未来智讯 > 移动支付论文 > 平安技能在移动支付中的应用
    平安技能在移动支付中的应用作者: 刘磊   平安技能在移动支付中的应用  1 移动支付概括  baidu百科上对移动支付的定义:便是允许用户使用其移动终端(常常是手机)对所消费的商品或服务进行支付的一种服务方式。整个支付的价值链包括移动运营商、支付服务商(比如银行,银联等)、应用提供商(公交、校园、公共事业等)、设备提供商(终端厂商,卡供应商,芯片提供商等)、系统集成商、商家和终端用户。
  据Intuit Digital Wallet机构称,2011年全球手机移动支付总数约为2410亿美元,到2015年将增长至1万亿美元。让很多人没想到的是,近来一项调查数据显示,从全球范围看,移动支付普及率最高的地区是非洲。68%的肯尼亚成年人都在使用手机钱包,此比率位居世界第一。其所处的环境跟我国乡村的环境有类比性,对我国在乡村地区及三四线城市发展移动支付业务是个很好借鉴。
  手机移动支付的实现方式:
  一是通过远程抑制来完成支付,即在线支付如:短消息业务(SMS,Short Message Service)、无线应用协议(WAP,Wireless Application Protocol)、互动式语音应答(IVR,Interactive Voice Response)、非结构化补充数据业务(USSD,Unstructured Supplementary Service Data)等。
  二是通过近距离无线技能完成支付,其主要有以下几种方式:1)双界面SIM卡技能(将天线及射频芯片集成在SIM卡中)。2)RF-SIM卡技能(通过附于其上的RFID模块、天线与读卡器进行近距离无线通讯)。3)NFC技能(Near Field Communication,即近距离无线通讯)。
  2 手机移动支付中的平安问题
  2.1 面临的平安威胁
  由于智能手机可随时随地接入互联网,平安问题日益突出,同时威胁着手机终端本身、移动网络和互联网的平安运营。
  从技能上来说,人为的来自外部的抨击有主动抨击和被动抨击两种。
  2.1.1 被动抨击。被动抨击主要是收集信息而不是进行访问,数据的合法用户对这种活动觉察不到。被动抨击包括:嗅探、信息收集、无线截获等。
  2.1.2 主动抨击。下面列出当前几种主要的主动抨击类型。
  1)假冒(Masquerading)用户身份。指用户身份被非法窃取,抨击者假装成一个合法用户,利用平安体制所允许的操作去破坏系统平安。在网络环境下,假冒者又可分为发方假冒和收方假冒两种。为防止假冒,用户在进行通讯或交易之前,必须对发方和收方的身份进行认证。
  2)重放抨击(Replay Attacks)。是指抨击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的准确性。
  3)批改(Modification)信息。比如,批改数据包中的协议抑制信息,使该数据包被传送到非指定的指标;也可批改数据包中的数据局部,以改变传送到指标的消息内容;还可能批改协议抑制信息中数据包的序号,以搅乱消息内容。
  4)拒绝服务(Denial of Server)。这是指未经主管部门的许可,而拒绝接受一些用户对网络中的资源进行访问。比如,抨击者可能通过删除在某一网络连接上传送的所有数据包的方式,使网络表现为拒绝接收某用户的数据;还可能是抨击者通过批改合法用户的名字,使之成为非法用户,从而使网络拒绝向该用户提供服务。
  5)伪造(Fabrication)信息。未经批准的人可将一些经过精心编造的虚假信息送入计算机,或者在某些文件中增加一些虚假的记录,这同样会威胁到系统中数据的完整性。
  6)否认(Repudiation)操作。这种类型又称为狡辩,是指某人不承认自己曾经做过的事情。如某人在向某指标发出一条消息后却又矢口否认。
  7)停止(Interruption)传输。这是指系统中因某资源被破坏而造成信息传输的停止。这将威胁到系统的可用性。停止可能由硬件故障引起,如磁盘故障、电源掉电和通讯线路断开等;也可能由软件故障引起。
  在智能手机被使用过程中,抨击者能够利用操作系统的漏洞,应用软件上的漏洞以及诱导下载并安装来路不明的软件种种方式对手机进行抨击,给使用者带来丧失。
  2.2 手机移动支付系统应具备的平安特性
  移动支付的整个交易过程完全处于开放的网络环境中,不仅要在内容上应得到保护,还要保护交易双方的合法权益。移动支付应满足的平安需求有:
  1)交易双方身份的认证(Identity Authentication):确认交易实体的真实性及有效性。这是开展电子商务的前提。
  2)数据机密性(Confidentiality):仅允许被授权的用户访问系统中的信息。这是开展电子商务的基础。
  3)数据完整性 (Integrity):指未经授权的用户不能擅自批改系统中所保存的信息,且能保持系统中数据的一致性。这里的批改包括建立和删除文件以及在文件中增加新内容和改变原有内容等。
  4)交易的不可狡辩性(Non-repudiation):防止发送方或接收方对传输的消息的否认。
  5)系统可用性(System Availability):指授权用户的正常请求能准时、准确、平安地得到服务或响应。或者说,计算机中的资源可供授权用户随时进行访问,系统不会拒绝服务。然而系统拒绝服务的情况在互联网中却很容易出现,因为连续不时地向某个服务器发送请求就可能会使该服务器瘫痪,以致系统无法提供服务,表现为拒绝服务。
转载请注明来源。原文地址:https://www.7428.cn/page/2018/1201/49497/
 与本篇相关的热门内容: