1、移動支付(zhf)的應(yīng)用安全性檢測國家(guji)應(yīng)用軟件產(chǎn)品質(zhì)量監(jiān)督檢驗中心 鄭麗娜 王威 摘要(zhiyo)隨著3G時代的到來，移動支付業(yè)務(wù)得到迅速發(fā)展，而安全問題一直用戶關(guān)心的首要問題，本文從移動支付的概念、類型、技術(shù)出發(fā)，對移動支付存在的安全問題，以及當(dāng)前采用的安全機制進行展開，并就移動支付應(yīng)用安全性的檢測方法和檢測內(nèi)容進行了初步探討。 關(guān)鍵詞移動支付，手機支付，應(yīng)用安全檢測 1、移動支付的概念 移動支付是移動運營商和金融機構(gòu)共同推出的能夠?qū)崿F(xiàn)遠程在線支付的移動增值業(yè)務(wù)。移動支付狹義上是指使用手機作為終端的通信工具，廣義上是指交易雙方為了某種貨物或者服務(wù)，使用移動終端設(shè)備為載體，通過移

2、動通信網(wǎng)絡(luò)實現(xiàn)的商業(yè)交易。移動支付所使用的移動終端可以是手機、PDA、移動PC 等，其手段包括手機短信，互動式語音應(yīng)答、WAP等多種方式。 具體來說，移動支付就是將移動網(wǎng)絡(luò)與金融系統(tǒng)相結(jié)合，將移動通信網(wǎng)絡(luò)作為實現(xiàn)移動支付的工具和手段，為客戶提供商品交易、繳費、銀行賬號管理等金融服務(wù)。它采用手機等作為支付工具，客戶將消費的金額從手機費中扣除，服務(wù)提供方則通過與移動運營商的結(jié)算來獲得收益。移動支付系統(tǒng)為每個手機客戶建立一個與手機號碼綁定的支付賬戶，客戶通過手機即可進行現(xiàn)金的劃轉(zhuǎn)和支付。 在移動支付產(chǎn)業(yè)中，其整個系統(tǒng)由消費者、商業(yè)機構(gòu)、支付平臺運營商、銀行、移動運營商等多個環(huán)節(jié)組成，主要原理是在移動

3、運營支撐平臺上構(gòu)建一個移動數(shù)據(jù)增值業(yè)務(wù)，把移動客戶的手機號碼當(dāng)作關(guān)聯(lián)支付賬戶，使移動客戶可以通過手機進行身份確認(rèn)和交易活動。 2、移動支付(zhf)的類型 按照不同的標(biāo)準(zhǔn)，移動支付(zhf)可以分為不同的類型。 2.1按交易(jioy)金額分 根據(jù)支付金額的大小，可以將移動支付分為小額支付和大額支付。小額支付指運營商與銀行合作，建立預(yù)存費用的賬戶，用戶通過移動通信的平臺發(fā)出劃賬指令代繳費用；大額支付指把用戶銀行賬戶和手機號碼進行綁定，用戶通過多種方式對與手機捆綁的銀行卡進行交易操作。 2.2按照傳輸方式分 按照傳輸方式的不同，移動支付可以分為近場支付和遠程支付。 近場支付不通過移動網(wǎng)絡(luò)，使用近

4、距離無線通信技術(shù)進行支付，包括接觸式支付和非接觸式支付。消費者在購買商品或服務(wù)時，即時通過移動設(shè)備向商家進行支付，支付的處理在現(xiàn)場進行，支付完畢，消費者即可得到商品或服務(wù)。遠程支付是指通過無線移動網(wǎng)絡(luò)進行接入的服務(wù)。消費者在購買商品時，可以用短信、WAP或客戶端將支付信息傳遞到支付平臺的后臺服務(wù)器，支付平臺在銀行賬戶中扣除相應(yīng)的費用，并且向商家發(fā)出支付確認(rèn)信息，商家再向使用者確認(rèn)，完成交易支付。 2.3按支付時間分 按支付時間分，可分為預(yù)付費（存儲卡）、后付費（信用卡）和交易當(dāng)時支付（借記卡）。 2.4按接入方式分 移動支付接入方式主要有五種：第一種是利用短信（STK）方式；第二種是語音方式I

