夏 平，楊 明

（1.廣州工商學(xué)院 計算機科學(xué)與工程系，廣東 廣州 528138；2.深圳東信海洋機械工程公司，廣東 深圳 518000）

移動支付是指通過移動終端設(shè)備（通常指手機）實現(xiàn)賬單在線支付的一種服務(wù)手段，是近幾年來興起的一種便捷的電子交易方式。隨著移動支付技術(shù)的普及，國內(nèi)的支付寶、微信以及手機閃付已成為主流的支付產(chǎn)品，涉及購物、轉(zhuǎn)賬、醫(yī)療、理財及生活繳費等各個方面[1]。在2017年，無現(xiàn)金時代成了熱點話題，支付寶官方高調(diào)表示，“5年推動中國進入無現(xiàn)金時代，”事實上，國家政府和銀行金融機構(gòu)也為無現(xiàn)金時代做出多項實際行動支持，全面推動無現(xiàn)金時代的發(fā)展進程。但隨著移動支付使用的普遍性，日益嚴(yán)峻的安全問題也不斷呈現(xiàn)在用戶的面前。移動支付已成為不法分子的重點攻擊對象，如黑客攻擊，信息泄露，電信詐騙，二維碼病毒等安全問題層出不窮，讓用戶防不勝防，直接威脅到用戶生命財產(chǎn)安全。

1 我國移動支付發(fā)展現(xiàn)狀

在移動支付領(lǐng)域，我國的研究起步比較晚，但隨著技術(shù)的不斷發(fā)展，用戶的規(guī)模得到了迅速的擴張。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的權(quán)威數(shù)據(jù)統(tǒng)計，截至2017年12月，我國網(wǎng)上支付用戶規(guī)模達(dá)到5.31億，其中手機支付用戶數(shù)量為5.27億，占比高達(dá)99.2%。由于移動支付需要多方技術(shù)以及網(wǎng)絡(luò)環(huán)境的協(xié)助，容易受到一系列的入侵和攻擊，導(dǎo)致信息泄露乃至財產(chǎn)損失。通過對2017年移動支付的大數(shù)據(jù)分析，我國的移動支付呈現(xiàn)3個主要的特征：（1）移動支付的使用領(lǐng)域不斷拓寬，滲透到工作和生活的方方面面。（2）在線電子交易逐步向農(nóng)村地區(qū)和老齡網(wǎng)民輻射，用戶使用線下線上交易的數(shù)量持續(xù)增長，農(nóng)村地區(qū)移動支付于2017年底統(tǒng)計的數(shù)據(jù)比2016年底增長了15.4%。（3）傳統(tǒng)的支付的技術(shù)逐步被高新技術(shù)替代，指紋支付以及面部識別支付等生物識別技術(shù)得到了快速的發(fā)展。

中國銀聯(lián)發(fā)布的《2017移動互聯(lián)網(wǎng)支付安全調(diào)查報告》顯示，在2017年，短信木馬、社交賬號盜用，病毒等高發(fā)的詐騙手段呈下降趨勢，誘掃二維碼欺詐受騙比例明顯增長，尤其是防范意識薄弱的中老年及90后群體遭受的網(wǎng)絡(luò)詐騙比例較高，須更加關(guān)注支付安全。移動支付正在替代傳統(tǒng)的交易方式，具有無限的發(fā)展前景，但越來越多的安全問題已經(jīng)嚴(yán)重制約其發(fā)展的步伐。因此，針對移動支付的安全性方案的研究是迫在眉睫的。

2 移動支付的安全風(fēng)險

移動支付主要包括移動終端、支付賬戶、第三方支付平臺、網(wǎng)絡(luò)環(huán)境、銀行機構(gòu)等基本要素，其安全風(fēng)險主要體現(xiàn)在3個方面：移動終端設(shè)備的安全風(fēng)險；移動支付環(huán)境的安全風(fēng)險；個人信息泄露問題。

