新型移動支付安全策略及技術(shù)研究

李士雷

摘 要 我國在2011年制定了移動支付的標(biāo)準(zhǔn)，之后移動支付就迎來了高速的發(fā)展。現(xiàn)在移動支付已經(jīng)走進(jìn)了我們的生活，使我們的生活更加方便。但是移動網(wǎng)絡(luò)傳輸數(shù)據(jù)方式的缺陷，使得對通信數(shù)據(jù)的截取成為可能，并且當(dāng)有大量用戶同時使用移動支付時，系統(tǒng)終端的處理能力也有很大的局限性。由于以上缺陷的存在，移動支付的安全性引起了人們的注意。文章簡要介紹了移動支付產(chǎn)生的背景，移動支付實(shí)現(xiàn)的方式以及安全策略。

關(guān)鍵詞 移動支付；身份認(rèn)證

中圖分類號：TN929 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-7597（2014）05-0001-01

1 移動支付產(chǎn)生背景

隨著目前計算機(jī)網(wǎng)絡(luò)技術(shù)、移動通信技術(shù)、信息技術(shù)的迅速發(fā)展，移動電子商務(wù)緊跟其后蜂擁而至。移動電子商務(wù)是移動通信和電子商務(wù)相結(jié)合的一種新的商務(wù)活動。現(xiàn)在世界各國都越來越關(guān)注關(guān)于移動支付的應(yīng)用，因此新型移動支付的安全等也就備受重視。

2 手機(jī)銀行的發(fā)展

手機(jī)銀行（Mobile Bank）是緊隨著移動通信技術(shù)發(fā)展起來的，通過手機(jī)移動網(wǎng)絡(luò)連接到銀行服務(wù)終端辦理相關(guān)銀行業(yè)務(wù)的新型商務(wù)方式。目前手機(jī)都能夠直接完成各種銀行的金融業(yè)務(wù)，這些手機(jī)都是通過移動網(wǎng)絡(luò)進(jìn)行操作。手機(jī)銀行實(shí)際上是網(wǎng)上銀行的業(yè)務(wù)擴(kuò)展，是移動支付的典型方式，隨著移動通信高速發(fā)展，傳輸?shù)膶?shí)時性為商務(wù)交易提供了極大便利，客戶只要通過手機(jī)的移動網(wǎng)絡(luò)在可以在任何時間任何地點(diǎn)完成商業(yè)交易。

以手機(jī)銀行為代表的電子支付技術(shù)，隨著移動通信技術(shù)的發(fā)展，經(jīng)歷了從GSM語音服務(wù)到3G服務(wù)的階段。由于早期技術(shù)的限制，最開始使用的是短信銀行，到后來的STK銀行，現(xiàn)在的方式主要是基于WAP方式、基于K-Java方式、支付寶和微信支付等，手機(jī)逐漸成為了個人的金融服務(wù)終端。

3 移動支付實(shí)現(xiàn)方式

移動支付的實(shí)現(xiàn)方式主要可以分為兩種方式，一種是遠(yuǎn)程控制，另一種是近距離的無線技術(shù)。下面分別介紹這兩種方式。

3.1 遠(yuǎn)程控制

通過遠(yuǎn)程控制來完成支付，是一種在線支付。在線支付的方式有很多，主要有短消息業(yè)務(wù)、無線應(yīng)用協(xié)議、互動式語音應(yīng)答以及非結(jié)構(gòu)化補(bǔ)充數(shù)據(jù)業(yè)務(wù)等。

3.2 近距離無線技術(shù)

1）雙界面SIM卡技術(shù)。這種技術(shù)的優(yōu)勢是不需要改造手機(jī)，主要增加一個天線組件，就能夠?qū)崿F(xiàn)近距離的無線技術(shù)。雙界面SIM卡技術(shù)，是將天線及射頻芯片集成在SIM卡中。當(dāng)然也是有缺點(diǎn)的，比如SIM中的天線占用了OTA接口，會對正常的電話語音通信信號造成影響。

2）RF-SIM卡技術(shù)。RF-SIM是射頻用戶識別模塊的縮寫，RF-SIM帶有SIM卡模塊，可以實(shí)現(xiàn)普通的電話短信通信。另外由于其具有RFID模塊，還可以進(jìn)行近距離的無線通信，但是由于技術(shù)水平限制，通信距離只在5 m以內(nèi)。優(yōu)點(diǎn)是用戶只需更換SIM卡，缺點(diǎn)是銀行使用的NFC標(biāo)準(zhǔn)與RF-SIM卡技術(shù)的通信頻率不一致。

3）NFC技術(shù)。NFC即近距離無線通信的縮寫，與RFID一樣，NFC也是通過射頻信號來傳遞信息。NFC終端有主動模式、被動模式和雙向模式三種工作模式。

4 移動支付安全策略及技術(shù)

4.1 哈希函數(shù)

