通信世界网讯(CWW)4月22日—23日,2014第六届中国移动支付产业论坛在京隆重召开。本届论坛不仅秉承了多年的成功经验,搭建行业权威、导向性的行业平台,还汇聚了众多银行、金融机构的参与,将最新移动支付产品技术展示、应用其中,并改善服务细节,为各界嘉宾提供无与伦比的参会体验,致力打造移动支付行业的“博鳌论坛”。通信世界网作为直播媒体将进行全程报道。
深圳文鼎创数据科技公司副总裁 刘志才
刘志才:各位领导、各位业界同仁,因为我们深圳文鼎创数据科技公司是一家非常传统的网银数字证书公司,就是大家俗称的网银盾,我们今天代表这方面的厂商表达一下我们的观点。
上午部委领导和大企业领导都纷纷谈到了移动支付的安全问题,实际安全是下午论坛的主题,但从早上就开始不断的强调。他们的论述的确是高屋建瓴非常宏观,氛围也很凝重,移动支付安全有点江湖高级的感觉,我作为这个行业的代表我想陈述的轻松一点,不那么严肃,我感觉安全在互联网上已经发展了那么多年,它的技术体系还是比较成熟的,在新的移动环境下可能没有及时的跟上潮流的发展,下面我就顺着我的PPT做个简单的报告。
大家看这个图,是马斯洛的一个需求金字塔,大家看到第三层叫做社交的需要,在移动互联网这个时代有些非常年轻的企业,比如微信、微博,他们之所以能够蓬勃发展那么快,他们满足的就是这样的社交需要。但实际上,安全需求比它层次还要低,但如果安全解决不好,我们在此基础上构建的各种各样的应用形态,无论是金融支付还是其它方面都是不稳固的,所以安全非常非常重要的。
在互联网或移动互联网上做金融或支付交易,到底要保证哪些环节它才能安全,可能论坛没有专家讲,我希望大家能有个背景后续理解其它专家的讲话会理解的更深刻。互联网连接两端的管道是否是安全的,对方的身份要能够认证,我们要首先认证他的身份,也许他根本不是一个人,你想你的交易有什么意义呢?还有个要件就是交易的不可抵赖性,在互联网上面这三个环节是我们传统安全厂商都非常关注的,解决了这三个环节无论是固定互联网还是移动互联网,还是移动互联网上的支付都是能保证的。
简单回顾一下密码学的发展三个阶段:首先是静态密码,第二阶段是一次一密,它的形态最早表现在战争阶段,一次一密的形态,比如我们经常可以看到的令牌和短信验证,以及口令卡,都是一次一密的,但这些东西到了互联网时代就弱了,大家都知道美国国防部搞了一个网络,但那只是个局域网根本不是互联网,互联网相互人之间不见面就能建立起相互信赖的关系,从数字证书或者数字签名这样的应用,您发的任何邮件,在网上说的任何一句话在网上都有可能被截取。
在这种互联网上,今天的主题是移动支付,移动支付去年颁布了国家标准,其实有两大块:近场支付和远程支付,我们手机上的网银就是移动远程支付,远程支付的安全挑战更高,因为通常额度都会更高,而近场支付相对额度要小一点。U盾有一代、二代,接入手机的用音频口。现在电子银行的替代率是非常高的,银行现在的地位和每天的资金交易量,一般会超过一半以上无现金交易,有些银行最好的像招行90%以上都是现金交易量,如果不安全银行业的根基都不存在了,实际银行通过很多年在央行等各个支持主管监管情况下,其实网银系统安全性还是很高的,它的主要方式就是借助互联网非对称算法的政策体系,来保证刚才我们说的三个要素,保证它是安全的。
现在我们讲移动证书为什么有那么多安全的担忧?很多新型的电商公司或第三方支付公司,可能他们不是做安全出身的,他们是做移动业务出身的,他们非常关注用户的体验,大家首先是把业务移动化了然后来保证它安不安全,它可能一开始有各种各样的应用,比如确认码、动态口令、二维码,我重点提两个:一个是手机上的短信验证,现在在手机上发动一个移动交易业务,同时要用手机接收验证码,其实这是危险度比较高的,刚才嘉宾也讲到各种各样的木马和厉害,它截取你的密码还是比较容易的。密码的保护还是有它原生性的难度的,一个木马可能会自己发起一个网银交易,反过来手机还能收到一个确认码,这种交易就很可怕,也许你晚上在睡觉木马就可以自动交易,当然这里面银行也会有风控,比如他一天最多能转多少。
其实二维码这个事情后面还会有嘉宾讲,其实我不是特别理解,二维码为什么不安全?后面还有专门的嘉宾解释,我觉得应该呼吁一下,现在到处都是二维码,这是日本的,我们中国有没有?中国有国标,08年1月1号就颁布了,而且中国的二维码单位面积包含的信息含量远比日本的丰富的多,但是我们没有真正的用起来,为什么?也许中国的拿来主义很严重,但实际上中国的编码和识别软件,可能一个月也能做成测试,可能两个月就OK了,但一旦到现在就不行了。因此,刚才标准化委员会的专家讲,一个行业的发展一定要有标准规范遵循的,一旦做烂了我们再来收拾成本真的很高。二维码这块我个人有个小小的希望,钓鱼岛是中国的占了那么长时间是不是要还回来了?QR码是日本的,我们用了那么多年是不是应该还回去了?
安全体系是需要很多时间体系和人才会构建起来的,不是轻而易举想一个方法,用一两个月或多少用户试用就安全了,我们可不可以让安全移动起来?因为在固定的网络上面,像网银已经很安全了,我们把固定互联网的那一套能不能平滑的移植到移动平台。刚才展示了几种网银支付的产品,其实就是这个思路的体现,既然USB KEY用的那么成熟,手机上解决接入技术就可以了。
刚才有位老总说为什么会做成这样?安全性我觉得目前解决的真的很不好,就像今天下午会议的主题一样安全论坛,强调安全就因为它有安全问题,这些安全保证的手段也是一样,如果老是以独立形态存在,说句实在话那肯定是没做好,因此我觉得我们厂商解决的是重要安全问题,不要让它作为一个东西存在,那我们就真的成功了,这是我们企业需要努力研究的。
基本上有两种办法,从上届论坛开始大家都在推TSM平台,把一卡多用加载在SIM卡里做,我觉得这个方法真的挺好的。比如我们开一间房间把移动安全证书放到一个房间里,基本上里的手机一张卡就解决问题了。大家有没有注意到,为什么网盾有一代、二代的问题,现在二代人民银行有这样的监管要求,你一定要和交易的终端隔离开,第二你不能永远在线,第三交易信息必须得让交易者确认一下,才能真正的确定这个过程,除此之外都不算。刚才徐总也说,安全是不是可控,我觉得讲的很好,但我这个只是就技术论技术,从安全体系角度它是有缺陷的。
另外,我们能不能把这种曾经独立存在的安全功能融合在日常的设备当中,比如蓝牙耳机,首先新交规不允许开车打电话,这一点很重要。我们的想法就是,不要让安全高高在上,要让它隐藏于无形,不要成为一种担忧。穿戴式设备越来越热,这必定是个趋势,基本上都能满足我们二代USB网盾所有的要求,以后嵌入到这样的设备中就是比较好的方式,我们就没必要担忧移动支付的安全性。
我们公司做的尝试就是把它做到蓝牙耳机里,我们用语音把它读出来,这也是我们后续努力的一个方向。这里也做个小小的预告,明天我还做个演讲,讲iphone不是NFC应用的障碍,还有iBeacon规模商用面临安全挑战。
我的演讲内容就是这么多,非常感谢!
|