移动支付的探讨-移动支付的安全问题研究

移动支付的安全问题研究一、移动支付安全问题2002年国内第一个移动电子商务平话费和积分支和国内第一套移动电话自动售货机系统在重庆正式运营；2007年6，国内第一个非接触式手机钱包业务——“长江掌中行”在重庆正式商用，他们揭开了移动支付的新篇章。尽管移动支付特是手机支付段备受专家及商户、银行营商等青睐但在它带来方便快捷的同时，人们也在担心它的安全性究竟有多高。在一项调查中，国内40%的费对移动支付的安全性缺乏信任，只有低于15%的机用户完全信任移动支付，而的机用户拒绝通过移动网络发送自己信用卡资料，超过的手机用户都收到过诈骗短信中金融认证中心副总经理曹小青评价道安全问题将成为制约移动应用发展的主要因素之一了担心支付安全问题担心个人资料泄漏也是很多用户的共识。在整个移动支付的过程中涉及到的支付参与者包括：消费用户、商户用户、移动运营商三方服务提供商用和商户用户是系统的服务对象运营商提供网络支持，银行方提供银行相关服务三服务提供商提供支付平台服务过方的结合以实现业务。从目前来看，主要有三大因素对移动支付的安全问题造成影响：1.加问题和即时性问题是手机支付普及的主要障碍采用方的手机支付时能够采用移动网络的加密技术但对而言并能很有效的保证安全如果引入短信确认实现手机支付的双重确认方式又因为短信的中继问题有能造成短信不能及时到达影响支付的流程。2.身识别的缺乏是限制移动支应用的第二大原因手机仅仅当作通话工具时码护并不是很重要但作为支付工时移信息化提高了手机等手持终端的重要程度备丢失、密码被攻破、病毒发作等问题都会造成重大损失。3.信体系的缺失是限制移动信化应用的第三大原因手机支付中一些小额支付可以捆绑在手机话费中但机话费支、恶意拖欠十分常见，信用意识以及体系的不完善，也制约了移动信息化的普及、推广。要解决这个问题，必须实施“手机实名制”制度。二、安全支付技术四大类目前用到的手机支付技术主要有四大类。第一类是RFSIM卡术是无线射频模块嵌入到手机SIM卡中从而使SIM卡时具有射频识别卡的功能，使手机可以与读卡(POS)间进行非接触式数据交换，如此一来，用户在原来的SIM卡讯功能基础还能实现各种支付操作。这种模式的作用主要表现在如下几方面：1可移动，在更换手机时可以方便转移移动电话服务、证书和相关增值服务；）多用途，每个服务供应商可以单独控制自己在SIM卡安装的软件以及SIM卡区分不运营商控制；）远程管理，通过可进行远程软件管理以及提供个性化的应用服务；）安全更胜一筹。

第二大类就是NFC手，例如诺基亚6131i诺基亚6216c它们在手机中嵌入NFC模块这项技术在日韩的应用相当广泛和成熟，也深受用户喜爱。这种应用中芯和应用安全芯片是独立于SIM卡外的如我国厦门的试点即采用了NFC手但这样会产生很多问题机断电怎么办？互操作问题如何解决？成本如何控制？更换手机如何保持业务连续性？如何解决这些问题，例如法国非接触芯片厂商InsideContactless就有一个解决方案，即在手机中单独设立安全芯片用于管理NFC移动支付相关应用和用户数据该片没有SIM卡的允许便无法激活。因此对于移动运营商来说卡就是一个远程的开关。美国智能读卡器及软件开发商Vivotech公的解决办法是，在NFC手机中放置一应用安全芯片，但是这个芯片不与SIM卡连，运营商可以通过控制该芯片的密钥来控制NFC手机。这个方案最妙的就是在这个芯片内，银行和等组可以有自己的密钥来控制自己的相关应用。就好比，运营商手里拿着大楼的钥匙，而房间的钥匙掌握在银行等手中。第三类就是依托网络的空中支付也是目前使用最广泛最多的网购用户所采有的支付方式。它使用网、短信确认、第三方支付平台等来实现“空中”的支付，这个方案与RFSIM和NFC手最大的区别就在于通过网络和软件实现机不用改变任何硬件设备即可完成支付。与计算机相比手内存小、可用的资源少、功能简单，但这也同时对病毒的危害和传播产生了一定的限制手机的人性使得不法分子获取个人账户和密码资料的可能性大大降低如一来，网银大盗往往以对手机支付用户下手。在很大程度上网支付的安全性大于传统的网上支付。第四类是USSD(UnstructuredSupplementaryServiceData非结构化补充数据业)服务是种基于GSM网络的新交互式数据业务券交易动银行业务业性强，提供服务的企业对安全问题上也相当的看重。三、移动支付的安全认证技术由于移动终端的计算环境和通信环境都非常有限要对相应的安全认证做一些特殊要求。1.WPKI安全标准概况WPKI(WirelessPKI)是线的一种扩展，它将互联网电子商务中的全机制引入到移动电子商务中。采公钥基础设施、证书管理策略、软件和硬件等技术，有效地建立了安全和值得信赖的无线网络通信环境。WPKI以WAP的全机制为基础，通过管理实体间关系、密钥和证书来增强电子商务安全。WAP安全机制包括WIM(WAPIdentity，无线应用协议识别模块)、WMLSCrypt(WMLScriptCrypto，WML脚加密接、WTLS(WirelessTransportLayerSecurity，线传输安全)和WPKI四部分。以上各部分对实现无线网络应用的安全分别起着不同的作用WPKI作为安全基础设施平台，一切基于身份验证的应用都需要WPKI技的支持它可与WTLSTCP/IP相合实现身份认证签等功能的要组件包括实应用程(EE)门户PKIPortal)、

认证中心CA)、目录服(Directory)、WAP网关在应用模型中还涉及数据提供服务器等设备。在WPKI中，代替RA(RegistrationAuthority)功能组件是门户(Portal)，是一个网络服务器，负责把WAP客的需求转发给PKI中RA和CA(CertificationAuthority)CA主要责生成证书、颁发证书和刷新证书等Gateway负责处理客户与源服务器之间的协议转换工作WTLS是经传统网络的协议改进和优化而得来的要保证传输层的安全，也对PKIX准的优化，使之更适合无线环境。2.WPKI的密算法和密钥WPKI是过管理实体间关系、密钥和证书来增强电子商务安全的，与WAP安全标准相比，WPKI所用的ECC(EllipticCurveCryptography椭圆曲线密码)密系统更适合在无线设