未来智讯 > 移动支付论文 > 移动支付平安问题探索

移动支付平安问题探索

发布时间:2018-12-14 01:06:01 文章来源:未来智讯    
    移动支付平安问题探索作者:未知   【 摘   要 】 文章对移动支付存在的平安威胁进行分析、汇总,并对移动支付实现的技能方案进行分析,最终对移动支付存在的平安问题提出解决办法和建议,以此为移动支付业务的平安保障提供一些参考。
  【 关键词 】 移动支付;平安威胁
  Research on the Problem of Mobile Payment Security
  Wang Long-juan   Yao Xiao-ming   Tang Yu-yin
  (Department of Information Science & Technology, Hainan University   HainanHaikou  570228)
  【 Abstract 】 This paper analys and sum the security threat of mobile payment,and the mobile payment scheme is analyzed,In finally,the author puts forward solutions and suggestions of the problem of mobile payment security which provide reference for the business of mobile payment security.
  【 Keywords 】 mobile payment;security threats
  1    引言
  在我国,移动支付的应用从1999年的初步摸索发展到如今已经有15年,移动支付的发展在前面十年由于技能及消费概念各方面的原因发展缓慢,而从2009年起初进入了迅猛发展阶段。据易观国际的数据证明,2012年中国移动支付市场发展迅速,全年交易额规模达到1255亿元,同比增长69.1%。据央行公布的《2013年支付体系运行整体情况》数据显示,2013年我国移动支付业务交易金额9.64万亿元,同比增长317.56%。随着我国2014年步入4G时代,智能终端全面普及,互联网、移动互联网迅猛增长,移动支付在互联网金融、移动电商、移动社交等热点领域的创新应用持续高涨,各大互联网巨头在移动支付业务、银行、运营商、银联等的移动支付业务都在全国范围内全面铺开,2014年移动支付业务依然保持着高增长的态势。
  在我国2013年能够说是移动支付发展相当重要的一年,几个重大事件都与移动支付息息相关:以移动支付为基础的互联网金融全面爆发,余额宝上线8个月,规模突破4000亿元;全球NFC手机达8亿部,三大运营商高端定制手机标配NFC功能;支付宝成为全球最大移动支付公司;全民疯抢春节微信红包;小米成立支付公司;为了抢占国民市场,滴滴、快的、摇摇招车各种打的软件拼命烧钱,此消彼长互不相让,我国已经进入了移动支付的黄金时代,但是在移动支付全面铺开来的今天,各种支付平安问题也日益突显,如何保障移动支付平安将是移动支付发展的一大瓶颈。
  本文将对移动支付存在的平安威胁进行分析、汇总,并对移动支付实现的技能方案进行分析,最终对移动支付存在的平安问题提出解决办法和建议。
  2    移动支付存在的平安威胁
  2.1  漏洞威胁
  手机平安的最大威胁就是手机平安漏洞,手机的平安漏洞存在普遍化、定制化和修复周期长等特点。在《2013年中国手机平安状况汇报》中,360互联网平安中心针对较为流行的九大品牌、18款典型型号的安卓手机进行了漏洞测试分析得出结论,70%的手机漏洞源于定制开发。手机平安漏洞会对支付平安带来怎么样的威胁呢?
