王长杰，王卫华

(河南警察学院，河南郑州450000)

移动支付交易中存在的安全风险及对策研究

王长杰，王卫华

(河南警察学院，河南郑州450000)

移动支付被广泛地应用在许多领域的交易行为中。首先介绍了移动支付的基本知识，根据移动支付过程中出现的安全问题从恶意程序和病毒等4个方面详细分析了移动支付业务中存在的一些安全因素，有针对性地提出了解决方案，保证移动支付的安全，为移动支付更好地安全发展提供一定的参考借鉴。

移动支付;恶意程序和病毒;WIFI;身份认证;WPKI

随着移动互联技术快速发展和智能手机的普及，人们越来越多地利用电子智能终端设备通过网络进行购物和消费，并且通过新兴的移动支付手段进行付费和转账，高效快捷地完成商务活动。2014年移动支付的用户数量已经达到3.1亿，移动支付比例已经占到了46.7%。但是，伴随的是移动支付的安全问题屡有发生，成为制约移动支付向更高层次发展的瓶颈。2014年中央电视台的《每周质量报告》对近年来通过移动支付导致银行卡被盗刷的事件进行了新闻报道，让人们对移动支付的安全性问题有了更深的认识，对移动支付安全管理的需求也越来越迫切。因此，如何保证移动支付的安全成为亟待解决的主要问题。

一 移动支付的基本知识

移动支付就是用户使用移动终端(手机、平板电脑等)对所消费的商品或服务进行账务支付的一种交易支付方式。单位或个人通过移动设备、互联网或者近距离传感直接或间接向银行金融机构发送支付命令，产生货币支付与资金转移行为，从而实现移动支付功能。移动支付系统主要有消费者、商家、银行、移动支付第三方平台、认证中心等组成。

二 移动支付存在的安全风险

目前，通过移动支付的方式有很多，并且移动支付提供商也设置了多道安全门槛，比如密码、短信验证码等等都是有效的安全屏障，但是随着不法分子盗取用户信息的手段多样性和技术的先进性，移动支付的安全保证还是存在一定的风险和漏洞，主要表现在以下几个方面。

1.恶意程序和病毒。

据360互联网安全中心统计，在2014年的第二季度中Android移动平台上截获恶意程序病毒数量超过84万个，其中新增加的恶意程序数量大约62.5万个，2014年上半年中移动互联网用户被恶意程序病毒感染的人数达到7976万人，其中第二季度被感染的用户数量是4185万人次，较2013年第二季度同比增长了94.8%，每天被恶意程序病毒感染的数量大约达到了46万人。目前移动支付类的恶意程序病毒爆发猖獗，比如“伪淘宝”病毒、“银行窃贼”病毒等。

2.系统安全漏洞。

由于安卓操作系统具有的开放性和应用软件来源的多样性的特点，智能手机系统或多或少地存在一些安全漏洞，导致移动支付安全形式越发严重。根据某手机安全公司的统计，每个用户的安卓手机中都存在数量不等的安全漏洞，而这些系统安全漏洞很有可能成为黑客或有其他目的人员侵入用户手机的突破口，获取用户的相关信息，对用户手机隐私和移动支付安全造成了极大的危害。

3.用户的手机安全防范意识薄弱。

许多用户平常没有养成安全使用手机的习惯，没有意识到手机安全问题可能导致后果的严重性。手机没有安装安全软件，或者是安装了安全软件却没有打开全部的安全监控，不经常使用安全软件的漏洞修复功能，没有定期查杀手机病毒。在公共场合进行移动支付输入账号、密码时，没有防范其他人的偷窥，随意单击来路不明的链接和浏览一些非法网站等，这无疑给一些犯罪分子和病毒的入侵留下了可乘之机。有些手机和银行卡、信用卡等资金账户绑定，丢失后用户没有及时的进行挂失和更改账户信息，犯罪分子极有可能根据掌握的手机号码、登录号码等相关信息冒充用户进行资金的转移。