2.1 移動終端設(shè)備的安全風(fēng)險

移動終端設(shè)備是進行移動支付的硬件載體，目前絕大多數(shù)用戶都是采用智能手機進行支付操作，因此，硬件設(shè)備的安全性在很大程度上決定了移動支付的安全性。大眾化的智能手機其本身硬件系統(tǒng)并未采用加密芯片和底層的安全防護功能，容易導(dǎo)致移動支付APP出現(xiàn)安全風(fēng)險。在智能手機的使用上，有部分用戶獲得更高的操作權(quán)限和更好的用戶交互體驗，進行越獄和刷機操作，這有可能破壞手機系統(tǒng)的安全運行機制，出現(xiàn)系統(tǒng)漏洞，遭受到惡意代碼的攻擊。另外，手機丟失也會給用戶造成巨大的影響，由于手機都會綁定銀行卡、信用卡來實現(xiàn)移動支付，當(dāng)手機丟失后，極有可能出現(xiàn)被人冒用的安全風(fēng)險。

2.2 移動支付環(huán)境的安全風(fēng)險

隨著無線通信網(wǎng)絡(luò)的普遍應(yīng)用，大型商場、酒店、飯店以及地鐵公交等公共場所都提供了免費WiFi，部分用戶為了節(jié)省流量會選擇使用它。一些公共場所的免費WiFi可能就是釣魚陷阱，如果連接到這種“危險WiFi”進行移動支付的話，將直接導(dǎo)致用戶帳戶的資金損失。正是因為無線網(wǎng)絡(luò)的便利性、開放性，以及一般數(shù)據(jù)傳輸都是明文傳輸?shù)仍?，非法分子可以利用搭線竊聽來獲取用戶的隱私數(shù)據(jù)以及相關(guān)支付信息。其次，移動支付網(wǎng)絡(luò)平臺還可能受到拒絕服務(wù)攻擊的安全風(fēng)險，導(dǎo)致支付平臺無法處理和響應(yīng)用戶的服務(wù)請求，影響用戶的支付行為。

2.3 個人信息泄露的安全風(fēng)險

移動支付的用戶群體的年輕化及老齡化的趨勢日益明顯，部分用戶缺乏基本的網(wǎng)絡(luò)安全防范意識，容易遭受到電信詐騙、釣魚網(wǎng)站詐騙、偽基站短信詐騙，不明木馬鏈接以及賬號盜用等常用手段的威脅，導(dǎo)致個人隱私泄露，從而影響到移動支付流程整體的安全性[2]。在移動支付環(huán)節(jié)，口令+驗證碼的方式使用普遍，為了支付的快捷性，甚至出現(xiàn)了小額免密支付，或者6位數(shù)字支付手段，這樣的弱口令模式極容易被攻擊者實施口令破解，造成賬戶和密碼的盜用，從而造成不可彌補的損失。

3 移動支付的安全應(yīng)對措施

3.1 提高大眾用戶的安全意識

網(wǎng)絡(luò)環(huán)境具備復(fù)雜性、靈活性、多樣性的特點，容易出現(xiàn)惡意攻擊和信息泄露等風(fēng)險。用戶在進行移動支付過程中，針對社會工程學(xué)的攻擊，應(yīng)提高警惕，保管好賬號、支付密碼、驗證碼、數(shù)字證書、動態(tài)口令等隱私數(shù)據(jù)，防范因信息泄露出現(xiàn)的安全威脅[3]。用戶作為移動支付的重要參與者，需不斷提高自身的安全意識和辨別能力。尤其是提供在線電子交易的平臺，可以對用戶進行基本的移動支付的安全培訓(xùn)，并為用戶提供及時有效的客戶安全服務(wù)與指導(dǎo)，第一時間幫助用戶解決問題，規(guī)避不必要的風(fēng)險要素。

3.2 加強移動終端設(shè)備本身的安全

移動終端設(shè)備是保障移動支付流程安全的重要部分，可在硬件和軟件兩個層次上進行安全策略的設(shè)計。在硬件系統(tǒng)上，可以添加加密芯片保障核心數(shù)據(jù)的保密性和完整性；具備內(nèi)置指紋傳感器模塊的開啟該功能實現(xiàn)指紋驗證和支付。在軟件系統(tǒng)上，增加層次級的安全協(xié)議，安裝防護級的應(yīng)用軟件，對病毒和攻擊進行有效預(yù)警和防范，保障移動支付數(shù)據(jù)安全。盡量從官方應(yīng)用中心下載APP應(yīng)用軟件，在隱私數(shù)據(jù)的訪問上，堅持最小化原則，嚴(yán)格限制其他程序的隱私訪問權(quán)限。

