4月8日，OpenSSL心臟出血安全漏洞大范圍爆發(fā)，國(guó)內(nèi)超過(guò)3萬(wàn)臺(tái)主機(jī)受到波及，以https開(kāi)頭的網(wǎng)站中，有不少于30%的網(wǎng)站中招，其中包括大家最常用的購(gòu)物、網(wǎng)銀、社交、門戶等知名網(wǎng)站，而在手機(jī)APP的網(wǎng)銀客戶端中，則至少50%存在風(fēng)險(xiǎn)。該事件中，受到攻擊的主機(jī)，大量用戶數(shù)據(jù)被攻擊方抓取。

　　國(guó)內(nèi)的淘寶、網(wǎng)易等大型互聯(lián)網(wǎng)公司也未能幸免，因此OpenSSL心臟出血事件被業(yè)內(nèi)視為一次網(wǎng)絡(luò)安全的里程碑事件。

　　來(lái)誼電子CEO徐海光接受21世紀(jì)經(jīng)濟(jì)報(bào)道專訪時(shí)表示，對(duì)于普通用戶而言，數(shù)據(jù)泄露的最嚴(yán)重后果之一便是威脅網(wǎng)絡(luò)支付安全，即黑客可以利用其數(shù)據(jù)資料操控互聯(lián)網(wǎng)賬戶。而關(guān)鍵問(wèn)題在于，在目前互聯(lián)網(wǎng)支付的安全認(rèn)證模式下，一旦發(fā)生這種情況，用戶資金很容易被轉(zhuǎn)走。

　　此次事件后，網(wǎng)絡(luò)支付和移動(dòng)支付安全問(wèn)題再次被推上風(fēng)口浪尖。在之前央行接連發(fā)文叫停包括微信支付、支付寶錢包、虛擬信用卡在內(nèi)的支付方式中，也著重提到了移動(dòng)支付的安全問(wèn)題。

　　以微信支付、支付寶錢包、銀行手機(jī)移動(dòng)客戶端為代表的新型支付方式近兩年發(fā)展迅猛，當(dāng)前市場(chǎng)和企業(yè)更多的關(guān)注和改善此類支付方式的便捷性，其安全性卻并未同步發(fā)展。徐海光表示，支付領(lǐng)域，便捷性和安全性某種程度上存在矛盾，因此必須平衡好兩者的關(guān)系。他稱，尤其對(duì)于移動(dòng)支付，目前通用的做法都是短信驗(yàn)證方式，這極易被黑客劫持。

　　也正因此，浸淫支付行業(yè)多年的徐海光開(kāi)始關(guān)注移動(dòng)支付安全領(lǐng)域，并于去年年底開(kāi)發(fā)出一款基于云端+APP形式的小微封產(chǎn)品。據(jù)其介紹，該產(chǎn)品通過(guò)時(shí)間+設(shè)備+地點(diǎn)三個(gè)維度進(jìn)行身份認(rèn)證，并且以雙通道的技術(shù)方式防止黑客劫持。

　　在傳統(tǒng)模式中，包括銀行、第三方支付機(jī)構(gòu)均由自己負(fù)責(zé)支付與安全認(rèn)證，而進(jìn)入互聯(lián)網(wǎng)金融時(shí)代，第三方安全認(rèn)證服務(wù)商也開(kāi)始出現(xiàn)。

　　安全認(rèn)證的漏洞

　　徐海光告訴記者，移動(dòng)互聯(lián)網(wǎng)環(huán)境下，現(xiàn)有的身份識(shí)別方式基于客戶預(yù)留手機(jī)號(hào)的短信驗(yàn)證，一旦手機(jī)卡被復(fù)制或驗(yàn)證短信被劫持轉(zhuǎn)發(fā)等情況發(fā)生，犯罪分子可以非法控制被害人的手機(jī)銀行。

