移动支付安全问题(精选12篇)
移动支付安全问题 篇1
国际互联网的迅猛发展使基于网络的电子商务模式成为一种重要的商业形态, 互联网、移动通信服务、电子商务进一步融合发展, 特别是移动电子商务市场的不断扩张带动了移动支付需求快速增长, 电信运营商、互联网企业、支付厂商、银行等纷纷进军移动支付领域, 推动支付产业发展壮大。
一、移动支付业务发展现状及特点
目前, 我国已初步形成银行机构、银行卡组织、通信运营商和支付机构等共同参与、分工协作的移动支付服务市场格局。移动通信设备是移动支付业务开展的重要载体, 移动通信设备用户数量在很大程度上影响着移动支付业务的发展速度和覆盖范围。中国互联网络信息中心 (CNNIC) 发布的数据显示:截至2013年12月底, 中国网民规模达6.18亿, 同比增长9.6%;手机网民规模达5.0亿, 同比增长19.0%, 占总网民数的81.0%;手机支付用户规模达到1.25亿, 同比增长了126.0%, 占手机网民总量的25.0%。可见, 手机支付用户的增长速度远远高于网民总规模的增长速度和手机网民规模的增长速度, 移动支付业务的发展潜力和空间巨大。截至2013年7月中旬, 我国共有33家公司获得移动支付业务许可, 涵盖了中国移动、中国联通、中国电信分别注册成立的中移电子商务有限公司、联通支付有限公司、天翼电子商务有限公司。
我国移动支付产业属于新兴产业, 但是发展非常迅速, 主要呈现如下特点:
从支付的额度来看, 目前我国的手机支付大多是一些数额较小的支付交易, 这类交易的安全级别要求较低, 所以发展非常迅速;从业务的推广来看, 主要还是依托通信运营商的客户群;目前的支付业务多数以短信验证的方式接入, 安全性较低。此外, 业务的推出呈现地区割据状态, 地区差异较大。
二、我国移动支付的安全问题
(一) 移动终端和无线网络的安全问题
移动终端的不安全因素主要表现为用户身份、账户信息和认证密钥丢失, 移动设备被攻击和数据破坏, SIM卡被复制, RFID被解密等。现有的移动支付方式, 主要采用银行卡和手机号的绑定来完成, 由于移动终端技术的限制, 所发送的信息缺少安全手段, 普遍缺乏对RSA, AES等加解密算法的支持, 信息的完整性和安全性难以保证。当手机作为支付工具时, 其丢失、密码被攻破、病毒入侵等问题都可能会造成重大损失。
由于技术因素的限制, 无线网络本身也存在安全漏洞。无线通信网络在给用户带来通信自由和灵活的同时也埋下了许多安全隐患。开放的无线接口使移动设备互联十分简便, 但在此开放的网络环境中, 任何适当的移动终端设备都能接入网络, 可以侦听、窃取无线信道中传输的消息。
(二) 移动支付信息传递的复杂性带来安全隐患
移动支付的跨行业特征明显, 产业链上的通信运营商、金融支付机构、电子商务平台等主要参与方需要协作配合才能成功开展支付活动。整个支付过程融合了通信、金融、互联网等相关技术, 支付指令由消费者发起后, 支付机构经信息检验执行支付操作, 商家对支付结果进行确认, 最后反馈交易信息, 完成交易。活动过程中支付信息在不同机构的多个环节传递, 安全隐患较大。目前虽然各参与方在一定程度上已建立起协作关系, 但不同主体所采用的技术方案、业务模式、安全控制手段差别很大, 人们对国内移动支付全流程的安全防护水平仍缺乏信心。
(三) 支撑移动支付安全的法律体系尚不健全
移动支付是在虚拟网络环境中的商务交易模式, 较之传统交易模式更需要政策法规的规范。日韩及欧盟等移动支付发展较为先进的地区都有相对完善的配套法规作为支撑, 与他们相比, 当前我国在互联网及移动支付领域的法律保障方面, 仅有一部涉及电子金融行业的《电子签名法》, 随着电子商务模式的发展, 它难以适应新的形势变化, 我国还没有专门制定单独的移动支付法律规范, 而是在其他法律法规中融入这方面的立法内容, 但都缺乏深入的分析界定, 而且彼此之间没有构成一个成熟的保护体系。从立法主体上看, 目前电子支付领域的法律文件大多数都由中国人民银行和银监会制定, 属于部门行政规章及规范性文件, 法律效力有限, 影响了规范移动支付作用的发挥。
(四) 我国信用制度落后
移动支付发展先进的国家, 基本上市场经济体系都比较完善, 其公民个人在金融服务领域的信用体系也较为完善, 移动支付的发展有相对良好的社会基础。比如日本在发展移动支付业务过程中, 利用健全的法律法规、完善的信用发展体系、良好的纠纷解决机制, 移动支付的发展十分迅速。我国曾长期处于计划经济阶段, 计划经济时代社会经济资源通过政府的行政命令进行配置, 信用在商品交易中的作用并不显著, 信用建设也不被重视, 信用建设的社会基础薄弱。而信用体系的不完善直接影响和限制了移动支付的发展, 一些信用不良的企业和个人利用移动支付的漏洞进行非法活动的风险很大。
三、完善移动支付安全性的对策建议
(一) 消费者要提高自我保护意识和安全防范意识
首先, 由于网络环境复杂, 各种信息充斥其中, 其中不乏钓鱼网站、欺诈短信、中奖信息等容易使消费者轻信上当的内容。在移动支付中, 运营商不断规范自身问题的同时, 消费者应该具有一定的防范意识和辨别能力, 切莫贪图便宜或者贸然进入一些没有任何安全认证的网站, 坚信天下没有免费的午餐, 不给诈骗者任何机会。
其次, 在移动支付交易发生前, 消费者对商户信息的甄别确认非常必要, 通过了解对方经营信息、查看过往交易等手段对商户的考察, 做出能否交易的初步判断。在交易过程中, 消费者要对涉及交易的信息加强保护, 如交易密码、支付验证码, 防止被他人窃取, 并尽量选择具有公信力的支付平台进行操作。
另外, 为了提高消费者防范风险的意识和能力, 要有重点地开展消费者安全教育, 加强对移动终端安全性方面的风险提示, 如提醒消费者购买符合安全标准的手机终端产品、安装杀毒软件并及时杀毒等, 以保护移动支付使用者合法支付权益不受侵害。
(二) 移动支付产业链各参与方应通过相互协作形成合力确保支付安全
移动支付产业链涉及通信运营商、应用提供商、设备提供商、支付服务商、系统集成商等多个参与方, 没有一家机构能主导整个产业链的格局, 在运营模式、安全标准、技术方案等方面, 相关各方应加强沟通协作, 采取合作的态度共同致力提升移动支付的安全。在支付环节, 银行、电信公司及第三方支付公司等主体应在统一的安全架构下设计安全支付流程, 提升支付终端设备、加密认证、应用程序等软硬件方面的兼容性, 整合安全管理体系, 完善应对移动支付安全事件的协同处理机制。
(三) 建立健全移动支付法律法规
鉴于国内立法对移动支付领域未有专项法律进行规范, 笔者建议在我国信息安全立法保护中, 将移动支付单独纳入保护范围, 并设定特有的保护标准, 且对相关专业规章进行升级、优化。借鉴国外的移动电子商务相关法律法规, 完善现有法律法规, 以适应移动支付发展的需要。
移动支付涉及的参与主体很多, 包括政府部门、电信运营商、商业银行、消费者、商家等, 相互之间的业务关系十分复杂, 因此在立法过程中, 首先应明确相关企业、部门和个人的职责与义务, 防止法律管辖和界定不明确的问题。其次加强对移动电子商务从业人员、企业及相关机构的管理, 规范他们的经营行为, 维护移动电子商务活动的正常秩序。还要严厉打击移动电子商务领域中虚假交易、网上诈骗等非法经营活动, 净化市场环境。
(四) 建设和发展统一的信用制度
首先, 政府应担当起构建完善与发达信用体系的职责, 通过教育提高人们的诚信观念和意识, 健全完善信用体系的制度规范, 建立全面的个人和企业信用制度。其次, 信用服务部门应着力于建立成熟的信用评价服务体系, 加快信用数据库建设, 充实和共享信用基础信息, 在个人和企业信用信息基础上建立合理的评价机制, 提供企业和个人信用信息查询和公示服务, 使信用信息更透明、远程交易更放心、监管指标更明确, 为移动支付的发展提供信用支持。
移动支付安全问题 篇2
数据
来源: 虎嗅 B哥小白
一年一度的春晚已经成为了一种新民俗,春晚广告也可视为中国经济的晴雨表。今年春晚突然杀出了一票互联网公司,哪些公司在春晚做巨额投放,哪些公司在春晚受到关注,基本可将其视为新一年的相关细分行业领跑者的最有力争夺者。
从春晚广告中收益最大的该是1996年的标王秦池,6666万广告费的投入让秦池一举跻身中国白酒第一阵营。后来获得高收益的案例还有1998年的爱多VCD,2004年的蒙牛乳业,连续三年冠名春晚的洋河梦之蓝„„到了2014年的马年春晚,这些传统行业的公司好像突然低调起来,我们看到的更多是京东、小米、360、赶集、腾讯(移动安全)、阿里(马云植入)、百度(新闻联播)、苏宁这样的互联网公司,由此可推今年还会有更多的传统企业为“互联网思维”这个热词买单。
春晚广告寸秒寸金,互联网公司舍得为旗下单一产品投下重金广告则也意味着这将是其新一年的战略重点。在今年的春晚广告的BAT中,百度投放手机百度,腾讯分别投了微信和手机腾讯管家,阿里虽然米没投放广告但马云露面了„„这些信号在说明以下这些领域将势必成为今年互联网的竞争焦点。