3.3 基于終端認(rèn)證+生物識別技術(shù)的雙重身份驗證策略

在移動支付系統(tǒng)的用戶身份驗證上，使用比較普遍的就是口令+驗證碼的組合方式，交易時采用數(shù)字密碼方式支付。從安全角度來講，這種驗證和支付方式是非常不安全的，容易被破解。為了進一步保障移動支付的安全性，可在口令驗證的基礎(chǔ)上，實施基于終端認(rèn)證+生物識別技術(shù)的雙重身份驗證模式。在進行支付交易時，首先添加對終端設(shè)備的認(rèn)證模式，并記錄終端設(shè)備的登錄認(rèn)證記錄，保障交易設(shè)備的不可否認(rèn)性和合法性。目前，一般的智能手機都具備指紋識別傳感器，可以在身份認(rèn)證和支付時使用指紋操作，大大節(jié)約了時間，也提高了交易的安全級別。另外，生物識別技術(shù)中的虹膜識別技術(shù)也是極具前景的身份認(rèn)證方式，被行業(yè)中認(rèn)為是最安全的驗證技術(shù)。由于人體眼睛中虹膜細(xì)節(jié)特征的唯一性，通過虹膜技術(shù)進行用戶身份識別，不僅能提高支付的速度，更能保障合法用戶的賬戶安全。不過虹膜識別技術(shù)目前主要應(yīng)用于門禁、保險箱或高保密要求場所，如果要應(yīng)用到智能手機設(shè)備上，相應(yīng)的硬件成本大幅增加，這也是該技術(shù)在移動支付領(lǐng)域難以廣泛應(yīng)用的發(fā)展瓶頸。

3.4 提供賬戶資金安全保障機制

移動支付的安全性直接決定了用戶資金賬戶的安全性，第三方支付平臺和銀行機構(gòu)需建立用戶賬戶資金的安全保障機制，提供諸如賬戶安全系數(shù)檢測，異常賬戶預(yù)警，盜用賬戶資金及時止損、賬戶安全保險及風(fēng)險賠付、欺詐資金與貨物攔截等措施，努力保障用戶的賬戶資金安全，并逐步降低用戶自行承擔(dān)交易風(fēng)險的比例。

3.5 加強行業(yè)法律法規(guī)的監(jiān)管

規(guī)范化、標(biāo)準(zhǔn)化的行業(yè)法律法規(guī)是移動支付安全性的重要基礎(chǔ)保障，需要國家、網(wǎng)絡(luò)運營商、銀行機構(gòu)以及第三方支付平臺協(xié)同合作，大力推動移動支付的發(fā)展。其中，從國家政府層面上來說，應(yīng)加快我國網(wǎng)絡(luò)安全領(lǐng)域的相關(guān)法律法規(guī)的制定與實施，建立完善的移動支付安全的監(jiān)管體系，為移動支付提供基礎(chǔ)的法律保障。只有當(dāng)網(wǎng)絡(luò)安全相關(guān)法律體系逐步完善，用戶的安全體驗才會明顯提升。從網(wǎng)絡(luò)運營商的層面上，應(yīng)為移動支付提供可靠、高效、保密的網(wǎng)絡(luò)運行環(huán)境，對通信信道進行加密和安全防護，防止信息遭到竊聽或截獲。從銀行和第三方支付方層面上，建立移動支付行業(yè)統(tǒng)一化的技術(shù)規(guī)范勢在必行，致力于打造安全系數(shù)高的在線交易平臺。

4 結(jié)語

隨著移動支付技術(shù)的不斷升級和完善，無現(xiàn)金時代終將來臨。然而移動支付的安全問題是現(xiàn)階段必須面對和亟待解決的技術(shù)難點，需要多方共同努力，為移動支付探索更安全、更高效、更穩(wěn)定、更和諧的可持續(xù)發(fā)展之路。

[參考文獻(xiàn)]

[1]李玲萱.以微信支付為例淺析無現(xiàn)金時代移動支付安全現(xiàn)狀及保護策略[J].熱點聚焦，2017（40）：14-15.

[2]李善斌.移動支付安全風(fēng)險及防范措施分析[J].支付清算，2015（5）：24-26.

[3]劉瑩瑩.移動支付安全問題研究[J].網(wǎng)絡(luò)空間安全，2017（8）：16-18.