标签: 移动支付

在发布近两年、历经各种周折之后，苹果公司的Apple Pay移动支付服务终于在2016年2与18日来到了中国大陆。2月18日凌晨五点，Apple Pay（苹果支付）正式上线，苹果官方网站公布，首批合作银行共有19家，包括五大行，浦发、招行等10家股份行，以及北京银行、上海银行等4家城商行，Apple Pay将支持其发行的借记卡和信用卡。   Apple Pay是苹果公司在2014秋季新品发布会上发布的一种基于NFC的手机支付功能，于2014年10月20日在美国正式上线，中国是其布局的第五个国家。     早在去年12月，银联就宣布和Apple Pay以及Samsung Pay（三星支付）达成合作。Apple Pay将接入银联的云闪付系统，通过NFC 天线设计，只要将iPhone靠近支持银联云闪付的POS终端，同时将手指放在Touch ID上即可完成支付。   NFC支付复苏，Apple 能再掀狂澜吗？   目前移动支付领域主要包括NFC支付、扫码支付和卡机支付三种模式。扫码支付相较NFC属于后起之秀，却于近几年迅速抢滩移动支付市场。   Apple Pay本质是NFC支付，基于非接触通信技术，可实现『滴一滴』快速付款。从技术原理上看，Apple Pay 在手机内集成了 NFC 天线和安全芯片，通过空中发卡流程，将银行动态加密的信息集成在安全芯片里，通过 NFC 传递交易信息、完成支付。相当于在手机安全芯片里加载了一张***，与刷***一模一样。   Apple Pay跟***绑定在一起，可以理解为它就是一张***，对用户来说，这与支付宝和微信支付的『快捷支付』本质并没有不同，其更被人看好的地方在于：它不需要打开App，不需要点击『付款』按钮，操作路径短了不少，这样你在收银台磨蹭的时间会短很多。       除了便捷之外，NFC支付还有一大优势是『安全』，对于支付工具来说，安全比便捷更重要。至少在官方层面，NFC被视作更安全的支付工具：央行金融 IC 卡领导小组办公室主任李晓枫在去年4月底表态：『二维码支付成本低廉但不安全，没有密码认证的二维码技术不可以作为可信支付技术在线下大范围推广』。   鉴于银联更重视NFC，运营商和手机厂商又配合，所以NFC这些年一直都在被推动：银联2014年就在推动NFC终端『闪付』在POS终端上已经有一定成，『闪付』***发卡量达到数亿张；运营商一直也在补贴NFC终端或者NFC-SIM卡；终端厂商都开始支持NFC，iPhone6及更高版本的iPhone，荣耀6 Plus、魅族MX4 Pro、华为Mate 7、三星Galaxy S5等明星机型都加入了NFC功能。为什么大家这么支持？因为如果手机厂商、运营商、银联、银行不选择NFC，微信支付和支付宝的二维码支付跟它们没太大关系，离钱这么近的事情，谁都想分一杯羹。　　   一位银联内部人士认为，最初NFC发展缓慢主要由于涉及的参与方过多，包括银行、银联、移动通讯商、手机厂商等，每一方都希望游戏规则更有利于自己，在博弈中难以平衡各方利益。另外，与扫码支付相比，NFC支付对受理载体要求更高，支持NFC功能的移动设备和POS终端成本较高，而扫码支付的门槛和设备成本均很低，更容易推广。而且苹果手机此前一直未能开放NFC，所有的NFC支付均基于安卓系统，约损失了20%-30%的用户量。   早在Apply pay入华前，国内的NFC支付已进行了一次革命。与NFC首次推出时不同，安卓系统推出了HCE（主机卡模拟）功能，摆脱了将NFC信号收发器整合在SIM卡中的束缚，多个参与方博弈的情况在一定程度上得到解决。银联云闪付就是基于NFC-HCE技术的移动支付产品，除银联外，招商银行等部分银行也推出了基于该技术的产品。   NFC支付无需依托APP或者打开手机，仅将手机靠近具有闪付功能的POS机，手机便被自动点亮，输入密码即可完成支付，相比扫码支付用时更短。但彼时苹果公司尚未开放NFC支付，该功能仅限于安卓系统的手机。   不少第三方支付也对其发出支持的声音。苏宁金融表示，苏宁易付宝作为第三方支付机构，未来需要加强与NFC等新技术厂商合作。目前，苏宁易付宝已和Samsung Pay签订了合作协议，应用于苏宁的门店。快钱也表示，做好准备在快钱的POS终端上支持Apple Pay。支付宝则称，商家对支付服务的需求不再限于支付。基于互联网，由支付衍生的会员营销、数据化运营等服务，开始为商家贡献越来越多的价值。支付宝会基于此，用互联网、大数据的方式，反哺线下商业。   在这么多玩家都撑不起来NFC的时候，Apple Pay就可以吗？或许可以，但一定会更漫长，并且要靠银联主导而不是Apple——二维码支付两三年建立习惯可是花了几十亿现金，再加上许多无形投入。这并不是说NFC不会有市场，只要强力推广，还是会有人用的，未来ATM机都会支持NFC手机直接取款，但这应该会在几年之后。   