  2.1.1 系统漏洞
  2013年7月,Bluebox公司曝光了一个严重的安卓系统签名漏洞。该漏洞使99%的安卓设备面临巨大风险,黑客能够在不破坏APP数字签名的情况下,窜改任何正常手机应用,并进而抑制中招手机,实现偷账号、窃隐私、打电话或发短信等任意行为,从而使手机霎时沦为“肉鸡”。该漏洞也被业界公认为史上最严重的安卓系统签名漏洞。一旦手机被黑客抑制,黑客便能够获取账号从而对手机用户财产造成威胁。
  2.1.2 通信层漏洞
  通讯层面的平安漏洞造成的威胁往往是最难以防范的。2013年,360互联网平安中心首家发布红色警报:由于国内运营商对局部地区GSM制式的数据通讯没有加密,黑客能够监听自己所在基站覆盖范围内所有GSM制式手机(移动、联通的2G用户)的通讯内容。一旦手机短信内容被黑客获取,手机号码所绑定的网上支付、电子邮箱、聊天账号等重要账户将全部面临被盗风险。
  2.2  伪基站、钓鱼网站的威胁
  2.2.1 伪基站的威胁
  不法分子将与电信运营商的无线基站同频的伪基站放入车中,在人群密集的街道和小区自动搜索附近的手机卡信息,发送广告或诈骗短信,甚至冒充95588等银行号码诱骗中招者访问虚假网银,盗刷银行账户资金。或是利用伪基站假装运营商、银行等官方号码发送欺诈短信,诱导受害者下载能够拦截和转发用户短信的手机木马(如“隐身大盗”木马),该类木马能够实现盗刷支付账户的目的。
  由于伪基站使用的发信号码多为银行或电信运营商的官方号码,这些号码不但对于用户来说很具有迷惑性,而且这些号码常常也会被手机平安软件列入白名单,因此,目前市面上的绝大多数手机平安软件和号码管理软件也不能识别和拦截伪基站短信。手机用户一旦访问虚假网银或是下载安装了手机木马,其支付账户平安将受到威胁。
  2.2.2 钓鱼网站的威胁
  钓鱼网站在手机中的传播很多是通过手机短息、微信、微博、二维码等方式进行,由于手机支付的发展使得各种网银的钓鱼网站大量出现,通过微博、微信等手机客户端软件打开的网址往往无法被手机平安软件捕获,由于二维码应用越来越广泛,扫二维码已经成为很多手机用户的日常习惯,而多数二维码扫码工具并不具有识别恶意网址的能力,不过大略将二维码翻译成网站地址。由于以上原因使得手机用户登录网银钓鱼网站的几率大大提高。   伴随着手机支付的发展,各大网络银行、淘宝、微信网银的钓鱼网站大量地在网络中肆意传播,通过发送各种商品销售优惠信息、银行账号的电子密码器、e盾等的更新信息链接到钓鱼网站,从而对手机支付用户的账号造成威胁。
  2.3  恶意程序的威胁
  2.3.1 病毒威胁
  2013 年3 月,我国首次出现了感染国内手机支付银行客户端的病毒“洛克蠕虫”。该病毒感染了中国建设银行的手机客户端,通过二次打包的方式把恶意代码嵌入银行APP,未经用户允许私自下载软件并安装,窃取银行账号及密码,继而盗走用户账号中的资金。
  2.3.2木马威胁
  (1)“隐身大盗”木马。很多网上支付工具都会与手机进行绑定,用于发送验证码和交易信息通知。因此,以拦截和窃取交易短信为指标的手机木马迅速泛滥,最典型的是名为“隐身大盗”的安卓木马家族。此类木马运行后会监视受害者短信,将银行、支付平台等发来的短信拦截掉,然后将这些短信联网上传或转发到黑客手机中。黑客利用此木马配合受害者身份信息,可重置受害者支付账户。
  (2)“支付鬼手”木马。该木马假装成淘宝客户端,将用户输入的淘宝账号、密码以及支付密码通过短信暗中发送至黑客手机,同时诱导用户安装木马子包,木马子包会劫持用户收到的包含验证码在内的所有短信,并联网上传或直接转发至黑客手机。而黑客一旦收到这些信息,就会将用户支付宝财产洗劫一空。
  2.4  相关法律、标准的滞后
  在法律方面,目前手机在支付过程中虽然也有《刑法》、《民法通则》、《消费者权益保护法》、《侵权责任法》、《合同法》、《非金融机构支付服务管理办法》等多项法律法规给予保障, 但电子商务领域也仅有《电子签名法》,这部法律解决了电子签名的合法有效问题,但该法未能与全流程电子商务有效衔接,并未解决电子商务交易环节的重大问题,对于手机支付过程中暴露用户个人信息、短信欺诈、银行钓鱼网站的欺诈等等所产生的丧失用户处于一种投诉无门的状况。《电子商务法》虽然已经进入立法程序,然而加入使用还有待时日。