4.无线网络的不安全性。

许多用户都是使用了不安全的无线网络使账号信息泄露最终导致资金被盗用。攻击者通过一台无线路由器设置一个公共的钓鱼WIFI。当用户的手机连接到钓鱼WIFI时，攻击者可以将劫持的用户上网数据流量发送到指定的一台电脑上。用户浏览的任何一个网络信息都有可能包含被黑客暗地里植入的恶意攻击程序或病毒。他们通过手机中的各种安全漏洞，持续不断地往手机中自动植入新的木马程序。当用户在手机上进行移动支付交易时，账号和密码这些重要的账户认证信息会被恶意程序自动转发到攻击者的电脑屏幕上。

三 保证移动支付安全的防范措施

移动支付应用的安全性得不到充分的保证，移动支付发展的前景不容乐观。现如今有些移动支付安全防范措施还不能很好地防范攻击，因此，必须通过建立有效的安全措施保证移动支付的安全，减少用户的交易风险和损失，促进移动支付的大繁荣和大发展。

1.加强用户的安全防范意识。

手机用户只有平时提高了安全自我保护意识，才能更有效地保护个人的隐私和财产安全。在实际的手机应用中，用户不要随意打开一些陌生人发的各种链接，不要轻易扫描一些有安全隐患的二维码。必须扫描二维码时可以先开手机安全软件中的二维码恶意网址拦截功能再扫描。定期对手机进行安全体检和病毒的查杀，并且要打开安全软件的全部安全监控，更重要的是要从正规的软件商店下载并使用经过安全认证的各种手机软件。在软件的安装过程中，对软件所涉及的操作权限一定要认真审核，如果软件的操作权限过大或可能盗取用户隐私的，一定要及时删除。

用户尽量不要使用一些不明来历的免费WIFI。通过设置关闭手机WIFI自动连接功能，避免手机自动扫描并连接免费的WIFI钓鱼网络。此外，为了防止手机丢失或恶意程序对支付账户密码造成的威胁，可用两部手机来完成移动支付。一部用来登录支付宝等第三方支付平台，而另一部手机专门用来接受支付平台发送的验证码，还可以将用户的手机号码、IMEI号码、银行账号三者进行绑定，只有在经过绑定的手机上才能进行移动交易。

2.使用手机安全保护软件。

在手机中安装安全软件是最便捷、最受欢迎的防护措施。用户可以安装360手机安全卫士等第三方手机安全软件。这些安全软件集成了手机病毒查杀、漏洞扫描、隐私安全保护等功能，对用户的手机安全起到了重要的保护作用。有些手机生产厂家为了保护用户的安全也进行了一些防范漏洞的措施，但是安卓系统本身的碎片化严重，还需要通过第三方安全软件保证手机免遭由于漏洞导致的攻击。利用360手机卫士的系统漏洞修复和恶意插件扫描功能定期扫描系统，可以有效地打上系统漏洞补丁、对一些包含恶意插件的软件进行强制卸载，防止因漏洞导致的财产损失。开启安全软件的安全支付和隐私保护功能，让用户不再担心恶意程序病毒盗取账号密码、窃取隐私等恶意行为。为了保证手机安全软件能够最高效的工作，跟上病毒、恶意程序、漏洞的发展速度，要及时的更新手机安全软件的版本和病毒库。

3.身份认证。

传统广泛应用的身份认证主要是基于对用户静态密码信息的确认，安全性低，很容易被非法破解和监听。特别是一些静态口令采用明文传输的方式，因此不能用在安全性要求高的移动支付中。近年来，基于动态口令的用户身份认证具有灵活好用、成本低、安全性较高的特点，被广泛的应用到网络中的支付交易系统中。动态口令技术就是根据一定的算法，每隔一定的时间自动随机生成一个密码，并且能够保证每次生成的密码都不相同。当用户进行支付的时候，需要正确输入登录密码和一次性的动态口令密码才能进行支付的确认。采用的形式可以是一种内置密码生成芯片的专用硬件，也可以是一种类似银行卡的动态口令卡或者口令牌。这样就完全实现了和手机的完全物理隔离。即使犯罪分子知道了系统的登录名和密码，但是没有动态口令也无法将用户的资金转出，在很大程度上提高了移动支付的安全性。也可以将动态口令认证系统集成到手机中和应用系统进行关联。通过专门的服务器进行口令认证，既可以保护现有的应用软件的完整性，又可以很方便的对服务器进行升级和扩展。