银联企图 “收复失地”，Apple Pay能否助力？   而有了 Apple Pay 助阵的银联，无疑将扩大其在移动支付上的影响力。除了 Apple Pay，银联还在尽可能与华为、小米等品牌手机厂商谈合作，各种手机品牌 “Pay” 将依托银联平台挤入移动支付大潮。那时，将形成一股 “智能手机 +NFC+ 金融 IC 卡” 的组合，与微信支付、支付宝展开正面对抗。     近年来，支付宝和微信攻城略地，拓展线下交易场景，构筑移动支付通道，抢夺传统金融机构的 “奶酪”。在过去的竞争中，中国惟一的***联合组织及跨行交易清算机构——银联，基本属于守势，无奈坐视第三方支付越来越 “脱媒” 式发展，成长为另一支跨行交易清算的市场力量。   支付宝、微信的扫码支付的优点，在中国银行网络金融部副总经理董俊峰看来，对消费者来说门槛最低；从商户来看，扫码支付容易与团购促销等优惠手段实现与本地优惠券的**；从银行和银联来说，扫码支付在清算体系上完全绕开了银联，数据控制权基本上被支付机构一家所掌控，在收单市场上蚕食了原有银联和银行收单网络的业务。   中国的移动支付市场已形成寡头垄断格局，支付宝、微信支付两大应用，占据了超过八成的第三方移动支付市场份额；在 2015年 第三季度，大约 1.9 亿活跃用户在使用支付宝作为移动支付工具，排在第二名的微信支付也已拥有超过 1.5 亿的活跃用户。包括银联在内的传统金融机构，缺席了这把交椅。   而银联与苹果的合作模式，跟苹果在美国与卡组织的合作类似，没有破坏原来发卡行、收单行和卡组织三者之间的关系，苹果从一开始就坚定地与银联合作，并非替代银联。   支付宝的本质上是线上支付，但交易在线上，服务在线下，离不开网络环境。银联想抓住支付宝们的这一软肋，将离线支付作为突破口，基于 NFC 的移动支付可完全脱离网络环境，并令人感觉更为安全。   银联和支付宝之间的战争，某种意义上也是 NFC 和二维码的较量。   中国电信支付业务联合创始人陈建伟曾表示，NFC 支付可帮助银联在移动支付领域扳回一局，“重新和支付宝回到同一条起跑线上”。   央行金融 IC 卡领导小组办公室主任李晓枫认为，NFC 将是二维码支付有力的竞争者。他说，NFC 支付依托的是***，属于强实名账户；而二维码依托的是第三方支付账户，属于弱实名账户，不受法律保护。   此外，第三方支付交易没有连接到央行的支付清算系统，不能全国清算，只能双边交易，这让二维码支付的安全性打了折扣。“二维码只能在小额支付领域做文章，大额支付做不了。”   银联在小额、高频的市场是远远落后的，现在小到菜摊、水果摊，商贩们都已接受支付宝或微信，这些本就不采纳 Pos 机的商户，Apple Pay 是无法渗透的，因为添置一个 pos 机就是上千元的成本，而且操作麻烦，学习成本高，远不如自己买台廉价智能机。   从这一点上来看，Apple Pay 其实切入的是银联的存量市场，并未形成增量。   吸引用户，除了靠便捷性，还得烧钱   而且，争夺用户还得靠真金白银，支付宝和微信支付不惜烧钱给用户提供补贴、返现来提高打开率，苹果仅仅靠便捷性这一点还很难取胜。   不一定所有商户都有动力引导持卡人使用 Apple Pay，除非 Apple Pay 像支付宝扫码支付一样有补贴或者**优惠券来争取商户收银台的支持。   有一个现成的例子是，苹果曾把所有优惠券、会员卡、登机牌整合在一个 app 里，命名为 passbook，试图为用户节省打开其他 app 的时间，但始终是鸡肋，很多用户并不买账，关键还是缺乏场景和使用习惯，用户并不能最先想到使用 passbook。而这种使用习惯，是真金白银砸出来的。   中国用户要用 Apple Pay，拥有一部 iPhone 6 是最低要求。Apple Watch 则需要与 iPhone 5 或更新机型配对才能在店铺支付，iPad 则只支持线上。   这样一来，Apple Pay 的用户群受制于苹果新型号手机持有者，而不断更新 iPhone 版本的用户多是年轻苹果粉丝，人群本来就窄，这个人群的消费能力和信用卡渗透率也是个问题。   如果不烧钱推广，Apple Pay 也会像 Passbook 一样沦为鸡肋吗？   另一个问题，Apple Pay在自己的大本营——美国市场，表现的如何呢？   从Apple Pay最初发布至今约一年半的时间，除了美国以外，在英国、加拿大、澳大利亚等国家和地区也均已陆续开放，尽管识别度很高，该支付服务在美国用户中的接受度并不高，真正使用Apple Pay服务的人群也并不多。   根据近期一份调查显示，在所有iPhone用户中，73%的人称他们听说过Apple Pay，在iPhone 6的用户中，这一比例更高，达到了84%，但只有20%的iPhone 6用户称曾经使用过Apple Pay进行支付行为，而声称自己经常使用Apple Pay的更是少的可怜，仅为15%。   