新型移动支付安全策略及技术研究

李士雷

摘 要 我国在2011年制定了移动支付的标准，之后移动支付就迎来了高速的发展。现在移动支付已经走进了我们的生活，使我们的生活更加方便。但是移动网络传输数据方式的缺陷，使得对通信数据的截取成为可能，并且当有大量用户同时使用移动支付时，系统终端的处理能力也有很大的局限性。由于以上缺陷的存在，移动支付的安全性引起了人们的注意。文章简要介绍了移动支付产生的背景，移动支付实现的方式以及安全策略。

关键词 移动支付；身份认证

中图分类号：TN929 文献标识码：A 文章编号：1671-7597（2014）05-0001-01

1 移动支付产生背景

随着目前计算机网络技术、移动通信技术、信息技术的迅速发展，移动电子商务紧跟其后蜂拥而至。移动电子商务是移动通信和电子商务相结合的一种新的商务活动。现在世界各国都越来越关注关于移动支付的应用，因此新型移动支付的安全等也就备受重视。

2 手机银行的发展

手机银行（Mobile Bank）是紧随着移动通信技术发展起来的，通过手机移动网络连接到银行服务终端办理相关银行业务的新型商务方式。目前手机都能够直接完成各种银行的金融业务，这些手机都是通过移动网络进行操作。手机银行实际上是网上银行的业务扩展，是移动支付的典型方式，随着移动通信高速发展，传输的实时性为商务交易提供了极大便利，客户只要通过手机的移动网络在可以在任何时间任何地点完成商业交易。

以手机银行为代表的电子支付技术，随着移动通信技术的发展，经历了从GSM语音服务到3G服务的阶段。由于早期技术的限制，最开始使用的是短信银行，到后来的STK银行，现在的方式主要是基于WAP方式、基于K-Java方式、支付宝和微信支付等，手机逐渐成为了个人的金融服务终端。

3 移动支付实现方式

移动支付的实现方式主要可以分为两种方式，一种是远程控制，另一种是近距离的无线技术。下面分别介绍这两种方式。

3.1 远程控制

通过远程控制来完成支付，是一种在线支付。在线支付的方式有很多，主要有短消息业务、无线应用协议、互动式语音应答以及非结构化补充数据业务等。

3.2 近距离无线技术

1）双界面SIM卡技术。这种技术的优势是不需要改造手机，主要增加一个天线组件，就能够实现近距离的无线技术。双界面SIM卡技术，是将天线及射频芯片集成在SIM卡中。当然也是有缺点的，比如SIM中的天线占用了OTA接口，会对正常的电话语音通信信号造成影响。

2）RF-SIM卡技术。RF-SIM是射频用户识别模块的缩写，RF-SIM带有SIM卡模块，可以实现普通的电话短信通信。另外由于其具有RFID模块，还可以进行近距离的无线通信，但是由于技术水平限制，通信距离只在5 m以内。优点是用户只需更换SIM卡，缺点是银行使用的NFC标准与RF-SIM卡技术的通信频率不一致。

3）NFC技术。NFC即近距离无线通信的缩写，与RFID一样，NFC也是通过射频信号来传递信息。NFC终端有主动模式、被动模式和双向模式三种工作模式。

4 移动支付安全策略及技术

4.1 哈希函数

哈希函数将任意长度的输入字符串转化成为固定长度的字符串，也称为杂凑函数或散列函数。若哈希函数表示为H，要进行变换的数字串表示为M，则杂凑值为H=H（M）。哈希函数之所以能够将不同的输入变为相同的输出，是因为哈希函数是一个多对一的函数。哈希函数的一个重要功能就是能实现消息的完整性。

4.2 身份认证技术

身份认证能够确保消息是真是可靠的来源，因此在移动支付安全策略中，系统通过验证技术，对当前用户的身份进行验证十分必要。身份验证系统一般有3个流程：①被验证者出示身份证件；②系统判定被验证者的合法性；③如果是非法者，验证失败，拒绝访问。

4.3 公共基础设施

公钥基础设施（PKI PublicKey Infrastructure）是一种使用公钥加密理论和相关技术为用户提供信息安全服务的基础设施。由定义可知，PKI的主要目的就是管理通信过程中使用的证书和密钥，保证通信网络处在一个安全的通信环境下。所以PKI从技术上解决交易者身份验证和访问权限等问题，为交易过程提供了安全的交易环境。

PKI技术通过CA认证中心（第三方认证机构），将用户的公钥和其他的标识信息捆绑在一起。因而能够对网络通信提供安全。PKI一般由以下几方面组成：CA（Certificate Authority）、RA（Registration Authority）、CRL（Certificate Revocation Lists）以及证书存取库。中端实体可以是支付端的使用者，也可以是通过身份验证的实体；认证中心的主要工作是生成和发放数字证书，并对所生成和发放的证书进行管理；注册机构负责信息录用，审核以及证书发放、管理；证书存储库是必备元素，用来提供数字证书的一些使用方法，一般是证书存取和吊销列表的方法；证书撤销列表发布点不是必须的，认证中心一般通通过它来发布证书吊销列表。

4.4 数字签名

数字签名是在发送的消息上同时附加一些特定的验证数据或者对发送的信息进行密码变换。消息的接受者通过这些数据来确定收到信息的完整性和安全性。仲裁机构会在发生纠纷时根据消息上的签名确认出消息的真实性。数字签名可以防止交易上方的抵赖，同时能够保证交易的完整性，保证交易的信息不会被篡改。

4.5 密码技术

密码学主要研究信息加密、解密以及如何进行密码破译。一个密码系统主要可以分成以下五个部分：明文空间M、密文空间C、密钥空间K、加密算法E以及解密算法D。密码学主要可以分成对称密码和非对称密码这两种类型。对于对称密码，密钥必须是保密的，如果只有密文的话，并不能确定密钥。对于非对称密码，加密和解密使用的算法是一样的，但是使用的密钥是不一样的；私钥是保密的，只有密文的话，并不能够破解密文，知道算法以及密钥和密文中的其中一个，也不能确定另一个密钥。

5 总结

我国在2011年制定了移动支付的标准，之后移动支付就迎来了高速的发展。现在的支付宝、微信等都方便了人们的生活。但是移动网络传输数据方式的缺陷，使得对通信数据的截取成为可能，并且当有大量用户同时使用移动支付时，系统终端的处理能力也有很大的局限性。由于以上缺陷的存在，移动支付的安全性不得不引起人们的注意。本文简要介绍了移动支付产生的背景，介绍了移动支付实现的方式以及安全策略。

参考文献

[1]张丽娜.智能卡中RSA密钥生成的比较与研究[J].计算机应用与软件，2006，26（B06）.

[2]RFID世界网.手机支付方兴未艾普及尚需攻击[EB].http：//news.rfidworld.com.cn/2010_05/ce952362956cb4ec.html.

[3]罗守山，陈萍，邹永忠，刘琳.密码学与信息安全技术[M].北京：科北京邮电大学出版社，2009.endprint