从安全技术角度深度分析央行叫停虚拟信用卡及二维码支付-国土报中文版

本篇文章3399字，读完约8分钟

3月13日，央行下发紧急文件《中国人民银行支付结算部关于暂停支付宝公司离线条码支付的函》，停止支付宝和腾讯虚拟信用卡产品，并停止条码支付等面对面支付服务。通知中，央行要求立即暂停离线条码支付和虚拟信用卡相关业务，并采取有效措施确保暂停期间的平稳过渡。

从金融监管的角度来看，央行此举符合李克强总理近期讲话的精神，即“政府已制定了加强影子银行等金融风险监管的时间表。”从技术角度来看，正如央行发布文件称“支付领域相关技术和终端应用的条码(二维码)安全标准不明确，相关支付匹配验证方法的安全性仍存在疑问，存在一定的支付风险隐患。虚拟信用卡突破了现有的信用卡业务模式，在履行客户身份识别义务和确保客户信息安全方面需要进一步研究。”可以想象，如果身份盗窃发生在大范围内，将不可避免地导致虚拟信用和虚拟货币的泛滥。

从安全技术角度深度分析央行叫停虚拟信用卡及二维码支付

关注最关心的金融话题，一起讨论。

移动互联网环境下的交易安全和用户身份认证亟待解决

用户身份识别和交易安全保护已经成为移动互联网金融亟待解决的瓶颈。根据调查，75%的非网上银行用户不愿意尝试，因为他们担心安全性；cfca近日发布的《2013年中国移动银行用户调查报告》显示，手机用户对安全性有疑虑的比例高达61.23%，手机病毒木马和手机丢失造成的账户损失、事故后难以找到责任方等问题引起了公众对移动互联网安全的担忧，极大地阻碍了移动互联网金融的发展。

从安全技术角度深度分析央行叫停虚拟信用卡及二维码支付

1.保留手机号码进行短信认证的认证方式存在很大的安全漏洞

在移动互联网环境下，现有的识别方法是基于对客户预留手机号码的短信验证。一旦手机卡被复制或验证过的短信被劫持转发，犯罪分子就可以非法控制受害者的手机银行，甚至“帮助”受害者注册和开通手机银行进行犯罪活动。从目前主流的电子支付方式来看，如果用户在办理银行卡时已经在银行预留了手机号码，只需填写银行卡号码、姓名、身份证号码和预留的手机号码就可以绑定银行卡，然后通过设置的支付密码就可以实现消费，不需要银行卡的密码。然而，姓名、身份证号码和银行卡号码等信息在网络上很容易泄露，存在很大的网络身份盗窃风险。

从安全技术角度深度分析央行叫停虚拟信用卡及二维码支付

在二维码支付的业务过程中，手机上生成二维码的第三方账户很容易被盗，二维码的扫描也给了犯罪分子诱使客户植入恶意木马的机会，在不知情的情况下窃取关键信息。上述问题的存在导致互联网金融服务中重大资金盗窃和信息披露案件频发。(网上有很多关于具体案例的报道)

2.支付指令和验证指令的单通道传输容易被篡改

众所周知，银行和第三方公司在提供移动支付服务的同时也采取了相应的安全措施。但是，由于客户与银行之间的通信传输方式为单通道(手机、电脑等终端同时向银行服务器发送支付指令和验证指令)，这种方式容易受到网络中间商和浏览器劫持者的攻击，金融机构很难确认客户运营商的身份，也无法识别网络中间商对支付指令的篡改。消费者面临着各种不断升级的攻击，稍有不慎就会造成损失。然而，“u盾”和“电子密码卡”等安全工具仍然存在很多问题，如对客户的安全使用意识要求高，携带和使用不方便等。

从安全技术角度深度分析央行叫停虚拟信用卡及二维码支付

移动互联网安全的现状和未来趋势

随着移动互联网的发展，传统的账号+密码+短信验证码的认证方式已经不能满足商家和消费者的安全需求。目前，新兴的指纹识别技术对生物特征进行采样，提取其独特的特征，并将其转换成数字代码，再将这些代码组合成特征模板，完成身份识别。但本质上，生物特征提取的指纹等特征仍被转换为静态数据格式(12345)，认证原则没有实质性创新，相当于静态密码保护。由于指纹等生物特征不能被修改，黑客可以一劳永逸地窃取数据，这比可以随时修改的静态密码更不安全。

