移动支付安全

2024-05-31

移动支付安全（精选12篇）

移动支付安全篇1

随着移动通信技术的发展, 越来越多的应用在手机终端上出现, 而移动支付就是其中最具代表性的业务之一。移动支付作为移动电子商务中的一个重要组成部分, 无论是用手机购物、买彩票还是买卖证券都是建立在移动支付技术基础之上的。只有移动支付得到充分的发展, 移动电子商务才会有一个良好的发展环境。

一、移动支付概述

移动支付, 也称为手机支付, 就是允许用户使用其移动终端对所消费的商品或服务进行账务支付的一种服务方式。移动支付业务是由移动运营商、移动应用服务提供商 (MASP) 和金融机构共同推出的、构建在移动运营支撑系统上的一个移动数据增值业务应用。

移动支付与一般的网上支付相比具有其明显的一些特点, 主要包括:

移动支付不受时间、地点等因素的约束, 随时随地都可以进行交易。

由于移动支付主要通过手机进行交易和支付, 而手机一个最大的特点就是私密性, 所以容易实现对于交易信息的私密性的保护。

与PC机相比, 手机的硬件资源明显不足, 这也为通过手机进行交易处理以及存储信息带来了缺陷。

由于通过移动终端进行交易, 电池是其惟一的能量来源, 而目前的手机电池一般仅能满足几小时的移动商务交易执行, 所以, 为连续的移动交易支付带来了不便。

二、移动支付方式

移动支付的分类方式有很多, 但总体上可以归结为两类支付模式:近程支付和远程支付, 所谓近程支付, 就是基于交易现场的手机支付方式, 账户信息存于手机之中, 通过近距离无线通讯技术在特定刷卡终端, 现场校验账户信息并进行扣款支付。如通过手机刷卡的方式可以乘坐公交车、在超市商场买东西等。远程支付, 类似于互联网的在线支付, 指用户通过手机, 基于移动通信网络, 通过WWW、GPRS、WAP、STK等方式远距离完成的支付行为。如通过手机、PDA等移动终端购买彩票、买卖股票等。

三移动支付安全技术

1.WPKI

无线公开密钥体系即WPKI, 是将电子商务中的PKI引入到无线网络环境中的一套遵循已有标准的密钥及证书管理平台体系, 通过无线公开密钥基础设施管理在移动网络环境中的端到端的安全交付, 从而能够建立有效的、安全的无线网络环境。

WPKI是在PKI标准的基础上改进发展而来的, 从而能够适应移动网络的安全性需求。它采用了优化的椭圆曲线加密算法以及精简的X.509数字证书, 通过第三方可信机构即认证中心验证用户的身份, 从而保证了移动网络环境中的可信传输。

2.安全认证协议

目前在移动电子商务中常用的安全认证协议主要有SSL安全套接层协议和SET安全电子交易协议。

SSL协议保障在因特网上的数据传输安全, 利用数据加密技术可确保在网络上传输的数据不被窃听、截取以及篡改。SSL协议可分为两层:SSL记录协议, 它建立在可靠的传输协议之上, 为高层协议提供数据封装、压缩、加密等基本功能的支持;SSL握手协议, 它建立在SSL记录协议之上, 用于在进行数据传输之前, 对通讯双方进行身份认证、协商加密算法以及交换加密密钥等操作。

SET协议是在B2C模式的基础上, 基于信用卡支付设计的, 采用了公钥密码体制和X.509数字证书标准, 保证了在开放的网络上使用信用卡进行在线商务交易的安全, 具有保证交易的机密性、不可抵赖性、交易数据的完整性及真实性等优点。

四、总结

随着无线网络及移动通迅技术的不断发展, 中国的移动支付作为移动增值业务, 获得了一个良好的发展机遇, 有着广阔的发展前景。而在移动支付的各个环节中, 如何能够保证支付的安全性是应该着重考虑关心的问题, 这也是移动电子商务未来发展所不可回避的重要研究课题。

参考文献

[1]关振胜.公钥基础设施PKI与认证机构CA.北京.电子工业出版社.2002, 01, 121-154[1]关振胜.公钥基础设施PKI与认证机构CA.北京.电子工业出版社.2002, 01, 121-154

[2]王影, 于凌云.安全电子支付协议研究.微机发展, 2005, 01 (01) , 138-144[2]王影, 于凌云.安全电子支付协议研究.微机发展, 2005, 01 (01) , 138-144

移动支付安全篇2

12月24日，中国银联发布XX移动互联网支付安全调查报告。这份备受业界关注的年度安全调查报告，结合过去一年中移动互联网支付的快速发展，揭示了持卡人日常消费习惯及安全偏好呈现出的新变化、新特征，同时也成为全社会观察移动互联网领域安全趋势发展和社会消费模式转型的重要窗口。

中国银联风险控制部总经理袁晓寒介绍，“从去年起，我们依托由95家成员机构共同组成的互联网金融支付安全联盟，推出移动互联网支付安全调查报告。期待这份有‘温度’的安全报告，唤醒和增强全社会的支付安全意识，呼吁产业各方共建更安全的支付生态环境。”

别再说女人爱网购男人网上大额消费不手软

报告显示，54%的受访者每月网上消费金额超过1000元，并在逐年稳步增长。其中5000元以上大额消费，男性比例高于女性6个百分点。女性网上消费则集中在1000元以下。所以，别再说女人“买买买”了，男人花起钱来更是大手笔。

手机支付加速普及半数

人的一半以上消费使用手机完成

如果您还没用过手机支付，那就out了!报告显示，82%的受访者曾使用手机完成付款(在商户现场支付或远程支付)。以手机支付在个人网上消费总额中的占比来衡量，51%的受访者手机支付交易占比超过一半。

从支付偏好看，20岁以下的年轻人热衷于手机钱包类客户端支付。同时，通过手机支付购买实物商品的受访者比例高达33%，但较XX年小幅下降。充值缴费等虚拟商品消费的这一比例同比增长6个百分点。

射手座网上消费最会“败”摩羯座最常用手机支付

十二星座中，随性自由、不爱被约束的射手座当选网上消费最会“败”的星座，41%的射手座受访者月均网上消费超过XX元。

而大家印象中属于稳健踏实型的摩羯座出乎意料成为最爱尝新的星座。根据报告，摩羯座对手机支付的接受度最高，83%的受访者经常使用手机支付。手机支付金额占比最高则当属水瓶座，近20%的人手机支付占个人网上消费比例超过80%。

社交账号、木马病毒、钓鱼网站为欺诈主要手段

风险形势更加严峻，1/8的受访者在过去一年中遭遇过网络诈骗，比XX年上升6个百分点。其中，近50%的受访者通过社交账号被骗，其他诈骗手段还包括木马病毒、钓鱼网站、伪基站诈骗短信(仿冒10086等名义)。星座维度上，天生敏锐的天蝎座受骗比例最低，狮子座则相反，今后在财富收支和管理上需更加小心谨慎。

整体上看，网络欺诈发生损失的金额相对较低，超过一半的受访者损失低于500元，但也有20%的.人损失超过XX元。

多数人使用短信动态安全

验证不同交易场景下安全需求差异化

近90%的受访者认为手机支付必须具备一定的支付验证环节，表明安全性在绝大多数持卡人看来是手机支付的第一因素。76%的受访者习惯通过手机短信动态验证码进行安全验证，较XX年提高12个百分点。

