未来智库 > 移动支付论文 > 移动支付风险与安全机制分析

移动支付风险与安全机制分析

发布时间:2017-12-07 08:53:00 文章来源:未来智库    
    移动支付(Mobile Payment),也称为手机支付,是允许用户使用其移动终端对所消费的商品或服务进行账务支付的一种服务方式。它是继银行柜台、自助银行、电话银行和网上银行之后出现的新的服务渠道。用户使用移动设备可以随时随地完成商品支付业务,其安全、方便、操作简单、贴身服务、多功能、低成本、覆盖面广和不受时空限制等特点,蕴藏着巨大的商机。作为移动电子商务的一个重要环节,移动支付处理得好坏将直接影响移动电子商务的拓展。
    整个移动支付价值链包括移动运营商、支付服务商(比如银行、银联等)、应用提供商(公交、校园、公共事业等)、设备提供商(终端厂商、卡供应商、芯片提供商等)、系统集成商、商家和终端用户。随着移动终端的普及和移动电子商务的发展,业界日益看好移动支付市场的发展前景,而移动支付市场近年来的发展速度也没有辜负业界的厚望。研究机构易观智库发布的《中国第三方支付市场趋势预测2011-2014》显示,2011年中国移动支付市场发展迅速,全年交易额规模达到742亿元,同比增长67.8%;移动支付用户数同比增长26.4%至1.87亿户。易观智库预计未来3年移动支付市场将保持快速发展,2014年交易规模将达到3850亿元,用户数将达到3.87亿户。
    移动支付分近场支付和远程支付。从其广泛用途可知,近场支付是通过带有NFC功能的手机,实现购物、签到、公交卡或门票等功能,或者直接通过手机完成与他人交换名片、传输文件、联机玩游戏等功能。远程支付是指通过手机APP上的支付宝、网银等支付工具直接支付,它与在PC端上的支付过程类似,都是通过软件输入账号密码来完成支付。
    2 移动支付流程
    一般来说,移动支付系统包括四个部分:消费者、商家、金融机构和移动运营商。移动支付流程如下:
    (1)消费者选择商品,发出购买指令。购买指令通过无线运营商支付管理系统发送到商家商品交易管理系统;
    (2)商家将消费者的详细购买信息通过无线运营商支付管理系统发送到消费者手机终端进行确认操作,得到确认后再继续往下操作,否则停止;
    (3)消费者确认支付后,无线运营商支付管理系统记录详细的交易记录,同时通知金融机构在商家和消费者的账户间进行支付与清算,并且通知商家提货或提供服务;
    (4)商家供货或提供服务;
    (5)交易结束。
    从上述流程可看出,移动运营商的支付管理系统是整个支付过程中具有核心纽带功能的组件,它要完成对消费者鉴别和认证、将支付信息提供给金融机构、监督商家提供产品和服务、进行利润分成等。
    消费者发出购买指令时,消费者的权限和开户行账号等信息先传到移动运营商的支付管理系统,而不是商家系统。移动运营商只知道消费者的账户可用额度信息,初步判断消费者是否有足够的余额进行购买。消费者的开户行账号详细信息由金融机构进行管理,接到经消费者确认的支付指令后,银行进行账户处理、支付和清算。移动运营商不能进行消费者账户处理,商家更不可以进行消费者的账户处理。这样,避免了消费者被欺骗的可能性;同时由于消费者的个人资料不是存放在商家系统中,也保护了消费者的隐私权。
    3 移动支付的安全要求与安全机制
    基于无线通信和开放性传输的移动支付给人们生活带来方便和快捷的同时,也存在着较高的潜在风险,容易遭受非法入侵和恶意攻击。对移动支付的风险进行分析,制定与之相关的安全策略,有助于移动支付的健康发展。
    3.1 移动支付的安全要求
    为保证移动支付的安全进行,移动支付系统必须满足以下安全要求:
    (1)有效性,即能对信息、实体的有效性、真实性进行鉴别。移动电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性是开展电子商务的前提。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效真实的。