一,移动安全领域的3Q大战 在腾讯如此众多的产品中,偏偏为腾讯手机管家砸下了重金,并且邀请明星情侣刘诗诗和吴奇隆代言,想来费用绝对不菲,这也表明了腾讯在2014年在手机安全领域的侧重。与此同时,360也在春晚打出“360免费”广告,并且将视频进行了剪辑,在新浪微博做了病毒式推广,也意在2014年下更大的力气来推。
目前腾讯在移动领域依托安卓微信开始推广其安卓分发市场应用宝,并且将“腾讯手机管家PC版”更名为“应用宝”,打算利用微信横向切入该领域。而360方面则依然保持着旺盛的战斗力,从不错过任何渠道的机会给来增加用户。
战争未开,狼烟已至。在3Q外,手机百度今年也做了春晚投放,去年在户外、电视、网络做了千万级广告投放的百度手机安全卫士也不会缺席。移动安全在新年绝对会有一场精彩的混战。
二,电商领域,猫狗谁先IPO
京东,苏宁,国美三家都在今年的春晚做了投放,而京东更是在大年三十晚上春晚直播期间爆出已经向SEC递交了赴美上市申请的重磅消息,加上因为合伙人制度等问题在13年未能成功上市而今年必须上市的阿里,今年电商真是想消停都不可能了。
阿里在今年春晚并没有投入任何广告,只是马云在开场露了一面。不过,似乎马云当下的更关心移动以及更好的故事,正在不遗余力强推来往。
三,移动支付,珍珠港被偷袭后还将发生什么
过去一年,腾讯为推广微信支付做了特别多的工作,在春晚这个量级的舞台也投下了广告。无心插柳的是,引爆TMT圈使用微信支付的竟然是一个临时开发叫做微信新年红包的小产品,因为流程简化的可怕,在这几天特俗时间各个互联网群里都在运行着这款《人民币OnLine》的游戏,它无情地碾压了微博红包和支付宝红包,大大加速了用户微信银行卡的绑定。这个微信新年红包被马云誉为珍珠港偷袭事件,潜台词就是微信支付已经对支付宝造成了较大威胁。不过后来官方公布的微信红包数据显示,在除夕当晚,微信红包的游戏人数才达到482万,显然跟支付宝还差着几个量级,正应了前两天马云总结这次被微信“偷袭”教训时说的那句“好在春节很快会过去,未来的路还很长”。
路长归长,这种不同场景不同维度的战争才是支付宝该正视的。如果把支付当作后端,那腾讯与阿里的打车APP大战则是场面上的竞争,嘀嘀和快的在新一年的前半年甚至还可能会出台更令人发指的优惠政策,帮助各自身后公司加速圈定移动支付用户。
四,山重水复寻新路,BAT开挖大数据
大数据是最近几年信息技术领域最时髦的词汇,不过虚无缥缈的多落到实处的少,原因主要是成本太高而产品价值不够高。苹果的icloud服务在中国普及并不能说得上成功,谷歌被墙,亚马逊云计算业务大举入华,在中国大家现在更会关心BAT是怎么做的,因为也只有这三家有这数据规模和处理能力来做这件事。
在除夕前夜,百度与《新闻联播》合作介绍百度迁徙这个大数据可视化产品(qianxi.baidu.com),首次将产品本身与春运热点相结合,通过人口流动来展现中国人在这个特殊节日的行程线路。数据显示,京津冀,长三角,珠三角不仅是春运客流最热的流出区域,同时流入人口也排名前列,走的多,来的也多,这种情况在近两年愈发明显。很多子女无法回家,便导致父母去北上广看望子女,这就形成了春节逆向迁徙。
将大数据本身与民生热点结合,用接地气的呈现方式,这是很好的自我宣传手段。天猫双十一时在阿里总部园区会议室内布置了巨型电子屏幕,实时公布交易额、订单笔数及分布、全国物流路况等信息,不断跳跃的数字和粗细变幻的线条都在刺激着网民的神经。略显牵强的更著名案例还有天猫蹩脚的微博内裤门,以及每到年底的淘宝这一年。
以下图文为罗超总结的三巨头大数据的优势与策略:
百度拥有两种类型的大数据:用户搜索表征的需求数据;爬虫和阿拉丁获取的公共web数据。
阿里巴巴拥有交易数据和信用数据。这两种数据更容易变现,挖掘出商业价值。除此之外阿里巴巴还通过投资等方式掌握了部分社交数据、移动数据。如微博和高德。
身边的移动支付安全危机 篇3
上述报告针对16家主流银行安卓手机客户端,展开最全面安全性评测。测试的主要内容包括:登录机制安全性、键盘输入安全性、Activity组件安全性、进程注入防护、反盗版能力和认证因素安全性六个方面的三项具体测试。
测试异常1:不校验身份或被“攻击”。在对16款银行客户端登录机制安全性进行测评过程中,手机安全专家发现两类比较严重的安全隐患:一是加密机制不完整或过于简单,很容易被攻击者劫持或破解;二是在通信过程中不对服务端身份进行校验,导致登录过程很容易被“中间人攻击”所劫持。其中,有两款手机网银客户端采用了“HTTP+简单加密”的数据传输方式,极易被劫持或破解。
测试异常2:银行类APP极易被山寨。安卓作为开放平台,攻击者可较容易使用逆向分析工具,将银行客户端程序进行反编译,并向反编译结果中加入恶意代码后,发布到一些审核不严的第三方市场中。这些被二次打包发布的盗版银行客户端软件,对用户的支付安全造成极严重的安全威胁。
测试异常3:手机支付病毒暴增。移动安全实验室日前发布《2014年上半年手机安全报告》,Android手机病毒在经历2012—2013年几何式高速增长后,2014年上半年逐步趋于平缓,同比增长7.9%。其中,手机支付类病毒进一步蔓延,上半年感染手机支付类病毒用户数达693.4万,其中可拦截并转发用户支付短信验证码的手机病毒大规模增加,支付类病毒呈现多种特征融合化发展趋势。
移动支付安全性问题研究 篇4
关键词:移动电子商务,移动支付,无线通信技术,安全问题,解决办法
1. 引言
随着移动互联科技的发展和人民生活水平的提高, 手机移动支付成为越来越多人首选的便捷支付方式。然而, 在移动支付快速发展的同时, 移动支付环境的安全性问题也受到了广泛的关注。手机等移动终端在近端支付、WAP支付上仍然存在不少的风险, 需要我们寻求更好的解决方案。
2. 移动支付概述
移动支付是指消费者通过移动终端 (手机、平板电脑、笔记本电脑等无线入网终端) 进行消费和付款。消费者使用移动终端, 对其网上银行账户发出支付指令, 使得钱款支付到商家账号上, 从而完成支付的流程。根据移动支付在电子商务中的应用, 一般把移动支付分为以下几种方式:
一是SMS (即短消息业务) , 移动终端用户以短消息的形式发送服务请求, 费用从用户的话费中扣除, 一般适合于小额支付。
二是USSD (即非结构化补充数据业务) , 该业务基于GSM网络, 是一种新型的数据交互式业务, 一般适合于证券交易、移动银行业务等方面。
三是NFC (即短距离通讯业务) , 该技术的原理就是短距离的无线连接技术, 用户一般使用移动钱包进行现场支付, 比较常见的形式有在商场进行刷卡消费。
四是WAP (即无线应用通讯业务) , 移动终端用户先访问WAP站点, 然后进行消费。一般包含简单的金融业务, 例如:缴水费、电费、燃气费等。
3. 安全问题
一是交易双方身份确认的风险。移动支付涉及到资金的转账支付等各种敏感事项, 而移动支付存在着各种风险性问题, 交易过程中就必须确认消费者和商户的合法性, 防止假冒的交易者, 造成资金的交易损失, 相关管理部门需要高度重视移动支付中涉及到的身份认证问题。
二是移动终端丢失的风险。手机、平板电脑等移动终端的迅速发展使得用户体验达到了新的水平, 随之而来的移动支付等智能应用不断增多。为了支付的方便快捷, 很多消费者开通了银行卡的快捷支付功能, 使用未加密的移动终端绑定了银行卡。这就会造成个人信息、账号密码等银行卡资料的泄密。如果消费者丢失移动终端, 犯罪分子就可能冒充消费者进行支付, 造成钱财损失。
三是消费者信用体系不完善的风险。一些消费可以通过手机话费的形式进行支付, 而目前有些手机尚未进行实名认证, 这就存在匿名的违法分子通过恶意透支的方式进行无限制的消费, 造成电信运营商的资金损失, 但是却无法追踪匿名恶意透支消费的人。
4. 相关建议
一是要不断完善移动支付的法律法规。由于我国移动支付相关法律法规建设起步晚, 发展较为落后, 移动支付的法律法规存在着一定的漏洞, 不够不完善, 不能达到惩前毖后、治病救人的目的。为促进移动支付行业的健康、有序、稳定发展, 相关部门应该建立较为完备的移动支付法制体系。多措并举扶持合法行业企业的发展, 打击假冒伪劣商家, 为消费者提供一个良好的支付环境。
二是不断提高信息技术的安全保障能力。技术的进步, 不仅仅会带来人们生活品质的提高, 也会带来消费方式的改变。消费者要从习惯现金支付转变为能放心大胆地使用移动终端支付, 安全性问题是人们关注的首要问题。因此, 移动支付运营商在拓展业务的过程中, 也需要加大对技术的投入力度, 采用不断发展的技术手段保障消费者的移动支付不受非法干扰和窃取, 从而促进行业发展。
三是建立和完善信用体系。信用是交易的前提, 电子商务移动支付发展的首要关注点是信用问题。建立和完善以消费者和商户交易信息为核心的信用记录, 采取措施鼓励守信者、惩罚失信者, 让守信者处处受益, 让失信者寸步难行。在交易时采取技术手段联网查询交易双方信用记录, 防止非法交易。
参考文献
[1]单美静.移动支付之安全问题研究[J].电信科学, 2010, (11A) :141-143.
