银行卡检测中心刘志刚：移动支付安全性是重中之重

12月10日，2014中国移动支付产业年会在北京召开，银行卡检测中心副总经理刘志刚做主题演讲。刘志刚表示安全性无论怎样都是重中之重，客户最关心的还是安全，谁能够提供最安全、最便捷、统一的产品或者服务出来，未来一定会成为市场的赢家。移动支付网作为合作媒体，对会议进行了全程报道，以下是演讲实录。

银行卡检测中心副总经理刘志刚（图片来源：LABS）

　　大家下午好!

　　移动支付的概念，允许用户使用移动终端对所消费的商品或服务进行帐务支付的一种服务方式，主要分为近场支付和远程支付两种。

　　可能以后在支付的模式上都会发生变化，包括银联，可能还有一些GP，这些标准都会有很大变化，我想这个各家也都在制定中，随着技术的进步，所有基准点所有的支付都在手机之中，但可能不仅仅限于现在这三种工作模式，可能以后会有很大的变化，我听说ARM做芯片的也会提出更完整的解决方案，现在业界基本认可全终端是未来的一个方向和趋势，我想还是需要大家拭目以待。

　　给大家简单介绍一下人民银行标准的一些情况，2012年人民银行发布了移动支付的标准，涵盖了近场、远程、安全技术要求、联网联合、检测，各个方面，实际上它是把现在所有移动支付产业链，从芯片到卡片到终端到后台，都有个完整的介绍，包括线上线下的方式。

　　但这个标准在出台之后，到今年8月份，这个工作基本上都开始了，现在在产品线阶段，目前按照人民银行认可验证的产品，目前都免费在进行测试，基本上现在有6个厂家在测试了，而且基本上在上个月已经完成了首款移动支付芯片的检测。

　　因为这个标准涉及内容比较多，分为了6个层面，这块会涉及到不同环节，因为很难有一个企业或者一个单位，能够把整个产业链上方方面面都涉及到，这确实是个系统工程。

　　这就是整个移动支付的两大体系：功能体系和安全体系，功能体系分为远程支付和近场支付，安全体系分为产品安全和系统安全。移动支付对支付来说无非是实现安全有效、方便快捷的平衡，但对线上支付来讲，毕竟传统网银有两条通道：一条是计算机的通道，身份验证，而手机作为另外第二个普通通道来讲，也能通过一些验证码来实现，但当把所有东西都放在手机上，通道就会变成单通道。对于Android手机来讲，甚至对于苹果IOS来讲，无论是通过360还是其它的，都是一种被动的防御方式，是通过特征码来实现的，这些通用的杀毒软件是不能完全被识别到的。而且现在来看，对于跟踪一个人的短信应该也是相当方便的，每个站我们可能通过几百块钱的设备，我们可以通过手机号来解锁，也可以通过几个关健字来解锁，这都是比较容易做到的，而且成本非常低。

　　另外，我们所有线上交易的一些数据，我们持卡人或者用户看到的数据，可能送到银行后台的数据都会发生很大变化，比如把一些电子银行的工具，比如KEY通过蓝牙的方式或者其它方式，这种的大家也都在探索。但是，即使把传统网上银行KEY拿到了移动支付上，这并不代表移动端，这要看整体的设计流程，包括银行后台，包括支付运营商后台交易流程的设计，以及KEY本身的安全机制，以及手机客户端的安全机制，每个环节出了问题都会导致交易不安全。

　　我们也发现了KEY本身的设计流程，因为正常来讲，整体人民银行的标准和银监会的标准，就是安全机制可见，但如果显示和签名用的是两条指令就没办法，如果一条发进去这个没问题，如果两条发进去，这个二代KEY并不是完全的安全。从近场支付看，不仅仅涉及到系统安全，从芯片到嵌入式卡片，也需要做这样的工作，因为只要你的指令正确，就一定会给出你想要的结果。

　　我们传统的卡片戴在身上，很多以后作为网上网银的一些攻击方法，它会不断通过这个实实在在的网络，不停的攻击、去尝试，这种风险确实是要大得多。除了底层的芯片之外，特别是在应用层，特别是下面管理方面，应该有更高的要求。

　　检测中心，我们目前从近年来一直关注移动支付这个产业，因为这个行业对我们来讲都面临着巨大商机，这样我们也会投入更多的人力物力，由于现在安全领域，中国不加入CC的，能够做的就是芯片领域EMVCo的标准，而目前由于种种原因，有利益上的原因，有技术上的原因，这些工作在中国都是禁闭和封锁的。举个例子吧，我今年在日本开全球芯片产业年会上，我也提到，我说我们对于终端安全，当然这跟移动支付线下受理是相关的，我们整整申请了八年，但八年之后的今天，我们仍然在原点踏步，这也确实国外对我们的禁锢和封锁，这确实是一个客观的事实。

　　这个工作，对于芯片本身的安全性，对卡片COS的安全性，对终端的功能和系统的测试，整体产业链，包括人民银行三个类型，我们也是为数不多的全项实验室，可能除此之外，还有一个第三方支付检测系统，其中它有一个类型的认证，现在也获得了公安部资质，争取要做到了检测业务全链条的服务和支持。

　　目前，对TSM系统服务平台检测这个不展开讲了，对芯片安全检测还没开展，在明年或者不久的将来，不管是芯片的安全、卡片的安全、终端安全，都会进一步的补充和完善。

　　现在来讲，我前面也讲到了一部分内容，在无卡支付和有卡支付上。无卡支付，数据及程序易被篡改，容易被伪造交易，这个APP是从合法渠道还是从非法渠道下载下来的，另外每个银行或者第三方提供的APP本身的流程是不是安全?我们对全国性的银行进行了摸底，说句实话情况并不是太乐观。因为大家也知道，下载之后，是下载在手机上还是下载在电脑上?这个应用提供方是很难控制的，那我们就可以把它放到一个平台上，每一步交易流程、输出什么、输入什么，另外对手机控制端有个控制权限，这块就导致了无卡输入的数据容易被篡改，因为无论是银行还是地方机构，交易金额，有些如果这样的话，就是2-3个数字，那你的密码其实很易被破解。

　　所以，目前有卡支付还是更安全一些，能够做到远程支付、近场支付，多应用管理。而有卡支付相对操作简单一点。通过产品服务商或者服务提供商，我们在做实验的时候也发现了一些问题，如果某一类产品在创新初期，如果产品功能或者质量出现问题的话，前期由于SD卡质量的问题，或者可靠性的问题导致了，实际上对于金融行业来讲，我们所谓移动支付的线下交易，如果手机经常会出现由于通信协议，甚至产品质量问题，可能会导致这个交易经常出问题，这样就会受影响。因为我们发现，我们发现达标率相当低。

　　最后一张图简单看一下，所谓移动支付应用场景，我想移动支付相对于传统支付来讲，确实能做到随时随地支付跟交易，拿手机可以在任何时间、任何地点，传统的网上银行电脑还需要张桌子，而拿着手机躺在床上就能完成交易。

　　但是，安全性无论怎样都是重中之重，客户最关心的还是安全，谁能够提供最安全、最便捷、统一的产品或者服务出来，我想未来一定会成为市场的赢家，谢谢大家!