2012中国移动支付产业年会在北京召开，移动支付网作为本届年会合作媒体对年会进行全程报道。国富安电子商务安全认证公司高级技术顾问胡永亮参加“主题论坛：移动支付安全与应用趋势”表示，在移动支付环节当中，最重要的一点是用户身份识别，整个移动支付环节需要涉及到用户、银行、商家，涉及到一些资金的往来，针对这个保障这个用户的身份的合法性是整个信息安全这块的整个的基础。如何来保障参与交易各方合法性，用户、商户、银行第三方机构这是我们重点要解决的问题。详见原稿：

国富安电子商务安全认证公司高级技术顾问胡永亮

　　胡永亮：各位尊敬的领导各位嘉宾大家上午好。我是来自国富安的胡永亮，我从我们公司专业出发，从电子认证这个角度诠释移动服务当中一些安全应用问题。今天分享内容从4个方面。

　　从移动支付的现状，包含移动支付的分类，移动支付目前市场情况以及移动支付的用户的支付的统计。经过上述的分析之后，我们对整个目前移动支付行业存在的安全进行深入的分析和剖析。第三部分从我们单位专业优势出发针对这些安全问题怎么做工作和努力方向。最后是针对电子认证服务在整个移动行业的一个挑战和机遇。

　　移动支付分类大概分两类，一个是进场支付，一个远程支付，进场支付包括POS机支付，这个支付是大家目前应用最广泛大家最熟悉的刷卡方式，还有手机支付和手机短信。通过手机本身下载铃声和短信时候扣费。手机短信是定制化手机支持手机钱包进行小额支付的方式。

　　后面三项属于远程支付，还有一种方式是便携电脑，大家用笔记本电脑进入移动网络支付，这种远程支付方式很成熟。后两者是目前现在移动支付的新宠，基于安卓和苹果的智能手机，这是发展最迅速，潜力很大的方式。今天我们说的点的认证应用这方面主要是基于后两者的应用。

　　针对手机来说，除了是智能化程度比较高之外，我们可以在这个系统上做一些相应开发做一些功能。使用方面比其他支付方式有非常大优势。我们可以通过三个关键词诠释，时间空间和便捷性上。手机不受时间空间限制可以做更多支付方式。未来十几年是移动终端发展方向。

　　下面通过一组数据看一下目前移动终端市场发展情况。这组数据是通过易观国际的数据展示，2011到2012年以及后两年相关预测。目前手机用户保有量，每个手机用户2011年通过手机支付57元，到2012年达到96元。随着手机支付环境的改善，这个数字未来还有更大发展空间。

　　这是移动终端市场的情况。针对用户支付行为我通过网上一个调查机构找到一些相关统计数据。移动终端用户这个支付方式大多是停留在进场支付，这种进场小额支付比较多。刚才提到一些通过手机的银行转帐，远程支付这块比较少。什么问题导致这块方式比较少?一个调查显示，手机支付是小额支付，远程涉及的比较少。

　　我们通过上述分析看一下针对这个手机支付当中存在哪些安全问题。首先分析安全问题的时候，我们要了解一下移动支付涉及的各个角色，相应一些流程。大概分三部分。移动终端用户，服务商，包括银行第三方机构，还有手机服务提供商，以及后面这些商户最终支付的资金，商户包括公共收费机构，零售商户，其中在这个环节中最重要的是中间服务提供商，起着承前启后的作用。向终端用户提供相应的功能服务，也要向后端用户提供相应的结算服务。

　　在整个环节当中，用户量最大，环境最复杂，存在的安全隐患最多是停留在移动终端这块，如果想保证整个体系安全性，要保障移动终端安全，采取一些措施保证系统安全性。

　　通过上面分析，我们来看一下移动支付当中到底存在哪些问题。既然移动支付成为一个主流或者发展方向时候，无可避免要吸引很大用户群体，这中间会产生一些不稳定相关因素。包括比如说移动终端安全这块。移动终端安全作为一个手机支付的工具，他的安全性直接影响到整个移动支付的安全性。这个一堆终端的安全来自几方面。首先来自系统方面，因为现在安卓和苹果手机，各种版本都非常多。除了系统还有应用方面，现在相关应用没有一个相应规范，大家下载一些应用时候，经常后台有一些漏洞问题。还有钓鱼网站，木马程序，严重影响移动终端安全环境的问题。

　　在移动支付这个环节当中，最重要的一点还有一方面是用户身份识别这块，整个移动支付环节需要涉及到用户、银行、商家，涉及到一些资金的往来，针对这个保障这个用户的身份的合法性是整个信息安全这块的整个的基础。如何来保障参与交易各方合法性，用户、商户、银行第三方机构这是我们重点要解决的问题。

　　交易信息安全这块显得尤为重要，用户通过这个终端在输入帐号时候，登陆支付系统，信息安全性，通过移动网络支付交易数据中间有没有修改或拦截，保证整个信息在交易过程中不可侵犯性。

