多维度构建移动支付安全体系

赵 杰

随着“互联网+”创新业态的不断发展，在日常从事金融活动时，消费者们逐渐开始选择更加方便快捷的移动支付方式.根据中国人民银行公布的《2017年支付体系运行总体情况》报告显示，2017年，银行业金融机构共处理移动支付业务375.52亿笔，金额202.93万亿元，同比分别增长46.06%和28.80%.［1］然而随之而来的安全问题不断涌现，据《2017年第2季度手机安全APP市场研究报告》显示，手机支付陷阱问题占比高达88.3%.［2］《2017年中国手机安全风险报告》也显示一季度所拦截到的各类垃圾与诈骗短信中有七成是与支付理财等金融活动相关.［3］正是由于现实中网络的各类不安全因素导致了各类金融诈骗案件层出不穷，造成用户资金的重大损失，对于“互联网+金融”的推进，造成了极大的阻碍，也对金融安全造成了极大的威胁.

1 文献综述

卢巧旻（2013）提出，从感知、网络与应用层来确保技术安全，同时通过产业链统一管理与以标准、信用、法规等来构建支撑体系，最后运用层次分析法对其体系要素进行评价［4］.陈小梅（2014）通过分析应用、交易、支付处理各层的功能结合终端、无线网和支付流程来阐述各自的安全性，针对安全构建主要从硬软件两个角度入手，对现有SET（Secure Electronic Transaction，安全电子交易）协议提出改进意见，提出基于ECC（Elliptic curve cryptography，椭圆曲线密码）的协议改进方法［5］.徐燕军等（2014）从体系架构、实体、互联、基础四个方面阐述整体安全性，期待技术的标准化与产品化［6］.王春（2016）通过对比分析盗刷行为，结合ISP（Internet Service Provider，互联网服务提供商）所提供的相关各项历史数据，提出通过多重验证的方式来保障体系安全［7］.此外，陈一鼎等（2015）从法律、数据、技术着手加强监管，引导消费者提高权益保护意识［8］.魏仕杰等（2016）认为还应该从国家层面到监管机关、再到运营平台以及用户自身，多方面协调防范安全事件［9］.

现有文献针对移动支付安全体系的构建多从安全技术视角出发，为相对静态的事后防范，且对指标要素缺乏系统化，不够全面，构建体系的科学化依据较少.本文将结合动态模型和科学化指标，更全面细致地进行构建，使其具有一定的指导意义.该体系将依赖技术作为基础，管理作为日常控管与评价手段，法律法规作为监督和准则，构建一个多维度、三位一体的移动支付安全保障体系.

2 技术改进策略

2.1 改进的P2DR2模型——即L-P3DR2模型

众所周知，闭环结构的P2DR2模型于1995年开始逐渐形成并得到迅速发展.但由于当前网络技术的飞速发展，社会环境日新月异，设计之初并未考虑到诸多复杂因素，因此仅仅采用陈旧的主动防御动态模型，已经难以满足如今的需求，需要进一步对模型进行改进.

从系统工程认知，人是安全体系中的重要环节.逾七成的信息安全事件的发生是由于人员操作失当或刻意泄密而造成的，因此不能忽略对于人员主体因素的考虑.另外，对于系统遭受侵害后进行应急响应恢复，以及对于系统的免疫性功能，也应该增加自主学习的机制，便于抵御风险再次发生.

综合考虑以上多项因素，这里提出了一个新的L-P3DR2安全动态防御模型：即Learning（学习）、People（人）、Policy（策略）、Protection（防护）、Detection（检测）、Response（响应）、Restore（恢复）.如图1所示.

图1 L-P3DR2安全模型

（1）People（人）：模型的基础，一切操作都取决于主体，对于人的规范管理极其重要，安全行为的教育、培训、管理，乃至行为意识的学习到最终的惯性形成，都离不开人.

（2）Policy（策略）：模型的核心，包括安全规则、操作规范、攻击检测、响应方法、恢复手段等，其规则库与数据库的设计与实现尤为重要.

（3）Protection（防护）：模型的重点，包括系统软件和硬件，以及相关的安全技术手段，例如：访问控制、安全标识、数字证书、授权、帐号口令、通信保密等.其安全划分等级可参照TCSEC（Trusted Computer System Evaluation Criteria，可信计算机系统评价标准）制定的A～D的四类七级标准，其中A1（验证设计级）为最高级别，D1（无安全级）为最低级别.

（4）Detection（检测）：模型的手段，主要对系统进行安全扫描、网络侦听、检查、监控、预警系统等，涵盖系统与网络两个层面的分析与审计活动，为后期的响应行动提供支持.

（5）Response（响应）：模型的应对，对检测到的攻击，展开迅速有效的处理措施，包括记录、消息报告、限制攻击、软件阻断、物理隔断、应急处理、报警、总结等.

（6）Restore（恢复）：模型的保障，评估系统受到的威胁与损害，启动恢复功能，包括防灾备份、重要数据恢复、功能还原等.

