每一笔签名都是经过设计的,所以用心是肯定的。不过现在网上免费版出来,可以为你节省不少金钱和精力了。今天小编分享一下签名设计免费版一笔签线生成 见证神奇的一面,就从这里开始。从此再不用为没有自己个性的签名发愁了。
签名设计免费版一笔签线生成
会将设计好的签名以图片的形式生成,还能通过打印机直接输出,方便临摹学习之用。
软件介绍:
签名设计免费版界面清爽,使用简单,生成迅速,并且支持中文和英文两种输入,还有多款签名背景随心选择,可以很好的满足各位用户的多样化需求。
签名设计免费版特色:
一款可以让签名飘逸而又不失内涵的软件;
简约大气上档次,格调快速提升;
让签名成为一种享受,还有多种风格任君选择。
签名设计免费版使用步骤:
1、后全部解压,双击exe启动软件;
2、左侧输入姓名,支持中文和英文;
3、右侧可对签名样式、颜色等参数进行自定义;
4、预览满意后可以保存为图片或打印。
签名设计原则和练习方法:
原则:
⑴字形个体的唯一性;
⑵笔顺书写的不可逆性;
⑶行草书写的规范化。
练习方法:
一观、二摹、三临。观是练习眼力,临、摹是练手功。观是在动笔以前不可缺少的环节,许多初学者容易忽视这一点。观是用心分析记忆的过程。一般要看清如下的内容:格式、布局、结构、笔画特征及笔顺等。用观的收获与自己以前的书写习惯相比较,找出问题,方能在练写时“对症下药”,达到事半功倍的效果。
练眼力,提高自己的欣赏力(鉴别优劣的能力)。这是学习者走正确之路和不断进取的精神先导。
练手功,即控制运笔的能力。练手功的目的是使写出的作品达到眼光所推崇的完美程度。一般来说,眼力的提高快于手功的提高是好现象,它可以练习与创作不断进步。
签名书写心得:
1、选一只弯头的美工笔(英雄牌)或钢笔,保证墨汁流畅。美工笔容易体现笔画粗细,笔锋、线条的!选一张较为光滑的白纸书写,便于运笔,练习线条。
2、结合自己的名字笔画和性格特点,突出名字的个性。
3、在设计签名时,几个字要尽量靠拢,不能隔得太远、太散。
4、可以适当改变笔画的顺序,不按套路出牌。
5、找出你名字中的主笔,夸张地写出来!
新型移动支付业务发展现状及安全保障研究
近年来,伴随移动互联网技术的快速发展与智能手机的普及,我国移动支付业务呈现高速发展的态势。数据显示,2016年移动支付交易规模约为208.4万亿元,移动支付已经深刻改变了人们的日常生活。移动支付业务之所以能够得到快速发展,根本原因在于其“便捷”的特征,但是,在这种“便捷”背后,仍存在着许多风险制约因素,只有在全面认知这些风险的基础上,实现有效的风险防控与安全保障,才能进一步推动我国移动支付行业更加快速健康发展。本文在研究当下主流新型移动支付方式具体实现流程的基础上,深度剖析流程中的风险因素,提炼风险特征,旨在为移动支付业务的安全保障措施提出有效建议。
移动支付的特性与发展现状
移动支付的概念及特性
移动支付的概念。中国对电子支付做出如下定义,“电子支付(Electronic Payment or E-Payment)是指单位、个人直接或授权他人通过电子终端发出支付指令,实现货币支付与资金转移的行为。电子支付业务要求应在银行开立结算账户,电子支付指令与纸质支付凭证可以相互转换,两者具有同等效力。电子支付若按其指令发起方式则主要可以分为网上支付、移动支付、支付、销售点终端(POS)交易、自动柜员机交易五种支付类型。”
作为电子支付的一种,无论是业界专家还是学术界学者对移动支付概念都有所阐释,但是,至今为止有关移动支付的概念尚未有统一的界定。综合众家所长,可以得出移动支付定义中必然包含的几个关键要素,即移动终端设备、无线通信网络技术、商品或服务、账户交易。因此,简单来说,移动支付是指用户使用手机、平板电脑等移动终端,对所消费的商品或服务进行账务支付的一种支付方式。单位或个人通过移动设备、互联网或者近距离传感直接或间接向银行金融机构发送支付指令产生货币支付与资金转移行为,从而实现移动支付功能。移动支付将终端设备、互联网、应用提供商以及金融机构相融合,为用户提供货币支付、缴费等金融业务。移动支付主要包括远程支付和近场支付。
