移動(dòng)網(wǎng)絡(luò)安全解讀：移動(dòng)支付存在重大安全隱患

來源：數(shù)據(jù)觀 時(shí)間：2017-04-18 11:35:52 作者：

　　2017年4月13日，由數(shù)博會組委會主辦，中國大數(shù)據(jù)產(chǎn)業(yè)觀察(數(shù)據(jù)觀)承辦的第二期數(shù)博會網(wǎng)絡(luò)沙龍成功舉辦。本期沙龍活動(dòng)以“移動(dòng)網(wǎng)絡(luò)安全解讀”為主題，邀請網(wǎng)絡(luò)密碼認(rèn)證北京市重點(diǎn)實(shí)驗(yàn)室主任胡祥義為大家介紹了移動(dòng)支付技術(shù)優(yōu)勢及存在的安全隱患，以及網(wǎng)絡(luò)密碼認(rèn)證技術(shù)的具體應(yīng)用。本文根據(jù)胡祥義對媒體與網(wǎng)友提問的解答進(jìn)行整理，供大家閱讀。

　　【嘉賓簡介】胡祥義，網(wǎng)絡(luò)密碼認(rèn)證北京重點(diǎn)實(shí)驗(yàn)室主任。長期從事基于密碼技術(shù)的網(wǎng)絡(luò)安全防護(hù)架構(gòu)研究，包括：網(wǎng)絡(luò)身份認(rèn)證協(xié)議、數(shù)字簽名協(xié)議、文件加密協(xié)議以及密鑰交換和密鑰生成管理協(xié)議等。獲得10多項(xiàng)信息安全領(lǐng)域的國家發(fā)明專利（已授權(quán)），其中有6款專利轉(zhuǎn)化成自主可控的商密產(chǎn)品。

　　銀行卡的安全等級目前很低

　　近幾年，常有新聞爆出用戶銀行卡被盜刷，不法分子快速準(zhǔn)確復(fù)制各大銀行的銀行卡，已經(jīng)形成了一條黑色的產(chǎn)業(yè)鏈。目前銀行卡的安全等級很低，銀行卡的磁條卡和存儲芯片都存在可復(fù)制這一安全漏洞，黑客通過病毒程序盜取了用戶的信息數(shù)據(jù)庫內(nèi)容，就可以克隆用戶的銀行卡，再通過取款密碼在ATM機(jī)或者POSS機(jī)上獲取用戶銀行卡里的資金。

　　要解決銀行卡的安全漏洞，需要對它進(jìn)行安全升級，以密碼技術(shù)為基礎(chǔ)，以智能加密芯片為載體。銀行使用帶CPU智能芯片來制作銀行卡，使銀行卡的用戶信息不可復(fù)制，并在銀行卡CPU芯片里采用加密算法來建立取款或者支付協(xié)議，實(shí)現(xiàn)取款或支付協(xié)議中的簽名密鑰，一次一變，不重復(fù)使用，這樣才能保證銀行卡取款或者支付的安全。

　　移動(dòng)支付存在重大安全隱患

　　當(dāng)前，第三方支付企業(yè)為用戶建立虛擬的第三方支付帳戶，提供移動(dòng)支付服務(wù)。在國內(nèi)比較靠前的企業(yè)有支付寶、財(cái)富通等，國外有蘋果PAY、三星PAY等。第三方支付企業(yè)采用驗(yàn)證碼認(rèn)證技術(shù)來實(shí)現(xiàn)，就是大家常見的口令或者密碼技術(shù)。采用這種口令認(rèn)證技術(shù)的方法具有支付速度快、操作簡單、便捷及成本低廉等優(yōu)勢，深受社會和廣大用戶的親睞。

　　但移動(dòng)支付給大家?guī)肀憷耐瑫r(shí)也伴隨著越來越多的安全問題。由于這些第三方支付企業(yè)提供支付系統(tǒng)，它的支付單缺少簽名功能，同時(shí)在手機(jī)端沒有加密芯片硬件進(jìn)行防護(hù)，黑客可以通過截獲并替換支付單的內(nèi)容，實(shí)現(xiàn)對移動(dòng)支付協(xié)議有效攻擊，同時(shí)盜取用戶帳戶中的資金。因此，這種采用支付體系、動(dòng)態(tài)以口令或者動(dòng)態(tài)口令的支付體系安全等級也很低，移動(dòng)支付存在著重大的安全隱患。

　　雖然第三方支付存在著一定的安全隱患，但是大家還是可以用的。對個(gè)人用戶來說，建議每年十塊錢的保險(xiǎn)要交，而且?guī)衾锩娴腻X不要放得太多。對企業(yè)來說，需要投入一定的安全成本，比如給手機(jī)裝上加密芯片。

