基于Android平臺的安全支付系統的研究

摘 要：3G技術的普及和4G技術的興起和發展，帶動了移動電子商務的興起，使智能手機逐漸成為最便捷的支付交易終端。在智能手機系統中，Android平臺手機的全球市場份額在2013年第四季度就已經達到78.1%并逐漸成為第一大手機操作系統。眾多的Android用戶在使用支付交易終端的同時，對移動支付的安全性越來越感覺不安，這使Android支付交易終端交易的安全性能受到了極大的挑戰。本文基于Android手機系統平臺，對移動支付進行安全性研究。

關鍵詞：Android；移動支付；數字簽名；機密

0 引言

由于移動網絡的發展，智能手機的廣泛使用和移動電子商務的興起，移動支付逐漸成為最主要的支付方式之一。移動支付是指包括手機、平板電腦、PAD等移動終端與通信網絡或無線wifi連接進行支付的一種方式，支付類型包括購物、銀行貨幣交易、移動業務支付等。由于移動支付帶來的便捷性，用戶可以隨時隨地利用無線網絡進行支付，目前該支付形式已逐步代替傳統的電子支付。截至2013年底，我國電子商務市場的移動支付額已達9.64萬億元，眾多的智能手機用戶成為交易的主角。本文從Android系統框架出發，在應用程序框架上運用數字簽名技術，在交易支付端搭建安全服務平臺，使交易數據實現機密、完整、不可復制等基本安全要求，從而保障移動用戶在Android系統中進行移動支付的機密性。

1 移動支付的介紹

移動支付也稱為手機支付，就是指用戶使用其移動終端（通常是智能手機、平板電腦）進行網上商品貨款支付或者進行業務費用支付的一種服務方式。移動支付是由應用提供商以及金融機構將終端設備通過互聯網向用戶提供貨幣支付、繳費等商業交易和金融服務。簡單地說，移動支付就是將傳統的支付行為移動化，用手機代替錢包，在有無線網絡信號的覆蓋下，隨時隨地進行的一種手機錢包服務。

移動支付按用戶支付的額度大小可分為微支付和宏支付。微支付一般指交易額少于10美元，通常是指購買移動內容業務，如游戲、視頻下載等。宏支付是指交易額較大的支付行為，例如在線購物或者近距離支付等。移動支付如果按支付賬戶的性質分，可以分為銀行卡支付、第三方支付賬戶支付和通信代收費賬戶支付三種。按照支付的結算模式分，移動支付可分為及時支付和擔保支付。按賬戶的存放模式分，移動支付可分為在線支付和離線支付。

2 移動支付安全需求

Android平臺是一種基于Linux的開發源代碼的自由操作系統，一般通過無線應用協議技術接入無線網絡進行移動支付服務。在公共場合，無線網絡可能遭受黑客攻擊，導致智能手機感染手機病毒和木馬，所以在進行支付過程中，要確保無線交易安全。保證移動支付安全的需求有：

2.1確認交易雙方身份的真實性

保證交易安全可靠。作為一種新興的電子支付方式，移動支付帶給人們無比優越的支付便捷，但據調查顯示，中國超過40%的用戶對移動支付的安全性缺乏信心，其中大部分原因在于懷疑交易雙方身份的可靠性，Android系統源代碼開放性的特點，給很多黑客提供了可乘之機。

2.2交易數據保密性

確保交易數據準確無誤且僅允許交易者訪問交易中的信息。一旦Android系統遭受病毒木馬的侵入，用戶交易信息就可能被篡改，造成用戶交易數據的不真實。

2.3交易完成

確保交易過程不可否認，保證交易數據安全到達對方。不可否認性：一般為了防止交易雙方對支付過程進行抵賴行為，要求實現不可否認，以證明消費者確實將交易額準確傳送給商家。

3 移動支付安全技術分析

Android系統中進行移動支付時存在的安全問題，一般可以通過CA認證系統、數字簽名、WPKI等相關技術來解決。

3.1CA認證體系

CA認證系統也稱為電子商務認證中心，是負責發放和管理數字證書的權威機構，作為電子商務交易中的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。CA中心為每個使用公開密鑰的用戶發放一個數字證書，其作用在于證明證書中列出的用戶合法擁有列出的公開密鑰，使得網絡攻擊者不能偽造和篡改證書內容，保證證書用戶信息的唯一性和可靠性。

3.2數字簽名

數字簽名技術來源于我們現實的紙質簽名，該技術使用公鑰加密技術對數字信息進行加密。一套數字簽名通常定義兩種互補的運算，一種用于簽名，另一種用于驗證。簡單地說，所謂數字簽名就是在傳送的數據信息或者一些數據單位上進行數據密碼加護，確保接受者在確認所接受數據信息或者數據單位時其數據的完整性和正確性。數字簽名包括普通數字簽名和特殊數字簽名，普通數字簽名算法有RSA、EIGamal、Schnorr數字簽名等，特殊數字簽名包括盲簽名、代理簽名、群簽名、門限簽名等。

3.3WPKI技術

即無線公開密鑰體系，它是將互聯網電子商務中PKI （Public Key Infrastrcture）安全機制引入到無線網絡環境中的一套遵循既定標準的密鑰及證書管理平臺體系，是國際公認的互聯網電子商務安全認證機制，其作用是管理移動網絡環境中使用的公開密鑰和數字證書并且有效建立安全和值得信賴的無線網絡環境。

4 結語

移動網絡技術的不斷發展，給移動支付系統帶來了快捷便利的同時，也給移動支付平臺帶來了更高的要求，如何在移動支付平臺（Android系統）上架構一套安全可靠的支付系統，已經成為移動支付平臺技術者們最大的難題。我們在研究移動支付安全技術的同時，應兼顧用戶操作的感受，不斷完善交易流程，加強交易信用管理，加大安全平臺的建設，為移動支付創造更好的網絡環境。 [今]

參考文獻：

[1]任昌濤.移動支付安全技術分析[J].信息與電腦， 2012（6）.

[2]單美靜.移動支付之安全問題研究[J].電信科學， 2010（11）.

作者單位：浙江工業職業技術學院。

（編輯：寧偉碩）