隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展，銀行的手機(jī)客戶端正逐漸成為商業(yè)銀行的新門戶，人們開始習(xí)慣隨時(shí)隨地使用移動(dòng)金融應(yīng)用完成理財(cái)支付、轉(zhuǎn)賬匯款、繳費(fèi)還款等業(yè)務(wù)。移動(dòng)業(yè)務(wù)可大大降低實(shí)體網(wǎng)點(diǎn)的業(yè)務(wù)壓力，降低運(yùn)營成本，同時(shí)滿足了不同客戶的業(yè)務(wù)需求，通過更豐富便捷的服務(wù)吸引更多用戶增加銀行的營收。因此，各家銀行都在大力布局移動(dòng)業(yè)務(wù)，快速推廣手機(jī)銀行App。從整體上看，安全、抗風(fēng)險(xiǎn)能力是移動(dòng)金融業(yè)務(wù)當(dāng)前的主要問題。安全體系如社會(huì)法制體系，是移動(dòng)業(yè)務(wù)推廣的基石。傳統(tǒng)銀行業(yè)務(wù)數(shù)據(jù)是在專線上傳輸，移動(dòng)平臺(tái)使得原先封閉的服務(wù)系統(tǒng)變得開放，業(yè)務(wù)風(fēng)控系統(tǒng)將面臨更多挑戰(zhàn)。移動(dòng)業(yè)務(wù)中數(shù)據(jù)是流動(dòng)的，既在銀行內(nèi)部專網(wǎng)也在公共網(wǎng)絡(luò)上傳輸。因此，移動(dòng)業(yè)務(wù)數(shù)據(jù)流到哪，就要去哪兒保護(hù)，移動(dòng)端相對(duì)服務(wù)端的安全保護(hù)較弱，更容易成為黑客的主要攻擊對(duì)象。

江蘇通付盾信息科技有限公司（以下簡稱通付盾）經(jīng)過多年的技術(shù)沉淀和國內(nèi)市場(chǎng)資源的積累，面向移動(dòng)金融的交易安全問題，推出“盾云”安全服務(wù)平臺(tái)。通付盾的創(chuàng)始人汪德嘉博士畢業(yè)于美國威斯康星大學(xué)麥迪遜分校數(shù)學(xué)專業(yè)，曾在硅谷多次參與公司早期創(chuàng)業(yè)。通付盾擁有世界級(jí)安全實(shí)驗(yàn)室，在美國硅谷、蘇州、杭州、北京等地均設(shè)立了研發(fā)和市場(chǎng)服務(wù)機(jī)構(gòu)，提供覆蓋全球的服務(wù)。通付盾在安全服務(wù)行業(yè)擁有自己獨(dú)到的技術(shù)優(yōu)勢(shì)，正處在高速發(fā)展階段，被專業(yè)投資研究機(jī)構(gòu)清科評(píng)價(jià)為極具投資價(jià)值的公司之一。通付盾云服務(wù)平臺(tái)圍繞云、管、端進(jìn)行全面移動(dòng)金融安全服務(wù)，推出了移動(dòng)應(yīng)用安全、移動(dòng)端身份認(rèn)證、數(shù)據(jù)傳輸安全和反欺詐服務(wù)。

安全端：移動(dòng)應(yīng)用安全

通付盾提供了貫穿應(yīng)用全生命周期的應(yīng)用安全服務(wù)，其中包括安全評(píng)估、應(yīng)用加固、動(dòng)態(tài)簽名、全網(wǎng)監(jiān)測(cè)服務(wù)等。在開發(fā)階段提供的安全評(píng)估幫忙客戶查找漏洞，在應(yīng)用發(fā)布前提供針對(duì)性的安全加固服務(wù)、動(dòng)態(tài)簽名等為應(yīng)用提供安全保護(hù)，并通過通付盾云提供實(shí)時(shí)全網(wǎng)監(jiān)測(cè)，防止假冒盜版釣魚應(yīng)用，避免用戶損失。

由于安卓應(yīng)用程序大部分使用Java語言進(jìn)行開發(fā)，而且目前安卓應(yīng)用市場(chǎng)缺乏正規(guī)監(jiān)管，因此發(fā)布到市場(chǎng)的客戶端極易被黑客反編譯后插入惡意代碼，并在二次打包之后重新發(fā)布到應(yīng)用市場(chǎng)。普通用戶在下載安裝后，設(shè)備就會(huì)受到黑客控制，造成非法扣費(fèi)、嵌入廣告、隱私泄露、資費(fèi)盜取等危害。2014年5月，通付盾率先發(fā)布國內(nèi)專業(yè)移動(dòng)金融應(yīng)用安全評(píng)測(cè)報(bào)告《移動(dòng)支付業(yè)務(wù)風(fēng)險(xiǎn)管理研究報(bào)告》。通過對(duì)100余家手機(jī)銀行、手機(jī)錢包、第三方支付客戶端的安全評(píng)估，報(bào)告系統(tǒng)分析了近場(chǎng)支付、遠(yuǎn)程支付等主流移動(dòng)支付方案，均發(fā)現(xiàn)存在一定程度的安全隱患。

