“玖柏图业界大咖访谈录”之移动支付与支付安全

 

在2016年2月25日第四期的“玖柏图业界大咖访谈录”中。玖柏图邀请了北京握奇数据系统有限公司副总裁雷年胜先生进行访谈。访谈的主题为“移动支付与支付安全”。...



▲ 点击关注。有温度的智能产品,由玖柏图设计。



“玖柏图业界大咖访谈录”是由玖柏图公司主办的一个访谈栏目,邀请在人工智能、硬件、软件、互联网及相关技术有独特见解的“大咖”进行访谈,分享其经验智慧,旨在服务广大“智能硬件”同行,创造思维碰撞的契机。

第四期访谈于 2016 年 2 月 25 日成功举办。玖柏图邀请雷年胜先生进行访谈。访谈的主题为“移动支付与支付安全”。

雷年胜先生,分别于 1995 年、1998 年在清华大学精仪系获得学士和硕士学位,目前担任北京握奇数据系统有限公司副总裁,从事数字安全与可信计算、移动支付、可穿戴设备等相关产品的开发管理与市场推广,近 20 年 IT 软硬件产品开发和团队管理经验,同时还是科技部中小企业创新基金评审专家和北京市科委奖励评审专家。

在 2 月 25 日的访谈当中,雷总给大家分享了他对移动支付和支付安全等问题的思考。

华华

雷总,您先介绍一下您现在的公司和您目前专注的领域吧!

我现在在北京握奇数据系统有限公司工作。作为全球领先的数据安全解决方案提供商,握奇已经拥有以新加坡为国际业务总部的覆盖美国、法国、印度,韩国等 11 个海外分支机构,全系列产品和解决方案广泛应用到全球 60 多个国家和地区,成功服务于电信、金融、交通、政府、公共事业等领域行业客户,为数亿用户的身份认证与安全交易保驾护航。



雷总
握奇拥有广泛的产品线,涵盖智能可穿戴设备、智能移动终端、移动支付、金融 IC 卡、移动通信 SIM、交通卡、金融社保卡、网银安全认证设备、高速公路不停车收费 ETC、读卡器等。握奇致力于为客户提供端到端的解决方案,从硬件、安全操作系统、应用,到个人化、远程管理、密钥管理等服务。



雷总
目前,握奇不断致力于数字世界的融合与创新:TimeCOS,国内第一个智能卡安全操作系统;ESAM 技术,引领国内公共事业收费由后付费向预付费变革; WatchKEY 和 WatchKEY OCL,引领着中国市场网银安全的发展趋势;SIMpass,成为当今最具竞争优势的移动支付解决方案,在全球拥有用户数超过 700 万;Sharkey,是首款兼具便捷安全支付及运动管理的可穿戴设备;WatchTrust 移动安全解决方案,使移动互联网应用安全及良好用户体验完美兼得。



雷总
华华

请问 Apple Pay 联合银联正式宣布入华,这对国内移动支付将有怎样的影响呢?Apple Pay 的创新之处体现在哪?

苹果 2014 年 10 月正式推出了 Apple Pay。一周前 Apple Pay 正式入华,搅动了国内移动支付市场。要了解它的意义,需要了解一下国内移动支付发展的历史,请允许赘述一下。业界一般将移动支付划分为线上支付和线下支付两类,早期线上支付和线下支付是两个体系,井水不犯河水。线上支付基本是支付宝一家独大,线下支付主要是银联为首的银行体系掌控(银行卡+POS 机)。国内移动支付刚刚兴起的时候(大概 2004 年左右吧),主要是移动运营商和金融体系争夺主导权,从技术标准到产业链的主导权。到 2012 年,移动支付国标出台,其中最重要是确定以 13.56M 射频技术标准为移动支付主要承载技术,涵盖移动支付射频接口、卡片、设备、多应用管理和安全、测试方法等基础技术内容,确保了移动支付产品的互操作性和互通性。



雷总
期间握奇数据也出过一款叫 SIMpass 的产品、前几年国内还井喷过类 Square 的刷卡器类移动支付产品,均未能成为主流方案。以上无论是移动运营商、还是银行系的方案,还都是以有硬件载体基础的近场射频支付(NFC)。由于产业链涉及方众多,移动运营商和银行系竞合中,一直发展得不温不火,却不防半路杀出程咬金,互联网企业利用二维码技术,利用其庞大的用户群、补贴和推广能力,迅速占领线下支付市场。线下支付也就被分为了刷卡派和扫码派。扫码派主要就是支付宝和微信支付了,刷卡派就是银行系。而 Apple Pay 此次入华与银联合作支持银联的“云闪付”,所以 Apple Pay 入华的意义在于可以帮助刷卡派重夺“正室”地位,否则只能继续沦落为支付宝、微信支付之后的“小三”。



雷总
Apple Pay 的创新单看每项技术,都不能算是创新,但 Apple Pay 确实非常好地整合了多项技术。在保证安全性的同时,有很好的用户体验和支付便捷性,这其中包括了 NFC、Secure Element 、Touch ID、Tokenization(令牌化)、Enclave(可信运行环境)。简单的说,Apple Pay:CC EAL5+的 SE 芯片承载支付数据;Tokenization(令牌化)减低了风险;Touch ID 成为了支付的身份识别和授权手段; Touch ID 所涉及的指纹模板数据和指纹比对运行在一个完全独立于 iOS 的可信计算环境中 Enclave。同时,其操作的便捷性也很好,操作步骤要少于支付宝和微信支付。



