移動支付系統安全性分析及基于WPKI的系統設計

2014-08-08 14:34:34劉翔張艷

無線互聯科技 2014年6期

劉翔張艷

摘要：在移動電子商務中，安全的移動支付是成功交易中最為重要的環節。本文針對提高移動支付的安全性，在研究了和參照各類移動支付模型，在引入WPKI（公開密鑰體系），分析了移動支付系統的安全性問題，采用多種安全技術完善WPKI的系統設計，從而強化移動支付安全性、可認證性等等。

關鍵詞：移動支付系統；安全性；WPKI；分析；系統設計1移動支付

移動支付是一種通過平板電腦、手機等移動通信的終端設備，以無線連接的方式完成付款、轉賬等商務交易活動。移動支付與一般的傳統支付相比，移動支付則是真正的實現了3A交易（Anytime、Anywhere、Anyhow）。這也是將無線通信技術中的3A優勢應用到金融行業中來。移動支付具有了傳統支付所不具有的多重優勢，但它的安全問題、容易使用等問題還未得到妥善的解決，因此，我國目前的移動支付主要以小額支付的主。

2移動支付系統的安全性分析

2.1 移動支付中的安全問題

移動支付屬于移動商務的范圍之內，因此，在移動支付上安全性問題的考量，應著眼與移動電子商務的視角上思考。在移動支付這一問題上關注的重點在于移動終端通信所到來的安全問題，也就是手機到網絡服務器以及網絡服務器到手機過程中的安全問題。電子商務在移動平臺中的的安全問題，也就是移動平臺中端口至端口之間的安全性問題。這一系列問題的關鍵在于移動終端和銀行之間構建一條安全的“秘密通道”。

2.2 電子商務交易中加密技術的局限性

在現今的網絡狀況和手機SIM卡的處理能力十分有限，現實情況不容樂觀。現行的公鑰算法RSA算法的密鑰長度設置在1024bit方可滿足最高強度的制定，而密鑰長度設置在1024bit的這個要求對于目前的手機終端的處理能力來說是難以完成的。但是而現有的PKI(Public Key Infrastructure)中幾乎都是采用的RSA。

3基于WPKI的移動支付系統設計

3.1 WPKI移動支付系統的安全框架

由于目前大部分收集的處理能力十分有限，本文提出一種更適合移在移動電子商務交易的安全框架，這就是WPKI移動交易支付，也就是VA(Validation Aulhorily)，是一種引入驗證服務器，以下是采用VA的WPKI移動支付的安全框架設計，見圖1。

3.2 系統的安全功能模塊設計

3.2.1 賣方交易平臺

第一，完善在商品交易過程中可能需要的安全功能，其中包括客戶與客戶之間雙向的身份認證，讓客戶確認定單的數量，從而生成商家的對賬單以及貨品數量的的數字簽名，同時加密在客戶之間的信息傳遞。第二，完善支付過程所必須的安全功能，在交易中心完成商家和客戶之間的雙向身份認證，隨后驗證銀行發送來的的數字簽名和支付結果。同時，記錄下客戶簽名的訂單詳情信息、交易支付信息、商品送貨地址等等。由此可見，賣方交易平臺的軟件模塊需要提供客戶訂貨信息、客戶的數字簽名、身份認證、安全證書管理、銀行支付信息的處理等等。設置商家服務器證書，應用于與客戶買方交易平臺之間的數字簽名、身份識別、消息加密、生成數字簽名。

3.2.2 買方交易平臺

首先，完善在貨品交易過程中必要的安全功能，包括商家與商家之間雙向的身份認證，讓客戶確認定單的數量，生成商家對賬單以及承諾交易的數字簽名，同時對商家之間的信息傳遞進行加解密處理。其次，完善商品支付過程使用到的安全功能，其中包括在交易中心內部的雙向身份認證，運用銀行現行的公鑰加密方法發送轉賬數據，同時保存的交易證據在交易中心內以及交易數據的數字簽名。買方交易平臺提供雙方的數字簽名、支付交易的查詢、雙方的身份認證、銀行證書管理等等。設置客戶服務器證書，用于與賣方交易平臺之間的身份識別。

3.2.3 支付網關功能

該功能主要是在銀行網絡、因特網、以及移動網絡之間的信息傳遞、信息轉換等等進行加密處理來保護銀行內部網絡的安全性。支付平臺和銀行系統之間的雙向身份識別，同時驗證客戶的簽名，在銀行的處理上完成支付結果的簽名，完成客戶的轉賬通知以及商家公鑰加密支付的結果等等。支付網關功能需要提供:商家和客戶數字簽名、雙向身份認證、交易中心業務系統接口、銀行證書管理等等。設置商業銀行服務器的證書，用于身份識別、信息傳遞加密以及數字簽名的生成等等。

4總結

電子商務是目前興起的一種商務平臺，安全問題一直是困擾其發展的重要問題。本文從工程技術的角度上對移動支付系統的安全架構進行了分析和設計，對WPKI的移動支付系統設計的功能模塊進行了詳細的描述，隨后分別站在移動通信的安全性能和電子商務的移動平臺上的安全性的著兩個角度上的分析了移動支付的安全狀況，針對其中出現的種種問題來出了一些相對應的解決方案。

[參考文獻]

[1]建華.基于RFID射頻識別技術的GPRS移動支付系統[J].金卡工程,2007,11(5):59-63.

[2]周宇,柴洪峰,何朔,廖健.移動支付系統安全合規性檢測與分析方法研究[J].計算機應用與軟件,2012(10):294-299.