通付盾汪德嘉：移動支付安全技術創新發展

　　4月22日-23日，2015中國移動支付產業論壇在北京召開，移動LABS作為大會戰略合作媒體受邀現場直播。通付盾創始人兼CEO汪德嘉分享移動支付安全技術創新發展。

　　通付盾創始人兼CEO汪德嘉

　　演講速記：

　　汪德嘉是連續三年參加這個會議了，他記得2013年的時候，他們在這邊做了移動支付的報告。今天他給大家匯報一下他們通付盾在移動支付，也就是移動金融這方面的一些最新的研究成果。

　　這是他跟大家分享的一個目錄。眾所周知，移動支付的發展現在已經到了一個起飛期，這里面包括手機銀行的發展，還有APP、金融的發展。他也是從美國網站大會回來，今天其實是ISA的安全大會。

　　2014年銀行的調查，發展很迅猛，但是也暴露了很多問題，用戶很關系的是安全問題，包括隱私安全，財產安全。有一些數據，移動安全的重大威脅，前不久他們聯合OWASP，還有一些安全廠商，發布了一個“十大移動應用惡意行為”，包括隱私竊取等等，不一一列舉了。這里面有一個數據，大家可以在網上去查。它的威脅很大，有幾類的，包括WIFI。總的來說，不外乎渠道、操作這幾個方面，后來鏈條越來越短。加了一個WIFI，偽基站，還有二維碼，這方面的一些有威脅的問題。

　　層次方面，他做了一些層次的歸納。比如用戶的角度，從應用，從介質，從平臺。移動金融呈現的方式其實還是APP，就是應用的安全、終端的安全，還有業務的安全這幾塊。有幾個環節，比如用戶的認證授權是不是被盜用了，數據的傳輸是不是被篡改了，業務是不是有風險。這些環節，這些環節都需要解決方案。

　　剛才解釋了一下移動支付這個領域有一些風險。有一些環節存在風險。怎么樣回避這些問題?方案百花齊放，他們不外乎就是下面幾點。第一、認證授權。第二、令牌化。第三、HCE。第四、風險管理。

　　移動身份認證這一塊的難題。包括下面幾點：接口不統一、體驗不統一、流程不統一、不對上層開放。但是，它的趨勢就是身份認證可以廣泛的認可，尤其是指紋的認證。在國際上現在有一個Fido的聯盟，這個聯盟國際上比如像金融機構，像手機廠商，包括安全廠商都積極參加。他們也是提供了一個成員，Fido是身份證快速認證的組織。它解決的是強身份驗證設備之間缺乏協作，用戶需要創建多個用戶名、密碼，其實它要代替密碼，在線身份的識別這方面，這個組織解決這個問題。定義一個開發、可擴展、協作的機制，代替密碼用于在線服務的身份驗證。懶惰是人的本性，另外移動上有很多應用，怎么樣在這些應用之間，統一的做身份認證，這是一個強烈的需求。這是認證授權這一塊。

　　第二、Tokenization令牌化這個方向。什么是令牌?簡單的說，將敏感的數據用唯一的標識來替代，并且要求在數學不可逆。以支付場景為例，就是將敏感信息用一串令牌數據替代，減少卡號的泄露機密。好的令牌需要滿足業務的需求，可選的長度保留部分的信息，比如卡號后四位。實際上這是一個趨勢。

　　令牌化到底解決什么問題?第一、保護了敏感信息，防范數據泄露。第二、減少支付數據系統的數目，減少PCI-DSS合規審核范圍，減少合規費用。令牌化是以一種方向，一種趨勢。它與加密有什么區別?加密是把敏感信息通過密鑰完成，就是用戶獲得密鑰的人，都可以保留敏感數據，通過密文其實可以還原敏感數據。令牌化和密文有一些區別。

　　令牌化的標準，美國國家標準學會，EMVCo五、PCI安全標準委員會，清算所協會等組織正在制定令牌化標準，2014年3月，EMVCo令牌化標準正在提供一些這方面的服務。剛才講到認證的授權和令牌化這方面的。