其中，近七成人每笔网上交易都使用动态验证码来保护支付安全，这一比例近两年有所下降，同时两成人对短信验证方式个性化设置了支付限额，体现出持卡人在不同交易场景下的安全支付需求呈现差异。值得关注的是，遭遇过欺诈的人群对创新支付的使用意愿比未遭欺诈的人群低4个百分点。

移动支付安全无现金社会篇3

易观国际分析师李智在2013 GMIC上分享移动商务营收数据时表示，移动商务的业务范围还比较窄，手机购物占其中很大的一部分。

不过可以预见，随着技术的发展，未来生活的方方面面支付行为可能都会被移动支付所代替。购物必然会用到支付，但支付不一定是为了购物。

支付创新的节点

全球最大的发卡组织VISA认为，支付行业现在到了一个创新的节点。目前已有的新技术，如二维码、云端认证、声波传送，都是非常好的支付创新。VISA中国区副总经理、创新产品总经理龚亮介绍，VISA近两年推广的非接触NSK支付技术，是对现有终端机和芯片技术的一种自然延伸，容易实施，并且非常安全。但无论采用何种技术，简单是最重要的原则，如果支付过程过于复杂一定会失败。另外，安全和隐私保护也是支付创新的要素。

仅仅使用移动设备实现支付，也许还不是支付创新的最终目的。在未来可能的无现金支付社会里，消费变得更加简单，因为走到哪里都不需要携带现金。此外，消费者们可以轻松查询消费记录，也不用担心取款的问题。便捷是无现金支付社会的最主要优势。

从技术的角度来看，我们已经有能力实现彻底的无现金化。事实也是如此，许多人已经在用信用卡和借记卡进行无现金交易，而且目前的技术已经允许我们将这些卡与NFS平台的支付系统对接。

改变不会在一夜之间完成，无现金交易和传统的现金交易共存的混合模式将会存在一段时间。网上银行成为主流可能还需要一个过程，但网上银行和网上交易正在向客户和服务机构提供越来越多的便利和价值。

安全是一个永恒的话题

在享用便利的同时，很多人也在担心移动支付的安全性。

全球最大的发卡组织VISA早就意识到了这个问题，VISA中国区副总经理、创新产品总经理龚亮说：“早在五六十年前，电子系统就已经开始处理大量的数据。由于移动互联网技术的蓬勃发展，如今业务数据量更是天文数字。而云端和大数据的应用，又进一步扩大了支付行业的信息量。在海量数据面前，支付行业如何能保证交易的安全性、信息的安全性，是整个支付行业面临的巨大挑战。”

除了对数据安全的担心，病毒和恶意软件的威胁也不容小觑。IT业界有条灰色的产业链，通过制造病毒不断获取利益。以前的移动设备上没有病毒，是因为移动互联网规模不够，当移动互联网市场够大的时候，病毒就开始在移动互联网市场发作。金山安全CEO付盛认为，移动互联网所面临的安全问题未必只是病毒，危险会以不同的形式存在。比如假冒App，网上可以搜到《神庙狂奔》游戏的很多版本，但其中只有一个是真的，下载假的游戏后，手机会被植入广告，通信录会被上传，而且手机还可能出现发热、死机的状况；另外还有做盗版和隐私上传的地下利益集团，其中很多月收入都达几百万元；针对手机的钓鱼网站也已经开始出现。手机劫持、骗子网站都可能是手机面临的安全问题，而且问题会越来越严重。

飞天诚信布局移动支付安全篇4

在刚刚举行的“倪光南院士进驻飞天诚信院士专家工作站授聘仪式暨基于国产操作系统的安全支付研讨会”上, 倪光南院士表示, “如今移动终端设备在国民之间几乎实现了百分之百的覆盖, 移动互联网时代已经全面到来, 未来大力加强移动端国产化操作系统的建设对实现信息金融安全来说是非常重要的一环。我们要在移动终端这一新领域实现国产化操作系统和信息安全的双重突围。”

随着网络空间博弈的加剧和安全环境的日趋复杂, 信息技术产品自主可控的呼声日益高涨, 通过技术创新和业务转型来适应互联网的快速发展和国家信息安全的新要求, 一些企业和行业抱团结盟, 加大国产操作系统等核心技术的攻关, 在移动支付等新兴安全领域进行技术创新, 进行战略布局。此次研讨会上, 飞天诚信技术服务总监吴永刚介绍了飞天诚信公司首推的" 国产操作系统上的金融安全支付解决方案", 并演示了针对国产浏览器、部分移动端国产操作系统支付安全的技术流程。

移动支付安全篇5

一个可以不断长大的企业

公司具有不断长大的潜质,发展路径将会是一种三级跳:从小企业成长为上市公司,从追赶者转变为国内领跑者,从国内走向世界。

POS机国内至少还有5倍市场空间,公司有望成为国内领跑者

根据测算,POS机国内市场容量在2000万台以上,相当于现在保有量的5倍。在寡头垄断格局下,依托服务和成本优势,公司市占率有望不断提高,成为国内新的领跑者。

四大行突破是今年最大看点, 来自商业银行的收入今年有望过亿

商业银行已经超越银联成为国内POS机最大采购主体。我们认为,银联的成功有望在商业银行得到复制,四大行今年取得突破是大概率事件,预计今年来自商银的收入过亿。

海外市场贡献明年将明显加大,是公司长期看点

海外市场容量远大于国内市场,我们看好公司依托价格优势不断蚕食国际巨头的市场份额。预计明年海外市场收入预计在一个亿左右,3年内海外收入占比有望达到20%以上。

多重政策刺激下,公司POS机销量有望被引爆

手机支付发展障碍逐步理清,EMV迁移明确时间表,第三方支付牌照顺利发放,这些将从存量和增量层面扩大市场容量,尤其是运营商有望成为重量级采购主体。

产品服务双引擎拉动公司向全球领先企业迈进

移动支付应用中的自我安全防范篇6

根据比达咨询（BigData-Research）发布的《2015年度中国第三方移动支付市场研究报告》，2015年从第三方移动支付交易规模市场份额来看，支付宝占比 72.9%，财付通（微信+手Q）17.4%、银联支付0.4%，排名第九。随着以苹果为代表的手机厂商将NFC技术的植入，其在移动支付市场的劣势将会明显改观，但扫码支付的绝对龙头优势还将继续。

要实现移动支付中的安全，不仅与有关政府机构的监管和移动支付软件的防护技术有关，而且还与用户自身的安全防范能力有更直接的关系。其实，很多安全事件的发生跟用户自身的安全防范有很大关系，因为移动支付的最终操作者是用户。

1.移动终端

无论哪种支付方式，移动终端是必须的，但是其自身的脆弱性，如性能和运行环境、显示空间有限，被窃、丢失的概率相对更高，更换周期也更短，移动软环境不成熟等使得安全问题呈几何级数增长。

密码是安全管理和使用中的重要屏障，在密码的设置中，避免“一码走天下”，不同应用中要设置不同的密码，避免使用连续、重复、生日、身份证号码等简易容易被猜中的密码；手机的开机、屏幕解锁等密码不能省。