　　他介紹說(shuō)，在使用網(wǎng)絡(luò)支付時(shí)，后臺(tái)的運(yùn)行原理可以簡(jiǎn)單理解為，用戶通過(guò)手機(jī)、PAD、電腦等終端向銀行服務(wù)器發(fā)出支付指令，包括支付金額、接收賬戶等；同時(shí)銀行服務(wù)器會(huì)發(fā)出驗(yàn)證指令，目前通用的方式即發(fā)送短信驗(yàn)證碼或者使用動(dòng)態(tài)密碼令牌。

　　驗(yàn)證指令即對(duì)操作人的身份認(rèn)證，確認(rèn)是否為持卡人操作，而這正是互聯(lián)網(wǎng)時(shí)代最大的難點(diǎn)。傳統(tǒng)的刷卡支付，銀行和第三方通過(guò)卡道進(jìn)行身份認(rèn)證，如果要進(jìn)行盜刷，違法分子必須獲得物理卡。而在互聯(lián)網(wǎng)時(shí)代，因?yàn)殂y行無(wú)法判斷電腦、手機(jī)等終端設(shè)備的后面是否是持卡人，也無(wú)需物理卡，只要賬號(hào)、密碼、驗(yàn)證碼正確即可進(jìn)行操作，安全風(fēng)險(xiǎn)增加。

　　如果一旦用戶的賬戶、密碼、手機(jī)號(hào)碼等數(shù)據(jù)泄露，違法分子即可通過(guò)劫持銀行發(fā)出的驗(yàn)證指令（短信驗(yàn)證碼或動(dòng)態(tài)密碼）到自己手機(jī)上，從而完成資金轉(zhuǎn)移。徐海光同時(shí)稱，目前流行的二維碼支付同樣存在安全風(fēng)險(xiǎn)。

　　以目前最火的微信支付和支付寶錢包為例，其支付方式大致分為兩種：手機(jī)綁定的賬戶生成二維碼，商戶以掃碼搶掃描收款以及商品生成二維碼后，手機(jī)直接掃碼支付。對(duì)于前者，一旦用戶手機(jī)上生成二維碼的賬戶被盜用，同樣可以被盜用者拿去消費(fèi)，無(wú)論前端支付形式是二維碼、條形碼還是NFC，本質(zhì)上還是一個(gè)賬戶。而后者，徐海光表示，現(xiàn)在一些違法分子會(huì)在二維碼中植入病毒，一旦用戶掃描后，其將不斷地獲取用戶數(shù)據(jù)，同樣可以盜用產(chǎn)生二維碼的賬戶。

　　設(shè)備指紋認(rèn)證

　　顯然，網(wǎng)絡(luò)支付時(shí)代，人、設(shè)備、賬戶共同形成一個(gè)鏈條，當(dāng)賬戶數(shù)據(jù)泄露，被他人操作時(shí)，賬戶不變，人和設(shè)備發(fā)生轉(zhuǎn)移。而徐海光介紹的小微封則通過(guò)設(shè)備指紋將設(shè)備這一環(huán)節(jié)固定，即使數(shù)據(jù)泄露，在其它設(shè)備上也無(wú)法操作賬戶。

　　按照他的介紹，通過(guò)小微封APP，其服務(wù)器可以采集到硬件指紋、軟件指紋和行為指紋。每臺(tái)電腦或手機(jī)，各個(gè)配件都擁有不同的序列號(hào)，小微封將此作為設(shè)備指紋進(jìn)行采集。如果手機(jī)賬戶信息泄露，違法分子在其它設(shè)備上也無(wú)法進(jìn)行操作。

　　軟件指紋則針對(duì)設(shè)備中所安裝的軟件信息進(jìn)行采集，比如電子波紋。如果操作賬戶的設(shè)備中所裝軟件無(wú)法與小微封服務(wù)器中的數(shù)據(jù)匹配，同樣無(wú)法完成操作。同時(shí)，小微封通過(guò)云端服務(wù)器可以采集到用戶部分的個(gè)性化特征數(shù)據(jù)，比如用戶聽(tīng)過(guò)什么樣的音樂(lè)，由此完成身份認(rèn)證。

