介绍

随着电子商务在我国的广泛应用，人们使用的支付方式不再局限于现金本身，而是扩展到银行卡、网银、银行等方式。 目前，随着在我国的广泛使用，基于移动终端的应用也越来越广泛。 这种移动通讯工具作为一种更便捷的移动支付功能而应运而生。 人们可以使用手机登录互联网进行远程购物和消费，并可以方便地在商店、商场、超市等进行现场刷卡消费[1-3]。 然而，移动支付作为一种新兴的电子支付方式，拥有传统支付方式*的优势，但其安全性也受到更多关注。 由于目前的移动支付行为是基于银行卡、信用卡与商户的绑定，或者基于手机SIM卡与POS机的近距离，存在密码破解、信息复制、病毒感染等问题。等可能给移动支付造成重大损失。 因此，我们有必要对移动支付的安全性进行分析并通过技术手段予以解决[3-5]。

1 移动支付的概念及分类

1.1 概念分析

目前，日常生活中围绕移动支付出现了很多新的支付术语，包括手机支付、手机支付、手机钱包、手机钱包、手机银行、手机银行等，而且它们之间又各有不同。

所谓移动支付，又称手机支付，是一种允许用户使用移动终端（通常是手机）对所消费的商品或服务进行支付的服务方式。 单位或个人通过移动设备、互联网或近距离传感器，直接或间接向银行、金融机构发出支付指令，产生货币支付和资金转移，从而实现移动支付功能。 移动支付整合终端设备、互联网、应用提供商和金融机构，为用户提供货币支付、账单支付等金融服务[6]。 所谓手机钱包，又称手机钱包，是指中国移动开发的基于射频识别技术（RFID）的小额电子钱包业务。 用户办理该业务后，可使用手机在中国移动合作商户的POS机上刷卡。 手机钱包（手机钱包）是中国移动用户用于移动电子商务交易支付的中间账户。 能够更好地满足银行小额移动电商结算处理需求，满足商户小额商品交易管理需求，方便用户使用。 用户开通手机钱包业务后，即可拥有与该账户绑定的消费账户。 直接充值到这个账户[7]。 这就像将钞票内置到手机中一样。 在商户购物时，在POS机上刷卡即可在机器前晃动手机结账，也可以上网或发送短信进行远程购物。 此外，该服务还可用于企业门禁系统和企业内部消费，如食堂就餐、内部消费等。

所谓手机银行，又称手机银行，是利用移动通信网络和终端办理相关银行业务的简称。 手机银行由手机、GSM短信中心和银行系统组成。 手机银行操作过程中，用户通过SIM卡上的菜单向银行发出指令后，SIM卡根据用户的指令生成并加密规定格式的短信，然后指示手机发送短信向 GSM 网络发送消息。 GSM短信系统收到短信后，根据相应的应用程序或地址，传输到相应的银行系统。 银行预处理短信，然后将指令转换为主机系统格式。 银行主机处理用户的请求并将结果返回给银行接口系统，由银行接口系统进行处理。 将结果转换为短信格式，短信中心将短信发送给用户。

通过对比三组概念我们可以发现，移动支付（ ）是一个整体概念，用户通过移动设备、互联网或近距离传感进行移动业务处理。 手机钱包（ ）更偏向于小额电子钱包业务。 其主要消费方式是在POS刷卡机前刷卡进行现场支付。 手机银行（手机银行）主要办理相关银行业务，是指用户使用手机进行银行操作时，实际上是在与银行进行相关业务交易，如账单查询、银行转账等。

1.2 方法分类

基于移动支付在电子商务中的应用，我们认为移动支付按照业务类型可以分为以下几种方式：

1）SMS（短消息服务），最终用户通过发送短消息请求服务内容，费用从用户的话费中扣除。 通常只适合小额支付，例如使用短信支付服务下载铃声等。

2）WAP（无线应用通信），最终用户通过访问WAP站点进行简单的金融服务。 用户可以在手机上通过互联网进行远程操作，如在网上购物、缴纳电话费、水费、电费、煤气费等。 等待。

3）USSD（非结构化补充数据服务）是一种基于GSM网络的新型交互式数据服务，如证券交易、手机银行等。

4）NFC（on，短程通信）是一种短距离无线连接技术。 用户可以使用“手机钱包”在便利店、商场、超市等合作商户POS机现场进行购物。 异地现场刷卡消费。

2 国内外移动支付发展现状

2.1 国外发展现状

美国三大移动通信运营商AT&T、T-和于2010年11月联合成立移动支付公司ISIS。该公司计划2012年在盐湖城进行试点，利用移动支付能力完成销售为盐湖城零售商提供解决方案，并为犹他州交通管理局提供移动票价支付方式。 该公司设想盐湖城和其他城市成为消费者不必随身携带钱包并使用手机而不用现金和信用卡支付的地方。 近日，美国2010年至2013年账单支付渠道和方式预测数据发布，显示未来三年移动支付将增长377%，成为美国人日常账单支付增长最快的渠道，包括网上支付和借记卡支付。 ，付费也将分别增加18%、4%和1%[8]。

欧盟于2007年底开始重视移动支付功能，英国信用卡发卡机构、诺基亚等合作推出移动钱包服务，主要用于乘坐公共交通、买报纸时的小额支付。 截至2011年3月，欧洲五国（英国、法国、西班牙、德国、意大利）市场共有手机用户2000万，其中8.5%开通了移动支付功能。

日本的移动钱包已扩展到大额支付，甚至包括消费信贷和股票投资服务。 日本移动支付市场发展的首要推动力是。 早在1999年，i-mode移动互联网服务就推出并取得了巨大成功。 为发展移动信用卡业务，2005年4月，与三井住友金融集团（SMFG）及其子公司三井住友卡、三井住友银行结成战略联盟，斥资980亿日元开发移动支付功能[9] ]。

在韩国，目前70%的电子支付（即超过10亿美元的交易额）都是通过移动支付完成的。 韩国几乎所有零售银行都与运营商合作提供手机银行服务。 现在，每月有超过30万人在购买新手机时选择特殊的存储卡插槽来存储银行交易数据并在交易时加密信息。

2.2 国内发展现状

在我国，移动支付行业是一个新兴行业。 截至2010年底，我国手机用户7.4亿户，具有移动支付功能的用户1.92亿户，交易笔数6268.5万笔，支付总额170.4亿元。 此外，还开展了多个试点应用示范项目，包括湖南移动、重庆移动、厦门移动、广东移动、南京移动等。其中，湖南移动于2009年下半年开始试点工作。目前，主要应用包括湖南移动办公楼门禁、食堂就餐、美容院消费、停车场支付等。 重庆移动在小额支付领域构建了全国最成熟的现场手机小额支付业务环境。 截至2009年8月，重庆RFID现场移动支付用户数量已达50万，商户数量达4000家，安装POS机5500多台，月消费超过500万元，用户充值金额超过300万元。 厦门移动采购了2万张双界面SIM卡用于公交卡应用。 目前已发卡500张，效果良好。 此外，厦门移动正在与厦门易通卡、建设银行洽谈打造移动支付平台。 广东移动决定建设基于双界面SIM卡的移动支付平台，主要应用于广州地铁项目。 此外，广东移动已应用于楼宇门禁、食堂就餐等，员工充分体验到了该技术带来的便利。 南京移动新推出的“智汇手机卡”业务将惠及全市700万移动用户。 市民可以使用移动支付在公交车、地铁、出租车上完成消费交易，甚至去超市购物、加油站加油。 。

3 移动支付的安全问题

3.1 移动支付安全问题现状

在分析国内外移动支付使用现状后，我们提出移动支付可能隐藏的安全问题如下：

1）普通手机通常不具备加密技术，往往导致支付过程中信息泄露，成为移动支付发展的一大难题。 用户使用手机进行支付时，不受加密等安全措施的保护。 黑客可以通过网络钓鱼或木马程序窃取用户信息，非法复制移动支付功能，给用户造成损失。

2）关于交易各方的身份识别，移动支付要解决的一大问题是商户和消费者合法身份的确认。 由于移动支付拉近了银行和商户的距离，且涉及到现金转账，如何解决合法的身份认证就显得尤为重要。

3）用户信用体系有待进一步建设和完善。 通常一些小额支付业务可以通过扣除手机话费的方式进行支付交易，因此可能会出现手机话费透支、恶意欠费等情况。 同时，由于我国管理不完善，很多购买没有采取实名制管理，可能会导致恶意透支。

4）手机丢失会给移动支付用户带来损失。 由于手机方便携带，日常生活中经常丢失手机，而移动支付通常与手机卡、银行卡、信用卡联系在一起。 这可能会导致用户的移动支付账户在丢失手机后被盗用。 被他人使用的风险。

移动支付的系统结构如图1所示。 移动支付由银行、商户、移动支付服务提供商、认证中心、用户等组成。系统还与移动网络运营商、移动网络内容服务提供商、信用卡服务商进行通信。 当其他机构相互进行业务往来时，如此庞大、复杂的移动支付产业链的安全问题不仅涉及技术本身的安全防范，还要考虑与其他系统信息的安全传输。

3.2 移动支付安全特性

在考虑移动支付面临的安全问题后，我们认为移动支付系统需要具备以下特点：

1）交易双方身份的认证：移动支付功能应能够确认交易双方的身份。

2）数据和信息的隐私：交易必须保持其不可侵犯性。 通过网络发送和接收的信息不应被任何入侵者读取、修改或拦截。 黑客在侵入计算机系统之前，常常利用网络窥探的方式收集用户登录系统时输入的账号、密码、用户名等重要信息，然后利用假名入侵系统。

3）数据和信息的一致性和完整性：移动支付交易必须保证交易不被破坏或干扰。 电子交易的内容在用户端与服务器之间的传输过程中必须确认没有被改变，即信息在交易过程中被处理。 不能随意添加、删除、修改。

