基于Android平臺的安全支付系統(tǒng)的研究

摘 要：3G技術的普及和4G技術的興起和發(fā)展，帶動了移動電子商務的興起，使智能手機逐漸成為最便捷的支付交易終端。在智能手機系統(tǒng)中，Android平臺手機的全球市場份額在2013年第四季度就已經(jīng)達到78.1%并逐漸成為第一大手機操作系統(tǒng)。眾多的Android用戶在使用支付交易終端的同時，對移動支付的安全性越來越感覺不安，這使Android支付交易終端交易的安全性能受到了極大的挑戰(zhàn)。本文基于Android手機系統(tǒng)平臺，對移動支付進行安全性研究。

關鍵詞：Android；移動支付；數(shù)字簽名；機密

0 引言

由于移動網(wǎng)絡的發(fā)展，智能手機的廣泛使用和移動電子商務的興起，移動支付逐漸成為最主要的支付方式之一。移動支付是指包括手機、平板電腦、PAD等移動終端與通信網(wǎng)絡或無線wifi連接進行支付的一種方式，支付類型包括購物、銀行貨幣交易、移動業(yè)務支付等。由于移動支付帶來的便捷性，用戶可以隨時隨地利用無線網(wǎng)絡進行支付，目前該支付形式已逐步代替?zhèn)鹘y(tǒng)的電子支付。截至2013年底，我國電子商務市場的移動支付額已達9.64萬億元，眾多的智能手機用戶成為交易的主角。本文從Android系統(tǒng)框架出發(fā)，在應用程序框架上運用數(shù)字簽名技術，在交易支付端搭建安全服務平臺，使交易數(shù)據(jù)實現(xiàn)機密、完整、不可復制等基本安全要求，從而保障移動用戶在Android系統(tǒng)中進行移動支付的機密性。

1 移動支付的介紹

移動支付也稱為手機支付，就是指用戶使用其移動終端（通常是智能手機、平板電腦）進行網(wǎng)上商品貨款支付或者進行業(yè)務費用支付的一種服務方式。移動支付是由應用提供商以及金融機構將終端設備通過互聯(lián)網(wǎng)向用戶提供貨幣支付、繳費等商業(yè)交易和金融服務。簡單地說，移動支付就是將傳統(tǒng)的支付行為移動化，用手機代替錢包，在有無線網(wǎng)絡信號的覆蓋下，隨時隨地進行的一種手機錢包服務。

移動支付按用戶支付的額度大小可分為微支付和宏支付。微支付一般指交易額少于10美元，通常是指購買移動內(nèi)容業(yè)務，如游戲、視頻下載等。宏支付是指交易額較大的支付行為，例如在線購物或者近距離支付等。移動支付如果按支付賬戶的性質(zhì)分，可以分為銀行卡支付、第三方支付賬戶支付和通信代收費賬戶支付三種。按照支付的結算模式分，移動支付可分為及時支付和擔保支付。按賬戶的存放模式分，移動支付可分為在線支付和離線支付。

2 移動支付安全需求

Android平臺是一種基于Linux的開發(fā)源代碼的自由操作系統(tǒng)，一般通過無線應用協(xié)議技術接入無線網(wǎng)絡進行移動支付服務。在公共場合，無線網(wǎng)絡可能遭受黑客攻擊，導致智能手機感染手機病毒和木馬，所以在進行支付過程中，要確保無線交易安全。保證移動支付安全的需求有：

2.1確認交易雙方身份的真實性

保證交易安全可靠。作為一種新興的電子支付方式，移動支付帶給人們無比優(yōu)越的支付便捷，但據(jù)調(diào)查顯示，中國超過40%的用戶對移動支付的安全性缺乏信心，其中大部分原因在于懷疑交易雙方身份的可靠性，Android系統(tǒng)源代碼開放性的特點，給很多黑客提供了可乘之機。

2.2交易數(shù)據(jù)保密性

確保交易數(shù)據(jù)準確無誤且僅允許交易者訪問交易中的信息。一旦Android系統(tǒng)遭受病毒木馬的侵入，用戶交易信息就可能被篡改，造成用戶交易數(shù)據(jù)的不真實。

2.3交易完成

確保交易過程不可否認，保證交易數(shù)據(jù)安全到達對方。不可否認性：一般為了防止交易雙方對支付過程進行抵賴行為，要求實現(xiàn)不可否認，以證明消費者確實將交易額準確傳送給商家。

3 移動支付安全技術分析

Android系統(tǒng)中進行移動支付時存在的安全問題，一般可以通過CA認證系統(tǒng)、數(shù)字簽名、WPKI等相關技術來解決。

3.1CA認證體系

CA認證系統(tǒng)也稱為電子商務認證中心，是負責發(fā)放和管理數(shù)字證書的權威機構，作為電子商務交易中的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。CA中心為每個使用公開密鑰的用戶發(fā)放一個數(shù)字證書，其作用在于證明證書中列出的用戶合法擁有列出的公開密鑰，使得網(wǎng)絡攻擊者不能偽造和篡改證書內(nèi)容，保證證書用戶信息的唯一性和可靠性。

3.2數(shù)字簽名

數(shù)字簽名技術來源于我們現(xiàn)實的紙質(zhì)簽名，該技術使用公鑰加密技術對數(shù)字信息進行加密。一套數(shù)字簽名通常定義兩種互補的運算，一種用于簽名，另一種用于驗證。簡單地說，所謂數(shù)字簽名就是在傳送的數(shù)據(jù)信息或者一些數(shù)據(jù)單位上進行數(shù)據(jù)密碼加護，確保接受者在確認所接受數(shù)據(jù)信息或者數(shù)據(jù)單位時其數(shù)據(jù)的完整性和正確性。數(shù)字簽名包括普通數(shù)字簽名和特殊數(shù)字簽名，普通數(shù)字簽名算法有RSA、EIGamal、Schnorr數(shù)字簽名等，特殊數(shù)字簽名包括盲簽名、代理簽名、群簽名、門限簽名等。

3.3WPKI技術

即無線公開密鑰體系，它是將互聯(lián)網(wǎng)電子商務中PKI （Public Key Infrastrcture）安全機制引入到無線網(wǎng)絡環(huán)境中的一套遵循既定標準的密鑰及證書管理平臺體系，是國際公認的互聯(lián)網(wǎng)電子商務安全認證機制，其作用是管理移動網(wǎng)絡環(huán)境中使用的公開密鑰和數(shù)字證書并且有效建立安全和值得信賴的無線網(wǎng)絡環(huán)境。

4 結語

移動網(wǎng)絡技術的不斷發(fā)展，給移動支付系統(tǒng)帶來了快捷便利的同時，也給移動支付平臺帶來了更高的要求，如何在移動支付平臺（Android系統(tǒng)）上架構一套安全可靠的支付系統(tǒng)，已經(jīng)成為移動支付平臺技術者們最大的難題。我們在研究移動支付安全技術的同時，應兼顧用戶操作的感受，不斷完善交易流程，加強交易信用管理，加大安全平臺的建設，為移動支付創(chuàng)造更好的網(wǎng)絡環(huán)境。 [今]

參考文獻：

[1]任昌濤.移動支付安全技術分析[J].信息與電腦， 2012（6）.

[2]單美靜.移動支付之安全問題研究[J].電信科學， 2010（11）.

作者單位：浙江工業(yè)職業(yè)技術學院。

（編輯：寧偉碩）