技术帖-今天的移动支付-还是很不安全 (喝酒后嘴里发干发苦)

在安全领域有两个基本的原则：

1、没有绝对安全，安全是相对的;

2、所有的简单、方便都是以牺牲安全程度为代价的，只是看你如何权衡罢了。

个人认为，在手机上支付，各种条件尚有欠缺，环境尚不成熟，为时过早。(钱袋、盒子支付、拉卡拉推广的卡槽式手机支付理论上属于传统的POS机支付，不属于严格意义上的手机支付，不属于这里涵盖的范围)

移动支付的密钥在哪儿?

简单的用户名和静态密码都是容易被破解或窃取的(无论如何组合数字和字母，多少位)，已经不能满足今天电子支付的安全要求了。所以，银行目前普遍采用“用户名+密码+密钥”三合一的方式来实现用户身份的认证。“用户名和密码”就是你在银行开户时设定的，而“密钥”是你下载到U盾保存(也由银行发放)的数字证书或者银行发放的带有显示屏的六位到八位的动态令牌。

无论是数字证书还是动态令牌，都是代表你身份的***象征，就好比你的指纹是你的***标识。对于银行而言，每一个用户都具有***的数字证书或者动态令牌，反之亦然。

用户的“密钥”和PC机独立是电子支付的最基本的要求。如果早期使用过网银的客户一定记得，最初数字证书是备份在PC机的硬盘里的，之所以现在要备份到一个独立的U盾里，就是为了将你的“密钥”与PC分离。这样，即使有黑客能够侵入你的电脑，没有数字证书或者动态令牌显示的数字也无法完成资金的转移。

前几年有一些用户在电脑支付完忘记拔U盾而被黑客将银行账户的资金转走，所以，现在的网银在你退出的时候都会提醒你，“你的U盾还未拔掉，建议您拔掉U盾“(动态令牌不存在这个问题)。

U盾的操作系统是专有的，很少有人会破解U盾，所以，只要U盾不在PC机上，该PC也就无法与银行建立一条加密的隧道，你就有了一层很坚固的保障。

动态令牌的工作原理是简单地来说就是一种密码算法。理论上来讲，只要有足够长的时间和良好的设备，任何密码都可通过穷举法加以破解，即把所有的密码组合全试一次。但对于动态令牌的一些算法(如MD5、SHA-1)，使用穷举法寻找它的冲突至少需要进行2^80次运算，这对于我们来说近乎不可能。试想我们使用一台每秒运算30亿次的计算机，运用穷举法去寻找一个冲突，到找到为止需要花费多少时间呢?大概需要1200万年以上!

目前微信使用的，据我观察(没有看到任何介绍)，有点类似短信动态令牌方式，即用户方无需一个动态令牌的实体，服务器端通过短信网关将动态令牌发送下来。所谓动态令牌，就是不断变动的六位或者八位数字。数字一旦出现，永不重复，这就保证了即使黑客窃取你的密码，过了密码的存活周期后，也无法进入系统进行身份认证，所以，动态令牌有时也叫一次性口令，One Time PassWORD，简称OTP。动态令牌的存活时间从几秒钟到几个小时可调，根据你实际的应用场景设定，一般为30-60秒更换一次。

动态令牌的显示数字是依靠某种算法运算所得。服务器端运算出来一个结果，并通过短信发送给手机端，然后用户将这六位数字录入，传递到服务器端进行对比，验证用户的身份。这里先不去考虑密码编制算法的可靠性(是否真的有MD5等那样坚固，我没有看到任何资料说微支付密码采用何种算法，不好评价)，仅就短信传递密码，就存在可达性和安全性的问题。

根据目前运营商的平均水平，短信的到达率大约在95%左右，但遇到一些特殊情况，如节假日，有可能会发生延迟、丢失的现象。比方说，刚刚过去的双十一。短信一般不用于关键信息(对丢失、时延敏感)的传递，也属于“best effort”尽力而为范畴。

而且，短信虽然在传递中，报文是加密的，但依然容易被拦截且破解。这样，也会造成动态密码的泄露。所以，主流的动态令牌形式是一个独立于任何设备(无论PC还是手机)的硬件设备，也像U盾一样(很多银行、证券公司采用)，只是多一个显示数字的屏幕。

