國(guó)內(nèi)大型互聯(lián)網(wǎng)公司也未能幸免，因此OpenSSL“心臟出血”事件被業(yè)內(nèi)視為一次網(wǎng)絡(luò)安全的里程碑事件。

 

　　來誼電子CEO徐海光接受21世紀(jì)經(jīng)濟(jì)報(bào)道專訪時(shí)表示，對(duì)于普通用戶而言，數(shù)據(jù)泄露的最嚴(yán)重后果之一便是威脅網(wǎng)絡(luò)支付安全，即黑客可以利用其數(shù)據(jù)資料操控互聯(lián)網(wǎng)賬戶。而關(guān)鍵問題在于，在目前互聯(lián)網(wǎng)支付的安全認(rèn)證模式下，一旦發(fā)生這種情況，用戶資金很容易被轉(zhuǎn)走。

 

　　此次事件后，網(wǎng)絡(luò)支付和移動(dòng)支付安全問題再次被推上風(fēng)口浪尖。在之前央行接連發(fā)文叫停包括微信支付、支付寶錢包、虛擬信用卡在內(nèi)的支付方式中，也著重提到了移動(dòng)支付的安全問題。

 

　　以微信支付、支付寶錢包、銀行手機(jī)移動(dòng)客戶端為代表的新型支付方式近兩年發(fā)展迅猛，當(dāng)前市場(chǎng)和企業(yè)更多的關(guān)注和改善此類支付方式的便捷性，其安全性卻并未同步發(fā)展。徐海光表示，支付領(lǐng)域，便捷性和安全性某種程度上存在矛盾，因此必須平衡好兩者的關(guān)系。他稱，尤其對(duì)于移動(dòng)支付，目前通用的做法都是短信驗(yàn)證方式，這極易被黑客劫持。

 

　　也正因此，浸淫支付行業(yè)多年的徐海光開始關(guān)注移動(dòng)支付安全領(lǐng)域，并于去年年底開發(fā)出一款基于“云端+APP”形式的“小微封”產(chǎn)品。據(jù)其介紹，該產(chǎn)品通過“時(shí)間+設(shè)備+地點(diǎn)”三個(gè)維度進(jìn)行身份認(rèn)證，并且以“雙通道”的技術(shù)方式防止黑客劫持。

 

　　在傳統(tǒng)模式中，包括銀行、第三方支付機(jī)構(gòu)均由自己負(fù)責(zé)支付與安全認(rèn)證，而進(jìn)入互聯(lián)網(wǎng)金融時(shí)代，第三方安全認(rèn)證服務(wù)商也開始出現(xiàn)。

 

　　安全認(rèn)證的漏洞

 

　　徐海光告訴記者，移動(dòng)互聯(lián)網(wǎng)環(huán)境下，現(xiàn)有的身份識(shí)別方式基于客戶預(yù)留手機(jī)號(hào)的短信驗(yàn)證，一旦手機(jī)卡被復(fù)制或驗(yàn)證短信被劫持轉(zhuǎn)發(fā)等情況發(fā)生，犯罪分子可以非法控制被害人的手機(jī)銀行。

 

　　他介紹說，在使用網(wǎng)絡(luò)支付時(shí)，后臺(tái)的運(yùn)行原理可以簡(jiǎn)單理解為，用戶通過手機(jī)、PAD、電腦等終端向銀行服務(wù)器發(fā)出支付指令，包括支付金額、接收賬戶等；同時(shí)銀行服務(wù)器會(huì)發(fā)出驗(yàn)證指令，目前通用的方式即發(fā)送短信驗(yàn)證碼或者使用動(dòng)態(tài)密碼令牌。

 

　　驗(yàn)證指令即對(duì)操作人的身份認(rèn)證，確認(rèn)是否為持卡人操作，而這正是互聯(lián)網(wǎng)時(shí)代最大的難點(diǎn)。傳統(tǒng)的刷卡支付，銀行和第三方通過卡道進(jìn)行身份認(rèn)證，如果要進(jìn)行盜刷，違法分子必須獲得物理卡。而在互聯(lián)網(wǎng)時(shí)代，因?yàn)殂y行無法判斷電腦、手機(jī)等終端設(shè)備的后面是否是持卡人，也無需物理卡，只要賬號(hào)、密碼、驗(yàn)證碼正確即可進(jìn)行操作，安全風(fēng)險(xiǎn)增加。

 

　　如果一旦用戶的賬戶、密碼、手機(jī)號(hào)碼等數(shù)據(jù)泄露，違法分子即可通過劫持銀行發(fā)出的驗(yàn)證指令（短信驗(yàn)證碼或動(dòng)態(tài)密碼）到自己手機(jī)上，從而完成資金轉(zhuǎn)移。徐海光同時(shí)稱，目前流行的二維碼支付同樣存在安全風(fēng)險(xiǎn)。

 

　　以目前最火的微信支付和支付寶錢包為例，其支付方式大致分為兩種：手機(jī)綁定的賬戶生成二維碼，商戶以掃碼搶掃描收款以及商品生成二維碼后，手機(jī)直接掃碼支付。對(duì)于前者，一旦用戶手機(jī)上生成二維碼的賬戶被盜用，同樣可以被盜用者拿去消費(fèi)，無論前端支付形式是二維碼、條形碼還是NFC，本質(zhì)上還是一個(gè)賬戶。而后者，徐海光表示，現(xiàn)在一些違法分子會(huì)在二維碼中植入病毒，一旦用戶掃描后，其將不斷地獲取用戶數(shù)據(jù)，同樣可以盜用產(chǎn)生二維碼的賬戶。

