移动支付的实现方式、安全隐患及防范措施
添加时间:2014-05-20
移动支付,即用户使用移动终端对所消费的商品或服务进行账务支付。移动终端通过互联网或者近距离传感器向银行等金融机构发送支付指令,在业务后台完成结算,实现支付。移动支付将终端设备、互联网、应用提供商以及金融机构相结合,实现业务的跨界融合,为用户提供货币支付、缴费等业务。
随着移动互联网的快速发展和智能终端的日渐普及,移动支付作为一种全新的互联网业务获得蓬勃发展。相比传统支付方式,移动支付具有灵活、便利、交易时间短等特点。然而,移动支付在给人们带来便利的同时,安全问题频发。以“伪淘宝”病毒为例,该病毒通过伪装成淘宝客户端窃取用户支付账号及密码,造成大量用户财产损失。继2013年3月腾讯手机管家截获首个感染手机银行客户端的“洛克蠕虫”病毒后,“银行悍匪”、“键盘高手”等高危手机银行和支付类病毒数量大幅增长,《瑞星2013年中国信息安全报告》显示,2013年新增手机病毒样本80余万个,与2012年相比增长数十倍。((2013年第一季度中国移动互联网应用安全检测与分析报告》的结果显示,随机抽取的173 586个应用样本中恶意应用数量高达2 221个,恶意应用比例环比增长36.8%,恶意应用总下载量达到2 000万次。安全问题已对移动支付发展构成严峻挑战。
1、移动支付应用现状与发展
1.1 移动支付应用现状
2013年移动支付应用数量迅速增长,应用场景不断丰富。电子商务与移动支付的融合简化了购物过程,快捷支付的推广使支付更加便捷,用户可以随时随地通过网络购买所需的商品;打车软件在移动支付的助推下迅速推广,方便用户即时叫车、预约叫车;网络借贷、众筹融资等新兴金融模式的兴起也得益于移动支付技术,并由此产生了移动理财、移动财富管理等业务。
我国央行发布的《2013年第三季度支付体系运行总体情况》显示,第三季度全国共发生电子支付业务66.63亿笔,金额282.99万亿元,其中,移动支付业务4.98亿笔,金额2.90万亿元,同比分别增长300.97%和490.20%.从发展增速来看,移动支付正处于高速发展期,未来在电子支付业务中的地位将不容小觑。
1.2 移动支付实现
根据支付的实现方案,移动支付可以分为现场支付和远程支付。现场支付是指交易者面对面进行支付操作,包括现金交易、电子支付等。与之相对的远程支付是指利用向远端发送支付指令(如网银、ATM转账)或借助支付工具(如邮寄、汇款)进行的支付方式。现场支付中利用近距离无线通信技术实现的支付是目前移动支付应用热点。近距离无线通信技术包括射频识别(radio frequency identification , RFID )、蓝牙、红外或非接触智能卡(如SIMpass)等,利用这种技术实现的支付也称为近场支付。
目前,移动支付主要有以下5种实现方式。
(1)移动钱包
消费者在商店购物时通过带有近场通信(nearfield communication, NFC)等技术的终端进行支付,如谷歌钱包、V isa .
(2)移动收银机
商家使用移动设备为消费者提供收银服务,每一台移动设备都可以变身为POS机,如匆uare ,VeriFone.
(3)移动支付平台
消费者通过移动设备向对方付费的支付方式,这种支付方式可能是面对面支付,也可能远程支付,可以通过短信完成,也可以通过NFC完成,如支付宝、PayPal .
(4)电信运营商代收费
通信代收费账户是电信运营商为其用户提供的一种小额支付账户,用户在互联网上购买电子书、歌曲、视频、软件、游戏等虚拟产品时,通过手机发送短信等方式进行后台认证,并将账单记录在用户的通信费账单中,月底进行合单收取,如PaymentOne.
