朱研：如何兼顧移動支付的安全性與良好的用戶體驗

中國電子銀行網訊，2014年12月3日，由中國金融認證中心（CFCA）舉辦的“第十屆中國電子銀行年會暨中國移動金融發展論壇”在京舉行。CFCA在年會上發布了《2014中國電子銀行調查報告》和《互聯網金融研究報告》。中國人民銀行、銀監會、公安部、中央網信辦、清華大學五道口金融學院等單位部門領導蒞臨年會并發表致辭，100多位商業銀行電子銀行的負責人出席本屆年會。參會嘉賓就移動金融、電子銀行等話題進行深入交流探討。

北京娜迦信息科技發展有限公司CEO朱研先生參加本次年會活動，并做了題為《安全的移動支付與良好的用戶體驗并行之道》的發言。

朱研在發言中表示，對安全應用解決提供方來說，在保護過程之中和保護使用過程后，運行的產品沒有任何影響，兼容性良好，而且Windows平臺、Android平臺、iOS平臺全部兼容，這只是非?；镜男枨?，要讓用戶感覺不到與之前有什么區別是最高的檢驗標準。  反觀現在觀察市場上一些安全產品的類型，絕大多數安全保護產品都是以SDK形式進行保護或參與到編碼中。需要被介入到開發過程當中，這樣影響到整個產品從安裝、實施到上線的開發成本以及實施過程。有沒有一種技術或產品只是需要把APP經過一個外部處理就可以讓用戶獲得所需要的安全功能呢？

娜迦的研發人員發現，在計算機鏈接器技術里可以實現這個功能，假如這個功能能夠比較好的適應整個APP上線過程，首先可以降低開發成本，第二可以提高開發效率，上線速度，增加產品生命周期。還有輕量化低成本的方式，實現輕量化的移動互聯安全解決方案。

以下是朱研在本次年會上的發言實錄：

主持人：接下來我們要請出的是北京娜迦信息科技發展有限公司CEO朱研先生為大家帶來的演講是“安全的移動支付與良好的用戶體驗并行之道”。

朱研：大家下午好！我今天給大家帶來的演講是“安全的移動支付與良好的用戶體驗并行之道”。用戶體驗對我們開發商來說分為兩種，一種是終端用戶的安全體驗，二是安全項目實施過程中的體驗。

第一，終端用戶的安全體驗之如何保證終端用戶透明無影響。

我們對市場上的產品進行測試和收到的一些用戶，收集的信息總結起來發現，金融增加了某些安全應用后造成啟動緩慢，運行失敗，給用戶造成了比較差的產品體驗。這種反映在終端用戶感受里會只追求產品提供方的責任，而不知道這個問題到底出在什么環節？有可能是安全產品提供方，也有可能是第三方的外包做APP的生產商，所以，這個問題對于應用提供商來說非常冤枉。

我們發現在某些安全工具啟動過程中，特別是增加到APP運行環節當中，會使應用運行速度變慢，甚至增加了安全認證的步驟，這樣給用戶造成一定程度的困擾。對我們安全應用解決提供方來說，在保護過程之中和保護使用過程后，運行是沒有任何影響，非常高的兼容性，而且Windows平臺、Android平臺、iOS平臺全部兼容，這只是非?；镜男枨?，要讓用戶感覺不到與之前有什么區別是最高的檢驗標準，雖然做到這點很難，但這是我們安全服務提供商追求的目標。

第二，如何少介入或不介入金融客戶開發就能提供部分或全部安全功能。

現在我們觀察市場上一些安全產品的類型，絕大多數安全保護產品都是以SDK形式進行保護或參與到編碼中。需要被介入到開發過程當中，這樣會影響到整個產品從安裝、實施到上線的開發成本以及實施的過程。從金融領域現狀來看，移動客戶端的開發以外包居多，安全加固的需求是由客戶方提出來的，而不是由開發商，如果要滿足開發需求而需要介入到開發中，那么實施成本不僅由安全服務提供商來承擔，一部分甚至一半成本需要由行方承擔。

我們進行了一些摸底調查，獲取的大致數據中，SDK開發成本中二次開發成本占到50%，溝通成本占了一大部分，剩下的是學習成本和技術成本，（PPT，圖）整個餅圖可以看做是時間成本，從開發到上線，到生產周期的更迭都是非常重要的一點。上線時間的拖延增加，會大大增加它的整體成本。我自己在思考，有沒有一種技術或產品在APP上線之前需要增加安全功能，只是需要把這個APP經過一個外部處理就可以讓用戶獲得所需要的安全功能。

我們經過自己的研究然后發現，在計算機鏈接器技術里可以實現這個功能，假如這個功能能夠比較好的適應整個APP上線過程，首先可以降低開發成本，第二可以提高開發效率，上線速度，增加產品生命周期。還有輕量化低成本的方式，實現輕量化的移動互聯安全解決方案。

NAGA（北京娜迦信息）現在對于在計算機基礎課程里有兩個重大的方向，一是編譯器，二是鏈接器。鏈接器，可能大家接觸的頻率不高，但鏈接的功能很強大，鏈接器就是把兩個庫，兩個代碼通過一個link合成一個，這一個程序就擁有了兩個庫和兩個鏈接器的功能，這樣的技術我們現在在嘗試著應用到APP保護整個行列當中。這會實現一定的安全功能，今后我們會讓它盡量擴展到所有的安全點上，而且未來甚至不是安全功能，一些常規的需求多可以用這個技術來實現，既省去二次開發的煩惱，又加快了產品的更新換代，縮短了升級的周期。

第三，金融安全服務禁區。

很多合作行方會問我，你們做移動安全的，會不會接觸我們的數據，保留我們的數據，會不會主動獲取用戶和我們的數據？我解釋了非常多，無論從技術上還有商業上都有很多說辭。這點我可以給大家說一下，雖然我們服務過程中安全產品或多或少會用到用戶端或服務端的數據，但這些數據都屬于客戶和行方的，無論這些數據是敏感還是很正常的數據，我們作為一個負責任的安全服務提供商，在沒有用戶授權的前提下堅決不做任何收集用戶信息的行為，這也是我們安全服務提供商對自己的一個承諾。

謝謝大家！