北京大学陈钟：未来或出现可信移动应用商店(2)

来源：和讯科技　作者：佚名　责任编辑：admin　发表时间:2011-11-30 17:21　

核心提示：这些支付的问题，我们不做太多的对比。实际上，从我们关注一个系统来看，我们更多关注一个整体它的安全性如何。事实上，我们看一个软件部署的分布，我们看到移动支付有完全在SIM卡上实现，有手机定制应用软件，有

这些支付的问题，我们不做太多的对比。

实际上，从我们关注一个系统来看，我们更多关注一个整体它的安全性如何。事实上，我们看一个软件部署的分布，我们看到移动支付有完全在SIM卡上实现，有手机定制应用软件，有手机操作系统上的应用，还有基于浏览器。这四大类。这四大类，我们提到安全，有不同的相应技术体系。

我们看第一代基于短信的系统，基于WAP的系统，也仍然在使用。但是我们看到基于短信上，在智能手机上，面临比普通手机上更大的安全挑战。移动支付的体系，就像我们刚才李征介绍了，这是打造的移动支付的平台，把商家、客户、银行以及交易支付的第三方，能够把它融入一个完整的模型当中。

基于SMM的系统以及基于WAP的系统，以及基于证书的体系，构成我们这样一个大的环境地当然这个里面，我们笼统地分，会看到有终端的安全，RFID的安全，传统电子商务的安全，还有整个移动支付生态系统整体的考虑。特别是随着终端特别多，攻击者不仅攻击终端，更多考虑在攻击后台。所以现在说没有后台的方案，几乎是一个孤岛的方案。但是有后台的方案，面临更多的挑战。

RFID的安全，也面临着挑战。我们也进行了两年的研究。下面的三年，重点是基于RFID，基于中间人的模式这样的研究。实际上，我们看到包括进厂的服务，如果有一个中介的方式，攻击的方式，依然有很多的挑战，所以也有很多安全的对策，不多说了。

空中接口，做通讯的人，是非常有信心说我在这方面做得很标准。但是当我们的移动通讯更多的偏重于数据的时候，作为我们所关注的移动通讯的安全，也面临着新的挑战。

我想多说一点是移动终端的安全，我们现在手机的安全，手机的病毒木马的遗失造成了问题，信用卡本身的安全，可以有一个堡垒。但是它构成一个整体，面临移动支付的时候，有很多的问题。即便你的手机在IPHONE，还是在安卓的平台上，也有很大的区别。我们知道WAP是比较成熟的，电信通讯当中，数据的一个主要手段。在北美，也是占主要的很大的比重。它中间也有很多安全的挑战性的问题。

所以整个的移动生态系统当中，法律法规的建立、产业链还有消费者所带来的很多心理上、消费习惯上，还有对隐私保护，你能不能确保的问题，都在困扰着我们。所以，我们看到智能手机移动支付安全的问题，在终端、通讯，特别是软件本身带来的问题，值得我们去关注。我们注意到，通讯技术的发展，从01年到现在，到2011年，我们的这个业务内容不断地丰富。比如说短信、彩信，WAP的推送，到现在的因特网，再加上我们APP拓展，设备的能力也在逐渐提升。我们现在可以到1.5G，甚至双核，在这个手机当中。我们的GSM，GPRS，到3G，甚至后面的LTE到4G。但是我们看到这里面的一条线，移动终端的恶意代码的发展也是在加速。

大家知道，X卧底可以监听通话，能够窃取手机的位置信息等等。我们的碎屏软件，可以把一些矽肺的模块植入到手机当中去。现在的恶意代码随着APP，大家越来越多把手机当成一个娱乐，当成各种各样好玩的东西的同时，这个恶意代码也诱惑你不知不觉地安装。包括一些恶意签名什么的，恶意代码也可以诱惑你进行签名，把它放进来。

所以这个黑客的主要在这些管理当中，采取了捆绑这样一些方式。我们看到一些静态的串联，也能够窃取到账户密码。我们现在手机上的手机银行、手机取现的一些功能，那么它也可以通过木马，或者恶意代码，通过动态来截取账户和密码。

所以，我想后面建议大家关注三个方面的机遇。一个方面，我们在制定标准的同时，要注重系统的安全。现在有些系统安全的增强方案是非常重要的。我们看到现在很多支付，大家无论是第三方，还是我们的三大运营商，还是生产商，过去很简单，输入密码就行了，现在有键盘捕捉器，所以我们用屏幕点击的。但是现在有屏幕录制器，所以依然还可以。那么怎么样去防，这是很大的问题。所以在我们的研究里面，不仅要有安全控制，还要有安全通道的保障，能够对应用系统的检测，对软件的方策，对通道安全的监控等等。如果没有这些考虑，我们的TSM可能是一句空话。

所以控件安全、通道是很重要的。在这里面，数据的防护，安全的防护，隔离的防护都是非常重要的。

第二个方面，建议大家关注，我们在未来更多要面向一个网络化操作系统的安全体系。也就是说，手机上的操作系统不仅仅是一个系统，它的后台怎么一体化，这也是我们2008年我们国家部署的核高基的任务。北大、清华等进行了一系列的研究。力图为未来的软件功能，打造一个软件化集群。这里面有标识化系统，可以跨越LINUX、安卓，还有苹果的操作活动，WINDOWS，以及浏览器，可以跨过X86，以及ARM，可以配在前端，以及后端的服务器，也能提供相应的标识和认证的服务。因为这个标识，特别是在今后的物联网的环境下，是一个最核心，最关键的一个问题。如果你都不能标识到你要被管理的对象，你更难实施你的安全策略。防护是我们要试试安全策略里面最基本的一个方面，所以因此我们说整个的网络化，包括系统前台和后台，那么你要有相应的基础的设施的支持。你才能够实现你安全的一个生态环境。(责任编辑：admin)

“扫一扫”关注融合网微信号

免责声明：我方仅为合法的第三方企业注册用户所发布的内容提供存储空间，融合网不对其发布的内容提供任何形式的保证：不保证内容满足您的要求，不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网，融合网不承担任何法律责任。

第三方企业注册用户在融合网发布的内容（包含但不限于融合网目前各产品功能里的内容）仅表明其第三方企业注册用户的立场和观点，并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息，并不代表本网站的观点和立场，更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点，与本网站立场无关，不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断，自行决定并承担相应风险。

根据相关协议内容，第三方企业注册用户已知悉自身作为内容的发布者，需自行对所发表内容（如，字体、图片、文章内容等）负责，因所发表内容（如，字体、图片、文章内容等）等所引发的一切纠纷均由该内容的发布者（即，第三方企业注册用户）承担全部法律及连带责任。融合网不承担任何法律及连带责任。

第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容（如，字体、图片、文章内容等），经相关版权方、权利方等提供初步证据，融合网有权先行予以删除，并保留移交司法机关查处的权利。参照相应司法机关的查处结果，融合网对于第三方企业用户所发布内容的处置具有最终决定权。

个人或单位如认为第三方企业注册用户在融合网上发布的内容（如，字体、图片、文章内容等）存在侵犯自身合法权益的，应准备好具有法律效应的证明材料，及时与融合网取得联系，以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。

融合网联系方式：（一）、电话：（010）57722280；（二）、电子邮箱：2029555353@qq.com dwrh@dwrh.net

对免责声明的解释、修改及更新权均属于融合网所有。