移动手机支付以便捷的优势被越来越多的人所应用,2014 年1 月 7 日,新浪与支付宝宣布全面打通微博与支付宝,推出微信支出,据 2013 年第三季度的数据显示,我国第三方互联网支付金额达到了 14205. 8 亿元,同比增长 26. 7% 其中支付宝的市场占有额为 48.8%.而 Android 智能手机的出货量为 2. 116 亿部,由此可见手机支付在我国移动互联网支付市场中的统治地位。但是随着手机支付用户范围的不断扩大,因为手机系统、互联网安全系统等问题而暴露出的手机支付安全问题成为影响互联网手机支付发展的中主要因素,因此本文在阐述手机支付的基础上,对移动互联网手机支付所面临的安全问题进行详细的论述,进而提出提高移动互联网手机支付安全的措施。
一、手机支付的概述
手机支付就是用户利用移动终端设备对消费商品进行财务支出的一种服务方式,手机支付实现的基础是: 必然要借助移动通信技术、利用手机终端功能、比如短信、语音以及 WAP 等功能,与第三方进行手机关联,以此进行相应的转账、充值以及消费等业务。
根据手机支付的业务种类我们可以将手机支付分为: 1、现场支付。现场支付就是消费者在进行消费时,通过手机移动终端向商家进行财务转账的一种方式,支付的处理方式属于现场进行。现场支付主要包括短距离通讯、双界面 SIM 技术以及 RF-SIM 技术。2、远程技术。远程支付主要是通过远程服务器实现的,其需要在互联网环境下,通过移动终端设备向远程服务器进行支付指令后,服务器向商家进行的支付。远程支付主要包括: 短信息业务。短信息业务主要是针对小额交易,用户利用移动终端设备向服务器发送信息,进而在用户的手机话费中扣除相应的费用; WAP技术,用户通过访问 WAP,进行简单的金融业务,比如用户利用手机上网后进行的各种费用的缴纳; USSD,它是基于 GSM 网络而进行的一种交互式数据业务,比如证券交易等。
综上所述,手机支付体系必须要满足以下功能: 一是账户能力。手机支付系统必须要满足系统入账与出账的功能; 二是钱包能力。钱包能力是用户在利用移动手机进行购物时最基础的工具,在手机钱包中设有电子货币和电子钱包的管理模块; 三是接入能力。移动用户在互联网环境下可以进入到移动支付的界面中;四是空中下载技术。
二、移动互联网手机支付面临的安全威胁
移动互联网手机支付根据系统设计可以分为远程支付、现场支付两种,其中现场支付属于近距离手机支付,因为其不需要与平台的接入技术,因此安全性比较高,而远程支付需要与平台系统建立无缝隙对接,其需要经过数据的远程传输才能实现,其中相关数据在传输的过程中就有可能因为各种因素的影响而使手机支付的安全性受到威胁,所以本文主要是针对手机远程支付,对手机支付的安全性问题进行分析:
1、无线网络的安全威胁。远程手机支付的实现必须要依赖于相对安全的无线网络环境,只有借助无线网络的传输功能才能实现手机支付,而无线网络不同于有线网络,它是通过无线电技术取代传统的网线。因此无线网络不能向有线网络那样有信道的保护,使得手机支付存在很大的安全性,比如用户在使用手机支付的过程中存在被非法用户监督和监听的危险,这些对无线使用者的信息安全构成很大的威胁。同时手机支付的过程中在使用无线网络的时候,由于无线网络存在很大的不稳定性,因此当移动用户在进行加密处理时,就会可能因为网络延时的问题,而导致手机支付密码无法到达用户手机终端,导致出现无效交易。
2、手机端面临的安全威胁。因为手机终端而导致手机支付交易不完整或者手机支付安全性威胁的概率大大增加,目前手机支付是利用移动智能终端,比如手机的 Android 操作系统就存在很多安全方面的缺陷,比如安卓系统手机获得的 ROOT 权限,用户在电脑上可以通过 ADB 工具就可以获得数据库的文件,并且可以通过 SQLite 数据库管理工具对这些文件进行修改操作。同时当前手机支持的实现是将用户的银行卡与手机进行捆绑,如果手机丢失后,如果用户没有对手机支付进行密码设置,那么一旦手机被他人使用后,就容易使得手机用户的银行账户被他人利用。
