劉凱

摘要：介紹了移動互聯(lián)網(wǎng)支付模式所包含的移動支付實(shí)體，并基于移動互聯(lián)網(wǎng)支付模式主要分析和研究了移動支付體系的架構(gòu)；從網(wǎng)絡(luò)傳輸、業(yè)務(wù)數(shù)據(jù)及交易處理三方面闡述移動支付的安全需求，并給出安全實(shí)施建議。

關(guān)鍵詞：移動支付；信息安全

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）12-2898-02

Security Analysis of Mobile Payment System

LIU Kai

（School of Information Security Engineering， Shanghai Jiao Tong University， Shanghai 201203， China）

Abstract： Firstly， introduces the entities of Internet mobile payment. Secondly， analyzes and studies the structure of the mobile payment system based on mobile Internet payment model. Then explains the security needs in three areas-mobile payment from the network transmission， business data and transaction processing. Finally， gives the security implementation suggestions.

Key words： mobile payment； information security

在全球信息技術(shù)移動化背景下，手機(jī)互聯(lián)網(wǎng)將逐漸成為中國移動服務(wù)中增長最快的業(yè)務(wù)之一。截至2014年1月，中國移動電話用戶逾12.35億，其中3G用戶數(shù)4.19億[1]，這意味著中國正大踏步地跨入移動信息化時代。因此，移動支付在中國有著十分廣闊的市場前景。

移動支付（Mobile Payment），是指允許用戶使用移動終端（通常為手機(jī)）對所消費(fèi)的商品或服務(wù)進(jìn)行賬務(wù)支付的一種服務(wù)方式[2]。該文主要分析和研究移動支付體系的架構(gòu)體系，并且針對移動支付實(shí)體及其互聯(lián)接口給出安全性防護(hù)要求。

1 移動支付實(shí)體互聯(lián)系統(tǒng)分析

1.1 支付實(shí)體分析

移動支付是一個端到端的業(yè)務(wù)，需要多個網(wǎng)絡(luò)實(shí)體參與?；谝苿踊ヂ?lián)網(wǎng)支付模式的移動支付實(shí)體包括：用戶、移動終端、商圈平臺、移動支付平臺等[3]，其互聯(lián)結(jié)構(gòu)如圖1所示。

1） 移動終端是指可在移動狀態(tài)下使用的終端設(shè)備，包括移動個人電腦、PDA（Personal Digital Assistant）、手機(jī)等，該文主要指手機(jī)。

2） 商圈平臺指的是商業(yè)服務(wù)平臺，包括線上的電子商務(wù)平臺，以及線下的實(shí)體店面，主要向用戶提供商品或服務(wù)。

3） 移動支付平臺支持移動支付業(yè)務(wù)的數(shù)據(jù)接入和轉(zhuǎn)接功能，為移動支付應(yīng)用服務(wù)的公共平臺，包含了支付插件前置平臺、用戶管理平臺、短信平臺、互聯(lián)網(wǎng)收單接入平臺等子系統(tǒng)。

4） 跨行交換清算系統(tǒng)，指針對收單機(jī)構(gòu)和發(fā)卡機(jī)構(gòu)的清算系統(tǒng)，作為移動支付平臺的統(tǒng)一對接實(shí)體，完成清分和資金劃撥的功能。

5） 發(fā)卡機(jī)構(gòu)指持卡人賬戶所在的機(jī)構(gòu)（即批準(zhǔn)授權(quán)的一方），通常將發(fā)卡方及其聯(lián)網(wǎng)的行內(nèi)中心或區(qū)域中心統(tǒng)稱為發(fā)卡機(jī)構(gòu)。

1.2 互聯(lián)鏈路分析

從圖1可看出基于互聯(lián)網(wǎng)的移動支付存在以下幾個實(shí)體之間的互聯(lián)關(guān)系：

1） 用戶與移動終端（L1鏈接）：例如用戶通過人機(jī)界面（Graphical User Interface）查看移動終端信息，通過鍵盤/人機(jī)界面操作移動終端。

2） 移動終端與商圈平臺（L2鏈接）：一般為查找、瀏覽、購買商品等交互過程，移動終端獲取商圈平臺生成的訂單。

3） 移動終端與移動支付平臺（L3鏈接）：移動終端向移動支付平臺發(fā)送或接收支付指令，等待移動支付平臺的交易返回結(jié)果。

4） 商圈平臺與移動支付平臺（L4鏈接）：移動支付平臺對商圈平臺進(jìn)行身份驗(yàn)證和向商圈平臺返回支付結(jié)果。

5） 移動支付平臺與跨行交換清算系統(tǒng)（L5鏈接）：移動支付平臺向跨行交換清算系統(tǒng)發(fā)起支付請求與應(yīng)答。

6） 跨行交換清算系統(tǒng)與發(fā)卡機(jī)構(gòu)（L6鏈接）： 跨行交換清算系統(tǒng)向發(fā)卡機(jī)構(gòu)提交清算數(shù)據(jù)的收集、清分和下發(fā)等。

