[00144113]移动支付安全技术研究和应用

近年来我国移动支付业务快速发展,整体产业发展呈现强劲增长势头。由于移动支付处于移动设备以及网络的开放环境中,金融应用面临着来自移动通信网络快速增长的各种安全威胁,国内尚未有非常完整且经过实验和试点验证的安全技术体系,在手机侧、网络互联以及安全单元（SE）多应用等支付相关的关键环节也尚未提出非常完备及自主化的安全技术方案。 为此,“移动支付安全技术研究和应用”率先全面深入分析了移动支付全链条安全,建立了安全技术整体模型,研制了各个关键环节对应的安全技术,并通过建立验证实验环境实施验证测试,以及市场商用试点实现了对安全技术可行性的验证。主要成果体现在以下几个方面： 一是在国际范围内首次建立了完整的移动支付安全技术体系及分析模型,对移动支付从产品到系统各方面的关键环节进行了深入研究分析,对手机客户端、手机OS、智能卡芯片和多应用、系统互联、公钥基础设施、密码算法配用等关键环节进行了全面梳理分析,完成了9大类共18个专题的安全标准及技术方案。项目成果被国家标准和金融行业标准所采纳,促进了移动支付“国家-行业-企业”三级标准体系的建立,对形成安全的移动支付产业链具有重要意义对金融移动支付业务的安全具有重要指导意义。 二是在重点技术领域取得突破。在业界率先提出了基于智能卡安全认证的支付技术要求,自主设计完成了基于多个金融账户的安全管理机制,自主建设完成可信服务管理系（TSM）统并实现跨行业合作和多机构接入,项目经验和成果助力人民银行移动金融安全可信基础服务平台（MTPS）建设,为国内移动支付的规范化和产业化推进奠定了基础;提出了用于移动支付的国际和国密算法切换方案,并进行了仿真实验,为国密算法在金融支付领域的推广和应用提供了实践经验;针对在开放环境下的移动终端操作系统和支付应用软件,提出了系统性的技术安全要求。项目实现大量专利转化,基于技术创新成果,共申请技术专利29项。 三是完成了标准对应的验证环境和能力建设,建立了涵盖各个技术研究专题成果的验证环境,主要包括：系统端及证书和密钥验证环境、支付应用软件安全验证环境、智能卡多应用安全验证环境、手机银行电子认证验证环境、国密算法配用验证环境,有效实现了对技术方案和技术标准合理性、完备性、兼容性、可操作性的验证。 四是建立产品检测认证体系,联合银行、设备厂商、第三方等上下游企业根据项目成果进行产品研发和系统建设,至2014年1月共推出手机、智能卡、支付配件、应用软件等银联认证产品56款,实现量产和全国性推广。 五是选择了重庆、上海、北京等多个试点地区开展了有效的商用实验,并进而在全国范围内开展规模化推广和应用。至2013年底,仅银联直接合作项目即实现移动支付智能卡用户545万,无卡支付用户1948万,在线商户超6500家;2013全年实现有卡交易1602万笔,金额470亿元,无卡交易6608万笔,金额175亿元。大量商用实践实现了对安全技术先进性和可行性的检验,促进和提升了产业整体的安全技术水平。 六是项目建立安全技术完善和验证的长效机制,注重人才培养和机制建设这两项技术软实力的提升,协调和组织上下游企业形成并不断壮大产业技术联盟,集合产业各方不同领域的专家组成标准和研究工作专家库;以产业联盟的形式建立了产业各方的长效合作机制,集中监管机构、商业银行、设备厂商、信息安全企业、检测机构、各行业服务内容提供商、高等院校之间的合作联系,营造了快速反应、各方联动的移动支付产业研究合作氛围,工作涵盖风险分析、技术选型、方案设计、标准转化、验证测试、试点应用、规模推广,形成“产、学、研、用、管”相结合的产业合作长效机制。