其实，导致用户使用率较低的原因主要是来自两个方面，一是用户的使用习惯，人们并没有完全适应线下“叮咚”一声就支付的行为。二是商户的接受度问题，目前并非所有商家都能够接受Apple Pay。当然，苹果也正在第二个方面努力，经过一年多的大力推广，目前全美有超过200万个零售商支持苹果支付。   而线上支付，主要是App内支付部分则增长的比较明显，根据彭博的数据显示，2015年下半年，使用苹果支付进行App内购买活动的数量较上半年增长了50%。   另一方面，在中国，很多用户已经被微信、支付宝培养了固定的动支付习惯，相对欧美要更快一步。而在这带有鲜明“中国特色”的移动支付市场，苹果Apple Pay胜算并不大。更何况现在微信、支付宝们正在赋予支付更多属性，比如社交，商家和用户通过支付连接在一起，随后双方形成更多的互动。   很多观点是，已经习惯了支付宝扫码的用户不会那么容易迁移，即便苹果强势、支付体验好、但Apple Pay也不会是一种爆发性增长，它需要一段时间培育期。往好处看，苹果在最近一个财季里卖了7477.9万部iPhone，并且未来新设备肯定都会支持Apple Pay，它的增长空间很大，银联也需要一个强有的伙伴牵制支付宝与微信。   总的来说，Apple Pay的道路依旧很长。中国作为苹果的重要市场之一，拥有着海量苹果用户，而苹果能否利用其强大的影响力推动Apple Pay真正落地，Apple Pay能否挑战微信支付宝的地位，我们拭目以待。   然后，你会使用Apple Pay吗？ 资料整理自：21世纪经济报道，虎嗅，腾讯，36Kr

2015年7月15日世界移动大会-上海正式开幕，以“移动无极限”为主题，聚焦互联汽车、可穿戴技术、移动支付、智慧城市等在各方面改善着人们生活的移动技术。 在全球4G网络已经开始大规模部署的今天，各大运营商和通信企业已经开始了5G的研究和测试。在大会上，没有厂商强调5G的速度，所以说5G并不仅仅是为了再次提高速度，而是为了物联网应用而生。 在中国移动的展台上最吸引目光的是5G原型机和5G隐形基站的展示。5G原型平台解决方案包含多核CPU+FPGA阵列架构及5G技术验证和系统集成（大规模天线系统、高频段、新波形等）。关于5G原型机，我们后续还会有文章对其进行揭秘。另外，中国移动还展示了其TDD+的一项关键技术3D MIMO，3D MIMO技术在不改变现有天线尺寸的条件下，可以将每个垂直的天线阵子分割成多个阵子，从而开发出MIMO的另一个垂直方向的空间维度，突破了MIMO传输方案一般只能在水平面实现对信号空间分布特性的控制的瓶颈，进而将MIMO技术推向一个更高的发展阶段，为LTE传输技术的性能提升开拓出更广阔的空间。 下一页： 华为：展示5G低频测试样机和5G通信机器人 【分页导航】 第1页： 中国移动的5G原型机和5G隐形基站展示 第2页： 华为：5G低频测试样机和5G通信机器人 第3页： Nokia：5G在无人驾驶汽车上的应用 第4页： 大唐电信和上海贝尔的5G进展和规划 第5页： 智慧家庭，智能机器人，虚拟实境一个不少 华为在此次移动大会上展示了一台5G低频测试样机和一个通过5G通信的机器人。另外华为近期收购了软件开发公司Amartus位于都柏林的电信网络管理业务，从事SDN软件层开发。在大会上，华为也以图片形式展示了其SDN技术的成功案例。 下一页： Nokia：5G在无人驾驶汽车上的应用 【分页导航】 第1页： 中国移动的5G原型机和5G隐形基站展示 第2页： 华为：5G低频测试样机和5G通信机器人 第3页： Nokia：5G在无人驾驶汽车上的应用 第4页： 大唐电信和上海贝尔的5G进展和规划 第5页： 智慧家庭，智能机器人，虚拟实境一个不少 据悉，来自日本和韩国领先运营商的首席技术官们说，尽管离实施还需要几年时间，但电信行业有关5G的讨论非常热烈，这些讨论集中在使用案例、商业模式和更广泛的生态系统方面。Nokia在本次大会上就以图片形式展示了5G在无人驾驶汽车上的应用，5G 1ms的反应时间可以减少无人驾驶汽车地面事故的发生。另外，据Nokia工作人员介绍，Nokia 5G低频段基站的大小与4G基站差不多，但是高频段的基站则可以做到半个矿泉水瓶的大小，一个天线可以做到指甲盖的大小。本次大会中，Nokia没有展示实际的5G基站，只以图片是形式展示了一下。 下一页： 大唐电信和上海贝尔的5G进展和规划 【分页导航】 第1页： 中国移动的5G原型机和5G隐形基站展示 第2页： 华为：5G低频测试样机和5G通信机器人 第3页： Nokia：5G在无人驾驶汽车上的应用 第4页： 大唐电信和上海贝尔的5G进展和规划 第5页： 智慧家庭，智能机器人，虚拟实境一个不少 大唐电信和上海贝尔也都以图片演示的方式展示了自己在5G方面的计划和进展。 