图4 支付宝无安全控件要求

历史版本。最新版本的支付宝网站已经不需要用户进行安全控件的安装了。不过，在之前版本的支付宝是要求用户下载并安装安全控件的。系统中的“aliwssv.exe”就是旧版本的支付宝要求安装的安全控件进程。该进程除提供基础安全控件功能外，还会收集本机信息，定期向后台发送数据。

五是财付通。

在财付通的登录界面，我们同样没有发现任何安全控件安装的要求和提示。财付通提供以QQ号为基础的三种登录方式，分别是：关联登录、扫码登录和账号密码登录。

经过对国内主要支付相关网站的研究，得出主要结论：

一是在支付、转账等资金相关动作上，国内金融网站都需要安全控件的支持。国内金融网站采取的主要策略是使用传统控件的模式。而目前银联的“非插件版”安全控件解决了传统模式不被支持的问题。

二是主要第三方支付网站不需要安全控件的支持。新版的支付宝、财付通等主要第三方支付网站对安全控件不做任何强制要求。

三是不同网站提供个性化的安全方案。如银联采用非插件版解决新浏览器的支持问题；支付宝在用户在电脑上的第一次登陆时要求通过手机客户端扫码进行认证；财付通除了提供常规登录方式以外，还提供QQ客户端关联登录和扫码登录的方式。

安全控件新模式研究和分析

在上述调研基础上，结合业界先进经验，我们提出如下几种不同的新模式方案。

可选的系统服务模式。可选的Windows系统服务模式的安全控件的工作原理是，在用户登录网站的时候，用户可以直接进行登录支付动作，也可以按照提示选择下载安装安全控件程序。

若用户不安装安全控件程序，则页面的脚本将对用户的敏感信息输入进行非对称加密，并将加密后的信息发送到后台服务器进行验证。

若用户安装安全控件程序，则该安全控件会在用户的操作系统开启后台服务，并随用户操作系统的启动而自行启动。安全控件系统服务对用户流量进行监控，当用户登录支付网站时，对用户在浏览器中输入的账号、密码等敏感信息进行监控和保护，防止木马或病毒程序对账户键盘输入的截取。

可选的系统服务模式在一定程度上提升用户体验和支付便捷性，但是当用户选择不安装时，无法提供键盘窃听保护。

流量代理的系统服务模式。目前中国银联的安全控件采用了系统服务模式，该模式通过HTTP请求与页面脚本的工作模式在实际使用中会面临流量窃听以及端口占用的问题，为解决上述问题，我们提出一种基于流量代理的系统服务模式。

在该模式下，安全控件系统进程的形式运行在操作系统后台，该进程对用户开启的进程进行轮询，当发现用户打开浏览器并登录支付网站时，对用户流量进行代理；当发现用户输入用户名、卡号、密码等敏感信息时，对用户的输入进行保护和加密，并在用户提交动作时，将加密后的敏感信息的加载到用户流量中，从而完成登录或支付。

具体流程见图5流量代理系统服务模式工作流程。

图5 流量代理系统服务模式工作流程

与中国银联现行的安全控件相比，基于流量代理的系统服务模式安全控件的优点有：安全性高，解决了流量在本地明文传输带来的安全隐患；可用性高，避免了用户端口占用或网络设备对可用性的影响。

软键盘模式。软键盘模式是在不要求用户安装任何程序的条件下避免键盘记录器对于账户账号密码获取的一种方式。它使用特定的算法加随机数的组合形式对键盘进行重新布局，将用户的光标移动和点击输入转换为信息的输入。

软键盘安全控件的优点有：放弃键盘输入，避免记录类攻击；不需要用户专门安装，易维护。软键盘安全控件的也有如下缺点：鼠标点击的输入方式影响用户输入体验；有被录屏攻击的风险。

安全支付新模式。提高用户体验、增强支付便捷、逐步淘汰传统安全控件是技术发展趋势。我们需要在不借助传统安全控件的基础上，寻找确保用户账户资金安全的替代方案。

一是基于TEE的敏感信息保护方案。可信执行环境TEE（Trusted Execution Environment）是支付设备主处理器上的一个安全区域，其可以保证加载到该环境内部的代码和数据的安全性、机密性以及完整性。TEE提供一个隔离的执行环境，提供的安全特征包含：隔离执行、可信应用的完整性、可信数据的机密性、安全存储等。

