移动支付安全保障挑战与机遇

移动支付突破了传统电子商务的载体和地域限制，真正实现随时随地地通过无线方式进行交易，大大增强了买卖双方的灵活性和支付性，从而使大规模用户参与和个性化服务成为可能。因此也成为各类服务提供商竞相争夺的新型服务市场之一，也是国际国内技术、产品、业务、商业模式创新最活跃的领域之一。

        国际上移动支付发展起步较早发展十分迅速。据市场分析机构Juniper Research预计，到2013年全球移动支付市场规模将达到6000亿美元，具有手机钱包功能的手机拥有量将从目前的5000万部增长到7亿部。

        移动支付也是技术创新、标准跟进最为活跃的领域之一。美国和欧洲在移动支付领域涌现出一批创新的企业吸引着投资，兼并收购也非常活跃，如Square、FigCard、Boku、zatawire等。另外，许多大型互联网企业也在大力推进一批项目，都在这一领域寻找新商机。移动支付技术体制与安全挑战 随着移动终端软硬件技术的发展，恶意代码技术也在不断发展。例如：x卧底软件可以监听用户通话，秘密读取短信信息、日志和邮件，读取手机GPS位置信息，转发所有邮件到另一个邮箱，通过SMS远程控制所有手机功能等。再如：碎屏软件内含吸费模块，通常通过有吸引力的游戏等应用中隐藏，或通过在原厂商安装软件的修改和捆绑来侵入用户终端系统。窃取用户的账号和密码是攻击者首选的攻击手段之一，这是因为大部分的支付应用仅基于用户账号和密码的鉴别技术。通过静态篡改应用代码和界面诱骗用户输入其账号和密码，从而达到窃取账号密码的目的。更进一步，动态截取用户账号和密码的攻击案例也已经出现，迫使系统软件和应用软件的开发者提供系统安全增强方案。

        针对静态窃取威胁，主要通过安全控件技术对移动支付安全插件、密码保护插件等进行安全防护；针对动态窃取威胁，主要包括对安全通道的防护技术，包括应用完整性检测、恶意软件防护、系统安全环境监控、通道安全监控等。

        安全通道和安全控件的协同防护是应对移动支付系统安全威胁的重要保障。安全通道提供安全的运行环境，移动支付安全插件运行在此安全环境中，从而达到安全保障增强目的。安全通道对于移动支付安全插件是透明的，也就是说，即使没有安全通道，移动支付安全插件也可以正常运行，但安全性会降低。

        从软件工程的角度来看，移动支付系统是依托移动终端设备、通信网络和后台处理共同组成的完整的支付软件系统。终端设备用于移动支付的硬件技术体制大致划分为两种主流方案，DI—SIM和NFC方案。移动支付系统按照技术特点来分大致可以分成4类：基于SMS的系统、基于WAP的系统、基于I—mode的系统和基于J2ME的系统。其中终端设备中移动支付软件部署的位置分布包括：SIM卡中、手机定制应用软件、手机OS之上的应用软件、手机浏览器扩展插件等几种类型。

        概括来讲，智能手机移动支付安全问题包含以下三大方面。

        终端安全：主要威胁包括系统后门／漏洞导致的恶意软件危害、非法访问文件系统等。

        通信安全：直接连接的钓鱼网站、密码短信拦截、交易确认信息拦截、中间数据被窃取等。

        程序自身的安全：程序代码被静态或动态篡改、中间数据被篡改或盗取，特别重要的是程序输入输出接口的安全性——密码输入控件、驱动的安全性保障。

安全技术创新机遇
        机遇之一：在研究评价现有安全威胁的基础上提供系统安全增强方案
        正像个人计算时代软件技术发展过程一样，手机平台随着网络和计算功能比重加大，安全威胁与安全防护技术相伴而生、相对发展。目前，一些有关移动支付安全插件、密码保护插件技术、程序安装保护技术已经开始出现，一批针对应用完整性检测、恶意软件防护、系统安全环境监控、通道安全监控的技术和产品已经现有的系统中发挥一定的作用。

 1 2 3 下一页 尾页

扫码即可手机
阅读转发此文