【印聯傳媒網訊】日前，央行下發緊急文件叫停支付寶、騰訊虛擬信用卡產品，同時叫停的還有條碼(二維碼)支付等面對面支付服務。暫停虛擬信用卡產品一事影響較小，因為很多產品還未真正推出;真正影響巨大的是暫停二維碼支付。有觀點認為，若不是央行及時出手，可能會發生潛在的信息安全事件，引發系統性金融支付風險。

　　通俗地講，央行認為現在無論是支付寶、微信支付，還是即將推出的虛擬信用卡，在賬戶安全和支付安全上都是有問題的，一是涉及客戶的信息保護，二是涉及客戶資金如何防止被盜用。從央行的意見函可知，央行只是暫停線下二維碼支付，并非取締。如果安全風險得以化解，依然可以使用。那么，從純技術層面看，類似二維碼支付、虛擬信用卡等移動互聯網金融創新業務的交易安全能否得到保障呢?

　　移動互聯網交易環境存在哪些安全漏洞

　　二維碼支付是一種基于賬戶體系搭建起來的新一代無線支付方案。在該支付方案下，商家可把賬號、商品價格等交易信息匯編成一個二維碼，并印刷在各種報紙、雜志、廣告、圖書等載體上發布。用戶通過手機客戶端掃拍二維碼，便可實現與商家支付寶賬戶的支付結算。最后，商家根據支付交易信息中的用戶收貨、聯系資料， 就可以進行商品配送，完成交易。二維碼支付被叫停主要影響的是線下業務，具體指線下掃碼、線下收款及付款環節，而線上二維碼不受影響。

　　從金融監管層面看，央行該項舉措符合李克強總理最近關于“政府已經排出時間表加強監管影子銀行等金融風險”的講話精神。從技術角度來看，正如央行發文所稱“條碼(二維碼)應用于支付領域有關技術、終端的安全標準不明確，相關支付撮合驗證方式的安全性尚存質疑，存在一定的支付風險隱患。虛擬信用卡突破了現有信用卡業務模式，在落實客戶身份識別義務、保障客戶信息安全等方面尚待進一步研究。” 可以想象，如果身份盜用事件大面積發生，勢必造成虛擬信用及虛擬貨幣的泛濫。

　　用戶身份識別以及交易安全保護問題已成為移動互聯網金融亟待解決的瓶頸問題。據調查顯示，有75%的非網上銀行用戶由于擔心安全性而不愿嘗試;最近發布的《2013年中國手機銀行用戶調研報告》顯示，對安全性存疑的手機用戶占比高達61.23%，手機病毒木馬、手機遺失造成賬戶損失、出事后難以找到責任方等問題，令公眾對移動互聯網安全感到擔憂，極大地阻礙了移動互聯網金融的發展。

　　預留手機號進行短信驗證的身份認證方式存在很大安全漏洞

　　移動互聯網環境下，現有的身份識別方式基于客戶預留手機號的短信驗證，一旦手機卡被復制或驗證短信被劫持轉發等情況發生，犯罪分子就可以非法控制被害人的手機銀行，甚至“幫助”被害人注冊開通手機銀行，進行犯罪活動。從目前主流的電子支付方式看，如果用戶辦銀行卡時有在銀行預留手機號，那么只需填寫銀行卡號、姓名、身份證號和預留手機號就可實現與銀行卡的綁定，然后通過設置的支付密碼就可實現消費，并不需要銀行卡的密碼，而姓名、身份證號、銀行卡號等信息在網絡上很容易泄露，存在較大的互聯網身份盜用風險。

　　在二維碼支付的業務流程中，手機產生二維碼的第三方賬戶極易被盜用，同時二維碼掃描也給了犯罪分子誘使客戶在不知情的情況下，被植入惡意木馬竊取關鍵信息的機會。上述問題的存在，使得互聯網金融服務中重大資金被盜及資訊泄密案件頻發。

　　支付指令與驗證指令單通道傳輸容易被篡改

　　眾所周知，銀行和第三方公司在提供移動支付服務的同時已做了相應的安全措施，但由于客戶與銀行之間單通道的通信傳輸方式(由手機、電腦等終端同時發送支付指令和驗證指令到銀行服務器)，容易被網絡中間人、瀏覽器劫持人所攻擊，金融機構難以確認客戶端操作者的身份，無法識別網絡中間人對支付指令的篡改。消費者面對花樣繁多且不斷升級的攻擊方式，操作稍有不慎即可造成損失。而“U盾”、“電子口令卡”等安全工具，還是存在著對客戶安全使用意識要求較高且攜帶使用不便等諸多問題。

