移動支付交易中存在的安全風(fēng)險及對策研究

王長杰，王衛(wèi)華

(河南警察學(xué)院，河南鄭州450000)

移動支付交易中存在的安全風(fēng)險及對策研究

王長杰，王衛(wèi)華

(河南警察學(xué)院，河南鄭州450000)

移動支付被廣泛地應(yīng)用在許多領(lǐng)域的交易行為中。首先介紹了移動支付的基本知識，根據(jù)移動支付過程中出現(xiàn)的安全問題從惡意程序和病毒等4個方面詳細(xì)分析了移動支付業(yè)務(wù)中存在的一些安全因素，有針對性地提出了解決方案，保證移動支付的安全，為移動支付更好地安全發(fā)展提供一定的參考借鑒。

移動支付;惡意程序和病毒;WIFI;身份認(rèn)證;WPKI

隨著移動互聯(lián)技術(shù)快速發(fā)展和智能手機的普及，人們越來越多地利用電子智能終端設(shè)備通過網(wǎng)絡(luò)進(jìn)行購物和消費，并且通過新興的移動支付手段進(jìn)行付費和轉(zhuǎn)賬，高效快捷地完成商務(wù)活動。2014年移動支付的用戶數(shù)量已經(jīng)達(dá)到3.1億，移動支付比例已經(jīng)占到了46.7%。但是，伴隨的是移動支付的安全問題屢有發(fā)生，成為制約移動支付向更高層次發(fā)展的瓶頸。2014年中央電視臺的《每周質(zhì)量報告》對近年來通過移動支付導(dǎo)致銀行卡被盜刷的事件進(jìn)行了新聞報道，讓人們對移動支付的安全性問題有了更深的認(rèn)識，對移動支付安全管理的需求也越來越迫切。因此，如何保證移動支付的安全成為亟待解決的主要問題。

一 移動支付的基本知識

移動支付就是用戶使用移動終端(手機、平板電腦等)對所消費的商品或服務(wù)進(jìn)行賬務(wù)支付的一種交易支付方式。單位或個人通過移動設(shè)備、互聯(lián)網(wǎng)或者近距離傳感直接或間接向銀行金融機構(gòu)發(fā)送支付命令，產(chǎn)生貨幣支付與資金轉(zhuǎn)移行為，從而實現(xiàn)移動支付功能。移動支付系統(tǒng)主要有消費者、商家、銀行、移動支付第三方平臺、認(rèn)證中心等組成。

二 移動支付存在的安全風(fēng)險

目前，通過移動支付的方式有很多，并且移動支付提供商也設(shè)置了多道安全門檻，比如密碼、短信驗證碼等等都是有效的安全屏障，但是隨著不法分子盜取用戶信息的手段多樣性和技術(shù)的先進(jìn)性，移動支付的安全保證還是存在一定的風(fēng)險和漏洞，主要表現(xiàn)在以下幾個方面。

1.惡意程序和病毒。

據(jù)360互聯(lián)網(wǎng)安全中心統(tǒng)計，在2014年的第二季度中Android移動平臺上截獲惡意程序病毒數(shù)量超過84萬個，其中新增加的惡意程序數(shù)量大約62.5萬個，2014年上半年中移動互聯(lián)網(wǎng)用戶被惡意程序病毒感染的人數(shù)達(dá)到7976萬人，其中第二季度被感染的用戶數(shù)量是4185萬人次，較2013年第二季度同比增長了94.8%，每天被惡意程序病毒感染的數(shù)量大約達(dá)到了46萬人。目前移動支付類的惡意程序病毒爆發(fā)猖獗，比如“偽淘寶”病毒、“銀行竊賊”病毒等。

2.系統(tǒng)安全漏洞。

由于安卓操作系統(tǒng)具有的開放性和應(yīng)用軟件來源的多樣性的特點，智能手機系統(tǒng)或多或少地存在一些安全漏洞，導(dǎo)致移動支付安全形式越發(fā)嚴(yán)重。根據(jù)某手機安全公司的統(tǒng)計，每個用戶的安卓手機中都存在數(shù)量不等的安全漏洞，而這些系統(tǒng)安全漏洞很有可能成為黑客或有其他目的人員侵入用戶手機的突破口，獲取用戶的相關(guān)信息，對用戶手機隱私和移動支付安全造成了極大的危害。

