電子商務環境下移動支付的安全性分析

[摘 要] 移動支付是將移動網絡作為實現移動支付的工具和手段，為用戶提供貨幣支付等金融服務，文章介紹了移動支付在電子商務環境下的技術實現及各支付環節所要關注的安全要求，并介紹了目前應用較廣泛的安全標準WPKI。

[關鍵詞] 電子商務 移動支付 安全認證 WPKI

電子商務環境下的移動支付是指單位或個人通過移動設備，直接或間接向銀行業金融機構發出支付指令，實現貨幣支付與資金轉移的行為移動支付所使用的移動設備可以是手機、PDA、移動PC等。從移動支付的實質上講，移動支付就是將移動網絡與金融系統結合，把移動網絡作為實現移動支付的工具和手段，為用戶提供貨幣支付、繳費等金融服務的業務。移動支付通常有以下幾種實現方式:(1)短信（SMS）支付，終端用戶通過發送短消息的形式請求服務內容，從用戶的話費中扣除費用，通常只適合于小額支付。(2)WAP（Wireless Application Protocol），終端用戶通過訪問WAP站點，進行簡單的金融業務。（3）USSD(Unstructured Supplementary Service Data，非結構化補充數據業務)，是一種基于GSM網絡的新型交互式數據業務，如證券交易、移動銀行業務。（4)NFC（(Near Field Communication），是一種短距離的無線連接技術，支付和票務業務是應用最早的NFC業務。

一、移動支付中的安全問題

在整個移動支付的過程中涉及到的支付參與者包括：消費用戶、商戶用戶、移動運營商、第三方服務提供商、銀行。消費用戶和商戶用戶是系統的服務對象，移動運營商提供網絡支持，銀行方提供銀行相關服務，第三方服務提供商提供支付平臺服務，通過各方的結合以實現業務。移動支付需要考慮以下安全問題：（1)移動終端接入支付平臺的安全，包括用戶注冊時，簽約信息的安全傳遞，以及用戶通過移動終端登錄系統，其間傳遞的數據如簽約用戶名、簽約密碼等的安全性。(2)支付平臺內部數據傳輸的安全，即支付平臺內部各模塊之間數據傳輸的安全性。(3)支付平臺數據存儲的安全，涉及到簽約用戶的機密性的銀行卡賬戶、密碼、簽約用戶名、簽約密碼等的安全性。

二、移動支付的安全認證技術

當前，移動設備的大量普及為移動支付的實現提供了必要的條件，但也存在許多問題制約著移動支付的實施，如移動終端的計算環境和通信環境都非常有限，這就需要對相應的安全認證做一些特殊要求。

1.WPKI 安全標準概況

WPKI (Wireless PKI）是有線PKI的一種擴展，它將互聯網電子商務中PKI的安全機制引入到移動電子商務中。WPKI采用公鑰基礎設施、證書管理策略、軟件和硬件等技術，有效地建立了安全和值得信賴的無線網絡通信環境。WPKI以WAP的安全機制為基礎，通過管理實體間關系、密鑰和證書來增強電子商務安全。WAP安全機制包括WIM（WAP Identity Module，無線應用協議識別模塊）、WMLSCrypt（WML Script Crypto API，WML腳本加密接口）、WTLS（Wireless Transport Layer Security，無線傳輸安全層）和WPKI四個部分。以上各部分對實現無線網絡應用的安全分別起著不同的作用。WPKI作為安全基礎設施平臺，一切基于身份驗證的應用都需要WPKI技術的支持，它可與WTLS、TCP/IP相結合，實現身份認證、私鑰簽名等功能。WPKI的主要組件包括：終端實體應用程序（EE）、PKI門戶（PKI Portal)、認證中心（CA）、目錄服務(PKI Directory)、WAP網關，在應用模型中還涉及數據提供服務器等設備，WPKI的基本結構和數據流向如圖所示。

在WPKI中，代替RA（Registration Authority）的功能組件是PKI 門戶（PKI Portal ），它是一個網絡服務器，負責把WAP客戶的需求轉發給PKI中的RA和CA（Certification Authority）。CA主要負責生成證書、頒發證書和刷新證書等。WAP Gateway負責處理客戶與源服務器之間的協議轉換工作。WTLS 是經傳統網絡的TLS協議改進和優化而得來的，主要保證傳輸層的安全，WPKI也是對IETF PKIX標準的優化，使之更適合無線環境。

2.WPKI的加密算法和密鑰

WPKI是通過管理實體間關系、密鑰和證書來增強電子商務安全的，與WAP安全標準相比，WPKI所采用的ECC（Elliptic Curve Cryptography，橢圓曲線密碼）密碼系統更適合在無線設備中使用。同樣強度的密鑰，ECC的密鑰長度（163bit）只是其他方案的六分之一(1024bit），但163bit的密鑰長度對窮舉密鑰攻擊幾乎是絕對安全的，因為窮舉163bit的密鑰個數有1.156×1049個，按每秒鐘測試1億個密鑰計算，也要3.6×1032年！

三、 結論

支付手段的電子化和移動化已經成為了不可避免的發展趨勢，而移動支付系統的安全性問題又是移動電子商務安全的核心問題。從技術角度上看，需要將無線通信的安全與其他的安全機制相結合才能滿足移動電子商務安全的需要。

參考文獻：

[1]關振勝:公鑰基礎設施PKI及其應用[M].北京:電子工業出版社

[2]WAP Forum.Public Key Infrastructure Definition. WAP Forum，Http://www.wapforum.org. 2001