　　第三、HCE的這個方向。是一種NFC功能設備上執行卡片模擬功能的技術，無需依賴安全單元，也被稱為Cloud-Based SE，AndroidV4.4以上及BlackBerry OS10。移動支付擺脫運營商/手機生產廠商的限制。為了給用戶，更方便，更便捷。HCE也有一些問題，怎么檢測HCE的安全性?因為它畢竟是一個軟件的東西，它的身份認證的安全，如何驗證這個用戶身份的授權，移動支付應用被逆向如何保護?特別是Android上。怎么認證?就是HCE的安全性。另外，數據的安全，旁邊其實對于HCE安全也有一些相應的解決方案，其實他們也提供了。

　　第四、HCE是一種軟件的方法。令牌化是把敏感信息進行隨機化。認證授權是對身份的確認。這里面其實是端和網的一個相應的解決方案。另外其實就是云的，不管怎么樣能做到100%，所以云端有一些風險管理的需求。這也是目前互聯網金融，移動金融所面臨的一些問題。

　　虛擬世界里面，移動應用有一個難題，移動應用是真實用戶，還是一個機器人，這個APP是在模擬器上運行，還是在真正設備上運行。所以，這里面有一些難題。比如，有些黑客采用程序模型操作，重復執行操作，有的通過爬蟲獲取系統數據，嘗試系統漏洞。過去在開放的平臺上，而且在移動上面其實也有很多不法分子破壞這個系統。第一、真實的用戶還是機器人?第二、真實的帳號還是假的?比如刷信用，養小號，僵尸粉已經非常成熟了，還有病毒、木馬盜取帳號、密碼、威脅帳號安全。第三、是不是有真實的風險，模擬器，VPN，代理，等方式。

　　移動支付安全威脅的幾個例子。第一、假冒12306、病毒偽裝成12306訂票軟件。第二、模擬器，這里面是一個銀行的APP，相當于一個營銷活動。有些不法分子通過模擬器利用這個營銷活動獲得利益，這個活動是基于帳號、地區的限制。

　　移動支付風險管理反欺詐的技術。目前它的趨勢，國際上向大數據的方向發展，在云的方向發展，這也是與他們論壇的主題“大數據開啟移動支付新時代”相切合的。它從數據和系統，多方面識別偽造，發現異常，挖掘觀點，有效的管理創新金融業務面臨的安全風險。

　　在網絡世界里面，很重要的一點，到底用戶是不是真的?到底帳號是不是真的，設備是不是真的，數據是不是真的，信譽是不是真的，因為信譽也可以刷，其實有很多挑戰。他們經過多年的積累有一個數據庫，這個數據庫非常大，他們叫網籍庫，是針對網絡設備，到底設備是不是真實的，某一個地方有欺詐行為，他們會記錄下來，然后給它做畫像評分。

　　前面講的是發展趨勢，移動支付在起飛期，移動金融是移動支付的一種形態，現在的發展越來越迅猛，幾個技術就是從身份認證，從令牌化，從HCE，從風險管理的角度介紹了一下。

　　通付盾公司簡介。他們是一個解決方案提供商，這里面很多參會者可能你們也想做移動金融、移動支付，他們可以給你們提供這個解決方案。他們這個公司已經成立第四個年頭了，他們做了云、管、端，是他們團隊給大家提供解決方案，有這個需求，可以到他們的網站，也可以聯系他們的客服。可能有的人在移動安全方面有需求，比如APP安全度的掃描，第三方注冊的安全，這邊他們有解決方案，可以把第三方隱藏的異常操作都能掃描出來。還有Android應用，或者IOS應用，有加固、加密的需求，他們有這方面的解決方案。假如有移動支付，特別是O2O支付的需求，比如二維碼支付不安全，但是可以把二維碼支付做的非常安全，他們有盾碼這個技術，二維碼其實就是一個信息的載體，他們把這個碼供起來，像孫悟空七十二變，這個變化能夠加強黑客入侵的難度，就是安全二維碼支付更安全。第三、可以有網絡征信，還有安全咨詢服務。

　　他們目標客戶是互聯網金融、移動支付、移動辦公、智慧城市、智慧教育，智慧交通、智慧醫療，提供靈活多樣的安全解決方案。他們是基礎的一些產品，根據你們的需求，給你們提供解決方案。這是他們整個一套體系。

　　在這個會上他們想發布他們CyberIntelli的產品，是他們在國內試運行三年多的產品。CyberIntelli是中國第一家非常靈活的自學習的Predictive和Actionable，可預測的，可操作的網絡身份識別和反欺詐的系統，這里面包括反欺詐的數據服務。這是他們的一些功能，你們可以去預測，然后可以去體驗。