动态令牌一旦激活，在使用过程中将不会再与服务器发生通讯，用户不可能通过空中截取。

动态令牌内部是靠一个小CPU按照与服务器同样的算法分别运算着。每一时刻，服务器跟动态令牌的数字都是一致的，所以，无论何时需要身份的认证，无需通讯，动态令牌跟服务器的数字也会保持正确。

无论是数字证书，还是动态令牌，移动支付的需要一个分离的“密钥”，才能称得上安全。目前我看到的多数解决方案在这方面都有欠缺，是皇帝的新装?

手机本身的安全无法保证

智能手机的快速普及，使今天的手机已经与昨天的手机不可同日而语。但是在带给人方便的同时，也将PC端带给大家的问题复制过来了。手机上的各种漏洞层出不穷，尤其是基于开放的安卓系统的手机，在方便的同时，也方便了别人窃取你的信息。任何一个应用，都可以采集你的诸多私密信息。苹果手机由于采用封闭系统，要略好一点，但也不是没有漏洞，只要有心可为，还是有空子可钻。在这一样环境里，完成支付，真的有点“裸奔”的感觉。

虽然现在有了手机版的360安全卫士，安全管家等等，但并没有一个真正的行业标准规定大家该如何做，只是一个建议。而多数网民对此更是一无所知，即使看到了建议也不会像PC端那样从容应对。

之前的手机应用，大多属于非关键类业务，即使有些信息泄露也无伤大雅。但如果真的用来支付等直接跟钱打交道的业务，个人认为还是为时过早。

综合上述两个方面，老李还是认为先别急着在手机上玩支付，等手机的安全体系完成再说吧。而且，从另一方面，各家移动支付的玩家们也在完善自己的解决方案，老李从运营商们的手机支付规范中，都看到了明确的“密钥”分发的环节，说明这一问题已经引起了足够的重视。假以时日，这并不是一个不可解决的问题，只是目前，尚不成熟。

手机支付的出路

前面分析了目前的手机支付存在的问题，如果单纯考虑用移动端本身来解决这一问题，个人认为必须有比较完善的密钥发放和管理机制才能算是一个完整的解决方案。

按照目前可以看见的产品(包括已经面市和在研发中)，大概分为三大类。***类是NFC近场支付，这也是个人最看好的未来的一种支付方式;第二类是通过外接设备来完成密钥的保存;第三类是将支付风险转化到PC端。

三大类中，后两类相对比较成熟，设备和支付方案都有比较严格的金融机构审核。从本质意义上来说，后两种方案其实还是传统支付方案的延续，只是换了个手机终端的形式而已。NFC方案目前还属于发展中的一个方案，由于配套的终端识别设备(POS机部署或者传统POS机改造)以及终端标准 (13.56M&2.4G)的待定，尚需时日。

1、NFC近场支付

NFC是Near Field Communication缩写，即近距离无线通讯技术。是一种非接触式识别和互联技术，可以在移动设备、消费类电子产品、PC 和智能控件工具间进行近距离无线通信。

NFC以其快捷便利安全迅速得到大众的喜爱。在日本，DOCOMO大约在六七年前就推出了FeliCa移动支付业务，拥有NFC功能的手机用户，可以通过手机在全国的am/pm连锁店购物。

NFC目前的工作频段只要有13.56M和2.4G两种。这也是银联与中国移动之所以迟迟未能达成一致的主要原因。因为银联倾向的标准是前者，而移动倾向的标准是后者。2012年6月两家最终签订合作协议说明双方可能在这一方面达成了某种妥协。

从形式上，NFC目前主要的也可以分成拖尾式和RFID-SIM卡方式。

拖尾式就是无需更换手机，将射频功能部分集成于双界面SIM/UIM卡中，射频部分天线直接与SIM/UIM卡高速管脚相连。射频天线可以采用拖尾的方式与SIM/UIM卡相连，也可定制于手机中。

拖尾式的好处是无需更换手机，只需更换SIM卡，符合移动运营商在SIM/UIM卡加载安全及移动支付应用的要求。天线采用SIM/UIM卡拖尾方式对手机外观要求较高，不是每款手机都适合采用此方式。

RFID-SIM方案采用将射频单元(包括射频模块、天线)直接集成到有源SIM/UIM卡上的方式工作，工作频率为2.4GHz。目前，中国移动主要采用的是此方案。

无论是拖尾式，还是RFID-SIM卡模式，密钥都可以保存在独立的电子钱包存储器里。所有的SIM卡应用，必须通过一种只有SIM卡厂商才有的编译器编译方可，所以外人很难破解，里面的密钥是安全的。(老李曾经做过一款SIM应用，编译过程非常复杂，不是外界常用的系统，而且SIM卡厂商基本都不对非运营商之外的第三方提供服务。)

2、在外接设备中集成密钥

目前，主流的围绕手机(包括SIM卡)外接的移动支付方案也有三种。一种是以钱袋、拉卡拉、盒子支付为代表的从手机音频口外接刷卡槽方案;还有一种是在手机的SIM卡上贴片方案;第三种是在手机的SD卡中保存数字证书(银联曾考虑过此方案)。

外接卡槽式

这一种方式可以将一个外接的刷卡槽插入手机的音频接口，从而使手机变成了一个移动POS机。它只利用了手机的通讯和运算功能，而密钥可以保存在卡槽设备里。除了需要刷卡的时候插入终端外，其他时间卡槽和手机终端是分离状态的。这样就保证了密钥和手机终端分离的目的，从而达到手机支付安全的目的。

手机贴片式

这种方式主要围绕原有的SIM卡进行改造。在原来的SIM卡基础上，贴上一个小贴片，贴片与SIM卡可以合二为一，插入原来的SIM卡槽。手机贴片模式的支付完成，是通过SIM卡应用菜单实现的。在每个人的手机里，都有一个SIM卡应用的菜单。用户开卡(贴片模式完成后，需要拿专用的POS机来完成开卡激活，与运营商无关，是服务提供商的服务范围)。

理论上来讲，贴片式的贴片也是跟手机分离的，密钥也可以保存在贴片里。而且，贴片的激活机制也需要通过POS机非常复杂但专业的流程实现。所以，贴片式的支付也是安全的。

SD卡模式

中国银联也曾考虑过SD卡模式，即在手机的SD卡中保存数字证书，也就是密钥。用户现需要安装保存在SD卡中的客户端程序，然后需要开卡激活该客户端，即下载保存数字证书(密钥)。然后就可以通过客户端中的相关操作完成支付了。

上面三种模式，是目前手机支付领域比较主流的三种外接设备的工作方式。个人比较倾向卡槽方案，一不改变人的使用习惯，也无需绑定、更换信用卡;贴片方式开卡流程非常复杂，需要有专人用专用的POS机激活，不利于大面积推广;SD卡模式的加密是个问题，如果把密钥保存在SD卡中，不太可能有用户只在使用支付的时候才换上专用的SD卡，如果长期携带会有安全隐患(就如同U盾在PC机上长连接一样)。

3、转化到PC端解决

第三种解决方案是目前支付宝模式。因为用户可以并不直接在移动端关联银行卡。而通过支付宝账户做了一层缓冲。用户完全可以通过PC端的操作来完成从银行账户到支付宝的关联乃至转账，再通过PC端与移动端一致的支付宝账户完成购买商品的支付。这样即便有风险，也只是支付宝移动端账户的风险，而不是你银行卡所有资金的风险。而在PC端完成支付已经是非常成熟的业务了。当然也有的用户喜欢在移动端来完成支付宝到银行卡的关联，个人建议不要这么做。

