手机支付存在的安全威胁及其安全框架搭建

　　手机支付也称移动支付，是一种允许用户使用其移动终端对所消费的商品或服务支付的服务方式. 从 2003 年开始，国内的移动通信运营商看到了手机支付市场的巨大潜力，牵头搭建了以移动运营商、银行和第三方支付服务运营商为主体的手机支付产业链. 但由于手机功能、移动网络带宽等的限制，致使在前些年移动支付业务发展比较缓慢。 而在今年年初，市场研究和咨询公司 Gartner 发布最新调查报告，中国手机用户总数在 2013 年首次超过 10 亿。 Gartner 分析师预测，2014 年，中国市场上将销售 4.435 亿部手机，而使用中的手机将超过 10.75 亿部。根据 360 发布的 2014 年第一期的中国手机支付的安全报告显示，截至 2013 年 12 月底，手机支付用户规模达到 1.25 亿，同比增长了 126.0%,占手机网民总量的 25.0%. 手机支付用户的增长速度远远高于网民总规模的增长速度和手机网民规模的增长速度，这标志着移动支付的时代已经到来。

　　由于智能手机系统的某些先天性不足， 移动支付安全一直受到手机安全漏洞和各类手机木马的威胁。 此外，手机还是传统网上支付（PC 端）的重要验证途径和消费通知途径，也是各类诈骗短信攻击的目标。 与此同时，相对于有线网络的连接方式，无线网络没有特定的界限，窃听者无需进行搭线就可以轻易获得无线网络信号. 尽管目前所有的移动支付产品都非常重视支付的安全性， 但移动支付的安全性问题仍然存在很多隐患， 因此， 我们有必要对移动支付的安全性进行分析研究，并通过应用各种技术手段来提供相应的解决方案。

　　1 手机支付业务分类。

　　手机支付从支付场景来看可分为远场支付和现场支付。

　　1.1 远程支付。

　　远场支付的处理是在远程服务器中进行的，支付的信息需通过移动网络传送到远程服务器中才可完成支付过程。 用户可通过 SMS、WAP、USSD 等方式购买商品或服务。

　　其支付方式主要包括以下 3 种：

　　1）SMS（Short Message Service,短消息业务）。 终端用户通过发送短信息的方式请求服务内容，从用户的话费中扣除费用。 它通常只适合于小额支付，如：利用短信支付服务进行彩玲下载等。

　　2）WAP（Wireless Application Protocol,无线应用通讯）。 终端用户通过访问 WAP 站点，进行简单的金融业务，用户可通过手机上网进行远程操作。 如：在互联网上进行购物、缴话费、水费、电费、燃气费等。

　　3）USSD（Unstructured Supplementary ServiceData,非 结构话补充数据业务）。 是一种基于 GSM 网络的新型交互式数据业务，如证券交易、移动银行等。

　　1.2 现场支付。

　　现场支付是指客户在购买商品或服务时，实时通过手机终端来向商家进行支付，支付的处理是在现场进行的。

　　其支付方式主要包括以下 3 种：

　　1）短距离通讯 （Near Field Communication,NFC），又称近距离无线通信。 是一种短距离的高频无线通信技术。 NFC 技术提供了一种简单、触控式的解决方案，可以让消费者简单直观地交换信息、访问内容与服务。 诸如坐地铁、公交等可以直接刷手机通过 NFC 通信芯片绑定的账户直接支付。

　　2）双界面 SIM 技术。 双界面 SIM 卡技术即 SIMpass 卡技术，是一种多功能的 SIM 卡，支持接触与非接触两个工作接口，接触界面实现 SIM 功能，非接触界面实现支付功能。 其优势是不需要对手机进行任何改造， 只增加了一个天线组件。

　　缺点是天线占用了 SIM 卡中用于 OTA（Over the Air,空中下载）业务的接口，对运营商的网络造成一定压力。 另外，发卡后，卡片内部加载新的应用不是很方便，卡片不支持第三方开发的应用加载等。

　　3）RF-SIM 卡技术，RF-SIM 卡 （Radio Frequency SubscriberIdentity Module） 实 现移动通信的同时能够通过附于其上的RFID 模块、读卡器与天线进行近距离无线通信。 通信距离范围在 10-500 cm 内。 优点是用户更换原有 SIM 卡即可，无需更换手机。 缺点是 RF-SIM 技术采用 2.4 GHz 通信频率，与银行目前基于 13.56 MHz 的 NFC 标准相冲突。

