【印聯(lián)傳媒網(wǎng)訊】日前，央行下發(fā)緊急文件叫停支付寶、騰訊虛擬信用卡產(chǎn)品，同時叫停的還有條碼(二維碼)支付等面對面支付服務(wù)。暫停虛擬信用卡產(chǎn)品一事影響較小，因為很多產(chǎn)品還未真正推出;真正影響巨大的是暫停二維碼支付。有觀點認(rèn)為，若不是央行及時出手，可能會發(fā)生潛在的信息安全事件，引發(fā)系統(tǒng)性金融支付風(fēng)險。

　　通俗地講，央行認(rèn)為現(xiàn)在無論是支付寶、微信支付，還是即將推出的虛擬信用卡，在賬戶安全和支付安全上都是有問題的，一是涉及客戶的信息保護，二是涉及客戶資金如何防止被盜用。從央行的意見函可知，央行只是暫停線下二維碼支付，并非取締。如果安全風(fēng)險得以化解，依然可以使用。那么，從純技術(shù)層面看，類似二維碼支付、虛擬信用卡等移動互聯(lián)網(wǎng)金融創(chuàng)新業(yè)務(wù)的交易安全能否得到保障呢?

　　移動互聯(lián)網(wǎng)交易環(huán)境存在哪些安全漏洞

　　二維碼支付是一種基于賬戶體系搭建起來的新一代無線支付方案。在該支付方案下，商家可把賬號、商品價格等交易信息匯編成一個二維碼，并印刷在各種報紙、雜志、廣告、圖書等載體上發(fā)布。用戶通過手機客戶端掃拍二維碼，便可實現(xiàn)與商家支付寶賬戶的支付結(jié)算。最后，商家根據(jù)支付交易信息中的用戶收貨、聯(lián)系資料， 就可以進行商品配送，完成交易。二維碼支付被叫停主要影響的是線下業(yè)務(wù)，具體指線下掃碼、線下收款及付款環(huán)節(jié)，而線上二維碼不受影響。

　　從金融監(jiān)管層面看，央行該項舉措符合李克強總理最近關(guān)于“政府已經(jīng)排出時間表加強監(jiān)管影子銀行等金融風(fēng)險”的講話精神。從技術(shù)角度來看，正如央行發(fā)文所稱“條碼(二維碼)應(yīng)用于支付領(lǐng)域有關(guān)技術(shù)、終端的安全標(biāo)準(zhǔn)不明確，相關(guān)支付撮合驗證方式的安全性尚存質(zhì)疑，存在一定的支付風(fēng)險隱患。虛擬信用卡突破了現(xiàn)有信用卡業(yè)務(wù)模式，在落實客戶身份識別義務(wù)、保障客戶信息安全等方面尚待進一步研究。” 可以想象，如果身份盜用事件大面積發(fā)生，勢必造成虛擬信用及虛擬貨幣的泛濫。

　　用戶身份識別以及交易安全保護問題已成為移動互聯(lián)網(wǎng)金融亟待解決的瓶頸問題。據(jù)調(diào)查顯示，有75%的非網(wǎng)上銀行用戶由于擔(dān)心安全性而不愿嘗試;最近發(fā)布的《2013年中國手機銀行用戶調(diào)研報告》顯示，對安全性存疑的手機用戶占比高達61.23%，手機病毒木馬、手機遺失造成賬戶損失、出事后難以找到責(zé)任方等問題，令公眾對移動互聯(lián)網(wǎng)安全感到擔(dān)憂，極大地阻礙了移動互聯(lián)網(wǎng)金融的發(fā)展。

