移动终端支付安全问题研究

  • 格式:docx
  • 大小:12.94 KB
  • 文档页数:4

移动终端支付安全问题研究

作者:许纹赫

来源:《中国新通信》 2018年第5期

【摘要】 移动支付与人们的日常生活关系日益密切,移动支付安全问题也成为一个社会关注的热点问题。本文对移动支付发展历史,当前主流的移动支付方式以及移动支付中所使用安全技术进行了介绍。经研究发现,移动支付过程中的安全隐患主要存在于移动终端自身、网络传输以及服务器端网络,针对这些问题本文提出应用客户端U 盾,采用更高强度的加密算法,升级通信协议,减少敏感信息在第三方的流转来提升移动支付的安全性能。通过技术的不断优化和改进,移动支付将会成为现代消费生活中便捷可靠的支付方式。

【关键词】 移动支付 网络安全 智能终端 信息安全

当前越来越多的人持有和使用手机,手机和我们生活的关系变得日益密切。移动支付以其便捷,灵活的特点倍受青睐。微信支付、支付宝、银联钱包等支付app 的迅速发展成熟使得中国移动支付市场呈现爆炸式增长,2016 年用户规模达到4.7 亿人,意味着每3 个中国人中就有1 个人使用移动支付。

伴随移动支付的快速发展,移动支付中暴露出的安全隐患日益受到人们的关注,如何提升移动终端支付的安全性,确保用户利益成为了当下的一个重要课题。

一、移动终端支付发展现状

移动终端支付也称手机支付,是指通过移动终端对商品服务进行资金结算方式的统称。移动终端支付经过不到20年的发展就深入的融合到我们的日常生活中,与我们密不可分。

移动终端的典型支付方式包括二维码支付、NFC 支付、手机app 支付等。移动终端支付系统的安全有赖于移动终端系统和移动通信网络的安全技术保障。具体情况如下:

1.1 移动终端支付国内发展简史

在移动终端尚未十分普及的上世纪末,移动支付被引入我国,移动支付真正的蓬勃发展是伴随着像 “嘀嘀打车”这样的打车软件兴起的。打车的小额、高频场景与移动支付形成契合,成为移动支付最先普及的领域。随后微信向用户提供移动支付服务,移动支付市场凭借社交网络平台迅速升温,交易额呈爆炸式增长,如今,移动支付已成为许多人生活中不可或缺的一部分。

1.2 移动终端具有多样便捷的支付方式

首先,目前在我国最为常见、应用最为广泛的支付方式是二维码支付。由于二维码支付便捷快速,且二维码容错能力强,译码可靠性高且制作成本低,二维码支付受到市场热捧。此外,移动支付应用支付、NFC 支付、声波支付等支付方式也是常见的移动支付方式。

1.3 移动终端支付的安全技术

移动支付中的安全技术主要分为移动终端系统的安全技术和移动通信网络的安全技术两种,两者相辅相成,构成了较为完善的现代移动支付安全保障机制,在很大程度上保证了用户和服务商的隐私和财产安全。

首先是移动终端系统的安全技术。移动终端支付的安全首先有赖于移动终端系统自身的安全,目前市场上大约84.7% 的手机使用的操作系统为Android 系统。Android 有多种安全保障机制。在移动支付的实现过程中,签名机制和权限机制在保证其安全的方面起了较为重要的作用。

其次是移动通信网络的安全技术。移动支付实现的过程中,用户与服务商之间需交换大量的敏感信息,为防止这些信息在传输过程中被不法分子窃取或修改,主要是通过加密传输来实现的,目前应用最广的移动支付通讯协议是TLS 协议。该协议是为网络通信提供安全及数据完整性的一种安全协议,目前已成为全球化标准。

二、移动终端支付中存在的安全问题

在移动支付业务量剧增的今天,安全无疑是移动支付顺利推广应用的首要前提。移动支付过程中的安全问题按其存在的位置可分为以下几个方面。

2.1 终端自身安全问题

移动终端本身体积小、利用无线电信号传递信息等特点意味着其 较传统个人电脑更易被从物理层面入侵。操作系统层面,Android 系统的开源性使其具有较强的定制化功能,能够被多种移动终端所搭载。但伴随着Android 系统强大的兼容性,也存在着一系列的安全问题,例如应用供应市场混乱、开放源代码带有安全隐患等。

由于Android 平台应用大多是用Java 编写的,由于Java的语言特性, 其存在代码被反编译的隐患。一旦这些问题和漏洞为不法分子所利用,用户就可能遭受个人隐私泄露和个人财产受损的双重损失。

2.2 网络传输的安全问题

无线网络本身具有开放性,较传统的有线网路来讲基于无线网络的电子商务对于严谨有效的身份验证具有更高要求。现行的移动支付通讯协议大多是由传统网络平台的通信协议移植而来,并未针对无线网络本身的特点进行优化,这使得现行移动支付通讯协议在身份认证、密钥传输、信息加密等方面存在安全隐患,可能被不法分子所利用,进而实施攻击。

2.3 服务网络安全问题

目前的移动支付过程是由第三方支付系统以中介形式实现支付过程的。以支付宝和淘宝为例,用户在淘宝下单付款后是通过支付宝进行第三方支付的。这样的操作流程在很大程度上保证了成分较为复杂的商户无权参与支付过程,进而确保用户的资金安全。