如果今天非要用手机完成支付的话，那么个人认为后两种方案还是可取的。***种NFC近场支付，需要等待整个体系的建立完成，如标准、POS机设备等。

其他的解决方案，个人认为尚不完善，其安全性有待考察。

如何解决电子商务的安全问题？

电子商务是互联网应用的重要趋势之一，也是国际金融贸易中越来越重要的经营模式之一，以后会逐渐地成为我们经济生活中一个重要的部分，安全是保证电子商务健康有序发展的关键因素，也是目前大家十分关注的话题，下面将就电子商务发展中的几个热点问题，谈谈个人的看法。一、怎么看待安全与发展的关系谈到安全与发展两者之间的关系时，许多人都会认为安全更重要，而实际上在信息化发展的过程中，发展自始至终都应是放在第一位的，因为没有发展安全就无从谈起，没有发展就是最大的不安全。从国内外的情况来看，电子商务发展的速度太快，致使其安全技术和安全管理跟不上，这是一个越来越突出的问题。电子商务的快速发展需要业界，特别是信息安全业快速地作出反应，否则安全方面的问题将会制约它的发展。现在不仅仅是发展中国家，就连美国这样的发达国家，电子商务在很多领域还是没有像其它传统的商务那样发达，一个重要的原因就是安全问题。这就需要信息安全业的同行作出不懈的努力，不要因为安全问题而制约了电子商务的发展。二、如何看待电子商务的安全问题在正确看待电子商务的安全问题时，有几个观念值得注意：其一，安全是一个系统的概念。安全问题不仅仅是个技术性的问题，不仅仅只涉及到技术，更重要的还有管理，而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。其二，安全是相对的。房子的窗户上只有一块玻璃，一般说来这已经很安全，但是如果非要用石头去砸，那就不安全了。我们不会因为石头能砸碎玻璃而去怀疑它的安全性，因为大家都有一个普遍的认识：玻璃是不能砸的，有了窗玻璃就可以保证房子的安全。同样，不要追求一个永远也攻不破的安全技术，安全与管理始终是联系在一起的。也就是说安全是相对的，而不是绝对的，如果要想以后的网站永远不受攻击，不出安全问题是很难的，我们要正确认识这个问题。其三，安全是有成本和代价的。无论是现在国外的B-to-B还是B-to-C，都要考虑到安全的代价和成本的问题。如果只注重速度就必定要以牺牲安全来作为代价，如果能考虑到安全速度就得慢一点，把安全性保障得更好一些，当然这与电子商务的具体应用有关。如果不直接牵涉到支付等敏感问题，对安全的要求就低一些；如果牵涉到支付问题对安全的要求就要高一些，所以安全是有成本和代价的。作为一个经营者，应该综合考虑这些因素；作为安全技术的提供者，在研发技术时也要考虑到这些因素。其四，安全是发展的、动态的。今天安全明天就不一定很安全，因为网络的攻防是此消彼长、道高一尺、魔高一丈的事情，尤其是安全技术，它的敏感性、竞争性以及对抗性都是很强的，这就需要不断地检查、评估和调整相应的安全策略。没有一劳永逸的安全，也没有一蹴而就的安全。三、社会上对电子商务的需求有哪些电子商务是用电子化的方式实现传统商务的模式或者说对传统商务的革命，它的发展需要以下几个必备的条件。其一，对电子商务的发展要有广泛的认同。无论是现在的银行、证券也好还是传统的物物交换，社会认同是交易得以实现的基础。对电子商务的发展也必须有广泛的认同。其二，电子商务的交易模式不能被假冒。也就是说必须要有足够的安全保障。其三，能真正节省开支。人类从最原始的物物交换到一般等价物、到信用体制等等都是在不断地降低交易成本，如果我们引进电子商务不但不能减少成本，反而会使成本增加，就不会得到社会的认同。其四，要求方便易用，这一点十分重要。目前我国电子商务发展的发展过程中最致命就是使用不方便。其五，要能满足社会大众的商业心态。它可以是“实名制”也可以是“隐名”的(当然现在也正讨论怎么使存款“实名制”)，原来的金融体系或经济体系的优势就在于既可以是“实名”的也可以是“隐名”的，所以发展电子商务时也要考虑这个问题，否则用户就没有选择，其发展就会受到阻碍。