移动支付大戏:从移动终端安全开始
来源:金融电子化
移动支付的可靠性和安全性、移动支付终端的多样性和易用性,将是影响未来移动支付业务拓展的重要一环。但是,如何才能给消费者提供安全、可靠、好用的移动支付终端?随着移动互联网的迅猛发展,移动支付市场风起云涌,各路英豪迅速抢占移动支付的蓝海,微信红包、微信财付通、嘀嘀打车、刷NFC手机购物或乘公交等等,各种创新的移动支付应用和终端技术方案的采用层出不穷。不管采用哪种移动支付技术和应用模式,都离不开移动支付的载体“移动终端”和广大的移动终端消费者。所以,移动支付的可靠性和安全性、移动支付终端的多样性和易用性,将是影响未来移动支付业务拓展的重要一环。但是,如何才能联合移动支付产业链上的合作伙伴,通过自主创新,给广大消费者提供安全、可靠、好用的移动支付终端?
首先,需要制定一套符合我国国情的移动支付终端技术标准和测试标准。现在移动支付标准已经统一为13.56MHz,但是,对于移动支付终端的技术标准和测试标准却不统一。目前欧美运营商的移动支付采用的标准是基于银行行业的标准,中国国内运营商更多倾向于NFC Forum标准,而国内银行组织则是基于ISO标准,重点是应用,且逐渐向EMVCo标准靠拢。当下多样化的标准,会导致移动支付终端的RF测试标准较多、适用不同标准的测试设备套件差别也较大,移动支付终端难以同时满足不同的测试标准,终端制造成本和测试设备购买费用开销大。
另外,从对当前市面上的一致性终端的比较测试来看,一致性、兼容性和可靠性是目前移动支付终端存在的重点问题,如刷卡成功率低、交易时间长等将严重影响用户的体验。所以,迫切需要制定统一的移动支付技术标准和测试标准,用以指导终端厂商的产品研发,只有有了符合规范的、兼容性好的移动支付终端,才能很好地推动我国移动支付产业集约化和规模化发展进程。同时,在移动支付终端技术标准制定过程中,我们要做好专利布局,形成自主的知识产权。
其次,要建立权威的移动支付终端检验平台和机构,上市的移动支付终端必须经过严格的认证测试。曾有移动支付终端通过了检测机构的EMV和NFC Forum的接口测试,但在现场刷卡不成功。当前的移动支付实验室协议测试真的可靠吗?所以,我们一定要建立权威的移动支付终端检验平台,对NFC协议和接口进行测试,同时要模拟一系列现场支付环境,对移动支付终端与POS机的兼容性、无线环境的兼容性,以及各种移动支付过程中的来电、短信等并发业务进行测试。只有经过了各种严格测试的移动支付终端,才能适应现场的各种支付环境,才能保证移动支付终端的稳定和可靠。
再次,必须要有系统的移动支付终端安全解决方案。根据iResearch艾瑞咨询发布的《2012年美国移动支付市场分析报告》对美国手机用户不用移动支付的原因进行分析,发现其中安全问题占比达至42%。因为市面上大部分移动终端是基于安卓平台的,而安卓代码是开源的,这样导致移动支付终端和应用软件很容易被病毒和木马攻击,从而泄露消费者的个人信息,导致财产损失。移动终端厂商只有很好地解决了移动支付的安全问题,才能让消费者安心地去用移动支付业务。
如何进行移动终端的安全设计呢?从硬件设计上,要能提供硬件隔离保护、安全的数据采集和传输、运行安全支付的独立硬件模块等手段保护用户的关键信息。在操作系统层面上,要能支持可信运行环境,并提供唯一的SE访问接口。访问控制策略既可以来自业界标准,也可来自银联、银行、运营商和集团用户的定制需求。在应用层面上,要有手机防盗等应用。这样,从软件、硬件和操作系统层面上提供系统级别的安全保护和优化,从而使得移动终端更加安全。
未来我们相信,移动支付产业链上的各企业,只要能齐心协力,共促支付标准统一、共建统一权威的移动支付检验平台和机构、共同加强移动支付终端的安全保障,一定能进一步促进我国移动支付产业的健康发展。