0 引言。
随着移动互联网技术的不断发展,以移动支付逐渐进入了寻常人们的生活当中,据不完全统计,当前 55%的手机网民使用手机银行,70%的手机银行用户对移动支付、资金的安全问题极为关注,由此可见,移动支付的安全问题成为移动支付进一步推广的重要因素。
1 移动支付安全影响因素。
1.1 无线信息易被窃取。
相比有线网络的局限,无线通讯网络不受通讯电缆以及地理环境的影响,有着极强的开放性,作为一个开放性的通道,无线信道在给用户带来便捷的同时,也给用户带来了一定的安全因素。比如:被窃听通讯信息内容、篡夺通讯内容信息以及假冒通信双方身份的现象屡见不鲜。个人通讯的数据以及信息极易因无线窃听而泄露,而移动用户身份信息以及通讯信息的泄露直接导致移动用户被无线追踪,进而严重影响移动用户的信息。个人安全,进而对移动用户的移动支付带了巨大的安全隐患。
1.2 授权验证手段单一。
手机银行作为一个新兴的行业,与发展多年的网上银行相比,手机银行在安全验证手段方面还存在着明显的不足,安全风险防范能力薄弱,目前,受技术水平的限制,手机银行的授权基本上是依靠单纯的密码验证,仅仅部分手机银行在进行支付结算和资金划拨时增加短信动态密码二次验证,总体来说,手机银行的授权验证手段较为单一,安全风险较大。
1.3 手机病毒威胁很大。
有线网络杀毒安全技术还不完全适用于无线设备,由于无线设备的内存和计算能力有限而不能安装大部分的病毒扫描和检测入侵的程序,目前还没有有效抵制手机病毒的防护软件。
1.4 移动交易尚欠安全。
手机支付的最重要的问题就是安全问题,用户在进行交易时,银行需要对交易密码进行加密处理。此外,重要的数据也需要进行加密处理。原则上,所有文件的存在形式不能以明文形式存在,要设置系统安全访问日志,将应用系统发生的错误要系数记录到错误日志中去,为了保障信号的顺利,减少信号被截获的现象,通信运营商要注重加强信号传播中的安全问题研究。作为新兴业务,移动支付存在风险很正常,最为关键的是如何处理正常业务与安全的关系,以及移动支付安全系数的设定。如果仅仅强调支付交易的 100%安全,则不但很难做到,势必对移动支付的推广有一定飞影响。因此,如果顾到移动支付安全问题,又兼顾移动支付业务发展,是一项需要深入研究的问题.
2 移动支付安全防范的技术措施。
客户在交易过程中,银行会采用多种方式有效保障客户资金安全:一是手机银行的信息传输及处理都采用高强度的加密传输方式,实现移动通信公司与银行之间的数据安全传输和处理,防止数据被窃取或破坏;二是手机银行对客户对外转账的金额有严格限制;三是将客户指定手机号码与银行账户绑定,并设置专用支付密码。为了防范移动电子支付的潜在风险,就必须建立起完善的技术安全机制:
2.1 WAP 应用使用安全。
手机的 WAP 业务只能通过联通的统一门户对外提供,所有的门户上面的业务都必须是运营商的正式服务商开发的,并且是经过审核的,这在一定程度上保证了用户访问的 WAP 应用是由正规服务商提供的,避免了类似目前互联网上假冒网银的现象。开发商开发的 WAP 应用程序首先要提交给联通指定的测试公司进行测试。WAP 支持 HTTPS 协议,实现了真正的端到端的安全。通信过程如图 1 所示:
2.2 手机与商户之间的安全通信。
用户通过手机到商户的网站上浏览商品信息,查找需要的商品,向商户网站提交商品购买请求供商户网站生成订单。这一过程中传输的数据没有密码等关商户网站提交商品购买请求供商户网站生成订单。这一过程中传输的数据没有密码等关键数据信息,所以可以采用明文传输。安全措施方面,由于这一过程没有需要保密的敏感信息,所以采用 HTTP 协议进行传输。
2.3 商户与平台之间的安全通信。
用户在商户网站上提交了商品购买请求后,商户网站向支付平台传送用户的订单信息;支付平台在商户的订单处理完毕或者支付失败后,向商户网站传递订单支付状态信息。这两个过程都要保证所传递的信息的准确和完整,要防止被篡改。安全措施方面。提供的两种安全措施,商户可以自由选择。商户网站和支付平台都配置有由 CA 中心签发的私钥证书,双方使用 HTTPS 协议进行数据通信,保证了通信双方的身份认证和信息的安全。商户在注册成为手机支付的商户的时候,由支付平台分配一个秘钥给商户,在商户与支付平台通信的时候使用秘钥进行加密处理,同时结合摘要技术,保证了数据传输的准确和完整。
2.4 手机与支付平台之间的安全通信。
用户登录到支付平台,处理余额查询、转账、支付等业务。在这过程当中需要用户输入用户的卡号和密码等关键信息,要保证这些信息不被窃听和篡改。安全措施方面,支付平台配置有 CFCA 签发的服务器证书,手机端程序包中包含 CFCA 的根证书。在手机和支付平台之间采用 HTTPS 协议,手机端通过证书对服务端进行身份认证,在传输过程中使用 HTTPS 协议进行加密传输,保证了数据不会被窃听和篡改.
2.5 手机与银行系统之间的安全通信。
手机与银行公共支付平台之间并不建立直接的数据连接,但是在手机和银行联系统之间要保证用户密码是端到端安全的,中间的支付平台不能得到用户的密码明文信息。
2.5.1 基于 SMS 支付方式的安全措施。
银联系统生成一对RSAl024秘钥,其中公钥随客户端程序分发到手机上。用户在手机上输入密码后,先用公钥对密码进行加密处理,然后把加密后的密文随同其他信息一起通过HTTPS协议传送给支付平台。支付平台再通过银行公共支付平台的接口把支付请求数据发给公共支付平台,其中密码仍然是密文的形式。由于支付平台没有对应的RSA私钥,所以不能通过密文得到用户的密码,保证了密码在手机和银联公共支付平台之间是端到端安全的。
2.5.2 基于 WAP 支付方式的安全措施。
由于 WAP 与后台之间的通信采用 B/S 方式,不能够在客户端对用户密码先进行加密处理,再通过 HTTPS 传输。为了保证用户密码的安全,在银行系统内部署一台代理加密服务器,用来代理客户端进行用户密码的加密工作。由代理加密服务器使用RSA 公钥对密码进行加密处理,然后把密码的密文以及其他信息通过重定向命令发给手机,通知手机把密码密文和其他信息重新定向到支付平台。这样,支付平台只能收到密码的密文信息,保证了密码在手机和银联公共支付平台之间是端到端安全的。
2.6 平台与银联公共支付平台之间的安全通信。
支付平台按照公共支付平台的接口规范传输支付的报文,其中有卡号、密码、密文等关键信息:安全方式方面:首先在支付平台与银行公共支付平台之间采用专线进行连接,在物理层保证了数据不被窃听;其次,通过公共支付平台接口采用加密算法对数据进行加密传输,并且加密密尺能随时更换.
3 结语。
随着时代的不断发展,普及移动支付已经成为了社会发展的大势所趋,资金安全问题是其中的关键,移动支付系统要运用多种技术手段,采取全方位的安全防范策略,方能构建一个令用户放心使用的移动支付环境。
