文章主题:由于移动互联网,电子商务的迅速发展及智能移动终端用户的不断高涨,在移动智能终端实现购物和支付等普遍的情况下,手机作为当前使用频率较高的智能终端,智能手机终端支付的安全机制备受关注,在此基础上有必要对其安全性进行彻底的安全性分析和研究,了解手机支付的安全技术、发展趋势以及支付安全各类威胁,进行归纳总结,提出智能移动终端支付安全防范的基本思路和措施,为智能手机终端支付应用的研发和测试提供参考依据。
1 引言
移动互联网蓬勃发展,使得智能移动终端不再只是通信功能,还涉及我们的家庭生活当中,如智能家居,智能汽车等。智能移动终端功能的强大,随之而来的安全性问题则令人担扰。电商促使用户对移动支付的便捷性更为认可。与银行卡支付相比,智能移动端只需通过下载相应的支付程序便可以直接完成各种交易,包括购物支付。当用户使用移动支付时,造成移动端产生大量的数据,虽然其中一部分的数据会存储到云端,但仍然会留存部分数据和历史记录信息。移动终端聚合的信息不仅包含通信内容而且还包含数字内容、支付信息和个人隐私数据等。移动终端的安全性与用户利益息息相关,如何保障移动支付和相关数据的安全性、安全问题和安全等级,是移动互联网的基础工作,更是个人信息安全的重要保障。
2 智能移动终端支付和安全认证方式
2.1智能移动终端支付方式。
现阶段,智能终端支付主要使用的技术有以下几种:
2.1.1二维码支付即所谓的“即拍即付”.
通过使用智能移动终端上的支付应用程序的二维码识别的功能,来识别商品属性信息,用户可通过点击应用程序的付款选项进行快捷付款。
2.1.2 NFC移动终端钱包,NFC(Near FieldCommunication)中文名叫“近距离无线通讯技术”.
通过移动终端设备中的NFC芯片或贴片等方式,将用户的银行卡账户信息存储在该芯片或贴片中。当用户需要付款时,将终端放置商户的接收器上即可。
2.1.3条码支付也被称为“条码收款”.
通过支付应用程序,为用户生成为一个唯一的条形码,商户通过条码枪扫描后,用户点击同意支付,即可快速完成结算。
2.1.4 APP类似“网上银行”.
通过相应银行的App或电商的App,输入账户信息进行支付。
2.2 智能移动终端安全认证方式。
(1)身份认证是通过验证指令来对持卡人身份进行检验,判断该操作动作是否为持卡人发出,常见的刷卡支付方式,是通过卡道来验证身份。只有被获取物理卡片才能进行盗刷,然而在移动互联网时代,只需要通过账号、密码、验证码等即可进行验证,安全系数增加。
(2)设备指纹认证是通过利用软件指纹来进行身份验证,具体方式为在采集设备中所安装的软件信息,结合云端服务器采集用户部分的个性化特征数据,从而完成身份校验。
(3)短信验证码或使用动态密码令牌,在移动支付时代,在用户支付安全得到保障的同时也要改善用户体验,简化操作流程,减少密码盾使用频次,通过软件模式来进行安全认证将是未来的趋势。
3 智能终端支付面临的安全威胁及防范措施
随着移动互联网的快速发展,先进技术层出不穷,伴随着先进技术的发展,安全威胁也是日益增多。智能移动终端的普及,要求具有较高的安全性。智能移动终端相继出现了各种木马病毒和远程攻击,遇到的威胁主要包括以下几种:
APP恶意程序、云端攻击、ROM攻击、暴力破解、键盘记录等。
3.1 造成智能移动终端安全威胁的原因。
(1)最重要就是用户的安全意识薄弱,对威胁防范不足。例如用户对智能手机没有进行加锁,对手机ROM刷机。
(2)智能移动终端本身也存在着许多安全威胁,厂商繁多,其操作系统不一致。主流还是以Android和IOS为主,但各厂商有各自的考虑,设计出来的产品各自的安全性也不统一。
(3)对智能移动终端的安全性威胁主要有以下:最主要是通过移动操作系统的漏洞、APP程序漏洞来进行攻击渗透或者对系统漏洞编写嵌入式木马非法摄取用户相关信息。
3.2 智能移动终端安全防范措施。
移动支付已成为智能移动终端比较普遍的支付方式,针对智能移动终端采取的安全防范措施可以从以下几个方面进行研究。
(1)提高用户在智能移动终端支付的安全意识,保管好个人信息和数据,在支付时保持谨慎。
(2)智能移动终端的认证安全技术,目前是通过实名身份认证来接入移动网络实现银行支付交易的,通过第三方安全软件来保证支付的安全性。在电子支付领域支付模式使用较为普遍的是通过SSL协议和移动口令牌相结合完成支付,或者使用SSL协议与数字证书结合,但是在结合SSL的基础上通过智能终端与加密SD卡相结合的身份认证方案,将成为新的电子支付方案,从而有效提高智能终端的支付的安全和便捷。
(3)利用指纹识别技术来提高智能终端支付的安全性,因为它的安全性,唯一性较高,且指纹的重复度比较低,当用户需要支付时,只有相应对的指纹验证才能完成最终的支付和交易,在防伪方面是比较高的。
(4)利用技术策略来提高安全性,通过HTTPS进行数据传输加密处理(通讯协议加固),保证客户端与服务器端之间数据交互安全,全部的REST API调用都要通过App ID和App Secret进行数字签名加密进行验证,设置严格的ACL权限控制机制,保证用户数据安全隔离,对用户自定义需求,通过模式选择修改权限,例如用户选择超级隐私模式对应用户的数据安全和隐私性保护权限最高。
4 总结
随着移动互联网技术的快速发展,在智能移动终端购物和支付获得用户的普遍依赖。
在为用户带来便利的同时,对智能终端支付的安全性也提出了更高要求。在智能移动终端进行支付的方式将成为未来支付发展趋势,支付信息数据则上传保留在云端,所以智能移动终端支付的安全性成为智能移动终端发展的重中之重,保障用户数据安全刻不容缓。