4.利用WPKI(无线公钥基础设施)技术保证信息安全通信。

WPKI将有线网络的PKI安全机制引入到移动商务支付中。通过公钥基础设施、证书管理策略、软硬件技术建立安全有效的无线通信网络，规避了大部分的移动支付安全风险。WPKI的组成部分包括移动客户端、RA(注册中心)、CA(认证中心)、目录服务器、网关和应用服务器等。WPKI的工作流程如图所示。

(1)用户向RA(注册中心)申请证书。

(2)RA(注册中心)审核用户的申请，通过后将其信息传递给CA(认证中心)，CA进行制作数字证书和生成密钥，然后将结果返还给RA(注册中心)，同时将数字证书传递到目录服务器中，以便用户查询。

(3)RA(注册中心)根据返回的数字证书生成一个URL地址，并发送给移动客户端用户。

(4)网络应用服务器对数字证书列表下载备用。

(5)移动客户端用户向网关发送登录信息和数字证书URL地址，通过WTLS建立安全传输通道。

(6)网关也通过WTLS和应用服务器建立安全传输通道。

(7)移动客户端和应用服务器实现信息安全传输。

5.验证客户端代码的完整性。

如果不能保证移动支付客户端代码的完整性，即使没有用户信息的泄露，也可能会有客户端软件被恶意软件植入等危险情况的发生，间接的带来安全问题。因此，为了保证移动客户端软件不被恶意软件或病毒侵害，可以通过增加代码完整性验证机制确保客户端的安全。首先是用特定的密钥对客户端进行签名，并且在启动客户端的代码中加入检验签名的逻辑代码。当客户端每次启动使用时，都会首先进行客户端的代码完整性的验证，通过验证后才执行客户端运行程序。否则，提醒用户客户端存在安全风险，需要重新从官方网站下载或对其进行更新。为了保住代码完整性验证公钥等重要的数据信息不被破坏和窃取，在代码编译中可以通过混淆机制进行有效保护。在重视移动支付客户端软件安全研发的同时，也要加强对客户端软件的发布和下载渠道的管理力度，引导和教育用户从正规、安全的官方网站下载客户端，从源头上确保用户使用客户端的安全。

图WPKI的工作流程

四 结束语

移动支付的总体环境安全状况十分严峻，时刻都存在防御与攻击的博弈。因此，只有制定统一的移动支付安全保障标准和法规政策，加大移动支付的安全技术研发和资金投入，建立移动支付的安全保障措施，构建一套完整的多种技术手段相结合、全方位的安全移动支付安全环境，才能更有效地保护好用户的资金安全，促进移动支付更好的发展。

［1］朱丽娜.移动电商中手机支付安全策略［J］.电子支付，2013(09):49－50.

［2］李大伟.移动支付技术安全问题探析［J］.甘肃科技，2014(01):22－23.

On Safety Risk and Countermeasures Existing in the Mobile Payment Transaction

Wang Changjie，Wang Weihua
(Henan Police College，Zhengzhou，He’nan 450000，China)

Mobile payment is widely used in many fields of transactions.This paper first introduces the basic knowledge of mobile payment and the security problems.From the aspect of malware and viruses，the paper analyzed some factors affected the mobile payment service.The paper put forward a solutions to ensure the safety of mobile payment and a reference for the development of mobile payment safely.

mobile payment;malware and virus;WIFI;identity authentication;WPKI

TP391

A

1672－6758(2015)10－0052－3

(责任编辑:蔡雪岚)

王长杰，硕士，讲师，河南警察学院。研究方向:计算机网络安全及应用。

2014年河南警察学院院级课题，编号:HNJY－2014－QN－01。

Class No.:TP391Document Mark:A