北京大學(xué)陳鐘:未來或出現(xiàn)可信移動應(yīng)用商店
北京大學(xué)金融信息化研究中心主任陳鐘
和訊科技消息 11月29日,2011中國移動支付產(chǎn)業(yè)年會在北京舉行。在年會中,多位嘉賓作出了精彩的演講。北京大學(xué)金融信息化研究中心主任陳鐘在演講中表示,未來或出現(xiàn)可信應(yīng)用商店,以保證移動安全。
以下為演講實錄:
謝謝中國通信協(xié)會的邀請,也謝謝王主任的介紹!
很高興,我也是唯一的產(chǎn)學(xué)研里面學(xué)的代表,當老師的,一定控制好時間。
實際上,在1995年,我本人就參加了國內(nèi)清算系統(tǒng)的建立,應(yīng)該說這是我們國內(nèi)移動支付系統(tǒng)的基礎(chǔ)。近年來我們在關(guān)注安全問題,網(wǎng)絡(luò)和軟件的安全保障。網(wǎng)絡(luò)延伸到物聯(lián)網(wǎng),軟件延伸到云計算,手機也是我們非常重要的一個方面。
移動支付要談它的安全體系,安全保障,我們就不能泛泛而談,這里面有它的一個定義。盡管我們說移動支付是一個很寬泛的概念,但是前面很多人都提到了,NFC,還有很多的這個方面。所以,我們看到,移動支付以移動的通訊設(shè)備作為載體,這還是一個非常重要的方面。所以我們手上也有銀行卡,公交卡這些東西,它也移動,但是不在我們討論的范圍。
手機作為一種計算的方式,越來越重要地融入我們的生活當中,所以這是一個大的趨勢。移動支付隨時、隨地、隨心、隨身,創(chuàng)造這樣一個良好的環(huán)境。
所有人都談到了支付的產(chǎn)業(yè)鏈,我們看到今年的支付產(chǎn)業(yè)年會,大家都在自己不同的位置上,去闡述對移動支付的理解和他們所能夠提供的產(chǎn)品、服務(wù)、技術(shù)等各方面。但是這個產(chǎn)業(yè)鏈我們可以看到,在中國劃分是非常清晰的,但是事實上,我們可以看到,當我們看到谷歌推出它的谷歌錢包的時候,它在產(chǎn)業(yè)鏈里,它是一個什么樣的位置。
事實上,我們看到在國外,以創(chuàng)新引領(lǐng)行業(yè)的特征,相對中國來講,是更有明顯的一個特點。
移動支付的分類很多,前面已經(jīng)介紹了,所以在這兒不多說了。但是我們看了這里面,我們發(fā)現(xiàn)在這個里面當中,還沒有討論更多的。比如說EFT,以銀行為中心的,和以非銀行為中心的這些業(yè)務(wù)分配。當然還有基于標準的硬件設(shè)備,還有基于特定硬件的這些方面。
所以我看到國外,在移動支付當中有非常多的創(chuàng)新,往往從草根做起。比如像SQUARE,蘋果、谷歌都加入了這個陣營,但是它很多都是收購進來了,并不是說它自己有多好的創(chuàng)新力,日本、韓國和歐洲、北美都走在我們前面。我們要營造更好的一部法律和生存環(huán)境,包括這個監(jiān)管,包括移動支付管理辦法等等。這也明確了我們這里面的角色,并為技術(shù)應(yīng)用的用戶、服務(wù)的提供商、監(jiān)管商、第三方檢測等等這些方面的內(nèi)容。對于中國的發(fā)展,應(yīng)該說到達了一個共促移動支付啟航的這樣一個階段。
移動支付的技術(shù)體系,前面已經(jīng)提到了,包括我們的硬件廠商。硬件提供一個堅強的基礎(chǔ),這個也是非常重要的一個方面。這個也是我們標準關(guān)注的方面。當然我們也注意到,在國內(nèi),大多從消費者的角度出發(fā),來引導(dǎo)這個創(chuàng)新。但是實際上,我們看到國外,像SQUARE,首先用手機是為廣大的商戶服務(wù),它們有非常小的一個能夠刷卡的發(fā)明,就可以使得我們很多人,可以成為實際收單的方,而不是用它來作為消費的支付等等。這方面也值得我們?nèi)リP(guān)注。
這些支付的問題,我們不做太多的對比。
實際上,從我們關(guān)注一個系統(tǒng)來看,我們更多關(guān)注一個整體它的安全性如何。事實上,我們看一個軟件部署的分布,我們看到移動支付有完全在SIM卡上實現(xiàn),有手機定制應(yīng)用軟件,有手機操作系統(tǒng)上的應(yīng)用,還有基于瀏覽器。這四大類。這四大類,我們提到安全,有不同的相應(yīng)技術(shù)體系。
