摘 要:摘要:移动支付,拥有传统支付方式无法比拟的优势,应用领域越来越广泛,安全是制约其发展的关键因素。本文介绍移动支付的概念和优势,讨论几种保障移动支付的安全技术。
关键词:关键词:移动支付;安全问题;技术保障
总图分类号:TP393.08 文献标识码:A 文章编号:
1.引言
随着手机、PAD等移动终端的应用普及,移动支付迅速发展,与传统支付方式相比,移动支付具有灵活便捷、交易时间短等特点;然而,移动支付虽然带来了极大的便利性,其安全问题也不容忽视,类似密码破解、信息复制、病毒感染等都有可能对移动支付造成重大的损失。因此,有必要对移动支付的安全性进行分析,并通过技术手段进行解决。
2.移动支付的概念和优势
2.1 移动支付的概念
移动支付(Mobile Payment),也称为手机支付,就是允许用户使用其移动终端(通常是手机)对所消费的商品或服务进行账务支付的一种服务方式。移动支付技术将移动终端设备、互联网、应用提供商以及金融机构相融合,为用户提供货币支付、缴费等金融业务。
2.2 移动支付的方式
移动支付的实现方式多种多样,根据支付距离远近分为现场支付和远程支付,现场支付是利用内置RFID(Radio Frequency Identification,无线射频识别)或NFC(Near Field Communication,短距离通讯)芯片的手机,支持各种零售、电子票务、消费等非接触式支付;远程支付是指通过发送支付指令(如网银、电话银行)或借助支付工具(邮寄、汇款)进行的支付方式,如掌中付推出的掌中充值,掌中视频就属于远程支付。
根据支付金额的大小,移动支付又分为小额支付和大额支付。小额支付业务指运营商与银行合作,建立预存费用的账户,用户通过移动通信的平台发出划账指令代缴费用;大额支付指把用户银行账户和手机号码进行绑定,用户通过与手机捆绑的银行卡进行交易操作。
2.3 移动支付的特点和优势
移动支付业务借助于互联网和无线通信技术的发展已进入了快速扩张的阶段,与其他在线支付业务相比,移动支付具有以下特点和优势:
(1)支付灵活方便。用户只要申请了移动支付功能,通过拨打相应的电话号码或者发送短消息就可以完成整个支付与结算过程。
(2)支付成本低。可以减少往返银行的交通时间和支付处理时间,而且用户只需要支付很低的电话费或短消息费用。
(3)有利于调整价值链,优化产业资源布局。移动支付不仅可以为移动运营商带来增值收益,也可以为金融系统带来中间业务收入。
3.移动支付的安全问题分析
3.1 移动支付安全特性
移动支付的整个交易过程是完全处在一个开放的环境中,为了保证交易的安全进行,移动支付系统必须满足以下安全特性:
(1)保密性。由于无线网络的开放性,终端设备与WEB服务器之间传输的交易信息,很可能在传输过程中遭到非法攻击,被非法用户获取、修改,如何保证交易信息的安全性和保密性是移动支付的基础。
(2)数据完整性。移动支付交易必须保证交易不被破坏或干扰,交易内容在传输过程中需要确认数据信息没有被改变,也就是信息在交易的处理过程中不能被任意加入、删除或修改。
(3)不可否认性。移动支付提供一种可以防止发送方或接收方抵赖传输消息的服务,当接收方接收到消息后,能够提供足够的证据向第三方证明这条消息来自某个发送方,使发送方不能抵赖发送过这条消息。同时,当发送一条消息时,发送方也有足够证据证明某个接收方的确已经收到这条消息。
3.2 移动支付安全问题的现状
安全问题是影响移动支付的关键因素,安全包括很多环节,比如存储安全、传输安全、认证安全等。从目前来看,移动支付可能隐藏的安全问题表现如下:
(1)手机本身的安全存在隐患。利用手机进行现场支付很容易造成密码的泄漏,再者,随着智能机应用的普及,手机病毒也越来越多,黑客使用病毒盗取用户的手机PIN码、网银密码,导致用户账户被盗刷的现象屡见不鲜。
(2)缺乏身份识别。手机作为支付工具,必须对参与交易的合法身份进行识别,由于移动支付涉及到银行、商家、用户等多个实体,如何解决合法身份认证就显得尤为重要。
(3)信用体系不健全。一些小额支付业务通常是捆绑在手机话费中,而有不少手机号并没有采取实名制,因此造成手机话费透支、恶意拖欠并不少见。信用意识以及体系的不完善,也制约着移动信息化的普及和推广。
4.移动支付安全技术
针对移动支付存在的安全问题,可以通过身份认证、数字签名和WPKI等相关技术手段来解决。
4.1 身份认证技术
身份认证是在交易过程中确认操作者身份的技术,以保证操作者拥有合法身份,通常采用静态密码、短信密码、动态口令等认证方式。在实际使用过程中,不同的安全需求决定不同的认证方式:小额支付通常采用移动电话号码和固定密码认证的方式;大额支付可采用固定密码和动态密码的方式来提高安全性;以WIM为基础的移动PKI认证可以同时满足以上两种要求。
4.2 数字签名技术
数字签名又称电子加密,可以区分真实数据与伪造、被篡改过的数据,公开密钥加密技术是实现数字签名的主要技术,它有两个密钥:一个是签名密钥,它必须保持秘密,称为私钥;另外一个是验证密钥,它是公开的,称为公钥。用户在提交单据和帐号信息后,同时生成一个私钥和证书,然后将该帐号连同证书和签名文件作为一个包传输给接收方;接收方在收到签名帐号信息后,首先去CA中心验证此证书的合法性,来确定发送方的身份是否可信。如果可信,则用证书中的公钥来验证传输来的文件是否是发送方所签署的。
4.3 WPKI技术
WPKI即“无线公开密钥体系”,它通过采用公钥基础设施以及证书管理策略,有效地建立了安全有效的无线网络通信环境。WPKI中使用两个不同的公开密钥:一个用于密钥交换(其证书可用于身份认证),另一个可用于数字签名,这样有效地将身份认证和访问控制分开。无线PKI的架构包括无线终端、注册中心(RA)、证书认证中心(CA)、目录服务器和无线网关等。注册中心负责接受用户对证书颁发、撤销等请求,认证中心负责证书的颁发和管理,证书内容包括使用者的姓名和公开密钥、证书有效期等信息,和CA对这些信息的数字签名。目录服务器用来存放证书、CRL等供用户查询、下载,无线网关完成无线和有线环境协议的相互转化。在安全协议WTLS中,服务器和客户(如果服务器要求的话)分别利用其公钥证
书向对方证明自己的身份。
为了适应无线应用环境,WPKI对传统的PKI作了相应的优化工作,如采用压缩证书格式,减少了存储容量;采用椭圆曲线算法,提高了运算效率,并在相同的安全强度下减少了密钥的长度。
5.总结
日益增多的移动电话用户数、互联网宽带接入用户数给移动电子商务提供了发展的沃土。未来手机支付的市场空间十分广阔,而安全是制约其发展的关键问题,我们在研究移动支付安全技术的同时,应该采用统一的标准规范、完善交易流程、加强信用管理,加大安全芯片、智能读卡设备等的研发力度,共同推动移动支付的产业化应用。
参考文献:
.湖北第二师范学报,2008,25(8):58-60.