5、VR（Interactive Voice Response 交互式語音應(yīng)答）；第三種是利用USSD 方式；第四種是使用WAP協(xié)議實現(xiàn)；第五種是利用WEB 方式實現(xiàn)。目前主要采用的是語音、STK 和WEB方式實現(xiàn)。 3、移動(ydng)支付的技術(shù) 近場支付和遠程支付的實現(xiàn)(shxin)采用了不同的技術(shù)方式，用以滿足其不同支付地點差異的安全需求。 3.1近場(jn chn)支付 近場支付是利用射頻、紅外或者藍牙等技術(shù)，實現(xiàn)手機與其他智能終端的通訊與信息交換，進而完成交易支付，具體實現(xiàn)技術(shù)如下： （1）紅外(IR)與藍牙：都是通過無線通訊進行數(shù)據(jù)傳輸，兩者的終端普及率均較高。前者的成本低，不易被干擾

6、；后者的傳輸距離較遠，且信號沒有方向性。 （2）無線射頻識別技術(shù)(RFID)：它通過射頻信號自動識別目標(biāo)對象并獲取數(shù)據(jù)。RFID技術(shù)安全性高、速度快且存儲量大，但其基礎(chǔ)設(shè)施投入大、成本高、終端要求較高。 3.2遠程支付 遠程支付是利用無線網(wǎng)絡(luò)，通過手機向提供某種商品（或服務(wù)）的商家發(fā)出交易申請，并完成交易支付，具體實現(xiàn)技術(shù)如下： （1）交互語音應(yīng)答技術(shù)（IVR）：用手機撥打電話實現(xiàn)支付過程。它的穩(wěn)定性和實時性較好，但由于操作復(fù)雜導(dǎo)致耗時較長，通訊費用較高，安全性能不佳，僅適用于小額支付。 （2）短消息服務(wù)技術(shù)（SMS）：通過發(fā)送短信完成支付。這種方式的用戶群基礎(chǔ)廣泛，費用低，易于操作，普通手機

7、均可實現(xiàn)，但是安全性差，不能確定短信發(fā)送及接收的響應(yīng)時間。 （3）非結(jié)構(gòu)化補充數(shù)據(jù)業(yè)務(wù)技術(shù)（USSD）：通信網(wǎng)絡(luò)在用戶使用手機向網(wǎng)絡(luò)發(fā)送事先預(yù)定的數(shù)字或符號后，為用戶提供相應(yīng)的服務(wù)。該技術(shù)操作簡單，交易成本低、具有較高的安全性，但對終端要求較高，需要特定終端支持。 （4）無線應(yīng)用協(xié)議技術(shù)（WAP）：利用手機連接Internet完成支付。該方法交互性強，但由于網(wǎng)絡(luò)不穩(wěn)定，造成指令的響應(yīng)速度不能確定，使用費用較高，且需要終端支持。 （5）K.Java/Brew（J2ME/無線二進制運行環(huán)境）：通過下載KJava/Brew連接Internet。它可移植性強、消耗網(wǎng)絡(luò)資源低、服務(wù)器負(fù)載低，界面易被用戶

8、接受，但需要終端設(shè)備支持。 四、移動支付(zhf)的安全問題 不論移動支付采用何種技術(shù)實現(xiàn)，其安全性都是影響支付業(yè)務(wù)能否(nn fu)發(fā)展的關(guān)鍵因素。移動支付的安全性涉及用戶信息的保密、用戶資金和支付信息的安全等問題，其面臨的安全風(fēng)險主要來自于無線鏈路、服務(wù)網(wǎng)絡(luò)和終端。具體而言，主要包括： 4.1竊聽(qi tn) 竊聽是最簡單的獲取非加密網(wǎng)絡(luò)信息的形式，這種方式可以同樣應(yīng)用于無線網(wǎng)絡(luò)。由于無線網(wǎng)絡(luò)本身的開放性，以及短消息等數(shù)據(jù)一般都是明文傳輸，這使得通過無線空中接口進行竊聽成為可能。攻擊者通過竊聽有可能了解支付流程，獲取用戶的隱私信息，甚至破解支付協(xié)議中的秘密信息。 4.2重傳交易信息 攻擊