远程支付,指通过移络,利用、GPRS等空中接口,和支付系统建立连接,实现各种转账、消费等支付功能的支付方式。由于以、微信和QQ等为代表的第三方App在移动端的普及,普通消费者对于远场支付的感受更加深刻。
近场支付,指通过具有近距离无线通讯技术的移动终端实现信息交互,进行货币资金转移的支付方式,其中最具代表性的是NFC支付。NFC支付是指消费者在购买商品或服务时,即时采用NFC技术通过手机等手持设备完成支付,是一种新兴的移动支付方式,并且伴随着越来越多的智能手机支持NFC功能,该种支付方式逐渐流行起来。
移动支付的特点。一是移动性,随身携带的移动性,消除了距离和地域的限制,结合了先进的移动通信技术的移动性,随时随地获取所需要的服务、应用、信息和娱乐。二是及时性,不受时间地点的限制,信息获取更为及时,用户可随时对账户进行查询、转账或进行购物消费。三是定制化,基于先进的移动通信技术和简易的手机操作界面,用户可定制自己的消费方式和个性化服务,账户交易更加简单方便。四是集成性,以手机、平板电脑等为载体,通过与终端读写器近距离识别进行的信息交互,可以将移动通信卡、公交卡、地铁卡、等各类信息整合到以手机为的载体中进行集成管理,并搭建与之配套的网络体系,从而为用户提供十分方便的支付以及身份认证渠道。
我国移动支付业务规模
中国发布的《2022年第一季支付体系运行总体情况》显示,第一季度,银行业金融机构共处理电子支付业务374.01亿笔,金额756.84万亿元。其中,网上支付业务112.97亿笔,金额658.78万亿元,同比分别增长8.17%和0.14%;支付业务4007.27万笔,金额2.34万亿元,同比分别下降25.30%和26.33%;移动支付业务93.04亿笔,金额60.65万亿元,同比分别增长65.71%和16.35%。非银行支付机构处理网络支付业务470.90亿笔,金额26.47万亿元,同比分别增长60.13%和42.47%。
2009年至2015年,我国非现金支付交易规模持续增长,到2015年,非现金支付交易规模为3448.9万亿元,同比增长89.9%;移动支付交易规模达到108.2万亿元,同比增长379.1%。2016年,我国支付行业共处理移动支付业务1228.6亿笔、208.4万亿元,处理互联网支付业务1128.8亿笔、2133.4万亿元,移动支付业务笔数首次超越互联网支付,标志着我国零售支付市场移动支付时代的到来。
我国第三方互联网支付交易规模达到19.3万亿元,增长率为62.2%;第三方移动支付交易规模为38.6万亿元,增长率为216.4%(图1)。
图1 2011-2016年中国第三方互联网支付与移动支付交易规模及增长率
2016年中国第三方移动支付市场交易规模市场份额中,以52.3%居于首位,财付通以33.7%位列第二,易宝支付的市场份额占比增长较快。
移动支付的主流形式
支付。手机支付是手机支付的最早应用,将用户手机SIM卡与用户本人的建立一种对应的关系,用户通过发送的方式在系统指令的引导下完成交易支付请求,操作简单,可以随时随地进行交易,手机支付服务强调了移动缴费和消费。
二维码支付。二维码支付是一种线下实时交易的移动支付方式。通过二维码支付,商家可以将使用者的账户、商品价格及其重要属性等信息编码成二维码,并印刷在报纸、、书刊、海报等平面媒体上。用户通过手机等移动终端设备扫描二维码,就可以读取商户、商品信息等,并可实现与商户对应账户的支付结算操作。二维码支付是一个非常好的解决方案,、微信都使用了这种支付手段。但是,二维码也存在诸多弊端,安全性是一个很大的问题,二维码支付解决方案提供方应着重考虑该问题。
