4月8日，OpenSSL“心臟出血”安全漏洞大范圍爆發(fā)，國內(nèi)超過3萬臺主機受到波及，以https開頭的網(wǎng)站中，有不少于30%的網(wǎng)站中招，其中包括大家最常用的購物、網(wǎng)銀、社交、門戶等知名網(wǎng)站，而在手機APP的網(wǎng)銀客戶端中，則至少50%存在風(fēng)險。該事件中，受到攻擊的主機，大量用戶數(shù)據(jù)被攻擊方抓取。

　　國內(nèi)的淘寶、網(wǎng)易等大型互聯(lián)網(wǎng)公司也未能幸免，因此OpenSSL“心臟出血”事件被業(yè)內(nèi)視為一次網(wǎng)絡(luò)安全的里程碑事件。

　　來誼電子CEO徐海光接受21世紀(jì)經(jīng)濟報道專訪時表示，對于普通用戶而言，數(shù)據(jù)泄露的最嚴(yán)重后果之一便是威脅網(wǎng)絡(luò)支付安全，即黑客可以利用其數(shù)據(jù)資料操控互聯(lián)網(wǎng)賬戶。而關(guān)鍵問題在于，在目前互聯(lián)網(wǎng)支付的安全認(rèn)證模式下，一旦發(fā)生這種情況，用戶資金很容易被轉(zhuǎn)走。

　　此次事件后，網(wǎng)絡(luò)支付和移動支付安全問題再次被推上風(fēng)口浪尖。在之前央行接連發(fā)文叫停包括微信支付、支付寶錢包、虛擬信用卡在內(nèi)的支付方式中，也著重提到了移動支付的安全問題。

　　以微信支付、支付寶錢包、銀行手機移動客戶端為代表的新型支付方式近兩年發(fā)展迅猛，當(dāng)前市場和企業(yè)更多的關(guān)注和改善此類支付方式的便捷性，其安全性卻并未同步發(fā)展。徐海光表示，支付領(lǐng)域，便捷性和安全性某種程度上存在矛盾，因此必須平衡好兩者的關(guān)系。他稱，尤其對于移動支付，目前通用的做法都是短信驗證方式，這極易被黑客劫持。

　　也正因此，浸淫支付行業(yè)多年的徐海光開始關(guān)注移動支付安全領(lǐng)域，并于去年年底開發(fā)出一款基于“云端+APP”形式的“小微封”產(chǎn)品。據(jù)其介紹，該產(chǎn)品通過“時間+設(shè)備+地點”三個維度進(jìn)行身份認(rèn)證，并且以“雙通道”的技術(shù)方式防止黑客劫持。

　　在傳統(tǒng)模式中，包括銀行、第三方支付機構(gòu)均由自己負(fù)責(zé)支付與安全認(rèn)證，而進(jìn)入互聯(lián)網(wǎng)金融時代，第三方安全認(rèn)證服務(wù)商也開始出現(xiàn)。

 

　　安全認(rèn)證的漏洞

　　徐海光告訴記者，移動互聯(lián)網(wǎng)環(huán)境下，現(xiàn)有的身份識別方式基于客戶預(yù)留手機號的短信驗證，一旦手機卡被復(fù)制或驗證短信被劫持轉(zhuǎn)發(fā)等情況發(fā)生，犯罪分子可以非法控制被害人的手機銀行。

　　他介紹說，在使用網(wǎng)絡(luò)支付時，后臺的運行原理可以簡單理解為，用戶通過手機、PAD、電腦等終端向銀行服務(wù)器發(fā)出支付指令，包括支付金額、接收賬戶等；同時銀行服務(wù)器會發(fā)出驗證指令，目前通用的方式即發(fā)送短信驗證碼或者使用動態(tài)密碼令牌。

　　驗證指令即對操作人的身份認(rèn)證，確認(rèn)是否為持卡人操作，而這正是互聯(lián)網(wǎng)時代最大的難點。傳統(tǒng)的刷卡支付，銀行和第三方通過卡道進(jìn)行身份認(rèn)證，如果要進(jìn)行盜刷，違法分子必須獲得物理卡。而在互聯(lián)網(wǎng)時代，因為銀行無法判斷電腦、手機等終端設(shè)備的后面是否是持卡人，也無需物理卡，只要賬號、密碼、驗證碼正確即可進(jìn)行操作，安全風(fēng)險增加。

　　如果一旦用戶的賬戶、密碼、手機號碼等數(shù)據(jù)泄露，違法分子即可通過劫持銀行發(fā)出的驗證指令（短信驗證碼或動態(tài)密碼）到自己手機上，從而完成資金轉(zhuǎn)移。徐海光同時稱，目前流行的二維碼支付同樣存在安全風(fēng)險。

　　以目前最火的微信支付和支付寶錢包為例，其支付方式大致分為兩種：手機綁定的賬戶生成二維碼，商戶以掃碼搶掃描收款以及商品生成二維碼后，手機直接掃碼支付。對于前者，一旦用戶手機上生成二維碼的賬戶被盜用，同樣可以被盜用者拿去消費，無論前端支付形式是二維碼、條形碼還是NFC，本質(zhì)上還是一個賬戶。而后者，徐海光表示，現(xiàn)在一些違法分子會在二維碼中植入病毒，一旦用戶掃描后，其將不斷地獲取用戶數(shù)據(jù)，同樣可以盜用產(chǎn)生二維碼的賬戶。

