物联网时代移动支付现状与安全策略(2)

3、移动支付的关键问题

尽管技术和标准上都已经准备充分，但移动支付的推广仍然困难重重，其中最大的问题就是如何培养用户的使用习惯，安全性、保密性、操作方便和法律保护等。安全性是支付最重要也是最难解决的问题。中国用户普遍对手机等移动设备缺乏安全感，几乎每个人都收到过欺诈和垃圾短信，遍地开花的山寨机包括很多国产品牌手机更是预设了吸费陷阱，整个社会信用体系的不完善导致人们没有安全感。这些都将阻碍移动支付快速发展。

移动支付背后的产业链过长—金融机构、移动运营商、网络运营商、终端设备提供商和零售商，如图1所示。

相对于传统的支付方式来说，移动支付的安全问题尤为严峻，产业链上所有部门都必须从技术到信用通力合作。物联网是互联网的一个延伸，天然的具有开放性、包容性和匿名性。如果要让物联网更好的为人们提供方便快捷的服务，就必须先保证个人隐私和信息安全，如果人们在第一次认识移动支付时就有很不好的或者不安全的体验，那么以后移动支付包括整个物联网想要扭转这个“第一印象”会非常困难。

4、移动支付的安全策略

从产业链的各个环节都可以加强安全措施：金融机构可以让用户设置交易上限，这样就能把把意外损失控制在一定范围，副作用是会给用户带来使用上的不便。银联也可以给用户手机发交易动态验证密码或消费金额提醒，这样能大大提高安全系数，但要求用户手机必须保持开机而且不能欠费。从移动运营商来讲，要严防用户的SIM卡被复制或冒领，全国已经发生多起用假身份证挂失SIM卡造成用户损失的案例。对此，可采用实名认证和指纹认证等技术手段相结合，同时在移动终端上安装金融级安全芯片和加密软件。从终端设备上来讲，可以让移动运营商或者金融机构统一采购，通过规模降低采购成本，也能把冒牌和山寨设备屏蔽在移动支付产业链之外，保证终端设备的安全。

在技术层面上，安全模型可以很好的保护隐私。对集中控制的网络环境，可以采用企业级安全模型，基于角色的访问控制（RBAC），将RD1D系统分成RDID标签、读写器、信息处理系统;把数据分别放到RDID标签中和信息处理系统中，二者合并后才能用密码解密，当标签发生变化，加解密密码也随之改变。这种方法计算、存储开销大，实时性不强，也不适用于分布式物联网环境。

目前密码学已经比较完善，如同态加密技术，安全多方计算方法，但这些方法都需要大量计算，也不能直接适用于物联网这种特殊的计算环境。现在对于网络的隐私和安全问题，很多研究也从访问控制、数据加密、行为监测以及代理服务等深入讨论，但物联网环境有其特殊性，还需进一步完善。物联网属于新兴产业，各种安全隐私保护方案、安全结构模型都是从特定角度出发，没有通用性，还有很大的发展空间。再有，任何安全措施都只是暂时的，加密和解密技术总是交替发展的，在安全技术上不断研发进步的基础上，进一步完善社会信用机制，通过道德和法律的约束来保证物联网乃至整个社会的健康发展才是长治久安之道。