无线支付的安全技术

本文简单介绍了当前的无线支付框架，描述了无线支付面临的威胁以及常用的安全措施。本文不对通常我们熟悉的关键安全技术进行讲解，而是重点介绍解决安全问题的策略实现。

关键词：无线支付，电子商务，无线安全

前言

无线网络的发展和移动终端的日益增多，极大地促进了无线支付的发展。无线支付是指利用手机等手持设备通过无线网络进行交易。基于移动通信的电子商务以其便捷、灵活等特点越来越受到人们的欢迎。但是，无线支付至今尚未得到广泛普及，其中一个因素就是无线支付的安全性。无线支付网络和手持系统的处理能力有限以及目前基于复杂性的安全计算也制约了移动电子商务的快速发展。基于移动终端的智能卡等无线支付形式包括基于位置的应用、移动交易服务、移动娱乐、移动多媒体、移动信息点播等各类增值业务。

无线支付流程及框架

用户通过手持终端访问电商提供商构建的电商平台，然后由用户的ISP保证服务的安全性。银行和可信赖的第三方可以参与这个过程，以保证交易双方的权益和未来的仲裁纠纷。基于这个解决方案，自由用户之间也可以进行交易（如虚线所示）。无线支付可以使用小额支付、无线电子钱包和无线电子现金。无线电子钱包和无线电子现金是我们日常生活中使用的货币的数字化，用户需要提前预留一定数量的现金才可以使用。

无线支付的安全性

无线支付的安全性应保证交易双方的合法权益不受不法入侵者的侵害。一般主要涉及以下几个方面：

（1）数据保密性：

加密通常用于防止合法或者私人数据被非法用户获取，从而保证只有交易的双方知道交易的内容。

（2）完整性（）：

确保交易对方或者非法入侵者无法修改交易内容。

（3）可用性：

授权者（交易双方）可以随时安全地使用信息和信息系统服务。可用性是在遭受大规模拒绝服务攻击后确保交易的安全行为。

（4）身份证明：

交易双方都是可以信任的，保证服务之间相互身份认证，防止欺诈。

（5）授权安全：

确保交易过程中无线（有线）网络和计算资源的使用。

（6）不可否认性：

确保交易的正确性，交易双方均不能否认交易的发生。

无线支付可能遭受的攻击

（1）窃听：

窃听是获取非加密网络信息最简单的方式，这种方法同样可以应用于无线网络，通过使用具有指定方向功能的天线，让无线网络接口集中接收某一方向的信号，就可以轻松监听局域网络。

（2）病毒：

病毒不仅会影响网络，甚至会影响手持终端。虽然国内发现的手机病毒不会对手机造成实质性的破坏，但随着手机功能的提升，这一问题可能会更加明显。同时，蠕虫、炸弹等病毒会对无线网络造成根本性的破坏。

（3）欺骗和木马：

欺骗可以隐藏信息来源或欺骗合法用户。改进的重放攻击和中间人攻击可用于无线支付，以欺骗客户并获取其隐私和机密信息。木马和其他服务程序直接或间接地欺骗用户的信任并驻留在内存中，通常会在系统中留下后门来记录和跟踪交易双方的敏感信息。

（4）密码攻击与协议安全：

过于简单的密码、不完善的协议也会给非法入侵者提供便利，系统的脆弱性也可能导致系统崩溃。（5）拒绝服务（DoS）：DoS是一种使无线网络或支付系统丧失服务功能和资源能力的攻击。除非单独建立无线支付系统，否则无线支付更容易受到网络中各种形式的DoS攻击，因为DoS对语音通信的影响远大于对网络服务的影响。

安全的无线支付方式

基于网络的安全行为——无线网络与网络通信中的支付系统面临着网络威胁，这些威胁可以通过防火墙等安全措施予以应对。但考虑到无线支付系统本身的特点，除了我们通常采用的关键安全技术外，还应重点关注以下几个方面：

（1）防止窃听

防止窃听的最好办法就是对所有可能的地方进行加密，关闭网络标识的广播功能。就目前的技术而言，不可能从本质上防止窃听，但可以保护机密信息（如果加密无法破译），禁止未经授权的用户访问网络。

（2）防止数据丢失

数据丢失意味着需要重新传输数据，这很容易引发重传攻击和中间人攻击，从而造成欺诈。（3）审计线索

无线网络和支付系统的活动应该在受信任的第三方的许可或帮助下进行跟踪和记录，并且这些活动可以与特定的用户账户或活动发起者联系起来。审计线索不仅可以确保授权用户使用并且只使用正确的授权，还可以为未来调查取证和在一定条件下的数据恢复提供依据。

（4）滤波器MAC

MAC 过滤是一种简单实用的网络安全机制，适用于小型网络，可以减少攻击威胁。使用此机制时，应考虑记录和监控 MAC 过滤，以防止通过更改 MAC 地址进行欺骗。

无线支付的前景与挑战

无线电子货币正悄然走进我们的生活，由于无线支付省时、方便、快捷的特点，必然会有更加广阔的前景。据有关部门统计，目前我国手机用户已达1.2亿，而根据IE3[3]的保守估计，到2005年，全球将有3亿用户通过手机进行简单的贸易支付。

当然，随着无线支付进入我们的日常生活，我们也面临一些挑战。无线支付交易通常基于移动终端中的智能卡实现，从目前的技术来看，智能卡是处理能力有限的微处理器，在这种环境下实现安全性，不仅会增加支付系统的投入，也会大大增加用户的成本，用户是否愿意承担这一点还是一个未知数。其次，安全性还需要考虑用户匿名性等问题，即用户可能不愿意暴露自己的身份和敏感信息，此外还有手机与网络之间安全传输的标准等问题。最后，应降低无线支付中的用户费用，大力发展无线支付市场。