北京大学陈钟：未来或出现可信移动应用商店

北京大学金融信息化研究中心主任陈钟

　　和讯科技消息 11月29日，2011中国移动支付产业年会在北京举行。在年会中，多位嘉宾作出了精彩的演讲。北京大学金融信息化研究中心主任陈钟在演讲中表示，未来或出现可信应用商店，以保证移动安全。

　　以下为演讲实录：

　　谢谢中国通信协会的邀请，也谢谢王主任的介绍！

　　很高兴，我也是唯一的产学研里面学的代表，当老师的，一定控制好时间。

　　实际上，在1995年，我本人就参加了国内清算系统的建立，应该说这是我们国内移动支付系统的基础。近年来我们在关注安全问题，网络和软件的安全保障。网络延伸到物联网，软件延伸到云计算，手机也是我们非常重要的一个方面。

　　移动支付要谈它的安全体系，安全保障，我们就不能泛泛而谈，这里面有它的一个定义。尽管我们说移动支付是一个很宽泛的概念，但是前面很多人都提到了，NFC，还有很多的这个方面。所以，我们看到，移动支付以移动的通讯设备作为载体，这还是一个非常重要的方面。所以我们手上也有银行卡，公交卡这些东西，它也移动，但是不在我们讨论的范围。

　　手机作为一种计算的方式，越来越重要地融入我们的生活当中，所以这是一个大的趋势。移动支付随时、随地、随心、随身，创造这样一个良好的环境。

　　所有人都谈到了支付的产业链，我们看到今年的支付产业年会，大家都在自己不同的位置上，去阐述对移动支付的理解和他们所能够提供的产品、服务、技术等各方面。但是这个产业链我们可以看到，在中国划分是非常清晰的，但是事实上，我们可以看到，当我们看到谷歌推出它的谷歌钱包的时候，它在产业链里，它是一个什么样的位置。

　　事实上，我们看到在国外，以创新引领行业的特征，相对中国来讲，是更有明显的一个特点。

　　移动支付的分类很多，前面已经介绍了，所以在这儿不多说了。但是我们看了这里面，我们发现在这个里面当中，还没有讨论更多的。比如说EFT，以银行为中心的，和以非银行为中心的这些业务分配。当然还有基于标准的硬件设备，还有基于特定硬件的这些方面。

　　所以我看到国外，在移动支付当中有非常多的创新，往往从草根做起。比如像SQUARE，苹果、谷歌都加入了这个阵营，但是它很多都是收购进来了，并不是说它自己有多好的创新力，日本、韩国和欧洲、北美都走在我们前面。我们要营造更好的一部法律和生存环境，包括这个监管，包括移动支付管理办法等等。这也明确了我们这里面的角色，并为技术应用的用户、服务的提供商、监管商、第三方检测等等这些方面的内容。对于中国的发展，应该说到达了一个共促移动支付启航的这样一个阶段。

　　移动支付的技术体系，前面已经提到了，包括我们的硬件厂商。硬件提供一个坚强的基础，这个也是非常重要的一个方面。这个也是我们标准关注的方面。当然我们也注意到，在国内，大多从消费者的角度出发，来引导这个创新。但是实际上，我们看到国外，像SQUARE，首先用手机是为广大的商户服务，它们有非常小的一个能够刷卡的发明，就可以使得我们很多人，可以成为实际收单的方，而不是用它来作为消费的支付等等。这方面也值得我们去关注。

　　这些支付的问题，我们不做太多的对比。

　　实际上，从我们关注一个系统来看，我们更多关注一个整体它的安全性如何。事实上，我们看一个软件部署的分布，我们看到移动支付有完全在SIM卡上实现，有手机定制应用软件，有手机操作系统上的应用，还有基于浏览器。这四大类。这四大类，我们提到安全，有不同的相应技术体系。