养成良好的操作习惯，可以有效地降低安全风险。在使用时应该为手机安装专业安全软件，防范手机病毒和恶意程序；到官方站点或有安全认证的电子市场下载手机应用程序；不随便扫码二维码、点击不明链接；手机、身份证、银行卡尽量不放到一处；对校验码等隐私信息，不轻易告诉他人；不在手机浏览器中保存账户或密码信息，养成定期清理缓存、表单和Cookies等信息；手机在更换不用时，要做格式化，确保无可以恢复使用的信息。

2.移动互联网

移动互联网通过无线信道即电磁波信号传输网络通信内容，更容易遭受如窃听、欺骗或拒绝服务等攻击。虽然对于使用NFC技术支付的用户可以忽略其安全威胁，但实际上，NFC技术在目前应用中的各种劣势，即使使用“闪付”的用户也不可能完全脱离支付宝和微信的应用场景，所以其安全威胁仍然存在。因此在公共场合，一定要谨慎连接公共wifi，如果需要进行移动支付时，尽量使用GPRS或者3G、4G等移动数据网络上网；使用免费WiFi只是进行信息的浏览。

3.安全设置

在移动支付过程中，应该关闭小额免密码支付功能；绑定的信用卡和借记卡里的额度和余额不要过多，并设置每日交易限额；这样即使发生盗刷事件，也可将损失降到最低。

4.应急措施

清楚安全事件发生的应急措施，可以迅速、有序、有效地应对所发生的安全事件，也是自我防范中不可忽视的部分。比如手机丢失，应立即打电话给银行和第三方支付供应商冻结相关业务，再挂失手机号码并补办。登录账号，关闭无线支付业务；如发生账户资金被盗用，立刻拨打110报警；一旦手机突然没有信号，在排除了信号问题和手机故障后，要查询SIM卡是否被他人补办，并将支付平台内的余额转出。

移动支付安全性问题研究篇7

关键词：移动电子商务,移动支付,无线通信技术,安全问题,解决办法

1. 引言

随着移动互联科技的发展和人民生活水平的提高, 手机移动支付成为越来越多人首选的便捷支付方式。然而, 在移动支付快速发展的同时, 移动支付环境的安全性问题也受到了广泛的关注。手机等移动终端在近端支付、WAP支付上仍然存在不少的风险, 需要我们寻求更好的解决方案。

2. 移动支付概述

移动支付是指消费者通过移动终端 (手机、平板电脑、笔记本电脑等无线入网终端) 进行消费和付款。消费者使用移动终端, 对其网上银行账户发出支付指令, 使得钱款支付到商家账号上, 从而完成支付的流程。根据移动支付在电子商务中的应用, 一般把移动支付分为以下几种方式:

一是SMS (即短消息业务) , 移动终端用户以短消息的形式发送服务请求, 费用从用户的话费中扣除, 一般适合于小额支付。

二是USSD (即非结构化补充数据业务) , 该业务基于GSM网络, 是一种新型的数据交互式业务, 一般适合于证券交易、移动银行业务等方面。

三是NFC (即短距离通讯业务) , 该技术的原理就是短距离的无线连接技术, 用户一般使用移动钱包进行现场支付, 比较常见的形式有在商场进行刷卡消费。

四是WAP (即无线应用通讯业务) , 移动终端用户先访问WAP站点, 然后进行消费。一般包含简单的金融业务, 例如:缴水费、电费、燃气费等。

3. 安全问题

一是交易双方身份确认的风险。移动支付涉及到资金的转账支付等各种敏感事项, 而移动支付存在着各种风险性问题, 交易过程中就必须确认消费者和商户的合法性, 防止假冒的交易者, 造成资金的交易损失, 相关管理部门需要高度重视移动支付中涉及到的身份认证问题。

二是移动终端丢失的风险。手机、平板电脑等移动终端的迅速发展使得用户体验达到了新的水平, 随之而来的移动支付等智能应用不断增多。为了支付的方便快捷, 很多消费者开通了银行卡的快捷支付功能, 使用未加密的移动终端绑定了银行卡。这就会造成个人信息、账号密码等银行卡资料的泄密。如果消费者丢失移动终端, 犯罪分子就可能冒充消费者进行支付, 造成钱财损失。

三是消费者信用体系不完善的风险。一些消费可以通过手机话费的形式进行支付, 而目前有些手机尚未进行实名认证, 这就存在匿名的违法分子通过恶意透支的方式进行无限制的消费, 造成电信运营商的资金损失, 但是却无法追踪匿名恶意透支消费的人。

4. 相关建议

一是要不断完善移动支付的法律法规。由于我国移动支付相关法律法规建设起步晚, 发展较为落后, 移动支付的法律法规存在着一定的漏洞, 不够不完善, 不能达到惩前毖后、治病救人的目的。为促进移动支付行业的健康、有序、稳定发展, 相关部门应该建立较为完备的移动支付法制体系。多措并举扶持合法行业企业的发展, 打击假冒伪劣商家, 为消费者提供一个良好的支付环境。

二是不断提高信息技术的安全保障能力。技术的进步, 不仅仅会带来人们生活品质的提高, 也会带来消费方式的改变。消费者要从习惯现金支付转变为能放心大胆地使用移动终端支付, 安全性问题是人们关注的首要问题。因此, 移动支付运营商在拓展业务的过程中, 也需要加大对技术的投入力度, 采用不断发展的技术手段保障消费者的移动支付不受非法干扰和窃取, 从而促进行业发展。

三是建立和完善信用体系。信用是交易的前提, 电子商务移动支付发展的首要关注点是信用问题。建立和完善以消费者和商户交易信息为核心的信用记录, 采取措施鼓励守信者、惩罚失信者, 让守信者处处受益, 让失信者寸步难行。在交易时采取技术手段联网查询交易双方信用记录, 防止非法交易。

参考文献

[1]单美静.移动支付之安全问题研究[J].电信科学, 2010, (11A) :141-143.

[2]张燕燕.移动支付的安全机制研究[J].科技信息, 2010, (21) :579-581.

[3]杨晨, 杨建军.移动支付安全保障技术体系研究[J].信息技术与标准化, 2010, (07) :17-20.

[4]万曦.移动支付安全协议的研究[J].科技广场, 2010, (07) :135-137.

[5]黄晓芳, 周亚建, 赖欣, 等.基于第三方的安全移动支付方案[J].计算机工程, 2010, (18) :159-162.

[6]汪树东, 柯卫, 董亚楠.移动支付平台建设实践与探索[J].电信科学, 2010, (09) :26-30.

[7]李丹.移动支付发展现状和趋势研究[J].Payment电子支付, 2010, (09) :33-34.