下一页： 智慧家庭，智能机器人，虚拟实境一个不少 【分页导航】 第1页： 中国移动的5G原型机和5G隐形基站展示 第2页： 华为：5G低频测试样机和5G通信机器人 第3页： Nokia：5G在无人驾驶汽车上的应用 第4页： 大唐电信和上海贝尔的5G进展和规划 第5页： 智慧家庭，智能机器人，虚拟实境一个不少 在2015世界移动大会-上海的现在还有一个创新城市的展区，展区内华为展示了智慧家庭中使用到的智能网关、各种传感器以及车联网等；高通展示了一款无需遥控器的智能机器人Snapdragon Rover，该款机器人只需要下载一个手机APP即可控制，对于从未遇到过的物品只需第一次提醒过应该放在哪里，后面如果再遇到类似的无需再控制，机器人即可知道应该放在哪里。GSMA展示了手机互联（Mobile Connect），通过用户指定的手机，便可使用户快速且安全地登陆网站和应用程序，而不必记住密码，简单方便；另外GSMA还提供了虚拟实境的现场体验。 【分页导航】 第1页： 中国移动的5G原型机和5G隐形基站展示 第2页： 华为：5G低频测试样机和5G通信机器人 第3页： Nokia：5G在无人驾驶汽车上的应用 第4页： 大唐电信和上海贝尔的5G进展和规划 第5页： 智慧家庭，智能机器人，虚拟实境一个不少

华虹计通与华虹集团合作开发超高频RFID项目 华虹计通董事会于2012年12月10日以电话会议方式召开了第一届董事会第十九次会议。对《关于同意公司与上海华虹(集团)有限公司合作开发上海市软件和集成电路产业发展专项资金项目的议案》进行表决，表决结果为：6票同意，3票回避，同意公司与上海华虹(集团)有限公司合作开发面向金融领域有价票证物流管理的超高频 RFID 控制模块和读写设备并共同实施上海市软件和集成电路产业发展专项资金项目。 　　上海华虹(集团)有限公司(以下简称“华虹集团”)与上海市经济与信息化委员会(以下简称“经信委”)于2012年11月签署了《上海市软件和集成电路产业发展专项资金项目协议书》，根据协议书约定华虹集团将联合上海集成电路研发中心有限公司和公司共同实施该项目，项目资金主要用于超高频RFID标签芯片的IP研发，以及标签芯片、标签模块和读写设备的研制和产业化中所需要的设备和软件、研制材料、研发劳务费和测试加工费、知识产权费等。为明确各方权利义务，华虹集团将与公司签署《面向金融领域有价票证物流管理的超高频RFID控制模块和读写设备的合作开发协议书》，根据协议书约定，公司将获得经信委上海市软件和集成电路产业发展专项资金370万元，上述款项将由华虹集团代为收取并支付，为此公司与华虹集团将产生370万元的关联方资金往来。   中瑞思创拟投产RFID标签生产项目 总投资2亿元 中瑞思创(300078.SZ)2012年12月7日晚间公告称，公司拟使用超募资金(首期使用1亿元)及自筹资金用于RFID标签生产项目，本项目总投资额为2亿元。据公告，本项目通过新设全资子公司进行对外投资，新公司名称暂定为上扬无线射频科技扬州有限公司，注册资本为1亿元，上扬无线主营业务为RFID标签的研发设计、生产制造及销售。项目主要建设内容为，向扬州当地租用实施场地，总建筑面积4000平米，由办公区、生产车间、仓库和动力站组成。规划约2000平米为生产车间，用于放置RFID贴片和复合生产设备。预计2013年6月1日正式投产，达产后正常年份将形成每年10亿张RFID标签的产销规模。   　　据分析，上述项目投资回收期(所得税后)为6.06年。预计未来 5年新公司年均营业收入1.36亿元，年均利润总额为3004万元，年均净利润为2253万元，年均净利润率为16.5%，年均投资回报率14.8%，达产后年均投资回报率19.2%。公司称，通过本项目的顺利实施，将使公司的RFID生产系统更加完备，行业竞争力更加突出，非常有利于实现公司做大做强RFID产业，尽快成为世界级的自动识别商用解决方案系统的提供商和运营服务商的战略目标，为公司长期稳定快速发展、更好回报广大投资者奠定坚实基础。中瑞思创7日报收10.23元，上涨3.33%。 移动支付2.4G标准申报，传交通部已接受其建议 “2012中国移动支付产业年会”在北京召开。在年会上获悉，在银联主导的13.56MHz标准基本敲定的同时，运营商主导的2.4GHz标准也在申报过程中。随着标准制定工作加快推进，电信和金融能否深度合作成为制约移动支付产业发展的决定因素。专家认为，跨行业重组的模式值得期待。在当天的年会上，工信部电子科技委副主任张琪表示，目前国产2.4GHz标准正在申报中，而交通部已接受该标准建议。在此之前，央行官员曾透露，将于近期发布移动支付相关技术标准。由于金融机构一直倡导基于13.56MHz频段的技术方案，市场一度认为2.4GHz标准已被放弃。据介绍，13.56MHz标准已经过世界大厂以及各国实际使用验证，尽管卡技术规格不同，但均采用高频13.56MHz为感应标准。“主流标准的走向其实是取决于市场的需求以及客户使用的渗透率高低，目前国内的近端通讯市场最大宗为银联主导的13.56MHz标准，而银联有着国内金融交易体系及系统连接实现的优势，由银联主导的13.56MHz标准理所当然会成为主流。”全宏科技公司总经理黄绍文表示。但这并不意味着电信运营商放弃了2.4GHz标准。来自运营商的代表表示，13.56MHz面向大众，2.4GHz面向企业，在一些企业内部的系统，具有穿透性较强、可支持远程数据等特点的2.4GHz标准具有明显优势。(RFID世界网编辑整理)    

