移動支付以其快捷便利的應用特點，迅速成為我國支付領(lǐng)域的重要組成部分。然而，移動支付面臨的復雜支付環(huán)境，在客觀上對移動支付的安全性提出了巨大挑戰(zhàn)。通過梳理我國目前移動支付的幾種技術(shù)路線，筆者擬從四個方面分析相關(guān)的安全防護技術(shù)，并提出央行數(shù)字貨幣采用移動支付安全關(guān)注要點，從而為法定數(shù)字貨幣發(fā)行流通提供參考。

移動支付的種類與技術(shù)路線

移動支付的種類可按支付場景、支付方式進行劃分。按支付場景劃分，主要包括遠程支付和近場支付。按支付方式劃分，主要包括聯(lián)機支付和脫機支付。從移動支付的技術(shù)路線上看，遠程支付主要采用手機APP作為支付工具實現(xiàn)聯(lián)機支付。近場支付采用的技術(shù)路線并不統(tǒng)一，但大致可分為三類——基于單獨支付硬件技術(shù)方案、標準近場通信（Near Field Communication，NFC）技術(shù)方案和條碼支付方案。從本質(zhì)上講，基于單獨支付硬件技術(shù)方案是傳統(tǒng)智能卡支付方案的延續(xù)，標準NFC技術(shù)方案是基于智能卡和手機的支付方案，而條碼支付方案的工作模式則類似于遠程支付方式。

移動支付面臨的主要安全問題

移動支付安全系統(tǒng)的設(shè)計和實施難度較高，主要體現(xiàn)在四個方面。一是移動支付場景和技術(shù)方案多樣化。不同的場景和方案面臨的安全需求和安全問題各不相同，導致移動支付的安全體系構(gòu)建十分復雜，安全測評的難度也十分大。二是移動支付應用的安全性。由于智能手機的操作系統(tǒng)及其APP存在各種漏洞、病毒和木馬問題，移動支付應用的安全性受到嚴峻挑戰(zhàn)。三是移動支付多方身份的可認證性。移動支付交易根據(jù)不同的場景往往涉及個人、商戶、第三方支付、銀行等多個參與方，因此，必須有效解決交易各方的身份認證問題。而交易過程中的身份認證問題又可分為用戶的身份認證和設(shè)備的身份認證。四是移動支付信息的機密性、完整性和不可否認性。商家和用戶在公用網(wǎng)絡(luò)上傳送的敏感信息易被他人竊取、濫用和非法篡改，造成損失，所以必須實現(xiàn)信息傳輸?shù)臋C密性和完整性，并確保交易的不可否認性。

移動支付的安全防護技術(shù)

遠程支付技術(shù)方案的安全防護技術(shù)

遠程支付中，終端APP多通過TLS/SSL協(xié)議完成用戶和遠程服務(wù)器間的網(wǎng)絡(luò)安全連接，通過數(shù)字證書實現(xiàn)雙端身份認證，并使用協(xié)商的對稱會話密鑰對后續(xù)傳輸?shù)慕灰仔畔⑦M行加密和完整性保護。

此類方案的核心安全問題在于私鑰的存貯問題。目前大多數(shù)的方案中，私鑰是以文件的形式保存在手機本地的，然而面對操作系統(tǒng)漏洞、木馬等威脅，此類方式存在很大的安全隱患。為了解決這一問題，目前也出現(xiàn)了基于手機Key、安全元件（Secure Element，SE）以及可信執(zhí)行環(huán)境的解決方案。未來，為移動終端提供更為便捷和安全可信的軟硬件計算環(huán)境（或設(shè)備）將成為重要的發(fā)展方向。

基于單獨支付硬件技術(shù)方案的安全防護技術(shù)

單獨支付硬件（如IC卡）提供了一種基于芯片技術(shù)的支付安全解決方案，它借助于IC卡所提供的安全計算和安全存儲能力，可構(gòu)建高安全性的支付體系。在此類方案中，移動支付完全由支付硬件獨立完成，其安全性不依賴于手機環(huán)境，而等同于金融IC卡。

在身份認證方面，用戶身份認證多通過口令+簽名的方式來完成。設(shè)備身份認證又可分為發(fā)卡行認證和卡片認證兩種。IC卡對發(fā)卡行的認證采用基于對稱密碼算法的挑戰(zhàn)響應協(xié)議來實現(xiàn)；終端對卡片的認證則通過IC卡使用卡內(nèi)私鑰對卡片數(shù)據(jù)和終端挑戰(zhàn)值進行數(shù)字簽名來實現(xiàn)。這一方法被稱為動態(tài)數(shù)據(jù)認證。動態(tài)數(shù)據(jù)認證方法可有效地防止銀行卡的復制偽造。

在信息機密性方面，終端和服務(wù)器通過派生出相同的過程密鑰，對交互數(shù)據(jù)進行加密保護，如金融IC卡發(fā)卡行腳本的加密方法。

在實現(xiàn)信息完整性方面，主要有兩種方法：一是數(shù)字簽名技術(shù)，如金融IC卡中的靜態(tài)數(shù)據(jù)認證方法即通過數(shù)字簽名來保證卡片數(shù)據(jù)的完整性；二是消息認證碼技術(shù)，如交易交互數(shù)據(jù)的保護多采用基于對稱密碼算法的消息認證碼技術(shù)。