社会对电子商务安全的需求简单归纳起来主要有以下几点：1.信息要求真实和完整。因为无论中国人还是外国人，都会觉得“隔山买牛”是一件心里没底的事情，因此都希望电子商务上的信息是真实的、完整的。 2.所有交易不能够抵赖，否则，生意就没法做了。这不但需要用道德和法律进行约束，更需要相关技术进行保障。如果总是发生扯皮或纠纷，再好的电子商务也会因此而黄掉。 3.支付和交易必须是安全而可靠的。目前，如何保障支付和交易的安全可靠是一个全球性问题，电子商务要有大的发展，就必须管好这些瓶颈。 4.用户或商家的身份在网络上能够被准确地识别。如果不能准确识别交易双方的身份，发生纠纷时就无法进行有效的仲裁。 5.能够保护个人隐私。对个人隐私的保护现在越来越受到重视，以前我们可能不太看重这个问题。越是开放，越是信息化，个人隐私越重要。四、对电子商务现状的看法现在，电子商务网站的经营很热闹，但其实也很艰难。根据我们了解的情况，我国的电子商务虽然收益不佳的现状有望改观，但技术和管理方面的问题还依然存在，安全隐患仍令人担忧。从技术上看：首先是数据传输的速度太慢；第二是没有安全、可靠的结账方式，这严重制约着电子商务的发展；第三是IT技术的发展速度太快，商务模式的形成和人们使用习惯的养成都需要一定的时间，虽然技术不断发展，但社会对技术的认同是有阶段的，这使得用户和经营者都难以消化，难以跟上这种快速发展的步伐；第四是难以及时处理用户的有关问题，开通一个网站，如果一段时间以后用户的反馈多了，网络的速度就会慢下来，这也许是线路本身的问题，但也存在技术处理的问题，目前尚没有解决的良策。第五是在安全保障上，难以防范现在的网络犯罪，特别是黑客的攻击。从管理上看，存在的主要问题有：1)国内电子商务网站的数目太少、浏览电子商务网站的用户数量没有期望的那么多；2)电子商务网站的经营收益远低于预期，使有网络泡沫之虞；3)缺乏能适应中国国情的市场技巧。现在的电子商务网站动作的市场方式基本上是照搬美国的，在造势上不无奢华，但在收效上却无殷实，不充分考虑中国人的商业行为和方式，恐怕是难以成功的。 4)网站运营成本太高。由于运行成本居高不下，再好的商业模式也不堪重负。 5)收费困难。除BtoB稍好一点外，BtoC电子商务一直没有找到方便可行的收费方式。从安全上看，电子商务的隐患，令人担忧，主要表现在：1.网络信息安全在全球还没有形成一个完整的体系，我国也不例外。虽然有关电子商务安全的产品数量不少，但真正通过认证的却相当少。近两年，有将近20家有关电子商务安全的产品申请认证，但最后通过的非常少，这主要是因为不少安全措施是从网上“down”下来的，另外，不少电子商务安全技术的厂商对网络技术很熟悉，但是对安全技术普通了解得较少，因而他们很难开发出真正实用的、安全性足用的安全技术和产品。 2.安全技术的强度普遍不够。国外有关电子商务的安全技术，虽然其结构或加密技术等都不错，但这种算法(无论是对称的还是非对称的)受到了外国密码政策的限制，因此强度普遍不够。这种技术用在B-to-C方面还勉强可行，但用在B-to-B上就显然不够。 3.电子商务网站的安全管理存在很大隐患，普遍难以经受黑客的攻击。这个问题应当引起高度重视，国内电子商务网站被攻击的事件较少并不表示是牢不可破，而是网站本身很小，没有多少可攻的价值。 4.电子商务仅仅局限于商务信息领域而没有深入真正的电子商务领域，这些因素的存在必将影响我国电子商务进一步的发展。五、关于面向社会服务的CA中心现在大家都在关注CA中心，从国外的发展看，认证应该是第三方的，政府干预最好少一些，只需作些必要的引导。在我国，最大的问题是多人过早地把CA认证看作是一种产业，把它当作生意来做，而过少地考虑到应该担负的责任。其实，面向社会服务的CA中心必须达到一定的要求。