一种基于双因素认证移动支付安全技术探究.docVIP

一种基于双因素认证移动支付安全技术探究 　　【 摘 要 】 移动支付的安全性一直是制约手机支付发展的最大问题，文章阐述了远程支付的安全技术并分析了各种技术的利弊，同时提出了一种基于移动设备序列号的双因素认证方式。 【 关键词 】 双因素认证；移动支付；协议 Research on the Technology of Mobile Payment Security Based on Two-factor Authentication Cao Wei Zhao Yan （School of Cyber-Security，PPSUC Beijing 102623） 【 Abstract 】 The safety of mobile payment is the biggest barrier that restricting the development of mobile payment industry .The article describes the technology of remote payment security and analyzes the advantages and disadvantages of the technologies ，then proposes a two-factor authentication method which based on the IMEI of mobile devices. 【 Keywords 】 two-factor authentication；mobile payment；protocol 1 引言 随着智能手机和网络技术的发展，传统的电子商务和网络购物等行为已经不能满足人们对现代生活的需求，智能手机等移动终端上出现的移动银行、网络商铺等应用受到了许多用户的青睐。与此同时，随着智能卡技术在智能手机上的普及，支持手机等移动设备的非接触支付终端也风靡起来。 2 远程移动支付方式及其安全威胁 2.1 移动支付 移动支付，通常也指移动货币、移动钱包等在金融监管下利用移动设备进行的支付服务。根据支付场所可以分为近场支付和远程支付。近场支付是指利用智能手机等移动终端以非接触式的刷卡方式进行乘坐地铁、刷公交、超市便利店的消费、自助购物设备的支付等；远程支付一般则借助相应的手机终端应用程序，如支付宝、财付通等进行支付。 远程支付已经从过去的Web支付方式过渡到现在的利用智能手机客户端的形式，商家可以套用银行客户端的接口在用户付款时跳转到银行的客户端，将付款的模块交给银行客户端来做，当银行收到买家的付款时，发给商家支付成功的指令，此时商家从银行支付页面跳转回来完成支付。有些应用如支付宝、财付通，是介于商家和银行之间的支付应用层的应用程序，他们支持多种银行和网络商家，使用户省去选择银行的不便，因为有的网络商家的客户端支持的银行并不是很多。 2.2 远程支付方式的安全威胁 远程支付方式的安全威胁主要有几方面。 （1）应用程序的来源不一定可靠：智能手机拥有庞大的软件资源，如安卓系统的应用汇、豌豆荚等下载中心，这里提供了数万种安卓应用供用户下载，可是应用的安全性是没有经过验证的，只能用户自己去判断，用户很容易不小心使用山寨应用和捆绑恶意代码的应用。 （2）支付应用和银行方面的身份验证过程中可能受到攻击或窃听：远程支付是依靠暴露在空中的无线信号来传输的，信息极易遭到非法窃取，如果是使用公共WLAN网络进行远程支付则更容易受到攻击。 （3）数据在传输过程中的保密性可能会受到威胁：在交易时双方需要进行身份认证，数据的保密性在交易传递数据信息时需要被考虑到。 （4）网速不理想情况下支付可能造成多次相同交易：移动网络不可能像有线网络一样一直稳定，所以当网络不稳定、信号不佳的情况下可能会由于应用软件异常情况考虑不够周全造成多次相同交易或多次扣款的状况。 3 远程移动支付的安全技术 3.1 移动支付需要保证的安全特性 远程移动支付是依托于移动通信网络进行的，交易过程相对于传统支付更为开放，因此为了使交易能安全可靠地进行，远程移动支付系统设计必须满足几个安全特性。 （1）保密性。由于移动支付开放性的特点，客户端与服务器端的数据通信比传统方式更容易受到非法截取、篡改，数据的保密性必须受到严格的保证；同时，客户的身份信息、支付账户信息等私人数据的可靠传递也是数据传输过程中需要考虑的问题。 （2）数据完整性。移动支付交易必须保证交易过程不被破坏，交易处理过程中，交易的任一方不能任意增加、删除或修改交易数据，并且交易双方需要在接收到对方数据时对数据完整性进行验证。