...
先不着急评价pc上支付宝的安全到底如何!后续详述!
移动互联网很多商业模式就是简单复制PC上的模式,有些成功,有些失败。比如微信对QQ的颠覆。
我们先看看复制靠谱吗?
1、u盾能复制吗?
pc平台操作系统较少,主要以windows为主,即使如此,当年为了适配sp1、、、、、2013,为了增强U盾的用户体验,卡商都做了大量的努力。
不光操作系统,浏览器的适配也是很麻烦的,到现在大部分U盾也仅支持IE浏览器(1、2、、、11),通过CSP和U盾交互。
切换到移动平台,卡商们也在复制曾经的历史,貌似比较惨淡。
1) 比如支持手机的TF卡,WP和IOS就没有这类插槽,有些Android终端也木有。。。
智能SD卡的架构如下
智能SD卡不同于我们常见的SD存储卡,除了携带Flash用于存储功能外,还带有一个智能卡芯片。智能SD卡具有如下功能:
a)内置硬件随机数发生器;
b)硬件协处理器支持DES/3DES、RSA(512 bit、1024 bit)加密算法,SHA-1摘要算法;
c)用户存储空间:64 KB或者更大。可用于存储个人信息、密钥、数字证书;
d)带1 GB以上Flash存储空间,可用于数据存储或者应用软件预置。
SD卡既可以用在移动终端上,也可以用在PC上,从而适合多环境,包括移动场合,进而兼容各种应用模式。
这种方式为啥没有商用?主要原因是银行已经逐渐淘汰一代U盾。。。
2)支持所有终端的U盾
TF注定就是一代U盾,孤独一辈子。那么PC的U盾模式可以复制到手机上吗?可以,耳机孔、蓝牙、OTG以及苹果的idock等专用接口。
耳机孔最早的历史是:
美国密歇根大学的电气工程与计算机科学部日前研发了一个小设备,将iPhone等iOS设备耳机插孔作为插槽,22 kHz音频信号,7.4 mW的低功率。它可运行TI MSP430微处理器等设备,与iOS设备实现信号传输。目前通过HiJack可以实现的应用有心电图接口、温度/湿度传感器、PIR运动传感器等,该部门计划将来将HiJack拓展到Android平台和WP7上去。
Square公司采用类似的机制在iPhone平台推出了移动支付系统,实现了iPhone直接读取信用卡。
现在国内很多公司基于耳机孔开发了二代u盾(俗称音频U盾)。
听说有银行对此类产品已经展开了测试。但这种产品也有其问题。。。。。
蓝牙U盾也已经量产,支持PC和各类支持蓝牙的移动设备。
为苹果定制的idock U盾现在也已经有产品了,但idock的pin一直在改变,同时idock还需要集成安全芯片,,,都要给苹果交钱。。因而商用进展较为缓慢。
最后就是OTG了,长期以来手机一直作为slave模式,我想应该是不开心的。现在不少移动终端已经支持Host模式了。
再host没成为主流之前,也可以尝试:
由于目前大多数移动终端是USB-Slave设备,不支持USB-Host。因此,二代U盾不能直接用于移动终端设备,OTG可以解决这个问题。
OTG(ON-The-Go)是在USB 2.0的技术上发展而来的,定义USB的组织在2001年定义了一个USB ON-The-Go规范来辅助USB 2.0的规范。
USB的优点在于低廉易构建,缺点是USB采用主从式架构(Master/Slave system),所有外围装置都要靠单一主控端(PC)。USB-IF 2001年12月公布USB 2.0 On-The-Go(OTG)补充版,新增双重角色装置(Dual-role Device)及HNP(Host Negotiation Protocol)、SRP (Session Request Protocol)两种协议,使USB可以任意替换主控端(Host)和外围端(Peripheral)的角色。
带有OTG芯片的U盾扮演USB-Host的功能,手机扮演USB-Slave的功能。
2、动态口令卡可以复制吗?
动态口令卡完全独立于终端,因而可以完全复制到移动终端生态领域,可惜的是银行都不推了。。。
3、手机短信
手机短信在pc上我感觉用于认证,非常易用。银行可以提供了从登陆、查询、交易、直到退出的每一个环节的短信提醒服务,随时掌握网上银行使用情况。
但迁移到移动端就存在很多问题,原因很简单,pc上用手机短信时,pc和手机是物理分离的。手机上用短信,是一体的,因而衍生了很多问题,等后续的手机支付宝安全介绍时详述。
4、软证书
我认为非常有价值,非常适合移动终端生态系统。后续详述。