雷总
Apple Pay 在线下支付中能得到银行系的认可,更重要在于保留了目前中国银行卡线下市场的四方模式,即商户、发卡行、收单行和银联四方。在这种模式中,商户支付一定比例的刷卡费,由发卡行、收单行和银联按照 7:2:1 的比例分成刷卡费。Apple Pay 还是基本保留这样的模式,只是发卡行会重新分配一部分刷卡费给苹果。其次 Apple 没有自己的账户系统,它只是虚拟化了一张银行卡到手机中,不保留用户的交易数据,不参与跨行转接和资金的清结算,这是与支付宝和微信支付最大的不同。



雷总
华华

您是如何评价如今像北京这样的城市的移动支付环境?出门不用带钱包的时代是不是马上就要来临了?

这点在北京生活的同志们都应该有发言权,借助支付宝和微信支付的推动,能接收手机支付的商户和用户原来越多了,连大妈们都知道使用微信支付(当然,这其中还很大原因是补贴),现金支付会越来越少,但近期应该不会消失,习惯的培养不会一撮而就。



雷总
华华

目前的移动支付发展最大的掣肘在哪里?未来发展的方向又是什么?

主要是三个方面,从用户层面看主要使用习惯和安全顾虑、受理环境完善性,比如当前能受理 Apple Pay 的 POS 机只占全部 POS 机的 1/3;其次,是产业的技术标准,比如二维码支付的技术标准,听说支付宝已经向相关机构提交这方面的标准;还有就是法律政策上界定信用、盗刷等责任归属问题,完善风险控制机制。



雷总
未来发展方向,就近期来说,移动支付的渗透率会进一步提高,包括在用户端和商户端;二是移动支付会和应用场景进一步融合,类似滴滴打车+微信支付;三是支付工具更多,受理环境更完善,比如支付与可穿戴结合(此处植入广告:握奇手环具备支付功能)、运营商 SWP 卡、智能 POS 普及,国内手机厂商会跟进类 Apple Pay 方案,比如米 3 支持 NFC,米 4 不支持,而刚发布的米 5 又支持了。据我们了解,多个主流手机厂商会支持 NFC 支付(抱歉,此处再次植入广告,握奇数据可提供 ESE 产品及类苹果 Enclave 的 TEE 可信计算环境解决方案),三星 Pay 也会很快入华,Google 从 Android 4.4 开始增加了 HCE(Host-based Card Emulation)技术,这些都为移动支付提供了不同的解决方案。更长远的未来,支付可能与数字货币结合。总之,更安全、便捷和介质轻量化一直是支付的进化路径。



雷总
华华

什么样的移动支付最安全便捷?移动支付中,存在最大安全问题是什么?

对比目前已有的移动支付方案,我个人觉得 Apple Pay 还是比较安全的,当然支付解决方案中,安全也只是一个因素,还有便捷、成本、用户接受度等等。传统上金融体系偏向于安全更多,而互联网企业更强调用户体验和便捷性,在竞合中会相互借鉴和提高。比如银行也将小额的 300 元以下免密支付作为发展方向,人民银行在《非银行支付机构网络支付业务管理办法》要求为不同安全级别的支付账户设定不同的支付限额,平衡小额支付的便捷性和大额的安全性;而 2014 年,央行也因安全问题暂停了基于二维码的支付,相关企业也重新强化了基于二维码支付安全措施。



雷总
移动支付中的安全问题,除了产业链的各个参者需要提供更好的解决方案外,用户的安全意识也同等重要。很多安全事件不是因为技术漏洞,而是人们的安全意识不到位,比如贪便宜下载来历不明应用、扫来历不明二维码、在不可信 wifi 中输入涉密信息等等。



雷总
群友

雷总,您好,以 Android 终端的市场占有率来说,类似的 Android Pay 也会逐渐普及,那么 HCE 的框架下如何解决身份认证和授权问题呢?

HCE 是基于 Android 的解决方案之一,其身份认证和授权其实可以参考 Apple Pay。不同在于一个有物理的 SE,一个使用软件模拟。而在使用支付前,授权可以使用生物识别技术,还可以是传统的密码。不过由于使用软件模拟,会对支付数据的保护带来问题,所以 HCE 目前的案例中需要定期更新秘钥。



雷总
群友

央行的移动支付是如何定义的,哪类属于移动支付?

一般认为,使用移动终端的支付行为都可以称为移动支付,支付宝是,Apple Pay 也是一样。



雷总
群友

群友追问:但是拿到移动支付牌照的很少呀?APP 中嵌入的支付能力,第三方支付公司需要移动支付的牌照吗?

基本开展第三方支付的都需要支付牌照,但 Apple Pay 不需要,其使用的是银联的支付网络。



雷总
群友

移动支付央行也没有准确定义?

央行移动支付标准是 2013 发布的,所以有些应用会超前于标准。



雷总
下一期“玖柏图业界大咖访谈录”将在近期进行,敬请期待!


    关注 玖柏图


微信扫一扫关注公众号

0 个评论

要回复文章请先登录注册