移动支付技术安全问题研究.pdf

移动支付技术安全问题研究
黄长慧王海珍
(公安部第一研究所北京10008)
【摘要】随着移动互联网技术的不断发展,移动支付的应用广泛,但移动支付在方便人们生活的同时安全问题也日益
暴露出来。本文主要对移动支付安全的影响因素进行了分析,并提出了相应的安全防范技术措施。
关词】移动支付;技术安全;安全防范
中图分类号:TP393.0
文献标识码:A
文章编号:1009-6833(2014)06-147-02
Mobile payment technology security research
Huang Changhui, Wang Haizhen
Abstract: with the continuous development of mobile Internet technology, mobile payment application widely, but the mobile
payment while convenient peoples hfe safety issues are increasingly exposed. This article mainly analyzes the influence factors of mobile
payment security, and proposes the corresponding safety technical measures
Keywords mobile payment; Technology security; safety
0引言
手机的WAP业务只能通过联通的统一门户对外提供,所
寻常人们的生活当中,据不完全统计,当前55%的手机网民使
有的户上面的业务都必须是运营商的正式服务商开发的,并
且是经过审核的,这在一定程度上保证了用户访问的WAP应
用手机银行,70%6的手机银行用户对移动支付、资金的安全问
用是出正规服务商提供的,避免了类似目前互联网上假冒网银
题极为关注,出此可见,移动支付的安全问题成为移动支付进的现象。开发商开发的WAP应用程序首先要提交给联通指定
一步推广的重要因素。
的测试公可进行测试。WAP支持HTTPS协议,实现了真正的
移动支付安全影响因素
端到端的安全。通信过程如图1所示
1.1无线信息易被窃取
相比有线网络的局限,无线通讯网络不受通讯电缆以及地理
坏境的影响,有着极强的开放性,作为一个开放性的通道,无线
信道在给用户带来便捷的同时,也给用户带来了定的安全?
素。比如:被窃听通讯信息内容、篡夺通讯内容信息以及假冒通
信双方身份的现象屡见不鲜。个人通讯的数据以及信息极易因无
线窃听而泄露,而移动用户身份信息以及通讯信息的泄露直接导
致移动用户被无线追踪,进而严重影响移动用户的信息。个人安
全,进而对移动用户的移动支付带了巨大的安全隐患。
12授权验证手段单
在重
手机银行作为一个新兴的行业,与发展多年的网上银行相
比,手机银行在安全验证手段方面还存在者明显的不足,安全
风险防范能力薄弱,月前,受技术水平的限制,手机银行的授
图1移动支付通信流程图
权基本上是依靠单纯的密码验证,仅仅部分手机银行在进行支2.2手机与商户之间的安全通信
付结算和资金划拨时增加短信动态密码二次验证,总体来说,
手机银行的授权验证于段较为单一,安全风险较大。
用户通过于机到商户的网站上浏览商品信息,査找需要的
13手机病毒威胁很大
商品,向商户网站提交商品购买请求供商广网站生成订单。这
过程中传输的数没有密码等关商户网站提交商品购买请求
有线刚络杀毒安全技术还不完全适用于无线设备,由于无
供商户网站生成订单。这一过程中伎输的数据没有密码等关键
线设备的内存和训算能力有限而不能安装大部分的病毒扫描和
数据信息,所以可以采用明文传输。安全措施方面,由于这一
检测入侵的程序,目前还没有有效抵制于机病毒的防护软件
过程没有需要保密的敏感信息,所以采用HTTP协议进行传输。
移动交易尚欠安
2.3商户与平台之间的安全通信
手机支付的最重要的问题就是安全问题,用户在进行交易
用户在商户网站上提交了商品购买请求后,商户网站向支付
时,银行需要对交易密码进行加密处理。此外,重要的数据也需
平台传送用户的订単信息;支付平台在商户的订单处理完毕或者
要进行加密处理。原则上,所有文件的存在形式不能以明文形式
支付失败后,向商户站传递订单支付状念信息。这两个过程都
存在,要设置系统安全访问日志,将应用系统发生的错误要系数
要保证所传递的信息的准确和完整,要防止被簒改。安全措施方
记录到错误∏志中去,为了保障信号的顺利,减少信号被截获的
面。提供的两种安全措施,尚户可以自由选择。商户网站和支付
现象,通信运营商要注重加强信号传播中的安全问题研究。作为
平台都配置有由CA中心签发的私钥证书,双方使用HTPS协
新兴业务,移动支付存在风险很正常,最为关键的是如何处理正
议进行数摒通信,保证了通信双方的身份认证和信息的安全。商
常业务与安全的关系,以及移动支付安全系数的设定。如果仅仅
广在注册成为手机支付的商户的时候,由支付平台分配一个秘钥
强调支付交易的100%安全,则不但很难做到,势必对移动支付
给商户,在商户与支付平台通信的时候使用秘钥进行加密处理,
的推广有一定飞影响。因此,如果顾到移动支付安全问题,又兼
时结合摘要技术,保证了数据传输的准确和完整
顾移动支付业务发展,是一项需要深入研究的问题山
2.4手机与支付平台之间的安全通信
2移动支付安全防范的技术措施
客户在交易过程中,银行会采用多种方式有效保障客户资
用户登录到支付平台,处理余额査询、转账、支付等业务。
在这过程当中需要用户输入用户的卡号和密码等关键信息,要
金安全:一是手机银行的信息传输及处理都采用高强度的加密
保证这些信息不被窃听和纂改。安全措施方面,支付平台配置
传输方式,实现移动通信公司与银行之问的数据安全传输和处有CFCA签发的服务器证书,手机端程序包中包含CFCA的根
理,防止数据被窃取或破坏;二是手机银行对客户对外转账的
金额有严格限制;三是将客户指定手机号码与银行账户绑定
证书。在手机和支付平台之间采用HTTPS协议,手机端通过证
书对服务端进行身份认证,在传输过程中使用HTTPS协议进行
并设置专用支付密码。为了防范移动电子支付的潜在风险,就
加密传输,保证了数掳不会被窃听和簊改2。
必须建立起完善的技术安全机制
2.5手机与银行系统之间的安全通信
2.1WAP应用使用安全
〔下转第149页)
2014.6?与画147
万方数据