(5)商户自建支付平台
商户通过自己开发支付软件等方式实现支付过程,如京东商城、星巴克。
1.3 近距离非接触式支付
在近场支付中发展较为快速的是利用NFC、低功耗蓝牙(bluetooth low energy, BLE )、红外等技术实现的近距离非接触式支付,也称有卡非接支付,其中,基于NFC和BLE的非接触式支付在市场上保有量最高。
NFC是一种短距离的高频无线通信技术,允许电子设备之间进行非接触式点对点数据传输(在10 cm内)。这个技术由RFID技术演变而来,并兼容RFID ,主要用于手机等手持设备间的近距离通信。由于NFC技术安全性较高,在移动支付领域具有较好的应用前景。目前,基于NFC技术的支付应用主要有3种模式。
(1)卡模拟模式
具有NFC功能的移动设备将模拟成一张非接触智能卡,用以实现电子支付(超市、餐饮等小额现场支付)、公交付费、电子门禁等。对用户而言,卡模拟模式提供了传统智能卡所不具备的本机查询和远程充值功能;对商家而言,NFC技术的应用为移动支付开辟了新型服务模式。卡模拟模式是目前人们最关注的、基于NFC技术的支付应用,也是目前研究的热点。
(2)点对点模式
2个具备NFC功能的移动设备连接后实现数据的点对点传输,典型的应用包括电子名片交换、日程表同步和设备配对等。
(3)读卡器模式
具有NFC功能的移动设备可以作为非接触读卡器使用,识别高频电子标签和读取存储在标签中的信息。
相比NFC,BLE具有更远的传输距离,最远可达50 m,主要用于现场支付和点对点转账。与NFC不同的是,这项技术不需要在支付时将设备贴近收银终端,基于BLE技术的支付设备几乎可以全自动的模式进行操作,如当消费者拿着商品走出商店的时候,支付会自动完成。目前,已经有2亿多台i0S设备支持BLE技术,大量Android设备也支持这种技术。
在全球范围内,各个国家都在积极推广移动支付技术,各国国情不同,其实现方式也有所差别。日本和韩国的移动支付以小额支付为主,发展速度较快,这2个国家电信运营商占据移动支付主导地位,应用的场景包括POS机支付、公交付费、自动售货机、便利店购物、使用手机卡充当会员卡和停车卡等;美国的移动支付则以互联网公司为主导。如谷歌钱包业务。
在我国,电信运营商不仅是移动支付的重要参与者,银行等金融机构也是移动支付产业链的重要组成部分,行业间紧密合作,共同推动移动支付标准和政策的确立。在这样的产业环境下,中国人民银行发布了《中国金融移动支付系列技术标准》,国家标准化管理委员会发布了《信息技术基于射频的移动支付(第1-5部分)》等多项国家标准。随着统一的移动支付标准发布和实施,市场上移动支付产品方案也趋于收敛,国内移动支付产业将以国家标准为导向,开展相应的产品研发,移动支付步入健康发展阶段。
2、移动支付安全挑战
移动支付安全是影响移动支付推广应用的关键因素,其中最重要的2个环节是移动终端安全和网络环境安全。移动终端安全包括数据输人安全、数据存储安全、数据运行安全以及安全单元(secure element,SE)安全。网络环境安全包括信息系统技术安全、运营管理安全和通信安全。
目前在移动支付领域中出现的安全威胁主要有以下5种。
(1)中间人攻击
通过拦截网络通信数据,进行用户账户、密码信J息的窃取和篡改。
(2)拒绝服务攻击
通过扫描服务器获取网络防护的漏洞,以阻塞网络通道等方式对目标服务器发动攻击,使网络服务中止,造成业务无法使用。
(3)网络钓鱼
攻击者将自己伪装成银行或其他知名机构,利用欺骗性的电子邮件等方式诱导收信人提供敏感信息,如信用卡号、账户和密码等。
(4)软件二次打包
将病毒等恶意代码以二次打包的方式通过知名手机银行、第三方支付以及电子商务等软件进行传播,窃取用户的隐私数据。
(5)恶意软件
在用户不知情的情况下,以某种服务应用程序为载体,安装到用户终端后,开展恶意扣费、隐私窃取等恶意行为。
这些安全威胁引发了移动支付中的伪冒交易、恶意转账、恶意取现和盗取账号等安全事件,使移动支付的发展面临巨大挑战。
3、移动支付安全解决措施
为应对移动支付发展面临的安全挑战,可采取以下5种技术解决措施。
(1)客户端与服务器双向认证
采用HTTPS协议双向认证,防止服务器重定向。
(2)客户端与服务器传输加密
对报文计算MAC值,防止数据篡改;对数据进行数字签名,保证传输过程安全性。
(3)客户端输人数据安全
采用动态密码软键盘,对敏感数据即时擦除。
(4)客户端完整性
通过代码混淆防止反编译,防止二次打包,将密钥数据进行隐藏。
(5)客户端与SE交互安全性
通过设定同步访问规则,手机操作系统可对访问SE的客户端进行合法性认证,防止恶意程序访问SE,保证SE数据安全性。
移动支付中的安全问题涉及方方面面,仅靠技术手段还不够,需要配套采取合理的监管措施来共同解决安全问题,可采取以下策略。
①加强移动支付服务商和移动应用发行商的安全测试和监管,防止恶意应用流入市场,并对应用软件的发布渠道实施安全监管,防止用户下载到带有恶意行为的程序,逐步建立安全、可信服务环境。
②提高移动智能终端安全防护能力,对智能终端的芯片、操作系统和预置应用软件等提出安全防护要求,为移动支付应用提供安全、可靠的运行环境。
③各部委紧密配合,研究制定保障移动支付安全的法规政策,逐步建立健全移动支付标准体系,促进移动支付健康发展。
4、结束语
移动支付在快速发展的同时,也面临严峻的安全挑战。为保障移动支付安全应用与健康发展,需采取相应安全应对措施。本文分析了目前移动支付面临的主要安全挑战,并提出了应对措施,供开展移动支付安全相关工作参考。随着科学技术的发展,移动支付安全解决方案将会不断丰富,安全的移动支付环境将逐步建立。