NFC移动支付。NFC支付是指消费者在购买商品或服务时,采用NFC技术通过手机NFC射频通道实现与POS收款机或自动售货机等设备的本地通讯设备完成支付,是一种非接触式近场支付,也是银联与互联网支付公司在线下移动支付中的竞争利器。相比互联网支付方式,NFC支付在安全性、支付流程和支付的信息保护措施更加优化。在便捷性上,NFC支付步骤少,移动设备无需联网便可完成支付交易。NFC支付与传统卡支付相比,NFC支付提供了更加安全、快捷的线下移动支付体验,有望彻底消费形式。数据显示,2016年全球使用NFC手机进行支付交易的人数将超过1亿人,预计到2022年,通过NFC手机支付交易的数额将增长至700亿美元。
生物支付。生物特征的识别技术让生物支付逐渐发展起来,但是,目前生物支付只能作为一种辅助支付形式,或者作为身份验证的保障措施。常见的生物支付形式有指纹支付、声波支付等。指纹支付即指纹消费,是采用目前已成熟的指纹系统进行消费认证,即顾客使用指纹注册成为指纹消费折扣会员,通过指纹识别即可完成消费支付;声波支付则是利用声波的传输,完成两个设备的近场识别。其具体过程是,在第三方支付产品的手机客户端里,内置有“声波支付”功能,用户打开此功能后,用手机麦克风对准收款方的麦克风,手机会播放一段“咻咻咻”的声音。
移动支付的应用场景
随着移动设备的普及和移动互联网技术的提升,移动支付已经悄然占据了生活的大部分,中国支付清算协会发布《2016年移动支付用户调研报告》显示,22.8%的用户每天使用移动支付,每周使用的用户则高达约60%。之所以移动支付的生活化程度如此高是因为移动支付场景的覆盖面越来越广,移动支付的应用场景越来越丰富。
移动支付具有随时、随地、随身的特点,与传统支付方式相比,多应用于小额、快捷、便民等支付领域,例如,公共交通、旅游、菜场、便利店、移动互联网消费等。部分银行手机银行业务、非银行支付机构钱包产品中嵌入与百姓日常生活息息相关的服务,例如,话费流量、、机票、、网点门票、、签证、游戏、油卡代充、违章罚款等功能,移动支付生态圈正逐步形成。
移动支付的场景不仅在城市中拓展,在广阔的农村地区也发展迅速,长期以来,农村地区普通行政村一级的银行机构网点基本处于空白状态,农民要想金融支付业务路途远、困难多、成本高,村域支付结算需求受到抑制。随着支付技术的发展和推广,农村地区的支付环境持续改善,移动支付已逐步成为解决农村金融支付服务需求的切入点。截至2016年末,农村地区网上银行开通数累计4.29亿户,2016年发生网银支付业务笔数98.29亿笔,金额152.06万亿元;手机银行开通数累计3.73亿户,发生手机支付业务笔数50.86亿笔,金额23.40万亿元。
我国移动支付已经走出国门,我国居民消费也可以享受到移动支付带来的便捷。随着海淘市场的快速发展和国内居民出境旅行的大幅增长,我国跨境支付业务整体呈快速上升趋势。近年来,商业银行、清算机构和非银行支付机构积极将我国移动支付手段和技术向商户拓展,将国内移动支付的业务和用户体验直接复制到,既方便了我国居民到旅游消费,也将我国移动支付技术标准和影响力迅速拓展到全球,引领世界移动支付发展。截至2016年底,已在160个和地区开通了受理,受理商户近2000万家,并积极将银联手机闪付和银联二维码支付业务向存量商户快速拓展。除此之外,和微信支付等非银行支付机构的合作商户也已覆盖50多个和地区。我国居民到旅游消费已可方便实现与国内一致的便捷购物体验。
移动支付的安全风险状况
随着移动支付业务的快速发展,移动支付的安全问题也显得越发重要。移动支付的健康发展离不开安全保障体系的建立与完善,但是,随着越来越多的场景、场所、设备和人成为支付的接入点,支付风险会继续存在并上升。发布的《2016年移动支付安全调查报告》显示,2016年遭受欺诈的用户比例有所上升,受损金额也不断走高,移动支付安全形势日趋严峻。
移动支付的安全问题
目前,移动支付存在的安全问题主要体现在以下几个方面。