9、者截獲傳輸中的交易信息，并把交易信息多次傳送給服務(wù)網(wǎng)絡(luò)。多次重復(fù)傳送的信息有可能給支付方或接收方帶來損失。 4.3終端竊取與假冒 攻擊者有可能通過竊取移動終端或SIM卡來假冒合法用戶，從而非法參與支付活動，給系統(tǒng)和交易雙方造成損失。通過本地和遠程寫卡方式，攻擊者還有可能修改、插入或刪除存儲在終端上的應(yīng)用軟件和數(shù)據(jù)，從而破壞終端的物理或邏輯控制。 4.4中間人攻擊 如果攻擊者設(shè)法使用戶和服務(wù)提供商間的通信變成由攻擊者轉(zhuǎn)發(fā)，那么該中間人可完全控制移動支付的過程，并從中非法牟利。 4.5交易抵賴 當(dāng)移動支付成為普遍行為時，就可能存在支付欺詐問題。用戶可能對發(fā)出的支付行為進行否認(rèn)，也可能對花費的費用及

10、業(yè)務(wù)資料來源進行否認(rèn)。隨著開放程度的加強，來自服務(wù)提供商的抵賴可能性也會有所增加。 4.6拒絕服務(wù) 破壞移動支付服務(wù)網(wǎng)絡(luò)，使得系統(tǒng)喪失服務(wù)功能，影響移動支付的正常運行，阻止用戶發(fā)起或接受相關(guān)的支付行為。 5、移動支付的安全(nqun)機制 為解決移動支付(zhf)面臨的安全問題，從管理上來說，一般采用限額控制和簽約機制；從技術(shù)上來說，一般采用訪問控制技術(shù)使支付中的交易信息不被非法用戶獲取和篡改，采用身份認(rèn)證技術(shù)實現(xiàn)對交易各方的身份認(rèn)證，采用數(shù)字簽名技術(shù)實現(xiàn)信息的保密等等。 5.1用戶(yngh)身份認(rèn)證與支付確認(rèn)機制 在支付過程中，移動支付系統(tǒng)扣款前向用戶再次確認(rèn)商品及支付金額，并索取支付密碼

11、，完成對支付內(nèi)容的合法性確認(rèn)和對用戶身份的驗證，用戶從移動終端對交易內(nèi)容和金額進行認(rèn)可，并輸入正確密碼，支付才可生效。這樣通過支付系統(tǒng)和用戶之間的確認(rèn)機制，可以防止可能存在的欺詐行為。支付系統(tǒng)在交易確認(rèn)后向用戶下發(fā)確認(rèn)通知消息，進行交易通知和提示，增加交易透明性，即便出現(xiàn)欺詐，用戶也可以及時發(fā)現(xiàn)并提起投訴。 5.2 WAP傳輸?shù)陌踩珯C制 對于移動支付系統(tǒng)與用戶之間的WAP交互，由于目前WAP網(wǎng)關(guān)都支持WAP2.0，因此采用端到端的安全模式。在移動用戶終端與移動支付系統(tǒng)之間直接建立TLS的安全連接，交易事務(wù)鏈的兩端進行數(shù)據(jù)加密處理，中間環(huán)節(jié)不解密，全部傳輸過程為密文傳送。 5.3短消息傳輸?shù)陌踩?/p>

