作者:計世網(wǎng)3G頻道主編 吳茂林
移動支付安全問題
2002年,國內(nèi)第一個移動電子商務(wù)平臺(話費和積分支付)和國內(nèi)第一套移動電話自動售貨機系統(tǒng)在重慶正式運營;2007年6月,國內(nèi)第一個非接觸式手機錢包業(yè)務(wù)——“長江掌中行”在重慶正式商用,他們揭開了移動支付的新篇章。
盡管移動支付,特別是手機支付手段備受專家及商戶、銀行、運營商等青睞,但是在它帶來方便快捷的同時,人們也在擔心它的安全性究竟有多高。
在一項調(diào)查中,國內(nèi)40%的消費者對移動支付的安全性缺乏信任,只有低于15%的手機用戶完全信任移動支付,而65%的手機用戶拒絕通過移動網(wǎng)絡(luò)發(fā)送自己信用卡資料。超過90%的手機用戶都收到過詐騙短信。中國金融認證中心副總經(jīng)理曹小青評價道,“安全問題將成為制約移動應(yīng)用發(fā)展的主要因素之一”。除了擔心支付安全問題,擔心個人資料泄漏也是很多用戶的共識。
在整個移動支付的過程中涉及到的支付參與者包括:消費用戶、商戶用戶、移動運營商、第三方服務(wù)提供商、銀行。消費用戶和商戶用戶是系統(tǒng)的服務(wù)對象,移動運營商提供網(wǎng)絡(luò)支持,銀行方提供銀行相關(guān)服務(wù),第三方服務(wù)提供商提供支付平臺服務(wù),通過各方的結(jié)合以實現(xiàn)業(yè)務(wù)。從目前來看,主要有三大因素對移動支付的安全問題造成影響:
一、加密問題和即時性問題是手機支付普及的主要障礙,雖然WAP功能的手機支付時,能夠采用移動網(wǎng)絡(luò)的加密技術(shù),相對而言,并不能很有效的保證安全。如果引入短信確認實現(xiàn)手機支付的雙重確認方式,又會因為短信的中繼問題,有可能造成短信不能及時到達,影響支付的流程。
二、身份識別的缺乏是限制移動支付應(yīng)用的第二大原因。當手機僅僅當作通話工具時,密碼保護并不是很重要。但作為支付工具時,移動信息化提高了手機等手持終端的重要程度,設(shè)備丟失、密碼被攻破、病毒發(fā)作等問題都會造成重大損失。
三、信用體系的缺失是限制移動信息化應(yīng)用的第三大原因。在手機支付中,一些小額支付可以捆綁在手機話費中,但手機話費透支、惡意拖欠十分常見,信用意識以及體系的不完善,也制約了移動信息化的普及、推廣。 要解決這個問題,必須實施“手機實名制”制度。
安全支付技術(shù)四大類
目前用到的手機支付技術(shù)主要有四大類,第一類是RFSIM卡技術(shù),它是將無線射頻模塊嵌入到手機SIM卡中,從而使SIM卡同時具有射頻識別卡的功能,使手機可以與讀卡器(POS)之間進行非接觸式數(shù)據(jù)交換,如此以來,用戶在原來的SIM卡通訊功能基礎(chǔ)上還能實現(xiàn)各種支付操作。
這種模式的作用主要表現(xiàn)在如下幾方面:
第一、 可移動,在更換手機時可以方便轉(zhuǎn)移移動電話服務(wù),證書和相關(guān)增值服務(wù);第二、多用途,每個服務(wù)供應(yīng)商可以單獨控制自己在SIM卡安裝的軟件以及SIM卡的區(qū)分不受運營商控制;第三、遠程管理,通過OTA可以進行遠程軟件管理以及提供個性化的應(yīng)用服務(wù);第四、安全更勝一籌。
第二大類就是NFC手機,例如諾基亞6131i、諾基亞6216c,它們在手機中嵌入NFC模塊,這項技術(shù)在日韓的應(yīng)用相當廣泛和成熟,也深受用戶喜愛。這種應(yīng)用中,NFC芯片和應(yīng)用安全芯片是獨立于SIM卡之外的,比如我國廈門的試點。但這樣會產(chǎn)生很多問題:手機斷電怎么辦?互操作性問題如何解決?成本如何控制?更換手機如何保持業(yè)務(wù)連續(xù)性?
