移動支付中的安全問題研究

鐘斌 鐘明

【摘要】 隨著NFC技術的發展，移動支付業務以其快捷性和便利性得到了廣泛應用，移動支付環境和安全性也成為了人們關注的焦點。本文對目前我國移動支付中存在的安全進行了分析，提出了相應的解決措施。

【關鍵詞】 移動支付 現狀 安全問題 解決方案

一、 引言

隨著移動終端和智能手機的普及，人們使用的支付方式不再局限于支付現金，而銀行卡、手機銀行、網上銀行、支付寶等為客戶提供了更快捷的支付方式。移動支付的快速增長，也導致其安全問題凸顯。據統計，僅2013年上半年國內新增手機木馬和惡意軟件數量就達到了25459個，感染手機用戶數高達1.3億。因此我們有必要對移動支付的安全性進行分析，并采取相應預防措施。

二、移動支付的方式及安全問題

移動支付是指用戶使用移動終端對所消費的商品或服務進行賬務支付的一種服務方式。移動支付將終端設備、互聯網、應用提供商以及金融機構相融合，為用戶提供貨幣支付、繳費等金融業務。

根據移動支付在電子商務中的應用，移動支付按業務種類可分為以下幾種方式：

1、SMS短消息業務，是終端用戶通過發送短消息的形式請求服務內容，從用戶的話費中扣除費用，通常只適合于小額支付。 2、WAP無線應用通訊，是終端用戶通過訪問WAP站點或者通過應用程序進行的金融業務，用戶可通過手機上網進行操作。 3、USSD數據業務，是一種基于GSM的新型交互式數據業務，單獨使用或與短消息技術等結合，提供的增值服務。將手機輸入預先制定的數字或者符號，通過網絡發送指令，從而將你需要的服務提供給你。4、NFC短距離通訊，是一種短距離的無線連接技術，用戶可以使用“手機錢包”在合作商戶POS機上現場消費。

移動支付中的安全問題主要包括以下幾點：

1、移動終端易受到黑客攻擊。由于手機的運算能力較低內存小，加上帶寬小容易丟失數據，所以無法運行太復雜的加密算法，造成數據保密低。用戶在用手機進行支付時，加密等安全措施做的不到位，黑客們通過釣魚網站或木馬程序就可以竊取用戶信息，將移動支付功能進行非法復制，從而造成用戶的損失。 2、手機信息容易被攔截。監聽移動電話攔截裝置能在任何地點，包括車載移動手機空中攔截；監聽數量多，最多可以同時監聽20個手機號碼；監聽范圍廣，可以顯示手機的短信息內容和來電號碼，并且可以將監聽到的信息保存下來。當然，我們使用手機支付的信用卡數據同樣也可被攔截。 3、此外，手機本身也可能成為泄漏信息的重要渠道。手機上所有信息均會被存儲于手機的存儲芯片當中，而這些存儲芯片有可能就成為自己隱私外傳的渠道。手機內存中的個人信息極易外泄，而且就算用戶將個人資料刪除，甚至格式化，仍然可以通過技術手段將刪除的信息全部恢復。

三、移動支付安全解決措施

互聯網移動支付的整個流程中的安全問題解決辦法如下：

3.1初始信息的確認

用戶、商家、移動支付中心分別通過權威認證機構申請證書，生成數字證書和公鑰私鑰，并以實名手機信息注冊。用戶確定支付手機號，商家通過短信，確認手機用戶身份。

3.2手機交易安全支付信息加密

商家將訂單合同信息、交易合同號、用戶手機號碼，以及訂貨合同數字簽名，使用DES對稱加密形成請求支付信息，再把DES密碼使用移動支付中心公鑰加密，然后一起發送到移動支付中心。移動支付中心使用私鑰解出DES密碼，使用DES解密算法解出訂貨合同。

3.3從技術方面的安全措施

1）對于初始化中的證書申請，采用無線公鑰基礎設施（WPKI）。以WAP的安全機制為基礎，通過管理實體問關系、密鑰和證書等來增強移動支付的安全性。2）在用戶和商家通信時，為保證通道的安全，采用無線安全傳輸層（WTLS）。針對較小頻寬的通訊環境作修正，確保資料在傳輸的過程中經過編碼、加密處理，以避免黑客在數據傳輸過程中竊取保密性數據。 3、從硬件和軟件方面來考慮，主要以下幾點來防范： 硬件方面，應從正規渠道購買手機，防止買到植入木馬的手機。軟件方面，應從大型的可信度較高的網站下載應用軟件；其次，應注意軟件的安裝權限，對于敏感高危權限應引起重視；再次，對于手機中也應安裝相應的安全防護軟件，并及時查毒和清除。

四、結束語

支付手段的電子化和移動化已經成為未來商業的發展趨勢，而移動支付系統的安全性問題又是移動電子商務安全的核心問題。作為一般用戶，我們應該提高安全意識，支付時采用可信的網站和應用程序，同時安裝安全軟件，即時查殺病毒，保護好自己的移動設備。

參 考 文 獻

[1] 郝文江，武捷，移動支付安全性分析及技術保障研究[A]， 第26次全國計算機安全學術交流會，公安部第一研究所，2011年

[2] 程震，王鳳英，王軍波，WPKI在移動電子商務安全中的應用[A]，中國管理信息化，2008年

[3] 宋照文，電子商務安全案例解讀與防御策略[J]，華人時刊，2011（1）