移動支付中的安全問題研究

鐘斌 鐘明

【摘要】 隨著NFC技術(shù)的發(fā)展，移動支付業(yè)務(wù)以其快捷性和便利性得到了廣泛應(yīng)用，移動支付環(huán)境和安全性也成為了人們關(guān)注的焦點。本文對目前我國移動支付中存在的安全進行了分析，提出了相應(yīng)的解決措施。

【關(guān)鍵詞】 移動支付 現(xiàn)狀 安全問題 解決方案

一、 引言

隨著移動終端和智能手機的普及，人們使用的支付方式不再局限于支付現(xiàn)金，而銀行卡、手機銀行、網(wǎng)上銀行、支付寶等為客戶提供了更快捷的支付方式。移動支付的快速增長，也導致其安全問題凸顯。據(jù)統(tǒng)計，僅2013年上半年國內(nèi)新增手機木馬和惡意軟件數(shù)量就達到了25459個，感染手機用戶數(shù)高達1.3億。因此我們有必要對移動支付的安全性進行分析，并采取相應(yīng)預防措施。

二、移動支付的方式及安全問題

移動支付是指用戶使用移動終端對所消費的商品或服務(wù)進行賬務(wù)支付的一種服務(wù)方式。移動支付將終端設(shè)備、互聯(lián)網(wǎng)、應(yīng)用提供商以及金融機構(gòu)相融合，為用戶提供貨幣支付、繳費等金融業(yè)務(wù)。

根據(jù)移動支付在電子商務(wù)中的應(yīng)用，移動支付按業(yè)務(wù)種類可分為以下幾種方式：

1、SMS短消息業(yè)務(wù)，是終端用戶通過發(fā)送短消息的形式請求服務(wù)內(nèi)容，從用戶的話費中扣除費用，通常只適合于小額支付。 2、WAP無線應(yīng)用通訊，是終端用戶通過訪問WAP站點或者通過應(yīng)用程序進行的金融業(yè)務(wù)，用戶可通過手機上網(wǎng)進行操作。 3、USSD數(shù)據(jù)業(yè)務(wù)，是一種基于GSM的新型交互式數(shù)據(jù)業(yè)務(wù)，單獨使用或與短消息技術(shù)等結(jié)合，提供的增值服務(wù)。將手機輸入預先制定的數(shù)字或者符號，通過網(wǎng)絡(luò)發(fā)送指令，從而將你需要的服務(wù)提供給你。4、NFC短距離通訊，是一種短距離的無線連接技術(shù)，用戶可以使用“手機錢包”在合作商戶POS機上現(xiàn)場消費。

移動支付中的安全問題主要包括以下幾點：

1、移動終端易受到黑客攻擊。由于手機的運算能力較低內(nèi)存小，加上帶寬小容易丟失數(shù)據(jù)，所以無法運行太復雜的加密算法，造成數(shù)據(jù)保密低。用戶在用手機進行支付時，加密等安全措施做的不到位，黑客們通過釣魚網(wǎng)站或木馬程序就可以竊取用戶信息，將移動支付功能進行非法復制，從而造成用戶的損失。 2、手機信息容易被攔截。監(jiān)聽移動電話攔截裝置能在任何地點，包括車載移動手機空中攔截；監(jiān)聽數(shù)量多，最多可以同時監(jiān)聽20個手機號碼；監(jiān)聽范圍廣，可以顯示手機的短信息內(nèi)容和來電號碼，并且可以將監(jiān)聽到的信息保存下來。當然，我們使用手機支付的信用卡數(shù)據(jù)同樣也可被攔截。 3、此外，手機本身也可能成為泄漏信息的重要渠道。手機上所有信息均會被存儲于手機的存儲芯片當中，而這些存儲芯片有可能就成為自己隱私外傳的渠道。手機內(nèi)存中的個人信息極易外泄，而且就算用戶將個人資料刪除，甚至格式化，仍然可以通過技術(shù)手段將刪除的信息全部恢復。

三、移動支付安全解決措施

互聯(lián)網(wǎng)移動支付的整個流程中的安全問題解決辦法如下：

3.1初始信息的確認

用戶、商家、移動支付中心分別通過權(quán)威認證機構(gòu)申請證書，生成數(shù)字證書和公鑰私鑰，并以實名手機信息注冊。用戶確定支付手機號，商家通過短信，確認手機用戶身份。

3.2手機交易安全支付信息加密

商家將訂單合同信息、交易合同號、用戶手機號碼，以及訂貨合同數(shù)字簽名，使用DES對稱加密形成請求支付信息，再把DES密碼使用移動支付中心公鑰加密，然后一起發(fā)送到移動支付中心。移動支付中心使用私鑰解出DES密碼，使用DES解密算法解出訂貨合同。

3.3從技術(shù)方面的安全措施

1）對于初始化中的證書申請，采用無線公鑰基礎(chǔ)設(shè)施（WPKI）。以WAP的安全機制為基礎(chǔ)，通過管理實體問關(guān)系、密鑰和證書等來增強移動支付的安全性。2）在用戶和商家通信時，為保證通道的安全，采用無線安全傳輸層（WTLS）。針對較小頻寬的通訊環(huán)境作修正，確保資料在傳輸?shù)倪^程中經(jīng)過編碼、加密處理，以避免黑客在數(shù)據(jù)傳輸過程中竊取保密性數(shù)據(jù)。 3、從硬件和軟件方面來考慮，主要以下幾點來防范： 硬件方面，應(yīng)從正規(guī)渠道購買手機，防止買到植入木馬的手機。軟件方面，應(yīng)從大型的可信度較高的網(wǎng)站下載應(yīng)用軟件；其次，應(yīng)注意軟件的安裝權(quán)限，對于敏感高危權(quán)限應(yīng)引起重視；再次，對于手機中也應(yīng)安裝相應(yīng)的安全防護軟件，并及時查毒和清除。

四、結(jié)束語

支付手段的電子化和移動化已經(jīng)成為未來商業(yè)的發(fā)展趨勢，而移動支付系統(tǒng)的安全性問題又是移動電子商務(wù)安全的核心問題。作為一般用戶，我們應(yīng)該提高安全意識，支付時采用可信的網(wǎng)站和應(yīng)用程序，同時安裝安全軟件，即時查殺病毒，保護好自己的移動設(shè)備。

參 考 文 獻

[1] 郝文江，武捷，移動支付安全性分析及技術(shù)保障研究[A]， 第26次全國計算機安全學術(shù)交流會，公安部第一研究所，2011年

[2] 程震，王鳳英，王軍波，WPKI在移動電子商務(wù)安全中的應(yīng)用[A]，中國管理信息化，2008年

[3] 宋照文，電子商務(wù)安全案例解讀與防御策略[J]，華人時刊，2011（1）