首页 2017数博会网络沙龙正文

移动网络安全解读:移动支付存在重大安全隐患

  2017年4月13日,由数博会组委会主办,中国大数据产业观察(数据观)承办的第二期数博会网络沙龙成功举办。本期沙龙活动以“移动网络安全解读”为主题,邀请网络密码认证北京市重点实验室主任胡祥义为大家介绍了移动支付技术优势及存在的安全隐患,以及网络密码认证技术的具体应用。本文根据胡祥义对媒体与网友提问的解答进行整理,供大家阅读。

  【嘉宾简介】胡祥义,网络密码认证北京重点实验室主任。长期从事基于密码技术的网络安全防护架构研究,包括:网络身份认证协议、数字签名协议、文件加密协议以及密钥交换和密钥生成管理协议等。获得10多项信息安全领域的国家发明专利(已授权),其中有6款专利转化成自主可控的商密产品。

  银行卡的安全等级目前很低

  近几年,常有新闻爆出用户银行卡被盗刷,不法分子快速准确复制各大银行的银行卡,已经形成了一条黑色的产业链。目前银行卡的安全等级很低,银行卡的磁条卡和存储芯片都存在可复制这一安全漏洞,黑客通过病毒程序盗取了用户的信息数据库内容,就可以克隆用户的银行卡,再通过取款密码在ATM机或者POSS机上获取用户银行卡里的资金。

  要解决银行卡的安全漏洞,需要对它进行安全升级,以密码技术为基础,以智能加密芯片为载体。银行使用带CPU智能芯片来制作银行卡,使银行卡的用户信息不可复制,并在银行卡CPU芯片里采用加密算法来建立取款或者支付协议,实现取款或支付协议中的签名密钥,一次一变,不重复使用,这样才能保证银行卡取款或者支付的安全。

  移动支付存在重大安全隐患

  当前,第三方支付企业为用户建立虚拟的第三方支付帐户,提供移动支付服务。在国内比较靠前的企业有支付宝、财富通等,国外有苹果PAY、三星PAY等。第三方支付企业采用验证码认证技术来实现,就是大家常见的口令或者密码技术。采用这种口令认证技术的方法具有支付速度快、操作简单、便捷及成本低廉等优势,深受社会和广大用户的亲睐。

  但移动支付给大家带来便利的同时也伴随着越来越多的安全问题。由于这些第三方支付企业提供支付系统,它的支付单缺少签名功能,同时在手机端没有加密芯片硬件进行防护,黑客可以通过截获并替换支付单的内容,实现对移动支付协议有效攻击,同时盗取用户帐户中的资金。因此,这种采用支付体系、动态以口令或者动态口令的支付体系安全等级也很低,移动支付存在着重大的安全隐患。

  虽然第三方支付存在着一定的安全隐患,但是大家还是可以用的。对个人用户来说,建议每年十块钱的保险要交,而且帐户里面的钱不要放得太多。对企业来说,需要投入一定的安全成本,比如给手机装上加密芯片。

  提供移动支付服务的企业要为用户提供安全可靠的身份认证系统,在手机和认证中心端都要有加密硬件设备。以智能芯片为载体,以密码技术为基础建立移动支付系统,必须对支付单进行签名,保护加密算法密钥和签名协议的存储和运行安全,认证中心端也要使用加密硬件建立芯片级的签名和加密协议。

  网络密码认证技术与物联网NB-loT

  网络密码认证技术是指利用密码技术,对上网用户的身份进行身份认证,或者对物联网的联网设备进行设备身份认证。认证技术有很多种,比如静态口令、动态口令、生物特征以及密码加密算法技术认证等等,其中只有基于密码算法技术的认证安全等级高。

  网络密码认证技术应用比较广,只要用网络都要用到身份认证,比如用户登录自己的银行帐号、个人的邮箱等都需要认证。

  物联网NB-loT是基于窄带网的物联网,它的特征是功效低、覆盖性广、低成本、大容量及穿透力强等优势。随着物联网建设的发展,物联网安全必然成为制约着物联网安全发展的重要因素,由于物联网场景中的很多实体具有一定的感知、计算和执行能力。物联网广泛存在的这些感知设备,将会对国家基础设施、社会和个人信息安全构成新的威胁。

  物联网安全分三个层次:感知层、网络层、应用层。保障好这三层的安全,物联网的安全才能够得到保障。具体方法是传感器端嵌入一块加密芯片,物联网应用平台端采用加密设备建立认证中心,这就是它的物联网安全架构。物联网安全主要要解决可靠的认证机制、授权机制、数字签名机制以及感知信息的保密机制。

  移动网络信息安全管理的现状

  目前,移动网络主要是由电信运营商来管理,这个现状也存在了一些问题,比如伪基站发假信息等。国家公安部和电信部门联合执法解决伪基站的问题、手机卡实名制都是我国移动网络管理的一些措施。

  每个国家对移动网络信息安全管理的力度都不一样。美国在2011年就开始做网络安全的顶层设计——网络身份证,投资5.63亿美元科研经费开发网络安全新技术。欧洲也有国家在做网络身份认证,建立可信网络,实现上网实名制。现在网络身份证完成的国家有爱沙尼亚,在网上生活、工作、学习、娱乐方面都保证个人的信息安全和国家的网络信息安全。但这个国家只有140万人口,做起来比较容易,而且网络身份认证的实施,降低了政府对社会的管理成本,得到老百姓的支持。(稿件整理:陈近梅)

 

责任编辑:陈近梅

分享:
2022全数会
贵州

贵州大数据产业政策

贵州大数据产业动态

贵州大数据企业

更多
企业
更多