4月8日，OpenSSL“心臟出血”安全漏洞大范圍爆發，國內超過3萬臺主機受到波及，以https開頭的網站中，有不少于30%的網站中招，其中包括大家最常用的購物、網銀、社交、門戶等知名網站，而在手機APP的網銀客戶端中，則至少50%存在風險。該事件中，受到攻擊的主機，大量用戶數據被攻擊方抓取。

　　國內的淘寶、網易等大型互聯網公司也未能幸免，因此OpenSSL“心臟出血”事件被業內視為一次網絡安全的里程碑事件。

　　來誼電子CEO徐海光接受21世紀經濟報道專訪時表示，對于普通用戶而言，數據泄露的最嚴重后果之一便是威脅網絡支付安全，即黑客可以利用其數據資料操控互聯網賬戶。而關鍵問題在于，在目前互聯網支付的安全認證模式下，一旦發生這種情況，用戶資金很容易被轉走。

　　此次事件后，網絡支付和移動支付安全問題再次被推上風口浪尖。在之前央行接連發文叫停包括微信支付、支付寶錢包、虛擬信用卡在內的支付方式中，也著重提到了移動支付的安全問題。

　　以微信支付、支付寶錢包、銀行手機移動客戶端為代表的新型支付方式近兩年發展迅猛，當前市場和企業更多的關注和改善此類支付方式的便捷性，其安全性卻并未同步發展。徐海光表示，支付領域，便捷性和安全性某種程度上存在矛盾，因此必須平衡好兩者的關系。他稱，尤其對于移動支付，目前通用的做法都是短信驗證方式，這極易被黑客劫持。

　　也正因此，浸淫支付行業多年的徐海光開始關注移動支付安全領域，并于去年年底開發出一款基于“云端+APP”形式的“小微封”產品。據其介紹，該產品通過“時間+設備+地點”三個維度進行身份認證，并且以“雙通道”的技術方式防止黑客劫持。

　　在傳統模式中，包括銀行、第三方支付機構均由自己負責支付與安全認證，而進入互聯網金融時代，第三方安全認證服務商也開始出現。

 

　　安全認證的漏洞

　　徐海光告訴記者，移動互聯網環境下，現有的身份識別方式基于客戶預留手機號的短信驗證，一旦手機卡被復制或驗證短信被劫持轉發等情況發生，犯罪分子可以非法控制被害人的手機銀行。

　　他介紹說，在使用網絡支付時，后臺的運行原理可以簡單理解為，用戶通過手機、PAD、電腦等終端向銀行服務器發出支付指令，包括支付金額、接收賬戶等；同時銀行服務器會發出驗證指令，目前通用的方式即發送短信驗證碼或者使用動態密碼令牌。

　　驗證指令即對操作人的身份認證，確認是否為持卡人操作，而這正是互聯網時代最大的難點。傳統的刷卡支付，銀行和第三方通過卡道進行身份認證，如果要進行盜刷，違法分子必須獲得物理卡。而在互聯網時代，因為銀行無法判斷電腦、手機等終端設備的后面是否是持卡人，也無需物理卡，只要賬號、密碼、驗證碼正確即可進行操作，安全風險增加。

　　如果一旦用戶的賬戶、密碼、手機號碼等數據泄露，違法分子即可通過劫持銀行發出的驗證指令（短信驗證碼或動態密碼）到自己手機上，從而完成資金轉移。徐海光同時稱，目前流行的二維碼支付同樣存在安全風險。

　　以目前最火的微信支付和支付寶錢包為例，其支付方式大致分為兩種：手機綁定的賬戶生成二維碼，商戶以掃碼搶掃描收款以及商品生成二維碼后，手機直接掃碼支付。對于前者，一旦用戶手機上生成二維碼的賬戶被盜用，同樣可以被盜用者拿去消費，無論前端支付形式是二維碼、條形碼還是NFC，本質上還是一個賬戶。而后者，徐海光表示，現在一些違法分子會在二維碼中植入病毒，一旦用戶掃描后，其將不斷地獲取用戶數據，同樣可以盜用產生二維碼的賬戶。

 

　　設備指紋認證

　　顯然，網絡支付時代，人、設備、賬戶共同形成一個鏈條，當賬戶數據泄露，被他人操作時，賬戶不變，人和設備發生轉移。而徐海光介紹的“小微封”則通過設備指紋將設備這一環節固定，即使數據泄露，在其它設備上也無法操作賬戶。

　　按照他的介紹，通過小微封APP，其服務器可以采集到硬件指紋、軟件指紋和行為指紋。每臺電腦或手機，各個配件都擁有不同的序列號，小微封將此作為設備指紋進行采集。如果手機賬戶信息泄露，違法分子在其它設備上也無法進行操作。

　　軟件指紋則針對設備中所安裝的軟件信息進行采集，比如電子波紋。如果操作賬戶的設備中所裝軟件無法與小微封服務器中的數據匹配，同樣無法完成操作。同時，小微封通過云端服務器可以采集到用戶部分的個性化特征數據，比如用戶聽過什么樣的音樂，由此完成身份認證。

　　徐海光表示，除此之外，通過技術方式，小微封的安全認證還引入了時空維度。即使設備丟失，依然可以保證賬戶安全。在他展示的APP上，用戶可以實現一鍵鎖和賬戶鎖功能。如果用戶綁定在手機上的銀行卡丟失，通過小微封即可完成一鍵凍結賬戶，“手機這個時候就變成了一個銀行發給C端用戶的遙控器”。并且如果用戶同時綁定了兩臺設備，即使有一臺丟失，同樣可以在最快時間內，通過手上的設備解除丟失設備的操作權限。

　　同時在地理位置上，小微封可以實現近場、精確定位和區域定位功能。即根據不同需求，選擇支付的范圍，一旦超出設定的范圍即無法完成支付。由此，通過多個維度的定位，將傳統的單一因素認證升級為多因素認證。

　　相比傳統的U盾、動態密碼令牌，小微封采用的是一種軟件安全認證的方式。徐海光表示，在移動支付時代，每個人不可能拿一堆密碼盾，軟件模式將是未來的趨勢。

　　但通過軟件的方式解決這一問題，小微封服務器需要與銀行或第三方支付企業進行對接。按照徐海光介紹的模式，整個支付安全認證過程必須通過三個主要環節，即用戶設備向銀行服務發出支付指令，銀行端再向小微封服務器發出驗證指令，后者通過對設備、時間和地點三個維度的N個數據比對后，如果數據匹配，即可完成支付，一旦發生異常，小微封將對銀行服務器提出警示。

　　這對傳統的安全驗證模式是一種變革，之前只是在銀行服務器和用戶設備之間直接發生支付和驗證指令傳輸，而小微封的模式則是在兩者之間加入第三方驗證。據徐海光稱，傳統的方式中，支付指令和驗證指令通過單一通道傳輸，極易被黑客短時間內劫持，而加入第三方，形成雙通道，將支付指令和驗證指令分離，增加安全系數。

　　同時，第三方服務模式則避免了系統升級帶來的支付問題。在目前一些銀行的手機客戶端中，支付和驗證功能集合在一個APP內，一旦安全系統升級，支付服務也將受到影響。徐海光表示，在國際通行的技術架構中，支付和安全應該是獨立的兩個APP，即使安全系統升級，也不影響支付功能，并且因為第三方服務商連接多家金融機構，一旦一家被攻擊，其可以立刻預警并升級安全系統對未被攻擊的金融機構進行保護。

　　徐海光表示，目前已經有多家銀行開始與其接觸，正在進行具體細節上的溝通，并且與部分第三方支付機構簽約。