试析移动支付安全性问题篇8

随着国际化的互联网的快速发展和移动端电子产品的普及, 基于互联网的电子商务快速进入人们的生活, 移动支付也成为了越来越多人的选择的快捷支付方式。推动了网络、移动端通信服务、网络电子商务的快速融合, 带来了无限商机, 吸引互联网金融相关的运营商、第三方支付、商业银行等相关企业大举进军移动支付, 推动了移动支付市场不断膨胀。尤其是中国移动、联通、电信获得4G牌照以后, 移动支付取得了更大的发展空间和技术支撑, 移动支付的发展进入了快车道。但是由于移动支付缺乏电子交易金融安全保障和商业信息交流渠道, 安全问题成为了阻碍移动支付进一步发展的瓶颈问题。

2 移动支付发展的现状及分类

所谓移动支付, 是一种新兴的支付方式, 用户通过使用移动通信端发出相应的支付指令为消费行为进行的转账支付的手段, 其最大的特点就是不受时间和空间限制, 使用便捷。在上个世纪的90 年代, 移动支付方式在美国问世, 而后在日本和韩国进入了大规模使用阶段。我国的移动支付最早出现在上个世纪90 年代末, 但是由于相应技术和硬件发展的滞后, 导致移动支付业务量不大, 无市场影响力, 发展速度缓慢。 2012年以后, 互联网尤其是移动互联网技术飞速发展, 移动通信端价格下降并迅速普及, 移动支付得到了蓬勃发展。现在, 我国移动支付的市场格局为: 商业银行、通信运营商、第三方支付机构、银行卡组织等积极参与竞争、分工合作共赢。移动支付的功能逐步完善拓展, 金融理财、商业支付、生活服务等众多领域的应用已经十分成熟, 医疗保险、养老保险、住房公积金等社会化体系中也正逐步增加移动支付功能。

移动支付方式很多, 总体来讲分为远程支付和近场支付两大类。其中远程支付又分为:(1) SMS (即短消息业务),这种支付方式大多用于小额度的商业支付, 移动用户端使用短信发送服务信号。(2) WAP, 就是通常说的无线通信应用服务, 移动用户端首先访问相应的WAP站点, 成功访问后发生支付行为。大部分日常生活的消费支出像天然气缴费、水费、电费等都是这种支付方式。

近场支付分两大类为:(1) 是USSD, 就是非结构化补充数据业务。这是一种新的数据交互式技术业务, 次业务立足于GSM通信网络。在手机银行、金融证券交易等领域应用比较多。(2) NFC, 指的是短距离通信业务, 这种通信技术是利用短距离无线连接技术的原理, 移动用户通过使用手机钱包进行的当面支付模式, 最常见的应用是在各种场所进行的刷卡支付。

3 移动支付的安全问题现状

3.1 来自无线网络的安全威胁着移动支付安全

无线网络作为新兴技术, 由于技术不是足够成熟, 所以存在较多的安全漏洞, 造成了许多不安全、不稳定的因素,埋下了安全隐患。无线网络是通过无线信号建立网络连接,无线信道传输的开放性给移动互联设备提供了开放的无线接口, 移动通信终端可以方便地接入网络, 给用户带来便利。同时也增加了被恶意攻击和非法侵入的几率, 造成了无线网络里传输的信息被修改、删除、破解、窃听、监看的可能性较大, 这些安全问题时刻威胁着移动支付的安全。

3.2 移动端的安全威胁来源复杂

移动支付的过程需要互联网商务平台、银行等金融服务机构、通信服务提供商等各个环节共同禅院才能成功运转,所以移动支付是一个跨行业的过程。整个支付行为需要通信技术、金融管理技术、网路技术等相互支撑, 服务接受方发出指令, 各部门共同发挥作用才能完成支付行为。支付过程产生的信息要在多个不同的机构、通过多个环节、经过多次传递才能完成。留下了较大的安全隐患。同时, 由于移动通信端使用的操作系统大部分为开放式的系统, 碎片化的现象比较严重, 技术上漏洞较多, 极易被黑客攻击, 窃取支付账户、手机银行信息, 造成安全隐患。

3.3 用户带来的安全隐患威胁支付安全

移动支付的接受方终端用户, 重点是手机用户安全防范意识薄弱或者无安全防范意识, 给恶意攻击提供了方便。部分的智能手机用户未安装手机端的杀毒软件, 不加防范地任意下载来源不明的手机软件, 对手机升级越狱, 任意蹭网等行为严重威胁着移动支付的安全。再加上移动通信端一旦发生丢失现象, 移动终端保存的个人信息、支付账号、交易密码等数据发生泄漏, 非法分子就可轻易地进行消费支付、转账支付等行为, 给用户带来巨大的财产损失。

4 提高移动支付安全性方面的建议

(1) 各方参与, 建立标准, 提高技术保障安全能力

移动支付的大规模应用必然要求相关的支付安全得到保障, 然后用户才能放心地使用移动支付业务, 目前移动支付还存在着多种安全、交易、连接标准, 移动支付的各参与方使用不统一的安全设置, 不仅给用户带来了使用的不便, 同时也增加了安全隐患。移动支付参与的相关机构要紧急推进移动支付标准化进程, 尽快统一安全标准, 提升交易软件硬件、加密认证等的兼容性, 规范交易过程, 加大无线技术安全、交易安全方面的技术研发力度, 保障用户个人账户安全,从而促进移动支付快速健康发展。

(2) 提高消费者安全意识, 加强安全防范知识教育

移动支付网络环境杂乱, 各种信息浩如烟海, 诈骗短信、抽奖中奖信息、钓鱼网站等名目繁多的诈骗方式充斥其中。在不断要求移动支付机构规范经营的同时, 用户也要加强自我保护的安全防范意识, 安装手机杀毒软件、防火墙, 对手机进行加密设置, 定期查杀病毒, 养成良好的安全习惯。在移动支付交易过程中, 支付用户对商户信息的甄别确认非常必要, 通过了解对方经营信息、查看过往交易等手段对商户的考察, 做出能否交易的初步判断。在交易过程中, 移动支付用户要对涉及交易的信息加强保护, 如账户信息、交易密码、支付验证码, 防止被他人窃取, 并尽量选择具有公信力的支付平台进行操作。参与移动支付的机构, 要加强对用户的安全意识、安全习惯、信息技术等方面的知识宣传和培训, 对移动支付的安全性风险及时提醒, 提高用户的安全意识和移动支付的使用水平, 确保用户的财产安全和个人信息不收侵犯。

摘要：简要介绍了移动支付的发展过程,分析了威胁移动支付安全的几个重要原因,并对解决移动支付安全问题提出了部分建议。

移动支付安全业务系统设计方案篇9

随着我国经济水平的飞速发展和无线通信网络覆盖率的不断提高, 目前国内移动支付市场呈现快速增长趋势。2010中国移动支付产业论坛研究报告指出, 2009年上半年我国手机移动支付用户总量已达到1 920万, 交易金额逾170亿元, 预计到2012年我国的移动支付用户可能突破千亿元。我国的移动支付业务主要是移动运营商主导模式, 目前三家主要的移动运营商都不同程度地开展了自己的移动支付业务。

然而在移动支付交易过程中, 数据信息仍面临来自设备方面的安全风险。移动支付出现的安全问题在运营商中已经屡见不鲜。作为一种支付方式, 交易的安全性、私密性和易用性无疑是使用者关心的首要问题, 也是其能否得以更广泛应用的关键。这些安全特性可以通过一套科学、完整和经过严密验证的安全技术体系和安全标准来提供保障, 但我国目前尚未形成一个完整的验证环境。这种形势下, 建立一个以移动运营商为主导的、考虑多种接入方式的移动支付业务安全研究平台, 为安全验证环境的构建提供基础, 显得非常必要。

