移动支付 安全第一
——访网络密码认证北京重点实验室主任胡祥义
人物名片
胡祥义,网络密码认证北京重点实验室主任。长期从事基于密码技术的网络安全防护架构研究,包括网络身份认证协议、数字签名协议、文件加密协议以及密钥交换和密钥生成管理协议等。获得10多项信息安全领域的国家发明专利(已授权),其中有6款专利转化成自主可控的商密产品。
从现金支付到刷卡支付,再到移动终端支付,近两年,随着互联网的飞速发展,消费支付方式也飞速发展。如今,手机即是钱包,通过手机的移动支付终端,我们不仅能够在网络上实现购买,在现实生活中,吃饭、购物、坐车、买菜也都能通过各种移动支付终端完成,不带一分钱出门已经成为现实。当越来越多的资金在网络中流转,如何保护移动支付里的资金安全成为每个人都关注的问题。日前,移动支付安全的专家、网络密码认证北京重点实验室主任胡祥义就移动支付的安全问题接受了本报记者的采访。
目前的移动支付存在很大的安全隐患
记者:您能简单分析一下当前移动支付的现状吗?
胡祥义:当前的移动支付主要是由第三方支付企业为用户建立虚拟的第三方支付账户,来提供移动支付的服务,这些企业比较靠前的有阿里的支付宝,腾讯的财富通,当然国外的品牌还有苹果以及三星等。由第三方支付企业提供的支付系统,他们采用验证码认证技术来实现,这是大家常见的口令或者密码技术,这种认证方法、移动支付的方法,具有支付速度快,操作简单、便捷,成本低廉等优势,深受社会和广大用户的青睐。
记者:移动支付给我们带来便利的同时也伴随着越来越多的安全问题,这些安全问题具体体现在哪些方面或领域?
胡祥义:由于这些第三方支付企业提供支付系统,它的支付单缺少签名功能,同时在手机端没有加密芯片、硬件进行防护,黑客可以通过接获并替换支付单的内容,实现对移动支付协议有效攻击,同时盗取账户中的资金。
我们发现,黑客攻击的主要方法是利用基站或者一些计算机病毒阻止用户发送给支付验证服务器的验证码,并替换支付单中间的三款内容,也就是支付单中收款人的姓名、开户银行和账户,从而来攻击支付系统。盗用账户资金后,验证服务器回复到用户手机端的短信提示很难引起用户的怀疑,因为转出多少钱是用户自己操作的,所以黑客还能批量地替换支付单中间的内容,从而实现集体盗取或者批量盗取用户的资金,造成较坏的社会影响。所以,目前第三方移动支付企业为老百姓提供的移动支付存在着重大的安全隐患。
记者:危险那么大,那么我们应该如何保障我们的移动支付安全呢?
胡祥义:移动支付安全很重要的一点是要增加签名功能。早在2008年8月全国信息安全大会上,工信部信息协调司欧阳副司长就指出,网银转改只进行身份认证是不够的,还缺少一个重要环节就是签名,必须对支付单的内容进行签名,才能保证支付安全可信、不可抵赖。目前个别银行也开始采用国际通用的带签名功能的PK证书技术在手段端加入芯片,这种密码技术为基础,以智能芯片为载体的建立的移动支付系统可防止黑客篡改支付手段,它的安全等级较高。但是由于移动支付领域的用户量特别大,导致认证中心建立成本偏高,因此很难受到移动支付市场的青睐和广泛的应用,只能用于少量的VIP用户。
我们正在做移动支付平台的试点,准备在手机端和移动支付的认证中心端都使用加密芯片,建立带签名功能芯片级的移动支付协议,同时与合作的银行,为用户建立金融级移动支付账号,提供高安全等级的移动支付,从而保护好老百姓的钱袋子。
记者:那么第三方支付存在安全隐患,可不可以理解为慎重使用第三方支付?应该如何应对呢?
胡祥义:虽然第三方支付存在着一定的安全隐患,但是我们还是可以用的。有那么两点大家要注意,第一,每一年十块钱的保险要交。第二,在企业账户里面也就是企业为你开的虚拟账户里面,钱不要放得太多。要保护好你的个人密码。更重要的是企业要为社会以及老百姓提供更高安全的身份认证登录才行。
签名功能能有效提高移动支付的安全性
记者:现在手机广泛使用的安卓是个比较开放的系统,对APP的管控并不严格,部分APP可能盗窃用户隐私,用户可以通过哪些方式判断?
胡祥义:我们都知道关于这个问题是比较现实的问题,大家手机里面的APP很可能被黑客盗用,但是这个问题可能还需要对我们目前的手机进行一些改造,比方说欧洲有一些手机出来就带有加密芯片的功能,芯片里面一个加密芯片就那么几十块钱,是跟着手机来的,提供了一个标配。利用这个手机的内置加密芯片,我们可以对我们的一些个人隐私进行加密存储,有了这个芯片我们实现移动支付就方便了。一旦内置在手机里面我们安全等级就高了,APP做运行的时候涉及到核心的协议,比方说安全登陆协议,签名协议、加密协议,我们都在芯片内部实现,个人的隐私可以加密完了之后放在手机的内存里面。
记者:网络安全问题日趋严峻,不仅对个人是很大的危险,对于企业来说,涉及的资金更巨大,我们应该如何做?
胡祥义:现在的企业有网上银行,还有手机银行,也有移动支付等等,上网的时候也涉及到登录企业的邮箱,登录企业的工商、税务、海关等等,都提交了企业的内部文件,都是私密的。所以安全十分重要。企业为了保护自己的安全,必须有一定的投入。安全是有成本的,所以应该在登录、转款或者做任何私密的事情的时候,必须使用有加密芯片的手机。个人也是一样,手机上除了有身份认证数字签名这样的功能以外,还要有保密手机的功能,也就是保密通讯,语音加密传输,这样才能保证商业秘密。
来源:贵阳网—贵阳日报 记者 钱丽
加密手机可以有效保护个人隐私
