劉凱

摘要：介紹了移動(dòng)互聯(lián)網(wǎng)支付模式所包含的移動(dòng)支付實(shí)體，并基于移動(dòng)互聯(lián)網(wǎng)支付模式主要分析和研究了移動(dòng)支付體系的架構(gòu)；從網(wǎng)絡(luò)傳輸、業(yè)務(wù)數(shù)據(jù)及交易處理三方面闡述移動(dòng)支付的安全需求，并給出安全實(shí)施建議。

關(guān)鍵詞：移動(dòng)支付；信息安全

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）12-2898-02

Security Analysis of Mobile Payment System

LIU Kai

（School of Information Security Engineering， Shanghai Jiao Tong University， Shanghai 201203， China）

Abstract： Firstly， introduces the entities of Internet mobile payment. Secondly， analyzes and studies the structure of the mobile payment system based on mobile Internet payment model. Then explains the security needs in three areas-mobile payment from the network transmission， business data and transaction processing. Finally， gives the security implementation suggestions.

Key words： mobile payment； information security

在全球信息技術(shù)移動(dòng)化背景下，手機(jī)互聯(lián)網(wǎng)將逐漸成為中國移動(dòng)服務(wù)中增長最快的業(yè)務(wù)之一。截至2014年1月，中國移動(dòng)電話用戶逾12.35億，其中3G用戶數(shù)4.19億[1]，這意味著中國正大踏步地跨入移動(dòng)信息化時(shí)代。因此，移動(dòng)支付在中國有著十分廣闊的市場前景。

移動(dòng)支付（Mobile Payment），是指允許用戶使用移動(dòng)終端（通常為手機(jī)）對(duì)所消費(fèi)的商品或服務(wù)進(jìn)行賬務(wù)支付的一種服務(wù)方式[2]。該文主要分析和研究移動(dòng)支付體系的架構(gòu)體系，并且針對(duì)移動(dòng)支付實(shí)體及其互聯(lián)接口給出安全性防護(hù)要求。

1 移動(dòng)支付實(shí)體互聯(lián)系統(tǒng)分析

1.1 支付實(shí)體分析

移動(dòng)支付是一個(gè)端到端的業(yè)務(wù)，需要多個(gè)網(wǎng)絡(luò)實(shí)體參與。基于移動(dòng)互聯(lián)網(wǎng)支付模式的移動(dòng)支付實(shí)體包括：用戶、移動(dòng)終端、商圈平臺(tái)、移動(dòng)支付平臺(tái)等[3]，其互聯(lián)結(jié)構(gòu)如圖1所示。

1） 移動(dòng)終端是指可在移動(dòng)狀態(tài)下使用的終端設(shè)備，包括移動(dòng)個(gè)人電腦、PDA（Personal Digital Assistant）、手機(jī)等，該文主要指手機(jī)。

2） 商圈平臺(tái)指的是商業(yè)服務(wù)平臺(tái)，包括線上的電子商務(wù)平臺(tái)，以及線下的實(shí)體店面，主要向用戶提供商品或服務(wù)。

3） 移動(dòng)支付平臺(tái)支持移動(dòng)支付業(yè)務(wù)的數(shù)據(jù)接入和轉(zhuǎn)接功能，為移動(dòng)支付應(yīng)用服務(wù)的公共平臺(tái)，包含了支付插件前置平臺(tái)、用戶管理平臺(tái)、短信平臺(tái)、互聯(lián)網(wǎng)收單接入平臺(tái)等子系統(tǒng)。

4） 跨行交換清算系統(tǒng)，指針對(duì)收單機(jī)構(gòu)和發(fā)卡機(jī)構(gòu)的清算系統(tǒng)，作為移動(dòng)支付平臺(tái)的統(tǒng)一對(duì)接實(shí)體，完成清分和資金劃撥的功能。

5） 發(fā)卡機(jī)構(gòu)指持卡人賬戶所在的機(jī)構(gòu)（即批準(zhǔn)授權(quán)的一方），通常將發(fā)卡方及其聯(lián)網(wǎng)的行內(nèi)中心或區(qū)域中心統(tǒng)稱為發(fā)卡機(jī)構(gòu)。