我們看第一代基于短信的系統(tǒng),基于WAP的系統(tǒng),也仍然在使用。但是我們看到基于短信上,在智能手機上,面臨比普通手機上更大的安全挑戰(zhàn)。移動支付的體系,就像我們剛才李征介紹了,這是打造的移動支付的平臺,把商家、客戶、銀行以及交易支付的第三方,能夠把它融入一個完整的模型當中。
基于SMM的系統(tǒng)以及基于WAP的系統(tǒng),以及基于證書的體系,構(gòu)成我們這樣一個大的環(huán)境地當然這個里面,我們籠統(tǒng)地分,會看到有終端的安全,RFID的安全,傳統(tǒng)電子商務(wù)的安全,還有整個移動支付生態(tài)系統(tǒng)整體的考慮。特別是隨著終端特別多,攻擊者不僅攻擊終端,更多考慮在攻擊后臺。所以現(xiàn)在說沒有后臺的方案,幾乎是一個孤島的方案。但是有后臺的方案,面臨更多的挑戰(zhàn)。
RFID的安全,也面臨著挑戰(zhàn)。我們也進行了兩年的研究。下面的三年,重點是基于RFID,基于中間人的模式這樣的研究。實際上,我們看到包括進廠的服務(wù),如果有一個中介的方式,攻擊的方式,依然有很多的挑戰(zhàn),所以也有很多安全的對策,不多說了。
空中接口,做通訊的人,是非常有信心說我在這方面做得很標準。但是當我們的移動通訊更多的偏重于數(shù)據(jù)的時候,作為我們所關(guān)注的移動通訊的安全,也面臨著新的挑戰(zhàn)。
我想多說一點是移動終端的安全,我們現(xiàn)在手機的安全,手機的病毒木馬的遺失造成了問題,信用卡本身的安全,可以有一個堡壘。但是它構(gòu)成一個整體,面臨移動支付的時候,有很多的問題。即便你的手機在IPHONE,還是在安卓的平臺上,也有很大的區(qū)別。我們知道WAP是比較成熟的,電信通訊當中,數(shù)據(jù)的一個主要手段。在北美,也是占主要的很大的比重。它中間也有很多安全的挑戰(zhàn)性的問題。
所以整個的移動生態(tài)系統(tǒng)當中,法律法規(guī)的建立、產(chǎn)業(yè)鏈還有消費者所帶來的很多心理上、消費習(xí)慣上,還有對隱私保護,你能不能確保的問題,都在困擾著我們。所以,我們看到智能手機移動支付安全的問題,在終端、通訊,特別是軟件本身帶來的問題,值得我們?nèi)リP(guān)注。我們注意到,通訊技術(shù)的發(fā)展,從01年到現(xiàn)在,到2011年,我們的這個業(yè)務(wù)內(nèi)容不斷地豐富。比如說短信、彩信,WAP的推送,到現(xiàn)在的因特網(wǎng),再加上我們APP拓展,設(shè)備的能力也在逐漸提升。我們現(xiàn)在可以到1.5G,甚至雙核,在這個手機當中。我們的GSM,GPRS,到3G,甚至后面的LTE到4G。但是我們看到這里面的一條線,移動終端的惡意代碼的發(fā)展也是在加速。
大家知道,X臥底可以監(jiān)聽通話,能夠竊取手機的位置信息等等。我們的碎屏軟件,可以把一些矽肺的模塊植入到手機當中去?,F(xiàn)在的惡意代碼隨著APP,大家越來越多把手機當成一個娛樂,當成各種各樣好玩的東西的同時,這個惡意代碼也誘惑你不知不覺地安裝。包括一些惡意簽名什么的,惡意代碼也可以誘惑你進行簽名,把它放進來。
所以這個黑客的主要在這些管理當中,采取了捆綁這樣一些方式。我們看到一些靜態(tài)的串聯(lián),也能夠竊取到賬戶密碼。我們現(xiàn)在手機上的手機銀行、手機取現(xiàn)的一些功能,那么它也可以通過木馬,或者惡意代碼,通過動態(tài)來截取賬戶和密碼。
所以,我想后面建議大家關(guān)注三個方面的機遇。一個方面,我們在制定標準的同時,要注重系統(tǒng)的安全。現(xiàn)在有些系統(tǒng)安全的增強方案是非常重要的。我們看到現(xiàn)在很多支付,大家無論是第三方,還是我們的三大運營商,還是生產(chǎn)商,過去很簡單,輸入密碼就行了,現(xiàn)在有鍵盤捕捉器,所以我們用屏幕點擊的。但是現(xiàn)在有屏幕錄制器,所以依然還可以。那么怎么樣去防,這是很大的問題。所以在我們的研究里面,不僅要有安全控制,還要有安全通道的保障,能夠?qū)?yīng)用系統(tǒng)的檢測,對軟件的方策,對通道安全的監(jiān)控等等。如果沒有這些考慮,我們的TSM可能是一句空話。
所以控件安全、通道是很重要的。在這里面,數(shù)據(jù)的防護,安全的防護,隔離的防護都是非常重要的。