為了共同打造移動(dòng)應(yīng)用安全平臺(tái)，建立移動(dòng)應(yīng)用安全行業(yè)標(biāo)準(zhǔn)，通付盾與OWASP（Open Web Application Security Project，開放式Web應(yīng)用程序安全項(xiàng)目）組織深度合作：首先，從多方面，對(duì)移動(dòng)應(yīng)用程序的本身安全、數(shù)據(jù)安全、業(yè)務(wù)邏輯安全、系統(tǒng)環(huán)境安全等內(nèi)容進(jìn)行全面的安全測(cè)試和評(píng)估，對(duì)移動(dòng)應(yīng)用中可能存在安全隱患的30多項(xiàng)內(nèi)容進(jìn)行安全審計(jì)；其次，針對(duì)評(píng)估結(jié)果進(jìn)行有針對(duì)性的安全加固，以保障安全加固后的程序運(yùn)行效率。

進(jìn)一步，通付盾通過獨(dú)有的動(dòng)態(tài)簽名技術(shù)實(shí)現(xiàn)了服務(wù)器主動(dòng)感知客戶端異常行為的能力，客戶端會(huì)定期與安全服務(wù)器（Security Server）通信，在對(duì)話的過程中確保程序的完整、安全，防止網(wǎng)絡(luò)中間人攻擊。最后，全網(wǎng)監(jiān)測(cè)可以對(duì)應(yīng)用市場(chǎng)進(jìn)行全面的監(jiān)測(cè)，從渠道分布、應(yīng)用版本及其盜版率、下載量、盜版渠道來源等多方面，對(duì)App進(jìn)行實(shí)時(shí)監(jiān)測(cè)，并對(duì)獲取的信息進(jìn)行全方位深入分析，最終將分析數(shù)據(jù)形成完備的監(jiān)測(cè)報(bào)告。

開發(fā)者可以通過渠道監(jiān)測(cè)服務(wù)第一時(shí)間發(fā)現(xiàn)盜版App和相關(guān)信息，并有針對(duì)性地進(jìn)行策略調(diào)整，保證發(fā)布到應(yīng)用市場(chǎng)的應(yīng)用都是完整安全的，而不是被惡意打包過的，以維護(hù)App市場(chǎng)的健康有序，避免第三方市場(chǎng)成為病毒、惡意程序傳播的渠道。

安全端：身份認(rèn)證

移動(dòng)金融交易過程中的身份認(rèn)證也至關(guān)重要，是保證交易不可抵賴的關(guān)鍵。支付寶錢包、微信支付推出的二維碼因被央行叫停而引起熱議，而各大銀行仍在穩(wěn)步推進(jìn)布局二維碼支付。二維碼支付之所以會(huì)存在嚴(yán)重安全問題，最重要的原因是很多不法分子將病毒或惡意網(wǎng)址的下載地址鏈接進(jìn)二維碼的圖片中，用戶在掃描帶有病毒的二維碼時(shí)很容易會(huì)被扣費(fèi)或被盜取銀行卡信息等。這是二維碼支付主讀模式（用戶掃碼）推廣的最大風(fēng)險(xiǎn)。保證二維碼的可信是對(duì)發(fā)碼、掃碼、解析軟件程序等機(jī)密保護(hù)的極大挑戰(zhàn)。僅僅用黑白灰名單的掃碼攔截技術(shù)是遠(yuǎn)遠(yuǎn)不夠的，技術(shù)上必須另辟溪徑。

二維碼支付被讀模式是線下掃碼支付，依附于原有的線下收單布局體系，以掃碼代替刷卡環(huán)節(jié)。但是，就如銀行卡收單遇到的偽卡挑戰(zhàn)一樣，二維碼支付被讀模式的最大風(fēng)險(xiǎn)是“偽碼”，即支付二維碼存在被偷拍、截屏、復(fù)制的危險(xiǎn)。靜態(tài)二維碼如磁條卡，很容易被復(fù)制。相對(duì)于主讀模式，被讀模式的掃碼環(huán)境更可控。