3.用戶的手機安全防范意識薄弱。

許多用戶平常沒有養(yǎng)成安全使用手機的習(xí)慣，沒有意識到手機安全問題可能導(dǎo)致后果的嚴(yán)重性。手機沒有安裝安全軟件，或者是安裝了安全軟件卻沒有打開全部的安全監(jiān)控，不經(jīng)常使用安全軟件的漏洞修復(fù)功能，沒有定期查殺手機病毒。在公共場合進(jìn)行移動支付輸入賬號、密碼時，沒有防范其他人的偷窺，隨意單擊來路不明的鏈接和瀏覽一些非法網(wǎng)站等，這無疑給一些犯罪分子和病毒的入侵留下了可乘之機。有些手機和銀行卡、信用卡等資金賬戶綁定，丟失后用戶沒有及時的進(jìn)行掛失和更改賬戶信息，犯罪分子極有可能根據(jù)掌握的手機號碼、登錄號碼等相關(guān)信息冒充用戶進(jìn)行資金的轉(zhuǎn)移。

4.無線網(wǎng)絡(luò)的不安全性。

許多用戶都是使用了不安全的無線網(wǎng)絡(luò)使賬號信息泄露最終導(dǎo)致資金被盜用。攻擊者通過一臺無線路由器設(shè)置一個公共的釣魚WIFI。當(dāng)用戶的手機連接到釣魚WIFI時，攻擊者可以將劫持的用戶上網(wǎng)數(shù)據(jù)流量發(fā)送到指定的一臺電腦上。用戶瀏覽的任何一個網(wǎng)絡(luò)信息都有可能包含被黑客暗地里植入的惡意攻擊程序或病毒。他們通過手機中的各種安全漏洞，持續(xù)不斷地往手機中自動植入新的木馬程序。當(dāng)用戶在手機上進(jìn)行移動支付交易時，賬號和密碼這些重要的賬戶認(rèn)證信息會被惡意程序自動轉(zhuǎn)發(fā)到攻擊者的電腦屏幕上。

三 保證移動支付安全的防范措施

移動支付應(yīng)用的安全性得不到充分的保證，移動支付發(fā)展的前景不容樂觀?，F(xiàn)如今有些移動支付安全防范措施還不能很好地防范攻擊，因此，必須通過建立有效的安全措施保證移動支付的安全，減少用戶的交易風(fēng)險和損失，促進(jìn)移動支付的大繁榮和大發(fā)展。

1.加強用戶的安全防范意識。

手機用戶只有平時提高了安全自我保護(hù)意識，才能更有效地保護(hù)個人的隱私和財產(chǎn)安全。在實際的手機應(yīng)用中，用戶不要隨意打開一些陌生人發(fā)的各種鏈接，不要輕易掃描一些有安全隱患的二維碼。必須掃描二維碼時可以先開手機安全軟件中的二維碼惡意網(wǎng)址攔截功能再掃描。定期對手機進(jìn)行安全體檢和病毒的查殺，并且要打開安全軟件的全部安全監(jiān)控，更重要的是要從正規(guī)的軟件商店下載并使用經(jīng)過安全認(rèn)證的各種手機軟件。在軟件的安裝過程中，對軟件所涉及的操作權(quán)限一定要認(rèn)真審核，如果軟件的操作權(quán)限過大或可能盜取用戶隱私的，一定要及時刪除。

用戶盡量不要使用一些不明來歷的免費WIFI。通過設(shè)置關(guān)閉手機WIFI自動連接功能，避免手機自動掃描并連接免費的WIFI釣魚網(wǎng)絡(luò)。此外，為了防止手機丟失或惡意程序?qū)χЦ顿~戶密碼造成的威脅，可用兩部手機來完成移動支付。一部用來登錄支付寶等第三方支付平臺，而另一部手機專門用來接受支付平臺發(fā)送的驗證碼，還可以將用戶的手機號碼、IMEI號碼、銀行賬號三者進(jìn)行綁定，只有在經(jīng)過綁定的手機上才能進(jìn)行移動交易。