[2]张燕燕.移动支付的安全机制研究[J].科技信息, 2010, (21) :579-581.
[3]杨晨, 杨建军.移动支付安全保障技术体系研究[J].信息技术与标准化, 2010, (07) :17-20.
[4]万曦.移动支付安全协议的研究[J].科技广场, 2010, (07) :135-137.
[5]黄晓芳, 周亚建, 赖欣, 等.基于第三方的安全移动支付方案[J].计算机工程, 2010, (18) :159-162.
[6]汪树东, 柯卫, 董亚楠.移动支付平台建设实践与探索[J].电信科学, 2010, (09) :26-30.
[7]李丹.移动支付发展现状和趋势研究[J].Payment电子支付, 2010, (09) :33-34.
电子支付安全法律问题研究论文 篇5
其次,在电子支付中,双方无法互相了解对方的支付能力,这也带来一定风险。同时,电子支付平台也成为犯罪分子bianx或洗钱的“帮手”。从经济学角度分析,电子支付的安全性必须计算到交易成本中。如果片面追求快捷而忽视安全,电子支付发展之路必定不会长远。在社会生活中,资金的安全直接关系到人们的切身经济利益,因此公众对支付的安全性尤为关心。
2.2法律层面上的电子支付安全风险从广义上看,电子支付安全包括两个层面:技术安全与法律安全。技术安全是指从技术角度能够保证指令人对资金的划拨安全地到达收款人的账户。这种安全仅指电子支付的瞬间动态安全。法律安全,则是指指令人能够完全控制和支配账户内的资金,不受外来因素的影响。这种安全是一种稳定的权益保障的状态。电子支付发展到今天,包括银行系统提供的网上银行和第三方支付平台在内,在技术上并没有出现安全问题。
当前电子支付中存在的法律安全危险主要有如下3种。
2.2.1外来攻击
外来的种种攻击行为,使指令人失去了对账户的控制,主要有钓鱼式欺诈、计算机病毒及电脑网路入侵者三种。
1)钓鱼式欺诈。这在我国已经发生多起,通常表现为利用仿冒的电子邮件和网站——例如仿造一个网上银行的网站——欺骗用户登陆并留下银行卡帐号和密码,然后通过真正的网上银行划拨用户资金。
2)计算机病毒。以来,全球已经发现了多种专门针对网上银行服务的计算机病毒。该类病毒常驻用户电脑,当用户使用网上银行等业务的时候,能够自动记录账号、密码等信息并发送出去,造成用户的网上银行资料被盗。
3)电脑网路入侵者。世界上没有绝对安全的物理网络系统,电脑网路入侵者可能攻陷网上银行的数据库,直接将用户的资金划走。
这种行为一旦发生,将给网上银行和用户造成巨额损失[3]。
2.2.2网上银行与第三方支付平台的破产与其他经济危机网上银行与第三方支付平台遭遇破产或者其他严重危机时,用户的资金账户可能脱离用户的控制,安全面临极大威胁。相比之下,我国网上银行几乎都由传统金融机构开设,此种风险较小。而第三方支付平台却如雨后春笋般一拥而上,现在已达到一百多家,在缺乏严格的市场准入机制下,公司规模大小参差不齐,随着市场竞争的加剧,不少企业面临破产危险,用户存放在其账户内的资金安全问题便尤为突出。可喜的是,央行于2010年6月发布了《非金融机构支付服务管理办法》,规定经营第三方支付平台业务须申领许可证,并设定了相应的准入门槛,如注册资本最低要求为3000万元人民币、连续两年盈利等,我国境内第三方支付平台将重新洗牌。
2.2.3盗窃、诈骗等违法犯罪行为传统的盗窃、诈骗等违法犯罪活动已将用户的电子货币作为新的目标。不少犯罪分子利用电子支付的便捷性,将盗窃与诈骗等行为的目标瞄准到用户网络银行账户内的资金。近几年频繁发生盗取网上银行帐号后转移用户账号资金的案件;利用短信诈骗,利用银行提供的atm自动柜员机转账的便利,诱导用户使用转账,使得不少用户上当受骗。
3电子支付信息网络安全的法律应对措施
3.1规范第三方支付平台的发展第三方支付平台与用户之间的关系,应当是一种民事上的合同关系。亦即,用户与第三方支付平台达成协议,使用该平台来支付,第三方支付平台根据用户指令完成相关行为。因此,根据契约自由这一合同法上的基本理念,同时为了促进电子支付的发展,应当允许银行之外的第三方支付平台从事电子支付业务。但是,第三方支付平台所提供的服务会涉及用户资金的大量往来和一定时期的代管,这些都类似于金融业务,如果不加以监管,资金的安全将会大受威胁。据此,对第三方支付平台的电子支付业务应当进行严格规范,其要求在某些方面应当比银行更加严苛。
首先,应当提高第三方支付平台的市场准入条件。对于第三方支付平台的市场准入不能以普通公司注册,而是应当设立一个较高的注册资本门槛,保证其信用度;同时履行特定的审批程序,由专门的机构来主管,可以由人民银行以类似于金融机构的方式进行管理。这样有利于避免第三方支付平台因注册资本太低、抵抗市场经营风险的能力太小而出现的破产或其他经济危机,造成用户资金的不安全。
其次,应当提高对第三方支付平台的规范要求。从事电子支付业务的第三方支付平台与银行相似,均关系到用户的资金安全,如果行为不当,可能给用户造成重大损失。因此,在允许第三方支付平台从事电子支付业务的同时,必须加强业务规范。
为配合2010年6月21日颁布的《非金融机构支付服务管理办法》(以下简称《办法》)的实施,中国人民银行于2010年12月1日制定并颁布了《非金融机构支付服务管理办法实施细则》。
《办法》和细则对非金融机构支付服务业务(即第三方支付服务)主体资格的申请和批准、经营活动的监督和管理作了详细的规定:1)准入制度《办法》实施前对已经从事支付业务的非金融机构,应该在209月1日前申请取得《支付业务许可证》,没有取得许可证的,将不得继续从事支付业务。支付机构依法接受中国人民银行的监督管理。未经中国人民银行批准,任何非金融机构和个人不得从事或变相从事支付业务。
2)严格准入门槛
非金融机构提供支付服务应具备的条件主要包括:(1)商业存在。申请人必须是在我国依法设立的有限责任公司或股份有限公司,且为非金融机构法人。(2)资本实力。申请人申请在全国范围内从事支付业务的,其注册资本至少为1亿元;申请在同一省(自治区、直辖市)范围内从事支付业务的,其注册资本至少为3千万元人民币,且均须为实缴货币资本。(3)主要出资人要求。申请人的主要出资人(包括拥有其实际控制权和10%以上股权的出资人)均应符合关于公司制企业法人性质、相关领域从业经验、一定盈利能力等相关资质的要求(。4)反洗钱措施。申请人应具备国家反洗钱法律法规规定的反洗钱措施,并于申请时提交相应的验收材料。(5)支付业务设施。
申请人应在申请时提交必要支付业务设施的技术安全检测认证证明。(6)资信要求。申请人及其高管人员和主要出资人应具备良好的资信状况,并出具相应的无犯罪证明材料。
3)限定服务范围
根据《办法》,非金融机构支付服务主要包括网络支付、预付卡的发行与受理、银行卡收单以及央行确定的其他支付服务。网络支付业务是指非金融机构依托公共网络或专用网络在收付款人之间转移货币资金的行为,包括货币汇兑、互联网支付、移动电话支付、固定电话支付、数字电视支付等;预付卡是指以营利为目的发行的、在发行机构之外购买商品或服务的预付价值,包括采取磁条、芯片等技术以卡片、密码等形式发行的预付卡。银行卡收单是指通过销售点(pos)终端等为银行卡特约商户代收货币资金的行为。
4)严格货币资金管理
支付机构不得转让、出租、出借《支付业务许可证》。支付机构之间的货币资金转移应当委托银行业金融机构办理,不得通过支付机构相互存放货币资金或委托其他支付机构等形式办理。支付机构不得办理银行业金融机构之间的货币资金转移。
对于备付金,支付机构接受的客户备付金不属于支付机构的`自有财产。支付机构只能根据客户发起的支付指令转移备付金。
禁止支付机构以任何形式挪用客户备付金。支付机构的实缴货币资本与客户备付金日均余额的比例,不得低于10%。
5)退出机制
支付机构有下列情形之一的,中国人民银行及其分支机构有权责令其停止办理部分或全部支付业务:(一)累计亏损超过其实缴货币资本的50%;(二)有重大经营风险;(三)有重大违法违规行为。
3.2明确、协调电子支付各参与方之间的法律关系参与电子支付过程的各方主体,包括指令人(即用户)、收款人、网上银行以及第三方支付平台等,他们之间的法律关系即各自的权利义务必须以法律来明确。