本文介绍了这一移动支付业务系统的设计方案, 描述了业务系统整体的功能结构和模块设计、支付系统的安全保障设计, 并对基于此业务系统的移动支付安全研究工作做了一些设想。

2 移动支付安全业务系统架构

移动支付能力包括现场支付和远程支付, 现场支付通过RFID芯片/卡、POS机等设施配合, 也就是一般所说的“刷手机”的方式;远程支付通过短信、WAP等手段接入互联网上的商城和银行来实现, 涉及消费者、金融机构、业务提供方和商家等实体, 类似于计算机电子支付的在信息传输环节的无线化。这些实体在由基础网络、接入平台、安全体系、管理平台、业务平台、营销体系、目标客户等组成的移动支付体系上进行信息流动。

包含两种支付方式的系统架构如图1。安全基础设施为两种支付模式提供认证和密钥管理支撑, 与卡管理系统共同保障功能模块信息交互中的安全。

3 移动支付安全业务系统功能模块

移动支付业务系统的核心为支付系统, 由支付系统与终端 (手机终端和POS终端) 、模拟银行系统、模拟商家系统及支付业务的安全支撑系统共同组成。

3.1 门户系统模块

支付系统的门户模块包括用户门户和管理门户两部分, 其中用户门户连接手机终端和支付系统的支付处理模块, 为用户终端提供充值和转账的互联网门户。管理门户是负责操作的系统管理员的管理门户, 为支付管理模块提供互联网门户。

3.2 接入网关模块

接入网关位于商户和支付处理模块之间, 为商户提供接入服务, 具体服务接口功能包括扣款接口、扣款确认接口和退款接口三部分。扣款接口用于直接支付流程。扣款确认接口用于预授权支付流程, 与预扣款接口配套使用。退款接口锁定部分金额, 等待扣款确认, 适用于预授权支付流程。

3.3 POS服务系统模块

POS服务系统应用于现场支付流程中, 连接POS机和支付处理模块, 主要提供POS机的接入服务, 具体功能包括POS圈存接入和实时交易服务接入。POS圈存接入主要针对POS圈存流程中POS机与平台的交互;实时交易服务接入用于联机支付场景下, 将POS机用户交易信息实时传送到移动支付仿真平台上。

3.4 支付账户模块

支付账户是为手机支付系统用户设置的手机支付主账户, 现场支付账户隶属或等同于主账户, 为业务的拓展留出其他的子账户, 可以模拟话费、银行卡和各种独立支付等常见账单模式, 如图2。

支付账户属性包括序列号 (内部) 、账户编码 (业务使用、主账户和子账户编码规则可不同) 、类型 (主账户、子账户) 、手机号、状态、账户余额、所属主账户、开户时间、支付限额。

支付账户模块负责提供手机支付账户的建立与管理, 其中账户管理提供账户开户、销户和账户信息的查询等功能, 账户交易提供账户扣款、冻结、解冻功能;批量处理对POS机上传的批量文件进行批量扣款。

3.5 支付处理模块

支付处理模块负责处理来自接入网关、门户的支付请求, 完成手机的远程支付相关功能, 主要有直接支付处理功能, 完成远程支付场景下, 直接支付的处理操作;充值处理功能, 完成远程支付场景下充值的处理操作;转账处理功能, 完成远程支付场景下转账的处理操作;退款处理功能, 完成远程支付场景下退款的处理操作;POS脱机消费后批量处理功能, 完成脱机支付场景下批量账单的处理功能。

3.6 支付管理模块

支付管理模块是移动支付仿真平台为平台运营商提供的运营管理服务系统, 运营商操作员可以通过管理子系统实现日常运营管理职能, 包括资源的管理和运营数据的查询/统计等, 主要包括:用户 (机构) 管理、商户管理、订单管理、支付账户管理、操作员管理、日志管理和POS机设备管理等功能。

移动支付平台需实现的核心管理功能如下:

用户 (机构) 管理, 包括用户 (机构) 的基本信息、注册注销和交易密钥管理。

商家管理, 包括两部分:远程交易商家管理, 即合作商户信息管理, 商户注册和注销, 基本信息管理、交易密钥管理;POS商家管理, 即商户注册和注销, 基本信息管理, 与POS机对应关系管理。

订单管理, 用户交易信息的查询, 退货的审核。

支付账户管理, 实现管理员查询支付账户信息功能。

操作员管理, 提供系统管理员和角色权限管理。

日志管理, 提供操作日志查询功能。POS机管理, 提供POS机信息管理, 包括序列号、生产厂商、编号 (平台生成) 。

3.7 认证鉴权模块

在远程支付场景, 负责商户、用户的验证, 平台签名。在现场支付场景负责MAC生成、验证、TAC验证。

3.8 支付终端

终端部分主要指POS终端和手机终端。POS是支撑现场支付的设备, 要求与贴片卡配合实现关键流程中现场支付部分功能;手机终端实现现场支付和远程支付功能中的关键流程。手机终端方案使用安全中间件实现远程支付场景, 使用贴片卡实现现场支付场景。

3.9 安全支撑

系统的安全支撑部分主要包括CA认证中心、密钥管理中心和卡管理系统三部分。

系统中的CA认证中心负责用户身份证书、设备证书、支付系统证书和商家证书的发放。密钥管理中心根据密钥生成规则实现密钥管理中心根密钥、PSAM卡密钥、用户卡密钥的生成功能, 实现系统各种安全机制的密码运算支撑功能;密钥管理中心的接口子系统为支付系统提供充值、TAC验证、更新数据等密钥服务。卡管理系统负责用户卡和PSAM卡的发行, 即用户卡和PSAM卡的密钥安全更新、数据写入。

4 支付系统安全保障

支付系统是整个系统的中心部分, 集中了外部接口、数据挖掘、支付中心和支付信息库等功能, 担负着支付管理、系统管理和结算管理的重要责任。结构与功能的多样性决定了支付平台安全技术的重要性和复杂性。在支付系统设计中, 我们采用了模块化的设计思路, 对功能模块和安全保障模块独立设计, 集成测试应用, 使整个业务系统能够支撑支付系统模块中系统功能和安全保障的研究。

●身份认证研究功能。目前的认证方式主要是针对用户身份信息确认的单向认证, 而不考虑对认证服务器身份认证。鉴于移动支付中可能出现的认证服务器假冒、中间人攻击等, 本系统使用双向身份认证技术, 可以研究移动支付业务中的单向和双向身份认证方案。

●数据完整性保护, 就是保证支付交易双方接收到的信息在传输过程中没有被修改, 通常采用数字摘要和数字签名技术来实现。本系统设计多种用于移动支付业务的数字签名技术, 如短消息签名、群签名、可指定验证者签名、代理签名技术等, 为研究验证工作提供基础。

●日志管理与审计技术。日志可以记录系统和各种用户所产生的行为, 并按照某种规范表达出来。在移动支付系统中, 日志管理与审计将为非法用户的行为跟踪和取证提供基础。本系统可以在分析与研究移动支付需求特点和系统特点的基础上, 提出高效的日志管理与审计方案。

