网络与通信学术探讨 2i){2年第7 j 移动支付安全机制研究 周筱瑜 (中国人民银行海口中心支行,海南海口 570105) [摘要] 移动支付产业属于新兴产业,移动支付的安全机制仍是制约其发展的重要因素。根据移动支付产业链中主要 环节存在的安全性问题进行研究并对其提出相关建议,共同保障移动支付安全高速发展。 [关键词] 移动支付;安全机制 f31手机或智能卡集成RFID技术,以非接触的数字钱 1.引言 包为主,支持近场和远程支付,将线上的各种交易量应用到 随着移动通信市场的迅猛发展,3G网络建设、物联网技 线下实体店消费,应用范围进一步扩大,凸显便捷的支付体 术应用、智能终端普及等基础设施的不断完善,移动支付凭 验与业务品牌,实现线上、线下的立体化综合服务。 借其无可比拟的支付优势,成为电子支付方式的主流发展 3.存在的安全问题 方向和市场竞争焦点。移动支付,是指用户利用移动通信终 端和设备(如智能手机、便携式电脑、PDA等),通过运营商 由于整个社会信用体系不完善,导致欺诈和垃圾短信遍 的移动网络和移动支付系统所进行的银行转账、缴费、购物 地开花,乱收费的手机费用陷阱更是让用户对手机等移动设 等商业交易活动。本文主要侧重于对智能手机为终端的支 备缺乏安全感,更不用说使用移动支付方式完成商品交易。 付形式研究。移动支付主要有以下优势,优势一:便捷优势, 所有问题的存在都是由于移动支付背后的产业链过长,它涉 随着移动通信网络的广泛覆盖,移动支付更好地为用户提 及金融机构、第三方移动支付服务提供商、移动通信网络运 供近场或者远程支付服务,有效提高支付的便利性;优势 营商、设备终端提供商等行业,它们在整个复杂的支付产业 二:效率优势,移动支付可以提高资金的流转效率,提升资 链中扮演各自的角色(见图1)。如果整个产业链中某个环节 金运营效率和安全稳定性;优势三:成本优势,移动支付可 存在安全问题,都将会阻碍移动支付业务快速健康发展,因 以节省更多的中间环节,降低业务成本的同时使支付更加 此有必要仔细剖析产业链中各主要环节存在的安全问题。 便捷。 移动支付作为一种新兴的电子支付方式,越来越受到 彗 +—— 。 银行业金融机构、非金融支付服务机构、移动运营商以及相 关支付清算组织等部门的青睐,将其视为最具前景的应用 I I 业务之一。由于移动支付是基于传统支付方式发展起来的 新支付方式,对其应用环境提出更高的要求,尤其是为移动 一基一 肿 雠~商 支付提供安全技术保障的移动安全机制,而一个健康的移 动支付生态环境是移动支付未来成功发展的保证,因此有 必要对相关的安全机制问题进行探索研究并构建安全机制 @ 体系。 2.发展历程 图1移动支付产业链 早在1999年,移动支付的概念在国内开始出现,2000 年以后,随着lnternet的广泛普及和移动通信技术的发展盛 (1)金融机构:作为用户手机卡号关联的银行账户管理 行,以及支付环境的不断改善,移动支付逐渐被人们所认识 者,金融机构在整个移动支付环节中尤为重要【21。在进行大 并接受。经过产业界的多年摸索与研究,移动支付在一些领 额交易以及手机卡号绑定银行卡业务时,若出现客户手机意 域开始尝试应用,主要经历了以下三个阶段_1¨: 外丢失或者被盗,手机卡号与其绑定的相关信息都将被泄 (11以短信为主的手机话费小额支付,这种技术多用于 漏。同时各金融机构的网络银行业务由各金融机构开 购买虚拟数字产品。 发、推销,缺乏统一的被广泛认可的交易安全标准,手机银行 (2)手机绑定银行卡账号,这种技术仍然以短信支付为 的总体安全状况不乐观。 主,多用于购买虚拟数字产品和生活缴费等服务。 f21第三方移动支付服务提供商:按照中国人民银行颁 作者简介:周筱瑜,女,海南海口人,本科,助理经济师,研究方向:移动支付安全。 45--—— 学术探讨网络与通信 j,. .. ,, 2t)12年第7期 布的《支付清算管理办法》,第三方移动支付服务提供商属 于非银行类金融机构,由于这类机构游离于传统的行业监 管视野之外,在交易过程中的沉淀资金管理不善容易产生 资金风险问题,因此必须对沉淀资金进行界定以及保障沉 淀资金的安全。此外,作为金融机构和网络运营商之间的衔 接环节,第三方移动支付服务提供商起着协调各方关系的 必要时采取限额等针对性措施[4J,同时建立合理的信用评价 体系,规避其在运营过程中的风险。若出现支付超时或者延 迟等特殊情况导致用户重复支付时,第三方移动支付服务提 供商应用户短时间内发送支付请求的次数,保证用户支 付信息的准确性。 (3)移动通信网络运营商在无线信道这个开放性的信道 中应制定统一的加密标准,提高通信标准安全性,采取严格 的实名认证和指纹验证,确定交易双方身份认证的同时保障 交易信息的加密完整性,确保交易数据的真实性和不可逆转 性,若出现SIM卡被复制或者入侵,需尽快更换新SIM卡, 通过身份识别SIM卡的唯一加密ID,将原SIM卡中的数据 库数据更新至新SIM卡中继续使用【 。