李士雷
摘 要 我國在2011年制定了移動支付的標(biāo)準(zhǔn),之后移動支付就迎來了高速的發(fā)展。現(xiàn)在移動支付已經(jīng)走進(jìn)了我們的生活,使我們的生活更加方便。但是移動網(wǎng)絡(luò)傳輸數(shù)據(jù)方式的缺陷,使得對通信數(shù)據(jù)的截取成為可能,并且當(dāng)有大量用戶同時使用移動支付時,系統(tǒng)終端的處理能力也有很大的局限性。由于以上缺陷的存在,移動支付的安全性引起了人們的注意。文章簡要介紹了移動支付產(chǎn)生的背景,移動支付實(shí)現(xiàn)的方式以及安全策略。
關(guān)鍵詞 移動支付;身份認(rèn)證
中圖分類號:TN929 文獻(xiàn)標(biāo)識碼:A 文章編號:1671-7597(2014)05-0001-01
1 移動支付產(chǎn)生背景
隨著目前計算機(jī)網(wǎng)絡(luò)技術(shù)、移動通信技術(shù)、信息技術(shù)的迅速發(fā)展,移動電子商務(wù)緊跟其后蜂擁而至。移動電子商務(wù)是移動通信和電子商務(wù)相結(jié)合的一種新的商務(wù)活動。現(xiàn)在世界各國都越來越關(guān)注關(guān)于移動支付的應(yīng)用,因此新型移動支付的安全等也就備受重視。
2 手機(jī)銀行的發(fā)展
手機(jī)銀行(Mobile Bank)是緊隨著移動通信技術(shù)發(fā)展起來的,通過手機(jī)移動網(wǎng)絡(luò)連接到銀行服務(wù)終端辦理相關(guān)銀行業(yè)務(wù)的新型商務(wù)方式。目前手機(jī)都能夠直接完成各種銀行的金融業(yè)務(wù),這些手機(jī)都是通過移動網(wǎng)絡(luò)進(jìn)行操作。手機(jī)銀行實(shí)際上是網(wǎng)上銀行的業(yè)務(wù)擴(kuò)展,是移動支付的典型方式,隨著移動通信高速發(fā)展,傳輸?shù)膶?shí)時性為商務(wù)交易提供了極大便利,客戶只要通過手機(jī)的移動網(wǎng)絡(luò)在可以在任何時間任何地點(diǎn)完成商業(yè)交易。
以手機(jī)銀行為代表的電子支付技術(shù),隨著移動通信技術(shù)的發(fā)展,經(jīng)歷了從GSM語音服務(wù)到3G服務(wù)的階段。由于早期技術(shù)的限制,最開始使用的是短信銀行,到后來的STK銀行,現(xiàn)在的方式主要是基于WAP方式、基于K-Java方式、支付寶和微信支付等,手機(jī)逐漸成為了個人的金融服務(wù)終端。
3 移動支付實(shí)現(xiàn)方式
移動支付的實(shí)現(xiàn)方式主要可以分為兩種方式,一種是遠(yuǎn)程控制,另一種是近距離的無線技術(shù)。下面分別介紹這兩種方式。
3.1 遠(yuǎn)程控制
通過遠(yuǎn)程控制來完成支付,是一種在線支付。在線支付的方式有很多,主要有短消息業(yè)務(wù)、無線應(yīng)用協(xié)議、互動式語音應(yīng)答以及非結(jié)構(gòu)化補(bǔ)充數(shù)據(jù)業(yè)務(wù)等。
3.2 近距離無線技術(shù)
1)雙界面SIM卡技術(shù)。這種技術(shù)的優(yōu)勢是不需要改造手機(jī),主要增加一個天線組件,就能夠?qū)崿F(xiàn)近距離的無線技術(shù)。雙界面SIM卡技術(shù),是將天線及射頻芯片集成在SIM卡中。當(dāng)然也是有缺點(diǎn)的,比如SIM中的天線占用了OTA接口,會對正常的電話語音通信信號造成影響。
2)RF-SIM卡技術(shù)。RF-SIM是射頻用戶識別模塊的縮寫,RF-SIM帶有SIM卡模塊,可以實(shí)現(xiàn)普通的電話短信通信。另外由于其具有RFID模塊,還可以進(jìn)行近距離的無線通信,但是由于技術(shù)水平限制,通信距離只在5 m以內(nèi)。優(yōu)點(diǎn)是用戶只需更換SIM卡,缺點(diǎn)是銀行使用的NFC標(biāo)準(zhǔn)與RF-SIM卡技術(shù)的通信頻率不一致。
3)NFC技術(shù)。NFC即近距離無線通信的縮寫,與RFID一樣,NFC也是通過射頻信號來傳遞信息。NFC終端有主動模式、被動模式和雙向模式三種工作模式。
4 移動支付安全策略及技術(shù)
4.1 哈希函數(shù)
哈希函數(shù)將任意長度的輸入字符串轉(zhuǎn)化成為固定長度的字符串,也稱為雜湊函數(shù)或散列函數(shù)。若哈希函數(shù)表示為H,要進(jìn)行變換的數(shù)字串表示為M,則雜湊值為H=H(M)。哈希函數(shù)之所以能夠?qū)⒉煌妮斎胱優(yōu)橄嗤妮敵?,是因?yàn)楣:瘮?shù)是一個多對一的函數(shù)。哈希函數(shù)的一個重要功能就是能實(shí)現(xiàn)消息的完整性。