線下收單已有一套成熟的安全保障體系，被讀模式采用專屬認(rèn)證掃碼機(jī)具、密碼鍵盤，密鑰和密碼解析軟件程序機(jī)密性得到很好保障，安全性更高。磁條卡到IC卡的演變、專門銀行卡發(fā)卡機(jī)構(gòu)、數(shù)字證書、雙因子身份認(rèn)證、國密算法等，這些經(jīng)驗(yàn)和技術(shù)都值得二維碼支付借鑒。

時(shí)空碼是通付盾的一項(xiàng)專有技術(shù)。時(shí)空碼針對(duì)靜態(tài)二維碼做出了一定的安全調(diào)整，從原有的靜態(tài)思路轉(zhuǎn)變?yōu)閯?dòng)態(tài)思路。動(dòng)態(tài)不僅依賴時(shí)間維度，更重要的是依賴場(chǎng)景即空間維度。時(shí)空碼利用移動(dòng)在線的特性，通過將時(shí)間、空間、邏輯、設(shè)備行為等多安全因子融入普通二維碼，基于設(shè)備關(guān)聯(lián)驗(yàn)證，利用云端遠(yuǎn)程動(dòng)態(tài)加載算法，實(shí)現(xiàn)了動(dòng)態(tài)算法、動(dòng)態(tài)圖像、動(dòng)態(tài)運(yùn)行，形成了基于設(shè)備識(shí)別的安全、可信的動(dòng)態(tài)多維碼技術(shù)。

在應(yīng)用程序的系統(tǒng)層，時(shí)空碼通過動(dòng)態(tài)運(yùn)行方式，有效實(shí)現(xiàn)了系統(tǒng)底層的安全加固；在應(yīng)用程序的應(yīng)用層，密鑰存儲(chǔ)碎片化、云端化，通過云端的動(dòng)態(tài)算法，確保算法實(shí)時(shí)更新，不會(huì)被劫持篡改；在應(yīng)用程序的展現(xiàn)層，時(shí)空碼通過實(shí)時(shí)動(dòng)態(tài)變化的動(dòng)碼圖像，能有效防止二維碼被偷拍、被截屏?；谠O(shè)備指紋的關(guān)聯(lián)綁定、動(dòng)態(tài)運(yùn)行、動(dòng)態(tài)算法、動(dòng)態(tài)圖像等，時(shí)空碼可以有效防止病毒和木馬的偽造攻擊和入侵，形成了開放環(huán)境的安全信道，徹底解決了傳統(tǒng)二維碼在賬號(hào)安全、交易安全等領(lǐng)域的不足。

時(shí)空碼還可通過SDK方式嵌入各種應(yīng)用，目前已應(yīng)用于部分商業(yè)銀行手機(jī)客戶端，用于移動(dòng)支付憑證。時(shí)空碼作為結(jié)合移動(dòng)設(shè)備的身份認(rèn)證方式，可應(yīng)用在網(wǎng)銀登錄、取代短信驗(yàn)證碼、實(shí)現(xiàn)ATM無卡取現(xiàn)，可拓展實(shí)現(xiàn)掃碼開門禁等其他應(yīng)用，實(shí)現(xiàn)移動(dòng)互聯(lián)網(wǎng)的統(tǒng)一賬號(hào)體系。時(shí)空碼收銀臺(tái)的安卓版是目前獨(dú)有通過銀行卡檢測(cè)中心《銀聯(lián)卡支付應(yīng)用軟件安全測(cè)試》的動(dòng)態(tài)二維碼收銀軟件。

安全管：私密通信

移動(dòng)金融應(yīng)用大都采用短信息渠道發(fā)送交易校驗(yàn)碼，賬號(hào)修改確認(rèn)等關(guān)鍵信息，并通過短信息發(fā)送最后的交易結(jié)果等。但是，短信息發(fā)送過程極易受到短信劫持、短信釣魚等攻擊威脅，另外，通過運(yùn)營商發(fā)送短信息，成功率無法保障，容易被短信工具攔截，致使信息無法及時(shí)傳給用戶。針對(duì)推送類短信的安全和傳送效率問題，通付盾推出一種新的私密通信方式——比特信。比特信是一種可用來向另一個(gè)人或者多個(gè)其他訂閱者發(fā)送加密消息的網(wǎng)絡(luò)協(xié)議，一個(gè)P2P的中心化和無需第三方提供信用擔(dān)保的協(xié)議。它不需要根證書頒發(fā)機(jī)構(gòu)，采用了強(qiáng)大的認(rèn)證方式，其目的是為了隱匿與消息有關(guān)的信息，例如消息的發(fā)送者和接收者，以免竊聽者竊取傳遞的消息。