　　2 手机支付存在的安全威胁。

　　手机支付的两种方式中，现场支付由于其现场通信的特性，使得交易中数据难以被盗取，安全性比远程支付较好一点，而相比现场支付，远程支付因涉及到数据的远程传输，因此对支付平台在数据传输、验证、加密等方面有更高要求。手机支付安全威胁可分为 3 方面。

　　2.1 手机终端面临的安全威胁。

　　2.1.1 一般性安全威胁。

　　手机支付终端面临的一般性安全威胁包括 4 个方面:

　　1）空中接口的安全威胁。

　　当用户数据经由通话、短信等方式传输时，用户私密信息面临被截获和窃取的风险。

　　2）外围接口的安全威胁。

　　手机支持的外围接口包括蓝牙、红外、USB、NFC 等。这些外围接口的存在为非法的数据访问和传输提供了渠道，还可能导致手机病毒的传播，直接威胁手机上的数据的安全。

　　3）信息存储的安全威胁。

　　手机及其附属的存储卡上存储着通讯录、短消息、日程安排、支付卡号等各种私密信息。

　　当手机或存储卡发生借用、维修、更换等情况时，存储信息的安全性就会受到威胁。 即便可以删除信息，但删除可能不够彻底。

　　4）系统漏洞和刷机的安全威胁。

　　和 PC 类似， 手机的操作系统也存在各种各样的潜在漏洞，可能涉及硬件、软件、协议等方面。 在漏洞被发现后、被修复前，存在着被攻击者恶意利用的可能。

　　刷机指通过更改或替换手机原版系统中固有的一些语言、软件版本或操作系统等使手机功能更完善，但是这些修改在很大程度上破坏了手机操作系统本来就不是十分可靠的安全体系，使得病毒程序和恶意代码有了可乘之机。

　　2.1.2 支付应用特定的安全威胁。

　　1）修改支付应用进行攻击。

　　随着反编译技术的发展，攻击者在获取原版支付应用的可执行程序后，通过反编译、分析二进制代码等技术手段对支付应用进行解析，然后对某些内容进行修改，加入窃取私密信息的恶意代码，重新生成一个可执行程序，用户看起来没有什么差异。

　　2）植入恶意程序进行攻击。

　　恶意程序被植入手机后，往往在后台运行，用户不会有感觉。 恶意程序通过读取支付应用的相关数据、捕捉输入键盘的输入内容等手段，窃取用户输入的敏感数据，如银行卡号、PIN 码等。

　　2.2 无线网络的安全威胁。

　　由于自身的限制，无线通信网络在给用户带来通信自由和灵活性的同时也带来了诸多不安全因素。 无线通信网络无法像有线网络那样依靠信道的安全加以保护。 攻击者正是利用此点假冒某合法用户的身份， 或通过对传输媒介的监听，非法获取传输信息，打到破坏的目的。

　　此外，手机支付涉及到很多无线网络标准，其中使用较广 泛的 是 实 现手 机 无 线访 问 因 特网 的 WAP 标 准和 构 建WLAN（无线局域网）的 802.11 标 准 . WAP 中 WTLS（无 线传输层安全） 协议仅仅加密有 WAP 设备到 WAP 网关的数据，数据通过 SSL 传送至网关上有短暂的时间处于明文状态；802.11 标准使用的 WEP（无线等效协议 ）安全机制存在密钥容易泄露且难以管理等缺陷；这些缺陷容易造成数据被拦截和窃取，给手机支付的应用带来了很大的安全隐患。

　　2.3 支付平台运营管理漏洞造成的安全威胁手机支付平台中各核心服务器、网管服务器、安全服务器、业务前置机器以及相关管理工作站，都可能由于系统软件故障、系统安全漏洞、拒绝服务、操作失误、非授权访问、病毒蠕虫等原因导致系统破坏。

　　3 手机支付的安全框架。

　　针对上述提出的安全威胁，提出一种解决手机支付安全问题的安全框架，以降低手机支付业务的风险，减少其危害和损失。 该框架针对手机支付面临的安全威胁，从手机终端，通信网络和支付平台 3 个层面实施不同的安全管理策略，并在不同层面应用多种安全技术全面保障手机支付的安全，常用的安全技术包括密码技术、访问控制、安全协议、安全审计以及入侵检测和防病毒技术。 框架结构如图 1 所示。