1.2 互聯(lián)鏈路分析

從圖1可看出基于互聯(lián)網(wǎng)的移動(dòng)支付存在以下幾個(gè)實(shí)體之間的互聯(lián)關(guān)系：

1） 用戶與移動(dòng)終端（L1鏈接）：例如用戶通過人機(jī)界面（Graphical User Interface）查看移動(dòng)終端信息，通過鍵盤/人機(jī)界面操作移動(dòng)終端。

2） 移動(dòng)終端與商圈平臺(tái)（L2鏈接）：一般為查找、瀏覽、購買商品等交互過程，移動(dòng)終端獲取商圈平臺(tái)生成的訂單。

3） 移動(dòng)終端與移動(dòng)支付平臺(tái)（L3鏈接）：移動(dòng)終端向移動(dòng)支付平臺(tái)發(fā)送或接收支付指令，等待移動(dòng)支付平臺(tái)的交易返回結(jié)果。

4） 商圈平臺(tái)與移動(dòng)支付平臺(tái)（L4鏈接）：移動(dòng)支付平臺(tái)對(duì)商圈平臺(tái)進(jìn)行身份驗(yàn)證和向商圈平臺(tái)返回支付結(jié)果。

5） 移動(dòng)支付平臺(tái)與跨行交換清算系統(tǒng)（L5鏈接）：移動(dòng)支付平臺(tái)向跨行交換清算系統(tǒng)發(fā)起支付請(qǐng)求與應(yīng)答。

6） 跨行交換清算系統(tǒng)與發(fā)卡機(jī)構(gòu)（L6鏈接）： 跨行交換清算系統(tǒng)向發(fā)卡機(jī)構(gòu)提交清算數(shù)據(jù)的收集、清分和下發(fā)等。

1.3 安全層劃分

移動(dòng)支付的實(shí)體關(guān)聯(lián)可以劃分為網(wǎng)絡(luò)傳輸層、業(yè)務(wù)數(shù)據(jù)層及交易處理層三個(gè)方面。如圖2所示。

由于這三個(gè)層面的業(yè)務(wù)組織和運(yùn)行環(huán)境各不相同，因此需要分別提出相應(yīng)的安全需求。

1） 網(wǎng)絡(luò)傳輸層安全：指網(wǎng)絡(luò)傳輸是指信息系統(tǒng)之間的網(wǎng)絡(luò)傳輸協(xié)議和網(wǎng)絡(luò)傳輸數(shù)據(jù)的集合?；跇?biāo)準(zhǔn)化、成熟的傳輸層協(xié)議，需要明確針對(duì)移動(dòng)支付業(yè)務(wù)相匹配適用的網(wǎng)絡(luò)傳輸協(xié)議的安全需求。

2） 業(yè)務(wù)數(shù)據(jù)層安全：指信息系統(tǒng)之間基于網(wǎng)絡(luò)傳輸協(xié)議封裝的業(yè)務(wù)數(shù)據(jù)和應(yīng)用數(shù)據(jù)的集合。需要根據(jù)移動(dòng)支付的特點(diǎn)，定義在支付實(shí)體之間進(jìn)行交換的業(yè)務(wù)數(shù)據(jù)格式，以及對(duì)應(yīng)的傳輸及存儲(chǔ)的、安全要求。

3） 交易處理層安全：指的是在支付交易處理過程中，信息系統(tǒng)的的處理過程的集合。需要規(guī)定在移動(dòng)支付交易過程中，各參與方實(shí)體在信息傳遞、交互及業(yè)務(wù)處理過程中的安全需求。

2 安全性分析

2.1 網(wǎng)絡(luò)傳輸層安全

交易數(shù)據(jù)傳輸應(yīng)使用足夠強(qiáng)度的加密算法和安全協(xié)議，例如使用高版本的SSL（3.0）、TLS、IPSEC等協(xié)議，用于保護(hù)客戶端和服務(wù)器之間的連接。若采用SSL協(xié)議，加密密鑰長度應(yīng)大于等于128位，用于簽名的RSA密鑰長度應(yīng)大于等于1024位，用于簽名的ECC密鑰長度應(yīng)大于等于160位，并需要定時(shí)重新協(xié)商會(huì)話密鑰。如果采用短信傳輸模式，關(guān)鍵數(shù)據(jù)域應(yīng)當(dāng)經(jīng)過通信層加密，并且采用MAC校驗(yàn)碼。endprint

2.2 業(yè)務(wù)數(shù)據(jù)層安全

業(yè)務(wù)數(shù)據(jù)處理應(yīng)滿足對(duì)發(fā)送的報(bào)文關(guān)鍵域進(jìn)行MAC計(jì)算或簽名，以保證接收到報(bào)文的真實(shí)性和機(jī)密性，接收方使用與發(fā)送方約定好的MAC計(jì)算方法和簽名加密算法驗(yàn)證報(bào)文的正確性。不得采用MD5等存在安全隱患的摘要算法[5]。

對(duì)敏感數(shù)據(jù)加密需要采用會(huì)話密鑰機(jī)制，一個(gè)會(huì)話采用單獨(dú)的密鑰，會(huì)話結(jié)束密鑰過期。對(duì)業(yè)務(wù)數(shù)據(jù)的傳輸和保存應(yīng)進(jìn)行加密處理，并且業(yè)務(wù)各級(jí)實(shí)體不能保存諸如銀行卡磁道信息、密碼等持卡人敏感賬戶信息。移動(dòng)支付實(shí)體的密鑰管理需要實(shí)現(xiàn)分級(jí)體系——根密鑰、主密鑰和會(huì)話密鑰，密鑰應(yīng)當(dāng)由發(fā)卡機(jī)構(gòu)通過加密機(jī)生成，并且不能被非授權(quán)對(duì)象讀取和修改。

2.3 交易處理層安全

交易過程需滿足保證移動(dòng)終端對(duì)移動(dòng)支付接入平臺(tái)的正常訪問，移動(dòng)支付接入平臺(tái)需應(yīng)對(duì)常見的web攻擊及對(duì)交易的重發(fā)攻擊，保證交易會(huì)話的安全性。對(duì)高風(fēng)險(xiǎn)的支付交易需采用多種鑒別技術(shù)組合對(duì)用戶身份鑒別，確保交易的合法性；采用但不局限于證書簽名等技術(shù)手段保證交易的抗抵賴性。在支付過程中向移動(dòng)終端提示訂單信息及支付風(fēng)險(xiǎn)，并將支付結(jié)果及時(shí)完整的反饋給移動(dòng)終端和商戶平臺(tái)。

3 小結(jié)

雖然移動(dòng)支付體系在理論研究方面已經(jīng)比較成熟，但是在實(shí)際工程應(yīng)用中仍需要與時(shí)俱進(jìn)，尤其需要跟進(jìn)基礎(chǔ)加密算法的安全性進(jìn)展，及時(shí)升級(jí)安全協(xié)議版本，確保在當(dāng)今技術(shù)條件下可以滿足安全需求。移動(dòng)支付是未來支付手段的發(fā)展方向，安全性問題是決定移動(dòng)支付發(fā)展的主要因素。只有解決了安全性問題，才能讓用戶放心接受和使用移動(dòng)支付工具，移動(dòng)支付才能進(jìn)一步發(fā)展壯大。

參考文獻(xiàn)：

[1] 中華人民共和國工業(yè)和信息化部http：//www.miit.gov.cn/.

[2] Q/CUP 037.1.1-2011中國銀聯(lián)移動(dòng)支付技術(shù)規(guī)范 第1卷基礎(chǔ)規(guī)范第1部術(shù)語和定義[S].

[3] Q/CUP 037.3.1-2011中國銀聯(lián)移動(dòng)支付技術(shù)規(guī)范 第3卷：移動(dòng)互聯(lián)網(wǎng)支付技術(shù)規(guī)范第1部分移動(dòng)支付實(shí)體互聯(lián)安全規(guī)范[S].

[4] 中國銀聯(lián)銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)規(guī)范 V2.第5部分通信接口規(guī)范[S].

[5] Xiaoyun Wang； Hongbo Yu.How to Break MD5 and Other Hash Functions[J].EUROCRYPT. ISBN，2005.3-540-25910-4.