从法理角度分析,电子支付各参与方之间的法律关系是一种合同关系。因此,在世界范围内,许多国家并没有用专门的法律规范来调整电子支付的法律关系,而是用侵权法和合同法来规制。有些国家即使出台了专项立法,也未形成一个新型的法律关系。就我国而言,可以在现行《电子支付指引(第一号)》对指令人(即用户)与银行之间的合同关系的确认基础之上,进一步细化相关规定,并对其他参与方之间的法律关系作出明确规范。
首先,应当对指令人(即用户)与银行之间的关系作出更加全面的规范。在传统观点中,要求银行对未经用户授权的电子支付承担责任的可能性非常小,因为在认领银行卡或者账号的协议中有明确约定,由客户对其所拥有的银行卡交易负责。但是从国外的经验来看,一些国家逐渐倾向于由银行对未经用户授权的支付行为承担一定的责任。例如,美国《电子资金划拨法》及其实施细则e条例规定,用户对未经授权的电子资金划拨承担有限制的责任。按此规定,如果信用卡是经过消费者授权而使用的,消费者应当承担卡划拨所产生的法律后果,但是,如果该卡的使用是未经授权的,则条例将持卡人的责任限制在50美元以内,如果持卡人通知发卡人时未授权划拨造成的损失少于50美元,那么持卡人的责任以承担该损失为限。如果发卡人未能告知持卡人的权利,信用卡不能识别使用者,或者发卡人没有提供给持卡人一个将其损失通知给发卡人的方法,则持卡人对未经授权的划拨所造成的损失不承担任何责任。
其次,应当对收款人、第三方支付平台等其他参与方在电子支付中的法律地位及权利义务作出明确规定。
收款人与指令人之间的关系属于普通的民事关系,在电子支付过程中并不具备特殊性,用合同法、侵权法等已有法律即可规范。但是收款人与银行、第三方支付平台之间的关系比较复杂,例如当指令人与银行/第三方支付平台约定向收款人进行支付而银行/第三方支付平台未支付时,收款人有无权利直接向他们(而非向指令人)提出支付请求?严格来说,这个问题在传统社会中也存在,亦应在法律中作出规定。但是,电子支付存在的一个重要目的即为使支付更为便捷,如果在电子支付中这个问题得不到解决,将势必妨碍便捷目标的实现。
因此,本文认为,鉴于电子支付的特殊性,我们不妨在此种情形下赋予收款人以直接的支付请求权。当然,该项权利的行使应当具有严格条件,例如必须存在指令人的事先明确认可等等,以防止收款人假借名义侵害指令人的合法权益。
至于第三方支付平台在电子支付中的法律地位,可以类推适用网上银行的规定,使其在与指令人、收款人之间的法律关系中享有明晰的权利,承担确定的义务。
3.3加强打击网络领域金融犯罪的力度网上盗窃、诈骗的犯人罪行为猖獗,使广大消费者遭受了极大的损失,也严重影响整个电子商务的健康发展。为创造一个良好的电子商务环境,使电子支付手段成为既便捷又安全的支付手段,国家立法机关、司法机关应从立法和执法多个层面加大打击网络犯罪的力度,最大限度保障网络交易安全。(责编杨晨)
参考文献:
[1]中国互联网络信息中心.第26次中国互联网络发展状况统计报告[eb/ol].research.cnnic.cn/html/index_81.html,2010-07-05/-03-11.
[2]中国人民银行.电子支付指引(第一号)第2条.
移动支付应用中的自我安全防范 篇6
根据比达咨询 (BigData-Research) 发布的《2015年度中国第三方移动支付市场研究报告》,2015年从第三方移动支付交易规模市场份额来看,支付宝占比 72.9%,财付通(微信+手Q)17.4%、银联支付0.4%,排名第九。随着以苹果为代表的手机厂商将NFC技术的植入,其在移动支付市场的劣势将会明显改观,但扫码支付的绝对龙头优势还将继续。
要实现移动支付中的安全,不仅与有关政府机构的监管和移动支付软件的防护技术有关,而且还与用户自身的安全防范能力有更直接的关系。其实,很多安全事件的发生跟用户自身的安全防范有很大关系,因为移动支付的最终操作者是用户。
1.移动终端
无论哪种支付方式,移动终端是必须的,但是其自身的脆弱性,如性能和运行环境、显示空间有限,被窃、丢失的概率相对更高,更换周期也更短,移动软环境不成熟等使得安全问题呈几何级数增长。
密码是安全管理和使用中的重要屏障,在密码的设置中,避免“一码走天下”,不同应用中要设置不同的密码,避免使用连续、重复、生日、身份证号码等简易容易被猜中的密码;手机的开机、屏幕解锁等密码不能省。
养成良好的操作习惯,可以有效地降低安全风险。在使用时应该为手机安装专业安全软件,防范手机病毒和恶意程序;到官方站点或有安全认证的电子市场下载手机应用程序;不随便扫码二维码、点击不明链接;手机、身份证、银行卡尽量不放到一处;对校验码等隐私信息,不轻易告诉他人;不在手机浏览器中保存账户或密码信息,养成定期清理缓存、表单和Cookies等信息;手机在更换不用时,要做格式化,确保无可以恢复使用的信息。
2.移动互联网
移动互联网通过无线信道即电磁波信号传输网络通信内容,更容易遭受如窃听、欺骗或拒绝服务等攻击。虽然对于使用NFC技术支付的用户可以忽略其安全威胁,但实际上,NFC技术在目前应用中的各种劣势,即使使用“闪付”的用户也不可能完全脱离支付宝和微信的应用场景,所以其安全威胁仍然存在。因此在公共场合,一定要谨慎连接公共wifi,如果需要进行移动支付时,尽量使用GPRS或者3G、4G等移动数据网络上网;使用免费WiFi只是进行信息的浏览。
3.安全设置
在移动支付过程中,应该关闭小额免密码支付功能;绑定的信用卡和借记卡里的额度和余额不要过多,并设置每日交易限额;这样即使发生盗刷事件,也可将损失降到最低。
4.应急措施
清楚安全事件发生的应急措施,可以迅速、有序、有效地应对所发生的安全事件,也是自我防范中不可忽视的部分。比如手机丢失,应立即打电话给银行和第三方支付供应商冻结相关业务,再挂失手机号码并补办。登录账号,关闭无线支付业务;如发生账户资金被盗用,立刻拨打110报警;一旦手机突然没有信号,在排除了信号问题和手机故障后,要查询SIM卡是否被他人补办,并将支付平台内的余额转出。
移动支付安全问题 篇7
(一) 移动信息服务业务。
中国的移动搜索市场近年来随着移动电话用户保持高速增长, 据中国互联网络信息中心颁发的“中国互联网发展报告 (2008.7) ”显示, 中国网民的搜索引擎的使用率为69.2%, 是中国的第五大网络应用。上半年市搜索引擎的用户增加了2304万人, 半年增长率达15.5%。但整体使用低于美国 (91%) 。互联网接入设备主要是台式机, 笔记本电脑和移动电话, 其中有87.3%的网民使用的台式电脑, 有30.9%的网民使用笔记本电脑, 28.9%的互联网用户使用移动电话。此外, 笔记本电脑和移动电话的使用的比例逐步增加。
(二) 移动支付。
移动支付是移动终端使用手机, 掌上电脑, 笔记本电脑等现代通讯手段, 通过移动支付平台移动业务主体的动态完成支付, 在线支付, 或移动电话进行确认, 进而实现在线支付的一个新的支付活动。移动支付系统即包括无线支付行为, 又包括无线和有线综合支付行为。移动支付应用的领域非常广泛, 手机增值业务的手机金融 (手机钱包) , 手机游戏, 手机电视等都较有前景。随着移动通信技术的发展, 移动电话终端为代表的移动支付的时代到来了。
(三) 移动娱乐。
目前, 移动娱乐的需求成为会拉动移动商务应用和推广最可能的因素, 越来越多的人会选择在移动环境下的休闲与娱乐。移动娱乐内容涵盖非常广泛, 包括:下载, 视频点播, 手机电视, 占星术占卜, 虚拟服务, 音乐下载, 在线游戏等。统计数据显示, 娱乐是移动商务在所有应用程序中最成功、最有利可图的业务, 其中手机游戏是非常受观众喜爱的。
2移动电子商务支付存在的问题
(一) 密码管理不善。大部分公司和个人受到网络攻击的主要原因是密码政策管理不善。大多数用户使用的密码都是字典中可查到的普通单词姓名或者其他简单的密码。有86%的用户在所有网站上使用的都是同一个密码或者有限的几个密码。许多攻击者还会直接使用软件强力破解一些安全性弱的密码。
(二) 以非法手段窃取、篡改、删除、插人数据或者对用户信道信息进行破译分析, 使得用户数据传输中出现错误、丢失、乱序, 可能导致用户数据的完整性被破坏, 使机密的内容泄漏给未被授权的用户。
(三) “网络钓鱼”攻击者利用欺骗性的电子邮件和伪造信息或者假冒合法商户的身份进行欺骗, 伪造用户地址, 如将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌, 进行非法连接, 截获合法用户的信息, 受骗者往往会泄露自己的财务数据, 如信用卡号、账户号和口令等, 占有或者支配合法商家的资源, 然后传送给非法使用者。
