试论移动支付的实现方式及安全策略分析
摘 要
如今,作为通信行业与金融行业的共同关注热点,移动支付业务备受人们的青睐,但有关移动支付的安全性仍是制约其进一步发展的主要问题之一。为此,本文主要针对当前主流移动支付的实现方式进行了分析,并就移动支付的安全策略进行了探讨。
【关键词】移动支付 实现方式 安全策略
如今,移动支付已经成为了最具发展潜力的一项创新业务,有关移动支付实现方式也受到了专业人士的普遍关注,但是,鉴于无线网的特殊性以及终端有限的计算能力,如何确保移动支付的安全性仍是当前该领域亟待解决的主要问题。
1 移动支付实现方式分析
通信技术正逐步从固定网络朝移动网络演进、从语音业务向数据业务方向发展,而移动支付的实现方式也随之产生了改变,当前,较为主流的移动支付实现方式主要包括如下:
1.1 语音电话方式
所谓的“语音电话业务”,主要指的是传统的固定网络语音增值业务。消费者只需要通过拨打特定的号码,即可顺利进入服务中心,根据语音提示内容,实现信息的有效输入,经过这种互动式的服务实现支付及商品交易等过程。该方式使用过程简便、操作简单、安全、高效,产品推广及业务使用已经十分成熟。由于该项业务的服务费用往往有别于普通通话费用,因此,对于支付额度较小、交易频繁的状况而言,有时会导致大量通信费用的产生,导致消费者难以接受。
1.2 短信方式
在短信支付平台下,用户可以以服务商的相关要求为依据,通过在手机中输入固定形式的信息,将该信息发送至短信中心,通过短信中心、网关及支付平台的相互交互与配合下,从数据库中对用户信息进行记录,实现费用的划转,并生成相应的核实指令,将确认短信发至用户手机,核实后交易完成。该方式的优点,即使用方便、简单、低成本、短信费用在整个移动支付交易中所占的比例几乎可忽略。但是,由于短信存储转发机制的限制,导致信息时延情况屡屡发生,若业务高峰或网络拥塞时,常常会存在短信丢失或延时到达等情况。
1.3 WAP/Web方式
移动互联网的快速发展推动了WAP/Web方式的广泛应用。利用手机对WAP交易网站进行访问,根据网上交易流程实现支付,3G技术为该业务顺利进行提供了无线带宽,如今,Web移动网上购物已成为大家日常生活的重要组成部分之一,但是,网络病毒、木马的攻击对该移动支付方式的安全性带来了严重的威胁,且直到现在仍缺乏有效的解决方案。此外,该交易方式所产生的流量费用,需以实际交易类型为依据进行实际选择,以有效降低交易成本。
1.4 RFID方式
RFID,即所谓的射频识别技术,是新兴起的一项非接触式自动识别技术,其原理是借助于射频信号,利用空间耦合实现无需接触式的信息传递过程,并利用所传达的信息实现识别的目的,主要包括标签、阅读器、及天线等,标签进入磁场范围内后能够对阅读器所发送的射频信号进行有效地接收和解读,对电流所获取能量进行感应,并发送到中央信息系统中进行数据处理。该技术十分方便、快捷,操作过程简单,因而得到了越来越广泛的应用。随着手机用户的日趋饱和,传统语音业务已经开始面临发展瓶颈,因此,发展RFID应用已经成为运营商的战略性选择。此外,由于RFID和手机均具有一定的保密措施,因而使得该业务的应用更为便捷与灵活。
2 移动支付安全策略分析
2.1身份认证
该技术有效保障了信息的真实性与可靠性,因此,在移动支付过程中,系统可以利用验证技术,对用户身份进行有效的验证。身份验证系统共包括三大流程:(1)待验证人员出示有效的身份证件;(2)系统对验证者的合法性进行判断;(3)若非法,则验证失败,无法访问。
2.2 哈希函数
该函数将任意长度的字符串转变为一定长度的字符串,即杂凑函数。如果将哈希函数用H来表示,所需转换的数字串用M表示,则,其杂凑值为H=H(M)。该函数可以将各种不同的输入转变为相同的输出,是由于该函数的多对一特性,其其中一项重要功能,即确保了消息的准确性与完整性。
2.3 PKI
PKI,即所谓的“公钥基础设施”,是一种利用公钥加密技术及理论,为消费者提供有效的信息安全服务的设施。根据定义可知,该技术的目的即在管理通信中利用证书与密钥,确保通信网络始终处在一个安全、稳定的环境下。因此,该技术有效解决了交易人员的身份验证以及访问权限等方面的问题,为用户的安全交易提供了良好的环境。该技术利用CA第三方认证中心,将用户公钥及相关标识信息进行了紧密捆绑,因而保障了网络通信过程的安全性。其主要包括CA、CRL、RA及证书存取库等。对于中端实体而言,即可以是支付端用户,也可以是经过了身份验证的实体;CA认证中心负责数字证书的生成、发放与管理;注册机构对信息进行录用、审核;证书存储库负责为数字证书提供相应的使用方法,通常为证书的存取与列表吊销方法等。
2.4 数字签名技术
该技术是在信息发送过程中附加某些特定的验证信息,或对所发送信息的密码进行变换,信息接受者利用此类数据对信息的安全性及完整性进行确定,仲裁方会在纠纷时利用信息签名对信息的真实性进行确认。该技术有效避免了交易方抵赖,确保了交易过程的完整性,保证信息不受篡改。
2.5 密码学
密码学包括两类,即对称密码与非对称密码。前者的密钥要求必须保密,若只有密文,则无法对密钥进行确定。后者的加密与解密过程所使用算法是一致的,但采用的密钥不一致。私钥为保密的,若只有密文,则无法将密文破解,即使掌握算法及密钥、密文其中之一,也无法对另一密钥进行确定。
3 结束语
由于移动网络数据传输方式的固有缺陷,导致通信数据极有可能遭致截取,同时,若有大量用户同时使用时,移动支付系统的终端处理能力也将受限。因此,必须加强移动支付实现方式及安全策略的研究,以推动移动支付的逐步完善与广泛应用。
参考文献
[1]罗守山,陈萍,邹永忠,刘琳.密码学与信息安全技术[M].北京:科北京邮电大学出版社,2009.
[2]于丽丽,王丽君.融入中国剩余定理及Montgomery算法的快速RSA算法研究[J].微型机与应用,2010(06):284-287.
[3]黄晓芳,周亚建,赖欣等.基于第三方的安全移动支付方案[J].计算机工程,2010,36(18):158-159,162.
作者单位
广西党员干部现代远程教育管理办公室 广西壮族自治区南宁市 530022
