移动支付技术面临的安全挑战

来源:人民邮电报
2015-02-09 10:46:46

  CNNIC最新发布的数据显示,截至2014年12月,我国使用网上支付的用户规模达到3.04亿,较2013年年底增加4411万人,增长率为17%。与2013年12月底相比,我国网民使用网上支付的比例从42.1%提升至46.9%。与此同时,手机支付用户规模达到2.17亿,增长率为73.2%,网民手机支付的使用比例由25.1%提升至39%。

  趋势科技日前发布的《2015年暨未来网络安全预测报告》显示,2017年全球移动支付市场规模将高达900亿美元,移动支付服务这种新的支付形态很可能成为黑客攻击的新目标。移动支付在为我们的生活带来便捷的同时,也对网络安全防护提出新的挑战。

  短信:更适合小额支付

  短信支付不需要移动互联网的信号和NFC终端,只要有移动信号,通过短信就能完成。这降低了用户使用移动支付的门槛,用户并不需要昂贵的智能手机及互联网接入。在短信系统中,费用是从用户的话费中扣除的,账户的处理是由支付服务商/金融服务商来完成的。通常情况下,支付服务商/金融服务商是指移动运营商,即短信系统一般不会涉及银行的参与,并且短信系统适合小额的信息服务。短信系统的安全性取决于短消息的安全性,该系统的优点是费用低廉。短信系统的局限性在于只适合小额支付,主要是电子服务,如购买天气预报信息等。

  移动互联网:

  终端内置安全保护有限

  无线应用协议(WAP)提供了一套开放、统一的技术平台,用户可以通过移动设备的WAP功能接入移动支付系统或是银行卡系统,发送有关交易数据或是接收账单信息。WAP提供的是一种应用开发和运行环境,能够支持当前最流行的嵌入式操作系统,它支持目前使用的绝大多数无线设备;在传输网络上,WAP支持目前的各种移动网络,如GSM、CDMA等,也可以支持未来的第三代移动通信系统。WAP方案中的安全措施是:用户手机与WAP网关之间采用WTLS(无线传输层安全)协议加密,WAP网关与商家WAP服务器以及前置机之间采用安全套接层(SSL)安全通道。

  但是,手机等移动设备内置安全保护非常有限,一旦发生数据丢失意味着泄露用户敏感的个人数据,使得非法使用者可以通过移动终端上的数据资源如数字证书、交易验证等访问支付系统。而3G、4G设备、操作系统、应用、网络技术的多样性和不成熟的客户群体随意安装应用软件也加剧了移动终端病毒和恶意代码攻击的威胁。

  二维码:

  需升级成只用于支付的支付码

  二维码使用简单、支付便捷,且由于技术的成熟和移动设备的普及,使其成本变得很低。但二维码作为一种电子支付技术,本身缺乏加密认证,当前支付方式主要分为现金支付和电子支付,其中电子支付大部分都需要加密认证。因此,二维码要得到大范围推广,首先必须达到支付的安全标准。

  另外,二维码还存在支付以外的安全问题。二维码并非专门用于支付的技术,在网站链接、广告推送、定位/导航等诸多方面都有着广泛应用,其本质上就是一个开放的信息接入源。通过扫码获得的信息未必只被支付软件读取,也很有可能进入移动终端(如手机)的其他程序,这就为病毒入侵提供了空间。如果消费者因为扫码支付而被盗取用户隐私、商业秘密,那么消费者与实体商户、支付公司之间的法律纠纷将十分复杂。监管部门也可能因未能确保该支付方式的安全性,而要承担舆论压力甚至是法律风险。如果要安全地实现扫码支付,还需要在二维码的基础上进行技术升级,形成一种只适用于支付目的的支付码。

  NFC:

  安全性高于无线通信支付

  NFC技术脱胎于无线设备间的RFID及互联技术,它可以满足任何两个无线设备间的信息交换、内容访问、服务交换,并且使之更为简约。只要任意两个设备靠近而不需要线缆接插,就可以实现相互间的通信。它具有使用简单、连接快速方便、无需额外配置和智能密钥获取数据等特点,满足了使用者的各种需求。把两个NFC设备靠近甚至接触,无需设备使用者配置,NFC就能自动配置并初始化其他无线协议,是一种直观、简便与安全的通信方式。

  第一,NFC读取IC芯片银行卡的数据需要保持在4厘米以内的静止状态;第二,部分银行卡只能去取卡号的后四位以及身份证号的第一位和末位数字,其余的号码都隐藏处理,所以即使读取也不会带来隐私泄露;第三,要进行转账付款业务需要输入密码,否则无法完成,这几点都保证了NFC的安全性。虽然NFC比蓝牙、红外线等无线通信技术的安全性要高很多,但也存在一些安全隐患。例如,部分IC芯片式银行卡可以被NFC设备直接读取个人信息、账号信息、交易记录并且不做任何加密处理,这就导致用户对隐私泄露的担忧。同时,NFC技术还存在被窃听、数据损坏、克隆和网络钓鱼的威胁。

  手机刷卡器:

  软硬件同时保证支付安全

  手机刷卡器主要是读取磁条卡信息的工具,通过3.5mm音频插孔来传输数据的。手机刷卡器本身没有支付功能,主要实现类似于普通POS机的功能,要有支付通道的软件来配合才可以有支付、收单的功能。刷卡支付能够给用户提供方便快捷的支付方式,用户可以随时随地进行支付交易。手机刷卡器现在由硬件加密和软件加密(数字证书等)两种方式确保支付安全性。由于硬件加密是通过专用或独立的芯片硬件来实现密码的运算加密,从安全性来讲要比软件加密更加安全。而软件加密传输方式更容易实现商户电子商务平台与众多银行金融机构和非金融第三方支付平台的无缝对接。但使用手机刷卡器要求随身携带外接设备,存在一些不便因素。

  * * *

  此外,移动支付产业国际化趋势带来新的安全威胁。面对移动支付产业的国际化,我国出台的相关政策还存在一些不足。例如,2014年2月18日人民银行制定的《关于上海市支付机构开展跨境人民币支付业务的实施意见》中对于跨境支付业务的支付机构门槛设置较低,只要是上海市注册成立的支付机构以及外地支付机构在自贸区设立的分公司,凡取得互联网支付业务许可的,均可从事该业务。而且网上跨境交易的真实性难以控制。首先,在进出口贸易的经常项目下,跨境交易趋于电子化,很多交易品越来越虚拟化。其次,对于买卖双方在第三方支付平台代理的购、结汇业务的具体情况,银行难以对其真实性进行审核,这就导致部分非法资金在我国境内的流动。最后,我国对第三方支付机构的监管也不够成熟,难以对境内外买卖双方的交易真实性进行保障。