4.2 身份認(rèn)證技術(shù)
身份認(rèn)證能夠確保消息是真是可靠的來源,因此在移動支付安全策略中,系統(tǒng)通過驗(yàn)證技術(shù),對當(dāng)前用戶的身份進(jìn)行驗(yàn)證十分必要。身份驗(yàn)證系統(tǒng)一般有3個流程:①被驗(yàn)證者出示身份證件;②系統(tǒng)判定被驗(yàn)證者的合法性;③如果是非法者,驗(yàn)證失敗,拒絕訪問。
4.3 公共基礎(chǔ)設(shè)施
公鑰基礎(chǔ)設(shè)施(PKI PublicKey Infrastructure)是一種使用公鑰加密理論和相關(guān)技術(shù)為用戶提供信息安全服務(wù)的基礎(chǔ)設(shè)施。由定義可知,PKI的主要目的就是管理通信過程中使用的證書和密鑰,保證通信網(wǎng)絡(luò)處在一個安全的通信環(huán)境下。所以PKI從技術(shù)上解決交易者身份驗(yàn)證和訪問權(quán)限等問題,為交易過程提供了安全的交易環(huán)境。
PKI技術(shù)通過CA認(rèn)證中心(第三方認(rèn)證機(jī)構(gòu)),將用戶的公鑰和其他的標(biāo)識信息捆綁在一起。因而能夠?qū)W(wǎng)絡(luò)通信提供安全。PKI一般由以下幾方面組成:CA(Certificate Authority)、RA(Registration Authority)、CRL(Certificate Revocation Lists)以及證書存取庫。中端實(shí)體可以是支付端的使用者,也可以是通過身份驗(yàn)證的實(shí)體;認(rèn)證中心的主要工作是生成和發(fā)放數(shù)字證書,并對所生成和發(fā)放的證書進(jìn)行管理;注冊機(jī)構(gòu)負(fù)責(zé)信息錄用,審核以及證書發(fā)放、管理;證書存儲庫是必備元素,用來提供數(shù)字證書的一些使用方法,一般是證書存取和吊銷列表的方法;證書撤銷列表發(fā)布點(diǎn)不是必須的,認(rèn)證中心一般通通過它來發(fā)布證書吊銷列表。
4.4 數(shù)字簽名
數(shù)字簽名是在發(fā)送的消息上同時附加一些特定的驗(yàn)證數(shù)據(jù)或者對發(fā)送的信息進(jìn)行密碼變換。消息的接受者通過這些數(shù)據(jù)來確定收到信息的完整性和安全性。仲裁機(jī)構(gòu)會在發(fā)生糾紛時根據(jù)消息上的簽名確認(rèn)出消息的真實(shí)性。數(shù)字簽名可以防止交易上方的抵賴,同時能夠保證交易的完整性,保證交易的信息不會被篡改。
4.5 密碼技術(shù)
密碼學(xué)主要研究信息加密、解密以及如何進(jìn)行密碼破譯。一個密碼系統(tǒng)主要可以分成以下五個部分:明文空間M、密文空間C、密鑰空間K、加密算法E以及解密算法D。密碼學(xué)主要可以分成對稱密碼和非對稱密碼這兩種類型。對于對稱密碼,密鑰必須是保密的,如果只有密文的話,并不能確定密鑰。對于非對稱密碼,加密和解密使用的算法是一樣的,但是使用的密鑰是不一樣的;私鑰是保密的,只有密文的話,并不能夠破解密文,知道算法以及密鑰和密文中的其中一個,也不能確定另一個密鑰。
5 總結(jié)
我國在2011年制定了移動支付的標(biāo)準(zhǔn),之后移動支付就迎來了高速的發(fā)展。現(xiàn)在的支付寶、微信等都方便了人們的生活。但是移動網(wǎng)絡(luò)傳輸數(shù)據(jù)方式的缺陷,使得對通信數(shù)據(jù)的截取成為可能,并且當(dāng)有大量用戶同時使用移動支付時,系統(tǒng)終端的處理能力也有很大的局限性。由于以上缺陷的存在,移動支付的安全性不得不引起人們的注意。本文簡要介紹了移動支付產(chǎn)生的背景,介紹了移動支付實(shí)現(xiàn)的方式以及安全策略。
參考文獻(xiàn)
[1]張麗娜.智能卡中RSA密鑰生成的比較與研究[J].計算機(jī)應(yīng)用與軟件,2006,26(B06).
[2]RFID世界網(wǎng).手機(jī)支付方興未艾普及尚需攻擊[EB].http://news.rfidworld.com.cn/2010_05/ce952362956cb4ec.html.
[3]羅守山,陳萍,鄒永忠,劉琳.密碼學(xué)與信息安全技術(shù)[M].北京:科北京郵電大學(xué)出版社,2009.endprint