比特信基于IBE的加密體制，待傳輸信息處于通信過程中進(jìn)行多重加密，并且實(shí)現(xiàn)定向加密傳輸，另外，比特信將設(shè)備證書和數(shù)字證書相結(jié)合，防竊聽、防監(jiān)控，全方位保證信息傳輸?shù)乃矫馨踩??；谙⒓用軅鬏?，?shù)據(jù)只能在指定終端解密，接收方、發(fā)送方雙向驗(yàn)證，防抵賴且能識(shí)別黑客發(fā)送的釣魚消息，保障關(guān)鍵消息的保密性、完整性和不可抵賴性。

比特信支持多種發(fā)送通道，包括應(yīng)用內(nèi)消息、推送、短信、郵件等，后續(xù)擴(kuò)展支持微信等社交渠道，是開放渠道的“私密通道”。可支持自動(dòng)、手動(dòng)、觸發(fā)等多種發(fā)送方式，支持廣播、組播和點(diǎn)播等發(fā)送路徑。通過管理后臺(tái)，比特信可以滿足靈活配置需求和擴(kuò)展需求，支持海量在線用戶。比特信適用于移動(dòng)金融統(tǒng)一通知平臺(tái)，替換短信驗(yàn)證碼發(fā)送場(chǎng)景、消息推送、點(diǎn)對(duì)點(diǎn)消息等，將短信通知平臺(tái)、郵件通知平臺(tái)、應(yīng)用內(nèi)消息、推送消息等結(jié)合起來，形成統(tǒng)一的消息通知平臺(tái)，幫助銀行在移動(dòng)業(yè)務(wù)內(nèi)增加安全的社交元素。

安全云：反欺詐

費(fèi)埃哲公司預(yù)測(cè)亞太地區(qū)每年因欺詐導(dǎo)致的損失超過3.5億美元，并且仍以每年20%到25%的速率增長。如何防患于未然并盡量減少給顧客帶來的不便依然是銀行關(guān)注的首要問題?？蛻綦S時(shí)隨地都會(huì)使用手機(jī)銀行的各種業(yè)務(wù)，從而也提高了欺詐的可能性。銀行如何讓客戶遠(yuǎn)離欺詐，或者在客戶遭受欺詐之后銀行可以第一時(shí)間保護(hù)客戶的經(jīng)濟(jì)利益，與該銀行的聲譽(yù)息息相關(guān)。某專業(yè)實(shí)驗(yàn)室研究表明，基于設(shè)備行為分析的反欺詐是最有效的反欺詐。

通付盾反欺詐服務(wù)基于設(shè)備指紋技術(shù)，通過關(guān)聯(lián)、自學(xué)習(xí)、智能分析等引入互聯(lián)網(wǎng)第三方數(shù)據(jù)，提供設(shè)備賬號(hào)、GeoIP、社交圖譜等多維度的信譽(yù)評(píng)估，可為銀行客戶和非金融機(jī)構(gòu)提供基于設(shè)備行為分析的大數(shù)據(jù)支撐。通過可自定義的規(guī)則集合引擎、靈活智能的風(fēng)控模型，通付盾反欺詐服務(wù)可以準(zhǔn)確地識(shí)別惡意欺詐行為，可針對(duì)欺詐形式或者地域的轉(zhuǎn)移而相應(yīng)改變的欺詐策略、模型、規(guī)則做出及時(shí)調(diào)整，助力銀行系統(tǒng)增強(qiáng)風(fēng)控能力。

另外，通付盾可提供安全指數(shù)分析，圍繞客戶關(guān)心的業(yè)界安全話題展開深入剖析，追溯話題源頭，通過先進(jìn)的互聯(lián)網(wǎng)大數(shù)據(jù)挖掘技術(shù)，從話題熱度、傳播趨勢(shì)、用戶屬性、網(wǎng)絡(luò)熱帖、地域分布等各方面進(jìn)行全面分析，給出該話題的影響力指數(shù)，形成專業(yè)的分析報(bào)告。

真正的云安全需要一個(gè)完整的運(yùn)營系統(tǒng)，只有安全技術(shù)聯(lián)合起來，互通有無協(xié)同作戰(zhàn)才能獲得更為有效的防御效果。移動(dòng)金融的風(fēng)控系統(tǒng)，通過靈活整合外部第三方專業(yè)可靠的安全云服務(wù)和大數(shù)據(jù)服務(wù)能力，可增強(qiáng)多維度交易風(fēng)險(xiǎn)控制。在信任普遍缺失的社會(huì)，重建信任非常重要。安全如空氣、如水，與生俱來，而沒有安全感就沒有幸福感沒，有安全就沒有信任感。安全體系如法制體系是可信生態(tài)的基石。通付盾基于自身移動(dòng)安全的技術(shù)特點(diǎn)與傳統(tǒng)安全服務(wù)廠商深入合作，共同打造可信的移動(dòng)金融安全云平臺(tái)。