◆吳登峰

?

移動支付的風險安全架構(gòu)分析

◆吳登峰

(浙江省麗水市人力資源和社會保障信息中心 浙江 323000)

改革開放的中國，恰逢全球技術(shù)革命的浪潮。科技帶來的生活進步是顯而易見的，這其中第三方支付，尤其是隨著移動終端設(shè)備的普及和完善，移動支付正摧枯拉朽改寫行業(yè)格局，成就了如今的支付革命。無人超市、無現(xiàn)金社會這些新奇的概念都在隨著移動支付而成為現(xiàn)實，未來中國將成為世界上第一個跨入無現(xiàn)金社會的國家。移動支付如此普及，其背后的安全性問題同樣應(yīng)得到審視，為此本文將從移動支付的風險角度來研究，基于當前移動支付所面臨的支付安全風險，分析其安全技術(shù)架構(gòu)，探討其安全防護技術(shù)措施。

移動支付；支付寶；安全風險；防護

0 前言

2004年，支付寶成立，彼時的中國電子商務(wù)才剛剛起步，人們還無法想象十三年后的今天，我國的支付領(lǐng)域會發(fā)生如此天翻地覆的變化。2016年我國第三方移動支付交易規(guī)模為38.6萬億元人民幣，增長率為216.4%。移動支付正以爆發(fā)式的增長速度大幅擴大規(guī)模，這背后不僅僅是用戶行為的轉(zhuǎn)變，更是一場支付革命的改變。無人超市、無現(xiàn)金社會這些新奇的概念都在隨著移動支付而成為現(xiàn)實，未來中國將成為世界上第一個跨入無現(xiàn)金社會的國家。但是在移動支付如今如此普及的今天，其背后的安全問題似乎不受到重視。如今的移動支付極大的依賴移動終端設(shè)備，而一旦終端設(shè)備遺失、被竊，其中微信支付、支付寶等很容易被盜用。而且如今的網(wǎng)絡(luò)環(huán)境風險巨大，釣魚網(wǎng)站、木馬程序、病毒入侵都有可能造成支付安全問題。移動支付雖然以其便捷性彌補了傳統(tǒng)支付的不足，但其面臨的風險程度及范圍都非常的大，潛藏了各種各樣的風險。網(wǎng)絡(luò)上花樣百出的騙局讓網(wǎng)民們防不勝防。同時監(jiān)管的滯后性，政策法規(guī)的不足，都讓移動支付的安全問題日益突出。為此研究移動支付的安全，對移動支付自身的發(fā)展以及社會的發(fā)展都有著重大的意義。

1 移動支付安全技術(shù)

從移動支付的應(yīng)用場景來看，目前的支付分為近場支付、遠程支付和二維碼支付。進場支付是紅外、NFC完成的本地資金交易，二維碼是基于圖像識別來獲取交易信息，遠程則是移動網(wǎng)絡(luò)完成的金額交易。從消費市場推廣來看，遠端支付和二維碼支付是主流。

1.1移動支付參與方

我國移動支付的產(chǎn)業(yè)鏈構(gòu)成相當復(fù)雜，涉及到用戶、設(shè)備、移動運營商、商戶、金融機構(gòu)、第三方支付廠商。移動支付的參與者和相關(guān)技術(shù)日益豐富，二維碼、NFC、聲波支付豐富了用戶場景，移動電子商務(wù)的發(fā)展，和移動支付共同組成完整的支付體系。

移動支付的安全最直接的三個主體，用戶、商戶和監(jiān)管和銀行。用戶層面上，主要是信息安全和資金安全，許多用戶反映自身的支付信息被泄露，接收到一些莫名的推銷電話和詐騙短信，給日常生活帶來了不便甚至惶恐。資金安全更是最直接的安全需求，如今的用戶習慣已經(jīng)建立，大量的資金沉淀在支付寶和微信錢包支付中，一旦失竊將造成重大損失。商戶和普通用戶對移動支付安全的需求類似，但是商戶還承擔著信用風險，即使第三方支付廠商承擔了安全賠償，商戶也面臨口碑缺失的影響。

監(jiān)管機構(gòu)對支付平臺的安全負有監(jiān)督責任，發(fā)生安全問題自然難辭其咎。因此其需要支付系統(tǒng)保持絕對的安全性。銀行等金融機構(gòu)作為移動支付終端，在錯綜復(fù)雜的產(chǎn)業(yè)環(huán)境中仍顯被動，發(fā)生安全問題將直接造成信用體系的崩塌。

1.2移動支付的安全問題分析

移動支付的環(huán)境復(fù)雜，參與方多，內(nèi)部風險和外部風險、主觀和客觀風險并存。病毒、木馬、釣魚網(wǎng)站、手機被盜、賬號密碼失竊、手機原生系統(tǒng)安全漏洞、廠商升級維護、軟件平臺漏洞等，都是移動支付面臨的安全威脅。而且，如今市面上針對移動支付的各種支付騙局千奇百怪、花樣百出，讓用戶防不勝防。盡管以支付寶、微信等為首的支付平臺不斷的完善自身的安全體系，但用戶資金失竊的問題仍然屢見不鮮，這說明了當前移動支付安全問題十分緊迫。