1.3 安全層劃分

移動支付的實(shí)體關(guān)聯(lián)可以劃分為網(wǎng)絡(luò)傳輸層、業(yè)務(wù)數(shù)據(jù)層及交易處理層三個方面。如圖2所示。

由于這三個層面的業(yè)務(wù)組織和運(yùn)行環(huán)境各不相同，因此需要分別提出相應(yīng)的安全需求。

1） 網(wǎng)絡(luò)傳輸層安全：指網(wǎng)絡(luò)傳輸是指信息系統(tǒng)之間的網(wǎng)絡(luò)傳輸協(xié)議和網(wǎng)絡(luò)傳輸數(shù)據(jù)的集合?；跇?biāo)準(zhǔn)化、成熟的傳輸層協(xié)議，需要明確針對移動支付業(yè)務(wù)相匹配適用的網(wǎng)絡(luò)傳輸協(xié)議的安全需求。

2） 業(yè)務(wù)數(shù)據(jù)層安全：指信息系統(tǒng)之間基于網(wǎng)絡(luò)傳輸協(xié)議封裝的業(yè)務(wù)數(shù)據(jù)和應(yīng)用數(shù)據(jù)的集合。需要根據(jù)移動支付的特點(diǎn)，定義在支付實(shí)體之間進(jìn)行交換的業(yè)務(wù)數(shù)據(jù)格式，以及對應(yīng)的傳輸及存儲的、安全要求。

3） 交易處理層安全：指的是在支付交易處理過程中，信息系統(tǒng)的的處理過程的集合。需要規(guī)定在移動支付交易過程中，各參與方實(shí)體在信息傳遞、交互及業(yè)務(wù)處理過程中的安全需求。

2 安全性分析

2.1 網(wǎng)絡(luò)傳輸層安全

交易數(shù)據(jù)傳輸應(yīng)使用足夠強(qiáng)度的加密算法和安全協(xié)議，例如使用高版本的SSL（3.0）、TLS、IPSEC等協(xié)議，用于保護(hù)客戶端和服務(wù)器之間的連接。若采用SSL協(xié)議，加密密鑰長度應(yīng)大于等于128位，用于簽名的RSA密鑰長度應(yīng)大于等于1024位，用于簽名的ECC密鑰長度應(yīng)大于等于160位，并需要定時重新協(xié)商會話密鑰。如果采用短信傳輸模式，關(guān)鍵數(shù)據(jù)域應(yīng)當(dāng)經(jīng)過通信層加密，并且采用MAC校驗(yàn)碼。endprint

2.2 業(yè)務(wù)數(shù)據(jù)層安全

業(yè)務(wù)數(shù)據(jù)處理應(yīng)滿足對發(fā)送的報(bào)文關(guān)鍵域進(jìn)行MAC計(jì)算或簽名，以保證接收到報(bào)文的真實(shí)性和機(jī)密性，接收方使用與發(fā)送方約定好的MAC計(jì)算方法和簽名加密算法驗(yàn)證報(bào)文的正確性。不得采用MD5等存在安全隱患的摘要算法[5]。

對敏感數(shù)據(jù)加密需要采用會話密鑰機(jī)制，一個會話采用單獨(dú)的密鑰，會話結(jié)束密鑰過期。對業(yè)務(wù)數(shù)據(jù)的傳輸和保存應(yīng)進(jìn)行加密處理，并且業(yè)務(wù)各級實(shí)體不能保存諸如銀行卡磁道信息、密碼等持卡人敏感賬戶信息。移動支付實(shí)體的密鑰管理需要實(shí)現(xiàn)分級體系——根密鑰、主密鑰和會話密鑰，密鑰應(yīng)當(dāng)由發(fā)卡機(jī)構(gòu)通過加密機(jī)生成，并且不能被非授權(quán)對象讀取和修改。

2.3 交易處理層安全

交易過程需滿足保證移動終端對移動支付接入平臺的正常訪問，移動支付接入平臺需應(yīng)對常見的web攻擊及對交易的重發(fā)攻擊，保證交易會話的安全性。對高風(fēng)險(xiǎn)的支付交易需采用多種鑒別技術(shù)組合對用戶身份鑒別，確保交易的合法性；采用但不局限于證書簽名等技術(shù)手段保證交易的抗抵賴性。在支付過程中向移動終端提示訂單信息及支付風(fēng)險(xiǎn)，并將支付結(jié)果及時完整的反饋給移動終端和商戶平臺。