  在标准方面,手机支付发展以来,国内手机支付标准面临着互不兼容的13.56MHz和2.4GHz两大频率的选择问题。其中,中国联通和中国电信主要选取银联主推的基于13.56MHz的技能方案,而中国移动则主要选取基于2.4GHz的技能方案,直到2012 年中国人民银行正式发布中国金融移动支付系列技能标准,才总算确立了13.56MHz的技能方案的主导地位,但国内目前在移动支付中应用的技能还是五花八门,应有尽有。技能的多样性和标准的不统一,虽然为移动支付的发展提供了更多技能选择,但同时也给平安带来隐患。
  3    移动支付技能实现方案
  3.1  硬件实现方案
  硬件技能实现方面,手机支付技能实现方案主要有三种:NFC、RFID-SIM和SIMpass,这三种之中后面两种在国内相对用的较多。
  3.1.1  NFC
  NFC(Near Field Communication),即近距离无线通信技能,是由飞利浦公司和索尼公司共同开发的近场通讯,能够在移动设备、消费类电子产品、PC 和智能控件工具间进行近距离无线通讯。NFC 将非接触读卡器、非接触卡和点对点(Peer-to-Peer)功能整合进一块单芯片,这是一个开放接口平台,能够对无线网络进行快速、主动设置,也是虚拟连接器,服务于现有蜂窝状网络、蓝牙和无线 802.11 设备。这种方案将非接触式智能卡技能与手机联合,将射频芯片集成到手机主板上,实现手机与POS机或读卡器之间的通信。
  选取NFC技能具有天生的缺陷:用户使用手机支付业务必须更换为运营商特制的手机,这不但给运营商和用户带来较高的成本,而且为保持透传信号的强度,手机后盖不能使用金属,多用塑料材质,手机的美观性受到限制,用户也不能随意更换自己喜欢的手机类型。正因为这两点缺陷使得NFC很难打开中国市场。
  3.1.2  RFID-SIM
  RFID-SIM卡是双界面智能卡(RFID卡和SIM卡)技能向手机领域渗透的产品,是一种新的手机SIM卡。RFID-SIM卡既具有普通SIM卡一样的移动通信功能,又可以通过附与其上的天线与读卡器进行近距离无线通讯,从而可以扩展至非典型领域,尤其是手机现场支付和身份认证功能。RFID-SIM支持接触与非接触两个事务接口,接触接口负责实现SIM卡的应用,完成手机卡的正常功能,例如电话、短信功能等。与此同时,非接触界面能够实现非接触式消费、门禁、考勤等应用,并且由于支持空中下载相关规范(OTA和WIB规范),RFID-SIM卡的用户可以通过空中下载的方式实时更新手机中的应用程序或者给账户充值,从而使手机真正成为随用随充的智能化电子钱包。
  3.1.3  SIMpass
  SIMpass技能又称为双界面SIM卡,它融合了DI卡技能和SIM卡技能。通过SIMpass技能,能够在相关的手机支付平台以及无线通信网络的支持下,开展相应的移动支付业务,其技能在应用系统环境支持下可开展多种具体的智能卡应用系统。它具有多方面的优势:(1)以手机作为支付工具,不用专门携带智能卡;(2)以非接触方式交易,交易速度快,适应于人流量大的影院、公共汽车、轨道交通等应用;(3)支持一卡多用,可用于购水、购电、购气等多个应用,应用间具有防火墙,各应用可具有独立的平安策略及文件系统;(4)使用灵活,可使用SIM卡提供的OTA功能进行卡端应用的更新;(5)支持DES、RSA等平安算法,可根据应用需要建立相应的平安体系;(6)兼容性强,兼容现有城市一卡通DI卡应用环境,这相当有利于在城市一卡通应用中推行手机支付。   3.2  软件实现方案
  在软件技能方面,主要应用在远程支付,随着移动支付的发展,各种软件实现方案也越来越多,其中占领主要市场的当属支付宝钱包。此外,腾付通、中国移动和包、中国电信翼支付及中国银联、中国银行、招商银行等各大银行开发的手机支付客户端也在抢占市场份额。
  4    解决办法