2.使用手機安全保護(hù)軟件。

在手機中安裝安全軟件是最便捷、最受歡迎的防護(hù)措施。用戶可以安裝360手機安全衛(wèi)士等第三方手機安全軟件。這些安全軟件集成了手機病毒查殺、漏洞掃描、隱私安全保護(hù)等功能，對用戶的手機安全起到了重要的保護(hù)作用。有些手機生產(chǎn)廠家為了保護(hù)用戶的安全也進(jìn)行了一些防范漏洞的措施，但是安卓系統(tǒng)本身的碎片化嚴(yán)重，還需要通過第三方安全軟件保證手機免遭由于漏洞導(dǎo)致的攻擊。利用360手機衛(wèi)士的系統(tǒng)漏洞修復(fù)和惡意插件掃描功能定期掃描系統(tǒng)，可以有效地打上系統(tǒng)漏洞補丁、對一些包含惡意插件的軟件進(jìn)行強制卸載，防止因漏洞導(dǎo)致的財產(chǎn)損失。開啟安全軟件的安全支付和隱私保護(hù)功能，讓用戶不再擔(dān)心惡意程序病毒盜取賬號密碼、竊取隱私等惡意行為。為了保證手機安全軟件能夠最高效的工作，跟上病毒、惡意程序、漏洞的發(fā)展速度，要及時的更新手機安全軟件的版本和病毒庫。

3.身份認(rèn)證。

傳統(tǒng)廣泛應(yīng)用的身份認(rèn)證主要是基于對用戶靜態(tài)密碼信息的確認(rèn)，安全性低，很容易被非法破解和監(jiān)聽。特別是一些靜態(tài)口令采用明文傳輸?shù)姆绞?，因此不能用在安全性要求高的移動支付中。近年來，基于動態(tài)口令的用戶身份認(rèn)證具有靈活好用、成本低、安全性較高的特點，被廣泛的應(yīng)用到網(wǎng)絡(luò)中的支付交易系統(tǒng)中。動態(tài)口令技術(shù)就是根據(jù)一定的算法，每隔一定的時間自動隨機生成一個密碼，并且能夠保證每次生成的密碼都不相同。當(dāng)用戶進(jìn)行支付的時候，需要正確輸入登錄密碼和一次性的動態(tài)口令密碼才能進(jìn)行支付的確認(rèn)。采用的形式可以是一種內(nèi)置密碼生成芯片的專用硬件，也可以是一種類似銀行卡的動態(tài)口令卡或者口令牌。這樣就完全實現(xiàn)了和手機的完全物理隔離。即使犯罪分子知道了系統(tǒng)的登錄名和密碼，但是沒有動態(tài)口令也無法將用戶的資金轉(zhuǎn)出，在很大程度上提高了移動支付的安全性。也可以將動態(tài)口令認(rèn)證系統(tǒng)集成到手機中和應(yīng)用系統(tǒng)進(jìn)行關(guān)聯(lián)。通過專門的服務(wù)器進(jìn)行口令認(rèn)證，既可以保護(hù)現(xiàn)有的應(yīng)用軟件的完整性，又可以很方便的對服務(wù)器進(jìn)行升級和擴展。

4.利用WPKI(無線公鑰基礎(chǔ)設(shè)施)技術(shù)保證信息安全通信。

WPKI將有線網(wǎng)絡(luò)的PKI安全機制引入到移動商務(wù)支付中。通過公鑰基礎(chǔ)設(shè)施、證書管理策略、軟硬件技術(shù)建立安全有效的無線通信網(wǎng)絡(luò)，規(guī)避了大部分的移動支付安全風(fēng)險。WPKI的組成部分包括移動客戶端、RA(注冊中心)、CA(認(rèn)證中心)、目錄服務(wù)器、網(wǎng)關(guān)和應(yīng)用服務(wù)器等。WPKI的工作流程如圖所示。