由于手机卡号及密码 等容易被破译、篡改、窃听、假冒,移动通信网络运营商需加 强信号传播的安全问题,采取密文传递方式,防止信号被截 获。此外,由于网络的不稳定性加上支付行为的难以追踪 性,移动通信网络运营商必须加强灾难体系建设和应急预案 建立,保证支付数据能够迅速恢复,避免由此引起的纠纷。 (4)设备终端提供商作为整个移动支付产业链的硬环境, 应加强手机终端技术和后台支持技术的开发,同时在手机设 备终端中安装金融级智能安全芯片、加密软硬件IS]、数字证书 等,确保用户密码进行加密后移动支付交易安全。 5.结束语 能力。若在交易信息传输中,客户端与服务端不能实时交换 信息,就会导致客户重复支付;或者若攻击者设法使用户和 服务提供商之间的通信变为由攻击者转发,那么其将可以 控制双方交易过程并非法获利『31。 (3)移动通信网络运营商:作为连接用户、金融机构和服 务提供商的桥梁,移动通信网络运营商在推动移动支付业务 发展起着关键性作用回。在开放的移动通信网络中,SIM卡存 有该用户签约的所有敏感数据信息,若SIM卡被复制或者冒 领时,所有机密信息将被非法截取。此外数据信息通过移动网 络、红外线视线技术或者“蓝牙”无线网络传递时一般都使用 明文传输,信号有可能被拦截或者被窃听,造成交易协议中的 秘密信息被破解。 (4 设备终端提供商:随着3G网络和手机终端的日益 完善,手机终端承载的功能越来越多,集成各种消费交易功 能的手机支付应用也层出不穷。用户在利用手机终端接入 支付平台时,涉及到用户注册签约信息、用户传递账号及密 码等数据信息,若使用冒牌、山寨的手机终端设备或者连入 不安全的支付终端都将导致签约用户的银行卡账号、用户 移动支付业务在其产业链的大力推进下,产业环境已基 本形成,移动支付将进入一个快速发展时期,成为“十二五” 规划国家信息化战略的重要组成部分之一,因此解决移动支 名、密码等敏感信息受到病毒、木马程序的攻击,威胁用户 银行账号信息安全,是整个移动支付环节的硬件。 4.对策及建议 付产业链中存在的各种安全机制问题迫在眉睫,同时加强产 业链中各环节之间的合作,制定通用的移动支付安全标准, 营造一个健康的移动支付生态环境,共同促进移动支付产业 安全、高速的发展。 参考文献: 【1】张萌.移动支付未来发展前景和趋势Ⅱ].金融电子化,2011, (11):38. (11金融机构需要对用户的II)及密码作加密处理,尤其 对重要的数据信息作硬件加密处理,传输信息时不能以明 文形式出现。用户对系统的访问应有安全日志,把访问动态 信息及时反馈到用户客户端;对所有应用系统发生的错误 要记录在错误日志中,同时反馈到金融机构相关部门及用 户客户端。若出现用户手机意外丢失或者被盗,挂失后金融 机构应迅速冻结与其手机卡号绑定的银行签约信息。金融 机构还应允许用户设置每次交易及每天消费的限额,并提 供消费金额提醒,大大提高安全系数。除此之外,金融机构 应尝试整合出适用于移动支付业务的行业安全标准,不一 定全部统一模式,但应统一移动支付的安全机制。 [2】杨国明.移动支付产业链分析U】.商业时代,2007,(1O):81. [3】何亮.第三方移动支付平台设计与原型系统实现fD】.北京邮 电大学硕士学位论文,2009,(02):9. 【4]郭全明.构建和谐的移动支付产业模式Ⅱ】.金融电子化,2011, (11):40 [5】单美静.移动支付之安全I*'-1题研究Ⅱ].电信科学,2010,(11A): 142 (2)制订和完善关于第三方移动支付服务提供商的相关 法规,通过检测认证、业务许可等手段,将其纳入日常监管, The Security Mechanism of Mobile Payment Zhou Xiaoyu (HaikouCenterBranch ofPeople'sBank ofCh ,Haikou 570105,Hainan) 【J^Jb曩岫瞬】Mobile payment belongs to burgeoning industry,but security mechanism is one of the important factors of restricting its development.The relevant suggestions are put forward to guarantee the high-speed development of mobile payments based on the securiy tproblems in the key link of the industry chain of mobile payment. 【K_ _Dld8】mobile payment;securiyt mechanism ——46——
