从硬件入手突破移动支付安全瓶颈

　　互联网支付、互联网金融等支付方式已越来越移动化，总体规模、涉及的金额也越来越多，安全总是绕不开的问题。移动互联网支付是联网的、多场景的，其过程容易被污染和攻击。
　　
　　近日被传银联加入布局的二维码支付就是移动互联网支付的一种，其支付过程包含了诸多安全隐患--验证手段基于支付密码、手机短信、文件证书等要素，一旦中木马、遭遇恶意链接或者手机丢失（支付密码一般可以在手机端重置），上述验证要素都可能被冒用。此前，二维码支付也是被相关部门以安全隐患为由被禁。
　　
　　虽然银联相关人士否认了传闻，但此次透露的银联模式二维码支付系统却有板有眼。银联的线下二维码支付与支付宝、财付通的扫码流程正好相反，即消费者移动终端生成银行卡信息的二维码，商家进行扫码后完成资金信息传递并支付，其间商家只能获取加密的支付信息，而不能获取其他银行卡信息。不过，银联只是否认“未启动过商业应用”而已，在移动互联网支付方面，银联、商业银行等已失去了主要入口和流量的把控，很难说银行系统不会或者不想借着机会反超第三方支付平台。
　　
　　银联模式不失为一个保护支付安全的解决方案。如今的智能手机基本上掌握了用户的各种隐私，但是，这些手机的系统和芯片都没有很好的防护措施，许多支付相关的应用涉及个人信息、密码和密钥，如果只是存放在一些普通的存储空间里，安全性就不够高，因为这些储存空间是很多人和设备，甚至软件都可以访问的。
　　
　　英飞凌智能卡与安全事业部中国区经理潘晓哲告诉《二十一世纪商业评论》记者，在这方面，封闭性手机系统的安全性较好，不容易被第三方查阅、改动，而开源手机系统的危险系数就相对大一些。
　　
　　从安全的角度来说，最好的方式是由单独的一个芯片配合应用来管理。
　　
　　相比安全软件，芯片等硬件上的安全保障更可靠。但凡是软件，就有可能被其他的程序软件改写或攻击。 而安全芯片是硬件，是电路板，远程攻击基本不可能。改写芯片硬件电路需要的可不只是电脑编程技术，芯片的体积往往非常小，想要对其进行破解需要电子显微镜、探针台等高端设备。
　　
　　安全芯片作为硬件，其比起软件的另外一个优势就在于其与网络进行通讯的过程。潘晓哲解释 :“在安全芯片内部可以直接实现鉴权和认证。如果你使用的只是应用，那么当你需要在手机上认证安全信息时，无论怎么加密，上传到服务器进行验证的信息里面始终包含着你的账号、密码等 ;但是如果用的是安全芯片，芯片本身就记录了你的信息，整个认证过程可以在芯片内实现，最终上传到服务器的可能只是一个‘正确’或者‘错误’的比较结果，这样敏感信息不外传，安全性就加强了。”比如在手机上用某包含支付功能的应用进行移动支付的过程中，如果使用安全芯片进行验证，就能进一步保障用户的个人信息和资金安全，并检验交易设备的合法性。
　　
　　目前，真正将安全模块加入芯片的手机厂商并不算太多，这种芯片即嵌入式安全模块（eSE），与通信模块一同集成在手机芯片中。黑莓是最早大规模批量生产 eSE 手机的厂商，它的一个卖点就是手机通讯与邮件的安全性。手机厂商之所以不加入安全芯片，除了不够重视安全的原因之外，也与需要相关部门的授权和与金融机构、第三方支付机构的合作有关。
　　
　　按照潘晓哲的说法，安全芯片对使用管理有一定的要求，一些被授权和认可的厂商才能有资格去开通使用。加之手机市场更新迭代快，芯片放进去以后还要和银行、第三方支付平台等进行合作，到底选择什么样的发布时间，什么型号应该内置安全芯片是个问题，如果放进去之后没有应用的场合和环境，就会浪费成本。
　　
　　手机厂商的顾虑主要在市场规模，而银行与第三方支付仍有各自打算，除了二维码支付、移动互联网支付外，银联和移动运营商主推的 NFC 移动支付在历经波折后统一了技术标准，也来势汹汹。
　　
　　没有哪一方会放弃未来支付方式的制高点争夺，谁来掌管芯片，谁来掌管安全，也决定了谁来控制资金流通环节与收单结算权。