移动支付安全性和讨论.doc

关于移动支付安全性 学校：重庆邮电大学 专业：物联网信息工程 导师：王浩 班级：0851203 姓名：牛晓龙 学号：2012212808 移动支付安全性的分析 摘要 移动互联网时代，移动支付是我们生活必不可少的一部分。本文通过对移动支付流程中漏洞的分析，主要从技术层面和法律保障两个方面探讨移动支付安全性问题，提出改进的移动支付安全机制。 关键字 移动支付 移动支付流程 技术层面 法律保障 移动支付安全机制 1、移动支付概述 根据移动支付论坛的定义，移动支付是指交易双方为了某种货物或业务，通过移动设备进行的商业交易,移动支付所使用的移动终端可以是手机、PDA 和移动 PC 等。它是继银行柜台、自助银行、电话银行和网上银行之后出现的新的服务渠道。用户使用移动设备可以随时随地完成商品支付业务，其安全、方便、操作简单、贴身服务、多功能、低成本、覆盖面广和不受时空限制等特点，蕴藏着巨大的商机。作为移动电子商务的一个重要环节，移动支付处理得好坏将直接影响移动电子商务的拓展。整个移动支付价值链包括移动运营商、支付服务商（比如银行、银联等）、应用提供商（公交、校园、公共事业等）、设备提供商（终端厂商、卡供应商、芯片提供商等）、系统集成商、商家和终端用户。在移动互联网时代，移动支付得到了飞速的发展，起初，移动支付主要的市场在于欧美日韩等发达国家，近年来，随着中国互联网系统的发展，移动支付在中国的市场份额越来越大。C2C、B2C、C2B、O2O等电子商务模式的成功，使得移动支付成为人们日常生活的一部分。但是随着受服务者越多，资金投入越大，移动支付的安全性问题成为最大的隐患。手机移动支付的实现方式[1]： 一是通过远程控制来完成支付，即在线支付如：短消息业务（SMS，Short Message Service） 、无线应用协议（WAP，Wireless Application Protocol）、互动式语音应答（IVR，Interactive Voice Response） 、非结构化补充数据业务（USSD，Unstructured Supplementary Service Data）等。二是通过近距离无线技术完成支付，其主要有以下几种方式：1） 双界面SIM卡技术（ 将天线及射频芯片集成在SIM卡中）。2）RF-SIM卡技术（通过附于其上的RFID模块、天线与读卡器进行近距离无线通信） 。3） NFC技术（ Near Field Communication，即近距离无线通信）。 移动支付流程 一般来说，移动支付系统包括四个部分：消费者、商家、金融机构和移动运营商。移动支付流程如下： 消费者选择商品，发出购买指令。购买指令通过无线运营商支付管理系统发送到商家商品交易管理系统； 商家将消费者的详细购买信息通过无线运营商支付管理系统发送到消费者手机终端进行确认操作，得到确认后再继续往下操作，否则停止； 消费者确认支付后，无线运营商支付管理系统记录详细的交易记录，同时通知金融机构在商家和消费者的账户间进行支付与清算，并且通知商家提货或提供服务； 商家供货或提供服务； 交易结束。 　　从上述流程可看出，移动运营商的支付管理系统是整个支付过程中具有核心纽带功能的组件，它要完成对消费者鉴别和认证、将支付信息提供给金融机构、监督商家提供产品和服务、进行利润分成等。消费者发出购买指令时，消费者的权限和开户行账号等信息先传到移动运营商的支付管理系统，而不是商家系统。移动运营商只知道消费者的账户可用额度信息，初步判断消费者是否有足够的余额进行购买。消费者的开户行账号详细信息由金融机构进行管理，接到经消费者确认的支付指令后，银行进行账户处理、支付和清算。移动运营商不能进行消费者账户处理，商家更不可以进行消费者的账户处理。这样，避免了消费者被欺骗的可能性；同时由于消费者的个人资料不是存放在商家系统中，也保护了消费者的隐私权。 移动支付安全性标准 安全方案的目标是保证在安全方案执行完毕时能实现其安全性质。安全方案的安全性质主要有以下几个方面[2] 。 3.1可认证性 认证是最重要的安全性质之一, 所有其它安全性质的实现都依赖于此性质的实现。认证是分布式系统中的主体进行身份识别的过程。有三种认证方法:①主体使用只有验证者与其共享的密钥加密消息, 验证者使用同一密钥解密消息验证主体的身份。② 主体使用其私钥对消息签名, 验证者使用主体的公钥验证签名以验证主体的身份。③ 主体通过可信第三方来证明自己的身份。 3.2秘密性 秘密性是指保护协议消息不被泄漏给未被授权的人, 即使是攻击者了解消息的格式, 他也无法从消息内容中得到有用的信息。保证秘密性最直接的办法是对消息进行加密, 将消息从明文变