随着2011年我国移动支付标准的确定,物联网时代的移动支付终于迎来了快速发展时期。同其他电子支付方式一样,移动支付的关键仍是安全问题。本文从物联网本质出发。结合移动支付的国内现状及国外先进经验,分析其产业链中存在的安全问题,并提出安全策略。
1、物联网时代的移动支付
继上个世纪互联网技术引发“信息革命”之后,如今物联网又将再一次改变我们的生活。顾名思义,物联网即把一切物品都通过传感器接入互联网,实现监控、跟踪、信息交互等功能。通过手机等数码随身物品把银行卡与商家POS机连接起来,就形成了一个新的领域:移动支付。用户可以通过短信、WAP}IVR、近距离感应等方式进行转账、购物和缴费等商业活动。
2009年8月,温总理提出“感知中国”概念,极大地推动了物联网的研究与发展,物联网时代已经是不可逆转的趋势。2011年4月28日中国银联执行副总裁洪峰公布移动近场支付使用13.56MHz标准,移动支付的最后一公里已经被打通。移动支付作为物联网的排头兵,在带给我们的生活带来便利的同时,也将引爆零售业,极大地提升国民经济。
2、国内外移动支付现状
中国移动、联通、电信和银联也已经各自布局移动支付了。2010年中国移动斥资398.01亿人民币人股上海浦东发展银行,之后力推手机支付业务。2009年5月中国电信也正式推出了“移动支付”业务,包括手机订购、手机缴费、手机银行和手机刷卡四项子业务。中国联通也于2008年12月开始推出了一系列的手机支付业务,2010年4月联通更是和中国银联合作推广银联手机支付业务。中国银联于2002年推出第一代移动支付业务,实现肮空订票、电子折扣券等多种增值服务。2011年7月,银联商务摧出便民支付品牌“全民付”,正式进军线下支付领域。同时银联还推出家庭迷你终端和手机,实现用户在家缴水电费、订票、买彩票等活动。据易观国际报告,2014年中国线下便利支付市场交易规模将达到4350亿元。
但我国银联和三大电信运营商从考试实验近场移动支付业务开始标准就不统一。移动选择2.4GZ的RF-SIM技术。联通选择13.56MHz的NFC,SIMPass技术。电信选择了13.56MHz的SIMPass技术,同时也在个别试点选择了2.4GHz的RFUIM技术。银联选择了13.56MHz的NFC、SD卡、SIMPass等。各个巨头都想抢占移动支付的先机,其实日本是运营商掌控移动支付产业链,韩国却是银行,但各方都能共同赚钱,这本来就是一个互相协作依存的产业。移动支付完全可以成为移动运营商和银行新的业务增长点。从日本韩国经验来看,运营商和银联精诚合作才是最终出路,移动支付国家标准的出台使我们避免了更多的消耗战。
哪怕是利润多么薄的行业,只要能吸引全民或者足够多的人参与,都能做成一个巨无霸蛋糕。当年国内搜狐新浪等门户网站就是和运营商合作靠几分钱的短信业务扭亏为盈的。在电子商务飞速发展的今天,更没有人敢轻视兼具远程和现场交易的移动支付了。根据艾瑞咨询2011年7月发布的一项最新研究报告显示,到2015年,全球移动支付总交易额将达到6700亿美元,远远超过今年的2400亿美元。移动支付已经在全球范围内呈现井喷趋势,特别是我们的邻居日韩两国,有85%以上的顾客使用过移动支付。日本2004年开始推广移动支付业务,截至2009年移动用户中65%为移动支付用户。韩国目前70%的电子支付是移动支付完成的。法国政府和企业2010年宣布法国Nice市成为欧洲第一个非接触之城。相应的,这些移动支付高度发达的国家都制定了完备的相关法律和政策监管。
3、移动支付的关键问题
尽管技术和标准上都已经准备充分,但移动支付的推广仍然困难重重,其中最大的问题就是如何培养用户的使用习惯,安全性、保密性、操作方便和法律保护等。安全性是支付最重要也是最难解决的问题。中国用户普遍对手机等移动设备缺乏安全感,几乎每个人都收到过欺诈和垃圾短信,遍地开花的山寨机包括很多国产品牌手机更是预设了吸费陷阱,整个社会信用体系的不完善导致人们没有安全感。这些都将阻碍移动支付快速发展。
移动支付背后的产业链过长—金融机构、移动运营商、网络运营商、终端设备提供商和零售商。
相对于传统的支付方式来说,移动支付的安全问题尤为严峻,产业链上所有部门都必须从技术到信用通力合作。物联网是互联网的一个延伸,天然的具有开放性、包容性和匿名性。如果要让物联网更好的为人们提供方便快捷的服务,就必须先保证个人隐私和信息安全,如果人们在第一次认识移动支付时就有很不好的或者不安全的体验,那么以后移动支付包括整个物联网想要扭转这个“第一印象”会非常困难。
4、移动支付的安全策略
从产业链的各个环节都可以加强安全措施:金融机构可以让用户设置交易上限,这样就能把把意外损失控制在一定范围,副作用是会给用户带来使用上的不便。银联也可以给用户手机发交易动态验证密码或消费金额提醒,这样能大大提高安全系数,但要求用户手机必须保持开机而且不能欠费。从移动运营商来讲,要严防用户的SIM卡被复制或冒领,全国已经发生多起用假身份证挂失SIM卡造成用户损失的案例。对此,可采用实名认证和指纹认证等技术手段相结合,同时在移动终端上安装金融级安全芯片和加密软件。从终端设备上来讲,可以让移动运营商或者金融机构统一采购,通过规模降低采购成本,也能把冒牌和山寨设备屏蔽在移动支付产业链之外,保证终端设备的安全。
在技术层面上,安全模型可以很好的保护隐私。对集中控制的网络环境,可以采用企业级安全模型,基于角色的访问控制(RBAC),将RD1D系统分成RDID标签、读写器、信息处理系统;把数据分别放到RDID标签中和信息处理系统中,二者合并后才能用密码解密,当标签发生变化,加解密密码也随之改变。这种方法计算、存储开销大,实时性不强,也不适用于分布式物联网环境。
目前密码学已经比较完善,如同态加密技术,安全多方计算方法,但这些方法都需要大量计算,也不能直接适用于物联网这种特殊的计算环境。现在对于网络的隐私和安全问题,很多研究也从访问控制、数据加密、行为监测以及代理服务等深入讨论,但物联网环境有其特殊性,还需进一步完善。物联网属于新兴产业,各种安全隐私保护方案、安全结构模型都是从特定角度出发,没有通用性,还有很大的发展空间。再有,任何安全措施都只是暂时的,加密和解密技术总是交替发展的,在安全技术上不断研发进步的基础上,进一步完善社会信用机制,通过道德和法律的约束来保证物联网乃至整个社会的健康发展才是长治久安之道。