哈希函數(shù)將任意長度的輸入字符串轉(zhuǎn)化成為固定長度的字符串，也稱為雜湊函數(shù)或散列函數(shù)。若哈希函數(shù)表示為H，要進(jìn)行變換的數(shù)字串表示為M，則雜湊值為H=H（M）。哈希函數(shù)之所以能夠?qū)⒉煌妮斎胱優(yōu)橄嗤妮敵?，是因?yàn)楣：瘮?shù)是一個多對一的函數(shù)。哈希函數(shù)的一個重要功能就是能實(shí)現(xiàn)消息的完整性。

4.2 身份認(rèn)證技術(shù)

身份認(rèn)證能夠確保消息是真是可靠的來源，因此在移動支付安全策略中，系統(tǒng)通過驗(yàn)證技術(shù)，對當(dāng)前用戶的身份進(jìn)行驗(yàn)證十分必要。身份驗(yàn)證系統(tǒng)一般有3個流程：①被驗(yàn)證者出示身份證件；②系統(tǒng)判定被驗(yàn)證者的合法性；③如果是非法者，驗(yàn)證失敗，拒絕訪問。

4.3 公共基礎(chǔ)設(shè)施

公鑰基礎(chǔ)設(shè)施（PKI PublicKey Infrastructure）是一種使用公鑰加密理論和相關(guān)技術(shù)為用戶提供信息安全服務(wù)的基礎(chǔ)設(shè)施。由定義可知，PKI的主要目的就是管理通信過程中使用的證書和密鑰，保證通信網(wǎng)絡(luò)處在一個安全的通信環(huán)境下。所以PKI從技術(shù)上解決交易者身份驗(yàn)證和訪問權(quán)限等問題，為交易過程提供了安全的交易環(huán)境。

PKI技術(shù)通過CA認(rèn)證中心（第三方認(rèn)證機(jī)構(gòu)），將用戶的公鑰和其他的標(biāo)識信息捆綁在一起。因而能夠?qū)W(wǎng)絡(luò)通信提供安全。PKI一般由以下幾方面組成：CA（Certificate Authority）、RA（Registration Authority）、CRL（Certificate Revocation Lists）以及證書存取庫。中端實(shí)體可以是支付端的使用者，也可以是通過身份驗(yàn)證的實(shí)體；認(rèn)證中心的主要工作是生成和發(fā)放數(shù)字證書，并對所生成和發(fā)放的證書進(jìn)行管理；注冊機(jī)構(gòu)負(fù)責(zé)信息錄用，審核以及證書發(fā)放、管理；證書存儲庫是必備元素，用來提供數(shù)字證書的一些使用方法，一般是證書存取和吊銷列表的方法；證書撤銷列表發(fā)布點(diǎn)不是必須的，認(rèn)證中心一般通通過它來發(fā)布證書吊銷列表。

4.4 數(shù)字簽名

數(shù)字簽名是在發(fā)送的消息上同時附加一些特定的驗(yàn)證數(shù)據(jù)或者對發(fā)送的信息進(jìn)行密碼變換。消息的接受者通過這些數(shù)據(jù)來確定收到信息的完整性和安全性。仲裁機(jī)構(gòu)會在發(fā)生糾紛時根據(jù)消息上的簽名確認(rèn)出消息的真實(shí)性。數(shù)字簽名可以防止交易上方的抵賴，同時能夠保證交易的完整性，保證交易的信息不會被篡改。

4.5 密碼技術(shù)

密碼學(xué)主要研究信息加密、解密以及如何進(jìn)行密碼破譯。一個密碼系統(tǒng)主要可以分成以下五個部分：明文空間M、密文空間C、密鑰空間K、加密算法E以及解密算法D。密碼學(xué)主要可以分成對稱密碼和非對稱密碼這兩種類型。對于對稱密碼，密鑰必須是保密的，如果只有密文的話，并不能確定密鑰。對于非對稱密碼，加密和解密使用的算法是一樣的，但是使用的密鑰是不一樣的；私鑰是保密的，只有密文的話，并不能夠破解密文，知道算法以及密鑰和密文中的其中一個，也不能確定另一個密鑰。

5 總結(jié)

我國在2011年制定了移動支付的標(biāo)準(zhǔn)，之后移動支付就迎來了高速的發(fā)展。現(xiàn)在的支付寶、微信等都方便了人們的生活。但是移動網(wǎng)絡(luò)傳輸數(shù)據(jù)方式的缺陷，使得對通信數(shù)據(jù)的截取成為可能，并且當(dāng)有大量用戶同時使用移動支付時，系統(tǒng)終端的處理能力也有很大的局限性。由于以上缺陷的存在，移動支付的安全性不得不引起人們的注意。本文簡要介紹了移動支付產(chǎn)生的背景，介紹了移動支付實(shí)現(xiàn)的方式以及安全策略。

參考文獻(xiàn)

[1]張麗娜.智能卡中RSA密鑰生成的比較與研究[J].計算機(jī)應(yīng)用與軟件，2006，26（B06）.

[2]RFID世界網(wǎng).手機(jī)支付方興未艾普及尚需攻擊[EB].http：//news.rfidworld.com.cn/2010_05/ce952362956cb4ec.html.

[3]羅守山，陳萍，鄒永忠，劉琳.密碼學(xué)與信息安全技術(shù)[M].北京：科北京郵電大學(xué)出版社，2009.endprint