隨著移動互聯深入百姓的日常生活，金融服務的移動化趨勢不斷顯現。2014年底，CFCA發布《2014電子銀行調查報告》顯示：2014年個人手機銀行用戶比例為17.8%，同比增長50%，連續4年呈現指數增長趨勢。手機銀行發展已經達到創新“起飛期”，預計2015年手機銀行用戶比例將達到24.1%，移動支付將成為后續手機銀行發展的重要關注點。

　　金融界《2014手機銀行調查》顯示，安全性問題仍然是困擾用戶使用的首要因素，占比超過50%。同時，用戶希望移動金融服務手機兼容性提高的比例超過20%，實現無需更換硬件即可獲得移動金融服務。

　　國外廠商圍繞移動支付安全提供不同形式的解決方案，其中包含多種移動支付安全技術。不管是Apple Pay、Android Pay(Google Wallet)、LoopPay(Samsung Pay)還是CurrentC，在筆者看來，都需要解決以下四類技術問題：認證授權、令牌化、HCE和風險控制。

　　認證授權(Authorization)

　　如何在移動終端用戶身份認證的問題?如何保證關鍵操作在用戶授權后執行?常用的方式通過輸入四位PassCode完成身份認證與支付授權， 這種方式簡便但安全性不足。隨著生物認證在移動端被廣泛認可，尤其是指紋認證的認可，加之指紋模塊成本的降低，新型手機都開始支持指紋識別。但是指紋識別也存在多種問題，如沒有統一的標準、移動支付應用提供指紋認證功能需要適配多種機型等。在此過程中，需要解決接口不統一、訪問標準不統一的問題。

　　針對身份認證的難題， 國際上于2012年7月由微軟，谷歌，VISA, Mastercard, PayPal, Nok Nok Labs等企業牽頭發起成立了FIDO Alliance, (線上快速身份驗證聯盟)。國際金融機構、手機廠商、安全廠商都積極參加這個聯盟。它解決的是強身份驗證設備之間缺乏協作的問題，通過定義一個可擴展、可協作的機制，代替密碼用于在線服務的身份驗證。聯盟提出一系列身份認證協議，可實現適用于移動設備的無密碼身份認證。

　　令牌化(Tokenization)

　　不管是Apple Pay 還是Android Pay都利用了Tokenization技術，其原理是什么?安全性有何提升?什么是令牌化?簡單的說，就是在支付方案中將敏感數據(例如銀行卡號)用唯一標識替代，并且要求在數學不可逆。以支付場景為例，將PAN(敏感信息)用一串令牌數字(例如VAN)替代，從而減少卡號泄漏幾率。令牌化服務在支付流程中用于傳遞信息，后臺會還原成原始信息。令牌化服務對轉換安全性以及業務需求有較高的要求， 好的Token需要滿足業務需求，比如可選長度(16/19)，可保留部分信息(卡號后四位)等。

　　令牌化的優勢在于： 一、可以保護敏感數據，防范數據泄漏。減少支付數據系統數目。二、減少PCI-DSS合規審核范圍，減少合規費用。它與加密有什么區別?加密是把敏感信息通過密鑰完成，獲得密鑰的人都可以保留敏感數據，通過密文可以還原敏感數據。令牌化是使用唯一的隨機數代替敏感信息。美國國家標準學會(ANSI ASC X9)、EMVCo、PCI安全標準委員會(PCI SSC)、清算所協會(TCH)等組織正在制定令牌化標準。2014年3月，EMVCo令牌化標準V1.0版本發布。

　　HCE(Host Card Emulation)

　　HCE是一種NFC功能設備上執行卡片模擬功能的技術， 無需依賴安全單元，也被稱為Cloud-Based SE，在Android V4.4以上及BlackBerry OS10系統實現此功能。

　　基于HCE技術，移動支付方案提供商無需依賴運營商或者手機制造商，具有更多的靈活性和適用范圍。另一方面，由于沒有SE保護，基于HCE的移動支付方案也將面臨更大的安全威脅，涉及身份驗證和數據安全的問題，需要實施全方位的安全體系保護交易數據的完整性和保密性。

　　風險控制(Risk Management)

　　在移動支付方案中，后臺的風險控制也是必不可少的一環。虛擬世界里，如何判斷是否是真實的用戶、真實的賬號、是否有真實的風險?

　　第一、是否是真實的用戶?有些黑客采用程序模型用戶操作，重復執行操作，有的通過爬蟲獲取系統數據，嘗試系統漏洞進而攻擊。這些欺詐手段給企業帶來很多不確定的安全隱患。第二、是否是真實的帳號?刷信用，養小號，僵尸粉產業鏈已經非常成熟。還有病毒、木馬盜取帳號、密碼、威脅帳號安全。第三、是否存在真實的風險?有些通過模擬器繞過移動應用的安全限制。有些采用VPN、代理等方式隱藏真實地理信息。