第一,移动支付设备的安全。首先,大量滋生的手机或木马对移动设备的侵袭,或者支付软件本身存在的安全漏洞,容易引发移动支付的安全隐患。由于大部分手机本身未采用加密等安全措施进行保护,所以不法分子可以通过钓鱼网站或木马程序窃取用户信息,并通过移动互联网使用用户账户支付,造成用户实际的资金损失。同时,手机丢失或者也可能造成移动支付用户的巨大损失,目前的移动支付方式是将客户手机、相关联,为提高支付便捷程度不需要输入密码,用户在丢失手机后容易被他人冒用进行移动支付。
第二,移动支付用户信息保护。移动支付的重要环节是用户信息的传送,但是,当用户的个人信息安全无法得到保障时,就需要完善移动支付交易中各方的身份识别。当用户的账户信息、身份信息、交易密码、出现泄漏时,不法分子即通过冒用用户的身份信息来进行消费或转账等操作。目前,我国对于个人信息的保护工作还不完善,相关的法规和机制都存在缺失,部分互联网企业对于管理不合规,使得互联网支付中经常出现用户信息泄露,造成客户的资金损失。
第三,移动支付方式的安全。为提高移动支付业务的便捷性,移动支付目前基本不采用物理介质的安全认证方式,大部分移动支付方式是通过来作为交易的安全认证方式,但是,本身的安全性就存在隐患,近些年高发的网络案件,不法分子基本围绕着,利用当前通信过程中的安全漏洞窃取客户的信息并进行,或者直接通过其他哄骗手段来获取用户的信息。部分支付方式则采取交易密码认证方式,交易密码一般为6位数字,比较容易被尝试,部分移动支付App对交易密码的密码强度进行要求,但是,并未从根本上解决交易密码容易的问题。
第四,移动支付业务风险。目前,市场上出现大量能够实现移动支付的App,在实现移动支付基础业务功能的同时,均在App中增加各类金融服务,包括互联网货币市场基金、银行理财产品、保险产品、P2P借贷、众筹等,部分甚至是非规范、处于灰色地带的投产品。在考虑移动支付产品自身安全性的同时,也需要关注这些移动支付业务产品出现的风险,包括支付机构在开展支付业务时出现的资金流动性风险,移动支付大量的资金交易出现的风险;预付卡、购物卡业务可能发生的、受贿等灰色交易风险。同移动产品本身的风险相比,这些类型的风险更可能从宏观的层面给整个金融市场秩序带来影响,一旦出现将会出现规模化的用户冲击。
产生移动支付安全问题的主要原因
移动支付业务的安全问题是多方面的、也是复杂的,主要由于以下原因。
支付环境日益复杂。移动互联网技术的快速发展,也带来许多安全方面的问题,近年来,移络环境复杂,手机、木马程序也呈现出快速增长的态势,依靠手机侵入客户手机、,通过第三方市场发布钓鱼App、利用传播的假等各种形式盗用客户账户的行为层出不穷,危害客户的资金安全。
手机系统存在漏洞。随着智能手机的发展,操作系统的功能也越来越丰富,带来了手机操作系统安全问题,由于Android操作系统具有性,不同于IOS系统需要通过苹果审核,可以自由地在各大应用市场进行发布,大部分Android操作系统的更新和升级往往由各家手机厂商完成,这也使得目前Android已经成为木马及钓鱼App攻击的主要对象。
体系尚不健全。由于移动支付发展时间不长,目前国内有关移动支付的较少,部门的业务规范相对不足,移动支付主要发展也是源于市场发起,因而没有完善的移动支付标准,仍使用网银支付作为移动支付标准已经过时,缺乏业务的针对性。
不到位。近年来,中国等部门开始逐渐加大支付清算市场的整治力度,部分未合规开展互联网支付业务的支付公司被暂停业务,同时,成立支付清算协会等,建立健全支付工作机制。但是,由于多个部委对于移动支付都有权,不能形成统一有效的风险制度,从而加大了的难度。
消费者安全保护意识薄弱。目前,国内移动支付处于一个爆发式的发展阶段,使用移动支付的用户比例飞快上升,但是,大部分用户在体验移动支付快捷、便利的同时,对移动支付的安全缺乏了解,自身的安全防范意识比较薄弱,对于有效提升消费者对移动支付的安全防范意识和能力,还需要做较多工作。
移动支付案例分析
