目前,支付行业的管理人员和安全专家正在讨论保存和保护信用卡数据的正确方法。商家可以选择多种格式,其中包括保存加密格式(这种格式用加密算法代替16位数字的信用卡号码)、基于卡的标记格式(这种格式使用随机标记代替卡号,以减少PCI DSS评估的范围)等。EMC公司安全部门RSA的技术总监Robert Griffin一直是许多加密和标记化项目的首席架构师。Griffin是一位公认的加密专家,他还是OASIS密钥管理协作协议技术委员会的联合主席。在此次参访中,他谈论了为什么RSA保护信用卡数据的方法(该技术使用基于卡的标记)是最有效的防护方法(保护敏感信用卡数据不受网络罪犯的攻击)。该安全供应商最近发表了一份白皮书《Secure Payment Services: Credit Data Security Transformed(安全支付服务:信用数据安全变换)》,阐述了该公司对此技术的立场。
零售商们有很多比较旧的系统,他们采用新技术的进程似乎比较缓慢。有没有商家已经着眼实施某种形式的保存/加密技术来保护信用卡数据呢?
Griffin:我认为,市场上其实存在着一个很大的分歧。比如,我们RSA第一次实施标记化技术是在Staples公司,他们从2004年开始就已经完成了最初的架构工作。那时,他们已经做出决定,不使用加密模型而是使用标记化模型来保护PCI跟踪以及数字信息。在这种情况下,标记化的定义取决于替代模型而不是变换模型。这里面存在着一个重大的行业分歧——“使用原始值的变换来创建任何相关值的模型”与那些“没有使用这种变换的方法”之间的分歧。标记化是指你把原始值映射为一个新的值,并把这个新的映射值作为标记来使用。我曾经参与PCI DSS范围委员会有关标记化的工作,该委员会面临的最基本问题就是这种分歧到底有多明显,以及怎样出现在确定范围的指导意见中。
你认为我们将会更多地使用混合模型吗?
Griffin:从一个方面看是肯定的。我们的感觉是,在你做替换的模型中,映射数据库与应用程序的分离非常重要。基本模型是指你把真正的值转移到某种标记化的服务上面。这意味着当你把值从所在地点转移到标记化服务的时候,你必须保护转移过程中的值。你可以简单地进行运输级别保护,但是我们认为,在数据移动的过程中,你应该实施多层次的保护措施。这种情况下,对数据进行加密极为重要。对于我们来说,你送回到交易时的内容与你送到标记化服务器的值没有任何算法、数学和变换上的关系。这就意味着所有的强力变换攻击、所有的密钥攻击(一旦你发现某次变换的密钥,你就可以知道所有其他变换的密钥)——所有这些威胁都不复存在。我认为这是加密模型(不管是保存格式还是扩展加密)与这种基于映射、没有变换的模型之间的巨大区别。我们对这个问题的看法是,替代模型非常有效。
这些传统的业务分析系统和数据库似乎是较大的多达。保存加密格式可以在这方面发挥作用,因为你可以用加密格式保存16位信用卡号码。你能用基于卡的标记来这样做吗?
Griffin:当然可以。我们在两个客户项目中建立了我们自己的标记化解决方案。Staples公司是其中的一方,另一方是一家包裹运输公司。我们与他们进行讨论,首先让他们理解一件事件,那就是一定要尽可能的减小对当前应用程序架构的影响,而最好的办法就是保持信用卡号码的长度不变,并且保留信用卡号码的最后四位数字。只要你把号码的最后四位数字映射到标记上,并保持同样的16位数字结构,那么这个标记其实跟保存加密格式同样有效。
在First Data-TransArmor处理过程中,First Data把PAN与先前处理过的信用卡做对比,以检查一个标记是否被使用过。由此,我可以知道在First Data中保存着这样一个文件,里面既有标记也有信用卡号码。如果网络罪犯掌握了这个文件,应该会造成重大的数据泄漏事件吧?
Griffin:这个映射表格是这个架构真正的核心所在。这个文件一定要受到保护,这极为重要。你应该像保护密钥管理相关事宜那样严格地保护它。映射表格式中包含的敏感信息也需要得到很好的保护。如果把所有的信用卡信息都聚集在一个地方,那么你就可以在该处实施保护措施;而如果信用卡信息很分散的话,那保护起来就相当的困难了。你需要像保护密钥管理那样使用高级别的多层防御来保护这个表格。你必须采用适当的身份管理,对个人数据元素进行加密是绝对需要的,而且加密级别越细致越好。同样,你还应该关注物理环境和虚拟环境中的基础设施模型。
另外一个问题是延迟问题。对于商家来说,让客户的支付过程快速便捷非常重要。现在计算机的处理能力真的可以让延迟问题不再是问题了吗?
Griffin:这包括网络关系以及标记化操作的延迟。在这种情况下,我认为一个更重要的问题是网络连接的带宽。举个例子,我们第一次在Staples公司遇到这种情况,那时他们已经为几个商店提供了拨号连接,早在架构设计时他们就非常担心这是否会造成交易中出现一到两秒的时间延迟。但是后来他们发现,情况并非如此。他们非常高兴自己推出的产品可以适应各种环境。即便是环境中的带宽和传输速度千差万别,但是由于数据包(你的数据传输量)非常小,实际上不会对支付终端上的客户反应时间产生多大的影响。
还有一个问题是关于大型商家使用多个支付处理商的讨论。这意味着将会有不同种类的标记化解决方案。那么对于标记化来说,为什么没有任何标准呢?
Griffin:关于标记化我们需要知道两件事。其中之一就是我们在PCI DSS特殊利益集团内部所做的有关标记化的工作。如果你在使用这种替代模型的话,那这部分工作主要侧重于确定范围和操作指南。另外就是由美国国家标准学会所做的工作,可惜的是要靠这方面工作来阐明标记化意味着什么却显得更加的困难。可以拿API作为例子,我认为在这个领域内还没有任何重大的进展,这一点是我们RSA感兴趣的地方。相对于范围确定的问题,它只能屈居次席,我认为这跟密钥管理是一个道理。我们看到许多供应商不仅使用标记化来保护PCI,而且还用它来保护其他类型的信息,那么供应商就不会被禁锢在单一的支付处理商以及他们的基础设施上面,所以标准API的发展将非常重要。不过我们还没有开始那方面的工作。
【编辑推荐】