(1)用戶向RA(注冊中心)申請證書。

(2)RA(注冊中心)審核用戶的申請，通過后將其信息傳遞給CA(認(rèn)證中心)，CA進(jìn)行制作數(shù)字證書和生成密鑰，然后將結(jié)果返還給RA(注冊中心)，同時將數(shù)字證書傳遞到目錄服務(wù)器中，以便用戶查詢。

(3)RA(注冊中心)根據(jù)返回的數(shù)字證書生成一個URL地址，并發(fā)送給移動客戶端用戶。

(4)網(wǎng)絡(luò)應(yīng)用服務(wù)器對數(shù)字證書列表下載備用。

(5)移動客戶端用戶向網(wǎng)關(guān)發(fā)送登錄信息和數(shù)字證書URL地址，通過WTLS建立安全傳輸通道。

(6)網(wǎng)關(guān)也通過WTLS和應(yīng)用服務(wù)器建立安全傳輸通道。

(7)移動客戶端和應(yīng)用服務(wù)器實現(xiàn)信息安全傳輸。

5.驗證客戶端代碼的完整性。

如果不能保證移動支付客戶端代碼的完整性，即使沒有用戶信息的泄露，也可能會有客戶端軟件被惡意軟件植入等危險情況的發(fā)生，間接的帶來安全問題。因此，為了保證移動客戶端軟件不被惡意軟件或病毒侵害，可以通過增加代碼完整性驗證機制確?？蛻舳说陌踩?。首先是用特定的密鑰對客戶端進(jìn)行簽名，并且在啟動客戶端的代碼中加入檢驗簽名的邏輯代碼。當(dāng)客戶端每次啟動使用時，都會首先進(jìn)行客戶端的代碼完整性的驗證，通過驗證后才執(zhí)行客戶端運行程序。否則，提醒用戶客戶端存在安全風(fēng)險，需要重新從官方網(wǎng)站下載或?qū)ζ溥M(jìn)行更新。為了保住代碼完整性驗證公鑰等重要的數(shù)據(jù)信息不被破壞和竊取，在代碼編譯中可以通過混淆機制進(jìn)行有效保護(hù)。在重視移動支付客戶端軟件安全研發(fā)的同時，也要加強對客戶端軟件的發(fā)布和下載渠道的管理力度，引導(dǎo)和教育用戶從正規(guī)、安全的官方網(wǎng)站下載客戶端，從源頭上確保用戶使用客戶端的安全。

圖WPKI的工作流程

四 結(jié)束語

移動支付的總體環(huán)境安全狀況十分嚴(yán)峻，時刻都存在防御與攻擊的博弈。因此，只有制定統(tǒng)一的移動支付安全保障標(biāo)準(zhǔn)和法規(guī)政策，加大移動支付的安全技術(shù)研發(fā)和資金投入，建立移動支付的安全保障措施，構(gòu)建一套完整的多種技術(shù)手段相結(jié)合、全方位的安全移動支付安全環(huán)境，才能更有效地保護(hù)好用戶的資金安全，促進(jìn)移動支付更好的發(fā)展。

［1］朱麗娜.移動電商中手機支付安全策略［J］.電子支付，2013(09):49－50.

［2］李大偉.移動支付技術(shù)安全問題探析［J］.甘肅科技，2014(01):22－23.

On Safety Risk and Countermeasures Existing in the Mobile Payment Transaction

Wang Changjie，Wang Weihua
(Henan Police College，Zhengzhou，He’nan 450000，China)

Mobile payment is widely used in many fields of transactions.This paper first introduces the basic knowledge of mobile payment and the security problems.From the aspect of malware and viruses，the paper analyzed some factors affected the mobile payment service.The paper put forward a solutions to ensure the safety of mobile payment and a reference for the development of mobile payment safely.

mobile payment;malware and virus;WIFI;identity authentication;WPKI

TP391

A

1672－6758(2015)10－0052－3

(責(zé)任編輯:蔡雪嵐)

王長杰，碩士，講師，河南警察學(xué)院。研究方向:計算機網(wǎng)絡(luò)安全及應(yīng)用。

2014年河南警察學(xué)院院級課題，編號:HNJY－2014－QN－01。

Class No.:TP391Document Mark:A