第二個方面,建議大家關(guān)注,我們在未來更多要面向一個網(wǎng)絡(luò)化操作系統(tǒng)的安全體系。也就是說,手機上的操作系統(tǒng)不僅僅是一個系統(tǒng),它的后臺怎么一體化,這也是我們2008年我們國家部署的核高基的任務(wù)。北大、清華等進行了一系列的研究。力圖為未來的軟件功能,打造一個軟件化集群。這里面有標識化系統(tǒng),可以跨越LINUX、安卓,還有蘋果的操作活動,WINDOWS,以及瀏覽器,可以跨過X86,以及ARM,可以配在前端,以及后端的服務(wù)器,也能提供相應(yīng)的標識和認證的服務(wù)。因為這個標識,特別是在今后的物聯(lián)網(wǎng)的環(huán)境下,是一個最核心,最關(guān)鍵的一個問題。如果你都不能標識到你要被管理的對象,你更難實施你的安全策略。防護是我們要試試安全策略里面最基本的一個方面,所以因此我們說整個的網(wǎng)絡(luò)化,包括系統(tǒng)前臺和后臺,那么你要有相應(yīng)的基礎(chǔ)的設(shè)施的支持。你才能夠?qū)崿F(xiàn)你安全的一個生態(tài)環(huán)境。
值得一提的是,代碼可信分發(fā)的服務(wù)。這一間工作,我們一個多年的合作。現(xiàn)在我們把它放在安卓,一個應(yīng)用經(jīng)過審核可以簽名。經(jīng)過簽名的應(yīng)用,在下面安裝時刻和執(zhí)行時刻,能夠進行簽名的驗證和檢查。這樣就可以有效防范未經(jīng)授權(quán)代碼的分發(fā)?;谶@樣的技術(shù),我們也可以看到不久的將來,包括在移動上,我們能夠建立可信應(yīng)用商店。例如說我們看到這個圖標上有一個鎖,這個應(yīng)用是符合在代碼簽名的標準下的能夠可控的。
那么機遇之三,我們希望大家考慮一下,現(xiàn)在有這么多問題,究竟我們安全體系的理論基礎(chǔ)是什么?對在我們過去多年的研究過程當中,我們現(xiàn)在提出的生命周圍安全模型這樣的一個理論,要解決軟件的可信問題,要解決軟件的安全問題,這個也在北大建立了高科技軟件的重點實驗室,軟件安全和網(wǎng)絡(luò)保障這樣的重點實驗室。這個代碼生命周期的安全,包括這個代碼生成,以及裝入、安全維護這個方面的體系。本身有很多的挑戰(zhàn)。
數(shù)據(jù)的安全也是非常重要的一個方面,整個從生到消亡這個生命周期里面的安全。舉個例子,在移動支付全生命周期當中,我們看到很多關(guān)鍵的數(shù)據(jù),比如說它的號碼支付的信息,我們對用戶的標識,它是基于特定格式的標識,它整個的傳輸、處理和存儲的過程當中,任何一個狀態(tài)的漏洞,都可以導(dǎo)致數(shù)據(jù)的泄漏。因此我們說,在數(shù)據(jù)的全生命周期,任何環(huán)節(jié),我們到底有什么樣的標準、技術(shù)能夠去支持,我們到底有什么樣的手段能夠去評估、能夠去確保,對于我們在國際上可靠的安全硬件,和可靠性的代碼,是保障移動支付中關(guān)鍵設(shè)施安全的基本措施。
我相信,我們雖然有了第三方的檢測,但是我們還應(yīng)該去進一步深入研究我們所面臨的挑戰(zhàn)以及我們能夠進行防范的相應(yīng)的策略。
實際上我們看到,今天全平臺手機的安全,我們碰到的IPHONE、IPAD,我們幾乎無能為力,我們銀行發(fā)行了很多的SP,到了手機上,我們?nèi)疾荒苡?。沒有這樣的接口。所以,全平臺的安全應(yīng)用,還需要全平臺的物理接口。我們實驗室也做了一些相應(yīng)的原形,比如說所有的應(yīng)用都要用手機,就可以在手機上做一些小的接口,使得你的需求能夠應(yīng)用,用在這個標識當中。
我們看到在全球都在關(guān)心安全和隱私,也有很多新的技術(shù)值得我們?nèi)リP(guān)注。比如說創(chuàng)建,我們需要客戶端的安全控件,傳輸功能我們需要端到端的加密,需要有標識的密碼系統(tǒng)和CPK的結(jié)合??伤阉骷用芎屯瑧B(tài)加密也是一個非常熱門的一個話題。在存儲方面,格式保留的加密,密碼技術(shù)也是一種應(yīng)用。以及在備份當中的秘密分割、門限密碼的應(yīng)用,以及在銷毀當中密鑰的管理,都是值得我們重視的。
所以我想說的結(jié)論就是說,我們離真正給客戶、給商家一個可證明、可確保的安全,至少在軟件,在整個系統(tǒng)來講,我們還有一定的系統(tǒng)。讓我們繼續(xù)努力。謝謝大家!