[6] Isaac & Camara –Spain.Anonymous Payment Protocol in a Kiosk Centric Model using Digital Signature scheme with message recovery and Low Computational Power Devices[J].IEEE，2006.endprint

2.2 業(yè)務(wù)數(shù)據(jù)層安全

業(yè)務(wù)數(shù)據(jù)處理應(yīng)滿足對(duì)發(fā)送的報(bào)文關(guān)鍵域進(jìn)行MAC計(jì)算或簽名，以保證接收到報(bào)文的真實(shí)性和機(jī)密性，接收方使用與發(fā)送方約定好的MAC計(jì)算方法和簽名加密算法驗(yàn)證報(bào)文的正確性。不得采用MD5等存在安全隱患的摘要算法[5]。

對(duì)敏感數(shù)據(jù)加密需要采用會(huì)話密鑰機(jī)制，一個(gè)會(huì)話采用單獨(dú)的密鑰，會(huì)話結(jié)束密鑰過期。對(duì)業(yè)務(wù)數(shù)據(jù)的傳輸和保存應(yīng)進(jìn)行加密處理，并且業(yè)務(wù)各級(jí)實(shí)體不能保存諸如銀行卡磁道信息、密碼等持卡人敏感賬戶信息。移動(dòng)支付實(shí)體的密鑰管理需要實(shí)現(xiàn)分級(jí)體系——根密鑰、主密鑰和會(huì)話密鑰，密鑰應(yīng)當(dāng)由發(fā)卡機(jī)構(gòu)通過加密機(jī)生成，并且不能被非授權(quán)對(duì)象讀取和修改。

2.3 交易處理層安全

交易過程需滿足保證移動(dòng)終端對(duì)移動(dòng)支付接入平臺(tái)的正常訪問，移動(dòng)支付接入平臺(tái)需應(yīng)對(duì)常見的web攻擊及對(duì)交易的重發(fā)攻擊，保證交易會(huì)話的安全性。對(duì)高風(fēng)險(xiǎn)的支付交易需采用多種鑒別技術(shù)組合對(duì)用戶身份鑒別，確保交易的合法性；采用但不局限于證書簽名等技術(shù)手段保證交易的抗抵賴性。在支付過程中向移動(dòng)終端提示訂單信息及支付風(fēng)險(xiǎn)，并將支付結(jié)果及時(shí)完整的反饋給移動(dòng)終端和商戶平臺(tái)。

3 小結(jié)

雖然移動(dòng)支付體系在理論研究方面已經(jīng)比較成熟，但是在實(shí)際工程應(yīng)用中仍需要與時(shí)俱進(jìn)，尤其需要跟進(jìn)基礎(chǔ)加密算法的安全性進(jìn)展，及時(shí)升級(jí)安全協(xié)議版本，確保在當(dāng)今技術(shù)條件下可以滿足安全需求。移動(dòng)支付是未來支付手段的發(fā)展方向，安全性問題是決定移動(dòng)支付發(fā)展的主要因素。只有解決了安全性問題，才能讓用戶放心接受和使用移動(dòng)支付工具，移動(dòng)支付才能進(jìn)一步發(fā)展壯大。

參考文獻(xiàn)：

[1] 中華人民共和國工業(yè)和信息化部http：//www.miit.gov.cn/.

[2] Q/CUP 037.1.1-2011中國銀聯(lián)移動(dòng)支付技術(shù)規(guī)范 第1卷基礎(chǔ)規(guī)范第1部術(shù)語和定義[S].

[3] Q/CUP 037.3.1-2011中國銀聯(lián)移動(dòng)支付技術(shù)規(guī)范 第3卷：移動(dòng)互聯(lián)網(wǎng)支付技術(shù)規(guī)范第1部分移動(dòng)支付實(shí)體互聯(lián)安全規(guī)范[S].

[4] 中國銀聯(lián)銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)規(guī)范 V2.第5部分通信接口規(guī)范[S].

[5] Xiaoyun Wang； Hongbo Yu.How to Break MD5 and Other Hash Functions[J].EUROCRYPT. ISBN，2005.3-540-25910-4.

