2017年移动支付年会今日在京盛大召开，移动支付网受邀出席本次年会。中国人民银行科技司原副司长李晓枫在大会上就移动金融创新与安全等内容，作出相关报告。

以下为演讲原文：

领导把指示做完了，我们捞点干的，我今天讲的是移动金融创新与安全。

当移动金融也是很大的一个领域，那又该怎么具体讲？我就一个词儿特别好，就四梁八柱。作为移动金融，把四梁八柱做好了移动金融就能做好，怎么创新安全我们下面展开。先从一张调查表谈起，这个调查表可以看得很清楚，比如说第三列第三方支付可以看到我们的移动支付发展很快，而且以这个第三方支付为主导，移动化的大额支付基本没有，仍然是以网上银行为主。什么意思？移动金融，移动化，比如说转账汇款等等。移动支付只是移动金融的一个子集，移动金融一定要以移动的大支付为基础。看看人民银行是怎么规定的，所谓的大额支付，一定是5万块钱以上，那么5万到100万，还需要有生物识别。所以我们所以移动金融的四梁八柱，有你的运营体系融入互联网生态，产品解释，应该有云计算的一个平台，平台可以实现大数据，区块信息共享，移动可信网络的部署，当然我们的智能手机应该是一个安全的终端，像生物特征，识别芯片。

大数据分析主要是在前交易欺诈，还有智能客服，消费金融客户下沉，那么我们可以做到数据量化放贷，这些都是移动金融的业务基础，移动金融再一步发展，其实我们要考虑的一个问题。

所以，这6个方面应该是，移动这种实现的一个四梁八柱关系。我今天不可能所有方面展开，我主要是讲的主要侧重讲这个，因为我觉得在大在座得很多是来自于终端的这个产业链线上的。另外，我们所缺的数字证书、基础设施怎么结合？当然，还有网络云提一下。因为我提一下，现在已经很清楚，我们的移动金融的业务，在云计算平台建设，主要是提供一套金融数字化产品的智能化制服务体系，大概有这么3层，基础，中间业务层和产品应用层。

关于终端，刚跟他们都说了，2012年，人民银行出台的中国金融移动支付标准里面，关于移动终端的金融安全解决方案的核心，一定是基于硬件形成，独立的安全芯片，或者是u盾。当然，随之而来的就是可信，执行终端提议。那么人民银行的那个标准，关于终端其实就是两点，主要核心，我们看最新发布的芯片，你会看到它的最右边是完全隔离。那么，达到了cc125。那么靠左边是开放环境，中间是TEE的一个环境。

这个上面就实现了跟inSE的结合，那么进一步，我们看到这个价值方案在什么地方？inSE可以实现密码的存储，支付的标记，生物的标识，数字证书，inse应该是最高的，因为它还可以实现信息的输入和显示。恰好就是人民银行2012年那个标准所要求的，当然我相信随着这个终端的发展，那么可能将来这个终端还可能是完全隔离的，也有可能是就像现在这个虚拟化，是终端也会出现虚拟化这种技术。

不知道怎么说，这个终端一定要有硬件来实现，所有的支付的需要，比如下一步，涉及到的移动自助支付的证书，数字货币，这种区块链怎么运用？都要通过这个来实现。那么我们也知道涉及到的认证，实际上两级的的认证，中间我们只能手机对客户，对主人对持有人进行一个身份认证，然后这个手机又对后台的服务器的进行一个对称与非对称密钥的一个身份认证，传输密钥，所以它是一个量级的一个关系，通过这个认证那么实现。

那么在这个认证的框架下，手机里面加上企业或者说银行这个认证平台就非常重要，非常重要。往往后台的这个平台跟手机的安全码形成的一个移动的生态移动支付的生态，或者说移动金融的生态，这个生态左边我列了主要是三大块，在大的下面有小的，比如说银行，要做移动金融的话大家都知道，我们每个人用了很多，各家银行并不通用，所以，目前技术上是没有问题的，但是由于数字证书的社会性分隔，将来推广移动金融的时候，我们这个手机，尽管你有了，但是你装不了那么多家。很简单那么多银行，几百家银行，各家都不同，再加上第三方支付机企业，所以移动金融必须要有数字证书，那么这样，你这个矛盾就会突出，所以这个问题应该已经出来了，但我们也觉得，由于区块链技术的出现解决这个问题也是到了时候。

我们先回顾一下，现在目前几家大的在生物特征、身份识别所做的工作，首先我们看到是emvco跟fido都有个合作，中国银联也推了一个，也是有这个方面，但它不是标准，蚂蚁金服搞了一个ifaa联盟，互联网金融的一个身份认证联盟，也推出标准，腾讯推出的tusi投资联盟，也提出了身份认证技术的一个领域计划规范和标准。

那么我个人认为这一些，都是非对称密钥，加上生物特征识别的一个认证。如果我们结合区块链，我觉得只要做到这4点，就是解决公钥证书的一个身份，作为身份完全可以通过区块链的事情，如果区块链把移动运营商形成一个共享联合体，它是一个区域去中心化的结构，共享基础设施，最大的优势在于联合体中的任何一家企业，没有办法独自控制所有的信息，为什么搞一个ese，但是他独享控制信，所以这一点上很难实现，一个ese的问题。

金融的这种认证机构，运营机构仍然是RA的认证机构，那么通过验证和初始排列，我们可以实现不同运营体系的公钥证书的共享，大家这个区块链是一个许可共识机制，是一个趋势，区块链的内容共享，是不同运营体系的公钥，公钥是个人身份实名，那么我们如果是智能手机里面标的区块链的app，其实现在小程序就可以导入同一体系的公钥证书。为什么这么做？我们看看区块链的作用，进入区块链的数据是可信的，是不可更改的。

所以我们ra注册中心可以记录用户的身份信息，你可以记录到区块链里面，作为一个区块的一个节点记录，那么授权通过区块链得到对方身份来实现。那么区域中心化的区块链的pki体系，利用原有的组织，就是原有的运营机构可以用ra来做自己的客户的认证，但是通过跨越运营体系的，可以通过区块链来共享。大家下面还有一些好处我就不多介绍了。

那么，我们看到达塔公司他实现了，这个区块的许可的在网络安全上的认证的应用。去中心化这些特点，你把身份或者是设备的信息发布存储在区块链上。那么但是大家有一些个没有公认区块链体系，那么现在做这个验证就是第一步他们是把先把这个网络的设备接入到网络，在网络的接入点利用区块链进行认证、授权和就是控制，就先实现这个应用，sdp这样可以建立一个符合移动金融的一个可信网络，那么这个核心的技术，其实大家都知道就是区块链一些主要的内容，比如说联盟的账户节点的权限，都可以控制和调整，区块产生的机制可以优化，智能合约也就说我们链上的应用也可以全线的控制。

这样你会发现将来移动支付发展或者说移动金融开展，中间的一个手机其实可以分割出两个网络来进行开展移动金融应用，一个是开放的，如果是利用区块链的技术，那么效果就不一样了，网络就更安全可靠，那么我们会看到其实可以分成两个区域，进行网络的访问，一个是开放的个人，另外你可以进入到一个企业去，那么通过它各种各样的应用，那么这种实现我觉得这个意义就在于通过sdp可以把形成一个符合将来移动金融发展的一个状况。

除了网络接入的设备，那么以下一步在上面在做一个链上的应用开发，比如说工作身份公钥的身份信息共享，那么我们这个区块就可以存储用户的认证信息，全网是同步的，是个去中心的，防篡改的，保安全的，这样的话对我们的主要的移动运营的生态的发展就有意义了，比如说现在涉及到第三方的，由于这个数字身份的引入有问题存在困难，所以开展不起来，那么开展不起来，就会影响移动金融的运营发展。

所以关于区块链的一个基础的构架，结合一个可信的网络，将来是我们移动金融在中国落地的基础设施，所以综合来说有这么几个结论。第一个，这个千元机应该实现，nfc+se+tee生物识别的标配，形成规模化，就是我们应该促进的。有了它，这样移动金融安全终端可靠的基础，第二个，目前我们这个pay品牌太多，能不能整合某一品牌，或者是若干品牌。第三，推动生物特征识别中的标准化工作，应该是fido为基础，吸收兼容iffa、tusi，能够监控起来，特别是在这个生物特征的模板数字化模版这一块。当然第四个，就是我们应该推动移动金融的运营主体合作构建，实现去中心的ca公钥共享这种框架，实现移动金融应用。谢谢。