移動支付安全問題與優化對策

鄒清淼 黃子晨 操婉婷 梅恒武 賴輝

[提要] 移動支付是指用戶使用移動設備的支付，以換取資金來支付商品或服務。本課題主要圍繞移動支付方面的路徑以及運行特點對其安全性進行研究，探索移動支付安全性問題的現存機制與體系。研究認為：為了解決移動支付的安全問題，需要吸收傳統電子商務的安全方法，改進現有移動終端的設計，加強移動終端本身的安全性，同時還應加強通信網絡的信息安全，防止通過無線網絡盜取用戶信息，而且要對用戶身份認證與支付確認的機制進行提升。

關鍵詞：移動支付;支付安全;網絡安全

本文獲得江西財經大學科研課題（編號：2019061514204151）資助

中圖分類號：F83 文獻標識碼：A

收錄日期：2020年2月5日

一、移動支付存在的安全問題

（一）研究背景。中國的移動支付發展迅猛，目前阿里巴巴的支付寶，騰訊的微信發展迅速，成為了兩大巨頭。由于支付寶2014年春節紅包和微信支付2015年的春晚紅包大戰對于我國移動支付起了很積極的作用，中國目前已經成為移動支付應用的大國，但是因此產生的各類支付問題也頻頻發生。

（二）移動支付中的移動終端和無限網的安全問題。移動支付的終端包括用戶身份、賬戶信息和認證密鑰的丟失、設備的攻擊和數據的破壞等不安全因素。對于移動終端，例如黑客很容易通過手機的移動支付應用程序盜取用戶的各類信息和用戶的資金，手機等移動終端具有各類的安全漏洞，因為用戶的智能手機一般沒有高級加密的芯片和相關保護硬件。

無線網絡的安全性其實是比較低的，尤其是公共的免費wifi風險程度更高。如果在釣魚網站上安裝了公共wifi，或者用戶連接到一個創建了一個類似于公共wifi的假名的黑客，就會有很大概率被黑客獲取用戶的賬戶和支付密碼。

（三）法律體系和國家信用制度對移動支付安全的影響。我國移動支付法律法規很早被利用，但成熟的法律保護體系并沒完全被落實。我國國內的立法沒有特別在移動支付的領域進行專門的法律規范，以保護中國的移動信息安全。為了讓移動支付有專門單獨的保護，而且設立具體的信息保護，可以借鑒國外有關移動支付的相關法律，完善我國現有的法律。有關社會信用制度體系建設與經濟發展和我國社會發展的矛盾依然顯著，因此加強國家信用制度對移動支付的保障也很重要。

二、移動支付安全優化對策

（一）加密技術的提升

1、動態密碼口令。動態密碼是根據特定算法生成不可預測的隨機數字組合，其基本思想是在每次身份認證中改變數字密碼組合，定時改變隨機的數字組合，每次形成的認證信息是不同的。動態口令認證方法一般是首先分配一個賬號給每位用戶，使每個賬號和服務器有相同的動態認證機制，即秘密認證密語簡稱SSP。這種動態認證機制包括私有密鑰、迭代值和通行短語等。用戶和其服務器的身份認證中使用動態口令，每個口令每過一段時間會自動更新，且每次產生的口令用戶只使用一次，用戶輸入口令，服務器則接受與動態驗證機制對比，相同則通過驗證，反之則不通過。由于動態密碼口令的隨機多變性，加上可以對密碼進行復雜的疊加，因此動態密碼保護越來越受歡迎，將此用于移動支付交易確實比靜態傳統密碼安全。動態密碼口令具有容易維護、擴展性強、安全性高等特點。

2、橢圓曲線密碼。由于網絡上的身份認證是依靠用戶的登錄賬號數據、密碼或者生物特征比如指紋等信息來實現認證的，但在一定程度上存在安全隱患。加密體系在身份認證的過程中起到決定性作用，橢圓曲線密碼是關鍵性的認證系統，用它來完成身份認證對于安全性的提高不言而喻。在橢圓曲線密碼的身份認證中，首先在認證中進行注冊，成功后可以得到系統發放的CA認證簽名的公鑰和私鑰。公鑰的意思是公開的數據信息，私鑰即私有的信息，只有用戶自己知道并保存。由于在這個認證系統中，分為各種模塊如認證模塊、代理模塊、加密模塊，對于每個模塊都進行安全性的細分并提高，從而使整體的安全性提升。