　　移動互聯網安全領域的現狀及未來趨勢

　　隨著移動互聯網的發展，傳統的賬號+密碼+短信驗證碼的身份驗證方式已無法滿足商家及消費者的安全需求。而目前新興的指紋識別技術是通過對生物特征進行取樣，提取其唯一的特征并且轉化成數字代碼，再進一步將這些代碼組合成特征模板完成身份識別。但從本質上講，生物特征識別技術提取的指紋等特征最終仍是轉變為靜態數據的格式(12345)，在認證原理上未有實質性的創新，無異于靜態密碼保護。由于指紋等生物特征無法修改，黑客一旦竊取數據便可一勞永逸，尚不及可隨時修改的靜態密碼更為安全。

　　IBM于2013年11月發布的未來5年五大預測中提及：用戶密碼、身份、設備前所未有的多，但安全卻是高度碎片化。即將出現的在線數字衛士技術，通過對用戶背景、環境及歷史數據分析來驗證用戶在不同設備上的身份，了解正常活動與潛在危險之間的差異，通過智能終端進行互聯網身份認證及安全保護，全方位地保衛用戶的數字生活。用戶不用再去尋找攻擊的跡象，數字衛士會觀察設備的操作行為，識別出其中的異常并發出告警。這表明個人在智能終端上的行為數據是身份驗證的最有效手段，世界上不存在完全一致的兩臺智能終端。

　　IBM的預測并非空談。值得關注的是，國內已有類似數字衛士的產品出現。例如，來誼電子公司的“小微封”互聯網金融安全解決方案。“小微封”是全新一代的獨立第三方移動互聯網金融安全認證服務，采用了交易支付數據及驗證信息數據分離的雙通道架構，通過終端設備指紋識別(包括硬件指紋、軟件指紋以及個人行為指紋)、地理位置及時間設置等多因素強認證的手段，對用戶身份進行認證，將金融機構單方實施的安全措施轉化為由金融機構和消費者共同參與的交叉式安全保護，可以全方面防范網絡釣魚、偽卡盜卡、短信劫持、惡意復制手機卡開通網銀等身份盜用攻擊形式。由于黑客難以同時劫持兩個通道，也就無法同時篡改交易指令和驗證指令，從而對用戶在網銀、手機銀行、ATM、POS機上的交易安全提供全面保障。“小微封”尤其適用于二維碼、條形碼、NFC等支付(交易)過程中的身份驗證及交易安全保護。

　　采用“小微封”服務，用戶可以自主綁定手機、電腦等個人設備，用于指定銀行卡、賬戶的登錄及交易;用戶也可以用手機所處的位置來限定允許交易發生的地點或區域;用戶還可以設置賬戶的登錄、交易時間，保護包括網絡、ATM、POS在內的交易環境下的安全。

　　可以推斷，由于消費者可以在手機界面享受一站式自助式金融服務，資金在儲值、理財、支付、信用、保險等產品服務中機動轉換，在操作上帶來了極大的便捷性。

　　而互聯網安全身份認證與物理環境中的身份認證意義完全不同。當從一家銀行網點的認證環境中完成服務走入另一家銀行中時，認證又要重新開始，并沒有關聯性。而互聯網安全身份認證可以讓金融機構對個人、金融機構對商家、商家對個人、個人對個人之間在網絡上交叉關聯認證，具有很強的商業黏性。它同時可以為金融服務、版權保護、隱私保護、商品防偽、訂票訂房、醫療服務等行業需求提供關聯認證。美國的四大電信運營商去年開始聯手防盜，運用設備指紋認證技術，使得手機一旦被盜或遺失便無法在任何一家運營商使用。

　　IBM預測的數字衛士技術，已經可以服務于互聯網金融。而互聯網安全身份認證在金融業與互聯網企業的競爭中、在監管機構的眼中尤為突出。銀行以前比較依賴傳統的門面服務，而互聯網企業比較擅長網絡營銷。在智能終端服務越來越普及的時代，誰先勇于創新，誰先敢于融合新技術，誰就會取得市場上的先發優勢。我們可以拭目以待。

本文由印聯傳媒小新編輯整理