但较复杂的操作流程也意味着交易的敏感信息会在多方流转和储存。随着监听技术的发展,服务器通信线路间将可能存在窃取敏感信息的恶意成员。

三、防范智能移动终端安全隐患措施

移动支付市场的火热使得不少不法分子企图通过非法手段从移动支付交易过程中谋取利益,用户对于移动支付过程中的安全技术的强度要求也越来越高。

并且随着分布式计算和量子计算理论的发展,暴力破解密钥所需的时间逐渐缩短,现有的加密算法的安全性也受到质疑和挑战。

因此,发展和完善移动支付过程中的安全技术是亟待解决的问题,本节针对上文所述的安全问题分以下几个方面提出防范措施。

3.1 有关移动终端自身安全问题的防范措施

随着半导体技术的发展,移动设备的处理器性能不断提高,移动操作系统之前因考虑到系统的流畅性而被牺牲的部分安全措施可以逐步加以应用,如Android 系统完全可以采用每次应用运行前都查验应用签名的形式取代之前仅比对时间戳的形式来完善电子签名机制,以此验证应用可信度。并且随着电信网络的IP 化,传统电子商务行业中有效的安全保障措施同样值得借鉴,如工商银行2003 年推出的客户证USBkey(即U 盾),同样可以以手机U 盘的形式提供给对于移动支付安全级别要求较高的用户使用,这种从物理层面将用户个人数字证书与网络隔离的安全保障机制在应用于传统电子商务时被证明时安全可靠的,移动支付同样可以借此来提高自身安全性。

3.2 有关网络传输安全问题的防范措施

随着移动支付市场的资金流量逐年攀升,根据无线网络本身的特性,对有关传输协议和传输方式进行改进和优化的需求也越发迫切,如针对无线网路依托于第三方(基站、无线路由器)进行网络连接的特点提出对信息传输中介的认证方案。

鉴于目前移动设备的处理性能已有很大提升,通信协议也应随着硬件的升级进行更新,以提升自身的安全性。如现行TLS 通信协议的安全协议栈中因运算效率较高而被加入密码套件的诸如RC4 等强度较弱的加密算法应从安全协议栈中删除,牺牲一定的处理器资源以换取更强的安全性。

3.3 有关服务网路安全问题的防范措施

在移动支付市场迅速增长的背景下,越来越多的新兴企业和传统金融服务公司希望参与。但移动支付服务市场在日益趋于多元化的同时也应当对支付标准进行统一,以避免因支付标准不同而产生管理漏洞。

随着电商起步标准的逐渐降低,电子签名机制的设置目的应不只是针对中间人攻击、欺诈攻击等存在于信息传输过程中的威胁,同时应将服务商本身是否存在恶意纳入到考虑范畴内,电子签名证书发放时也应考虑对服务商的资格审查和权限分配,防止有恶意企业借提供移动支付服务为由进行诈骗活动或盗取用户信息。

四、结语

本文首先介绍了移动终端支付的发展历史、主要支付方式及目前的主流移动终端支付安全技术,然后介绍并分析了移动终端支付中存在的安全问题,最后针对这些问题提出改进措施。

可以看出,随着用户移动支付习惯的逐渐养成,移动终端支付逐渐成为生活中最普遍的电子商务形式。与此同时,针对移动终端支付的违法犯罪也时有发生。目前的移动终端安全保障技术存在部分问题,给予不法分子以可乘之机。但随着移动通信技术和信息安全技术的发展,移动终端支付也在不断完善自身的安全机制,并且随着量子保密传输技术得不断发展,相信在不远的将来,移动终端支付会成为一种安全性与便捷性俱佳的支付方式,甚至取代传统的纸质货币,成为应用最为广泛的支付方式。

参 考 文 献

[1]We Are Social:2017 年全球数字报告

[2] 中商产业研究院:2016-2020 年移动支付行业发展分析与“十三五”战略规划研究报告

[3] 艾瑞:2017Q2 中国第三方支付季度数据报告

[4]Android Applications Security[J] . Pocatilu,Paul. Informatica Economica .

2011 (3)

[5]Understanding android security. Enck, William,Ongtang, MacHigar,McDaniel,

Patrick. IEEE Security and Privacy .2009 (10)

[6]Google android: A comprehensive security assessment. Shabtai, Asaf,Fledel,

Yuval,Kanonov, Uri,Elovici,Yuval,Dolev, Shlomi,Glezer, Chanan. IEEE Security and

Privacy . 2010

[7] 制约我国移动支付发展的风险因素与解决措施分析[J]. 韩飞飞. 华北金融. 2012(09)

[8] 如何保障移动支付的安全[J]. 夏志琼, 吴新民. 中国信用卡. 2012(08)

[9] 移动支付密钥体系研究[J]. 黄泽龙, 张文安, 谢云. 电信科学. 2011(06)

[10] 移动支付平台建设实践与探索[J]. 汪树东, 柯卫, 董亚楠. 电信科学. 2010(09)

[11]RFID 中间件安全解决方案研究与开发[D]. 张烨. 上海交通大学 2007

[12] 移动支付安全研究[J]. 宋馨. 科技经济导刊. 2017(02)

[13] 移动支付业务及安全技术研究[J]. 谈剑峰. 信息安全与通信保密. 2013(11)

[14] 移动支付安全性分析及技术保障研究[J]. 郝文江, 武捷. 信息网络安全. 2011(09)

[15]Study of Magnetic Field Coupling Technologies in Activating RFID-SIM Card