从安全技术角度深度分析央行叫停虚拟信用卡及二维码支付

ibm在2013年11月发布的未来五年的五项预测中提到，用户密码、身份和设备的数量是前所未有的，但安全性是高度分散的。即将推出的在线数字警卫技术通过对背景、环境和历史数据的分析，在不同设备上验证用户身份，了解正常活动和潜在危险之间的区别，通过智能终端进行互联网身份认证和安全保护，全方位保护用户的数字生活。用户不必寻找攻击的迹象，但是数字警卫将观察设备的操作行为，识别异常并发出警报。这说明智能终端上的个人行为数据是身份认证最有效的手段，世界上没有两个完全相同的智能终端。

从安全技术角度深度分析央行叫停虚拟信用卡及二维码支付

Ibm的预测不是空.值得注意的是，类似数字警卫的产品已经在中国出现。例如，某公司的互联网金融安全解决方案，据该公司创始人介绍，是一种独立的第三方移动互联网金融安全认证服务，采用交易支付数据和验证信息数据分离的双通道架构，通过终端设备指纹识别(包括硬件指纹、软件指纹和个人行为指纹)、地理位置和时间设置等多因素强认证手段对用户身份进行认证。将金融机构单方面实施的安全措施转化为涉及金融机构和消费者的跨类型安全保护，可以防止网络钓鱼、假卡盗窃、短信劫持、恶意复制手机卡和开通网上银行。由于黑客不能同时劫持两个渠道，他们不能同时篡改交易指令和验证指令，从而为用户在网上银行、手机银行、atm机和pos机上的交易安全提供了全面的保障。该方案特别适用于支付(交易)过程中的认证和交易安全保护，如二维码、条形码和nfc。通过该方案，用户可以绑定自己的手机、电脑等个人设备，进行指定银行卡和账户的登录和交易；用户还可以使用移动电话的位置来定义允许交易发生的地点或区域；用户还可以设置帐户登录和交易时间，以保护交易环境的安全，包括网络，自动柜员机和pos。在该方案下，用户可以独立绑定手机、电脑等个人设备，用于指定银行卡和账户的登录和交易；用户还可以使用移动电话的位置来定义允许交易发生的地点或区域；用户还可以设置帐户登录和交易时间，以保护交易环境的安全，包括网络，自动柜员机和pos。

从安全技术角度深度分析央行叫停虚拟信用卡及二维码支付

由此可以推断，由于消费者可以在手机界面上享受一站式自助理财服务，资金可以在储值卡、理财卡、支付卡、信用卡、保险等产品和服务中进行转换，这给操作带来了极大的便利。

网络安全身份认证完全不同于物理环境中的身份认证。在物理环境下，从一家银行网点的认证环境完成服务进入另一家银行后，认证必须重新开始，这是无关紧要的。互联网安全身份认证可以使金融机构在互联网上对个人、金融机构对企业、企业对个人、个人对个人进行身份认证，具有很强的商业凝聚力。它还可以为金融服务、版权保护、隐私保护、商品防伪、预约和预约、医疗服务等行业的需求提供相关认证。去年，美国四大电信运营商开始联合防盗，利用指纹认证技术，使手机一旦被盗或丢失，就不能被任何运营商使用。

从安全技术角度深度分析央行叫停虚拟信用卡及二维码支付

ibm预测的数字保护技术已经可以服务于互联网金融。互联网安全身份认证在金融业与互联网企业的竞争中以及监管者眼中尤为突出。银行过去依赖传统的门面服务，而互联网公司更擅长网络营销。在智能终端服务越来越普及的时代，我们可以拭目以待，谁敢先创新，先集成新技术，谁就能在市场中获得先发优势。这篇文章是作者独立的观点，并不代表老虎嗅探网络的立场

从安全技术角度深度分析央行叫停虚拟信用卡及二维码支付