　　最后一点指的是用户要通过，送入电子交易方式和传统交易不一样，但是我们要在法律上保证整个交易的有法律效率，我们保证交易要防止他们抵赖，保证交易环节没有经过篡改。这是整个的移动支付安全分析，分析之后我们得出结论，如何打造移动支付安全环境。要符合以下几个关键点。

　　首先符合用户习惯，因为现在用户体验这块是最重要的，还有一点，我们在做这个移动支付安全技术时候考虑到用户对这个技术的认可度，这是非常关键的一点。还一点这个支付环节要保证终端用户、服务商和商户各个参与交易厂商的有效的身份验证机制，这个是移动支付环节要提供的保障。第三点保障移动终端交付平台数据传输功能，最后是防抵赖要有机制。

　　通过对上述分析和移动安全环境关键点，WPKI可以有效解决目前移动支付面临的相关安全问题，可以把用户、终端、运营服务、安全应用等等结合到一起，提供全方位按照解决方案。对于用户WPKI是用户应用最广泛的，把整体管理模式和应用模式和加密等等转移到迁移到移动终端这块。未来移动终端一个发展方向，每个厂商不能忽视的一点。

　　WPKI在整个移动支付中的优势在哪?我们可以通过三点介绍一下。

　　首先可以提供非常严谨的身份验证机制，相比较传统这种用户注册一些信息，数字证书需要用户提交和自己身份相关的用户资料的机制。收大用户请求后对用户验证，用户提交资料可以通过RA中心定义，用户提交完RA资料申请，通过后台中心把证书签发到用户的客户端，这个RA中心在用户客户端这块产生基于终端的模式。移动支付平台通过基于这种数字认证方式接口之后，可以实现终端用户使用数字证书来访问后台移动支付。整个过程我们可以提供身份验证的保障。

　　传输加密服务，大家知道数字证书为什么口令不一样，最主要是提供用户身份验证，另外是数字证书可以提供签名和加密服务，这个移动支付这块我们如何保障通信通道的安全性?我们用WPKI里的一个机制，WTLS加密传输。这样保证整体信息。

　　最后一点数据完整性机制，是数字签名来实现，整个过程终端用户在自己的终端产生一个单据，进行一些相关的支付服务时候产生一些单据。可以通过自己本身的终端用户的私钥进行签名。最终这个签名形成之后，把签名数据提交到后台移动支付系统。移动支付系统这块可以通过后台的中心来验证这个用户的签名，是否中间被修改过。以及支付平台要保证签名后单据，对方要抵赖提供一个防抵赖机制和证据。

　　一旦支付系统验证完用户信息之后，中间数据完整性没有被篡改可以给用户发放支付回执。这是整体数据安全性这块。

　　接下来介绍WPKI的一些技术，分几个层次，最下面是移动网络环境。这个是最基础的东西。往上是WPKI基于WAP协议，全球网络通信协议等等。

　　我们针对目前移动支付做了什么工作和内容?我们国富安公司98年成立，到现在做着第三方运营机构，我们单位是位于北京的亦庄，依托于中国电子商务中心在全国有100多个技术服务机构。我们单位是泛亚电子商务创建人员。我们这块是做第三方支付运营的。针对证书数据保存也种方式，我们提供设施。我们有一个同城的备份中心，在广州有一个异地的中心，左边我们机房的实景拍摄。

　　除此之外，我们单位在产品运营中心这块有自己的平台，提供统一用户管理等。自己的VPN基于签名这样的服务器。我们重点是课题研究单位，每年承担课题研究。包括身份认证签名这块，一些安全应用等等。

　　说这么多，我们在移动支付做了什么工作和内容?我们在WPKI有自己的这样的产品，可以支持不同的终端，除此之外，因为现在智能终端和普通PC方式不一样，我们针对智能终端开了自己的产品。我们针对不同客户端提供证书管理工具，用户可以管理自己的证书。证书应用这方面，我们和自己的兄弟公司有第三方移动支付执照，我们进行了合作。扩展方面我们提供相应的针对移动终端虚拟化产品。让安卓和苹果可以像PC一样强大。

　　在技术研究方面，我们成立了自己的WPKI应用研究中心。我们应用了SDKEY的方式证书应用。针对移动运营平台建设这块，我们也做了相应工作，包括电子认证平台与移动支付业务集成，WPKI相关技术应用，SIM卡数字证书的集成应用。

　　最后结束语，其实现在电子认证服务在移动支付面临很多问题，首先证书集成问题。现在越来越多客户端和不同终端加入整体移动支付行业，我们要考虑未来集成问题。还有一块电子认证服务，现在支付环境非常复杂，也多样性，我们要考虑如何针对这种移动支付提供可靠电子认证服务。市场推广问题，怎么让用户接受这种方式也是我们研究的内容。

　　最后这块政策适应性问题，可以建立移动支付环境业务下电子认证服务体系，这是未来我们电子认证在移动支付面临的挑战。其实数字证书的应用也属于老生常谈，对于我们来说如何给终端用户营造快捷方便的环境，才是我们工作方向内容。谢谢大家。