12、機制 由于支付系統(tǒng)發(fā)出的短信確認(rèn)消息是在封閉的移動網(wǎng)絡(luò)上進行傳輸?shù)模鋽y帶的確認(rèn)隨機數(shù)其他人無法獲取，因此依靠移動網(wǎng)絡(luò)的安全即可保證支付信息的安全問題。 5.4數(shù)字簽名機制 通過數(shù)字簽名，移動支付系統(tǒng)一方面實現(xiàn)身份驗證，另一方面可以保證商業(yè)機構(gòu)、支付平臺運營商、支付用戶、銀行等對支付行為的不可否認(rèn)性，避免各實體拒絕承認(rèn)交易而使運營商面臨被欺騙的風(fēng)險。數(shù)字簽名技術(shù)需要CA證書權(quán)威向移動支付中心、商業(yè)機構(gòu)、支付平臺運營商、支付用戶終端發(fā)放數(shù)字證書、CA證書權(quán)威作為驗證數(shù)字證書的可信實體。此外對于終端實現(xiàn)數(shù)字簽名技術(shù)，需要終端的WIM卡的支持。 5.5網(wǎng)絡(luò)安全機制 為了保證交易過程中數(shù)據(jù)在網(wǎng)絡(luò)傳輸中

13、的安全，移動支付系統(tǒng)須建立完善的網(wǎng)絡(luò)安全機制，包括防火墻系統(tǒng)、病毒防范系統(tǒng)等；系統(tǒng)采用雙網(wǎng)的組網(wǎng)結(jié)構(gòu)，防止單點設(shè)備故障和鏈路故障，保證整個網(wǎng)絡(luò)的暢通；系統(tǒng)硬件雙備份，具有冗余性和負(fù)載分擔(dān)機制，及數(shù)據(jù)傳輸安全機制；對接入到系統(tǒng)的各銀行、移動通信網(wǎng)元等實體作網(wǎng)段隔離，保證不同網(wǎng)絡(luò)因都與移動支付系統(tǒng)相連而互通。 5.6交易安全機制 移動支付業(yè)務(wù)開戶流程確保對用戶身份的認(rèn)證，建立用戶身份與手機號碼的綁定關(guān)系；移動運營商確保對用戶手機的認(rèn)證，及對訂購關(guān)系的合法性鑒權(quán)，對于不完整的交易，要求商業(yè)機構(gòu)（或支付平臺運營商）發(fā)出沖正請求，取消不完整的交易操作。 5.7應(yīng)用系統(tǒng)、數(shù)據(jù)安全備份 采用應(yīng)用系統(tǒng)雙機熱備

14、、異地備份技術(shù)，保障系統(tǒng)對外服務(wù)的不間斷性；數(shù)據(jù)庫實時雙備份的方式，保障交易記錄的不可缺失性。 5.8其他安全機制 為防止非授權(quán)者對主機的入侵，將移動支付中心部署在移動運營商網(wǎng)絡(luò)的基于IP的防火墻后面；實現(xiàn)控制機制，設(shè)置支付限額；實現(xiàn)對賬號的安全管理；實現(xiàn)對加密算法、密鑰長度、密鑰安全交換、密鑰更新時間、簽名算法等的安全模塊進行管理；實現(xiàn)交易記錄的安全審計跟蹤，這樣在發(fā)生糾紛的時候，可以提供完整、準(zhǔn)確和可信的交易記錄進行核查。 6、移動支付(zhf)的應(yīng)用安全性檢測 為了確保移動支付系統(tǒng)的安全運行(ynxng)，有必要對其進行全面的安全檢測，其中包括對移動支付系統(tǒng)進行應(yīng)用安全性檢測，即檢測系統(tǒng)

15、對非法訪問和操作的控制能力。下面就應(yīng)用安全性檢測方面進行詳細討論。 6.1檢測(jin c)方式 移動支付的應(yīng)用安全性檢測主要采取人工訪談、文檔審查、現(xiàn)場測試、工具檢查和滲透測試等方式進行。 （1）人工訪談。分別與移動支付系統(tǒng)技術(shù)負(fù)責(zé)人和系統(tǒng)相關(guān)用戶，針對系統(tǒng)功能和運行情況進行訪談，初步了解應(yīng)用系統(tǒng)架構(gòu)、功能模塊、最終用戶，以及重要數(shù)據(jù)、系統(tǒng)運行維護記錄的存放等。 （2）文檔審查。審查系統(tǒng)開發(fā)文檔、用戶文檔和管理文檔，以便對移動支付系統(tǒng)有更深入的了解。 （3）現(xiàn)場測試。以管理員的身份登錄系統(tǒng)，查看用戶登錄賬戶、認(rèn)證功能、系統(tǒng)管理、安全審計等方面是存在安全方面的問題。 （4）工具檢查。通過漏洞掃