(四) 网上支付缺乏信用。在网络支付中由于其虚拟性, 超
时空性等特点, 使双方互不相见, 也难以客观地判断对方的信用等级, 致使网络支付双方对对方的信用产生怀疑, 也因此阻碍了网络支付的发展。
3解决移动电子商务支付安全问题的策略
(一) 加强CA认证。CA (Cecate Authority) 认证中心, 作为一个权威的第三方机构, 通过对密钥进行有效地管理, 颁发证书证明密钥的有效性, 并将公开密钥同移动电子商务的参与群体联系在一起, 利用数字证书、PKI、对称加密算法、数字签名、数字信封等加密技术, 建立起安全程度极高的加解密和身份认证系统, 确保电子交易有效、安全地进行, 从而使信息除发送方和接收方外, 防止电子商务交易中一些重要数据、文件在传输过程中被窃取篡改、网络欺诈、网络攻击等问题的威胁, 保障电子商务的网络支付安全。
(二) 完善WPKI体系。公钥基础结构是由数字证书、证书颁发机构 (以) 以及核实和验证通过公钥加密方法进行电子交易的每一方的合法性的其他注册颁发机构所构成的系统。WPKI的基础技术包括加巨密、数字签名、数据完整性机制、数字信封、双重数字签名等。通过WPKI体系, 移动电子商务的交易双方, 可以共同信任签发其数字证书的认证中心 (CA) , 采用数字证书的应用软件和CA信任的机制, 促成网络支付的安全。例如, 要进行在线交易时, 或者是在线支付, 如果有相同客户端浏览器中根证书列表中包含了它所信任CA的根证书, 当浏览器需要验证一个数字证书的合法性的时候, 这个浏览器从根证书列表发布数字证书认证中心的根证书, 如果认证中心的根证书在浏览器的根证书列表和验证通过承认这个网站, 浏览器就有了一个合法的身份显示该网站的网页。
(三) 电子支付安全协议。目前, SSL安全协议和SET安全协议已经被广泛地应用在电子商务活动中的安全支付环节。SET采用公钥机制、信息摘要和认证体系, 基于协议之上的应用程序, 用于提高应用程序之间数据的安全系数。SSL中也采用了公钥机制、信息摘要和MAC检测, 可以提供信息保密性、完整性和一定程度的身份鉴别功能。
(四) 社会道德的规范。由于电子商务交易双方不直接面对面的特点, 传统的交易过程中经常出现欺诈将对电子商务安全产生消极的影响。因此, 电子商务的健康发展取决于建立和完善社会道德规范。目前, 信息系统建设刚刚起步, 有待进一步改进, 同时, 需要进一步拓宽信息来源, 信用评级进一步的科学分析。
摘要:由于目前产生移动支付行为是基于手机号上绑定的银行卡、信用卡与商家之间完成, 或者基于手机SIM卡与POS机近距离完成, 故此类似于密码破解、信息复制、病毒感染等安全问题都有可能对移动支付造成重大的损失。因此, 我们有必要对移动支付的安全性进行分析, 并通过技术手段来进行解决。
关键词:移动电子商务,支付,安全
参考文献
[l]林立鑫, 龚慧华.浅谈移动电子商务的发展[J].经营管理者, 2009 (11) .[l]林立鑫, 龚慧华.浅谈移动电子商务的发展[J].经营管理者, 2009 (11) .
移动支付安全问题 篇8
1 移动支付
交易双方根据移动设备实现交易的支付活动就称为移动支付。当前许多业务中都有着移动支付的应用, 例如银行转账、买卖外汇、网上购物、彩票投注、商品服务交易等。移动支付业务在我国起步较晚, 但发展较快, 随着手机等移动终端的普及, 越来越多的人正熟悉这种移动支付服务, 其有着操作简单、交易迅速等特点, 已经逐渐被人们所接受。可以预见, 在不久的将来, 移动支付必将成为社会主流的支付方式。
2 移动支付分类
2.1 按照支付金额数值划分
根据具体的支付金额数值的大小可以将移动支付分为2类: (1) 宏支付:宏支付指的是交易中支付的金额较大的支付行为, 例如网上购物等就属于宏支付行为。 (2) 微支付:微支付指的是交易中支付的金额数值较小的支付行为, 通常来说规定交易支付金额小于10美元的支付行为为微支付。生活中有许多微支付行为, 例如在线交电费、手机在线充值、购买游戏点卡、视频下载及当前比较流行的微信红包等[1]。
2.2 按照传输方式划分
移动支付有着不同的传输方式, 根据传输方式的不同可以将移动支付分为2类: (1) 空中交易:空中交易的移动支付需要依赖于终端的浏览器或者移动网络系统, 例如SMS/MMS等移动网络系统。 (2) 广域网交易:广域网交易不需要依赖浏览器和移动网络系统, 只需要对信息进行移动终端的近距离交换即可, 自动贩售机的零售就是利用手机上的红外线装置实现的。
2.3 按照业务种类划分
按照业务种类可以将移动支付分为广义支付和狭义支付2种: (1) 广义支付:通过手机移动终端来实现的交易支付活动称为广义支付, 常见的广义支付有移动银行、手机股票等。 (2) 狭义支付:主要指的是通过手机移动之间实现的现金支付业务, 例如电话订票、手机缴费等。
3 NFC移动支付体系架构
3.1 NFC技术
NFC是一种近距离的无线通信技术, 电子设备利用NFC能够十分快捷、简单地实现通信。NFC技术中集成了多种功能, 分别是非接触式智能卡功能、点对点的信息传输功能以及非接触式读卡器的功能。其建立通信的范围为10cm之内, 只要与NFC技术兼容的设备就可以互相连接。
3.2 NFC移动支付体系架构
根据工作方式以及工作模式的不同会形成不同的NFC移动支体系架构, 分别是主动模式系统架构、被动模式系统架构和双向模式系统架构。下面对这3种不同的NFC移动支付体系架构进行探讨。
3.2.1 主动模式系统架构
在主动模式下, 读写器的功能主要由NFC移动终端来提供, 其能够主动地发出相关射频场, 并且识别周围其他的NF设备。在主动模式系统架构中会存在2种应用场景, 分别是本地应用和非本地应用: (1) 本地应用:在本地应用中的主体是移动终端上的应用程序。终端中的内部读写器能够对电子标签的信息进行读写, 应用程序对读写的信息处理后就可以呈现给用户, 常见的信息有旅游景点介绍、网上商城打折信息、地图应用指南等。 (2) 非本地应用:非本地应用的主体是后端应用服务器, 终端对电子标签上的信息读取完毕后, 信息会搭载移动网络传递到后端服务器上, 之后信息由后端服务器处理, 从而实现了业务应用。这些应用主要是各行各业的应用[2]。
3.2.2 被动模式系统架构
被动模式下, 手机终端与UIM卡配合, 从而实现非接触式IC卡应用, 但这种响应只能在其他设备发出射频场之后才能完成, 属于一种被动式的响应。读写器有一定的覆盖范围, 手机终端进入到该范围后, 读写器就会读取手机上的NFC应用数据, 在读取时会搭载网络传送数据到后端应用系统中, 后端应用系统对数据进行处理, 同时也可以通过读写器向携带有NF应用的终端进行数据的写入, 从而实现终端相关应用数据的更新。这种被动模式的系统架构中数据的传输是双向的。
3.2.3 双向模式系统架构
双向模式下的系统架构中, 带有NFC应用的移动终端会主动发出射频场, 其数据的交换主要靠移动终端建立的点对点通信来完成, 本地应用和网络应用都可以作为后端的关联应用。
在双向模式系统架构中, 任何2个无线设备之间都可以实现数据的交换。通过一些无线协议还可以增加设备之间连接的距离, 提升设备之间数据的传输速度, 在此基础上, NF设备可以作为安全网关, 打破接收信息和存储信息的空间限制, 只要2个自带NFC应用的移动设备靠拢, 就能够实现网络通信, 而另一个设备省去了安装程序的过程, 一些移动支付中的身份识别功能、非接触式移动支付功能都可以实现。
4 NFC移动支付的安全问题及解决方案
涉及移动支付问题、电子商务问题, 首要考虑的就是安全问题, 这也是其不断完善和发展的重要问题, 当前移动支付安全问题仍然存在, 这和用户的支付习惯及支付信任关系尚未形成等有一定的关系。下面对NFC移动支付的安全问题进行分析。
4.1 NFC移动支付的安全问题分析
4.1.1 窃听
NFC移动支付是无线通信接口, 2个设备建立通信之后, 攻击者通过天线能够接收到传输的信号, 但NFC移动支付所建立的通信距离很小, 一般小于10cm, 因此对于攻击者而言, 理想状态下对主动设备进行窃听距离为10m以内, 对被动设备进行窃听则在1m以内, 这是NFC移动支付主要的安全问题, 而想要彻底解决窃听问题, 则要建立安全的信道来通信。
