2016年8月17日，ISC2016移动安全发展分论坛在北京国家会议中心召开。华为高级安全总监王梓介绍了华为公司移动支付解决方案实践。
　　以下内容为王梓演讲速记整理全文：　

　　谢谢主持人。各位来宾，非常荣幸有这样一个机会参加ISC大会。我来自华为终端，今天也是想跟大家分享一下，在移动支付安全这个领域，华为的一些实践。移动支付安全这个问题很大，我们来自终端厂商讲一些安全实践。

　　我今天的话题主要分为这样几部分，先简单介绍移动支付安全的现状，然后对支付的多层防护讲这样几个点。第一个伪基站，现在伪基站的问题是行业重点，看似能解决，看似不好解决。最后是恶意软件攻防，我们不管是云端软件还是本机的杀毒引擎都是跟第三方合作的，不是我们想主导这个事情，是我们想起一点点小作用。我们能不能终端上做一点点事情，帮助安全检测更有效、更精准。最后谈一谈芯片的检测。

　　我们先简单谈一下移动支付安全的现状。现在说线上线下，其实这个界限已经很模糊了。第一个，我们不管是像apple pay进入中国，三星也搞了一个pay。我们都是作为发展的渠道，其实本身我们不是做支付行业。我们微信支付比较多，这种产品形态非常非常多。将来哪种产品形态将成为主流？其实还是用户黏性。现在二维码支付，用户黏性比较大可能会占领市场。这里谈一点，现在央行出台了一些政策，可能对于非盈利机构业务上有一些限制。这些政策反而可能对我们的安全会有很大的促进作用，比如说现在如果你不采用安全芯片或者硬件的话，可能你的额度会受到限制。这种政策的驱动下，我们在终端安全上也会有新的变化。

　　其实这是一个手机银行的额度，因为我最近做支付比较多，前一段时间专门调研这个问题。这个额度调研完了之后也是吓死宝宝了。大部分银行一天单笔50万、100万。我查了一下银行帐户，1000还在，我心里稍微平静一下。看似50万、100万，可能对于身价几亿的人觉得无所谓。对于我们身价一共两三万的人感觉不够折腾了。

　　在手机上也有这种产品，比如通过蓝牙，其实这种东西的体验是非常差的，它已经不适合移动互联网的发展需要了。现在的趋势都是从客户端，最多短信验证码，50万、100万的往外转。每天都得用，用的胆战心惊。我举自己的例子，我如果在开放的Wi-Fi环境下，我是自己不敢用手机支付的，自己多少了解一下。如果在开放的环境下，是绝对不会用。

　　其实很多人在用，但是用的是胆战心惊。现在的攻击成本非常低，伪基站给你发一个短信，9588，大家比较信任，该点点，一钓鱼把账号都输进去，一点APP装上了，短信拦截码都拦截了。这是银行第三方支付，只需要你的身份证号、验证号就可以完成支付了。基本上伪基站发送的短信有些用户不太警觉。大家都认为这些东西，我们年年有绩效，我们每年都在这个上面投入大量的时间成本，我们发现有很多点，比如伪基站做的，甚至短信的，浏览器，恶意软件。但是好像防的效果怎么样？不是很理想。从用户口碑上感觉到还是收到伪基站短信，还是经常装一些恶意软件。

　　刚才盘古的兄弟提到苹果系统已经很不安全了，安卓生态那就更不安全了。但是我们不能否认安卓生态，现在我们的安卓是6.0，马上会发布安卓7.0。我们看这个版本上，每个版本谷歌或者终端厂商都在努力。其实现在从功能完备上已经快跟IOS对齐了。比如说基于硬件，全盘加密。我们每年都在升安卓版本，但是从来没有升级以后感觉安全了，我们从来没有这样的感觉。也就是说我们这种功能可能没有起到实际的效果，那么安卓生态现在的瓶颈在哪儿？表面上看开放，权限比较多。大家在安卓上可以有短信验证码，苹果已经没了。苹果既做软件，又做硬件，就是软硬一体的解决方案。

　　但这些都不是关键，安卓生态跟苹果系统最大的差距在哪儿？在于安卓生态没有法官，苹果生态有法官。大家犯了什么错误去法院，如果一个系统没有法官，那这个系统就是崩溃的。如果苹果系统开发一些接口，获取用户的敏感信息，可能让你下架。但是安卓不一样，你不让我上，我发布到别的平台。如果安卓生态没有一个法官出现，它可能很难达到苹果的感官。苹果每年发布的手机从来没有说安全，但是消费者的感觉是苹果是封闭的，比较安全。