移动支付的发展了许多移动支付方式,上文也提到了几类较为主流的支付方式,各支付方式均有自己独特的适用性和场景覆盖以及独特的实现流程和原理,也正因此,各支付方式面对的安全风险特征或有差异。目前,移动支付领域最具代表性的支付方式是二维码支付和NFC手机移动支付,这二者的使用群体也最为广泛,场景覆盖面也最广,因此,下面主要针对这两种移动支付形式进行剖析,在分析其实现流程和原理的基础上,提炼出主要的风险因素和特征,并据此提出相应的安全保障建议。
二维码支付
二维码支付的实现原理。在日常使用二维码支付的页面,通常可以看款页面商家的名称,实质上,二维码是一个信息的载体和链接的外在表现形式。选择二维码作为信息载体,一方面是受收银台扫描商品条形码来识别商品这一场景的启发,另一方面是二维码是用某种特定的几何图形按一定的规律在平面即二维方向上分布黑白相间的图形以记录数据号信息,能够在横向和纵向两个方位同时表达信息,因此,可存储足够大的数据信息,而且支持不同的数据格式,同时,二维码有一定的容错性,部分损坏后仍可正常读取。这一切,使得二维码成为被大众广泛使用的信息载体。
二维码携带的信息无过肉眼识别,不同的支付机构在二维码中注入的信息规则不一致,需要对应的根据其编码规则解析。每次使用扫一扫识别二维码后,都会提示“正在处理中”,意味着正在解析这个二维码的内容,例如,核对二维码携带的链接地址是否合法、是属于支付链接还是属于外链等。
二维码的校验规则较多,就支付链接来说,校验属于自己公司的支付链接后,会获取支付链接中包含的商户信息,进而判断该商户是否存在、商户状态是否正常等,所有校验通过后,会把商户名称返回到发起用户的手机App上,同时告诉App,校验通过了,可以调起收银台。于是确定支付,输入支付密码,继续校验支付密码以及相关交易信息的正确性,正确的话支付就此完成。
以上说的是主扫,也就是C端个人用户扫商户;至于商户扫用户,原理是一样的,只不过用户的码中包含的是识别该用户的专属ID,商家通过收银系统向微信或提交订单时,把扫码枪识别出来的信息传递给微信或,他们根据这个专属ID找到对应的用户,并完成用户相关支付账户或者银行账户的资金扣划。目前,一般二维码支付背后所采用的为代扣通道,这也是考虑到线下消费场景使用的灵活性与便捷性。
实现扫码支付的过程如图2所示。
图2商户主扫码支付流程图
二维码支付的安全风险。二维码支付由于各类场景的适配性以及方便快捷的特点,成为当前线下小额高频支付场景中为用户和商家乐于选择和接受的支付方式,但是,二维码支付存在的安全风险是一个很大的弊端。2014年3月,中国就曾因安全问题全面暂停了二维码线下支付,随着二维码支付标准的发布才又放开。
第一,技术安全风险。由于二维码技术门槛低,通过二维码生成、二维码生成器等就可制作。因此,制作二维码的主体随意性大,二维码易被链接含有木马的网站以及钓鱼网站,普通用户无法识别二维码内容真伪以及安全性,给二维码用户带来极大的安全隐患。
第二,资金安全风险。一是由于交易资金差错带来的风险。由于二维码支付场景下,各个主体之间的责任划定不够清楚且存在真空地带,当出现攻破支付终端或截获传递的信息并篡改支付结果等非归属于参与主体间的任何一方责任的问题,按照市场业务规则,一般二维码支付的应用服务方和发卡方处于需要承担更多责任的弱势地位,需承担校验责任和欺诈风险。二是存在“”风险,滋生“”新链条。以微信支付为例,在没有真实交易的情况下,持卡人扫描商家推荐的二维码,输入“”金额,绑定并支付,对方会在随后将资金打回持卡人的其他银行账户。在通过二维码支付“”的过程中,规避了现实生活中购买POS机需要、复印件、个人正面照片等规定,流程更简单,生成二维码也不需要成本,手续费也比较低。据《商报》报道,某公众扫描二维码支付“”手续费仅为1%。由于该种“”方式为远程,经常出现案例,持卡人没有见过对方,很可能钱打过去后,对方就消失。