4.1.2 篡改数据
数据篡改主要有数据破坏、数据插入以及数据修改3种形式, 下面对这3种数据篡改的形式进行探讨: (1) 数据破坏:数据破坏就是攻击者对NFC移动支付设备之间数据传输的破坏。攻击者主要利用NFC的接口, 在数据破坏之后, 数据接收者就不能够完整地接收到相关数据发出者发出的数据信息, 最终导致无法理解数据。攻击者只要在特定时间传输同样频率的数据就可以进行破坏, 数据破坏的主要威胁是数据信息传输过程中的干扰, 而不是数据的泄露。 (2) 数据修改:数据修改之后接受者就不能接收到与传输者传输的相同数据, 从而导致信息错误, 增加数据、减少数据、改变数据都是数据的修改范畴, 但是NFC移动设备在数据传输的过程中能够实现射频场的检测, 因此此种供给方式能够被检测出来, 也就能够进行针对性的防范。 (3) 数据插入:在2个NF移动支付设备进行数据交换传输的过程中, 攻击者插入数据的篡改方式就称为数据插入。插入数据可能导致数据应答的延迟, 插入数据要求在原始设备回答前完成, 如果满足不了这个条件, 那么插入数据就变成了数据破坏的供给形式, 这种篡改数据的形式也能够被检测到。
4.1.3 中间人攻击
中间人通过第三方会话的制造使NFC移动数据发出设备和NFC移动数据接收设备之间的数据交换出现问题。这种中间人攻击有着特定的要求, 中间人需要屏蔽真实的发出移动设备和接收移动设备之间的数据传输, 但NFC是一种近距离的无线通讯方式, 如果中间人发出屏蔽或干扰, 出现假冒数据的攻击, 一定会检测出来, 因此, 此项攻击也不容易实现。
4.2 NFC移动支付的安全问题解决方案探讨
如何解决NFC移动支付的安全问题对于保证用户的隐私安全、资金安全有重要的作用, 也是NFC移动支付在长期完善、发展的过程中不可忽略的重点研究方向。笔者认为, 要想解决上文提到的3种安全问题, 应当从以下几个方面考虑解决安全问题的方案。
4.2.1 技术方面
技术方面主要指的是手机移动终端能够使用相关防护软件技术, 这些防护软件能够为NFC移动支付的安全性提供保证, 能够解决一些NFC移动支付的安全漏洞, 同时能够及时发现并且屏蔽攻击行为。当前比较成功的防护软件技术有:密码技术、密钥技术、手势密码技术、SIM智能卡技术、手机应用防火墙技术等[3]。
4.2.2 建立信用体系
NFC移动支付是以网络为基础的, 而虚拟性是网络的重要特征, 因此, 信用制度的建立更加重要。当前我国NFC移动支付的信用体系建立十分落后, 这对于移动交易支付的安全性有着重要的影响。
应当积极建立个人及相关企业的信用数据库, 完善第三方CA认证体系, 以此提升人们的信用意识, 确保NFC移动支付的安全性和可靠性。
对于以上提出的3个安全问题, 可以通过建立安全通信信道来解决, 使用密钥协议建立安全信道的标准, 2个数据交换的移动设备之间可以共享密钥, 这样就能够保证通信信道的安全, 不会被侵犯攻击。
5 结语
综上所述, 本文简要介绍了移动支付, 分析了NFC移动支付的3种体系结构, 提出了NFC移动支付主要存在的安全问题和解决方案, 旨在为NFC移动支付安全的发展做出贡献。
参考文献
[1]申玮.NFC移动支付运营模式研究[D].北京:北京邮电大学, 2008.
[2]戴尔俶.基于NFC技术的移动支付系统设计与实现[D].成都:电子科技大学, 2013.
飞天诚信布局移动支付安全 篇9
在刚刚举行的“倪光南院士进驻飞天诚信院士专家工作站授聘仪式暨基于国产操作系统的安全支付研讨会”上, 倪光南院士表示, “如今移动终端设备在国民之间几乎实现了百分之百的覆盖, 移动互联网时代已经全面到来, 未来大力加强移动端国产化操作系统的建设对实现信息金融安全来说是非常重要的一环。我们要在移动终端这一新领域实现国产化操作系统和信息安全的双重突围。”
随着网络空间博弈的加剧和安全环境的日趋复杂, 信息技术产品自主可控的呼声日益高涨, 通过技术创新和业务转型来适应互联网的快速发展和国家信息安全的新要求, 一些企业和行业抱团结盟, 加大国产操作系统等核心技术的攻关, 在移动支付等新兴安全领域进行技术创新, 进行战略布局。此次研讨会上, 飞天诚信技术服务总监吴永刚介绍了飞天诚信公司首推的" 国产操作系统上的金融安全支付解决方案", 并演示了针对国产浏览器、部分移动端国产操作系统支付安全的技术流程。
移动支付风险分析及安全策略 篇10
因特网的迅猛发展使基于因特网的电子商务发展成为一种重要的商业运作方式, 3 G时代的到来使互联网和移动通信服务的发展趋于交融, 移动通信技术的不断更新更推动着全球移动电子商务应用市场的快速发展。2006年中国互联网用户超过1.3亿, 固定、移动电话用户则超过7亿。巨大的市场空间、庞大的潜在用户需求, 使移动电子商务逐渐成为各方关注的焦点。移动电子商务的最大特点是“随时随地”和“个性化”, 它不仅是一种全新的销售与促销渠道, 更可以根据消费者的个性化需求和喜好, 为消费者提供网上购物、信息、媒体和娱乐等服务。据电信趋势国际公司预测, 全球移动电子商务到2 0 0 8年将吸引1 7亿用户, 其中使用手机进行的交易额预计将达到5 5 4 0亿美元。
移动支付是移动电子商务的一个重要流程。移动支付是继银行柜台、自助银行、电话银行、网上银行之后, 以移动通讯设备作为支付的工具和新的服务渠道。用户使用移动设备可以随时随地完成商品支付业务, 其安全、方便、操作简单、贴身服务、多功能、低成本、覆盖面广、不受时空限制等特点, 蕴藏着巨大的商机。移动支付处理得好坏将直接影响移动电子商务的拓展。
一般来讲, 移动支付是以I C卡和数字签名技术为安全保障, 以移动通讯网络和银行金融服务系统为依托, 以电子信息作为货币形态, 实现货币从付款人向收款人转移。它是通过移动通信网络将客户的移动终端连接至银行, 实现利用移动终端界面完成各种金融理财业务的服务系统。移动支付所使用的移动终端通常是手机、P D A、移动P C或是当前其他较为复杂的电子设备, 而由于手机的广泛应用, 使得手机在移动支付中扮演着重要的角色。狭义讲, 移动支付也叫手机支付。
按照支付交易金额, 移动支付分为移动小额支付和移动大额支付。国外移动支付业务己经进入大额支付阶段。大额支付对安全性要求较高, 一般采用各交易角色移动终端绑定银行账号或信用卡账号的方式进行移动支付。国内的移动支付方式1999年才起步, 目前小额支付成为主流, 主要面向商户与消费者之间的小额交易, 它可以采用消费者手机的移动充值卡付费模式, 也可以采用消费者手机号与银行账号或信用卡账号绑定到移动虚拟电子钱包的付费模式。
二、移动支付的价值链构成
1. 移动用户, 是业务的使用者和移动支付业务各方收益的主要来源。
2. 终端厂商, 是支付终端的开发者, 销售终端从而获得收益。
3. 移动网络运营商, 通过运营移动通信网络, 获得通信费收益和代收费、服务手续费, 并提供差异化服务, 提高企业的核心竞争力。
4. 支付平台运营商, 通过运营移动支付平台, 负责与金融机构和商户接口, 拓展有价值的商户, 获得用户服务费和交易佣金。
5. 商户, 通过移动支付提供非现金交易手段, 增加商业机会和交易额。
6. 金融机构, 包括银行和中国银联, 提供银行卡服务和移动支付服务, 从用户的交易中收取费用, 提高用户的忠诚度。
在移动支付价值链中, 由于移动运营商越来越重视构建开放、标准的业务架构, 使自己成为业务提供商接入的门户和组织者, 将在激烈的市场竞争中处于有利位置;支付平台运营商不仅是移动运营商的核心设备供应商, 为其提供技术, 而且是移动运营商的合作伙伴。因此, 未来的移动支付运营模式很可能是移动运营商同时作为支付平台运营商, 在其统一品牌下, 不断保持和强化核心用户资源等优势, 共同拓展市场。
三、移动支付流程
一般来说, 移动支付系统包括四个部分:消费者、商家、金融机构和移动运营商。移动支付流程见下图。
1. 消费者选择商品, 发出购买指令。购买指令通过无线运营商支付管理系统发送到商家商品交易管理系统。
2. 商家将消费者的详细购买信息通过无线运营商支付管理系统发送到消费者手机终端进行确认操作, 得到确认后再继续往下操作, 否则停止。