系統模型主要工作流程如下：首先在系統數據庫存放用戶信息;客戶端代理會從應用程序向登錄認證提出申請;登錄認證會檢查用戶身份信息，并且發放應用服務器的Ticket;代理服務器會讀取用戶從客戶端請求訪問的消息數據;在訪問控制表中進行查看并給予應有的權限訪問應用服務器;然后給予用戶應有的連接權限，建立加密通道，用戶與經營者雙方即可交換數據，進行安全交易。

（二）加強移動終端的安全性。提高移動支付各類終端的安全性能，首先需要對移動支付的發展現狀進行分析，然后對各類智能終端進行市場分析和技術分析，使用現代化的互聯網技術制定統一的安全標準，在不同的移動終端處理過程中，應該不同情況不同分析，對于終端進行相應的測試并且進行加補丁改正。

還有包括目前移動支付的安全防護手段較為簡陋，支付工具權限過高等安全問題，吸取國外的各種方法，銀行的加密方式比如U盾、可變密碼器等設計思想，在科技高速發展的現在，結合生物識別、二維碼技術等簡單高效的方式，加強移動支付的各個方面設計，諸如面部動態識別手機綁定、已經實行的指紋技術提升、三種基于多因素認證的移動支付等。

（三）用戶身份認證與支付確認的機制

1、靜態口令認證技術。靜態口令的認證機制簡單易做，但是由于是不變的密碼和用戶名，因此使用自己常見的生日等湊整獲取的一段字符當作密碼容易造成靜態密碼的泄露。對靜態密碼口令長度，覆蓋的內容的限制，包括密碼的復雜程度，找回密碼機制的設立等來提升安全性。但是這樣的方法可以提高靜態密碼的復雜度，不能從根源處解決，高級的黑客很容易盜取這些靜態密碼，造成危害。所以更高的加密需要在重要的移動支付上實行。

2、動態口令認證技術。一次性口令認證技術，同時又名為動態口令認證技術。以下是簡單的兩種技術：（1）口令表認證技術。展開口令表認證技術的解釋，簡單而言，即用戶一旦登錄，程序會自動比較輸入的私密密碼，同樣地，其指針中所指的密碼也將會自動進行比較。如果正確，用戶即可進入系統，并同時會指到表里的下個口令。后臺機器默認給此表設定一個指針，以達到確定用戶下次登錄時依然能夠使用密碼的功能，并且需要使用者給一張標有一連串口令的表存儲于后臺之中。從而，使用密碼表驗證技術，在黑客知道使用此用戶登錄密碼的情況下，也無法進入系統。而用戶的口令表卻保存完好。（2）雙因子認證技術。將散列函數得到動態口令的思想融入，即用戶每次登錄時使用的密碼都是動態且可更改的。一次性密碼中一個是使用者的私密鑰匙，另一個是變化因素，這是兩個各具特色的雙運算因子。再者，一次性密碼具有可變性，變動因子為時間或事件。其將數字排序的列數變為密碼合成系統的操作因子，用戶的私密鑰匙一并生成動態密碼。時間一致性大致以一分鐘作為改變單位;然而，對于同步事件，這里的同步表明，其密碼卡在每一次的驗證中都與后臺維持同樣的事件順序。在應答式中的變動因子中取的是后臺隨機取的數列，所以稱為挑戰應答式，其每一隨機數都是唯一且不被重用的，連生成位置都在同一個地方。

三、移動支付安全前景

（一）移動支付現狀與趨勢。由于現在智能電子產品的普及，移動支付高速發展，移動支付的方式也從傳統的金錢到如今的店內在線支付、NFC等多元化的支付。不久的將來，有各類的生物識別和多維交聯的創新支付認證技術等廣泛應用，移動支付發展將進入生物識別的時代。支付產品更加安全、智能化。大數據、云計算、區塊鏈等新興技術的發展會促進移動支付更好地發展，真正的大數據時代到來！

（二）移動支付思考與建議。移動支付依舊不斷地發展，如何建設完好的法律體系，降低風險的概率，加大對移動支付安全技術的監督與防范，對于用戶消費者的各種權益的保護等是應當重視的問題。完善的技術風險防范制度，加強安全技術監督。各類經營者應該提高移動支付的安全技術水平，加強對企業的內部管理，減少移動支付安全漏洞的出現。建議把監管沙盒模式引入移動支付的領域，對移動支付的各類產品進行測試調整。

主要參考文獻：

[1]范斯琪.第三方移動支付平臺的風險研究[J].時代金融，2019（18）.

[2]張猛，尹其其.靜態口令認證技術研究進展[J].網絡空間安全，2018.9（7）.

[3]郭岱喬.關于移動支付安全性的思考[J].民營科技，2017（7）.

[4]王子青.移動支付系統加密認證算法及安全協議的研究與實現[D].南京郵電大學，2016.