　　我们看第一代基于短信的系统，基于WAP的系统，也仍然在使用。但是我们看到基于短信上，在智能手机上，面临比普通手机上更大的安全挑战。移动支付的体系，就像我们刚才李征介绍了，这是打造的移动支付的平台，把商家、客户、银行以及交易支付的第三方，能够把它融入一个完整的模型当中。

　　基于SMM的系统以及基于WAP的系统，以及基于证书的体系，构成我们这样一个大的环境地当然这个里面，我们笼统地分，会看到有终端的安全，RFID的安全，传统电子商务的安全，还有整个移动支付生态系统整体的考虑。特别是随着终端特别多，攻击者不仅攻击终端，更多考虑在攻击后台。所以现在说没有后台的方案，几乎是一个孤岛的方案。但是有后台的方案，面临更多的挑战。

　　RFID的安全，也面临着挑战。我们也进行了两年的研究。下面的三年，重点是基于RFID，基于中间人的模式这样的研究。实际上，我们看到包括进厂的服务，如果有一个中介的方式，攻击的方式，依然有很多的挑战，所以也有很多安全的对策，不多说了。

　　空中接口，做通讯的人，是非常有信心说我在这方面做得很标准。但是当我们的移动通讯更多的偏重于数据的时候，作为我们所关注的移动通讯的安全，也面临着新的挑战。

　　我想多说一点是移动终端的安全，我们现在手机的安全，手机的病毒木马的遗失造成了问题，信用卡本身的安全，可以有一个堡垒。但是它构成一个整体，面临移动支付的时候，有很多的问题。即便你的手机在IPHONE，还是在安卓的平台上，也有很大的区别。我们知道WAP是比较成熟的，电信通讯当中，数据的一个主要手段。在北美，也是占主要的很大的比重。它中间也有很多安全的挑战性的问题。

　　所以整个的移动生态系统当中，法律法规的建立、产业链还有消费者所带来的很多心理上、消费习惯上，还有对隐私保护，你能不能确保的问题，都在困扰着我们。所以，我们看到智能手机移动支付安全的问题，在终端、通讯，特别是软件本身带来的问题，值得我们去关注。我们注意到，通讯技术的发展，从01年到现在，到2011年，我们的这个业务内容不断地丰富。比如说短信、彩信，WAP的推送，到现在的因特网，再加上我们APP拓展，设备的能力也在逐渐提升。我们现在可以到1.5G，甚至双核，在这个手机当中。我们的GSM，GPRS，到3G，甚至后面的LTE到4G。但是我们看到这里面的一条线，移动终端的恶意代码的发展也是在加速。

　　大家知道，X卧底可以监听通话，能够窃取手机的位置信息等等。我们的碎屏软件，可以把一些矽肺的模块植入到手机当中去。现在的恶意代码随着APP，大家越来越多把手机当成一个娱乐，当成各种各样好玩的东西的同时，这个恶意代码也诱惑你不知不觉地安装。包括一些恶意签名什么的，恶意代码也可以诱惑你进行签名，把它放进来。

　　所以这个黑客的主要在这些管理当中，采取了捆绑这样一些方式。我们看到一些静态的串联，也能够窃取到账户密码。我们现在手机上的手机银行、手机取现的一些功能，那么它也可以通过木马，或者恶意代码，通过动态来截取账户和密码。

　　所以，我想后面建议大家关注三个方面的机遇。一个方面，我们在制定标准的同时，要注重系统的安全。现在有些系统安全的增强方案是非常重要的。我们看到现在很多支付，大家无论是第三方，还是我们的三大运营商，还是生产商，过去很简单，输入密码就行了，现在有键盘捕捉器，所以我们用屏幕点击的。但是现在有屏幕录制器，所以依然还可以。那么怎么样去防，这是很大的问题。所以在我们的研究里面，不仅要有安全控制，还要有安全通道的保障，能够对应用系统的检测，对软件的方策，对通道安全的监控等等。如果没有这些考虑，我们的TSM可能是一句空话。