3 小結(jié)

雖然移動支付體系在理論研究方面已經(jīng)比較成熟，但是在實(shí)際工程應(yīng)用中仍需要與時俱進(jìn)，尤其需要跟進(jìn)基礎(chǔ)加密算法的安全性進(jìn)展，及時升級安全協(xié)議版本，確保在當(dāng)今技術(shù)條件下可以滿足安全需求。移動支付是未來支付手段的發(fā)展方向，安全性問題是決定移動支付發(fā)展的主要因素。只有解決了安全性問題，才能讓用戶放心接受和使用移動支付工具，移動支付才能進(jìn)一步發(fā)展壯大。

參考文獻(xiàn)：

[1] 中華人民共和國工業(yè)和信息化部http：//www.miit.gov.cn/.

[2] Q/CUP 037.1.1-2011中國銀聯(lián)移動支付技術(shù)規(guī)范 第1卷基礎(chǔ)規(guī)范第1部術(shù)語和定義[S].

[3] Q/CUP 037.3.1-2011中國銀聯(lián)移動支付技術(shù)規(guī)范 第3卷：移動互聯(lián)網(wǎng)支付技術(shù)規(guī)范第1部分移動支付實(shí)體互聯(lián)安全規(guī)范[S].

[4] 中國銀聯(lián)銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)規(guī)范 V2.第5部分通信接口規(guī)范[S].

[5] Xiaoyun Wang； Hongbo Yu.How to Break MD5 and Other Hash Functions[J].EUROCRYPT. ISBN，2005.3-540-25910-4.

[6] Isaac & Camara –Spain.Anonymous Payment Protocol in a Kiosk Centric Model using Digital Signature scheme with message recovery and Low Computational Power Devices[J].IEEE，2006.endprint

2.2 業(yè)務(wù)數(shù)據(jù)層安全

業(yè)務(wù)數(shù)據(jù)處理應(yīng)滿足對發(fā)送的報(bào)文關(guān)鍵域進(jìn)行MAC計(jì)算或簽名，以保證接收到報(bào)文的真實(shí)性和機(jī)密性，接收方使用與發(fā)送方約定好的MAC計(jì)算方法和簽名加密算法驗(yàn)證報(bào)文的正確性。不得采用MD5等存在安全隱患的摘要算法[5]。

對敏感數(shù)據(jù)加密需要采用會話密鑰機(jī)制，一個會話采用單獨(dú)的密鑰，會話結(jié)束密鑰過期。對業(yè)務(wù)數(shù)據(jù)的傳輸和保存應(yīng)進(jìn)行加密處理，并且業(yè)務(wù)各級實(shí)體不能保存諸如銀行卡磁道信息、密碼等持卡人敏感賬戶信息。移動支付實(shí)體的密鑰管理需要實(shí)現(xiàn)分級體系——根密鑰、主密鑰和會話密鑰，密鑰應(yīng)當(dāng)由發(fā)卡機(jī)構(gòu)通過加密機(jī)生成，并且不能被非授權(quán)對象讀取和修改。

2.3 交易處理層安全

交易過程需滿足保證移動終端對移動支付接入平臺的正常訪問，移動支付接入平臺需應(yīng)對常見的web攻擊及對交易的重發(fā)攻擊，保證交易會話的安全性。對高風(fēng)險(xiǎn)的支付交易需采用多種鑒別技術(shù)組合對用戶身份鑒別，確保交易的合法性；采用但不局限于證書簽名等技術(shù)手段保證交易的抗抵賴性。在支付過程中向移動終端提示訂單信息及支付風(fēng)險(xiǎn)，并將支付結(jié)果及時完整的反饋給移動終端和商戶平臺。

3 小結(jié)

雖然移動支付體系在理論研究方面已經(jīng)比較成熟，但是在實(shí)際工程應(yīng)用中仍需要與時俱進(jìn)，尤其需要跟進(jìn)基礎(chǔ)加密算法的安全性進(jìn)展，及時升級安全協(xié)議版本，確保在當(dāng)今技術(shù)條件下可以滿足安全需求。移動支付是未來支付手段的發(fā)展方向，安全性問題是決定移動支付發(fā)展的主要因素。只有解決了安全性問題，才能讓用戶放心接受和使用移動支付工具，移動支付才能進(jìn)一步發(fā)展壯大。

參考文獻(xiàn)：

[1] 中華人民共和國工業(yè)和信息化部http：//www.miit.gov.cn/.