●传输安全功能。在移动支付系统中, 移动终端设备多数通过无线信道与服务端应用相连, 常常会因为各种原因导致数据包丢失。而移动支付对传输的可靠性和及时性要求又很高, 因此, 如何保证传输的可靠性是一个重要研究内容。本系统采用基于消息队列 (MQ) 的应用层传输控制技术来保证数据的传输安全, 既可以屏蔽底层传输信道的差异, 又可以作为底层传输协议的一个补充。综合考虑性能与价格比, 本系统在开源产品ActiveMQ的基础上进行改进, 构建适应无线传输特性的消息中间件工具。基于本系统可以研究移动终端设备和支付服务端应用都连接到消息队列服务器并进行消息交互, 获取消息传递服务的过程。系统有多个服务器, 它们之间可以进行动态热备份, 能够研究负载平衡和解决由于单点故障带来的可靠性问题。

●数据存储安全。由于移动支付业务的特殊性, 本系统采用基于FC-SAN或IP-SAN存储架构, 为以下研究工作提供基础:可提供历史任意点的数据快速恢复或数据查找功能;具有基于内容的数据去重存储策略 (压缩硬件投资) ;数据生命周期管理策略, 分级存储策略。

5 结语

本文着眼于移动支付业务系统的设计方案研究, 给出了系统的架构图, 设计了业务系统的功能模块和支付系统安全保障, 用以构建远程和现场两种模式下的移动支付业务系统。在此研究系统建立的基础上, 可以进一步通过开发移动支付系统的管理工具、测试工具和测试用例集, 研究和验证相关的安全保障技术和标准规范, 为移动支付系统安全提供一个开放的、不断完善的研究支撑环境。

参考文献

[1]沈晶歆.移动互联网关键技术及典型业务产品研究[J].电信科学, 2010 (10) :5-8.

移动支付的风险分析与安全策略篇10

一、移动支付概述

移动支付是用手机等移动终端实现资金转移, 在移动中实现支付。更准确地说, 我们可以将移动支付定义为:以手机、掌上电脑等移动终端为工具, 通过移动通信网络, 实现资金由支付方转移到受付方。一般来说, 移动支付是以IC卡、数字签名技术为安全保障, 以移动通信网络、银行金融服务系统为依托, 实现货币的转移, 终端通常为手机、掌上电脑、笔记本电脑, 由于手机的广泛应用, 使得手机在移动支付中扮演重要角色。狭义地讲, 移动支付也叫手机支付。

移动支付可以根据多个维度进行分类。首先, 移动支付可以分为现场支付和远程支付, 这是根据支付者和受付者是否在同一地理位置来分类的。现场支付利用红外线、蓝牙、射频技术, 完成手机面对面的交易。远程支付以银行账户、手机话费等作为支付账户, 以短信、语音、WAP等方式发起业务请求, 为购买的商品或服务付款。

移动支付也可分为大额支付和小额支付。大额支付是指那些对支付的安全性要求比较高, 需要通过各种认证手段来确认支付者和受付者的身份, 以确保资金安全的支付形式。这种支付形式涉及的金额一般比较高。小额支付是指对于支付的快捷性要求比较高, 省略某些安全认证的支付。这种支付形式涉及的金额一般比较低。

移动支付根据支付过程中是否事先指定资金去向还可以分为定向支付和非定向支付。

二、移动支付业务发展现状

2000年, 中国移动与中国工商银行、中国银行、招商银行等金融机构开展合作, 推出了基于STK方式的手机银行业务, 这是国内最早的移动支付业务形式。虽然这一业务由于种种原因未取得成功, 但它打开了移动通信和金融业务结合的大门, 为移动支付铺垫了道路。

随着手机短信业务的不断发展, 以短信为基础, 基于银行卡支付的移动支付得到发展。2003年, 移动支付业务应用逐步提速。2003年8月, 中国移动与中国银联合资成立北京联动优势科技有限公司, 为中国移动用户提供手机钱包业务。2009年5月, 上海联通推出了可以刷公交卡的手机, 用户乘车时可以直接刷手机付费;中国电信推出了基于3G的移动支付业务, 用户通过短信、WAP客户端等多种形式, 利用电信账户、支付卡、银行卡等多种账户, 提供账单支付、手机充值、公用事业费缴纳、刷手机消费等手机自助服务。

此外, 以第三方为主体的移动支付模式也在国内兴起。在这种模式下, 移动支付平台的营运由独立于银行和移动通信运营商的第三方经济实体承担, 具有独立的经营权。

三、移动支付的风险分析

移动支付的风险主要集中在政策风险、技术风险、法律风险、信誉风险等4个方面。

(一) 政策风险

移动支付作为新兴业务, 缺乏行业规范, 包括准入政策和监管政策, 资源共享、服务质量保证、服务规范等都需要有明确的规定, 业务才能健康发展。移动支付业务的核心是支付, 移动支付相关政策成为各方关注的焦点。移动支付处于电信增值业务与银行增值业务——中间业务的交叉地带, 它有不同的业务类型。国内非银行机构推动移动支付的积极性比银行更高, 但移动支付涉及金融业务必须接受金融监管, 这无疑提高了市场准入门槛。由此可以看出, 政策风险是移动支付业务发展无法避免的障碍。

(二) 技术风险

移动支付技术风险主要是支付的技术安全风险和技术开展风险。技术安全风险包括两方面, 一是数据传输的安全性风险;二是用户信息的安全性风险。数据传输的安全性风险是客户对移动支付最为关注的问题, 用户信息的安全性风险同样值得关注。短信支付密码被破译、实时短信无法保证、身份识别是移动支付面临的主要技术难题。手机仅仅作为通信工具时, 密码保护并不重要, 但作为支付工具时, 丢失手机、密码被攻破、病毒木马等问题都会造成重大损失。

(三) 法律风险

当前, 由于移动支付还处于起步阶段, 有关法律法规不健全, 移动支付涉及的当事人多, 法律关系复杂, 再加上移动支付使用计算机及通信等先进技术, 因此在移动支付过程中可能产生一些法律纠纷。国内涉及计算机通信领域的立法还相对滞后, 用于保护移动支付有效开展的法律目前除了《电子签名法》和《电子支付指引》之外, 人民银行制定的法规均未涉及移动支付业务, 一旦发生支付纠纷, 银行、电信、客户将处于尴尬境地。

(四) 信誉风险

开展移动支付, 可靠的服务平台至关重要。金融机构要能够持续提供安全、准确、及时的移动金融服务, 通信运营商服务质量也要有保障。如果客户在移动支付过程中遇到严重的通信网络故障以及银行信息系统的不完善而造成客户资金的流失, 将会造成客户对移动支付的不信任, 引发信誉风险。

四、移动支付风险防范措施

(一) 尽快完善与移动支付相关的法律、法规

我国的移动支付起步晚, 相关法律法规和制度体系建设都不完善。为了使移动支付快速发展, 应有针对性地出台相关法律法规, 制定移动支付服务市场准入和退出制度。同时, 加大对网络犯罪行为的打击, 应制定专门的法律, 为依法严惩犯罪分子提供必要的法律保障, 确保移动支付业务的健康发展。

(二) 建立健全技术风险防范体系

银行和移动支付营运商在注重业务发展的同时, 也要注重风险防范, 加大对技术安全方面的投入, 建立健全移动支付技术风险防范体系。一方面, 进一步加大对网络移动技术的引进和研发力度, 充分利用最新技术不断增强移动支付的安全性;另一方面, 要积极培养移动支付发展所需要的高素质人才, 全面提高从业人员的知识和技能水平。

