滑明飞

4月8日，OpenSSL“心脏出血”安全漏洞大范围爆发，国内超过3万台主机受到波及，以https开头的网站中，有不少于30%的网站中招，其中包括大家最常用的购物、网银、社交、门户等知名网站，而在手机APP的网银客户端中，则至少50%存在风险。该事件中，受到攻击的主机，大量用户数据被攻击方抓取。

国内的淘宝、网易等大型互联网公司也未能幸免，因此OpenSSL“心脏出血”事件被业内视为一次网络安全的里程碑事件。

来谊电子CEO徐海光接受21世纪经济报道专访时表示，对于普通用户而言，数据泄露的最严重后果之一便是威胁网络支付安全，即黑客可以利用其数据资料操控互联网账户。而关键问题在于，在目前互联网支付的安全认证模式下，一旦发生这种情况，用户资金很容易被转走。

此次事件后，网络支付和移动支付安全问题再次被推上风口浪尖。在之前央行接连发文叫停包括微信支付、支付宝钱包、虚拟信用卡在内的支付方式中，也着重提到了移动支付的安全问题。

以微信支付、支付宝钱包、银行手机移动客户端为代表的新型支付方式近两年发展迅猛，当前市场和企业更多的关注和改善此类支付方式的便捷性，其安全性却并未同步发展。徐海光表示，支付领域，便捷性和安全性某种程度上存在矛盾，因此必须平衡好两者的关系。他称，尤其对于移动支付，目前通用的做法都是短信验证方式，这极易被黑客劫持。

也正因此，浸淫支付行业多年的徐海光开始关注移动支付安全领域，并于去年年底开发出一款基于“云端+APP”形式的“小微封”产品。据其介绍，该产品通过“时间+设备+地点”三个维度进行身份认证，并且以“双通道”的技术方式防止黑客劫持。

在传统模式中，包括银行、第三方支付机构均由自己负责支付与安全认证，而进入互联网金融时代，第三方安全认证服务商也开始出现。

安全认证的漏洞

徐海光告诉记者，移动互联网环境下，现有的身份识别方式基于客户预留手机号的短信验证，一旦手机卡被复制或验证短信被劫持转发等情况发生，犯罪分子可以非法控制被害人的手机银行。

他介绍说，在使用网络支付时，后台的运行原理可以简单理解为，用户通过手机、PAD、电脑等终端向银行服务器发出支付指令，包括支付金额、接收账户等；同时银行服务器会发出验证指令，目前通用的方式即发送短信验证码或者使用动态密码令牌。

验证指令即对操作人的身份认证，确认是否为持卡人操作，而这正是互联网时代最大的难点。传统的刷卡支付，银行和第三方通过卡道进行身份认证，如果要进行盗刷，违法分子必须获得物理卡。而在互联网时代，因为银行无法判断电脑、手机等终端设备的后面是否是持卡人，也无需物理卡，只要账号、密码、验证码正确即可进行操作，安全风险增加。

如果一旦用户的账户、密码、手机号码等数据泄露，违法分子即可通过劫持银行发出的验证指令(短信验证码或动态密码)到自己手机上，从而完成资金转移。徐海光同时称，目前流行的二维码支付同样存在安全风险。

以目前最火的微信支付和支付宝钱包为例，其支付方式大致分为两种：手机绑定的账户生成二维码，商户以扫码抢扫描收款以及商品生成二维码后，手机直接扫码支付。对于前者，一旦用户手机上生成二维码的账户被盗用，同样可以被盗用者拿去消费，无论前端支付形式是二维码、条形码还是NFC，本质上还是一个账户。而后者，徐海光表示，现在一些违法分子会在二维码中植入病毒，一旦用户扫描后，其将不断地获取用户数据，同样可以盗用产生二维码的账户。

设备指纹认证

显然，网络支付时代，人、设备、账户共同形成一个链条，当账户数据泄露，被他人操作时，账户不变，人和设备发生转移。而徐海光介绍的“小微封”则通过设备指纹将设备这一环节固定，即使数据泄露，在其它设备上也无法操作账户。