新型移動支付安全策略及技術研究

李士雷

摘 要 我國在2011年制定了移動支付的標準，之后移動支付就迎來了高速的發展。現在移動支付已經走進了我們的生活，使我們的生活更加方便。但是移動網絡傳輸數據方式的缺陷，使得對通信數據的截取成為可能，并且當有大量用戶同時使用移動支付時，系統終端的處理能力也有很大的局限性。由于以上缺陷的存在，移動支付的安全性引起了人們的注意。文章簡要介紹了移動支付產生的背景，移動支付實現的方式以及安全策略。

關鍵詞 移動支付；身份認證

中圖分類號：TN929 文獻標識碼：A 文章編號：1671-7597（2014）05-0001-01

1 移動支付產生背景

隨著目前計算機網絡技術、移動通信技術、信息技術的迅速發展，移動電子商務緊跟其后蜂擁而至。移動電子商務是移動通信和電子商務相結合的一種新的商務活動。現在世界各國都越來越關注關于移動支付的應用，因此新型移動支付的安全等也就備受重視。

2 手機銀行的發展

手機銀行（Mobile Bank）是緊隨著移動通信技術發展起來的，通過手機移動網絡連接到銀行服務終端辦理相關銀行業務的新型商務方式。目前手機都能夠直接完成各種銀行的金融業務，這些手機都是通過移動網絡進行操作。手機銀行實際上是網上銀行的業務擴展，是移動支付的典型方式，隨著移動通信高速發展，傳輸的實時性為商務交易提供了極大便利，客戶只要通過手機的移動網絡在可以在任何時間任何地點完成商業交易。

以手機銀行為代表的電子支付技術，隨著移動通信技術的發展，經歷了從GSM語音服務到3G服務的階段。由于早期技術的限制，最開始使用的是短信銀行，到后來的STK銀行，現在的方式主要是基于WAP方式、基于K-Java方式、支付寶和微信支付等，手機逐漸成為了個人的金融服務終端。

3 移動支付實現方式

移動支付的實現方式主要可以分為兩種方式，一種是遠程控制，另一種是近距離的無線技術。下面分別介紹這兩種方式。

3.1 遠程控制

通過遠程控制來完成支付，是一種在線支付。在線支付的方式有很多，主要有短消息業務、無線應用協議、互動式語音應答以及非結構化補充數據業務等。

3.2 近距離無線技術

1）雙界面SIM卡技術。這種技術的優勢是不需要改造手機，主要增加一個天線組件，就能夠實現近距離的無線技術。雙界面SIM卡技術，是將天線及射頻芯片集成在SIM卡中。當然也是有缺點的，比如SIM中的天線占用了OTA接口，會對正常的電話語音通信信號造成影響。

2）RF-SIM卡技術。RF-SIM是射頻用戶識別模塊的縮寫，RF-SIM帶有SIM卡模塊，可以實現普通的電話短信通信。另外由于其具有RFID模塊，還可以進行近距離的無線通信，但是由于技術水平限制，通信距離只在5 m以內。優點是用戶只需更換SIM卡，缺點是銀行使用的NFC標準與RF-SIM卡技術的通信頻率不一致。

3）NFC技術。NFC即近距離無線通信的縮寫，與RFID一樣，NFC也是通過射頻信號來傳遞信息。NFC終端有主動模式、被動模式和雙向模式三種工作模式。

4 移動支付安全策略及技術

4.1 哈希函數

哈希函數將任意長度的輸入字符串轉化成為固定長度的字符串，也稱為雜湊函數或散列函數。若哈希函數表示為H，要進行變換的數字串表示為M，則雜湊值為H=H（M）。哈希函數之所以能夠將不同的輸入變為相同的輸出，是因為哈希函數是一個多對一的函數。哈希函數的一個重要功能就是能實現消息的完整性。

4.2 身份認證技術

身份認證能夠確保消息是真是可靠的來源，因此在移動支付安全策略中，系統通過驗證技術，對當前用戶的身份進行驗證十分必要。身份驗證系統一般有3個流程：①被驗證者出示身份證件；②系統判定被驗證者的合法性；③如果是非法者，驗證失敗，拒絕訪問。

4.3 公共基礎設施

公鑰基礎設施（PKI PublicKey Infrastructure）是一種使用公鑰加密理論和相關技術為用戶提供信息安全服務的基礎設施。由定義可知，PKI的主要目的就是管理通信過程中使用的證書和密鑰，保證通信網絡處在一個安全的通信環境下。所以PKI從技術上解決交易者身份驗證和訪問權限等問題，為交易過程提供了安全的交易環境。

PKI技術通過CA認證中心（第三方認證機構），將用戶的公鑰和其他的標識信息捆綁在一起。因而能夠對網絡通信提供安全。PKI一般由以下幾方面組成：CA（Certificate Authority）、RA（Registration Authority）、CRL（Certificate Revocation Lists）以及證書存取庫。中端實體可以是支付端的使用者，也可以是通過身份驗證的實體；認證中心的主要工作是生成和發放數字證書，并對所生成和發放的證書進行管理；注冊機構負責信息錄用，審核以及證書發放、管理；證書存儲庫是必備元素，用來提供數字證書的一些使用方法，一般是證書存取和吊銷列表的方法；證書撤銷列表發布點不是必須的，認證中心一般通通過它來發布證書吊銷列表。

4.4 數字簽名

數字簽名是在發送的消息上同時附加一些特定的驗證數據或者對發送的信息進行密碼變換。消息的接受者通過這些數據來確定收到信息的完整性和安全性。仲裁機構會在發生糾紛時根據消息上的簽名確認出消息的真實性。數字簽名可以防止交易上方的抵賴，同時能夠保證交易的完整性，保證交易的信息不會被篡改。

4.5 密碼技術

密碼學主要研究信息加密、解密以及如何進行密碼破譯。一個密碼系統主要可以分成以下五個部分：明文空間M、密文空間C、密鑰空間K、加密算法E以及解密算法D。密碼學主要可以分成對稱密碼和非對稱密碼這兩種類型。對于對稱密碼，密鑰必須是保密的，如果只有密文的話，并不能確定密鑰。對于非對稱密碼，加密和解密使用的算法是一樣的，但是使用的密鑰是不一樣的；私鑰是保密的，只有密文的話，并不能夠破解密文，知道算法以及密鑰和密文中的其中一個，也不能確定另一個密鑰。

5 總結

我國在2011年制定了移動支付的標準，之后移動支付就迎來了高速的發展。現在的支付寶、微信等都方便了人們的生活。但是移動網絡傳輸數據方式的缺陷，使得對通信數據的截取成為可能，并且當有大量用戶同時使用移動支付時，系統終端的處理能力也有很大的局限性。由于以上缺陷的存在，移動支付的安全性不得不引起人們的注意。本文簡要介紹了移動支付產生的背景，介紹了移動支付實現的方式以及安全策略。

參考文獻

[1]張麗娜.智能卡中RSA密鑰生成的比較與研究[J].計算機應用與軟件，2006，26（B06）.

[2]RFID世界網.手機支付方興未艾普及尚需攻擊[EB].http：//news.rfidworld.com.cn/2010_05/ce952362956cb4ec.html.

[3]羅守山，陳萍，鄒永忠，劉琳.密碼學與信息安全技術[M].北京：科北京郵電大學出版社，2009.endprint