首先要看建设单位是否具备管理能力，以及责任和义务是否很明确，一旦证书出了问题，各方的责任是否清楚；其次是看技术能力和运行条件，CA要为社会服务，能否保证安全可信，运转有效；这需要专门的技术能力和安全完整的网上认证技术体系。比如在炒股票时，如果认证的周期太长，别人已经成交了，你这里还堵着，那肯定不行。第三是看是否有足够的财力支持。没有数千万乃至上亿的投入，是无法面向社会提供可信赖的CA服务。第四是看整个CA系统和设施是否安全。总之，CA中心能否提供安全可靠的服务，不能仅凭自身的宣传，而是要通过“国家信息安全认证”。到目前为止已经通过认证的只有一家，还有其它几家也正在审查之中。主要的问题不在于能否发出证书，而在于能否保障证书的使用者的利益。六、如何看待电子商务网站受到的攻击刚才我们提到过黑客的问题，黑客的威力到底有多大？目前，我国网站所受到黑客的攻击，还不能与美国的相提并论，因为我们的用户数、规模和级别还是处在很初级的阶段。如果遇到类似于DDOS的攻击时应该引起注意，但不必很惊慌，因为在目前的情况下，一个电子商务网站停一两天所受的损失不是很大，毕竟业务量和交易额都还不大。从以往遭遇过的攻击中我们可以得到以下几点启示：1.纯技术难以防范原始攻击方式。如果我们按照西方人的思维方式去思考，不断的追求和更新安全技术，防火墙可以做得非常强，但如果黑客不去窃取信息或数据，而只是去阻塞网站，这种非常野蛮的攻击方式用单纯的技术是很难解决的，而要靠管理或其它的方法去防范。美国电子商务网站遭受那么大规模的攻击，虽然有技术方面的原因，但总的看来还是一个管理的问题，这里的管理包括网站的经营者要如何防止自己的网站被攻击，上网的用户如何保证自己的机器不会无辜地被别人利用，现在网上的安全补丁很多，但很少有人真正用它或不知道怎么去用。所以，在信息化发展的初期，管理比技术显得更为重要。 2.病毒比一般攻击更可怕。现在的病毒(包括恶性代码)破坏性越来越大。现在电子商务上的交易都是非时间敏感性的项目，所以时效性并不太突出，可怕的是病毒对数据的破坏。 3.从目前的情况看，危及电子商务的首先是病毒或恶意代码；然后是内部人员滥用计算资源，对此国外强调的比较多，国内强调的比较少，随着技术人员流动性增大，道德也有待提高；第三是黑客攻击；第四是用户数据的泄漏；第五是假冒的交易。七、关于电子商务需要的安全技术与产品目前，国内市场需要较大的网络安全产品还是防火墙，从国内外采购的数量来看，防火墙均居于首位的；其次是通信保密设备；第三是现在电子商务里面应用最多的客户机服务器中的安全模式；第四是局域网或广域网上的安全技术；第五是web安全技术；第六是灾难恢复技术，从银行和金融界的一些情况看，大家对这方面的重视还不够，普遍的电子商务网站对灾难恢复考虑得都不是很好，这也是迫切需要的。八、制约我国电子商务发展的主要因素制约我国电子商务的因素主要有：其一是商业信息化程度太低；其二是交易过程不规范；其三是信用制度不健全；其四是技术发展太快，没有一定的稳定过程；其五是出现问题后客户去找谁负责。由于有关电子商务的立法和管理刚刚开始，有人开玩笑说“电子商务目前是个‘三无’行业：无法可依、无安全可言、无规可循”，当然这只有一定的道理，我国政府对电子商务的管理已经报上议事日程，各个部门都在抓紧制定推进电子商务的政策。九、加快电子商务发展的建议对电子商务发展的建议简单地讲是“两高一低”，即：1)不断提高服务的安全性，否则会制约电子商务的发展；成为发展的瓶颈；2)提高通讯的速度，否则电子商务就成了纯粹的电子广告而无法将商场搬到里面，许多东西我们无法看到，也更谈不上交易；3)降低成本，这不仅仅是降低硬件成本，特别是要降低通讯成本。因为电子商务发展的目的本来就是为了降低交易成本，交易成本反而高了就不正常。许多人都认为花那么大的投入去搞电子商务还不如去面对面地谈生意，打个电话许多货就发过来了，用不着去识别身份什么的。电子商务安全管理的基本趋势似乎可用：“谁经营、谁负责”六个字来概括，也可以说是谁管理谁负责。这就强调业界要自律，要对安全问题承担责任。