在交易不可否認性方面，數(shù)字簽名技術(shù)可以提供有效保證。如金融IC卡的復合動態(tài)數(shù)據(jù)認證，使用卡片私鑰完成對重要交易數(shù)據(jù)的簽名認證。

標準NFC技術(shù)方案的安全防護技術(shù)

銀聯(lián)云閃付、Apple Pay和Samsung Pay都是典型的標準NFC技術(shù)方案（基于智能卡和手機的支付方案）。因此，手機中的安全元件與交易終端的交互安全問題同傳統(tǒng)智能卡方案是基本一致的。而這一方案的最大不同在于它充分利用了智能手機的功能和交易特點來有效地提高用戶支付的安全性和便捷性，這主要體現(xiàn)在如下四個方面。

一是支付標記化(Payment Tokenization)技術(shù)。它通過支付標記(Token)代替銀行卡卡號進行交易，同時確保該Token的應用被限定在特定的商戶、渠道或設(shè)備，從而避免卡號信息泄露所帶來的風險。

二是多因素身份認證。Apple Pay等充分利用了手機端的指紋識別功能，將生物特征識別引入了持卡人身份認證過程，并且基于可信執(zhí)行環(huán)境技術(shù)，提供了生物特征信息手機端的安全存儲和比對，以確保用戶隱私。

三是可信執(zhí)行環(huán)境技術(shù)?？尚艌?zhí)行環(huán)境提供了良好的安全隔離機制。它獨立運行于通用操作系統(tǒng)之外，并向其提供安全服務(wù)。ARM芯片中的Trust Zone和蘋果手機中的Secure Enclave都是可信執(zhí)行環(huán)境的典型代表。

四是基于純軟件的本地安全存儲技術(shù)，在主機卡模擬（Host-based Card Emulation，HCE）方案中得到了應用。首先，HCE引入了限制密鑰的概念，密鑰使用次數(shù)和周期受限并定期更新，從而降低密鑰存儲的風險；其次，通過基于口令的密鑰派生方法和白盒密碼技術(shù)對敏感數(shù)據(jù)進行加密存儲，以保障數(shù)據(jù)的機密性。

條碼支付方案的風險及防范

條碼支付方案從安全技術(shù)的角度看，尚存在較大的風險和隱患。

在身份認證方面，目前的條碼支付多依賴于用戶登錄APP的用戶名/口令。由于條碼讀取方和條碼生成器之間為單向信息傳輸，因此不存在設(shè)備間的雙向身份認證，難以避免設(shè)備偽造問題。

在信息機密性方面，條碼支付存在交易介質(zhì)可視化問題。在交易過程中二維碼被公開呈現(xiàn)，這增加了敏感信息被非法截取及轉(zhuǎn)發(fā)的風險。

在信息完整性方面，條碼支付憑借二維碼及商戶提供的信息創(chuàng)建線上訂單，并非傳統(tǒng)方案中在線下建立訂單后使用密碼學機制進行完整性保護后上送，存在偽造線下交易場景、篡改訂單的風險。

在交易不可否認性方面，條碼支付無用戶對交易信息的簽名，無法保證交易的不可否認性。

基于條碼本身的技術(shù)局限性，目前條碼支付的安全方案主要是結(jié)合一些系統(tǒng)級的安全策略來降低風險，比如，每一個條碼僅允許一次支付并且必須在一定的時間內(nèi)有效，僅在一定的額度范圍內(nèi)允許無口令支付，和終端硬件進行一定的支付綁定等。

移動支付安全技術(shù)展望

移動支付天然具有的便利性，將使其成為未來的主流支付方式。央行發(fā)行數(shù)字貨幣也需要結(jié)合這一趨勢，探索數(shù)字貨幣流通與移動支付的融合模式。然而，我們也必須意識到，目前移動互聯(lián)網(wǎng)的安全問題層出不窮，客觀上也對移動支付的安全產(chǎn)生了嚴重影響。因此，在未來法定數(shù)字貨幣的移動支付安全方面，必須建立涵蓋底層硬件安全、終端應用安全、通信安全、場景安全和平臺安全的保障體系，全方位、多層次、立體化地構(gòu)筑金融安全防護網(wǎng)。

具體講，主要應包括四個方面。第一，支付安全的問題應從交易過程的多環(huán)節(jié)、多視角考慮。單一環(huán)節(jié)的安全增強不能解決總體問題。同時，支付安全不僅是技術(shù)問題，也是安全管理、用戶心理和使用習慣問題。第二，終端作為移動支付的重要載體，其安全性應被高度關(guān)注?；诎踩酒闹Ц侗厝痪哂懈叩陌踩?，同時也需引入可信執(zhí)行環(huán)境、APP應用安全、生物識別等新的安全機制來提高交易終端的安全性。第三，隨著密碼算法和密碼貨幣技術(shù)的不斷發(fā)展，我們應引入新的密碼機制和協(xié)議設(shè)計方法，積極推進國產(chǎn)密碼算法的應用，實現(xiàn)金融系統(tǒng)關(guān)鍵技術(shù)的自主可控。第四，支付技術(shù)和應用場景的深度融合，必然會帶來支付生活全景大數(shù)據(jù)的顯著增長。應充分認識到支付大數(shù)據(jù)所帶來的風險和機遇，一方面通過采用如支付標記化技術(shù)來更好地保護用戶隱私，另一方面也應充分利用后臺大數(shù)據(jù)分析來更好地管控風險。