在2020年的今天，大多数人身上已经找不到一张纸币，线下消费大部分通过电子支付完成，电子支付已经成为了这个时代的主要支付方式。

支付方式发生了变化，支付安全也再次成为了需要讨论的问题。在现金时代保证支付安全是一件很简单的事情，交易双方一手交钱一手交货，只要能辨识假钱，能算对加减乘除，现金交易安全就可以得到基本保障。在电子支付时代，由于第三方的加入，假钱问题得到了解决，但是新的问题也开始产生。

盗刷是电子支付安全难点

电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令，实现货币支付与资金转移的行为，业务高度依赖于互联网和通信技术。因此，电子支付拥有互联网技术通有的特征：不拘于时间、地点，想付就付。

无疑，电子支付是便捷的，极大的节约了成本，减少了消费者和商户的麻烦，但是它本身也存在一定的问题。电子支付不拘于时间、地点以及非直接接触的特点让支付有点脱离人的掌控。

2017年“315”晚会曝光了二维码盗刷手段，犯罪分子伪造二维码将消费者导流至钓鱼网站进行资金诈骗，甚至干脆使用自己的二维码代替商家的二维码进行盗刷。这是新时代电子支付最普通的盗刷手段。

犯罪嫌疑人指认现场

在这个过程中，商家或消费者发现支付存在问题往往是在支付已经完成的情况下，木已成舟，不要说阻止支付行为，事实上损失都很难追回。而除了二维码盗刷、银行卡盗刷这样的案例，还有更难防范的短信嗅探盗刷。

短信嗅探盗刷主要是依靠伪基站+GSM中间人攻击原理盗取用户个人支付账号，从而实施盗刷。犯罪分子一般选在深夜实施盗刷，用户难以察觉，而且很难防范。目前为止，防御短信嗅探盗刷最好的方式是晚上关机睡觉。

很明显，电子支付让支付的安全形势发生了变化，支付过程从点对点完成变成了通过一个不可触及的第三方完成。这个第三方每次与支付双方的联系全部通过网路完成，这其中的安全风险不言而喻。

虽然近几年支付机构不断加强支付安全投入，但是盗刷永远都在发生，套路各有不同，而每次盗刷的发生都会给产业带来或大或小的负面影响。

311安全要素贴近安全目标

便捷是电子支付的特点，但是便捷总是要付出代价的，如何弥补这个代价成为了支付行业从业者一直在思考的问题：“作为第三方，我们该如何降低支付风险？”安御道合向移动支付网分享了他们对于这个问题的思考：311安全要素。

安御道合认为，降低支付安全风险的中心问题是保障“谁向谁支付多少钱？”的可信性。作为第三方的银行、支付机构需要在这个过程中确定五个关键要素。

安御道合将这五个关键要素称为311安全要素，“3”指三个客体可信：支付人、商户、货币；两个“1”指一个数据内容可信和一个支付动作可信。

1、确定第一个“谁”即支付者的真实性，确保这个支付者与所付的钱的关系；

2、确定第二个“谁”即收款者的真实性、准确性和不可篡改。确保所支付的钱有且只有指定的收款者才可接收；

3、确定钱是真的，防伪的，金额是正确有效的；

4、支付指令是否由支付者下达；

5、支付行为是否能体现支付者意愿。

这些安全要素构建了最贴近支付业务的安全目标。311安全要素中任何一个要素安全如果无法得到保障，支付安全将会受到威胁。

密码保护技术：支付安全最重要的技术

311安全要素构建了支付业务的安全目标，想要达到目标还要通过技术手段完成。

安御道合认为，为实现311安全要素构建的安全目标，身份认证和密码保护是必不可少的两项技术。其中，身份认证技术验证支付人、商户身份；密码保护技术则是对支付业务中所有数据进行保护。

由于支付相关所有操作全部由各种数据传输、使用组成，因此支付安全的关键其实是数据安全。而且身份认证技术本身无法脱离密码保护，无论是身份认证信息的传输，还是身份认证信息的确认都需要密码技术的保护。

例如在短信嗅探盗刷案中，短信验证码属于身份认证技术，其作用是验证用户身份真实性，但是由于短信验证码在传输过程中没有受到密码保护，被犯罪分子获取，从而使用户账户安全受到威胁。

另外，在支付业务中所有的数据都属于个人金融（信息）数据，一旦泄露，不仅仅会对用户财产安全造成威胁，也会对第三方机构的安全造成威胁，甚至金融安全带来威胁，例如信用卡信息大规模泄露，可能会给银行带来大笔坏账。

在追求支付安全的过程中，数据安全是非常重要的，而密码技术是保护数据安全的最好手段。在等保2.0当中，密码技术是网络安全的核心技术，是信息保护和网络信息体系建设的基础，是保障网络空间安全的关键技术。

密码技术依托于两个关键：一是算法，二是密钥。算法做为一种标准化的，可信的方法，对信息的保护及互联互通起了决定性的作用。而密钥管理在保障共享开放的同时，也对私密个性的管理提供了可靠的保障。

所有数据都会有生命周期，有生、行（传输）、存（保存）、交流（访问）、死亡（销毁）。安御道合认为，密码就象身份里的红细胞，保障数据行和交流的互通。密钥就象身体里的白细胞抵御外来的威胁。安御道合明确地提出，数据也是有边界的，数据边界的划定体现就是密钥，即密钥在哪，哪就是数据的边界。

安御道合认为银行、企业需要统一密钥管理做为数据边界保护的基础设施。

新的货币新的支付

随着互联网技术的继续发展，社会数字化程度不断提高，货币的数字化已经近在眼前，中国人民银行多次透露央行数字货币（DCEP）的信息，无疑DCEP的诞生将会给支付带来新的改变。

幸运的是，DCEP也属于电子支付的一部分，即使给现在的支付业带来冲击，311安全要素的重要性不会改变，而且随着DCEP的发行，密码保护技术的重要性将会随之上升，在支付安全当中密码保护技术的重要性还会继续上升。

技术的快速革新让原有的支付安全手段变得不合时宜，与时俱进是每一个支付人要做的事情。2020年支付安全究竟需要做什么事情，通过什么手段还需要更多专业人士进行讨论。