　　所以控件安全、通道是很重要的。在这里面，数据的防护，安全的防护，隔离的防护都是非常重要的。

　　第二个方面，建议大家关注，我们在未来更多要面向一个网络化操作系统的安全体系。也就是说，手机上的操作系统不仅仅是一个系统，它的后台怎么一体化，这也是我们2008年我们国家部署的核高基的任务。北大、清华等进行了一系列的研究。力图为未来的软件功能，打造一个软件化集群。这里面有标识化系统，可以跨越LINUX、安卓，还有苹果的操作活动，WINDOWS，以及浏览器，可以跨过X86，以及ARM，可以配在前端，以及后端的服务器，也能提供相应的标识和认证的服务。因为这个标识，特别是在今后的物联网的环境下，是一个最核心，最关键的一个问题。如果你都不能标识到你要被管理的对象，你更难实施你的安全策略。防护是我们要试试安全策略里面最基本的一个方面，所以因此我们说整个的网络化，包括系统前台和后台，那么你要有相应的基础的设施的支持。你才能够实现你安全的一个生态环境。

　　值得一提的是，代码可信分发的服务。这一间工作，我们一个多年的合作。现在我们把它放在安卓，一个应用经过审核可以签名。经过签名的应用，在下面安装时刻和执行时刻，能够进行签名的验证和检查。这样就可以有效防范未经授权代码的分发。基于这样的技术，我们也可以看到不久的将来，包括在移动上，我们能够建立可信应用商店。例如说我们看到这个图标上有一个锁，这个应用是符合在代码签名的标准下的能够可控的。

　　那么机遇之三，我们希望大家考虑一下，现在有这么多问题，究竟我们安全体系的理论基础是什么？对在我们过去多年的研究过程当中，我们现在提出的生命周围安全模型这样的一个理论，要解决软件的可信问题，要解决软件的安全问题，这个也在北大建立了高科技软件的重点实验室，软件安全和网络保障这样的重点实验室。这个代码生命周期的安全，包括这个代码生成，以及装入、安全维护这个方面的体系。本身有很多的挑战。

　　数据的安全也是非常重要的一个方面，整个从生到消亡这个生命周期里面的安全。举个例子，在移动支付全生命周期当中，我们看到很多关键的数据，比如说它的号码支付的信息，我们对用户的标识，它是基于特定格式的标识，它整个的传输、处理和存储的过程当中，任何一个状态的漏洞，都可以导致数据的泄漏。因此我们说，在数据的全生命周期，任何环节，我们到底有什么样的标准、技术能够去支持，我们到底有什么样的手段能够去评估、能够去确保，对于我们在国际上可靠的安全硬件，和可靠性的代码，是保障移动支付中关键设施安全的基本措施。

　　我相信，我们虽然有了第三方的检测，但是我们还应该去进一步深入研究我们所面临的挑战以及我们能够进行防范的相应的策略。

　　实际上我们看到，今天全平台手机的安全，我们碰到的IPHONE、IPAD，我们几乎无能为力，我们银行发行了很多的SP，到了手机上，我们全都不能用。没有这样的接口。所以，全平台的安全应用，还需要全平台的物理接口。我们实验室也做了一些相应的原形，比如说所有的应用都要用手机，就可以在手机上做一些小的接口，使得你的需求能够应用，用在这个标识当中。

　　我们看到在全球都在关心安全和隐私，也有很多新的技术值得我们去关注。比如说创建，我们需要客户端的安全控件，传输功能我们需要端到端的加密，需要有标识的密码系统和CPK的结合。可搜索加密和同态加密也是一个非常热门的一个话题。在存储方面，格式保留的加密，密码技术也是一种应用。以及在备份当中的秘密分割、门限密码的应用，以及在销毁当中密钥的管理，都是值得我们重视的。

　　所以我想说的结论就是说，我们离真正给客户、给商家一个可证明、可确保的安全，至少在软件，在整个系统来讲，我们还有一定的系统。让我们继续努力。谢谢大家！