正文
在手机支付、电子转账已经成为生活中的一部分时,依然有一个问题没有解决:安全。
尽管生活中发生在身边的诈骗事件并不多,但支付安全的威胁却一直存在。比如网购时,钓鱼网站截获支付信息,盗走个人资金;手机转账时,电信诈骗团伙通过技术手段复制交易信息,然后攻击手机网络截获支付密码等信息,就可以在异端转走账户中的钱。
时至今日,这种电信诈骗仍旧盛行。“普通的支付环境下,单靠提升支付软件的安全性,很难确保用户的资金安全。现在常用的短信验证等方式,诈骗团伙很轻易就能通过技术手段破解。”马会来说。
电信诈骗 / 视觉中国
传统PC互联网时代,U盾是电子支付的终极安全手段。这种方式中,U盾作为一个独立设备,仅能被持有者一个人配合PIN码使用。通过U盾中的安全证书,可以有效进行用户身份的认证。
简单来说,U盾采用了硬件加密的方式,用户密钥在U盾的安全芯片中生成,且永远无法取出。当用户正确输入U盾密码后,在U盾安全芯片内通过用户密钥对交易进行加密。用户密钥具有唯一性,只能通过留存在银行的配对密钥进行解密。而银行留存的配对密钥只能对该用户密钥加密的内容进行解密。因此,如果银行能解开该用户的交易信息,则可以确认此次交易是由该用户发起的,否则,则认为此次交易不安全,拒绝此次交易。
招商银行U盾 / 视觉中国
然而随着移动互联网时代的到来,主要面向PC网银的U盾转账方式已经落后了。尽管近几年也衍生出现音频盾(通过手机音频口外接设备)和蓝牙盾,但糟糕的用户体验让这种支付方式并不为大众所接受。
2017年12月11日,人民银行发布并开始实施金融行业标准《移动终端支付可信环境技术规范》,规定最高等级安全能力的移动终端,支付环境必须满足REE+TEE的基础能力+扩展能力集合,包括 TEE 对 SE 的访问控制机制的实施的能力、 TEE与SE之间创建安全通道的能力,此外相应的还需要TEE侧对SE进行访问控制机制的实施,SE侧有做相应配合的能力。