[6] Isaac & Camara –Spain.Anonymous Payment Protocol in a Kiosk Centric Model using Digital Signature scheme with message recovery and Low Computational Power Devices[J].IEEE，2006.endprint

2.2 業(yè)務(wù)數(shù)據(jù)層安全

業(yè)務(wù)數(shù)據(jù)處理應(yīng)滿足對(duì)發(fā)送的報(bào)文關(guān)鍵域進(jìn)行MAC計(jì)算或簽名，以保證接收到報(bào)文的真實(shí)性和機(jī)密性，接收方使用與發(fā)送方約定好的MAC計(jì)算方法和簽名加密算法驗(yàn)證報(bào)文的正確性。不得采用MD5等存在安全隱患的摘要算法[5]。

對(duì)敏感數(shù)據(jù)加密需要采用會(huì)話密鑰機(jī)制，一個(gè)會(huì)話采用單獨(dú)的密鑰，會(huì)話結(jié)束密鑰過期。對(duì)業(yè)務(wù)數(shù)據(jù)的傳輸和保存應(yīng)進(jìn)行加密處理，并且業(yè)務(wù)各級(jí)實(shí)體不能保存諸如銀行卡磁道信息、密碼等持卡人敏感賬戶信息。移動(dòng)支付實(shí)體的密鑰管理需要實(shí)現(xiàn)分級(jí)體系——根密鑰、主密鑰和會(huì)話密鑰，密鑰應(yīng)當(dāng)由發(fā)卡機(jī)構(gòu)通過加密機(jī)生成，并且不能被非授權(quán)對(duì)象讀取和修改。

2.3 交易處理層安全

交易過程需滿足保證移動(dòng)終端對(duì)移動(dòng)支付接入平臺(tái)的正常訪問，移動(dòng)支付接入平臺(tái)需應(yīng)對(duì)常見的web攻擊及對(duì)交易的重發(fā)攻擊，保證交易會(huì)話的安全性。對(duì)高風(fēng)險(xiǎn)的支付交易需采用多種鑒別技術(shù)組合對(duì)用戶身份鑒別，確保交易的合法性；采用但不局限于證書簽名等技術(shù)手段保證交易的抗抵賴性。在支付過程中向移動(dòng)終端提示訂單信息及支付風(fēng)險(xiǎn)，并將支付結(jié)果及時(shí)完整的反饋給移動(dòng)終端和商戶平臺(tái)。

3 小結(jié)

雖然移動(dòng)支付體系在理論研究方面已經(jīng)比較成熟，但是在實(shí)際工程應(yīng)用中仍需要與時(shí)俱進(jìn)，尤其需要跟進(jìn)基礎(chǔ)加密算法的安全性進(jìn)展，及時(shí)升級(jí)安全協(xié)議版本，確保在當(dāng)今技術(shù)條件下可以滿足安全需求。移動(dòng)支付是未來支付手段的發(fā)展方向，安全性問題是決定移動(dòng)支付發(fā)展的主要因素。只有解決了安全性問題，才能讓用戶放心接受和使用移動(dòng)支付工具，移動(dòng)支付才能進(jìn)一步發(fā)展壯大。

參考文獻(xiàn)：

[1] 中華人民共和國工業(yè)和信息化部http：//www.miit.gov.cn/.

[2] Q/CUP 037.1.1-2011中國銀聯(lián)移動(dòng)支付技術(shù)規(guī)范 第1卷基礎(chǔ)規(guī)范第1部術(shù)語和定義[S].

[3] Q/CUP 037.3.1-2011中國銀聯(lián)移動(dòng)支付技術(shù)規(guī)范 第3卷：移動(dòng)互聯(lián)網(wǎng)支付技術(shù)規(guī)范第1部分移動(dòng)支付實(shí)體互聯(lián)安全規(guī)范[S].

[4] 中國銀聯(lián)銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)規(guī)范 V2.第5部分通信接口規(guī)范[S].

[5] Xiaoyun Wang； Hongbo Yu.How to Break MD5 and Other Hash Functions[J].EUROCRYPT. ISBN，2005.3-540-25910-4.

[6] Isaac & Camara –Spain.Anonymous Payment Protocol in a Kiosk Centric Model using Digital Signature scheme with message recovery and Low Computational Power Devices[J].IEEE，2006.endprint