    手机NFC的应用最大的特点是手机支付，但还有另外一个重要用途不知有没有想到，就是能够接收支付的账单。（不清楚是不是已经有人开发了啊。如果有人开发了，请在后面回复一下。）   今天下午看到有新浪微博的网友“幸福在深圳”说又遇到某超市的明细单上的总价莫名其妙地多算了钱，好在才几样东西，网友“幸福在深圳”一下子就算出来多计了8元钱，才避免了钱财的损失。网友的微博发言如下：   幸福在深圳：今天下午去深圳西乡港隆城*乐福买了点东西。看到小票我顿时石化了，学了十几年的数学但是用不上了。“0.20+29.00+70=107.20元”最后找工作人员，工作人员说我看错了 是78.炕爹啊，又是你，*乐福！     也有人讲，是账单上的70.00元那个物品，应该真实价是78.00元，只是因为打印机效果不好，造成大家的误会。但不管如何，顾客对商场的不信任，商场员工对收银机功能的心虚，都是导致事情发生的潜在原因。   笔者也是经常去购物的居家男人。通常一次性购物都在10件以上，每个单超过100元的比例还非常高。但这些单本人基本上从来不会去计算，就算是看单，也只是看那几样东西是不是都买了，从来不会去算总价是否正确。PS：估计所有人都跟本人差不多，购物已经很辛苦了，还去仔细算账，有这个时间都没有这个精力了。   究竟应该如何去解决问题呢？笔者认为目前双方的信任已经存在问题的情况下，应该是我们工程师们发挥优势的时候了。   移动支付功能正是现在手机新功能的大热点。我们可以要求收银员将用无线支付的功能，将账单发至我们的手机上，手机上安装一个新APP应用，它会自动做个结算，看是否正确。这样一来，所有的购物账单管理就简单得很了。不知将来手机/移动支付功能越来越普及的时候，收银机是不是会有这方面的改进？   业界朋友们，这算不算是给大家提供了一个好的商机呢？如果是的话，将来您发达了，记得给本人一笔报酬哦。  

中行E令诈骗尽显网银动态口令安全漏洞 ----网络钓鱼诈骗挑战网银身份认证安全之 网银身份认证设备浅析篇 杭州晟元芯片技术有限公司/郭志 目录： 网银身份认证设备的发展历史 网银身份认证设备的原理及安全性能分析 网银身份认证设备 未来发展趋势             进入今年１月以来，国内多省市发生以“中国银行Ｅ令卡网银升级”为名，通过手机短信和制作“克隆网站”（又称“钓鱼网站”）实施诈骗的案件。仅江苏省1月10日至24日短短半个月时间内就发生100多起同类诈骗，广东、浙江、北京等地也陆续出现多起网银诈骗案件，被骗金额从几万到几百万，全国各大媒体连续多次报道相关新闻。一时之间众多被骗用户在报案的同时将矛头指向发行行中国银行，本意是增强网上银行的登录和买卖业务安全的动态口令牌为什么反而成为被黑客利用的漏洞。 网银身份认证设备的发展历史         网上银行应用系统中的安全控制的第一道防线是身份认证。目前，国内外网银的身份认证技术主要分3个层次，一是网银推广初期采用静态密码技术，二是动态口令技术，三是基于PKI体系的数字签名技术。         静态密码技术在度过了网银前期的推广期后逐渐被淘汰。         动态口令产品主要有三类：刮刮卡、手机OTP以及时钟令牌。         基于PKI体系的数字签名技术是目前较新较安全的身份认证技术，目前已经从第一代USBKEY逐渐向第二代液晶KEY、按键KEY过渡，同时也出现了第三代生物识别KEY、手机SDKEY等高新安全的KEY。 网银身份认证设备的原理及安全性能分析         静态密码，就是不变的密码，这种简单的认证方式容易被黑客破解、窃取，国内银行已基本取消了静态密码的支付权限。         动态口令技术，也称为一次一密（OTP）技术，即用户的身份验证密码是变化的，密码在使用过一次后就无效，下次登录时的密码是完全不同的新密码。其中刮刮卡是基于银行事先生成好的密码组，用户使用一次后自动作废，刮刮卡成本低廉，使用方法简单，国内银行在2005年左右开始试推广，目前已不是银行的主推产品。手机OTP原理与刮刮卡相同，比刮刮卡更绿色环保，易用性更高。 