移動網(wǎng)絡安全解讀：移動支付存在重大安全隱患

來源：數(shù)據(jù)觀 時間：2017-04-18 11:35:52 作者：

　　2017年4月13日，由數(shù)博會組委會主辦，中國大數(shù)據(jù)產(chǎn)業(yè)觀察(數(shù)據(jù)觀)承辦的第二期數(shù)博會網(wǎng)絡沙龍成功舉辦。本期沙龍活動以“移動網(wǎng)絡安全解讀”為主題，邀請網(wǎng)絡密碼認證北京市重點實驗室主任胡祥義為大家介紹了移動支付技術優(yōu)勢及存在的安全隱患，以及網(wǎng)絡密碼認證技術的具體應用。本文根據(jù)胡祥義對媒體與網(wǎng)友提問的解答進行整理，供大家閱讀。

　　【嘉賓簡介】胡祥義，網(wǎng)絡密碼認證北京重點實驗室主任。長期從事基于密碼技術的網(wǎng)絡安全防護架構研究，包括：網(wǎng)絡身份認證協(xié)議、數(shù)字簽名協(xié)議、文件加密協(xié)議以及密鑰交換和密鑰生成管理協(xié)議等。獲得10多項信息安全領域的國家發(fā)明專利（已授權），其中有6款專利轉化成自主可控的商密產(chǎn)品。

　　銀行卡的安全等級目前很低

　　近幾年，常有新聞爆出用戶銀行卡被盜刷，不法分子快速準確復制各大銀行的銀行卡，已經(jīng)形成了一條黑色的產(chǎn)業(yè)鏈。目前銀行卡的安全等級很低，銀行卡的磁條卡和存儲芯片都存在可復制這一安全漏洞，黑客通過病毒程序盜取了用戶的信息數(shù)據(jù)庫內容，就可以克隆用戶的銀行卡，再通過取款密碼在ATM機或者POSS機上獲取用戶銀行卡里的資金。

　　要解決銀行卡的安全漏洞，需要對它進行安全升級，以密碼技術為基礎，以智能加密芯片為載體。銀行使用帶CPU智能芯片來制作銀行卡，使銀行卡的用戶信息不可復制，并在銀行卡CPU芯片里采用加密算法來建立取款或者支付協(xié)議，實現(xiàn)取款或支付協(xié)議中的簽名密鑰，一次一變，不重復使用，這樣才能保證銀行卡取款或者支付的安全。

　　移動支付存在重大安全隱患

　　當前，第三方支付企業(yè)為用戶建立虛擬的第三方支付帳戶，提供移動支付服務。在國內比較靠前的企業(yè)有支付寶、財富通等，國外有蘋果PAY、三星PAY等。第三方支付企業(yè)采用驗證碼認證技術來實現(xiàn)，就是大家常見的口令或者密碼技術。采用這種口令認證技術的方法具有支付速度快、操作簡單、便捷及成本低廉等優(yōu)勢，深受社會和廣大用戶的親睞。

　　但移動支付給大家?guī)肀憷耐瑫r也伴隨著越來越多的安全問題。由于這些第三方支付企業(yè)提供支付系統(tǒng)，它的支付單缺少簽名功能，同時在手機端沒有加密芯片硬件進行防護，黑客可以通過截獲并替換支付單的內容，實現(xiàn)對移動支付協(xié)議有效攻擊，同時盜取用戶帳戶中的資金。因此，這種采用支付體系、動態(tài)以口令或者動態(tài)口令的支付體系安全等級也很低，移動支付存在著重大的安全隱患。

　　雖然第三方支付存在著一定的安全隱患，但是大家還是可以用的。對個人用戶來說，建議每年十塊錢的保險要交，而且?guī)衾锩娴腻X不要放得太多。對企業(yè)來說，需要投入一定的安全成本，比如給手機裝上加密芯片。

　　提供移動支付服務的企業(yè)要為用戶提供安全可靠的身份認證系統(tǒng)，在手機和認證中心端都要有加密硬件設備。以智能芯片為載體，以密碼技術為基礎建立移動支付系統(tǒng)，必須對支付單進行簽名，保護加密算法密鑰和簽名協(xié)議的存儲和運行安全，認證中心端也要使用加密硬件建立芯片級的簽名和加密協(xié)議。

　　網(wǎng)絡密碼認證技術與物聯(lián)網(wǎng)NB-loT

　　網(wǎng)絡密碼認證技術是指利用密碼技術，對上網(wǎng)用戶的身份進行身份認證，或者對物聯(lián)網(wǎng)的聯(lián)網(wǎng)設備進行設備身份認證。認證技術有很多種，比如靜態(tài)口令、動態(tài)口令、生物特征以及密碼加密算法技術認證等等，其中只有基于密碼算法技術的認證安全等級高。

　　網(wǎng)絡密碼認證技術應用比較廣，只要用網(wǎng)絡都要用到身份認證，比如用戶登錄自己的銀行帳號、個人的郵箱等都需要認證。

　　物聯(lián)網(wǎng)NB-loT是基于窄帶網(wǎng)的物聯(lián)網(wǎng)，它的特征是功效低、覆蓋性廣、低成本、大容量及穿透力強等優(yōu)勢。隨著物聯(lián)網(wǎng)建設的發(fā)展，物聯(lián)網(wǎng)安全必然成為制約著物聯(lián)網(wǎng)安全發(fā)展的重要因素，由于物聯(lián)網(wǎng)場景中的很多實體具有一定的感知、計算和執(zhí)行能力。物聯(lián)網(wǎng)廣泛存在的這些感知設備，將會對國家基礎設施、社會和個人信息安全構成新的威脅。

　　物聯(lián)網(wǎng)安全分三個層次：感知層、網(wǎng)絡層、應用層。保障好這三層的安全，物聯(lián)網(wǎng)的安全才能夠得到保障。具體方法是傳感器端嵌入一塊加密芯片，物聯(lián)網(wǎng)應用平臺端采用加密設備建立認證中心，這就是它的物聯(lián)網(wǎng)安全架構。物聯(lián)網(wǎng)安全主要要解決可靠的認證機制、授權機制、數(shù)字簽名機制以及感知信息的保密機制。

　　移動網(wǎng)絡信息安全管理的現(xiàn)狀

　　目前，移動網(wǎng)絡主要是由電信運營商來管理，這個現(xiàn)狀也存在了一些問題，比如偽基站發(fā)假信息等。國家公安部和電信部門聯(lián)合執(zhí)法解決偽基站的問題、手機卡實名制都是我國移動網(wǎng)絡管理的一些措施。

　　每個國家對移動網(wǎng)絡信息安全管理的力度都不一樣。美國在2011年就開始做網(wǎng)絡安全的頂層設計——網(wǎng)絡身份證，投資5.63億美元科研經(jīng)費開發(fā)網(wǎng)絡安全新技術。歐洲也有國家在做網(wǎng)絡身份認證，建立可信網(wǎng)絡，實現(xiàn)上網(wǎng)實名制?，F(xiàn)在網(wǎng)絡身份證完成的國家有愛沙尼亞，在網(wǎng)上生活、工作、學習、娛樂方面都保證個人的信息安全和國家的網(wǎng)絡信息安全。但這個國家只有140萬人口，做起來比較容易，而且網(wǎng)絡身份認證的實施，降低了政府對社會的管理成本，得到老百姓的支持。（稿件整理：陳近梅）

　

?

責任編輯：陳近梅