移动支付中身份认证技术分析.docVIP

移动支付中身份认证技术分析 　　【摘 要】身份认证技术作为一种能有效保护交易过程安全的方法，可以有效解决移动支付过程中存在的一些安全性问题，本文分析了身份认证的概念，移动支付中安全问题现状，并介绍了几种常用的身份认证技术。 　　【关键词】移动支付；身份认证；信息安全 　　一、前言 　　由于移动互联网的强劲发展，移动电子商务也逐渐凭借技术和应用上的优越性，显示出了强大的生命力和发展潜力。而影响移动支付业务发展的关键问题是安全性。相对于有线网络的连接方式，无线网络没有特定的界限，窃听者无需进行搭线就可以轻易获得无线网络信号。因此相对于传统的电子商务模式，移动电子商务的安全性更加薄弱。如何保护用户的个人信息不受侵犯，除了需要加密措施外，还需要强有力的身份认证，使得窃听者无从盗用用户权限。 　　二、身份认证的概念 　　身份认证系统是认证、授权与访问控制三个系统相结合的产物。认证是指检测用户或设备所声称身份是否有效的过程；授权是赋予用户、用户组对于特定系统访问权限的过程；访问控制指把来自系统资源的信息流限制到网络中被授权的人或系统。授权和访问大多数情况下都是在成功的认证之后进行的。 　　因此，身份认证技术主要基于以下要素： 　　（1）“What you know”，如密码和身份证号码等； 　　（2）“What you have”，如一个动态口令卡、一个IC卡或USBKey等； 　　（3）“Who are you”，根据被认证对象身上所具有的特征，如指纹、瞳孔等； 　　（4）“Where are you”，根据被认证方所在的位置如地理位置、IP地址等 　　三、移动支付中安全问题的现状 　　（一）信息的泄露。用户在使用手机进行支付时，加密等安全措施保护力度不高，黑客们就可以通过钓鱼网站、木马程序等手段窃取用户信息，将被移动支付功能进行非法复制，从而造成用户的损失。 　　（二）商家和消费者合法身份的确认。移动支付将银行、商家、消费者紧密地联系起来，并涉及大量的现金往来，如何解决合法身份认证就显得尤为重要。 　　（三）用户信用体系的建设和完善。通常一些小额支付业务可以通过扣除手机话费的方式进行付费交易，于是就可能产生手机话费透支、恶意拖欠等现象。同时，由于我国手机号管理不够完善，许多手机号购买时尚未采取实名制管理，由此可能造成恶意透支现象发生。 　　（四）移动终端丢失给移动支付用户带来的损失。移动支付通常是手机卡与银行卡、信用卡相关联，由此可能存在用户在丢失手机后自己的移动支付帐户被他人冒用的风险。 　　四、常用身份认证技术 　　（一）静态口令认证技术 　　静态口令认证是指用户设置登录的用户名和密码，电子商务系统通过验证用户名和密码来确认用户的身份。这种认证机制方法表面看来比较简单，开销小，但实际上，由于许多用户为了防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码，或者把密码抄写在某个自认为安全的地方，这样很容易造成密码泄漏。 　　为提高静态口令的安全性，通常会控制口令的内容。例如，对口令长度和内容的限制（如要求口令长度达到一定长度，要多种符号混合输入等）、要求定期更换口令、不同系统功能采用不同的口令等。采用这些方法可以从口令的复杂程度上提高系统的安全性，但是并不能从根本上解决安全问题，同时也造成用户使用的不方便。但对于安全性要求不是很高的领域，静态口令认证仍然是一种可取的方式。 　　（二）动态口令认证技术 　　以一次性动态口令登录，每次登录的认证信息都不相同。由于每个正确的动态口令只能使用一次，即使非法用户截获了己经通过验证的正确口令，再次提交到认证服务器也不能通过验证，因此不必担心口令在传输认证期间被第三方监听到，从而提高登录过程的安全性。 　　（三）基于数字证书的认证技术 　　数字证书包含用户身份信息、用户公钥以及证书发行机构对该证书的数字签名信息。证书发行机构的数字签名可以确保证书信息的真实性，用户公钥信息可以保证数字信息的完整性，用户的数字签名可以保证数字信息的不可抵赖性。 　　基于X.509证书的认证技术适用于开放式网络环境下的身份认证，该技术已被广泛接受，许多网络安全程序都可以使用X.509证书，如IPsec、SSL、SET、S/MIME等）。但它不可避免地存在着某些缺陷，如：在发布最初的证书时，CA如何验证一个远程用户提供的信息的真实性问题；用户私有密钥保存的安全问题；用户用于取出私钥的通行字的质量问题等等。此类问题在理论上虽不难解决，但在具体实施中却很困难。 　　（四）基于智能卡认证技术 　　智能卡（Smart Card）是一种集成的带有智能的电路卡，它不仅具有读写和存储数据的功能，而且能对数据进行处理。智能卡由于其硬件软件的多种措施的保护，保证了卡内的个人信息不会轻易的被第三方窃取，且其内部自带的数据处