新闻链接：http://finance.sina.com.cn/leadership/mroll/20140711/090019675500.shtml
新闻时间：2014年07月11日 09:00
新闻正文：

互联网支付、互联网金融等支付方式已越来越移动化，总体规模、涉及的金额也越来越多。但其安全性也受到质疑，联网的、多场景的，其过程更容易被污染、攻击。

让移动支付安全“硬”起来
　　互联网支付、互联网金融等支付方式已越来越移动化，总体规模、涉及的金额也越来越多，但安全是绕不开的问题。移动互联网支付是联网的、多场景的，其过程容易被污染、攻击。此前被禁、近日又传银联加入战局的二维码支付，是移动互联网支付的一种，其支付过程包含了诸多安全隐患——验证手段基于支付密码、手机短信、文件证书等要素，一旦中了木马，遭遇恶意链接或者手机丢失(支付密码一般可在手机端重置)，上述验证要素都可能被冒用。

　　虽然银联相关人士否认了传闻，但此次透露的银联模式二维码支付系统却有板有眼。银联的线下二维码支付与支付宝[微博]、财付通的扫码流程正好相反，即消费者移动终端生成银行卡信息的二维码，商家进行扫码后完成资金信息传递并支付，期间商家只能获取加密的支付信息，而不能获取其他银行卡信息。不过，银联只是否认“未启动过商业应用”而已，在移动互联网支付方面，银联、商业银行等已失去了主要入口和流量的把控，很难说银行系统没有想过借机反超第三方支付平台们。

　　银联模式不失为一个保护支付安全的解决方案，因为如今的智能手机基本上掌握了用户的各种隐私。但是，这些手机的系统和芯片都没有很好的防护措施，许多支付相关的应用涉及了个人信息、密码和密钥。如果只是存放在一些普通的存储空间里，安全性就不够高，因为这些储存空间是很多人和设备、甚至软件都可以访问的。英飞凌科技(中国)有限公司智能卡与安全事业部中国区经理潘晓哲告诉本刊记者，在这方面，封闭性手机系统的安全性较好，不容易被第三方查阅、改动，而开源手机系统的危险系数就相对大一些。

让移动支付安全“硬”起来
　　从安全的角度来说，最好的方式是由单独的一个芯片配合应用来管理。潘晓哲表示，相比于安全软件，芯片等硬件上的安全更可靠。但凡是软件，就有可能被其他的程序软件改写或攻击。而安全芯片是硬件，是电路板，远程攻击基本不可能。改写芯片硬件电路需要的可不止是电脑编程技术，芯片的体积往往非常小，想要对其进行破解需要电子显微镜、探针台等高端设备。

　　安全芯片作为硬件，比起软件的另外一个优势就在于其与网络进行通讯的过程。潘晓哲解释道：“在安全芯片内部可以直接实现鉴权和认证。如果你使用的只是应用，那么当你需要在手机上认证安全信息时，无论怎么加密，上传到服务器进行验证的信息里面始终包含着你的账号、密码等;但是如果用的是安全芯片，芯片本身就记录了你的信息，整个认证过程可以在芯片内实现，最终上传到服务器的可能只是‘正确’或者‘错误’的一个比较结果，这样敏感信息不外传，安全性就加强了。”比如在手机上用某包含支付功能的应用进行移动支付的过程中，如果使用安全芯片进行验证，就能进一步保障用户的个人信息和资金安全，并检验交易设备的合法性。

让移动支付安全“硬”起来

　　目前，将安全模块真正加入芯片的手机厂商并不算太多，这种芯片即嵌入式安全模块(eSE)，与通信模块一同集成在手机芯片中。黑莓[微博]是最早大规模批量生产eSE手机的厂商，它的一个卖点就是手机通讯与邮件的安全性。手机厂商之所以不加入安全芯片，

　　除了不够重视安全的原因之外，也与需要相关部门的授权和与金融机构、第三方支付机构的合作有关。据潘晓哲介绍，安全芯片对使用管理有一定的要求，一些被授权和认可的厂商才能有资格去开通使用。加之手机市场更新迭代快，芯片放进去以后还要和银行、第三方支付平台等进行合作，到底选择什么样的发布时间，什么型号应该内置安全芯片是个问题，如果放进去之后没有应用的场合和环境，就会转化为成本。

　　手机厂商的顾虑主要在市场规模，而银行与第三方支付仍有各自打算，除了二维码支付、移动互联网支付外，银联和移动运营商主推的NFC移动支付在历经波折后统一了技术标准，也来势汹汹。没有哪一方会放弃未来支付方式的制高点争夺，谁来掌管芯片，谁来掌管安全，也决定了谁来控制资金流通环节与收单结算权。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课