动态口令牌是一种内置电源、密码生成芯片和显示屏、按照专门的算法每隔一定时间自动更新动态口令的专用硬件，密码的生成是由用户专用硬件来完成，降低了动态密码泄露及管理风险。         动态口令技术，改变了静态认证的固定密码口令，通过随机变化的一次性密码口令，提升交易的安全性。不可否认OTP技术作为理论上不可破解的抵御外部被动攻击的密码系统，在网上银行防止木马破解攻击方面发挥了广泛应用。但是同样网络黑客很清楚在网上银行业务流程“用户—网上银行—银行数据库”三个环节中，突破后两者很困难，于是，薄弱的用户端便成了他们攻击的主要对象。随着计算机技术的发展，在木马钓鱼的作用下，黑客能够实现和用户电脑的同步，而OTP技术的密码口令有效时间，给黑客提供了足够的截获、登录、转账的操作时间。         PKI(Pubic Key Infrastructure)是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。基于PKI体系的数字签名技术，可有效保护用户私有信息（身份认证信息）的保密性、真实性、完整性及抗否认性。数字签名主要是消息摘要和非对称加密算法的组合。数字签名(Digital Signature)应用，从原理上讲，通过私有密钥用非对称算法对信息本身进行加密，即可实现数字签名功能。这是因为用私钥加密只能用公钥解密，因而接受者可以解密信息，但无法生成用公钥解密的密文，从而证明用公钥解密的密文肯定是拥有私钥的用户所为，因而是不可否认的。实际实现时，由于非对称算法加/解密速度很慢，因而通常先计算信息摘要，再用非对称加密算法对信息摘要进行加密而获得数字签名。下图简要介绍了常用数字签名的过程。         目前网银应用最普遍的基于PKI体系的数字签名产品是USBKEY，它是一种USB接口的硬件设备。它内置国密安全芯片，有一定的存储空间，可以存储用户的私钥以及数字证书，利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在国密安全芯片中，理论上使用任何方式都无法读取，因此保证了用户认证的安全性。         第一代USBKEY产品解决了用户私有信息的传输安全问题，有效预防了基于钓鱼网站的诈骗事件的发生。但是在交换操作方面还存在隐患，当用户长时间插入USBKEY时，黑客可以通过木马截获PIN码，远程控制，冒用客户的USB Key进行身份认证，发生骗签事件。针对该隐患各银行在不断教育用户提高自身安全意识，安装杀毒软件，防木马软件的同时，也开始大力发展第二代USBKEY产品。         第二代USBKEY产品主要包括液晶KEY、按键KEY、语音KEY等产品，该类产品的特点是增加用户签名交易时与银行端的互动，如通过USB Key显示或报读的数据内容就是真正被签名的内容，实现“所见即所签”，用户在确认显示或报读的内容正确无误后按下物理按键即可完成整个交易。虽然在易用性及成本上增加了难度，但在安全性上该类产品是目前比较理想的安全认证终端。该类产品做到了安全的用户终端设备对银行终端设备的认证，可以有效降低基于网络诈骗行为的发生，然而对于抵御现实生活的有意盗窃，二代KEY在安全上还是显的有些力不能及。         第三代KEY产品，突破了现有KEY类产品USB接口的束缚，在易用性和安全性上取得了质的突破。作为在易用性突破的代表产品，手机SD KEY采用SDIO接口，将KEY的应用从电脑扩展到所有带SD卡槽的手持类设备，尤其在手机网银上的应用，随着手机实名制的普及及银联CUPMobile手机支付模式的大力推广，SD KEY突破理论基础实现了量产应用。同时基于无线KEY的需求将进一步丰富第三代KEY的产品线。         作为安全性突破的代表产品，指纹KEY采用生物识别技术，在技术上解决了PIN码输入的安全隐患，彻底实现所有的安全要素单独在安全芯片上运行。同时在应用上解决了PIN码遗忘、丢失等易用性问题。目前该类产品由于成本原因主要针对高端用户。但是随着国内IC设计企业晟元芯片的崛起，作为国内唯一一家同时拥有电子签名芯片和指纹芯片的IC设计公司推出的电子签名系列芯片之一AS602B，迅速的将指纹KEY的生产成本大幅度降低。同时随着市场应用环境的更加成熟、指纹识别技术的发展以及用户对安全保障需求的增加，指纹KEY势必将逐渐走向中端客户，从而迎来更大的发展。   网银身份认证设备 未来发展趋势           万事达组织认为，一项适用的网络银行安全（身份认证）技术，应该尽量满足以下特点：        A、“有效的”安全性，不仅满足高级别的安全需求，同时具备易用性；        B、统一性，在多种电子交易渠道中（如POS、网上等）都可有效适用；        C、高性价比，适合大众消费心理；        D、方便性，让用户能够立刻上手并且用起来不麻烦才有可能普及；         在实际应用中，认证方案的选择是从市场规模、系统需求和认证机制的安全性三方面来考虑的。