[2] Q/CUP 037.1.1-2011中國銀聯(lián)移動支付技術(shù)規(guī)范 第1卷基礎(chǔ)規(guī)范第1部術(shù)語和定義[S].

[3] Q/CUP 037.3.1-2011中國銀聯(lián)移動支付技術(shù)規(guī)范 第3卷：移動互聯(lián)網(wǎng)支付技術(shù)規(guī)范第1部分移動支付實(shí)體互聯(lián)安全規(guī)范[S].

[4] 中國銀聯(lián)銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)規(guī)范 V2.第5部分通信接口規(guī)范[S].

[5] Xiaoyun Wang； Hongbo Yu.How to Break MD5 and Other Hash Functions[J].EUROCRYPT. ISBN，2005.3-540-25910-4.

[6] Isaac & Camara –Spain.Anonymous Payment Protocol in a Kiosk Centric Model using Digital Signature scheme with message recovery and Low Computational Power Devices[J].IEEE，2006.endprint

2.2 業(yè)務(wù)數(shù)據(jù)層安全

業(yè)務(wù)數(shù)據(jù)處理應(yīng)滿足對發(fā)送的報(bào)文關(guān)鍵域進(jìn)行MAC計(jì)算或簽名，以保證接收到報(bào)文的真實(shí)性和機(jī)密性，接收方使用與發(fā)送方約定好的MAC計(jì)算方法和簽名加密算法驗(yàn)證報(bào)文的正確性。不得采用MD5等存在安全隱患的摘要算法[5]。

對敏感數(shù)據(jù)加密需要采用會話密鑰機(jī)制，一個會話采用單獨(dú)的密鑰，會話結(jié)束密鑰過期。對業(yè)務(wù)數(shù)據(jù)的傳輸和保存應(yīng)進(jìn)行加密處理，并且業(yè)務(wù)各級實(shí)體不能保存諸如銀行卡磁道信息、密碼等持卡人敏感賬戶信息。移動支付實(shí)體的密鑰管理需要實(shí)現(xiàn)分級體系——根密鑰、主密鑰和會話密鑰，密鑰應(yīng)當(dāng)由發(fā)卡機(jī)構(gòu)通過加密機(jī)生成，并且不能被非授權(quán)對象讀取和修改。

2.3 交易處理層安全

交易過程需滿足保證移動終端對移動支付接入平臺的正常訪問，移動支付接入平臺需應(yīng)對常見的web攻擊及對交易的重發(fā)攻擊，保證交易會話的安全性。對高風(fēng)險(xiǎn)的支付交易需采用多種鑒別技術(shù)組合對用戶身份鑒別，確保交易的合法性；采用但不局限于證書簽名等技術(shù)手段保證交易的抗抵賴性。在支付過程中向移動終端提示訂單信息及支付風(fēng)險(xiǎn)，并將支付結(jié)果及時完整的反饋給移動終端和商戶平臺。

3 小結(jié)

雖然移動支付體系在理論研究方面已經(jīng)比較成熟，但是在實(shí)際工程應(yīng)用中仍需要與時俱進(jìn)，尤其需要跟進(jìn)基礎(chǔ)加密算法的安全性進(jìn)展，及時升級安全協(xié)議版本，確保在當(dāng)今技術(shù)條件下可以滿足安全需求。移動支付是未來支付手段的發(fā)展方向，安全性問題是決定移動支付發(fā)展的主要因素。只有解決了安全性問題，才能讓用戶放心接受和使用移動支付工具，移動支付才能進(jìn)一步發(fā)展壯大。

參考文獻(xiàn)：

[1] 中華人民共和國工業(yè)和信息化部http：//www.miit.gov.cn/.

[2] Q/CUP 037.1.1-2011中國銀聯(lián)移動支付技術(shù)規(guī)范 第1卷基礎(chǔ)規(guī)范第1部術(shù)語和定義[S].

[3] Q/CUP 037.3.1-2011中國銀聯(lián)移動支付技術(shù)規(guī)范 第3卷：移動互聯(lián)網(wǎng)支付技術(shù)規(guī)范第1部分移動支付實(shí)體互聯(lián)安全規(guī)范[S].

[4] 中國銀聯(lián)銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)規(guī)范 V2.第5部分通信接口規(guī)范[S].

[5] Xiaoyun Wang； Hongbo Yu.How to Break MD5 and Other Hash Functions[J].EUROCRYPT. ISBN，2005.3-540-25910-4.

[6] Isaac & Camara –Spain.Anonymous Payment Protocol in a Kiosk Centric Model using Digital Signature scheme with message recovery and Low Computational Power Devices[J].IEEE，2006.endprint