　　现在介绍多层次保护体系。我认为关键问题，是我们在这些点上是不是真正做到了完美，或者预期效果。先介绍一下伪基站保护。伪基站是整个行业最大的问题，大量的恶意软件或者恶意钓鱼链接都是通过伪基站发送。这个问题为什么存在了很多年，还没有解决？我认为伪基站从技术架构上感觉是伪基站手机的健全体系，还是SIM卡，终端没有扮演什么角色。这是二级网络，这是基站，这是SIM卡或者终端，这个体系里面没有完成双向的。只有基站健全了SIM，但是SIM没有健全基站。伪基站不是单向的，其实不然。我们可以看到这个地方，我们说2G、3G、4G演进过程中，还有一个特性这中间数据的完整性保护和加密保护。我们说其实2G已经具备了加密保护，但是事实上2G这个体系里面即使健全，我只要把加密保护起用了照样可以防伪基站。但是这个东西就是历史遗留的原因。我们说GSM网络是存量的网络，要想对这些东西进行改造那成本太大了。我们说在3G、4G里面，既有双向健全，同时也有数据包，这样就可以很好地解决基站问题。现在最大的问题是GSM覆盖，它每天处在我们的生活中，我们如何解决这个问题？我先介绍一下怎么攻击。我们现在打电话就知道了，不管在哪个运营商的网络，只要打电话就会回到GSM。如果你回到GSM以后，伪基站就在这里，它的信号要比我们正常的信号强得多。其实说我正常处于4G网络，如果正常的信号也会通过驻留回到GSM，这就是实际的背个包，或者骑个车子就被伪基站攻击了。

　　伪基站攻击怎么解决？首先，伪基站的问题是出在网络架构上。我们首先的诉求看运营商能不能帮我们解决这些问题，我们不说运营商马上把这个网络全换掉，你扩展认证机制也不现实。能不能有一些辅助的手段？我们看是有办法的。这是整个2G架构，左边是终端，右边是基站，中间是核心网。这个基站就是伪基站的位置，正常的基站有一个能力跟核心网进行通讯，而伪基站是没有能力跟核心网通讯的。这个时候伪基站跟基站最大的区别。我们基于这个原理，我们以后收到短信的时候，我希望后面附赘一个信息。不管是中国银行发的，或者我朋友发的，希望后面辅助一个信息，比如说我是强哥。让我看到因为这个信息从运营商后台获取的，伪基站获取不了。可以标注一下，因为现在运营商都实名制了，我把姓名推到后面，或者把伪号推到，或者用户自定义定制。来了一条短信就知道这条短信是不是伪基站发的，如果这个方案能够得到比较好的推广的话，那么我认为这个伪基站的问题可能会得到很好的解决。而且有一个很好的消息，我听到运营商已经有这样的方案会在行业推，如果这个方案能够规模化实施，成本要降低，同时起到很好的防护效果。

　　我们作为终端厂商也不能坐以待毙，我们也不能等着运营商去做。尤其终端平台，我们希望是不是在芯片上做一些事，这就是我们提出的芯片层的伪基站攻防。我们说伪基站的核心是切换到GSM上攻击。我们整个芯片上会把所有GSM的流程进行控制，不管是位置发生以后重选，还有GSM搜网，甚至切换到CSFB目标小区驻留。目的就是不让它附着到伪基站，很关键的一点就是对伪基站的画像。伪基站如何画像？这个地方有一个好处，你如果通过芯片层面做的好。伪基站根本用户连不上，如果你这个画像有问题了，那可能影响正常通信了。如果把正常的基站也当伪基站处理了，影响正常通信，这个问题是不允许的，不能因为伪基站去影响用户基本的通信。所以说这个地方的核心就是伪基站画像。伪基站的画像参数是很多的，我没有单列出来，但是这些数据是从何而来？是平台和团队，长期在外面测试的时候总结出来的参数和数据。这是从芯片层面。

　　我们其实可以做芯片，我们从芯片层面做。还有很多厂商是应用厂商，芯片改不了，他们也有很多种方式。现在其实过于依赖大数据，我认为大数据这个东西有时候可能要有一批用户作为牺牲品，去扮演这样的角色。其实我们不希望有牺牲的人，但是现在也有两种方式来解决。第一个就是我们做UI，什么意思呢？我们现在95555这是招商银行的服务电话，我们对每一个95555来的短信里面，我实时跟招行提供一个URL进行匹配，这样就可以实现你合作机构百分之百的确定，而不是说像是大数据一样动不动99.99%，但是还是没有实现100%。有些短信里面，请你呼叫你的号码，这种东西我们希望通过，也就是95555收到一个短信以后，由招行后台回馈，这个事如果你做过的话我就yes，如果你没做过就是伪基站发的，我就把它标出来。现在为什么说这种方案我们也可以做？这里面涉及的产业比较多，大部分厂商都想着尽量自己干，不想跟一家一家银行和机构去谈。如果有一个产业链把大家纳入进来，如果这种事情真正成为标配的话，对于这种伪基站的攻击和解决也是有很大的作用。