在网银发展的初期，以市场推广为主要诉求，以方便性和高性价比来满足市场初期需要，对系统需求和身份认证机制的安全性放在第二位来考虑，因此首先出现的是基于静态密码的大众版网上银行。随着市场规模的逐步放大，对安全性的需求也逐渐强烈起来，此时出现了基于动态口令的多种产品。由于动态口令产品成本低廉，应用方便，因此以中国银行为主推的时钟令牌产品在前几年占据了较大的市场份额。然而随着利用钓鱼网站进行诈骗事件的逐渐增多，国内众多商业银行的身份认证产品开始转向推广更加安全的USBKEY电子签名设备。目前工行、建行、农行、邮储银行等大多数商业银行都已经在推广基于PKI体系的高安全U盾或者K宝，只有中国银行还在大范围推广使用动态口令牌。         从安全性、性价比和方便性方面来看，现有USBKEY比静态密码及OTP产品更安全，应用方面也做到了无驱无软方便用户使用，在价格上随着国内自主安全芯片设计能力的不断提高USBKEY价格也大幅度降低，性价比优势越来越明显。而在适用性与方便性方面第三代KEY的发展起到了关键作用，目前手机SD KEY的用户数量也在不断增长中。在安全性与方便性方面指纹KEY具有更大优势，因此未来针对用户差异化的需求第三代KEY将发挥更大作用。         从目前市场容量来看，截止2009年底，我国网上银行注册用户数已达到1.89亿，网银交易额达404.88万亿元。网上银行交易快捷、方便和操作简单的特性，极大地满足了网民的交易需求，因而倍受网民的青睐。但是由于互联网的开放性，网上银行系统的安全性问题令人担忧。据《瑞星2010年度安全报告》指出，2010年全年我国互联网上新增病毒750万个，比去年下降56%；新增钓鱼网站175万个，比去年增加1186%；其中，钓鱼网站的受害网民高达4411万人次，损失超过200亿元。面对如此严峻的安全挑战，各大商业银行加快新一代网银认证设备的推广力度，2010年仅USBKEY出货量就达到6000万只比2009年增长近一倍， 基于 PKI 体系的安全电子签名设备取代 OTP 设备已成必然趋势 。         同样在2010年表现抢眼的二代USBKEY全年出货量猛增，从09年几百万猛增至10年的2000多万只。面对日益白热化的网银市场，各大银行在用户推广上也积极开展差异化策略，针对中高端用户积极推进高新安全网银认证设备的推广工作。以手机SD KEY、指纹KEY为代表的第三代KEY的应用也日趋增多。         另外在国家政策层面，从2007年银监会发布134号通告到2010年初央行向银行业金融机构发布了《网上银行系统信息安全通用规范(试行)》，明确了网银安全的技术规范，国家对网银系统的安全方面的投入在不断加强。该技术规范包含基本要求和增强要求两个层次，基本要求为最低安全要求，增强要求为三年内应达到的安全要求。其中对身份认证设备的安全也做了详细规定，基本要求现有一代USBKEY可以满足，而增强要求则需要二代KEY和三代KEY来支持。         因此，无论是从市场需求角度还是从为维护国家金融安全角度考虑，在钓鱼网站日趋猖獗的当下如何提高网民的“财产”安全已经是一个迫在眉睫的问题。在网银产品的应用上各大商业银行势必会逐步淘汰落后的技术，加强发展新一代安全产品。晟元芯片愿意与产业链各方共同努力，携手共创网银安全的美好明天。         2011-1-28 附件： 典型案例：   乐清陈女士刚输完密码就被人用网银转走了200万 2010年12月23日 04:11都市快报【 大 中 小 】 【打印】 共有评论0条 陈女士是乐清人，今年 10月，她向某银行申请贷款200万元，想用于购房。她办了一张某银行的借记卡，又开通了网上银行。 陈女士的网上银行账户是用一个动态密码管理的。这个动态密码每隔一分钟自动更换。 前几天，陈女士收到一条短信：“尊敬的网银用户：您的中行E令于次日即将过期，请您尽快登录www.bocg.tk进行升级，给您带来不便敬请谅解，详情95566【中国银行】”。 陈女士赶紧登上这个网站，输入自己的用户名和密码，还有动态密码。 可是网站提示她：密码不正确。 第二天早上，陈女士又收到一条短信，说她申请的贷款200万元已经发放了。陈女士一查，发现她银行账户上没有一分钱了。 骗子是怎么获得密码的？ 警方也是第一次接到这类报警。警方查询发现，www.bocg.tk是一个钓鱼网站，也就是假冒的网上银行网站（真实的银行网站是http://www.boc.cn）。 根据陈女士的分析，警方推断： 1.陈女士收到“密码过期”的短信，从内容看，是很符合银行方通知的，还附有客服电话，这些都是障眼法。 2.目前这个钓鱼网站已关闭。经办民警发现，钓鱼网站页面和真实网站设计相似，有一定的欺骗性。 