2 移動支付安全技術(shù)架構(gòu)

2.1支付模型

基于移動支付模型，移動支付的安全目標有三方面，即移動終端接入支付平臺的安全、支付平臺內(nèi)部數(shù)據(jù)傳輸?shù)陌踩⒅Ц镀脚_數(shù)據(jù)存儲的安全。。

2.2移動支付的安全架構(gòu)

基于移動支付的安全目標，其安全架構(gòu)則是移動終端的安全、支付認證過程的安全、支付端的安全。

（1）移動終端安全性

移動終端安全機制分為軟件端和硬件端，軟件端包括用戶數(shù)據(jù)安全、支付軟件安全、操作系統(tǒng)安全、通信安全。硬件端則是用戶卡和芯片。硬件安全實現(xiàn)可采取用戶卡的方式，實現(xiàn)身份識別和認證，為用戶賬號、數(shù)字證書提供有效存儲介質(zhì)，核對用戶身份以防止盜用或非法篡改。操作系統(tǒng)則是以精簡代碼、代碼簽名、權(quán)限分離等措施，借此來提高服務(wù)安全性。支付軟件的安全機制包括瀏覽與支付分離、安全控件的防護以及其他安全保障設(shè)計如安全鍵盤，分離進程間訪問權(quán)限、強化SSL 協(xié)議等。

移動終端經(jīng)通信網(wǎng)絡(luò)如今在4G網(wǎng)路下，實現(xiàn)了的端到端的安全服務(wù)質(zhì)量保證，在安全保障方面實現(xiàn)了跨越。但公共WiFi上的安全問題不容忽視，目前有大量的第三方軟件，實現(xiàn)移動終端公共WiFi安全檢測。

（2）移動支付及認證過程的安全性

基于交易流程，支付過程的安全主要是對參與方的身份認證，該環(huán)節(jié)是交易過程中最容易發(fā)生盜用的過程，因此身份認證采用組合運用的方式（雙因、多因）來鑒別，也就是采取手機動態(tài)密令、短信驗證碼、微信公眾號、電子郵件、終端設(shè)備信息等多種認證方式的組合，原理上就是兼具“時間+設(shè)備+地點”三個維度認證，保證精確認證。目前，生物識別信息也在廣泛使用，如聲紋、指紋、及虹膜。

（3）支付端安全

銀行是移動支付的終端，其電子支付網(wǎng)關(guān)發(fā)揮著關(guān)鍵作用，連接著銀行自身系統(tǒng)和外部互聯(lián)網(wǎng)。支付端安全也分為軟件和硬件，軟件安全包括網(wǎng)關(guān)安全應(yīng)用程序，支付網(wǎng)關(guān)匹配驗證。硬件端則是防火墻設(shè)置、系統(tǒng)的容災(zāi)備份、自身認證服務(wù)體系的架構(gòu)。

2.3風險控制機制

移動支付的交易認證過程中，各個參與方的風險控制機制的建立很必要，一些關(guān)鍵性資源需共享，提高機制運作效益。首先要搭建移動支付風險控制模型，監(jiān)控對象有用戶賬戶，交易過程、商戶違規(guī)操作，通過數(shù)據(jù)挖掘來監(jiān)控，形成智能報告，對每一筆移動支付交易進行掃描，登錄時間、設(shè)備、地點、次數(shù)、交易量，一旦發(fā)現(xiàn)賬戶出現(xiàn)異常情況，及時預(yù)警。其次是分級控制，就要用戶級別和信用額度以及交易業(yè)務(wù)的性質(zhì)來控制，較之于普通用戶，VIP用戶的風險預(yù)警閾值和交易額限制條件進行差異化控制。商戶采用黑白名單機制，對用戶實施分類管理，對風險級別較高的交易進行人工審核等。交易過程中的各參與方，需相互配合以實施風險管控，通過合理的權(quán)責劃分，用最大限度防范風險發(fā)生。

4 結(jié)語

實際上，盡管移動支付在我國的發(fā)展雖然時間短，但是已經(jīng)領(lǐng)先世界，在安全技術(shù)防范上，我們并沒有太多的實踐來參考，只能依靠自身在移動支付領(lǐng)域的探索和發(fā)現(xiàn)來不斷的完善風險體系。移動支付也并不只是簡單的安全問題，涉及到整個產(chǎn)業(yè)鏈和各個參與方，用戶自身也應(yīng)建立防范安全意識，才能共同推進安全體系的進步。

[1]劉帥，宋真真.云閃付的技術(shù)實現(xiàn)方式與發(fā)展研究[J].金融縱橫，2017.

[2]陸煒.淺析我國移動支付發(fā)展中存在的安全問題及應(yīng)對措施[J].經(jīng)營管理者，2017.

[3]李曉楓，汪東艷.Apple Pay安全機制分析——兼論對我國移動支付產(chǎn)業(yè)發(fā)展的政策啟迪[J].金融電子化，2014.