移动支付安全性分析及技术保障研究(2)

发布时间:2012-04-10 15:45 作者:佚名来源:千家网点击:加载中...次

　　3.2 移动支付安全特性

　　我们在考虑了移动支付面临的安全问题后，认为移动支付系统需要具备下列特性：

　　1)交易双方身份的认证：移动支付功能应可以确认交易双方的身份。

　　2)资料信息的私密性：交易必须保持其不可侵犯性，经由网络送出以及接受的信息应是不能被任何闯入者读取、修改或拦截的。黑客入侵电脑系统前往往利用网络窥视、并事先收集使用者在登入系统时输入的账号、密码及使用者姓名等重要信息，再冒名侵入系统。

　　3)资料信息的一致性、完整性：移动支付交易必须保证交易不被破坏或干扰，电子交易的内容在用户端和服务器间的传递过程需要确认没有被改变，也就是信息在交易的处理过程中不能被任意加入、删除或修改。

　　4)不可否认性：移动支付必须是防止发送方或接收方抵赖所传输的消息的一种安全服务。也就是说，当接收方接收到一条消息后，能够提供足够的证据向第三方证明这条消息的确来自某个发送方，而使得发送方不能抵赖发送过这条消息。同理，当发送一条消息时，发送方也有足够的证据证明某个接收方的确已经收到这条消息。

　　4 移动支付安全技术分析

　　我们通过对移动支付安全问题的分析，认为可以通过无线公钥基础设施(WPK I)、WAP 安全、身份认证等方式来确保移动支付的安全性。

　　4.1 无线公钥基础设施(WPKI)

　　WPKI (Wireless PKI) 是有线PKI 的一种扩展，它将互联网电子商务中PKI 的安全机制引入到移动支付交易过程中。WPKI通过采用公钥基础设施以及证书管理策略，有效地建立了安全有效的无线网络通信环境。WPKI 以WAP 的安全机制为基础，通过管理实体间关系、密钥和证书等来增强移动支付的安全性。WPKI 作为安全基础设施平台，一切基于身份验证的应用都需要WPKI 技术的支持，它可与WTLS、TCP/IP 相结合，实现身份认证、私钥签名等功能。WPKI 的主要组件包括：终端用户实体应用程序(EE)、PKI 门户(PKI Portal)、认证中心(CA)、目录服务(PKI Directory)、WAP 网关以及服务器等设备，WPKI 的基本工作原理如图2 所示：

　　WPKI 基本工作原理为[10] ：

　　1)用户向RA 提交证书申请;

　　2)R A 对用户的申请进行审查，审查合格后将申请交给CA ;CA 为用户生成一对密钥并制作证书，将证书交给RA ;

　　3)CA 同时将证书发布到证书目录中，供有线网络用户查询;

　　4)R A 保存用户的证书，针对每一份证书产生一个证书URL，将该URL 发送给移动终端用户;

　　5)同时有线网络服务器下载证书列表备用;

　　6)移动终端向WAP 网关发送文档、签名及证书URL 建立安全WTLS/TLS 连接;

　　7)WAP 网关与有线网络服务器建立TLS/SSL 连接;

　　8)移动终端和有线网络服务器实现安全信息传送。

　　4.2 WAP协议安全方式

　　我们可以通过WAP 协议方式来解决移动支付交易协议的安全问题，WAP 的安全性主要由WTLS/ TLS、以及WMLScript SignText 来实现。

　　1)WTLS/ TLS。无线安全传输层WTLS(WirelessTransport Layer Security)是根据工业标准TLS Protocol 制定的安全协定，是设计使用在传输层之上的安全层。WTLS 的功能类似全球资讯网站所用的SSL 加密传输技术，可以确保资料在传输的过程中经过编码、加密处理，以避免黑客在资料传输过程中窃取保密性资料。WTLS 被设计在两个通信应用之间提供私密性、资料一致性和身份认证服务。WTL S 支持不同的安全等级，每一个等级都牵涉到不同的握手(Hand-shake)需求，较高等级的安全性可能需要较复杂的握手程序及较大的频宽。WTLS 支持不同的加密机制，并依据密钥的长度划分不同的安全等级[11]。

　　2)WMLScript SignText。使用者可以通过输入一些文字决定接受或拒绝开发者写入的应用。WAP 浏览器提供一个WMLScript 功能，Crypto.signText 用来要求使用者输入一些字串。当呼叫SignText 方法时，显示使用者输入的字串，要求使用者确认。例如，当使用者接受时，必须输入PIN 码。资料签署后，签章和资料会传回服务器，服务器在取得数位签章后验证使用者身份。

　　4.3 身份认证方式

　　在移动支付中，最关键的问题是使用者的身份认证，我们提出以下五种方式可以提供不同安全程度的认证：

　　1)移动电话号码采用实名制管理;

　　2)移动支付加入固定的密码;

　　3)移动支付过程中采用共用一副密钥，并开展对称式加密进行数据交换;

　　4)移动支付中可采用动态密码管理的方式，密码采用唯一性管理;

　　5)移动支付中可运用移动PKI 做身份认证，如WIM。

　　在实际操作中，将根据不同的因素和安全需求决定不同的身份认证方式。小额移动支付认证可以采用移动电话号码和固定密码认证，大额移动支付认证可以采用固定的密码和动态密码来提高安全性。并且，以WIM 为基础的移动PKI 认证方式可以同时满足以上两项要求，进而可以完成更多的移动支付功能。

　　5 结束语

　　随着手机的普遍使用，用户通过手机来完成移动支付更加普及。人们不但可以通过移动支付在互联网上进行购物、处理日常消费、处理银行相关业务，还可以利用手机钱包在POS 机上进行近距离刷卡消费，大大方便了人们的生活。但是，移动支付的安全问题不容忽视。我国在研究移动支付安全技术方面，可以采用统一标准规范，完善交易流程、加密与电子认证、在线支付、信用管理、供应链管理、系统集成等关键技术，逐步制订移动电子商务业务和技术规范，加快制定和完善行业相关业务规范和标准，并加大安全芯片、SIM 卡、智能读卡设备等研发力度，共同来推进移动支付的产业化应用。

(责任编辑：)