(三) 加强和完善信用体系建设

加强和完善信用体系建设, 目前最关键的是通过联网数据共享, 建立个人和机构完善的信用记录。其次, 要将信用记录运用于公共生活的各个方面, 提高失信行为的成本。只有这样, 移动支付非法交易才会大大减少。

(四) 加强移动支付服务和监管

支付宝进军移动支付“图谋” 篇11

而今，作为阿里巴巴的关联企业，经过9年的发展，目前支付宝拥有注册用户7.5亿，日交易量超过45亿元，以49%的市场份额居于第三方支付行业首位。同时，支付宝不再是淘宝棋局中的一颗棋子。从淘宝独立出来的支付宝正在积极拓展外部业务，目前有超过46万家的商家使用支付宝，范围涵盖B2C购物、航旅机票、理财、教育等方面。

做到这一切的支付宝，无疑是有话可说的。10月18日，这家融合了混血基因的公司在9周年之际全体高管集体亮相，在“大当家”彭蕾的带领下对外谈起了时下热门话题：微信、无线、O2O。

未来生存法则：“ABC+PW”

据统计，2011年第三方网上支付业务交易规模达到22038亿元，支付宝以49.0%的市场份额居于市场首位，占据了第三方支付市场的半壁江山。

10月18日，支付宝CFO井贤栋在“支付宝分享日”上透露，如今生活缴费、医药挂号等个人业务以及外部商户等非阿里系业务占比超过整个支付宝业务的50%，天猫支付业务约占30%左右。

作为当下第三方支付江湖的老大，面对有无限想象空间的未来市场，支付宝无疑有一套自己独特的生存法则。据“大当家”彭蕾介绍，这套法则可用五个字母表示——“ABC+PW”。彭蕾进一步解读道：“A是Application，应用场景，生活服务类缴费；B是Bank，银行，是支付宝的资金渠道；C是Consumer，消费者，也就是个人，支付宝要提供产品和服务。而P则代表PC，指的是支付宝桌面产品布局；最后的W则是Wireless，是无线而不是Mobile。这五个字母合起来正好诠释了支付宝未来的发展方向。

支付宝一直强调自己不是银行，而是一家以互联网的技术为民众提供金融服务的公司。金融，严谨而细微；互联网，对外而开放，难怪连彭蕾也笑称这是“精神分裂”的。

除了“ABC+PW”法则，彭蕾表示未来支付宝有两点不会改变，“致力于互联网开放、平等、分享、透明的技术和精神理念，帮助中国的小微企业完成资金上的需求；专注于服务消费者，让信用变成财富。”

当然，彭蕾也坦诚，未来空间巨大，道路也同样曲折。互联网任何领域没有人能说自己具有绝对优势，是最大的赢家。

涉水O2O：做工具、搭平台

O2O可谓是时下互联网领域一个火热的词儿，各大巨头纷纷涌入这一领域，先有腾讯微信，后有百度LBS，支付宝自然也不甘于后。

“在支付宝的未来发展方向中，W（无线）包括O2O。”彭蕾说。此前的7月24日，支付宝与分众传媒、聚划算三方联合宣布为消费者提供O2O模式下的消费场景，消费者可以通过装有支付宝客户端的手机拍摄二维码，在分众显示屏前购买聚划算上的商品和服务。此举意味着支付宝正式进军O2O领域。

支付宝做O2O的思路很简单——做工具、搭平台。

有数据显示，2012年上半年，手机在线支付用户达4440万人，相比2011年下半年的3058万人，半年用户规模增长45.2%。除支付宝外，大众点评网在O2O市场同样磨刀霍霍。

“现在没有一家互联网企业敢拍胸脯说自己是未来的赢家，因为这其中的变数太多，机会太大。我不相信基因论，我更相信术业有专攻。”彭蕾所指的“术”即支付宝的支付技术和解决方案平台。

“但我们不会碰硬件的东西。我们要做的O2O与微信、大众点评做的都不同，我们不做业务，只做工具，要先把卡券平台搭好。支付宝不会创造新的应用场景，但只要有应用场景，支付宝就已在那里等你。”彭蕾进一步补充道。

还有一个数据似乎更能证明支付宝为什么坚定于“做工具”。

据艾瑞统计报告显示，今年一季度以来，国内移动电商占移动互联网市场的42%，超越移动增值业务成为最大的移动互联网细分行业。移动电商的同比增长率从去年的250%加速至当前的530%以上。在移动电商中，手机淘宝占据高达72%的市场份额。

这些数据都让支付宝更坚定于“做工具”。“支付宝的O2O布局将坚持两条腿走路。首先，我们将努力和阿里集团内部的各业务线合作，拓展O2O，包括与天猫商户合作，支持线上发券、线下交易，以及加大和聚划算商户的合作。同时，支付宝也会努力和站外网站比如大众点评等进行合作。”彭蕾笑言，“如果微信愿意，支付宝也愿意与其合作。”

彭蕾表示，“我们认为术业有专攻，而不在于基因论。我们要把淘宝及非淘宝系的O2O业务服务好，跟着产品、业务走，先把卡券平台搭建好，做好信用体系，担保交易体系，这才是首要。”

支付宝进军O2O市场自然不想做先烈，于是选择了自己擅长的，同时也是市场培育较好、用户规模较大的领域来切入，这无疑是聪明的选择。

当然，至于支付宝能不能在O2O行业里做到先驱，还有待时间的考验。

三道坎：无线、去淘宝化、政策与博弈

移动支付是当下战场，更是未来战场。支付宝虽然已占据了网上支付市场的半壁江山，但互联网有趣的地方就在于变数多，其中傍着微信的财付通能否逆袭就很值得期待。

除了未来的不可预测外，支付宝也面临着三大“考验”：

考验一：无线市场的培育与变数

支付宝的未来发展有一个关键词“无线”，而无线的发展则需要用户规模与习惯养成，需要技术与终端的普及，同时也需要漫长的市场培育，而我国目前仍处于产业导入期。以近端支付为例，NFC终端限制依然很大：改造方式损耗大、成本高、用户付费意识不强、体验差，这些都不是支付宝一家公司就可以推动、改变的。

此外，在大环境下，银行、银联、运营商、第三方支付企业都各自圈地，虽也有合作但都是“小打小闹”，真正做到打通上下游产业链，做到上下资源、合作模式、利益的有效融通仍有待时日。由此可认为，正是基于无线市场培育与变数的不可确定性，支付宝的无线之路面临着大环境的考验。

考验二：去淘宝化

支付宝对外表示，目前业务中非淘宝系的平台业务已经超过50%以上，当然外界也有数据表示非淘宝系的大约占比40%。我们不纠结于这其中百分之几的点，可见淘宝业务仍然是支付宝主要生存渠道。单一与过度依赖总归不是好事儿。目前支付宝的非淘宝业务涉足面很广，有航空、物流、网购、团购等等，但他们自己也承认外部业务确实属于小份额，至于具体数据，支付宝表示和几大电商市场份额占比差不多。虽然支付宝的外围无疑是够“丰富”的，但如何强大外围业务则有待考验。