3、软件病毒造成的安全威胁。病毒是影响手机支付安全的最重要的因素,在常规环境下,用户在使用手机支付时需要严格按照相关的操作进行,但是很多用户在使用的过程中处于各种目的,他们会下载或者浏览了不安全的界面,结果给一些黑客提供了可乘之机。智能手机功能的不断完善,人们应用手机进行页面流程、软件下载以及网络交易的概率不断增加,而一旦用户操作了不安全的软件,就会将病毒下载到手机上,进而用户在使用手机支付账号的时候,就会被窃取到账号和密码,给用户造成巨大的经济损失。比如网络中出现的钓鱼网站就是利用病毒的方式窃取用户的资金账号。
4、手机支付应用系统中的威胁。手机支付的完成属于系统操作系统,需要不同主体的共同参与: 首先用户在使用手机支付时,他们就会因为登入界面的不准确而导致个人账号信息被不法分子所窃取,比如一些用户在进行网络交易时,他们往往会登入到一些非法的钓鱼网站中; 其次手机支付用户在进行交易信息确定时,这些信息数据的传递需要进行加密,但是在实践中存在着密码破解、用户卡攻击的危险; 最后业务应用支付模块的攻击。在用户的信息被盗以后,非法分子就会利用远程主机的漏洞对这些模块进行篡改。
三、提高移动互联网手机支付安全的措施
1、加强对移动手机支付安全的管理。首先要确保手机终端的安全。手机支付的完成需要手机工具的支持,因此要确保手机终端的安全,比如我们对手机终端进行加密处理,并且根据不同的手机支付方式采取不同的信息处理方式,如果我们用手机短信息进行支付时,在不选择 STK 时,应该采取封闭的网络; 其次加强密码体系的管理。密码体系的完善是手机支付安全进行的关键,针对手机支付是与银行部门密切相连的,因此在与第三方进行交易时可以对一些敏感信息进行数字证书进行数字签名。一般而言手机支付的数字证书主要包括,服务器证书、企业证书以及质量员证书。
2、提高数据加密技术。密码技术是互联网信息安全的重要技术手段,基于互联网信息传输渠道的脆弱性,使得信息数据在传输时很容易被外界所破坏,因此为避免数据传输的安全性和准确性,需要对传输的数据进行加密处理,加密技术主要分为: 一是对称密钥加密。常用的秘要加密算法主要有 DES、AES RC4 等。但是使用该技术后系统的安全性比较低,而且其维护成本也比较高; 二是非对等密钥加密。采取该技术的最大优势就是只知道一把秘钥,并不能计算出另一把秘钥,因此在该系统中公开的密钥为公钥。公钥主要是应用与银行客户向银刚网站的账户操作的加密数据。
3、STK 和短信密技术。SIM 卡加密技术的直接应用就是对短信息完或加密和解密。无线网络和短信中心为应用服务器提供了接收和发送短信息的通道,手机内发出和接收的短信报文利用SIM 卡加密和解密,在应用服务器一侧可以借助专用的交易安全服务器来完成对短信息报文的加解密。除了加密和解密外,系统还通过 MAC 算法完成报文的完整陛校验。对于该技术,国内的一些无线通信系统的运营商已经制定一些技术规范,对 STK 应用交易类业务规定了利用 SIM 卡实现数据加密功能和数据完整性检验的方法,包括了如何实现分散和组成加密密钥、如何利用一个 SIM卡支持多个应用,以及如何空中下载密钥等方法。
4、定期对手机进行查毒并安装杀毒软件。手机支付过程中经常会遇到因为手机病毒而导致交易信息泄露的事件,因此需要对手机支付系统进行杀毒处理。比如对手机浏览进行控制,避免手机支付系统受到外界病毒的侵犯,比如针对木马病毒,我们则要采取: 一是安装正规的杀毒软件,并且定期对手机系统进行杀毒处理; 二是及时根据木马病毒的现状安装补丁程序; 三是将手机支付系统中的用户信息进行密码设置。