 

　　設(shè)備指紋認(rèn)證

 

　　顯然，網(wǎng)絡(luò)支付時(shí)代，人、設(shè)備、賬戶共同形成一個(gè)鏈條，當(dāng)賬戶數(shù)據(jù)泄露，被他人操作時(shí)，賬戶不變，人和設(shè)備發(fā)生轉(zhuǎn)移。而徐海光介紹的“小微封”則通過設(shè)備指紋將設(shè)備這一環(huán)節(jié)固定，即使數(shù)據(jù)泄露，在其它設(shè)備上也無法操作賬戶。

 

　　按照他的介紹，通過小微封APP，其服務(wù)器可以采集到硬件指紋、軟件指紋和行為指紋。每臺(tái)電腦或手機(jī)，各個(gè)配件都擁有不同的序列號(hào)，小微封將此作為設(shè)備指紋進(jìn)行采集。如果手機(jī)賬戶信息泄露，違法分子在其它設(shè)備上也無法進(jìn)行操作。

 

　　軟件指紋則針對(duì)設(shè)備中所安裝的軟件信息進(jìn)行采集，比如電子波紋。如果操作賬戶的設(shè)備中所裝軟件無法與小微封服務(wù)器中的數(shù)據(jù)匹配，同樣無法完成操作。同時(shí)，小微封通過云端服務(wù)器可以采集到用戶部分的個(gè)性化特征數(shù)據(jù)，比如用戶聽過什么樣的音樂，由此完成身份認(rèn)證。

 

　　徐海光表示，除此之外，通過技術(shù)方式，小微封的安全認(rèn)證還引入了時(shí)空維度。即使設(shè)備丟失，依然可以保證賬戶安全。在他展示的APP上，用戶可以實(shí)現(xiàn)一鍵鎖和賬戶鎖功能。如果用戶綁定在手機(jī)上的銀行卡丟失，通過小微封即可完成一鍵凍結(jié)賬戶，“手機(jī)這個(gè)時(shí)候就變成了一個(gè)銀行發(fā)給C端用戶的遙控器”。并且如果用戶同時(shí)綁定了兩臺(tái)設(shè)備，即使有一臺(tái)丟失，同樣可以在最快時(shí)間內(nèi)，通過手上的設(shè)備解除丟失設(shè)備的操作權(quán)限。

 

　　同時(shí)在地理位置上，小微封可以實(shí)現(xiàn)近場(chǎng)、精確定位和區(qū)域定位功能。即根據(jù)不同需求，選擇支付的范圍，一旦超出設(shè)定的范圍即無法完成支付。由此，通過多個(gè)維度的定位，將傳統(tǒng)的單一因素認(rèn)證升級(jí)為多因素認(rèn)證。

 

　　相比傳統(tǒng)的U盾、動(dòng)態(tài)密碼令牌，小微封采用的是一種軟件安全認(rèn)證的方式。徐海光表示，在移動(dòng)支付時(shí)代，每個(gè)人不可能拿一堆密碼盾，軟件模式將是未來的趨勢(shì)。

 

　　但通過軟件的方式解決這一問題，小微封服務(wù)器需要與銀行或第三方支付企業(yè)進(jìn)行對(duì)接。按照徐海光介紹的模式，整個(gè)支付安全認(rèn)證過程必須通過三個(gè)主要環(huán)節(jié)，即用戶設(shè)備向銀行服務(wù)發(fā)出支付指令，銀行端再向小微封服務(wù)器發(fā)出驗(yàn)證指令，后者通過對(duì)設(shè)備、時(shí)間和地點(diǎn)三個(gè)維度的N個(gè)數(shù)據(jù)比對(duì)后，如果數(shù)據(jù)匹配，即可完成支付，一旦發(fā)生異常，小微封將對(duì)銀行服務(wù)器提出警示。

 

　　這對(duì)傳統(tǒng)的安全驗(yàn)證模式是一種變革，之前只是在銀行服務(wù)器和用戶設(shè)備之間直接發(fā)生支付和驗(yàn)證指令傳輸，而小微封的模式則是在兩者之間加入第三方驗(yàn)證。據(jù)徐海光稱，傳統(tǒng)的方式中，支付指令和驗(yàn)證指令通過單一通道傳輸，極易被黑客短時(shí)間內(nèi)劫持，而加入第三方，形成雙通道，將支付指令和驗(yàn)證指令分離，增加安全系數(shù)。

 

　　同時(shí)，第三方服務(wù)模式則避免了系統(tǒng)升級(jí)帶來的支付問題。在目前一些銀行的手機(jī)客戶端中，支付和驗(yàn)證功能集合在一個(gè)APP內(nèi)，一旦安全系統(tǒng)升級(jí)，支付服務(wù)也將受到影響。徐海光表示，在國(guó)際通行的技術(shù)架構(gòu)中，支付和安全應(yīng)該是獨(dú)立的兩個(gè)APP，即使安全系統(tǒng)升級(jí)，也不影響支付功能，并且因?yàn)榈谌椒?wù)商連接多家金融機(jī)構(gòu)，一旦一家被攻擊，其可以立刻預(yù)警并升級(jí)安全系統(tǒng)對(duì)未被攻擊的金融機(jī)構(gòu)進(jìn)行保護(hù)。

 

　　徐海光表示，目前已經(jīng)有多家銀行開始與其接觸，正在進(jìn)行具體細(xì)節(jié)上的溝通，并且與部分第三方支付機(jī)構(gòu)簽約。