資源描述:
《移動支付安全及風險防范》由會員上傳分享���,免費在線閱讀,更多相關內容在學術論文-天天文庫�。
1、移動支付安全及風險防范有調查顯示�,目前每5位中國人中即有4人擔心手機網絡犯罪。手機從事活動主要包括在線閱讀����、訪問社交網站、在線購物以及移動支付�。以前大家等公交的時候,更多是在一起聊天��,現(xiàn)在幾乎90%以上的人都是拿著手機做一些娛樂或是工作�,有人炒股票,有人刷微博����,還有人可能做移動支付的購買�,甚至還有做手機銀行轉帳等等�。目前手機已經成為我們必不可少的工具,大家越來越依賴于手機���,就像我們越來越依賴互聯(lián)網一樣���。目前,移動支付作為一種新興的支付方式����,其便利性使得其已成為一種潮流,但是移動支付存在的安全隱患也
2����、要引起我們的重視。不久前����,在中信網絡科技股份有限公司組織的“金融IC卡行業(yè)應用與移動支付高峰沙龍會”上銀行卡檢測中心安全技術部總經理杜磊分享了目前移動支付存在的風險,已經從技術上如何去防范��。移動支付的安全概述“移動支付作為一種新興的支付方式��,已成為一種潮流,但是移動支付存在的安全隱患也要引起我們的重視��,當然�,這些安全隱患和風險未必就代表是安全問題。據安管云開放平臺2013年2月的統(tǒng)計�����,出現(xiàn)了越來越多的手機病毒和惡意軟件���,例如無提示私自發(fā)送短信,竊取用戶隱私資料��,還有無提示大量流量消耗等問題���?����!倍爬?/p>
3��、指出說����,“還有一些內置的軟件在用戶不知情的情況下大量吞噬著手機流量,這些都我們面臨的非?��,F(xiàn)實的問題���。”各種媒體宣傳都在提醒手機用戶�����,手機不是保險箱��,通訊錄里不要暴露家庭信息�����,防止一旦手機丟了之后可能會遭到詐騙�����。實際上不需要手機丟���,我們存儲在手機上的信息可能早已被惡意軟件竊取���。一些問卷調查公司來電����,能夠直呼機主姓名和工作單位���,他們是如何獲得的�?很可能就是手機里面的一些短信信息�����、文件信息以及通訊錄信息被非法竊取了���。例如通過短信信息了解一個人的消費習慣、工作狀況以及家庭狀況�,為某些利益鏈服務。所以說手機
4����、本身它沒有太多的安全防護,給我們帶來很大的安全隱患���。所以��,我們在移動支付里�����,在手機銀行里�����,把手機作為交易工具的時候����,應該默認手機是不安全的,再對整個交易流程進行安全設計和優(yōu)化�,才能保證移動支付以及手機銀行交易的安全性。分析移動支付的交易環(huán)節(jié)�����,首先是通過手機的終端采集交易數據���,例如借助個人支付終端做身份認證�,���,交易信息傳輸到移動運營商��,再到移動支付后臺���,在交易的每個節(jié)點都要考慮到安全風險�����。做近場交易的時候會用到受理終端���,終端安全和收單系統(tǒng)的安全性也同樣要考慮,如果每一個節(jié)點的安全性都保證了���,再保證整
5����、個流程和業(yè)務流程的安全性�,我們說這個過程就是可控的����。杜磊回顧和分析了交易中涉及到的一些工具和對應的安全風險,以及如何防范這些風險���?“移動支付關注的要點�����,主要是防竊取�����、防篡改���、防重放�、防偽造�����。尤其交易的篡改����、偽造、重放是經常出現(xiàn)的�����,移動支付中也經常出現(xiàn)�����,交易報文中沒有更多隨機成分的時候就會出現(xiàn)重放以及偽造交易情況的存在?!蹦壳盀榱吮U辖鹑诮灰椎陌踩裕鹑谛袠I(yè)也制定了一些相關標準����。《中國金融移動支付技術標準》已經頒布�����,銀行卡檢測中心負責牽頭撰寫了技術保障部分的檢測標準�,其中結合了多年來對金融行業(yè)安全
6、風險和經驗的匯總��。另外����,在人民銀行的組織下歷時三年才完成的《網上銀行信息系統(tǒng)安全通用規(guī)范》中也對移動支付、電子支付的安全提出了安全要求����。移動支付模型與風險分析杜磊梳理了十幾年來出現(xiàn)的幾種移動支付方式�����,并分析了其中存在的風險:從2000年到2013年�����,先后出現(xiàn)SMS短信支付,IVR(語音)的交互�����,STK支付方式�,WAP/WEB,無智能卡的客戶端遠程支付�,后來又出現(xiàn)了基于智能卡的客戶端遠程支付,還有像“迷你付”這種個人移動支付終端配合交易認證來完成交易和防止銀行卡的犯罪��,及智能卡的近場支付等等��。1.短
7�����、信支付短信支付會有轉入���、轉出����、卡號、收款人信息��、金額��、密碼等等信息�����,這就存在安全風險�,這種交易不僅僅有可能被竊取,而且容易被篡改���、偽造��。這種支付安全風險較大���,因為沒有經過加密,是明文進行數據交互���,所有轉入轉出的卡號�����、金額等等都暴露在明文上。2.STK這種方式雖然會采用加密算法,但是交易過程中有可能需要轉加密����,在轉加密的環(huán)節(jié)就有可能存在安全隱患,這是我們關注的要點��。而且這種交易因為在手機上完成��,沒有任何的額外認證介質��,那么這個手機本身是能夠被遠程控制的��,它能夠被遠程控制來完成一筆交易��。我們對一些手機
8��、銀行的移動支付做安全攻擊的實驗��,在手機上種植木馬��,手機的所有短信能夠被獲取�。同時我們看到網上銀行安全防護措施的一種是動態(tài)口令發(fā)到手機里,這種機制作為網上銀行來講是可以作為比較有效的安全防護措施���,但是作為手機銀行或者是移動支付�����、遠程支付來講就大打折扣����。因為這種短信是發(fā)到手機上,通過木馬程序可以直接分析出短信信息��,這同使用靜態(tài)密碼沒有什么太大的區(qū)別�����,木馬完全可以做到�����。3.IVR通過提供交易身份驗證信息����,卡號、手機號����、姓名等,上送信息�����,發(fā)起交易。曾經有一種詐騙���,通過電話的免提來輸入銀行卡