3.骗子怎么做的呢？ 民警分析，骗子是大量群发这个短信的。当陈女士上去这个钓鱼网站后，骗子在后台技术终端提示称密码不正确，需要再次输入。等陈女士再次输入后，她的密码和资料都被盗取了。 警方发现，骗子几乎是在陈女士再次输密码的同时，分两次，每笔都是999000元，再加上手续费，一共转走了1998024元，就这样陈女士向银行贷来的200万元飞走了。 其他案例 1 、 1月10日晚9时许，江苏家住凤翔苑的范某收到“＋8613063261741”发来的短信称：“你的中行E令将于次日过期，请尽快登录www.bocbt.com进行升级，详询95566中国银行”。范先生就登录以上网址，输入用户名，密码，动态口令。操作好后，他又登录中国银行的官方网站进行查询，发现卡里的2.2万余元已被划走。据了解，收到短信时范某也注意到了号码并不是银行客服，而是普通的手机号码。当时，他正好在登录网上银行，便没有起疑。由于动态口令每1分钟就更新一次，在对方的要求下，他输入了两次口令。而不法分子就利用这短短的一两分钟时间，套取了范先生的密码，并迅速转账。 2 、 1月6日，江阴受害人沈某被骗60万元、谢某被骗30.2万；12日，滨湖区的刘某也被骗60万。 3 、 1月6日，家住长宁区的张小姐对短信信以为真，账户里的70余万现金消失得无影无踪。“照例说银行有冻结账户的权利，而根据警方目前掌握的信息，骗子转账的账户开户地在广州。”张小姐告诉记者：“所以我立即就打电话给中国银行广州分行，希望他们能够冻结这个账户，但是对方却说了一堆我听不懂的话，然后把我推到了上海这边。”结果这一来一回，张小姐打了几十个电话却依然没能冻结这个“可疑账户”。 4 、 1月9日，青岛市民刘先生收到陌生号码发的短信，刘先生就在家中电脑登录这个网站，该网站的页面和中国银行官方网站的页面大体一致，网页右上角显示立即升级e令，刘先生就点击升级，随后页面上指示让其输入网银账户的用户名、密码、动态口令，提示升级完成后，刘先生就关了页面。第二天上午刘先生到中国银行提钱，发现其银行账户里的钱被转走了10余万元，他立刻就想起在网上操作的事，惊觉自己被骗，遂向警方报案。经查“www.boct.tk”这个网站已经不存在，对方盗用了刘先生的网银信息转走了其账户里的钱。  5 、 1月11日，金先生卡内30万余额全部被转走，中行浙江省分行查询发现，3点02分时，金先生账户发生交易，30万余额全部转入在中行安徽省分行开设的一个叫李菊的人账户内。 3点03分，李菊账上这30万到账。3点08分，李菊账上这30万被分割成2万、3万不等的数字，分别转到国内各地10多个账户。银行方面说，由于全部转出，这笔钱现在已经无法冻结。 6 、 1月13日下午5点45分左右，南京市民许先生正准备下班，突然收到一条手机短信：“尊敬的网银用户，你的中行E令将于次日过期，请尽快登录WWW.BOCVK.COM。进行升级，给您带来不便请谅解，详询95566(中国银行)。”巧的是，许先生正是中国银行的网上银行用户，而且，很多银行平时常发短信提示用户办理各项业务，所以，看到这条短信后，许先生虽然发现来自一个陌生手机，但他并没产生怀疑，在拨打中国银行95566客服电话、发现占线后，他顾不得多想，利用办公室电脑，根据短信提示登录所谓“中国银行”的网址WWW.BOCVK.COM.。网页打开后，徐先生看到，显示的界面正是“中国银行”，他根据网页提示，输入自己的用户名、密码以及随机产生的中行E令(动态口令)、身份证号等信息后，页面显示升级成功。看到这儿，他放心地退出界面，可没一会儿，当再次登录自己的中行网银账户时，许先生发现账户上的101万元已被转走。 7 、 没过几天，同样的事情发生在苏州市民唐先生身上。他被骗的更多，有198万余元。而据反病毒公司网秦统计，“假银行”欺诈短信泛滥，单月用户举报量已经突破6000个。 8 、 1月7日，家住广州市番禺区的范女士账户已经被转出30万人民币。 9 、 青田金先生银行账户里转账了90万元。 10 、 家住长宁区的张小姐被转走了70余万元。 11 、 家在江苏的李先生被转走了34余万元。 12 、 杭州金先生的房贷卡30万元被骗走。 13 、 绍兴市民章某在接到假冒的中行网银E令卡升级的短信后，登录假中行网站，48秒100万被偷走。 14 、 绍兴市民魏先生、陆先生也分别被相同骗局骗走了1700元和11多万元钱。 … …            … … … …            … … 据金山网络最新统计数据显示，近两周，访问过中行山寨网站的用户已经多达5万人。 相关链接 公安网：《无锡警媒联手防范“中行网银E令升级”诈骗犯罪》 泡泡网：《银行网银遭山寨 5万用户遭遇网银骗局》 新华网：《"网银升级"诈骗高发 专家称正确辨识使用才是关键》 新快网：《升级网银百万元被转账 八招应对网银诈骗》