　　預(yù)留手機號進行短信驗證的身份認(rèn)證方式存在很大安全漏洞

　　移動互聯(lián)網(wǎng)環(huán)境下，現(xiàn)有的身份識別方式基于客戶預(yù)留手機號的短信驗證，一旦手機卡被復(fù)制或驗證短信被劫持轉(zhuǎn)發(fā)等情況發(fā)生，犯罪分子就可以非法控制被害人的手機銀行，甚至“幫助”被害人注冊開通手機銀行，進行犯罪活動。從目前主流的電子支付方式看，如果用戶辦銀行卡時有在銀行預(yù)留手機號，那么只需填寫銀行卡號、姓名、身份證號和預(yù)留手機號就可實現(xiàn)與銀行卡的綁定，然后通過設(shè)置的支付密碼就可實現(xiàn)消費，并不需要銀行卡的密碼，而姓名、身份證號、銀行卡號等信息在網(wǎng)絡(luò)上很容易泄露，存在較大的互聯(lián)網(wǎng)身份盜用風(fēng)險。

　　在二維碼支付的業(yè)務(wù)流程中，手機產(chǎn)生二維碼的第三方賬戶極易被盜用，同時二維碼掃描也給了犯罪分子誘使客戶在不知情的情況下，被植入惡意木馬竊取關(guān)鍵信息的機會。上述問題的存在，使得互聯(lián)網(wǎng)金融服務(wù)中重大資金被盜及資訊泄密案件頻發(fā)。

　　支付指令與驗證指令單通道傳輸容易被篡改

　　眾所周知，銀行和第三方公司在提供移動支付服務(wù)的同時已做了相應(yīng)的安全措施，但由于客戶與銀行之間單通道的通信傳輸方式(由手機、電腦等終端同時發(fā)送支付指令和驗證指令到銀行服務(wù)器)，容易被網(wǎng)絡(luò)中間人、瀏覽器劫持人所攻擊，金融機構(gòu)難以確認(rèn)客戶端操作者的身份，無法識別網(wǎng)絡(luò)中間人對支付指令的篡改。消費者面對花樣繁多且不斷升級的攻擊方式，操作稍有不慎即可造成損失。而“U盾”、“電子口令卡”等安全工具，還是存在著對客戶安全使用意識要求較高且攜帶使用不便等諸多問題。

　　移動互聯(lián)網(wǎng)安全領(lǐng)域的現(xiàn)狀及未來趨勢

　　隨著移動互聯(lián)網(wǎng)的發(fā)展，傳統(tǒng)的賬號+密碼+短信驗證碼的身份驗證方式已無法滿足商家及消費者的安全需求。而目前新興的指紋識別技術(shù)是通過對生物特征進行取樣，提取其唯一的特征并且轉(zhuǎn)化成數(shù)字代碼，再進一步將這些代碼組合成特征模板完成身份識別。但從本質(zhì)上講，生物特征識別技術(shù)提取的指紋等特征最終仍是轉(zhuǎn)變?yōu)殪o態(tài)數(shù)據(jù)的格式(12345)，在認(rèn)證原理上未有實質(zhì)性的創(chuàng)新，無異于靜態(tài)密碼保護。由于指紋等生物特征無法修改，黑客一旦竊取數(shù)據(jù)便可一勞永逸，尚不及可隨時修改的靜態(tài)密碼更為安全。

　　IBM于2013年11月發(fā)布的未來5年五大預(yù)測中提及：用戶密碼、身份、設(shè)備前所未有的多，但安全卻是高度碎片化。即將出現(xiàn)的在線數(shù)字衛(wèi)士技術(shù)，通過對用戶背景、環(huán)境及歷史數(shù)據(jù)分析來驗證用戶在不同設(shè)備上的身份，了解正常活動與潛在危險之間的差異，通過智能終端進行互聯(lián)網(wǎng)身份認(rèn)證及安全保護，全方位地保衛(wèi)用戶的數(shù)字生活。用戶不用再去尋找攻擊的跡象，數(shù)字衛(wèi)士會觀察設(shè)備的操作行為，識別出其中的異常并發(fā)出告警。這表明個人在智能終端上的行為數(shù)據(jù)是身份驗證的最有效手段，世界上不存在完全一致的兩臺智能終端。