因特尔（Intel）发布了Identity Protection Technology with PTD，即带有受保护交易显示 (PTD) 的英特尔身份保护技术（见图6）。该技术可以使用单独的安全嵌入式处理器向用户显示信息并接收来自用户的输入。由于用户的关键输入输出都是在独立的安全可信环境中运行，所以该技术有助于减少恶意软件的攻击，例如抓屏器、击键记录器、僵尸程序、中间人攻击 (MitM) 或浏览器中间人攻击 (MitB)。

图6 Intel IPT技术

该方案在目前的实现也面临着双重的问题，一方面，具有IPT with PTD功能的Intel CPU并不能涵盖绝大多数的PC电脑；另一方面，IPT with PTD技术在金融支付网站上的应用需要接口中间件的支持。所以目前看来，该项技术的实现还需要时间和完善。

二是多因素的可信身份认证方案。主要的第三方支付网站之所以能够放弃安全控件，主要是因为他们的支付风险控制可以通过其他方式来完成，从而在放弃使用安全控件提升用户体验的同时，同样确保了用户的资金安全。

在此基础上，我们提出一种新的结合云端风险一体化的多因素的可信身份认证方案（见图7）。该方案中，系统需要在用户登陆支付网站和确认支付时分别对用户的运行环境风险和支付风险进行判别，并根据风险值确定是否进行多因素的可信身份认证。

图7 多因素的可信身份认证流程

风险判定主要是指由服务器结合业务流程，对用户登录设备、支付账户、目标商户等进行多方面认证。如判断用户登录设备的曾经使用情况、判断用户是否在陌生的城市登录、用户支付或转账的目标账户是否存在风险、用户支付或转账的金额是否超出日常金额。

在此，我们归结几种利用非键盘输入安全因素完成认证的方案。

一是生物特征识别。生物识别技术是指利用人体的生物学特征进行身份认证的一种技术。具体而言，生物特征识别技术就是通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合，利用人体固有的生理特性，（如指纹、脸像、虹膜等）和行为特征（如笔迹、声音、步态等）来进行个人身份的鉴定。

二是设备指纹识别。设备指纹是指通过在服务器在网站或者移动端采集终端用户环境的非敏感设备特征细信息，通过服务端的设备特征匹配算法而建立一套全球设备标识库，相当于为每一位互联网用户的访问设备分配了唯一的设备标识。这样，通过服务器云端的统一风控系统，可以根据该设备指纹识别用户是否是在安全设备上进行支付动作。

三是用户行为模式。用户行为模式是指服务器通过用户的历史动作，归纳分析出用户常见的行为模式，如键盘输入频率、鼠标移动速度、页面停留/跳转时间、访问流程等，给合法用户建立行为基线模型。因此，当用户的账户被人盗取使用时，通过该模型可以分析出用户的真实性。从而降低用户资金被攻击者盗取。

四是网络身份证。网络身份证(VIEID)，全称虚拟身份电子标识是互联网络信息世界中Virtual 标识用户身份的工具，是在网络空间用于唯一标识一个用户身份的电子信息，用于在网络中识别各方的身份及表明我们的身份或某种资格。

经过对安全控件的由来、功能、传统模式的分析，以及对电子支付行业内的使用现状的调研，结合对安全控件现有模式的研究，报告进行了安全控件新模式的研究及可行性分析。报告提出了可选的系统服务模式、流量代理模式等现有安全控件模式的改进方案，这些方案解决了当前安全控件不被浏览器兼容、安全性和可用性的问题，在当前的环境下具有很高的可行性。

此外，经过研究表明提高用户体验、增强支付便捷、逐步淘汰传统安全控件是技术发展趋势。长远来看，我们需要在不借助传统安全控件的基础上，寻找确保用户账户资金安全的替代方案。为此，报告从长期实现的角度提出了基于可信执行环境方案以及多因素身份认证方案，这些方案借助了最新的因特尔IPT、生物特征识别、设备指纹识别、用户行为模式分析等技术，从根本上避免了恶意软件对用户键盘输入的盗取给账户安全带来的隐患。目前为止，上述技术的发展导致方案的落地需要更多的前后端系统的支持。但是我们相信，在软硬件技术高速发展的现代，这些方案的实现也指日可待。

实习编辑：张超逸