3. 消费者确认支付后, 无线运营商支付管理系统记录详细的交易记录, 同时通知金融机构在商家和消费者的账户间进行支付和清算, 并且通知商家提货或提供服务。
4. 商家供货或提供服务。
5. 交易结束。
从上述流程可看出, 移动运营商的支付管理系统是整个支付过程中具有核心纽带功能的部件, 它要完成对消费者鉴别和认证、将支付信息提供给金融机构、监督商家提供的产品和服务、进行利润分成等等。
消费者发出购买指令时, 消费者的权限和开户行账号等信息先传到移动运营商的支付管理系统, 而不是商家系统。移动运营商只知道消费者的账户可用额度信息, 初步判断消费者是否有足够的余额进行购买。消费者的开户行账号详细信息由金融机构进行管理, 接到经消费者确认的支付指令后, 由银行进行账户处理、支付和清算。移动运营商不能进行消费者账户处理, 商家更不可以进行消费者的账户处理。这样, 避免了消费者被欺骗的可能性, 同时由于消费者的个人资料不是存放在商家系统中, 也保护了消费者的隐私权。
四、移动支付的风险与防范措施
基于无线通信和开放性传输的移动支付给人们生活带来方便和快捷的同时, 也存在着较高的潜在风险, 容易遭受非法入侵和恶意攻击。对移动支付的风险进行分析, 制定与之相关的安全策略, 有助于移动支付的健康发展。
1. 风险分析。
移动支付的风险集中于三个方面:技术风险、法律风险和信誉风险。短信支付密码被破译、实时短信无法保证、身份识别缺乏和信用体系缺失是移动支付面临的主要技术难题。手机仅仅作为通话工具时, 密码保护并不是很重要;但作为支付工具时, 设备丢失、密码被攻破、病毒发作等问题都会造成重大损失。在由移动运营商、金融机构、商家和消费者共同支撑的移动支付运行架构中, 任何一个环节出现问题, 整个框架都面临着坍塌的危险。
大多数国家在移动支付方面的法律法规还不完善, 交易各方权利和义务规定的也不明确。比如, 我国消费者保护法对手机银行运作的适用性还不明确, 客户通过电子媒介所达成协议的有效性也具有不确定性, 使得移动支付在交易中存在着法律风险。
开展移动支付, 可靠的服务平台至关重要。金融机构要能够持续提供安全、准确和及时的移动金融服务;移动运营商的服务质量也要有保障, 如果客户访问其资金或账户信息时遇到严重通讯网络故障, 将会造成客户对移动支付服务的怀疑和不信任, 引发信誉风险
2. 防范措施。
在技术风险防范方面, 要保证数据的保密性和完整性、系统的完整性、用户的身份鉴别、灾难恢复性和操作的不可否认性。针对这些问题, 必须对敏感信息进行全程数据安全加密;系统中配备适当的安全措施如防火墙、侵入窃密检测系统、监视控制系统等;对访问系统的用户进行身份鉴别;装备必要的恢复和后备系统;使用数字签名等。
在法律风险防范方面, 首先要充分利用我国现行法律来拟定移动支付相关协议, 如《合同法》、《会计法》、《票据法》、《支付结算办法》等;其次, 技术安全上充分利用目前执行的关于信息技术安全方面的行政法规, 如《中华人民共和国计算机信息系统安全保护条例》等;最后, 银行应注重交易数据的保管, 为可能的纠纷或诉讼做必要准备。
在信誉风险防范方面, 重点要防范操作风险和利用移动支付进行金融欺诈的行为。完善移动支付系统中各相关部门的制度规范, 加强对人员的管理, 防范操作风险;随着移动支付业务的不断拓展, 应对重点客户加强监控, 防范金融欺诈问题的发生。
参考文献
[1]张纪:国际手机银行发展、风险分析与安全策略[J].国际金融研究, 2006, (3)
[2]吕廷杰:我国移动商务发展趋势分析与展望[J].北京邮电大学学报, 2006, (10)
[3]诺盛咨询.后金融时代的移动支付[J].数据通信, 2006, (7)
移动支付安全问题 篇11
日前,诺基亚宣布,由中国银联牵头,中国工商银行上海市分行、中国银行上海市分行、交通银行、兴业银行、深圳发展银行等5家银行参与,通过使用具有NFC(Near Field Communication近距离通信)技术的诺基亚6131i手机而实现的手机银行卡非接触支付试点项目,开始在上海投入商用运营。
预计将有800位该4家商业银行的持卡人使用诺基亚6131iNFC手机参与本次试点体验。据悉,中国银联的新一代移动支付业务与以往的各种基于短信交互模式的手机支付业务相比,有着突破性进步。它是基于最新的无线通信技术(非接触芯片、WAP2.0等)和金融智能卡技术,在易用性、安全性、快捷性方面能很好地满足用户和商户需求。
诺基亚方面向《IT时代周刊》介绍,持卡人可使用这款内置有银行卡的NFC手机在上海陆家嘴、五角场、四川北路等上海核心商业区商铺的消费终端上实现基于NFC技术的非接触银行卡支付。
据悉,本次试点采用的是中国银联新一代移动支付解决方案,可以将多张不同发卡行的银行卡和电子钱包集成在同一部手机中。且此技术牵动整个产业链各方:移动运营商、服务、商品提供商等,在技术、运营协作等方面充分配合,形成了初具规模的商业模式,对移动商务的普及有着不可忽略的参考价值。
对此,诺基亚方面负责NFC业务的工作人员介绍:“我们很高兴NFC技术应用在中国起到积极的促进作用,并期待和中国银联及国内商业银行在移动金融支付领域开展更多更广泛的合作。”
而中国银联负责人也表示,将国际领先的NFC非接触式支付技术率先应用于金融支付行业,是一次突破性的进展。
手机支付行业又一次成为关注的焦点,经历了几年的沉寂,它是否可以成长壮大,它能成为新一代的移动商务形式吗?
概念化渐行渐远
手机支付并不是一个新概念,早在几年前便得到移动运营商的大力推广,但当时技术、政策、商业模式都处在萌芽阶段,并没有条件投入大规模商用,只是尝试性的测试,且也没有取得明显的效果。
2005年,上海已经有了手机支付服务,主要涉及支付水、电、煤等公共事业,通过和银行卡的捆绑实现缴费。当时上海移动推出以手机钱包为代表的支付方式,即以银行卡账号为支付账号,建立手机号码与银行卡账号对应关系,通过短信、WAP等接人手段,完成为手机充值、缴纳公共事业费、购买电影票、保险和彩票等小额支付,2007年上海地区的手机钱包用户数已超过30万。
2006年中国移动联合诺基亚、飞利浦等移动终端厂商,在厦门启动中国首个近距离通信(NFC)手机支付商用试验。这是区别于银行卡捆绑,通过软件实现交易的方式,利用无线设备间的信息交换完成通信,是目前较成熟、普及最为广泛的一种技术。
当时试点范围涉及厦门市指定覆盖的公交汽车、轮渡、餐厅、电影院、便利店等营业网点。用户还可通过手机屏幕读取该卡余额并查询最近9笔交易,并通过浏览一个内建的WAP Site,查询能接受该卡的商户范围以及消费者感兴趣的商品信息。
不过受当时NFC技术条件所限,在测试阶段,所有NFC芯片组只能固化在外壳或者主板上。如果商家想普及这种支付终端,消费者要付出更大的设备成本和更长的更新信息时间,且在安全性和用户认知度方面严重缺失。况且消费终端的设备布置也远远不足以让用户充分体验,所以手机支付只是局限在小规模范围内,大部分消费者对此一无所知。
虽然手机支付只是一个美丽图画,但这种便捷的消费模式却引起了更多人的兴趣。据AC Nielson调研公司2006年在上海的调查,八成以上的消费者希望将公交卡、银行卡集成到手机上。
任何一种新技术的应用,都要经历一个抛物线状的发展过程,手机支付从概念到规模化,需要时间。
突破重重障碍
经历短短一年的试用和技术提升,手机支付开始表现出强大的市场力量和商业潜力。
据中国银联统计,截至2007年10月,银联手机支付业务已在全国21个省区市开通使用,用户规模突破800万户。2007年1—10月份,累计实现交易约5000万笔,交易金额近80亿元。
据诺基亚方面介绍,此次上海进行的NFC试点商用,很好地体现了NFC技术的突破性进展,用户反馈相当热烈。这种移动支付除有一般银行卡的支付、余额查询等功能外,还对银行卡信息进行电子管理,且新一代移动支付解决方案在易用性、安全性、快捷性等方面极大地满足了用户及商户的需求。
集成了NFC功能的手机还能提供互动的使用体验,如用户接触到带有NFC功能的海报或信息栏,它们可以将用户自动链接到一个互动的互联网界面,并打开音频文件,或自动将各种内容下载到手机上。