　　提供移動(dòng)支付服務(wù)的企業(yè)要為用戶提供安全可靠的身份認(rèn)證系統(tǒng)，在手機(jī)和認(rèn)證中心端都要有加密硬件設(shè)備。以智能芯片為載體，以密碼技術(shù)為基礎(chǔ)建立移動(dòng)支付系統(tǒng)，必須對支付單進(jìn)行簽名，保護(hù)加密算法密鑰和簽名協(xié)議的存儲和運(yùn)行安全，認(rèn)證中心端也要使用加密硬件建立芯片級的簽名和加密協(xié)議。

　　網(wǎng)絡(luò)密碼認(rèn)證技術(shù)與物聯(lián)網(wǎng)NB-loT

　　網(wǎng)絡(luò)密碼認(rèn)證技術(shù)是指利用密碼技術(shù)，對上網(wǎng)用戶的身份進(jìn)行身份認(rèn)證，或者對物聯(lián)網(wǎng)的聯(lián)網(wǎng)設(shè)備進(jìn)行設(shè)備身份認(rèn)證。認(rèn)證技術(shù)有很多種，比如靜態(tài)口令、動(dòng)態(tài)口令、生物特征以及密碼加密算法技術(shù)認(rèn)證等等，其中只有基于密碼算法技術(shù)的認(rèn)證安全等級高。

　　網(wǎng)絡(luò)密碼認(rèn)證技術(shù)應(yīng)用比較廣，只要用網(wǎng)絡(luò)都要用到身份認(rèn)證，比如用戶登錄自己的銀行帳號、個(gè)人的郵箱等都需要認(rèn)證。

　　物聯(lián)網(wǎng)NB-loT是基于窄帶網(wǎng)的物聯(lián)網(wǎng)，它的特征是功效低、覆蓋性廣、低成本、大容量及穿透力強(qiáng)等優(yōu)勢。隨著物聯(lián)網(wǎng)建設(shè)的發(fā)展，物聯(lián)網(wǎng)安全必然成為制約著物聯(lián)網(wǎng)安全發(fā)展的重要因素，由于物聯(lián)網(wǎng)場景中的很多實(shí)體具有一定的感知、計(jì)算和執(zhí)行能力。物聯(lián)網(wǎng)廣泛存在的這些感知設(shè)備，將會對國家基礎(chǔ)設(shè)施、社會和個(gè)人信息安全構(gòu)成新的威脅。

　　物聯(lián)網(wǎng)安全分三個(gè)層次：感知層、網(wǎng)絡(luò)層、應(yīng)用層。保障好這三層的安全，物聯(lián)網(wǎng)的安全才能夠得到保障。具體方法是傳感器端嵌入一塊加密芯片，物聯(lián)網(wǎng)應(yīng)用平臺端采用加密設(shè)備建立認(rèn)證中心，這就是它的物聯(lián)網(wǎng)安全架構(gòu)。物聯(lián)網(wǎng)安全主要要解決可靠的認(rèn)證機(jī)制、授權(quán)機(jī)制、數(shù)字簽名機(jī)制以及感知信息的保密機(jī)制。

　　移動(dòng)網(wǎng)絡(luò)信息安全管理的現(xiàn)狀

　　目前，移動(dòng)網(wǎng)絡(luò)主要是由電信運(yùn)營商來管理，這個(gè)現(xiàn)狀也存在了一些問題，比如偽基站發(fā)假信息等。國家公安部和電信部門聯(lián)合執(zhí)法解決偽基站的問題、手機(jī)卡實(shí)名制都是我國移動(dòng)網(wǎng)絡(luò)管理的一些措施。

　　每個(gè)國家對移動(dòng)網(wǎng)絡(luò)信息安全管理的力度都不一樣。美國在2011年就開始做網(wǎng)絡(luò)安全的頂層設(shè)計(jì)——網(wǎng)絡(luò)身份證，投資5.63億美元科研經(jīng)費(fèi)開發(fā)網(wǎng)絡(luò)安全新技術(shù)。歐洲也有國家在做網(wǎng)絡(luò)身份認(rèn)證，建立可信網(wǎng)絡(luò)，實(shí)現(xiàn)上網(wǎng)實(shí)名制。現(xiàn)在網(wǎng)絡(luò)身份證完成的國家有愛沙尼亞，在網(wǎng)上生活、工作、學(xué)習(xí)、娛樂方面都保證個(gè)人的信息安全和國家的網(wǎng)絡(luò)信息安全。但這個(gè)國家只有140萬人口，做起來比較容易，而且網(wǎng)絡(luò)身份認(rèn)證的實(shí)施，降低了政府對社會的管理成本，得到老百姓的支持。（稿件整理：陳近梅）

?

責(zé)任編輯：陳近梅