此外，挂号、有线电视付费等渠道都面临着成本高、网点铺设尚少的现实，如何把民生业务做得更深入是支付宝未来发展的一个重要部分。此外，尚处于摸索期的海外业务以及需要更多渠道的小额贷款还都需要再开拓。由此可见，丰富自己的生存手段真正做到“去淘宝化”仍然是支付宝面临的一个课题。

考验三：博弈于政策与银联银行之间

支付宝一直强调自己不做银行，做的是金融服务，与银行只是合作伙伴。据支付宝透露，目前已与160家银行有合作，跨境快捷也发展顺利。但不可否认的是，在无线也好、移动也罢，这块儿大蛋糕是谁都想分割的，利益面前，没有永久的敌人也没有永远的朋友。

阿里系一直有个企业风格，那就是如果现实需要来做这件事情，你不做或做的慢，那么我就来做。银联银行虽然发展的很快，但是中小银行系统的步伐还是慢了些，因此如何处理好既要抢食一份羹又要友好合作的关系，这场博弈战支付宝必然是躲不过的。

此外，在政府政策方面，支付宝如何运筹与应对也是一道“坎儿”。虽然，支付宝称目前国家政策很宽容也很鼓励创新，但无需多言，用柳传志的一句话来回应即可，“不要对我们企业家抱有多大的希望，一切完全取决于政治环境。”。

智能移动终端支付的安全性研究篇12

移动互联网蓬勃发展, 使得智能移动终端不再只是通信功能, 还涉及我们的家庭生活当中, 如智能家居, 智能汽车等。智能移动终端功能的强大, 随之而来的安全性问题则令人担扰。电商促使用户对移动支付的便捷性更为认可。与银行卡支付相比, 智能移动端只需通过下载相应的支付程序便可以直接完成各种交易, 包括购物支付。当用户使用移动支付时, 造成移动端产生大量的数据, 虽然其中一部分的数据会存储到云端, 但仍然会留存部分数据和历史记录信息。移动终端聚合的信息不仅包含通信内容而且还包含数字内容、支付信息和个人隐私数据等。移动终端的安全性与用户利益息息相关, 如何保障移动支付和相关数据的安全性、安全问题和安全等级, 是移动互联网的基础工作, 更是个人信息安全的重要保障。

2智能移动终端支付和安全认证方式

2.1智能移动终端支付方式

现阶段, 智能终端支付主要使用的技术有以下几种:

2.1.1二维码支付即所谓的“即拍即付”

通过使用智能移动终端上的支付应用程序的二维码识别的功能, 来识别商品属性信息, 用户可通过点击应用程序的付款选项进行快捷付款。

2.1.2 NFC移动终端钱包, NFC (Near Field Communication) 中文名叫“近距离无线通讯技术”

通过移动终端设备中的NFC芯片或贴片等方式, 将用户的银行卡账户信息存储在该芯片或贴片中。当用户需要付款时, 将终端放置商户的接收器上即可。

2.1.3条码支付也被称为“条码收款”

通过支付应用程序, 为用户生成为一个唯一的条形码, 商户通过条码枪扫描后, 用户点击同意支付, 即可快速完成结算。

2.1.4 APP类似“网上银行”

通过相应银行的App或电商的App, 输入账户信息进行支付。

2.2智能移动终端安全认证方式

(1) 身份认证是通过验证指令来对持卡人身份进行检验, 判断该操作动作是否为持卡人发出, 常见的刷卡支付方式, 是通过卡道来验证身份。只有被获取物理卡片才能进行盗刷, 然而在移动互联网时代, 只需要通过账号、密码、验证码等即可进行验证, 安全系数增加。

(2) 设备指纹认证是通过利用软件指纹来进行身份验证, 具体方式为在采集设备中所安装的软件信息, 结合云端服务器采集用户部分的个性化特征数据, 从而完成身份校验。

(3) 短信验证码或使用动态密码令牌, 在移动支付时代, 在用户支付安全得到保障的同时也要改善用户体验, 简化操作流程, 减少密码盾使用频次, 通过软件模式来进行安全认证将是未来的趋势。

3智能终端支付面临的安全威胁及防范措施

随着移动互联网的快速发展, 先进技术层出不穷, 伴随着先进技术的发展, 安全威胁也是日益增多。智能移动终端的普及, 要求具有较高的安全性。智能移动终端相继出现了各种木马病毒和远程攻击, 遇到的威胁主要包括以下几种:APP恶意程序、云端攻击、ROM攻击、暴力破解、键盘记录等。

3.1造成智能移动终端安全威胁的原因

(1) 最重要就是用户的安全意识薄弱, 对威胁防范不足。例如用户对智能手机没有进行加锁, 对手机ROM刷机。

(2) 智能移动终端本身也存在着许多安全威胁, 厂商繁多, 其操作系统不一致。主流还是以Android和IOS为主, 但各厂商有各自的考虑, 设计出来的产品各自的安全性也不统一。

(3) 对智能移动终端的安全性威胁主要有以下:最主要是通过移动操作系统的漏洞、APP程序漏洞来进行攻击渗透或者对系统漏洞编写嵌入式木马非法摄取用户相关信息。

3.2智能移动终端安全防范措施

移动支付已成为智能移动终端比较普遍的支付方式, 针对智能移动终端采取的安全防范措施可以从以下几个方面进行研究。

(1) 提高用户在智能移动终端支付的安全意识, 保管好个人信息和数据, 在支付时保持谨慎。

(2) 智能移动终端的认证安全技术, 目前是通过实名身份认证来接入移动网络实现银行支付交易的, 通过第三方安全软件来保证支付的安全性。在电子支付领域支付模式使用较为普遍的是通过SSL协议和移动口令牌相结合完成支付, 或者使用SSL协议与数字证书结合, 但是在结合SSL的基础上通过智能终端与加密SD卡相结合的身份认证方案, 将成为新的电子支付方案, 从而有效提高智能终端的支付的安全和便捷。

(3) 利用指纹识别技术来提高智能终端支付的安全性, 因为它的安全性, 唯一性较高, 且指纹的重复度比较低, 当用户需要支付时, 只有相应对的指纹验证才能完成最终的支付和交易, 在防伪方面是比较高的。

(4) 利用技术策略来提高安全性, 通过HTTPS进行数据传输加密处理 (通讯协议加固) , 保证客户端与服务器端之间数据交互安全, 全部的REST API调用都要通过App ID和App Secret进行数字签名加密进行验证, 设置严格的ACL权限控制机制, 保证用户数据安全隔离, 对用户自定义需求, 通过模式选择修改权限, 例如用户选择超级隐私模式对应用户的数据安全和隐私性保护权限最高。

4总结

随着移动互联网技术的快速发展, 在智能移动终端购物和支付获得用户的普遍依赖。在为用户带来便利的同时, 对智能终端支付的安全性也提出了更高要求。在智能移动终端进行支付的方式将成为未来支付发展趋势, 支付信息数据则上传保留在云端, 所以智能移动终端支付的安全性成为智能移动终端发展的重中之重, 保障用户数据安全刻不容缓。

参考文献

【移动支付安全】推荐阅读：

移动支付09-27

移动支付业务07-31

移动支付标准09-08

移动支付终端09-19

移动支付机制12-15