第三,信息安全风险。用户扫描二维码后,智能移动终端中安装的客户端软件会对二维码进行解析,客户端软件一般具有加密功能,但是,软件加密安全性目前还有待验证。不同于传统的POS机具拥有安全认证和严格的密钥体系,二维码支付中的移动支付终端环境复杂,被攻击的渠道较多,难以保障安全。
二维码支付的安全问题保障机制。一是建议部门制定统一的二维码编码标准,平衡易用性和安全性,对二维码中的账户信息进行加理。明确要求支付机构和特约商户不得存储客户的或芯片信息、、密码等信息,不得向其他机构或个人提供。二是要规范二维码生成器的使用范围,限制二维码制作主体资质,对使用二维码生成器的主体进行备案。对支付机构开展准入管理,对支付机构二维码支付所涉及的系统、客户端等相关产品应进行检测认证。针对使用二维码的商家实行准入管理,缴纳信用保证。三是要界定商业银行、支付机构合作开展二维码支付业务中的权利、义务和风险赔付责任,切实保障客户资金和信息安全。同时,实行持卡人在非授权交易中的有限责任制度,将非授权交易的绝大部分风险转移至发卡行。
NFC手机支付
NFC支付的实现原理。NFC手机支付是在NFC技术原理的基础上,和兼容设备在短距离当中进行识别,并进行数据的。带有NFC功能的手机和兼容的NFC支付设备之间,能够利用NFC技术进行数字支付。
NFC支付需要通过App获取支付的Token令牌,这个令牌与标准用户编码相仿,都是16位数字,能够与现行支付处理架构相兼容,并且与某个实体卡绑定。通常NFC支付App分为两种,一种是银行发行的,另一种是非银行发行的。银行发行的App就是在安卓上的银行客户端“云闪付”插件(与银联合作),一般启用此插件后,需绑定卡片,获取Token,注册系统到NFC,单一银行App对应单一的Token,若10个不同银行的卡都支持手机NFC,则需要安装10个App来解决需求,并且没有办法很方便地在支付时选择默认卡片之外的片进行支付。非银行发行的App主要是Apple Pay、Android Pay和钱包等,这些通过与银行和卡合作,提供集中式的卡片管理和Token管理,工作方式也是基于NFC,与银行的App大同小异,只是集中管理后更加方便。
银联手机闪付和Apple Pay都是基于13.56MHz的非接触式交易,工作方式及原理大同小异,整个支付过程是离线的,支付网络和传统线下支付没有任何区别,因此,通过NFC手机支付需要线下商户布局银联手机闪付POS终端用于接收。
NFC移动支付实现的大致流程如3所示。
图3 NFC移动支付流程图
NFC支付的安全风险。NFC基于短距离的信息传输增加了可靠性,但是,通过特定的天线,标签的信息有可能被。NFC技术除了在硬件和信息外,还存在着信息复制,信息恶意,受到中间人攻击的问题。下文对NFC移动支付的安全问题进行分析。
一是,NFC移动支付是无线通信接口,两个设备建立通信之后,因为标签内部的信息在传输过程中并不是一直加密,一般信息在链路层通讯时并没有对信息进行加密,这使得信息在该层传输时被的可能性增加,从而造成信息泄露。攻击者通过天线能够接收到传输信号,但是,NFC移动支付所建立的通信距离很小,一般小于10cm,因此,对于攻击者而言,理想状态下对主动设备进行距离为10m以内,对被动设备进行则在1m以内,这是NFC移动支付主要的安全问题,而想要彻底解决问题,则要建立安全的信道来通信。
二是篡改数据,数据篡改主要有数据、数据修改以及数据三种形式。数据就是攻击者对NFC移动支付设备之间数据传输的。攻击者主要利用NFC接口,在数据之后,数据接收者就不能够完整地接收到相关数据发出者发出的数据信息,最终导致无法理解数据。攻击者只要在特定时间传输同样频率的数据就可以进行,数据的主要威胁是数据信息传输过程中的干扰,而不是数据的泄露;数据修改之后,接受者就不能接收到与传输者传输的相同数据,从而导致信息错误,增加数据、减少数据、改变数据都是数据的修改范畴,但是NFC移动设备在数据传输的过程中能够实现射频场的检测,因此此种供给方式能够被检测出来,也就能够进行针对性的防范;在两个NFC移动支付设备进行数据传输过程中,攻击者数据的篡改方式就称为数据。数据可能导致数据应答的延迟,数据要求在原始设备回答前完成,如果满足不了这个条件,那么数据就变成了数据的供给形式,这种篡改数据的形式也能够被检测到。
三是中间人攻击,中间人通过第三方会话使NFC移动数据发出设备和NFC移动数据接收设备之间数据出现问题。这种中间人攻击有着特定的要求,中间人需要真实的发出移动设备和接收移动设备之间的数据传输,但是,NFC是一种近距离的无线通讯方式,如果中间人发出或干扰,出现假冒数据的攻击,一定会检测出来,因此,此项攻击也不容易实现。
NFC移动支付安全问题保障机制。NFC移动支付安全问题的演变可以分为两个方面,即技术手段和应用管理。技术解决方法着重从信息系统的技术环节入手,通过类似加密、访问控制、身份鉴别等一系列成熟的技术方法消除安全威胁;而应用管理则关注NFC移动终端用户在无线支付过程中应该注意的与人员、管理相关的事项。
一是安全模块中的保障机制。采用访问控制机制,例如,个人识别码的错误尝试次数和数字认证的生命周期管理;相关密钥的备份恢复机制,避免丢钥或密钥失效后加密数据无法被正常处理;严禁机密数据以明文形式被存储和传输;所有交易记录都必须附加时间戳,以避免数据重放攻击;系统硬件需进行完整性检测以避免运行时故障;严禁没有进行签名、无法验证来源方的软件并运行。
二是基带处理器的安全机制。建立身份登记制度,确保手机应用的真实性、完整性;防止个人识别码在输入时被截获;严格划分不同的安全域;与安全模块的相互认证。基带处理器是通用手机的重要部件,主要负责数据的收发和GSM、GPRS及UMTS等无线通信信号的处理,提供应用程序的访问接口和人机界面以及与SIM卡的通信。具有NFC功能的手机要求基带处理器能够提供访问NFC的API以及与SE交互的API基带处理器为NFC相关应用提供了运行环境,有些应用可能在没有用户干预的情况下就运行,有些应用代码有签名而有些代码则没有签名。因此,不同的代码其可信程度也不一样,需要在手机的不同安全域中运行。
三是NFC芯片的安全机制。用户必须能够对NFC模块功能自主开关,以防止NFC芯片的内容被随意读取。NFC标签在生成时会被烧入一个ID序列,该序列是唯一不可复制的,通过非对称算法由该ID序列可得到一个密文,该密文被存储在标签的数据区,因此,NFC设备在进行数据通信的时候,通过对该密文的对比匹配,判断标签的真伪,实现NFC技术的安全通信。
四是操作系统及应用的安全防护。目前,用户使用的移动终端设备主要是智能手机,都需要安装相应的操作系统,才能安装各种应用程序、各种不同类型的智能手机操作系统的相关安全功能及应用软件的安全使用;在移动端操作系统安装防和恶意软件工具和防火墙,对智能手机安全软件检测的威胁应给予充分重视。
五是培养用户的安全意识。新的技术需要新的宣传和培训,尤其是安全问题更应该受到高度重视。现在用户用的移动支付终端主要是具有NFC功能的手机,相应的宣传和培训应该包括正确使用NFC智能手机、能够识别潜在威胁并应对、掌握预防自己NFC手机失窃及损坏的正确方法、正确使用PIN码以及手机密码的正确设置。
六是建立信用体系。NFC移动支付是以网络为基础的,而虚拟性是网络的重要特征,因此,信用制度的建立更加重要。
关于防范移动支付安全风险的建议
移动支付为用户带来便捷体验的同时,也会对用户的安全保障带来一定挑战,这种矛盾是长期存在的,移动支付安全问题虽然无法完全避免,但是,防范措施得当基本可以保障用户资金安全。面对当下的移动支付安全风险,需要所有参与方共同努力防范,所有的环节都不可疏漏,做好风险防范需要服务对象层、服务运营层、技术支撑层和层四个方面的主体共同加强防范。
服务对象层。服务对象层指的是用户与商户,用户需要提高风险防范意识,养成既注重方便快捷又注重安全风险的良好支付习惯,能够基本识别伪Wi-Fi、欺骗、客户端软件木马、恶意二维码等影响支付安全的因素。网络环境具有复杂性,各种信息充斥其中,不乏钓鱼网站、欺诈和信息等容易使用户轻信上当的内容,用户要坚信“天下没有免费的午餐”。在交易过程中,用户要对涉及交易的信息加强保护,例如,账户信息、交易密码、支付防止被他人窃取,尽量选择具有公信力的支付商户或进行操作。
商户需要提高风险预见能力,加强风险防范责任意识,使用正规的支付受理终端,不使用改装的支付受理终端,采用安全性较高的支付方式,必要时提示用户潜在的支付风险。加强内部管理水平,防止内部道德风险,避免出现员工借操作之便,窃取用户信息,甚至借机盗刷用户资金的情况。
服务运营层。服务运营层是指受理机构、转接清算机构、账户管理机构和渠道等中间机构。严格把控产品的选型、验收、抽查等环节,选择合和金融行业相关标准的支付产品,对产品质量和标准合性进行验收把关,并定期对受理终端改造等行为进行抽检,为商户和用户提供安全、放心的支付渠道。互联网企业、互联网商户与支付机构之间应进一步加强移动支付风险协作。在相关部门的指导和产业单位的支持下,利用现有相关风险联合防范,在规范标准制定、风险信息共享、风险联动处置等方面更加紧作,共同防范欺诈。
不断加强系统安全防护能力,依据系统的安全等级定期开展风险评估,使系统具备常见入侵攻击手段的防范能力,严防商户、用户信息泄露。提升系统人员的安全技术水平,具备防范常见入侵攻击的能力,提高代码质量。规范技术人员外包管理,与外包人员签订保密协议,建立完善的信息保护机制,确保信息泄露风险可控。定期对商户、用户进行风险提示,引导商户和用户采用安全的支付方式,从渠道获取支付应用,掌握风险应对方法。
技术支撑层。技术支撑层分为两类,一是安全技术提供商,包括移动终端厂商、受理终端厂商、卡商、芯片商等。二是检测认证机构,主要指检测机构和认证机构。
严格按照和金融行业相关标准,生产制造受理终端、卡片、芯片等支付产品,不断提升产品的安全防护能力。加强与产业下游企业的互动协同,以安全需求为导向设计生产支付产品,合力提升信息保护和移动支付安全。
这些机构需要严格按照和金融行业的相关标准要求对移动支付产品的标准合性与安全性进行检测认证,为支付产业把好质量关,并积极与产业上下游企业和机构开展合作,共同研究更加有效的移动支付安全防护方案。
层。良好的移动支付制度的建立会确保移动支付的健康、有序、可持续发展。对于移动支付这一新业态,一方面,应该给予必要的发展空间,鼓励创新,开拓新的支付业态,满足大众对于新的需求;另一方面,也应做到对于金融风险可控性把握,避免影响金融稳定与发展。建议移动支付部门适当借鉴国外的,细化各主体职责,消除移动支付交叉业务的真空,将移动支付业务纳入体系。其他机构、网络、安全机构等应充分利用大数据技术,实时连续监测移动支付类别、业务规模、等数据,共同分析总结移动支付的特征与发展趋势,为如何共筑支付安全提供相互的支撑。
层除了继续一系列制度之外,也应充分考虑我国移动支付特色发展的实际情况,在合理借鉴国外移动支付标准的基础上,制定适合我国移动支付的统一标准。该标准除了现有的技术标准、安全标准、终端标准外,还应包括整个产业链上各环节的协调、管理、运营与等。同时,相关部门应联合移动支付产业各参与方,建立统一的产业标准。在现有体系架构基础上逐渐完善行业,继续加大力度指导行业有序健康发展,合理解决支付市场问题,营造有序健康的受理环境,进一步加快形成助推移动支付产业升级的长效机制。
此外,建议由机构牵头,由权威机构或第三方专业风险评估机构根据不同互联网支付企业的产品特点,按安全等级给予不同的评价,从支付系统运维安全与保护、产品流程风险评价、产品软件硬件环境等度进行系统性评价设计,给出不同产品的安全评级,按照不同等级区别确定支付范围、客群分类、支付限额,降低高风险支付产品对客户资金的风险影响。
