、后台处理系统的设计和开发提供技术参考，不作为强制要求。