16、描工具、安全檢查工具對系統(tǒng)進行遠程檢測和本地檢測，以發(fā)現(xiàn)系統(tǒng)中存在的漏洞和安全隱患，如存在SQL注入、跨站腳本攻擊等漏洞。 （5）滲透測試。模擬互聯(lián)網(wǎng)和局域網(wǎng)用戶通過漏洞掃描、權(quán)限提升等攻擊手段，對網(wǎng)站和業(yè)務(wù)系統(tǒng)實施遠程、非破壞性安全檢測，以發(fā)現(xiàn)系統(tǒng)可能被惡意利用的薄弱環(huán)節(jié)。 6.2檢測內(nèi)容 依據(jù)GB/T 22239-2008信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求，針對常見的信息系統(tǒng)，應(yīng)用安全從身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯和資源控制等方面來檢測。 而針對新興的移動支付而言，除了要嚴(yán)格檢測上述方面以外，還需要進一步對如下幾個方面進行檢測

17、，如： （1）WEB和WAP頁面安全：檢測系統(tǒng)是否采用登錄防窮舉措施，是否提供安全控件、數(shù)字證書和獨立的支付密碼，頁面是否采取SQL注入、跨站腳本攻擊、源代碼暴露和黑客掛馬的防范，以及防篡改和防釣魚措施； （2）編碼安全：對系統(tǒng)源代碼和插件是否進行了安全性審查，檢查其審查報告，是否具有編碼規(guī)范約束制度，是否對源代碼和版本進行有效管理，檢查其管理制度； （3）電子認(rèn)證應(yīng)用：對內(nèi)對外業(yè)務(wù)和關(guān)鍵業(yè)務(wù)是否使用第三方電子認(rèn)證機構(gòu)證書，是否使用有效的電子簽名，是否對服務(wù)器證書私鑰進行有效保護；（4）脫機數(shù)據(jù)認(rèn)證：檢查是否使用符合業(yè)務(wù)要求的密鑰和證書、靜態(tài)數(shù)據(jù)認(rèn)證和動態(tài)數(shù)據(jù)認(rèn)證等； （5）應(yīng)用密文和發(fā)卡機構(gòu)

18、認(rèn)證：檢查應(yīng)用密文產(chǎn)生、發(fā)卡機構(gòu)認(rèn)證和密鑰管理等； （6）安全報文：檢測報文格式是否符合要求，驗證報文完整性、報文私密性，如何管理密鑰； （7）卡片安全：檢測卡片的安全性、密鑰是否具有獨立性、卡片內(nèi)部安全體系、卡片中密鑰的種類、 鑰和個人識別碼的存放等； （8）終端安全：審查終端數(shù)據(jù)和設(shè)備的安全性要求，以及密鑰管理要求，并檢查應(yīng)用終端是否嚴(yán)格按要求執(zhí)行； （9）密鑰管理體系：檢測如何對認(rèn)證中心公鑰、發(fā)卡機構(gòu)公鑰和發(fā)卡機構(gòu)對稱密鑰進行管理； （10）認(rèn)可的算法：系統(tǒng)采用了哪種對稱加密算法、非對稱加密算法或哈希算法等，以及這些算法應(yīng)用在系統(tǒng)的哪些功能，并檢測對應(yīng)系統(tǒng)功能； （11）客戶端程序安全：如何保護客戶端應(yīng)用程序和配置文件，查看其版本是否最新，保證登錄密碼和支付密碼的安全。 7、結(jié)束語 信息時代是個快節(jié)奏