如何解決這些問題,例如法國非接觸芯片廠商Inside Contactless就有一個解決方案,即在手機中單獨設(shè)立安全芯片用于管理NFC移動支付相關(guān)應(yīng)用和用戶數(shù)據(jù),但該芯片沒有SIM卡的允許便無法激活。因此對于移動運營商來說,SIM卡就是一個遠程的開關(guān)。
美國智能讀卡器及軟件開發(fā)商Vivotech公司的解決辦法是,在NFC手機中放置一應(yīng)用安全芯片,但是這個芯片不與SIM卡相連,運營商可以通過控制該芯片的密鑰來控制NFC手機。這個方案最妙的就是在這個芯片內(nèi),銀行和SP等組織可以有自己的密鑰來控制自己的相關(guān)應(yīng)用。就好比,運營商手里拿著大樓的鑰匙,而房間的鑰匙掌握在銀行等手中。
第三類就是依托網(wǎng)絡(luò)的空中支付,這也是目前使用最廣泛,被最多的網(wǎng)購用戶所采有的支付方式。它使用WAP網(wǎng)絡(luò)、短信確認、第三方支付平臺等來實現(xiàn)“空中”的支付,這個方案與RFSIM和NFC手機最大的區(qū)別就在于通過網(wǎng)絡(luò)和軟件實現(xiàn),手機不用改變?nèi)魏斡布O(shè)備即可完成支付。
中國金融認證中心副總經(jīng)理曹小青認為,要想保證移動支付的安全性,作為移動支付的重要安全保證,數(shù)字證書的存儲方式尤為重要,SIM卡貼片將是最安全的存儲方式。確實,與計算機相比,手機內(nèi)存小、可利用的資源少、功能簡單,但這種“與生俱來的缺陷”,竟成為手機天然具備的抗病毒的強大免疫力,而且手機的私人性使得不法分子獲取個人賬戶和密碼資料的可能性大大降低,如此一來,網(wǎng)銀大盜往往難以對手機支付用戶下手。在很大程度上,手機支付的安全性大于網(wǎng)上支付。
第四類是USSD(Unstructured Supplementary Service Data,非結(jié)構(gòu)化補充數(shù)據(jù)業(yè)務(wù))服務(wù),它是一種基于GSM網(wǎng)絡(luò)的新型交互式數(shù)據(jù)業(yè)務(wù),如證券交易、移動銀行業(yè)務(wù),專業(yè)性強,提供服務(wù)的企業(yè)對安全問題上也相當?shù)目粗亍?/p>
移動支付的安全認證技術(shù)
由于移動終端的計算環(huán)境和通信環(huán)境都非常有限,這就需要對相應(yīng)的安全認證做一些特殊要求。
1.WPKI 安全標準概況
WPKI (Wireless PKI)是有線PKI的一種擴展,它將互聯(lián)網(wǎng)電子商務(wù)中PKI的安全機制引入到移動電子商務(wù)中。WPKI采用公鑰基礎(chǔ)設(shè)施、證書管理策略、軟件和硬件等技術(shù),有效地建立了安全和值得信賴的無線網(wǎng)絡(luò)通信環(huán)境。
WPKI以WAP的安全機制為基礎(chǔ),通過管理實體間關(guān)系、密鑰和證書來增強電子商務(wù)安全。WAP安全機制包括WIM(WAP Identity Module,無線應(yīng)用協(xié)議識別模塊)、WMLSCrypt(WML Script Crypto API,WML腳本加密接口)、WTLS(Wireless Transport Layer Security,無線傳輸安全層)和WPKI四個部分。
以上各部分對實現(xiàn)無線網(wǎng)絡(luò)應(yīng)用的安全分別起著不同的作用。WPKI作為安全基礎(chǔ)設(shè)施平臺,一切基于身份驗證的應(yīng)用都需要WPKI技術(shù)的支持,它可與WTLS、TCP/IP相結(jié)合,實現(xiàn)身份認證、私鑰簽名等功能。WPKI的主要組件包括:終端實體應(yīng)用程序(EE)、PKI門戶(PKI Portal)、認證中心(CA)、目錄服務(wù)(PKI Directory)、WAP網(wǎng)關(guān),在應(yīng)用模型中還涉及數(shù)據(jù)提供服務(wù)器等設(shè)備。
在WPKI中,代替RA(Registration Authority)的功能組件是PKI 門戶(PKI Portal ),它是一個網(wǎng)絡(luò)服務(wù)器,負責把WAP客戶的需求轉(zhuǎn)發(fā)給PKI中的RA和CA(Certification Authority)。CA主要負責生成證書、頒發(fā)證書和刷新證書等。WAP Gateway負責處理客戶與源服務(wù)器之間的協(xié)議轉(zhuǎn)換工作。WTLS 是經(jīng)傳統(tǒng)網(wǎng)絡(luò)的TLS協(xié)議改進和優(yōu)化而得來的,主要保證傳輸層的安全,WPKI也是對IETF PKIX標準的優(yōu)化,使之更適合無線環(huán)境。
2.WPKI的加密算法和密鑰
WPKI是通過管理實體間關(guān)系、密鑰和證書來增強電子商務(wù)安全的,與WAP安全標準相比,WPKI所采用的ECC(Elliptic Curve Cryptography,橢圓曲線密碼)密碼系統(tǒng)更適合在無線設(shè)備中使用。同樣強度的密鑰,ECC的密鑰長度(163bit)只是其他方案的六分之一(1024bit),但163bit的密鑰長度對窮舉密鑰攻擊幾乎是絕對安全的,因為窮舉163bit的密鑰個數(shù)有1.156×1049個,按每秒鐘測試1億個密鑰計算,也要3.6×1032年!
- ←←微信掃描二維碼,即可將本文分享到朋友圈
- 版權(quán)申明:部分文章轉(zhuǎn)載或來源于投稿,不代表本站贊同其觀點,如有異議,請聯(lián)系我們。
- 上篇文章:中國移動G3業(yè)務(wù)征集范圍不包括短信
- 下篇文章:移動招募3G合作方免費一年
- 無線 諾基亞 芯片