 

　　設(shè)備指紋認(rèn)證

　　顯然，網(wǎng)絡(luò)支付時代，人、設(shè)備、賬戶共同形成一個鏈條，當(dāng)賬戶數(shù)據(jù)泄露，被他人操作時，賬戶不變，人和設(shè)備發(fā)生轉(zhuǎn)移。而徐海光介紹的“小微封”則通過設(shè)備指紋將設(shè)備這一環(huán)節(jié)固定，即使數(shù)據(jù)泄露，在其它設(shè)備上也無法操作賬戶。

　　按照他的介紹，通過小微封APP，其服務(wù)器可以采集到硬件指紋、軟件指紋和行為指紋。每臺電腦或手機，各個配件都擁有不同的序列號，小微封將此作為設(shè)備指紋進(jìn)行采集。如果手機賬戶信息泄露，違法分子在其它設(shè)備上也無法進(jìn)行操作。

　　軟件指紋則針對設(shè)備中所安裝的軟件信息進(jìn)行采集，比如電子波紋。如果操作賬戶的設(shè)備中所裝軟件無法與小微封服務(wù)器中的數(shù)據(jù)匹配，同樣無法完成操作。同時，小微封通過云端服務(wù)器可以采集到用戶部分的個性化特征數(shù)據(jù)，比如用戶聽過什么樣的音樂，由此完成身份認(rèn)證。

　　徐海光表示，除此之外，通過技術(shù)方式，小微封的安全認(rèn)證還引入了時空維度。即使設(shè)備丟失，依然可以保證賬戶安全。在他展示的APP上，用戶可以實現(xiàn)一鍵鎖和賬戶鎖功能。如果用戶綁定在手機上的銀行卡丟失，通過小微封即可完成一鍵凍結(jié)賬戶，“手機這個時候就變成了一個銀行發(fā)給C端用戶的遙控器”。并且如果用戶同時綁定了兩臺設(shè)備，即使有一臺丟失，同樣可以在最快時間內(nèi)，通過手上的設(shè)備解除丟失設(shè)備的操作權(quán)限。

　　同時在地理位置上，小微封可以實現(xiàn)近場、精確定位和區(qū)域定位功能。即根據(jù)不同需求，選擇支付的范圍，一旦超出設(shè)定的范圍即無法完成支付。由此，通過多個維度的定位，將傳統(tǒng)的單一因素認(rèn)證升級為多因素認(rèn)證。

　　相比傳統(tǒng)的U盾、動態(tài)密碼令牌，小微封采用的是一種軟件安全認(rèn)證的方式。徐海光表示，在移動支付時代，每個人不可能拿一堆密碼盾，軟件模式將是未來的趨勢。

　　但通過軟件的方式解決這一問題，小微封服務(wù)器需要與銀行或第三方支付企業(yè)進(jìn)行對接。按照徐海光介紹的模式，整個支付安全認(rèn)證過程必須通過三個主要環(huán)節(jié)，即用戶設(shè)備向銀行服務(wù)發(fā)出支付指令，銀行端再向小微封服務(wù)器發(fā)出驗證指令，后者通過對設(shè)備、時間和地點三個維度的N個數(shù)據(jù)比對后，如果數(shù)據(jù)匹配，即可完成支付，一旦發(fā)生異常，小微封將對銀行服務(wù)器提出警示。

　　這對傳統(tǒng)的安全驗證模式是一種變革，之前只是在銀行服務(wù)器和用戶設(shè)備之間直接發(fā)生支付和驗證指令傳輸，而小微封的模式則是在兩者之間加入第三方驗證。據(jù)徐海光稱，傳統(tǒng)的方式中，支付指令和驗證指令通過單一通道傳輸，極易被黑客短時間內(nèi)劫持，而加入第三方，形成雙通道，將支付指令和驗證指令分離，增加安全系數(shù)。

　　同時，第三方服務(wù)模式則避免了系統(tǒng)升級帶來的支付問題。在目前一些銀行的手機客戶端中，支付和驗證功能集合在一個APP內(nèi)，一旦安全系統(tǒng)升級，支付服務(wù)也將受到影響。徐海光表示，在國際通行的技術(shù)架構(gòu)中，支付和安全應(yīng)該是獨立的兩個APP，即使安全系統(tǒng)升級，也不影響支付功能，并且因為第三方服務(wù)商連接多家金融機構(gòu)，一旦一家被攻擊，其可以立刻預(yù)警并升級安全系統(tǒng)對未被攻擊的金融機構(gòu)進(jìn)行保護(hù)。

　　徐海光表示，目前已經(jīng)有多家銀行開始與其接觸，正在進(jìn)行具體細(xì)節(jié)上的溝通，并且與部分第三方支付機構(gòu)簽約。