    (2)机密性,即能保证信息不被泄露给非授权的人或实体。移动支付是建立在一个较为开放的网络环境中的,防止商业泄密是移动支付全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取,确保只有合法用户才能看到数据。
    (3)数据完整性,即让接收方能够确切地判断所接收到的消息有没有在传输过程中遭到插入、篡改、重排序等形式的破坏。数据完整性完善的业务不仅能让接收方发现其完整性是否遭到破坏,还能采取某种措施恢复其完整性。
    (4)不可否认性,即防止发送方或接收方抵赖所传输的消息。也就是说,当接收方接收到一条消息后,能够提供足够的证据向第三方证明这条消息的确来自某个发送方,而使得发送方抵赖发送过这条消息的图谋失败。同理,当发送一条消息时,发送方也有足够的证据证明某个接收方的确已经收到这条消息。
    3.2 移动支付的安全机制
    移动支付系统的安全机制,也可称作支付安全协议,是以安全分层策略和密码学为基础的安全保护机制。安全架构如图1所示。
    分层的安全机构由网络层安全、平台层安全和应用/服务层安全构成,要实现移动支付的安全控制,必须在这几个方面都采取安全机制。下面从应用/服务层、平台层、网络层和无线加密技术四个方面来阐述如何保障移动支付的安全。
    (1)应用/服务层安全
    为了满足移动支付的安全要求,在应用/服务层采取基于角色的权限管理、单点登陆认证机制、访问控制、账号管理、会话管理、数据加密和保护、日志管理等措施,确保应用系统部件、服务以及数据的安全性,防止对应用服务的非授权访问,防止对应用数据的非法使用。
    (2)平台层安全
    在移动支付的平台上,通过服务器访问控制、应用集群的高可靠性、会话日志审计、平台层数据库数据访问控制和加密,保证平台级服务和数据的安全性,确保移动支付的安全要求。   (3)网络层安全
    在移动支付的网络层,通过安全域划分(DMZ部署)、交换机和防火墙配置、IDS/IPS入侵检测系统部署、传输数据SSL/VPN加密以及专用网络技术,可以进行精细的区域划分和保证数据传输的机密性与完整性,确保移动支付发生的网络安全。
    (4)无线加密技术
    在无线加密技术上,为了确保移动支付的安全,通常采用WPKI和WTLS两种加密技术。
    1)无线公钥基础设施(WPKI)
    WPKI是对传统基于X.509公钥基础设施PKI的优化和扩展,它将互联网电子商务中PKI 的安全机制引入到移动电子商务中,采用公钥基础设施、证书管理策略、软件和硬件等技术,有效建立安全的无线网络通信环境,满足了移动电子商务的保密性、完整性、真实性和不可抵赖性,消除了用户在交易中的风险。WPKI主要对PKI协议、证书格式、加密算法和密钥进行了精简优化;采用压缩的证书格式,从而减少了存储容量;采用椭圆曲线算法(ECC)而不是传统的RSA算法,大大提高了运算效率,并在相同的安全强度下减少了密钥的长度。
    2)无线传输层安全(WTLS)
    实现WAP上的移动支付有赖于WAP的安全技术——WTLS。WTLS提供了诸如数据完整性、机密性、鉴权和拒绝服务保护等安全功能,它既可以作为WAP协议栈中的安全传输层协议,也可以独立于WAP,应用于无线终端之间的安全通信。WTLS作为WAP协议栈中的重要组成部分,充分考虑到了移动网络的复杂性和移动设备的诸多限制,适合应用在大多数无线通信设备中。
    尽管目前移动支付使用的市场规模不是很大,但随着用户习惯、公共政策、商业环境和移动支付技术的不断成熟,移动支付将进入一个新的发展时期,带动电信产业和金融产业的融合。移动支付价值链条上的所有角色,包括移动运营商、支付服务商、设备提供商等,宜着眼于长远发展,切实从用户使用角度出发,在使用的便捷性和安全性等方面积极加强合作,将移动支付行业带入到黄金发展期。
    参考文献:
    [1] 吕廷杰. 我国移动商务发展趋势分析与展望[J]. 北京邮电大学学报, 2006(10).
    [2] 盛天翔. 试析移动商务之手机支付的可行性[J]. 科技情报开发与经济, 2006(16).
转载请注明来源。原文地址:https://www.7428.cn/page/2017/1207/7168/
 与本篇相关的热门内容: