金融科技有效保障移动支付安全

过去十年，中国移动支付发展迅速，用户规模、交易规模、处理效率、覆盖面和渗透率等指标大幅领先全球。目前，支付网络连接了数千万商户和数亿个人用户，成为我国数字经济不可或缺的底层设施，安全便捷的“中国式支付”也成为数字经济时代一张靓丽的中国名片。移动支付业务快速发展，也对支付系统的安全稳定提出了更高的要求。本文将结合我国移动支付容灾系统建设中存在的技术重点难点，浅析金融科技在化解支付风险、保障客户资金和信息安全方面的作用。

与世界其他国家和地区相比，中国的移动支付业务具有三大特点——大规模、小金额、高并发。

中国支付清算协会发布的《中国支付产业年报2023》（以下简称年报）显示，2022年我国非银行支付机构共完成网络支付业务11278.19亿笔，金额364.21万亿元，其中绝大部分都是移动支付。而从目前所能获得的公开数据看，美国2018年非现金支付量是1742亿笔，即便考虑到近年的增长，显然也会远低于中国的数据。可以预计，在将来很长一段时间内，我国会一直保持全球移动支付第一大市场的地位。巨大的交易规模和海量的交易数据，对移动支付系统的效率和稳定性提出了严格的要求。从年报可以看出，非银行支付机构处理的移动支付业务绝大部分来自个人的日常消费、网络购物、生活缴费等支付活动，平均单笔金额只有323元，远远低于银行处理的企业支付业务，而且地域和时段都非常分散。这就意味着，移动支付系统必须保证7×24小时不间断可用。

我国移动支付业务的另一大特征是特定时间的交易高并发。电商贸易的蓬勃发展为我国经济社会注入了强大的活力，各式各样的让利促销活动激发了广大消费者线上“买买买”的热情。“社交+支付”的玩法更是让移动支付渗透到千家万户。每逢电商大促的“双11”“618”以及春节红包集中的除夕夜，移动支付必定会出现流量洪峰。以2021年网联公布的数据为例：春节假期（农历除夕至正月初六）网联平台共处理资金类跨机构网络支付交易79.37亿笔、金额4.98万亿元，其中农历除夕交易笔数最高，单日超过16.51亿笔，交易处理峰值超过6.74万笔/秒；“618”电商大促期间（6月1日至6月18日），网联平台处理资金类跨机构网络支付交易329.33亿笔、金额23.23万亿元；“双11”活动期间，网联、银联共处理支付交易270.48亿笔、金额22.32万亿元，“双11”当天网联、银联最高业务峰值合计达到9.65万笔/秒。短时间内出现如此量级的支付活动在全世界绝无仅有，这也决定了支付系统必须按照最极致的情况进行设计搭建。比如，财付通的支付系统，就要求能够稳定支撑完成每秒20万笔移动支付，在将用户支付平均耗时提升至毫秒级别的同时，还要确保系统故障秒级“自愈”。

除此之外，支付业务还涉及大量敏感的用户个人信息，因此其业务管理还必须满足以下两个要求：一是当用户数据跨城、跨中心传输时，要确保数据的一致性，避免出现“数据传输抖动”；二是确保用户数据存储的安全性，避免数据丢失、泄漏、篡改或被非法利用。

面对海量业务压力和金融级要求，支付安全需要一个基于金融科技的综合管理体系来保障，既要有大规模服务器集群、异地灾备中心等硬件设施，也需要金融级分布式软件架构设计、自主可控密码算法、安全可靠的数据存储和传输等技术和措施的支持，还应当强化应急预案、安全培训、容灾演练等综合技术管理手段，保证在各类异常场景下整个支付系统都可以不间断地正常工作。

● 部署容灾体系

目前，大部分金融机构容灾采用“两地三中心”部署架构：在同城部署两个不同的互联网数据中心（Internet Data Center，IDC），分别处理业务请求，也就是“双活”；同时在另外一个不同的城市部署一个数据中心，通过复制数据来做“冷备”。如果同城的两个数据中心机房都出现故障，系统可以迅速切换至异地中心，保障业务的连续性。但是，这种模式仍然存在两个问题。

首先，当一个数据中心出现故障时，可能会有超过一半的业务都不可用，短时间内需要完成核对数据的一致性、数据的主备切换等一系列复杂操作才能恢复业务；如果需要异地切换，长期处于“冷备”状态的数据中心未必能够顺利响应承接。解决这一问题，主要靠增加数据中心及设计“多活”架构。以财付通为例，从最早期的简单服务器扩容到同城“多活”架构、“两地四中心”多活架构，拓展到“两地十二中心”多活架构，再发展到目前基于云原生的同城自动切换。这样的系统实现了机房级“多活”乃至城市级“多活”，每个机房都会承担实时的流量，从而确保单机房发生故障时其他机房不受影响，并且其他机房能够快速接管故障机房的业务请求。在“两地十二中心”框架下，单机房基础设施故障以及软件系统故障的影响力可以降到10%以下，整个系统也具备快速恢复的能力。

其次，跨城数据传输不可避免地会出现网络延迟，比如一个ping包（一种用于测试网络连通情况和分析网络速度的程序）从深圳传到上海耗时40毫秒，还需要确保数据正确写入磁盘，如果处理不好业务就会出现延时，影响用户体验。对此，财付通采用了全链路条带化请求处理路由的策略，在把用户分到两个城市时尽量按照用户的归属层次接入。比如，深圳的用户就从深圳接入，在深圳完成支付交易逻辑和账户记账的处理。一笔业务请求的处理在一个数据中心内完成，尽量避免或减少实时处理链路的跨中心或跨城调用，从而有效提升系统性能并最大程度实现故障隔离。

● 一键自动容灾

支付数据分到多个城市和数据中心后，如果出现系统故障，需要在数据中心和城市间进行切换。业界要求支付系统的可用性必须达到99.999%（即业内所说的“5个9”）。换言之，面对全年24小时连续不断的海量支付业务，支付系统累计不可用时间应小于5.26分钟。这意味着没有人工干预的反应时间，必须依靠自动容灾技术才能确保“丝滑地”完成全业务系统的快速切换。

为此，财付通建立了全链路自动切换调度平台。当故障发生时，系统可实现同城自动和跨城一键快速切换，分钟级完成机房级和城市级的故障恢复。在这一过程中，数据库的能力建设至关重要。为了保证数据强一致性和系统高可用性，财付通研发出金融级分布式数据库高可用解决方案：通过架构、算法的创新实现故障发生时系统自动切换，通过多层备份体系让数据恢复到任意时刻，通过分钟级数据核对确保海量数据一致性，通过多种容灾架构应对数据库假死、机房半断网故障等极端场景。这是全球最大的MySQL（一种关系型数据库管理系统）集群。目前，这一系统自动切换已经超过800次，自动修复超过一万次，成功率达到100%。

● 自动化模拟故障演练

在真实的支付业务中，系统发生故障的概率并不高。因此，容灾系统日常不仅需要进行人工经验分析，同时还应当具备自动预判“灰犀牛”和“黑天鹅”的能力，甚至主动制造障碍以测试系统的强免疫力，对潜在未知风险进行排查和防御。其中，极端情况下的跨城切换是演练的重点。

为了保证真实故障出现时支付系统的切换调度能力有效可用，并且最大限度地降低人为因素对切换的影响，财付通搭建了自动化切换演习调度平台，实现了无人值守的自动演习，将演习的人力投入降到零。目前，财付通支付系统平均每月要进行300～400次自动化模拟故障演练，跨城切换演习常态下每周1次，切实做到防微杜渐、未雨绸缪。

支付安全关系重大，除了系统搭建、技术改造和完善管理之外，还应注重技术特别是密码算法这类底层技术的自主可控。信息行业所指的密码并非用户登入某系统使用的密钥，而是对信息进行加密、分析、识别和确认以及对密钥进行管理的技术。此前，因为国产密码技术性能较低，国内企业几乎都使用国外技术。但近年来，随着国家对国产商用密码技术的高度重视，特别是2020年1月1日《中华人民共和国密码法》正式实施后，金融、支付、医疗等领域纷纷进行国产密码算法改造。财付通通过自研商用密码解决方案，避免了依赖国外技术可能出现的“后门”“卡脖子”等风险，其主要指标——签名算法每秒处理笔数——在全球公开产品中排名第一，被微信、QQ等很多头部应用所采用。

财付通的实践经验表明，随着金融科技的广泛深入应用，中国的支付机构已经有足够的能力在硬核科技上与全球领先企业同台竞技，其锐意进取的产品创新、场景创新和科技进步，为我国支付行业高质量发展注入了强大的核心动力。展望未来，中国移动支付产业要保持在全球的领先优势，相关机构应持续关注金融科技的最新成果，不断加大研发投入；要加强协作，通过技术分享交流，共筑多方共赢的支付生态圈；要积极参与相关行业标准、国际标准制定，获得在国际技术领域的话语权，凭借自身的硬实力对外输出“中国标准”，展示“中国式支付”的软实力。