至于安全性方面,用户在使用非接触支付时,手机可以为用户设置密码保护,用户相关信息都集成在安全芯片中,而芯片设置了密钥。当用户丢失手机时,可以拨打相关电话,要求锁死芯片以及信息,这样可避免不必要的损失。而用户再办理相关手续,通过身份验证后,可以得到复制相同信息的新卡。
目前支持此类业务的手机已售出800多台,银联在沪上布置此类支持手机支付的POS机也达300台,促成交易上千笔。而随着技术的不断提高,未来还将出现成本更低、安全性更高、使用更加便捷的产品。
据易观国际报告预测,2009年中国手机支付市场规模将达到19.74亿元,2006~2009年的年均复合增长率为70.4%。而用户规模也将在2009年达到8250万人,2006—2009年的年均复合增长率为25.24%。2010年,估计30%的手机都将拥有NFC功能。
行业分析师表示,由于手机支付相关创新技术的出现,手机支付市场将获得指数倍的增长。这些技术不限于增加手机通信带宽的技术,如3G、4G通信技术。预计从2008年开始,这些技术中的一部分将得到范围较大的商用。
他山之石可攻玉
易观国际2007Q3市场监测数据显示,移动支付交易规模占整个电子支付市场的份额仅为1.83%,用户认知度和商业普及仍需要时间累积。相比中国,NFC技术在欧洲、日本、韩国的应用更为广泛成熟,这些成功的模式都可以给我们以启发。以韩国为例,政府的大力支持,以及良好的市场环境成为其发展的契机,同时产业链上下各方的紧密合作使手机支付产业得以蓬勃发展。
在韩国,每月有超过30万人在购买新手机时会选择具备能储存银行交易资料并进行交易信息加密功能的手机,有70%的数字商品都是用手机而不是传统的信用卡方式付费的,这部分商品的交易额超过了10亿美元。
韩国的SK、KTF、LG三大运营商已成为其产业链的主体,如SK电讯和威士公司2007年初宣布推出面向所有SIM卡/USIM卡、采用空中下载技术的业界第一个非接触式支付应用。在初始阶段,该合作使SK电讯3万左右的3e用户通过LG提供的WCDMA终端在1500个商场和零售店购买商品和服务。
GSM协会在2007年2月宣布的移动支付计划大大促进了NFC在全球的部署,该计划旨在开发一种将NFC应用嵌入到SIM卡的标准化解决方案,已经获得了包括中移动、沃达丰和AT&T在内的24家移动运营商以及诺基亚、三星电子、LG电子等手机厂商的支持。
2007年10月,KTF、LG电子和三星电子联合在韩国进行端到端的试验,GSM协会的项目经理NavBains博士表示,NFC价值链上的其他一些关键组成部分也参与了该试验,包括银行、信用卡公司、商场、通用集成电路卡(UICC)制造商等,试验的目的旨在寻找适合NFC价值链的商业模式。
更多的努力尝试将在2008年得到结果,可以相信,手机支付的明天已经不远了。
移动支付的风险分析与安全策略 篇12
一、移动支付概述
移动支付是用手机等移动终端实现资金转移, 在移动中实现支付。更准确地说, 我们可以将移动支付定义为:以手机、掌上电脑等移动终端为工具, 通过移动通信网络, 实现资金由支付方转移到受付方。一般来说, 移动支付是以IC卡、数字签名技术为安全保障, 以移动通信网络、银行金融服务系统为依托, 实现货币的转移, 终端通常为手机、掌上电脑、笔记本电脑, 由于手机的广泛应用, 使得手机在移动支付中扮演重要角色。狭义地讲, 移动支付也叫手机支付。
移动支付可以根据多个维度进行分类。首先, 移动支付可以分为现场支付和远程支付, 这是根据支付者和受付者是否在同一地理位置来分类的。现场支付利用红外线、蓝牙、射频技术, 完成手机面对面的交易。远程支付以银行账户、手机话费等作为支付账户, 以短信、语音、WAP等方式发起业务请求, 为购买的商品或服务付款。
移动支付也可分为大额支付和小额支付。大额支付是指那些对支付的安全性要求比较高, 需要通过各种认证手段来确认支付者和受付者的身份, 以确保资金安全的支付形式。这种支付形式涉及的金额一般比较高。小额支付是指对于支付的快捷性要求比较高, 省略某些安全认证的支付。这种支付形式涉及的金额一般比较低。
移动支付根据支付过程中是否事先指定资金去向还可以分为定向支付和非定向支付。
二、移动支付业务发展现状
2000年, 中国移动与中国工商银行、中国银行、招商银行等金融机构开展合作, 推出了基于STK方式的手机银行业务, 这是国内最早的移动支付业务形式。虽然这一业务由于种种原因未取得成功, 但它打开了移动通信和金融业务结合的大门, 为移动支付铺垫了道路。
随着手机短信业务的不断发展, 以短信为基础, 基于银行卡支付的移动支付得到发展。2003年, 移动支付业务应用逐步提速。2003年8月, 中国移动与中国银联合资成立北京联动优势科技有限公司, 为中国移动用户提供手机钱包业务。2009年5月, 上海联通推出了可以刷公交卡的手机, 用户乘车时可以直接刷手机付费;中国电信推出了基于3G的移动支付业务, 用户通过短信、WAP客户端等多种形式, 利用电信账户、支付卡、银行卡等多种账户, 提供账单支付、手机充值、公用事业费缴纳、刷手机消费等手机自助服务。
此外, 以第三方为主体的移动支付模式也在国内兴起。在这种模式下, 移动支付平台的营运由独立于银行和移动通信运营商的第三方经济实体承担, 具有独立的经营权。
三、移动支付的风险分析
移动支付的风险主要集中在政策风险、技术风险、法律风险、信誉风险等4个方面。
(一) 政策风险
移动支付作为新兴业务, 缺乏行业规范, 包括准入政策和监管政策, 资源共享、服务质量保证、服务规范等都需要有明确的规定, 业务才能健康发展。移动支付业务的核心是支付, 移动支付相关政策成为各方关注的焦点。移动支付处于电信增值业务与银行增值业务——中间业务的交叉地带, 它有不同的业务类型。国内非银行机构推动移动支付的积极性比银行更高, 但移动支付涉及金融业务必须接受金融监管, 这无疑提高了市场准入门槛。由此可以看出, 政策风险是移动支付业务发展无法避免的障碍。
(二) 技术风险
移动支付技术风险主要是支付的技术安全风险和技术开展风险。技术安全风险包括两方面, 一是数据传输的安全性风险;二是用户信息的安全性风险。数据传输的安全性风险是客户对移动支付最为关注的问题, 用户信息的安全性风险同样值得关注。短信支付密码被破译、实时短信无法保证、身份识别是移动支付面临的主要技术难题。手机仅仅作为通信工具时, 密码保护并不重要, 但作为支付工具时, 丢失手机、密码被攻破、病毒木马等问题都会造成重大损失。
(三) 法律风险
当前, 由于移动支付还处于起步阶段, 有关法律法规不健全, 移动支付涉及的当事人多, 法律关系复杂, 再加上移动支付使用计算机及通信等先进技术, 因此在移动支付过程中可能产生一些法律纠纷。国内涉及计算机通信领域的立法还相对滞后, 用于保护移动支付有效开展的法律目前除了《电子签名法》和《电子支付指引》之外, 人民银行制定的法规均未涉及移动支付业务, 一旦发生支付纠纷, 银行、电信、客户将处于尴尬境地。
(四) 信誉风险
开展移动支付, 可靠的服务平台至关重要。金融机构要能够持续提供安全、准确、及时的移动金融服务, 通信运营商服务质量也要有保障。如果客户在移动支付过程中遇到严重的通信网络故障以及银行信息系统的不完善而造成客户资金的流失, 将会造成客户对移动支付的不信任, 引发信誉风险。
四、移动支付风险防范措施
(一) 尽快完善与移动支付相关的法律、法规
我国的移动支付起步晚, 相关法律法规和制度体系建设都不完善。为了使移动支付快速发展, 应有针对性地出台相关法律法规, 制定移动支付服务市场准入和退出制度。同时, 加大对网络犯罪行为的打击, 应制定专门的法律, 为依法严惩犯罪分子提供必要的法律保障, 确保移动支付业务的健康发展。
(二) 建立健全技术风险防范体系
银行和移动支付营运商在注重业务发展的同时, 也要注重风险防范, 加大对技术安全方面的投入, 建立健全移动支付技术风险防范体系。一方面, 进一步加大对网络移动技术的引进和研发力度, 充分利用最新技术不断增强移动支付的安全性;另一方面, 要积极培养移动支付发展所需要的高素质人才, 全面提高从业人员的知识和技能水平。
(三) 加强和完善信用体系建设
加强和完善信用体系建设, 目前最关键的是通过联网数据共享, 建立个人和机构完善的信用记录。其次, 要将信用记录运用于公共生活的各个方面, 提高失信行为的成本。只有这样, 移动支付非法交易才会大大减少。
(四) 加强移动支付服务和监管