　　IBM的預(yù)測并非空談。值得關(guān)注的是，國內(nèi)已有類似數(shù)字衛(wèi)士的產(chǎn)品出現(xiàn)。例如，來誼電子公司的“小微封”互聯(lián)網(wǎng)金融安全解決方案。“小微封”是全新一代的獨立第三方移動互聯(lián)網(wǎng)金融安全認(rèn)證服務(wù)，采用了交易支付數(shù)據(jù)及驗證信息數(shù)據(jù)分離的雙通道架構(gòu)，通過終端設(shè)備指紋識別(包括硬件指紋、軟件指紋以及個人行為指紋)、地理位置及時間設(shè)置等多因素強認(rèn)證的手段，對用戶身份進行認(rèn)證，將金融機構(gòu)單方實施的安全措施轉(zhuǎn)化為由金融機構(gòu)和消費者共同參與的交叉式安全保護，可以全方面防范網(wǎng)絡(luò)釣魚、偽卡盜卡、短信劫持、惡意復(fù)制手機卡開通網(wǎng)銀等身份盜用攻擊形式。由于黑客難以同時劫持兩個通道，也就無法同時篡改交易指令和驗證指令，從而對用戶在網(wǎng)銀、手機銀行、ATM、POS機上的交易安全提供全面保障。“小微封”尤其適用于二維碼、條形碼、NFC等支付(交易)過程中的身份驗證及交易安全保護。

　　采用“小微封”服務(wù)，用戶可以自主綁定手機、電腦等個人設(shè)備，用于指定銀行卡、賬戶的登錄及交易;用戶也可以用手機所處的位置來限定允許交易發(fā)生的地點或區(qū)域;用戶還可以設(shè)置賬戶的登錄、交易時間，保護包括網(wǎng)絡(luò)、ATM、POS在內(nèi)的交易環(huán)境下的安全。

　　可以推斷，由于消費者可以在手機界面享受一站式自助式金融服務(wù)，資金在儲值、理財、支付、信用、保險等產(chǎn)品服務(wù)中機動轉(zhuǎn)換，在操作上帶來了極大的便捷性。

　　而互聯(lián)網(wǎng)安全身份認(rèn)證與物理環(huán)境中的身份認(rèn)證意義完全不同。當(dāng)從一家銀行網(wǎng)點的認(rèn)證環(huán)境中完成服務(wù)走入另一家銀行中時，認(rèn)證又要重新開始，并沒有關(guān)聯(lián)性。而互聯(lián)網(wǎng)安全身份認(rèn)證可以讓金融機構(gòu)對個人、金融機構(gòu)對商家、商家對個人、個人對個人之間在網(wǎng)絡(luò)上交叉關(guān)聯(lián)認(rèn)證，具有很強的商業(yè)黏性。它同時可以為金融服務(wù)、版權(quán)保護、隱私保護、商品防偽、訂票訂房、醫(yī)療服務(wù)等行業(yè)需求提供關(guān)聯(lián)認(rèn)證。美國的四大電信運營商去年開始聯(lián)手防盜，運用設(shè)備指紋認(rèn)證技術(shù)，使得手機一旦被盜或遺失便無法在任何一家運營商使用。

　　IBM預(yù)測的數(shù)字衛(wèi)士技術(shù)，已經(jīng)可以服務(wù)于互聯(lián)網(wǎng)金融。而互聯(lián)網(wǎng)安全身份認(rèn)證在金融業(yè)與互聯(lián)網(wǎng)企業(yè)的競爭中、在監(jiān)管機構(gòu)的眼中尤為突出。銀行以前比較依賴傳統(tǒng)的門面服務(wù)，而互聯(lián)網(wǎng)企業(yè)比較擅長網(wǎng)絡(luò)營銷。在智能終端服務(wù)越來越普及的時代，誰先勇于創(chuàng)新，誰先敢于融合新技術(shù)，誰就會取得市場上的先發(fā)優(yōu)勢。我們可以拭目以待。

本文由印聯(lián)傳媒小新編輯整理