4) 不可否认性：移动支付必须是一种安全的服务，防止发送者或接收者否认所传输的消息。 也就是说，当接收方收到消息时，可以提供足够的证据向第三方证明该消息确实来自发送方，使得发送方无法否认发送了该消息。 同样，在发送消息时，发送者也有足够的证据证明接收者确实收到了该消息。

4 移动支付安全技术分析

通过对移动支付安全问题的分析，我们认为可以通过无线公钥基础设施（WPKI）、WAP安全、身份认证等方法来保证移动支付的安全。

4.1 无线公钥基础设施（WPKI）

WPKI()是有线PKI的扩展，将互联网电子商务中PKI的安全机制引入到移动支付交易过程中。 WPKI通过采用公钥基础设施和证书管理策略，有效地建立了安全有效的无线网络通信环境。 WPKI基于WAP的安全机制，通过管理实体之间的关系、密钥和证书来增强移动支付的安全性。 WPKI作为安全基础设施平台，所有基于身份认证的应用都需要WPKI技术的支持。 可以与WTLS、TCP/IP结合实现身份认证、私钥签名等功能。 WPKI的主要组成部分包括：最终用户实体应用程序（EE）、PKI门户（）、认证中心（CA）、目录服务（）、WAP网关、服务器等设备。 WPKI的基本工作原理如图2所示：

WPKI的基本工作原理是[10]：

1) 用户向RA提交证书申请；

2）RA对用户的申请进行审核，审核通过后，将申请提交给CA； CA为用户生成一对密钥并制作证书，并将证书交给RA；

3）CA还将证书发布到证书目录中，供有线网络用户查询；

4) RA保存用户的证书，为每个证书生成证书URL，并将该URL发送给移动终端用户；

5）同时有线网络服务器下载证书列表进行备份；

6) 移动终端将文档、签名和证书URL发送到WAP网关，建立安全的WTLS/TLS连接；

7) WAP网关与有线网络服务器建立TLS/SSL连接；

8）移动终端与有线网络服务器实现信息安全传输。

4.2WAP协议安全方法

我们可以通过WAP协议来解决移动支付交易协议的安全问题。 WAP的安全主要是通过WTLS/TLS和.

1）WTLS/TLS。 无线安全传输层（WTLS）是基于行业标准开发的安全协议，是设计用于传输层之上的安全层。 WTLS的功能类似于用于信息的SSL加密传输技术。 可以保证数据在传输过程中进行编码加密，防止黑客在数据传输过程中窃取机密信息。 WTLS 旨在在两个通信应用程序之间提供隐私、数据一致性和身份验证服务。 WTLS支持不同的安全级别，每个级别涉及不同的握手（Hand-）要求。 更高级别的安全性可能需要更复杂的握手过程和更大的带宽。 WTLS支持不同的加密机制，并根据密钥的长度划分不同的安全级别[11]。

2）。 用户可以通过输入一些文本来决定接受或拒绝书面申请。 WAP浏览器提供了要求用户输入一些字符串的功能。 调用该方法时，将显示用户输入的字符串并要求用户确认。 例如，当用户接受时，必须输入 PIN。 数据签名后，将签名和数据发送回服务器，服务器获得数字签名后验证用户的身份。

4.3 身份认证方式

在移动支付中，最关键的问题是用户身份认证。 我们提出以下五种方法来提供不同安全级别的身份验证：

1）号码实行实名制管理；

2）移动支付添加固定密码；

3）移动支付过程中，使用共享密钥并进行对称加密进行数据交换；

4）移动支付可采用动态密码管理，密码必须安全管理；

5）移动PKI可用于移动支付中的身份认证，如WIM。

在实际操作中，会根据不同因素和安全需求确定不同的身份认证方式。 小额移动支付认证可以使用号码和固定密码认证，大额移动支付认证可以使用固定密码和动态密码，提高安全性。 而且，基于WIM的移动PKI认证方法可以同时满足上述两个要求，从而可以完成更多的移动支付功能[5]。

5结论

随着手机的广泛使用，用户通过手机完成移动支付变得越来越普遍。 人们不仅可以通过移动支付在网上购物、办理日常消费、办理银行相关业务，还可以使用手机钱包在POS机上进行近距离刷卡购物，极大地方便了人们的生活。 但移动支付的安全问题也不容忽视。 在研究移动支付安全技术方面，我国可以采用统一的标准和规范，完善交易流程、加密和电子认证、在线支付、信用管理、供应链管理、系统集成等关键技术，逐步制定移动支付安全标准。 - 商业业务和技术规范。 加快制定和完善行业相关业务规范和标准，加大安全芯片、SIM卡、智能卡读卡设备等研发力度，共同推动移动支付的行业应用[6]。 （文/教育部研究院 郝文江 吴杰）

关于作者：

郝文江（1975-），男，山东人，工程师，博士，主要研究方向：信息网络安全等； 吴洁（1984-），女，山西人，助理工程师，本科学历，主要研究方向：信息网络安全等。