从身边的移动支付说起

工科男改变世界

于 2014-08-23 20:54:33 发布

阅读量1.3k

点赞数

分类专栏：信息安全文章标签：移动支付

本文链接：https://blog.csdn.net/StuartGuo/article/details/38780765

版权

信息安全专栏收录该内容

2 篇文章 0 订阅

订阅专栏

移动支付是一个掌握着很大市场价值的行业，各种2.4GHz、NFC、光子支付等等概念也让人应接不暇，然而移动支付的本质什么，该如何理解移动支付的过去和未来呢？

从我们一开始买卖商品的现金开始说吧，现金需要大量不同面值的携带，并且只支持面对面的交易，现金交易的安全性在于现金的防伪性和交易的当面性。之后随着电子技术和通信技术的发展出现了银行卡，银行卡是现金的替代品，它将现金这个需要各种面值携带的实体变成了卡中携带的数字信息，这个时候的付款不在像现金交付这样简单，而是变成了银行卡和刷卡机之间的读写过程。随着互联网的发展，和银行卡中的数字变动相关的信息都放在了网络上，于是就有了网上银行，如果说网络是现实的映射的话，那么网上交易就是现实交易的映射，借款还款不在当面进行了，而是通过网上银行转账，在之后很自然的就出现了网上购物，网上投资，这是一个超级大的生态圈，只依靠银行是不能完成的，于是有了第三方支付，我理解的第三方支付就是说除了银行之外的其他实体可以接入到银行卡的数字变更系统了，他们可以通过银行的平台来变更你的银行卡信息，可以从你的卡里扣除一部分数字，也可以向你的卡里增加一部分数字。第三方支付的过程是消费者、第三方支付者和银行三个实体共同完成的活动，其目的就是将银行的平台推向更广阔的市场。于是有了支付宝、财付通等等，我们可以把在银行办的银行卡注册到第三方支付的支付平台，这样第三方支付平台从开卡行获取了你的账户信息，也获取了操作你账户信息的权限，于是我们通过第三方支付平台购买东西、转账、投资理财都可以导致第三方支付商从我们的银行卡中扣除相应的数字。然后这样在数字化账户信息的背景下，就出现了两个巨大的区分市场，一个是线上支付，比如我我们在淘宝买东西用支付宝余额或者绑定的银行卡直接付款或者用网银提供的优盾付款；一个是线下支付，比如我们用现金直接付款或者用刷卡器付款。这其中的安全性问题稍后再做讨论。然而我们看看自己的钱包也可以发现，除了银行卡，我们还有其他的充值类的卡片，比如SIM卡、食堂的就餐卡、公交卡等等，从热力学的角度来讲，这些卡片的能量品质是降低的，然而现在这些卡片有违背热力学第二定律的迹象，我们从现金或者银行卡充到SIM卡中作话费的钱可以买卖东西了，我们充值到公交卡中坐公交车的钱也可以刷711了，于是运营商、公交中心就变成了小银行，他们可以通过卡片充值揽储了。于是除了银行和第三方支付平台的支付，还有这一类逆袭的伪银行（不知道它们属不属于影子银行）。支付活动的可能参与者到这里就分析完了，下边来分析支付的安全性。

面对面的现金交付是最安全的，因为其参与者只有两个人。但是因为现金的不记名特性，导致the step before trade是不安全的。银行卡的记名特性解决了这一问题，但是要在两个人的基础上引入第三方—银行，开始的刷卡支付是在银行的内部网络进行的，这是交易参与有三方，银行是有信誉的单位，所以也会很安全。之后银行不再通过自己的内部网络交易，而是通过互联网，这样可以实现更大的交易范围和跨行交易，但是也将个人的账户信息暴露到网络上，一些Hacker便可以利用这些信息，这样信息安全及应用到了支付行业，于是产生了口令卡和优盾，因为仅仅靠线上的软件保密手段还不足以无懈可击，所以引入硬件的加密模块实现了比较安全的支付，这样却给支付过程造成了繁琐。第三方支付不需要银行一样的信誉，他们仅仅通过软件的手段就实现了支付过程。于是现在有很多有钱人都不怎么用支付宝之类的第三方支付软件，他们只相信银行。伪银行们的支付就更加不可靠了，除了系统内的资金流动比如我可以通过话费余额转账来实现交易，其他的都类似于第三方支付，而且还是线下的第三方支付。智能手机的推广给支付活动带了很有意思的机会，智能手机既可以和电脑一样实现网上支付，也可以像银行卡一样实现线下刷卡支付，也就是说手机把线上和线下的支付结合起来了，于是出现了移动支付的概念，我理解的移动支付就是用手机来代替银行卡，手机代替银行卡有两个问题：一是手机要安全存储银行卡的账户信息，这个对于数字化程度不知比银行卡高出多少倍的智能手机来说不是问题，一个APP轻松搞定，想象一下，以后去银行开户可以不用办卡，直接在你手机里装一个APP就可以了，同理公交卡、餐卡也是；而是手机要实现刷的功能，这就催生出不同的支付标准，2.4GHz支付，NFC支付，光子支付，声波支付等等，无非就是刷的手段不同。这样银行、第三方、伪银行在智能手机上实现了支付过程的统一，一个包含账户信息的app和刷账户信息的方式就取代了银行卡，同时这样把银行卡和刷卡机也统一起来了，我们的手机既可以作为银行被刷，也可以作为刷卡机刷别人的卡，账户信息的变动是双向的也可以避免交易出错。移动支付确实很方便，但是安全性确实不得不考虑的问题。支付终端从PC扩展到了智能手机，优盾要被其他的硬件密保取代：比如蓝牙key、音频key、耳机key、OTG key 等等都是为了保证移动支付的安全性。便捷和安全就是一对矛盾，移动支付的真正成熟一定会始于两者的统一。