　　徐海光表示，除此之外，通過(guò)技術(shù)方式，小微封的安全認(rèn)證還引入了時(shí)空維度。即使設(shè)備丟失，依然可以保證賬戶安全。在他展示的APP上，用戶可以實(shí)現(xiàn)一鍵鎖和賬戶鎖功能。如果用戶綁定在手機(jī)上的銀行卡丟失，通過(guò)小微封即可完成一鍵凍結(jié)賬戶，手機(jī)這個(gè)時(shí)候就變成了一個(gè)銀行發(fā)給C端用戶的遙控器。并且如果用戶同時(shí)綁定了兩臺(tái)設(shè)備，即使有一臺(tái)丟失，同樣可以在最快時(shí)間內(nèi)，通過(guò)手上的設(shè)備解除丟失設(shè)備的操作權(quán)限。

　　同時(shí)在地理位置上，小微封可以實(shí)現(xiàn)近場(chǎng)、精確定位和區(qū)域定位功能。即根據(jù)不同需求，選擇支付的范圍，一旦超出設(shè)定的范圍即無(wú)法完成支付。由此，通過(guò)多個(gè)維度的定位，將傳統(tǒng)的單一因素認(rèn)證升級(jí)為多因素認(rèn)證。

　　相比傳統(tǒng)的U盾、動(dòng)態(tài)密碼令牌，小微封采用的是一種軟件安全認(rèn)證的方式。徐海光表示，在移動(dòng)支付時(shí)代，每個(gè)人不可能拿一堆密碼盾，軟件模式將是未來(lái)的趨勢(shì)。

　　但通過(guò)軟件的方式解決這一問(wèn)題，小微封服務(wù)器需要與銀行或第三方支付企業(yè)進(jìn)行對(duì)接。按照徐海光介紹的模式，整個(gè)支付安全認(rèn)證過(guò)程必須通過(guò)三個(gè)主要環(huán)節(jié)，即用戶設(shè)備向銀行服務(wù)發(fā)出支付指令，銀行端再向小微封服務(wù)器發(fā)出驗(yàn)證指令，后者通過(guò)對(duì)設(shè)備、時(shí)間和地點(diǎn)三個(gè)維度的N個(gè)數(shù)據(jù)比對(duì)后，如果數(shù)據(jù)匹配，即可完成支付，一旦發(fā)生異常，小微封將對(duì)銀行服務(wù)器提出警示。

　　這對(duì)傳統(tǒng)的安全驗(yàn)證模式是一種變革，之前只是在銀行服務(wù)器和用戶設(shè)備之間直接發(fā)生支付和驗(yàn)證指令傳輸，而小微封的模式則是在兩者之間加入第三方驗(yàn)證。據(jù)徐海光稱，傳統(tǒng)的方式中，支付指令和驗(yàn)證指令通過(guò)單一通道傳輸，極易被黑客短時(shí)間內(nèi)劫持，而加入第三方，形成雙通道，將支付指令和驗(yàn)證指令分離，增加安全系數(shù)。

　　同時(shí)，第三方服務(wù)模式則避免了系統(tǒng)升級(jí)帶來(lái)的支付問(wèn)題。在目前一些銀行的手機(jī)客戶端中，支付和驗(yàn)證功能集合在一個(gè)APP內(nèi)，一旦安全系統(tǒng)升級(jí)，支付服務(wù)也將受到影響。徐海光表示，在國(guó)際通行的技術(shù)架構(gòu)中，支付和安全應(yīng)該是獨(dú)立的兩個(gè)APP，即使安全系統(tǒng)升級(jí)，也不影響支付功能，并且因?yàn)榈谌椒?wù)商連接多家金融機(jī)構(gòu)，一旦一家被攻擊，其可以立刻預(yù)警并升級(jí)安全系統(tǒng)對(duì)未被攻擊的金融機(jī)構(gòu)進(jìn)行保護(hù)。

　　徐海光表示，目前已經(jīng)有多家銀行開(kāi)始與其接觸，正在進(jìn)行具體細(xì)節(jié)上的溝通，并且與部分第三方支付機(jī)構(gòu)簽約。