  手机支付带来了用户随时随地进行交易的便利,但如果在便利的同时带来账户的平安隐患,估计没有用户会贪图便利而抛弃平安,因此手机支付发展的瓶颈是平安问题,而手机支付平安问题涉及到运营商、银行、第三方支付平台、电商、消费者等多方利益。提高手机支付平安的能够从几个方面去做。
  第一,从国家层面,应该加快完善在手机支付方面相应的法律体系。能够将手机支付业务也纳入到金融法律法规监管范围,当用户遇到欺诈等平安问题时能够在法律责任上找到明确的判断,明确各方应付的责任和赔付条款,同时要规定银行、移动运营商、商业机构、支付平台营运商和认证中心相应的资格,科学的规定他们的市场准入。
  第二,金融机构能够从手机支付交易抑制入手,制定完备的手机交易抑制策略。例如设定手机支付类交易单笔交易限额、单日交易限额;对于圈存、圈提等大额交易选取动态密码双因素验证方式。针对手机支付交易设置特定的告警准则,一旦触犯准则,金融机构可以准时联络客户或直接止付。
  第三,移动运营商、设备生产商应该加强对手机支付平安的研发加入,通过各种技能手段保障手机设备、支付客户端、手机交易报文交互等方面的平安性。
  第四,促进手机行业变成定期推送手机系统补丁的机制,缩短手机漏洞修复的周期,尤其是山寨手机,国家需要加大监管力度,某些山寨手机厂商甚至从手机出厂之后就从不修补任何手机漏洞。
  第五,能够引入保险机制应对手机丢失、损毁等情况引发的手机支付平安风险。手机支付几近是只认手机不认人,很多支付步骤几近不用验证码,万一手机丢失,需要验证码的大额交易也能够轻而易举地进行,后果自然不堪设想。投保机制将使得用户的风险得到转移。
  第六,必须采取有效措施教育指引客户建立手机支付平安意识,培养良好的手机使用习惯,譬如只从官方网站或可信任的网站下载软件,安装手机平安防护软件,不点开陌生的彩信,不接收陌生的蓝牙推送程序,不随意扫描二维码,不要随意连接陌生免费WiFi等。
  参考文献
  [1] 我国NFC支付未来发展状况分析.http://www.askci.com/news/201309/27/271405133873.shtml,2013/9/27.
  [2]央行发布《2013年支付体系运行整体情况》.http://www.chinawuliu.com.cn/zhxw/201402/18/278282.shtml,2014年02月18日.
  [3] 2013年中国手机平安状况汇报.baidu文库.
  [4] 通讯世界网.“伪淘宝”大肆盗取支付密码:腾讯手机管家火速截杀[EB/OL].http://www.cww.net.cn/news/html/2013/5/20/2013520/1730336288.htm, 2013-05-20.
  [5] 徐志远.移动支付中的信息平安保护相关法律问题探究.法制博览,2013.02( 中).
  [6] José, Rui.Design lessons from deploying NFC mobile payments, Lecture Notes in Computer Science, v 8276 LNCS, p 86-93, 2013.
  [7] He, Yejun. Study of magnetic field coupling technologies in activating RFID-SIM card mobile payments, Wireless Personal Communications, v 71, n 1, p 243-254, July 2013.
  
  作者简介:
  王隆娟(1976-),女,硕士,海南大学,副主任/讲师;主要研讨方向和关注领域:信息平安、计算机应用。
  姚孝明(1964-),男,博士,海南大学,主任/教授;主要研讨方向和关注领域:图形处理与数字水印、信息平安。
  谭毓银(1982-),男,硕士,海南大学,讲师;主要研讨方向和关注领域:信息平安。
转载请注明来源。原文地址:https://www.7428.cn/page/2018/1214/54542/
 与本篇相关的热门内容: