手機電子支付安全保障研究

摘 要：由于手機支付需要提供個人賬戶密碼等資料，而且是通過無線方式傳輸，這使用戶不同程度地存在安全方面的擔憂，特別是這些私人資料是否存在被泄漏和竊取的危險，是用戶最為關注的問題\"所以必須采取加密措施來保障交易過程的安全。

關鍵詞：手機電子支付；安全保障；秘鑰；

中圖分類號：K825.42 文獻標識碼：A 文章編號：1674-3520（2014）-03-000160-01

一、手機支付及其歷史發展

（一）手機支付

手機支付是利用STK技術SIM卡開發的一個使用手機進行消費的功能。它依托銀行卡豐富的理財功能，充分發揮手機移動性等特點，為廣大持卡人，手機用戶提供超值個性化金融服務。手機和銀行卡都是個性化的體現，將二者有機結合起來，使持卡人在移動中完成支付，不再受時間，地域的限制，充分發揮以人為本的服務，具有巨大的市場潛力。

（二）歷史發展

上個世紀90年代中期，在英國的赫爾市，愛立信公司開發的手機支付服務允許汽車駕駛員使用手機支付停車費。用戶把汽車停在停車場之后，即可用手機接收費系統。用戶可以應用語音識別技術與計算機對話，也可以用手機發一條短信。用戶只需說明停車的位置、注冊的號碼和需要購買的停車時間即可，負責收取停車費的計算機將把這些資料登記下來。2002年前，在芬蘭南部城市科特卡，顧客通過芬蘭一家公司研制的“移動支付系統”，使用手機支付貨款簡單易行，顧客只需通過研制這一系統的公司開一個“移動戶頭\"”即可通過手機將有關付款數額和付款時間的文字信息發送到商家的戶頭上履行付款手續。如果顧客將手機遺失，可以通過發送文字信息或打電話給這家公司終止自己的移動賬號。

隨后，瑞典的Paybox公司，在德國、瑞典、奧地利和西班牙等國家相繼成功推出了手機支付系統。之后，又在英國推出了無線支付Paybox系統。Paybox系統以手機為工具，取代了傳統的信用卡。使用該服務的用戶，只要到服務商那里進行注冊取得賬號，在購買商品或需要支付某項服務費時，直接向商家提供你的手機號碼即可。

在國內，中國移動和中國聯通較早地開展了手機支付業務的試點。2001年6月，深圳移動與深圳福利彩票發行中心合作建設了手機投注系統，開通了深圳風采手機投注業務。2001年10月，中國聯通51CP（中彩通網站）合作，推出世界杯手機投注足球彩票業務。2002年5月，中國移動開始在浙江、上海、廣東、福建等地進行小額支付試點。浙江移動在嘉興地區試行開通小額支付業務，提供網上支付、話費充值、自動售貨機等服務。廣東移動、福建移動和江蘇移動也搭建了本省的小額支付平臺，提供足球彩票和福利彩票投注等服務。

二、兩種密鑰系統下的手機支付安全保障

為確保手機支付中交易雙方的合法權益所涉及的內容不受非法入侵者的侵害。數據在從手機到服務器和從服務器到手機的傳輸中是加密傳輸的。根據密碼算法所使用的加密密碼和解密密碼是否相同，能否由加密密鑰推導出解密密鑰，或者由后者推出前者，可將密碼算法分為對稱密碼算法，也叫秘密密鑰密碼算法，對稱密鑰密碼算法和非對稱密碼算法，也叫公開密鑰密碼算法非對稱密鑰密碼算法。

手機與服務器端數據傳輸流程兩種密碼體制各有特長，在手機支付的電子商務的安全加密系統中，可以將兩種密碼體制結合起來，利用不對稱密碼體制來建立對話密鑰，而對話的數據則用對稱密碼體制來進行加密，取長補短，以達到更好的加密效果。

三、手機支付的傳輸安全保障

（一）數據從用戶向服務器端加密傳輸的過程

首先通過加密板卡，或手機內相對獨立的Java軟件模塊產生一對對稱DES密鑰，DES密鑰的生成采用隨機的方法，根據系統時間和其他信息產生隨機種子，進而產生隨機數作為密鑰.DES密鑰的使用可以是一次一密或一天一密的方式，一個交易過程可以不是由一次通信來完成.服務器對手機的回復，可以在用戶手機發出首次加密信息后一定時間內再回復，這一回復仍可以用早些時候手機提交的DES密鑰來加密（保證了手機應用可以由短信方式來實現其通信）。無線運營商綜合管理系統發布其RSA公共密鑰，同時發布它的摘要，即密鑰的指紋。用戶將它下載到手機內的應用程序中，手機應用程序在接收到RSA公鑰后，為避免把不可信任的RSA公鑰下載到自己的手機中，調用手機加密模塊計算接收到的RSA公鑰的指紋，以便手機用戶與公開發布的密鑰指紋進行核對，如果核對無誤，手機用戶就可以用此公鑰對私有信息進行加密。這里，私有信息中應包含用戶自己產生的DES會話密鑰，用戶私人資料也即用戶私有數據以及利用手機中的HASH算法所獲得的數據摘要。

服務器端服務商用自己的私鑰對用戶提交的數據進行解密，驗證數據完整性；并獲得用戶的私人資料#用戶端產生的DES密鑰。服務器端將數據傳輸給用戶時，該DES密鑰用來進行會話加密。

（二）數據從服務器端向用戶加密傳輸的過程

從服務器端給用戶發送數據時，采用上述流程中服務器端解密所獲得的DES會話密鑰，對數據以及數據的摘要進行DES加密，這樣保證了傳輸過程中的安全。

用戶再用DDES密鑰進行相應的解密！并驗證數據完整性；得到服務器端發給用戶的真實數據的信息。

上述的加密傳輸過程可防止合法或隱私數據為非法用戶所獲得，確保在交易過程中只有交易的雙方才能惟一知道交易的內容，確保交易他方或非法入侵者不能對交易的內容進行修改。

參考文獻：

[1]牛立成.電子商務的新興支付手段-手機支付浙江杭州，2011

[2]陶永進.淺談手機支付在電子商務中的應用（長沙通信職業技術學院）2011

[3]徐會敏.我國移動支付市場研究及發展初探 [D]西南財經大學，2011