通信世界网消息(CWW) 为了更好的推动移动支付产业的发展，人民邮电出版社、中国通信学会普及教育工作委员会将于2016年1月12—13日，联合在京主办“2016中国移动支付年会”，年会以“互联网+时代的移动支付”为主题，关注互联网+驱动下的移动支付技术、模式创新带来的市场、生态的变革，重点关注应用落地的产业创新与跨界协作。通信世界网对本次大会进行直播。

上海众人网络安全技术有限公司首席战略官 周强

上海众人网络安全技术有限公司首席战略官周强在会上表示，目前我国的互联网用户基数已经十分巨大，在过去的一年里，网民受各种安全事件影响损失超过805亿，尤其在支付领域，平均每人损失1000元。这昭示了个人信息安全的重要性，尤其在互联网金融领域，个人信息存在系统级别的风险。SOTP安全技术通过把算法和密钥融合重构，实现了一人、一机、一设备，从而在低成本、高便捷的情况下，实现安全防护。

以下为演讲实录：我讲讲我们众人在支付领域做的一些创新的理念和技术。我们今天的演讲主题目就是怎么样在低成本、高便捷的情况下，实现我们的安全防护。

刚才很多朋友都讲了，咱们国家有非常多的在线的用户，包括互联网用户和移动相关的用户。从2015年7月份发布了一个网民权益的一个报告，说咱们国家这么多的网民在一年的知道里，受到了各种安全事件的影响，总体的损失要超过了805亿，平均到各人身上，也就是说一年内每个人最少要丢失124块钱。其中更为顶尖的支付用户，在相关的领域上面，在4500万人当中每个人可能要损失1000块钱，这种巨量的数字告诉我们，实际上我们的互联网金融，或者说我们在互联网生态上面所有的东西，目前来看都是极其宝贵的。

在这儿巨大的经济利益，催生了我们在个人信息安全上面来看，实际上是有很大风险。这种系统级的风险，不是单一一个技术环节的突破能够完全涵盖，所解决的。

特别是在很多黑客在实施攻击的角度来讲，他并不是通过后台应用相关的技术手段，更多的是通过对C端的用户，他对信息安全本身的个体化防护的知识的欠缺，而造成这种规则，或者说一种社会公平的角度，他去攻击个体客户。

我们知道一个大系统，实际上并不代表的只是单一的后台的强大的服务设备，更多的是在个体的C端这一块，有很多的业务支撑，要把它防护起来。所以我们说，数据是个人信息的一个主要的载体。这种主要载体就造成了数据的安全，实际上是个人信息安全本质的内容。如果个人数据不能安全，在系统当中所承载的数据，本身也是有高风险的。看似很便捷的使用，大家都在拿手机，不管从厂商买来的，还是通过三大运营商的门店来购买的，还是通过一些其他的代理途径够的。这些购买的手机首先都会有一些初期植入的一些APP，一些专业的应用，这些应用看似帮你证了你的个体安全，但是这些个体安全，如果我们使用着本身并不了解，他不会使。很多安全是应用的过程当中把它变成不安全了。有点像某各机构或者某个大学说，说花了很多钱装了一道监控门，这个门看起来很结实很坚固，但是它根本没有防护起来，它是给了犯罪分子或者说有破坏性分子一个旁边的管道进入。

很多人说那不行，我装更多的防护软件，可能在手机上的不滚是360还是腾讯，还是阿里等等相关的厂商会出安全的设施设备，装进去之后手机怎么使，移动支付怎么用，我们从全面系统的角度来看，实际上便捷和安全就产生矛盾了。这样的矛盾我们发觉，那就是新的移动支付的这些新挑战，告诉我们，首先移动终高端得计算能力，肯定不如现行通行的笔记本这样的设备，它的能力是有限的。而且他是不均匀的，有人可能使很高端的苹果高端的手机，可能还有人使几百块钱的智能机，他可能运算设备，运算的能力类型非常小。我们要实行比较强的算法，比如说RC或者ECC这种比较强的，大的比特率的算法就很难实现。