（7）Learning（学习）：模型的特色，通过系统自主学习，掌握新型入侵方法，了解黑客攻击路径，抵御风险再现，包括机器学习、自我修复功能，以及蜜罐技术、伪装、智能屏蔽等.

2.2 模型安全性分析

设Pt为系统防御入侵攻击所耗费时间，Dt为系统检测攻击所耗费时间，Rt为系统应急相应时间，Et为系统暴露时间（例如，系统位于D1等级时，即无安全等级下），则可以得到：

公式1：Pt＞Dt+Rt

公式1表明，当防护时间大于检测加响应时间时，说明系统为安全的，反之亦然.即入侵者所耗费时间大于系统自我防御时间，系统是安全的.

公式2：Et=Dt+Rt（Pt=0）

公式2表明，系统在无防护状态下，暴露时间等同于检测与响应时间的总和.所以暴露时间越小，系统就越安全.

推论：Pt＞Et

推论可得，系统应该尽可能延长保护时间，缩短暴露时间，这样可认定为安全的.

2.3 交易协议改进

仅仅依靠一个技术模型，显然对于当下的支付安全体系来说是不够的，还需要对支付的本质流程作针对性的处理，举支付协议为例.

（1）消费者U将资金M和帐号A及其数字签名Sig(M，A)发给商家B，经过商家验证认定签名合法有效，然后计算值H=（M，A，Uid，Time）发给U.

（2）消费者U确认对应Hash值，商家B确认U为货币合法持有者，接受该次支付.

然而在日常支付诈骗案例中，往往消费者被冒名的商家B′所欺骗，B′可通过伪造签名，乃至社会工程学方法，通过获取消费者的密码或验证码而进一步盗刷，甚至骗取消费者信任后由受骗者主动支付确认.

针对此类现象，建议采用以下两种方法来规避风险.

（1）资金支付转移采取T+N（N≥1）模式，即转账非即时，可设置缓冲期；或设立最小交易额Mmin，待消费者收货确认后，再支付尾款，尾款支付24小时内完成.倘若超时，则自动转账，消费者若恶意欠款，则对其帐号内的资金进行冻结乃至永久封号处理.

（2）不采用实物货币或数字货币，而采用信用支付或数字签账的方法替代现有的支付方式，消费者可集中到还款期再另行资金结算，如遇支付诈骗，将有足够时间追讨回数字额度，消费者若逾期结清支付需被追讨额外相关利息或手续费，同时选择此种支付方式，所付费用金额可适当提高，可由商家与平台商议决定.

3 管理层级机制

技术能力使用的成效取决于管理的科学性.在管理层面，可采用由NSA（National Security Agency，美国国家安全局）向ISO（International Organization for Standardization，国际标准化组织）提交的标准SSE-CMM（Systems Security Engineering-Capability Maturity Model，系统安全工程——能力成熟度模型）所列出的11种安全过程域，重复如下步骤，如图2所示.

图2 PA与Level对应评估关系

（1）查看该域的描述摘要、目标和实施.

（2）查看机构是否有管理人员在执行该实施.

（3）查看是否满足域的目标.

（4）对每个公共特征，如果符合则对应二维表标记上公共特征.在表中所有交叉点问题都回答完毕后，就得到其安全能力的总体认知.

各能力级别具有的公共特征分别是：

第一级：非正式执行.该级别关注其是否实施了安全过程.

第二级：计划与跟踪.该级别关注其规划、验证、执行情况.

第三级：充分定义.该级别关注其过程的标准化、文档化.

第四级：量化控制.该级别关注测量、是否可量化预测.

第五级：持续改进.该级别关注量化反馈和有效性的提高.

4 法律法规视角

仅仅依靠技术与管理依然是不够全面的，还必须重视依赖法律法规的健全来保障安全体系的构建 .［10-11］

首先，应该提高支付平台的准入门槛.通过高资本的注入要求，使得支付平台的金融行为风险和交易能力都有所提高，从而保证消费者的基本权益，规避资金流失的风险.

其次，要求信息的对称与公开性.支付交易平台应该在规定时间内，周期性的对账务信息进行披露，公司资本、资金流向、经营财务状况等，以及重大事项变更均要予以立即披露，以保证消费者的知情权和信息的透明度.

再者，要明确监管的主体和力度.多部门联合监管，例如央行、财政、安全、消协、行政等部门通过各自权责履行职能以保证消费者的资金、权益、隐私保护，同时辅以行业协会自律监管体制.

最后，要明确专门立法.统一整合现有相关法律法规，以新颁布的《网络安全法》为蓝本，提高移动支付法律效力层级，配套相关司法解释作为补充，使得各类支付案件纠纷发生时有法可依.

5 结论

综上，本文针对现有的技术、管理、法律三个维度提出了改进措施，以构建综合立体的支付安全体系，其整体架构如图3所示.

图3 移动3D支付安全体系

当前我国互联网技术日新月异，移动支付带来便捷发展的同时，也带来了前所未有的新问题.移动支付安全不能简单从一个角度出发考虑问题，而应该综合考虑多方面因素，才能够对移动支付安全起到一定的保障作用.