摘 要：3G技術(shù)的普及和4G技術(shù)的興起和發(fā)展，帶動了移動電子商務(wù)的興起，使智能手機(jī)逐漸成為最便捷的支付交易終端。在智能手機(jī)系統(tǒng)中，Android平臺手機(jī)的全球市場份額在2013年第四季度就已經(jīng)達(dá)到78.1%并逐漸成為第一大手機(jī)操作系統(tǒng)。眾多的Android用戶在使用支付交易終端的同時，對移動支付的安全性越來越感覺不安，這使Android支付交易終端交易的安全性能受到了極大的挑戰(zhàn)。本文基于Android手機(jī)系統(tǒng)平臺，對移動支付進(jìn)行安全性研究。

關(guān)鍵詞：Android；移動支付；數(shù)字簽名；機(jī)密

0 引言

由于移動網(wǎng)絡(luò)的發(fā)展，智能手機(jī)的廣泛使用和移動電子商務(wù)的興起，移動支付逐漸成為最主要的支付方式之一。移動支付是指包括手機(jī)、平板電腦、PAD等移動終端與通信網(wǎng)絡(luò)或無線wifi連接進(jìn)行支付的一種方式，支付類型包括購物、銀行貨幣交易、移動業(yè)務(wù)支付等。由于移動支付帶來的便捷性，用戶可以隨時隨地利用無線網(wǎng)絡(luò)進(jìn)行支付，目前該支付形式已逐步代替?zhèn)鹘y(tǒng)的電子支付。截至2013年底，我國電子商務(wù)市場的移動支付額已達(dá)9.64萬億元，眾多的智能手機(jī)用戶成為交易的主角。本文從Android系統(tǒng)框架出發(fā)，在應(yīng)用程序框架上運(yùn)用數(shù)字簽名技術(shù)，在交易支付端搭建安全服務(wù)平臺，使交易數(shù)據(jù)實現(xiàn)機(jī)密、完整、不可復(fù)制等基本安全要求，從而保障移動用戶在Android系統(tǒng)中進(jìn)行移動支付的機(jī)密性。

1 移動支付的介紹

移動支付也稱為手機(jī)支付，就是指用戶使用其移動終端（通常是智能手機(jī)、平板電腦）進(jìn)行網(wǎng)上商品貨款支付或者進(jìn)行業(yè)務(wù)費(fèi)用支付的一種服務(wù)方式。移動支付是由應(yīng)用提供商以及金融機(jī)構(gòu)將終端設(shè)備通過互聯(lián)網(wǎng)向用戶提供貨幣支付、繳費(fèi)等商業(yè)交易和金融服務(wù)。簡單地說，移動支付就是將傳統(tǒng)的支付行為移動化，用手機(jī)代替錢包，在有無線網(wǎng)絡(luò)信號的覆蓋下，隨時隨地進(jìn)行的一種手機(jī)錢包服務(wù)。

移動支付按用戶支付的額度大小可分為微支付和宏支付。微支付一般指交易額少于10美元，通常是指購買移動內(nèi)容業(yè)務(wù)，如游戲、視頻下載等。宏支付是指交易額較大的支付行為，例如在線購物或者近距離支付等。移動支付如果按支付賬戶的性質(zhì)分，可以分為銀行卡支付、第三方支付賬戶支付和通信代收費(fèi)賬戶支付三種。按照支付的結(jié)算模式分，移動支付可分為及時支付和擔(dān)保支付。按賬戶的存放模式分，移動支付可分為在線支付和離線支付。

2 移動支付安全需求

Android平臺是一種基于Linux的開發(fā)源代碼的自由操作系統(tǒng)，一般通過無線應(yīng)用協(xié)議技術(shù)接入無線網(wǎng)絡(luò)進(jìn)行移動支付服務(wù)。在公共場合，無線網(wǎng)絡(luò)可能遭受黑客攻擊，導(dǎo)致智能手機(jī)感染手機(jī)病毒和木馬，所以在進(jìn)行支付過程中，要確保無線交易安全。保證移動支付安全的需求有：

2.1確認(rèn)交易雙方身份的真實性

保證交易安全可靠。作為一種新興的電子支付方式，移動支付帶給人們無比優(yōu)越的支付便捷，但據(jù)調(diào)查顯示，中國超過40%的用戶對移動支付的安全性缺乏信心，其中大部分原因在于懷疑交易雙方身份的可靠性，Android系統(tǒng)源代碼開放性的特點，給很多黑客提供了可乘之機(jī)。

2.2交易數(shù)據(jù)保密性

確保交易數(shù)據(jù)準(zhǔn)確無誤且僅允許交易者訪問交易中的信息。一旦Android系統(tǒng)遭受病毒木馬的侵入，用戶交易信息就可能被篡改，造成用戶交易數(shù)據(jù)的不真實。

2.3交易完成

確保交易過程不可否認(rèn)，保證交易數(shù)據(jù)安全到達(dá)對方。不可否認(rèn)性：一般為了防止交易雙方對支付過程進(jìn)行抵賴行為，要求實現(xiàn)不可否認(rèn)，以證明消費(fèi)者確實將交易額準(zhǔn)確傳送給商家。

3 移動支付安全技術(shù)分析

Android系統(tǒng)中進(jìn)行移動支付時存在的安全問題，一般可以通過CA認(rèn)證系統(tǒng)、數(shù)字簽名、WPKI等相關(guān)技術(shù)來解決。

3.1CA認(rèn)證體系

CA認(rèn)證系統(tǒng)也稱為電子商務(wù)認(rèn)證中心，是負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機(jī)構(gòu)，作為電子商務(wù)交易中的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗的責(zé)任。CA中心為每個使用公開密鑰的用戶發(fā)放一個數(shù)字證書，其作用在于證明證書中列出的用戶合法擁有列出的公開密鑰，使得網(wǎng)絡(luò)攻擊者不能偽造和篡改證書內(nèi)容，保證證書用戶信息的唯一性和可靠性。

3.2數(shù)字簽名

數(shù)字簽名技術(shù)來源于我們現(xiàn)實的紙質(zhì)簽名，該技術(shù)使用公鑰加密技術(shù)對數(shù)字信息進(jìn)行加密。一套數(shù)字簽名通常定義兩種互補(bǔ)的運(yùn)算，一種用于簽名，另一種用于驗證。簡單地說，所謂數(shù)字簽名就是在傳送的數(shù)據(jù)信息或者一些數(shù)據(jù)單位上進(jìn)行數(shù)據(jù)密碼加護(hù)，確保接受者在確認(rèn)所接受數(shù)據(jù)信息或者數(shù)據(jù)單位時其數(shù)據(jù)的完整性和正確性。數(shù)字簽名包括普通數(shù)字簽名和特殊數(shù)字簽名，普通數(shù)字簽名算法有RSA、EIGamal、Schnorr數(shù)字簽名等，特殊數(shù)字簽名包括盲簽名、代理簽名、群簽名、門限簽名等。

3.3WPKI技術(shù)

即無線公開密鑰體系，它是將互聯(lián)網(wǎng)電子商務(wù)中PKI （Public Key Infrastrcture）安全機(jī)制引入到無線網(wǎng)絡(luò)環(huán)境中的一套遵循既定標(biāo)準(zhǔn)的密鑰及證書管理平臺體系，是國際公認(rèn)的互聯(lián)網(wǎng)電子商務(wù)安全認(rèn)證機(jī)制，其作用是管理移動網(wǎng)絡(luò)環(huán)境中使用的公開密鑰和數(shù)字證書并且有效建立安全和值得信賴的無線網(wǎng)絡(luò)環(huán)境。

4 結(jié)語

移動網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，給移動支付系統(tǒng)帶來了快捷便利的同時，也給移動支付平臺帶來了更高的要求，如何在移動支付平臺（Android系統(tǒng)）上架構(gòu)一套安全可靠的支付系統(tǒng)，已經(jīng)成為移動支付平臺技術(shù)者們最大的難題。我們在研究移動支付安全技術(shù)的同時，應(yīng)兼顧用戶操作的感受，不斷完善交易流程，加強(qiáng)交易信用管理，加大安全平臺的建設(shè)，為移動支付創(chuàng)造更好的網(wǎng)絡(luò)環(huán)境。 [今]

參考文獻(xiàn)：

[1]任昌濤.移動支付安全技術(shù)分析[J].信息與電腦， 2012（6）.

[2]單美靜.移動支付之安全問題研究[J].電信科學(xué)， 2010（11）.

作者單位：浙江工業(yè)職業(yè)技術(shù)學(xué)院。

（編輯：寧偉碩）