本站原创安全技术在移动支付中的应用
1.移动支付概述
百度百科上对移动支付的定义:就是允许用户使用其移动终端(通常是手机)对所消费的商品或怎么写作进行支付的一种怎么写作方式.整个支付的价值链包括移动运营商、支付怎么写作商(比如银行,银联等)、应用提供商(公交、校园、公共事业等)、设备提供商(终端厂商,卡供应商,芯片提供商等)、系统集成商、商家和终端用户.
据Intuit Digital Wallet机构称,2011年全球手机移动支付总额约为2410亿美元,到2015年将增长至1万亿美元.让很多人没想到的是,最近一项调查数据显示,从全球范围看,移动支付普及率最高的地区是非洲.68%的肯尼亚成年人都在使用手机钱包,此比例位居世界第一.其所处的环境跟我国农村的环境有类比性,对我国在农村地区及三四线城市发展移动支付业务是个很好借鉴.
手机移动支付的实现方式:
一是通过远程控制来完成支付,即在线支付如:短消息业务(S,Short Message Service)、无线应用协议(WAP,Wireless Application Protocol)、互动式语音应答(IVR,Interactive Voice Response)、非结构化补充数据业务(USSD,Unstructured Supplementary Service Data)等.
二是通过近距离无线技术完成支付,其主要有以下几种方式:1)双界面SIM卡技术(将天线及射频芯片集成在SIM卡中).2)RF-SIM卡技术(通过附于其上的RFID模块、天线与读卡器进行近距离无线通信).3)NFC技术(Near Field Communication,即近距离无线通信).
2.手机移动支付中的安全问题
2.1 面临的安全威胁
由于智能手机可随时随地接入互联网,安全问题日益突出,同时威胁着手机终端本身、移动网络和互联网的安全运营.
从技术上来说,人为的来自外部的攻击有主动攻击和被动攻击两种.
2.1.1 被动攻击.被动攻击主要是收集信息而不是进行访问,数据的合法用户对这种活动觉察不到.被动攻击包括:嗅探、信息收集、无线截获等.
2.1.2 主动攻击.下面列出当前几种主要的主动攻击类型.
1)检测冒(Masquerading)用户身份.指用户身份被非法窃取,攻击者伪装成一个合法用户,利用安全体制所允许的操作去破坏系统安全.在网络环境下,检测冒者又可分为发方检测冒和收方检测冒两种.为防止检测冒,用户在进行通信或交易之前,必须对发方和收方的身份进行认证.
2)重放攻击(Replay Attacks).是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性.
3)修改(Modification)信息.比如,修改数据包中的协议控制信息,使该数据包被传送到非指定的目标;也可修改数据包中的数据部分,以改变传送到目标的消息内容;还可能修改协议控制信息中数据包的序号,以搅乱消息内容.
4)拒绝怎么写作(Denial of Server).这是指未经主管部门的许可,而拒绝接受一些用户对网络中的资源进行访问.比如,攻击者可能通过删除在某一网络连接上传送的所有数据包的方式,使网络表现为拒绝接收某用户的数据;还可能是攻击者通过修改合法用户的名字,使之成为非法用户,从而使网络拒绝向该用户提供怎么写作.
5)伪造(Fabrication)信息.未经核准的人可将一些经过精心编造的虚检测信息送入计算机,或者在某些文件中增加一些虚检测的记录,这同样会威胁到系统中数据的完整性.
6)否认(Repudiation)操作.这种类型又称为抵赖,是指某人不承认自己曾经做过的事情.如某人在向某目标发出一条消息后却又矢口否认.
7)中断(Interruption)传输.这是指系统中因某资源被破坏而造成信息传输的中断.这将威胁到系统的可用性.中断可能由硬件故障引起,如磁盘故障、电源掉电和通信线路断开等;也可能由软件故障引起.
在智能手机被使用过程中,攻击者可以利用操作系统的漏洞,应用软件上的漏洞以及诱导下载并安装来路不明的软件种种方式对手机进行攻击,给使用者带来损失.
2.2 手机移动支付系统应具备的安全特性
移动支付的整个交易过程完全处于开放的网络环境中,不但要在内容上应得到保护,还要保护交易双方的合法权益.移动支付应满足的安全需求有:
1)交易双方身份的认证(Identity Authentication):确认交易实体的真实性及有效性.这是开展电子商务的前提.
2)数据机密性(Confidentiality):仅允许被授权的用户访问系统中的信息.这是开展电子商务的基础.
3)数据完整性 (Integrity):指未经授权的用户不能擅自修改系统中所保存的信息,且能保持系统中数据的一致性.这里的修改包括建立和删除文件以及在文件中增加新内容和改变原有内容等.
4)交易的不可抵赖性(Non-repudiation):防止发送方或接收方对传输的消息的否认.
5)系统可用性(System Availability):指授权用户的正常请求能及时、正确、安全地得到怎么写作或响应.或者说,计算机中的资源可供授权用户随时进行访问,系统不会拒绝怎么写作.但是系统拒绝怎么写作的情况在互联网中却很容易出现,因为连续不断地向某个怎么写作器发送请求就可能会使该怎么写作器瘫痪,以致系统无法提供怎么写作,表现为拒绝怎么写作.