　　3.1 安全技术。

　　3.1.1 密码技术。

　　数据加密技术是指将一个信息---称为明文，经过加密钥匙及加密函数转换，变成无意义的密文，而接收方则将此密文经过解密函数、解密钥匙还原成明文。 根据密钥使用方式的不同， 密码体制可分为对称密码体制和非对称密码体制。 针对手机终端具有硬件成本低、网络健壮性、数量众多、适用性广泛的特点,现 有的密码算法对于手机终端仍然负担较大。 非对称算法在手机设备的支付应用中有重要的作用，其实现需要更多的计算资源。 为满足手机终端的安全需求，无论是软件实现，还是硬件实现，都需要进一步设计出低能耗的，轻量级的密码算法，比如 PRESENT 算法3.1.2 访问控制。

　　为了保证授权用户对资源的正常访问，非授权用户禁止访问，需要系统各个模块进行访问控制。 访问控制技术的一个重要部分就是身份认证技术。 使用的身份认证机制包括静态口令认证、动态口令认证、智能认证、短信密码认证、共享密钥认证和基于 PK（IPublic Key Infrastructure , 公钥基础设施）的认证等。 在移动支付应用中可以通过 WPKI 来实现身份认证。

　　WPKI是基于无线应用协议 WAP 下的安全机制，它借用 PKI 的理论，发展成为无线网下的公钥基础设施。WPKI 与PKI 有着最为主要的共同点 ---执 行移动电子商务策略都是依赖于管理密钥和证书。 WPKI 是为无线应用环境提供安全服务， WPKI 以 WAP 的安全机制为基础，通过管理实体间关系、密钥和证书等来增强移动支付的安全。WPKI 作为安全基础设施平台，一切基于身份验证的应用都需要 WPKI 技术的支持，它可与 WTLS、TCP/IP 相结合，实现身份认证、私钥签名等功能。

　　3.1.3 安全协议。

　　为了使得通信达到通信数据加密、通信数据完整性和不可否认性的目标，在通信协议的基础上实现应用安全通信机制，常用的安全协议有 SSL/TLS、 GSM03.48 等。 也可以在标准的通信协议基础上使用安全工具，比如对于文件传输和远程登录等通信接口， 要求采用标准的应用层安全通信协议，其中文件传输，建议采用 SFTP 协议，远程登录建议采用 SSH协议。

　　3.1.4 安全审计。

　　安全审计是针对各类安全相关的事件进行记录、分析及跟踪的过程。 主要事件包括系统管理员、应用管理员的关键操作、各类应用异常事件、各业务流程中的关键操作等。

　　3.1.5 入侵检测和防病毒。

　　对手机网络进行监控和扫描， 尤其是当网络环境发生变化时， 入侵检测工具会自动感知到网络的变化并自动进行检测， 检测内容包括当前 WiFi 网络是否未设置密码、DNS 是否被篡改及是否存在 WiFi 钓鱼等情况。 安装病毒查杀工具，扫描以判断当前手机是否存木马和其他病毒， 并引导用户在支付之前完成处理操作，以避免由木马病毒所造成的财产损失。

　　3.2 安全管理策略。

　　3.2.1 手机终端安全管理策略。

　　对于手机终端的各种不同接入方式将提供相应的安全手段，除基本的密码方式外，对于短消息方式，不用 STK 时，采用封闭网络保证安全， 使用 STK 时， 在应用层对短消息进行加密；对于 WAP2.0,通过端到端的 TLS 保证安全；对于 BREW方式由应用层与移动终端动态口令系统共同保证安全。

　　3.2.2 通信传输安全管理策略。

　　通信安全是通过安全协议实现的。 为保证应用之间通过网络进行通信过程中的数据安全、数据完整性，根据业务场景的不同以及业务需求的不同，采用合适的安全协议。 对于手机支付系统与第三方系统或移动其它系统间的通信，优先采用业内标准安全协议进行通信或与第三方协商定制专用安全协议。

　　3.2.3 支付平台安全管理策略。

　　手机用户在第三方机构建立手机号码与银行账号的对应关系；支付平台不保留用户账号关键信息，在交易过程中只将手机号码、交易金额等内容发送到第三方机构，并不涉及用户账号及密码，以避免支付安全问题。

　　4 结束语。

　　文中根据手机支付的业务分类、 手机支付面临安全威胁，对手机支付安全的解决方案进行了探讨，提出了一种保障手机支付安全的框架体系。 随着智能手机爆发性的增长以及 4G 网络的逐步普及， 移动支付必将成为支付体系的发展方向，而手机支付的安全问题也将会越来越突出。 因此对于手机支付的安全性问题的研究就显得尤为重要，只有解决了安全性问题，移动支付才能取得长远的发展。