同时，我们看到移动端的软件本身很多时候，特别是浏览器都是简化的，这些简化的浏览器如果想给它植入一些东西是很难的，因为本身并不是我们国内很多的企业自己，很多还是要基于Google、安卓原生态的东西打造，这一块它的安全植入能力也是非常差的。

最大的一点，我刚才听了前几位领导的朋友也讲了，手机上面我们要加入一些外围的配件。比如说刚才说的，有安全的手段，这些手段在某些设备上很难加载的，比如说苹果，苹果是很难加载的，他要对接外部的设备，比如说U盾这些也很难加入的，不同的家每一个安全设备本身的兼容又有很大的影响。所以说在外接各类硬件设备的时候，也是存在很大的问题。

其实我们看到最多的问题是什么呢，就是移动的这些平台很多是开放的，我们是互联网我们心态是开放的，我们有非常多的共享性。大家可以从各种应用商店下载各种APP应用，这些应用不能完全保证它是安全的，没有后门的。所以这些功能性永远是道高一尺魔高一丈。

遇到这些诸多的挑战告诉我们一个事实，现在移动终端的安全提出一个新的挑战，就是没法用以前的传统的思维，去看待这个事件。

传统思维是什么，我用一个固定的算法，用公开的固定的算法，把密钥保护好，我就能保证一部分安全。现实告诉我们光重硬件，轻软件的这种传统模式，有可能造成密钥没法保护了，但凡现在很多用户要把设备越狱。这些危险行为的发生之后，就会造成了很多的安全隐患。

所以，我们公司联合国家信息安全工程技术研究中心，就一起推出了我们称之为SOTP这样安全的技术，这个新的技术就要绕开我们原有的这种绑定硬件的这种重硬件、轻软件思路的安全理念，我们创造了一个全新的安全理念。我们通过这种基于把算法和密钥一起融合重构的技术，实现了一人、一机、一设备的思路。这个密名不是但要的密钥，或者会访密钥这样的，我们更多的是说每一个个体都有它的唯一独立的算法。这种新技术，我们就说这是我们新的解决之道，我们要把算法的、密钥的融在一起，我们要让算法，每个人有自己的个性化，他与其他人全面的有差异。

这种软实现，一种新密钥的多样化，才是我们觉得未来移动支付需要有的安全技术。这个体系首先是我们自己研发和设计的。不受国外的一些主导技术左右，我们知道在国外很多芯片技术里面是留有一些不被我们所知的后门，这个反而是我们利用一些纯的硬件和产品当中非常麻烦的阻碍。

第二点，就是我们是有非常独特的，它可以通行于任何场合，这个系统本身是完全软件，完全动态重构的，就非常方便的让大家把密钥分散开、云端法。同时因为是软的，所以他具有非常好的普适性，不光是我们刚才说到的手机这样的地方可以用。同时可以用在很多不同领域，包括我们说未来的工业4.0，咱们国家的工业的智能化这一块领域，包括物联网等等可穿戴设备，因为他很小型，非常易于装载各类型不同场景当中。

从功能角度来讲，他具有双向功能，可以建立安全通道。同样，我们有核心地方它又利用了多因素相关的认证机制，这种机制其实不光是在支付领域里面，可以帮他进行保障安全的认证，同时，在其他的相关领域，还可以为未来更多的，特别是大数据里面更多的应用。

刚才我讲了一下我们的东西非常好，但是大家不一定完全能够体会我们技术的核心点，核心点实际上我们建立了一套类似于辞海和文库的这种模式，文库指的是不同的文学名著。我们形象的来说一下我们这个技术，形象的角度来提出问题，我们看到很多文学名著里面都有提大师兄，大师兄是谁，如果在笑傲江湖里面有可能是令狐冲，可是我们的现在答案是孙悟空，因为马上是猴年了，唯一的安全保证是由中心所致的，这种传统的原来的单一芯片的解决方案是有本质的区别。通过这种手段，我们可以利用博弈的方法，来让黑客提高他攻击的成本。