主页 > 新闻 > 移动支付风险漏洞第三方安全认证崛起

移动支付风险漏洞第三方安全认证崛起

来源：沈阳新闻网作者：莎莎更新时间：2020-09-17 22:32:22阅读：

本篇文章3005字，读完约8分钟

淘宝、网易等国内大型互联网公司也未能幸免，因此openssl“心脏出血”事件被视为网络安全行业的里程碑事件。

电子总裁许在接受《21世纪经济报道》独家采访时表示，对于普通用户来说，数据泄露最严重的后果之一就是威胁到网上支付的安全，也就是说，黑客可以利用他们的数据来操纵互联网账户。关键问题是，在目前的互联网支付安全认证模式下，一旦发生这种情况，用户的资金很容易被转移走。

此次事件后，在线支付和移动支付的安全问题再次被推到了风口浪尖。过去，央行先后发布文件，叫停微信支付、支付宝钱包、虚拟信用卡等支付方式，也凸显了移动支付的安全性。

以微信支付、支付宝钱包和银行手机移动客户端为代表的新型支付方式近两年发展迅速。目前，市场和企业越来越重视和提高这种支付方式的便捷性，但它们的安全性并没有同步发展。许表示，在支付领域，方便和安全在一定程度上是矛盾的，因此有必要平衡两者的关系。他说，特别是对于移动支付，目前普遍的做法是短信认证，这很容易被黑客劫持。

移动支付风险漏洞第三方安全认证崛起

正因为如此，涉足支付行业多年的许开始关注移动支付安全领域，并于去年年底开发了基于“云+应用”形式的“微密封”产品。据介绍，该产品通过“时间+设备+地点”三个维度进行身份认证，并通过“双通道”技术防止黑客劫持。

在传统模式下，银行和第三方支付机构负责支付和安全认证。在互联网金融时代，第三方安全认证服务提供商已经开始出现。

安全认证中的漏洞

许告诉记者，在移动互联网环境下，现有的识别方法是基于短信验证客户预留的手机号码。一旦手机卡被复制或验证过的短信被劫持和转发，罪犯就可以非法控制受害者的手机银行。

他说，使用网上支付时，后台的工作原理可以简单理解为用户通过手机、PADs、电脑等终端向银行服务器发送支付指令，包括支付金额和收款账户；同时，银行服务器将发送验证指令。目前，常见的方式是发送短信验证码或使用动态密码令牌。

认证指令是对运营商的身份进行认证，并确认其是否由持卡人操作，这是网络时代最大的困难。在传统的信用卡支付中，银行和第三方通过卡的渠道来验证他们的身份。如果卡被盗，非法分子必须获得实体卡。在互联网时代，由于银行无法判断持卡人是否在电脑、手机等终端设备后面，也不需要实体卡，只要账号、密码和验证码正确，就可以操作，增加了安全风险。

移动支付风险漏洞第三方安全认证崛起

如果用户的账户、密码、手机号码等数据被泄露，犯罪分子可以劫持银行发给他们手机的验证指令(短信验证码或动态密码)，从而完成资金转账。许还表示，目前流行的二维码支付方式也存在安全隐患。

以最流行的微信支付和支付宝钱包为例，它们的支付方式大致可以分为两种:手机绑定的账户生成二维码，商家通过扫描码扫描支付，商品生成二维码后，手机直接扫描码进行支付。就前者而言，一旦用户手机上生成二维码的账户被盗，它也可能被盗窃者消费，而不管前端支付形式是二维码、条形码还是nfc，后者本质上是一个账户。后者，许广海说，现在有些犯罪分子会在二维码中植入病毒。一旦用户扫描，他们将不断获得用户数据，他们还可以窃取生成二维码的账户。

移动支付风险漏洞第三方安全认证崛起

设备指纹认证

显然，在网上支付时代，人、设备和账户形成了一个链条。当账户数据被他人泄露和操作时，账户保持不变，人员和设备转移。许推出的“微印章”通过设备的指纹来固定设备，即使数据泄露，该账户也不能在其他设备上操作。

据他介绍，服务器可以通过微印章应用收集硬件指纹、软件指纹和行为指纹。每台电脑或手机的每个配件都有不同的序列号，肖伟·西尔收集这些作为设备的指纹。如果手机账户信息被泄露，罪犯就不能在其他设备上操作。

软件指纹收集安装在设备中的软件信息，如电子波纹。如果操作该帐户的设备中安装的软件与微密封服务器中的数据不匹配，则操作无法完成。同时，肖伟印记可以通过云端服务器收集用户的个性化特征数据，比如用户听过什么样的音乐，从而完成身份认证。

徐广海说，此外，通过技术手段，空的时间维度被引入到肖伟印章的安全认证。即使设备丢失，账户安全仍然可以得到保证。在他展示的应用程序中，用户可以实现一键锁定和账户锁定的功能。如果绑定在用户手机上的银行卡丢失，只需点击一下微型印章就可以冻结账户。“此时手机变成了银行发给C端用户的遥控器。”如果用户同时绑定两个设备，即使一个设备丢失，也可以通过手中的设备以最快的时间释放丢失设备的操作权限。

移动支付风险漏洞第三方安全认证崛起

同时，在地理位置上，微型印章可以实现近场、精确定位和区域定位功能。即根据不同的需要，选择付款范围，一旦超出设定的范围，付款就无法完成。因此，传统的单因素认证通过多维定位升级为多因素认证。

与传统的u盾和动态口令令牌相比，微印章采用了一种软件安全认证方法。许表示，在移动支付时代，不可能每个人都拿一堆密码盾牌，而软件模式将是未来的趋势。

然而，为了通过软件解决这个问题，微型印章服务器需要与银行或第三方支付公司进行接口。根据许介绍的模型，整个支付安全认证过程必须经过三个主要环节，即用户设备向银行业务发送支付指令，银行向微印章服务器发送验证指令。如果在设备、时间和地点三个维度上比较了N个数据后，数据匹配，后者可以完成支付。如果出现异常，微印章会提醒银行服务器。

移动支付风险漏洞第三方安全认证崛起

这是对传统安全认证模式的改变。过去，只有支付和认证指令直接在银行服务器和用户设备之间传输，而在微密封模式下，在它们之间增加了第三方认证。据许介绍，传统方式下，支付指令和验证指令通过单一渠道传输，容易在短时间内被黑客劫持，加上第三方形成双通道，将支付指令和验证指令分开，增加了安全系数。

同时，第三方服务模式避免了系统升级带来的支付问题。目前，在一些银行的手机客户端中，支付和认证功能被集成在一个应用中，一旦安全系统升级，支付服务也会受到影响。许表示，在国际流行的技术架构中，支付和安全应该是两个独立的应用，即使安全系统升级，支付功能也不会受到影响。此外，由于第三方服务提供商连接多个金融机构，一旦一个机构受到攻击，它可以立即发出警告并升级安全系统，以保护没有受到攻击的金融机构。

移动支付风险漏洞第三方安全认证崛起