資源描述:
《移動支付安全及風(fēng)險(xiǎn)防范》由會員上傳分享���,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫��。
1����、移動支付安全及風(fēng)險(xiǎn)防范有調(diào)查顯示���,目前每5位中國人中即有4人擔(dān)心手機(jī)網(wǎng)絡(luò)犯罪��。手機(jī)從事活動主要包括在線閱讀�����、訪問社交網(wǎng)站��、在線購物以及移動支付�。以前大家等公交的時候����,更多是在一起聊天����,現(xiàn)在幾乎90%以上的人都是拿著手機(jī)做一些娛樂或是工作���,有人炒股票���,有人刷微博,還有人可能做移動支付的購買�,甚至還有做手機(jī)銀行轉(zhuǎn)帳等等。目前手機(jī)已經(jīng)成為我們必不可少的工具�,大家越來越依賴于手機(jī),就像我們越來越依賴互聯(lián)網(wǎng)一樣�����。目前�����,移動支付作為一種新興的支付方式�����,其便利性使得其已成為一種潮流,但是移動支付存在的安全隱患也
2�����、要引起我們的重視�。不久前,在中信網(wǎng)絡(luò)科技股份有限公司組織的“金融IC卡行業(yè)應(yīng)用與移動支付高峰沙龍會”上銀行卡檢測中心安全技術(shù)部總經(jīng)理杜磊分享了目前移動支付存在的風(fēng)險(xiǎn)�,已經(jīng)從技術(shù)上如何去防范。移動支付的安全概述“移動支付作為一種新興的支付方式�����,已成為一種潮流����,但是移動支付存在的安全隱患也要引起我們的重視��,當(dāng)然�,這些安全隱患和風(fēng)險(xiǎn)未必就代表是安全問題。據(jù)安管云開放平臺2013年2月的統(tǒng)計(jì)���,出現(xiàn)了越來越多的手機(jī)病毒和惡意軟件����,例如無提示私自發(fā)送短信,竊取用戶隱私資料����,還有無提示大量流量消耗等問題?����!倍爬?/p>
3���、指出說���,“還有一些內(nèi)置的軟件在用戶不知情的情況下大量吞噬著手機(jī)流量,這些都我們面臨的非?,F(xiàn)實(shí)的問題?��!备鞣N媒體宣傳都在提醒手機(jī)用戶�,手機(jī)不是保險(xiǎn)箱�����,通訊錄里不要暴露家庭信息,防止一旦手機(jī)丟了之后可能會遭到詐騙���。實(shí)際上不需要手機(jī)丟����,我們存儲在手機(jī)上的信息可能早已被惡意軟件竊取�����。一些問卷調(diào)查公司來電��,能夠直呼機(jī)主姓名和工作單位�,他們是如何獲得的?很可能就是手機(jī)里面的一些短信信息���、文件信息以及通訊錄信息被非法竊取了����。例如通過短信信息了解一個人的消費(fèi)習(xí)慣�、工作狀況以及家庭狀況�����,為某些利益鏈服務(wù)���。所以說手機(jī)
4�、本身它沒有太多的安全防護(hù),給我們帶來很大的安全隱患����。所以,我們在移動支付里�����,在手機(jī)銀行里�,把手機(jī)作為交易工具的時候,應(yīng)該默認(rèn)手機(jī)是不安全的���,再對整個交易流程進(jìn)行安全設(shè)計(jì)和優(yōu)化���,才能保證移動支付以及手機(jī)銀行交易的安全性。分析移動支付的交易環(huán)節(jié)����,首先是通過手機(jī)的終端采集交易數(shù)據(jù),例如借助個人支付終端做身份認(rèn)證�����,,交易信息傳輸?shù)揭苿舆\(yùn)營商��,再到移動支付后臺�����,在交易的每個節(jié)點(diǎn)都要考慮到安全風(fēng)險(xiǎn)�����。做近場交易的時候會用到受理終端�����,終端安全和收單系統(tǒng)的安全性也同樣要考慮�,如果每一個節(jié)點(diǎn)的安全性都保證了,再保證整
5����、個流程和業(yè)務(wù)流程的安全性��,我們說這個過程就是可控的�����。杜磊回顧和分析了交易中涉及到的一些工具和對應(yīng)的安全風(fēng)險(xiǎn),以及如何防范這些風(fēng)險(xiǎn)���?“移動支付關(guān)注的要點(diǎn)��,主要是防竊取��、防篡改�、防重放�、防偽造。尤其交易的篡改����、偽造、重放是經(jīng)常出現(xiàn)的����,移動支付中也經(jīng)常出現(xiàn),交易報(bào)文中沒有更多隨機(jī)成分的時候就會出現(xiàn)重放以及偽造交易情況的存在�。”目前為了保障金融交易的安全性��,金融行業(yè)也制定了一些相關(guān)標(biāo)準(zhǔn)��。《中國金融移動支付技術(shù)標(biāo)準(zhǔn)》已經(jīng)頒布��,銀行卡檢測中心負(fù)責(zé)牽頭撰寫了技術(shù)保障部分的檢測標(biāo)準(zhǔn)�,其中結(jié)合了多年來對金融行業(yè)安全
6、風(fēng)險(xiǎn)和經(jīng)驗(yàn)的匯總�����。另外���,在人民銀行的組織下歷時三年才完成的《網(wǎng)上銀行信息系統(tǒng)安全通用規(guī)范》中也對移動支付��、電子支付的安全提出了安全要求��。移動支付模型與風(fēng)險(xiǎn)分析杜磊梳理了十幾年來出現(xiàn)的幾種移動支付方式����,并分析了其中存在的風(fēng)險(xiǎn):從2000年到2013年���,先后出現(xiàn)SMS短信支付����,IVR(語音)的交互����,STK支付方式,WAP/WEB���,無智能卡的客戶端遠(yuǎn)程支付����,后來又出現(xiàn)了基于智能卡的客戶端遠(yuǎn)程支付�,還有像“迷你付”這種個人移動支付終端配合交易認(rèn)證來完成交易和防止銀行卡的犯罪,及智能卡的近場支付等等���。1.短
7�、信支付短信支付會有轉(zhuǎn)入�、轉(zhuǎn)出、卡號�、收款人信息、金額���、密碼等等信息���,這就存在安全風(fēng)險(xiǎn),這種交易不僅僅有可能被竊取��,而且容易被篡改、偽造�����。這種支付安全風(fēng)險(xiǎn)較大����,因?yàn)闆]有經(jīng)過加密,是明文進(jìn)行數(shù)據(jù)交互��,所有轉(zhuǎn)入轉(zhuǎn)出的卡號��、金額等等都暴露在明文上�。2.STK這種方式雖然會采用加密算法,但是交易過程中有可能需要轉(zhuǎn)加密����,在轉(zhuǎn)加密的環(huán)節(jié)就有可能存在安全隱患,這是我們關(guān)注的要點(diǎn)���。而且這種交易因?yàn)樵谑謾C(jī)上完成���,沒有任何的額外認(rèn)證介質(zhì),那么這個手機(jī)本身是能夠被遠(yuǎn)程控制的��,它能夠被遠(yuǎn)程控制來完成一筆交易。我們對一些手機(jī)
8�����、銀行的移動支付做安全攻擊的實(shí)驗(yàn)���,在手機(jī)上種植木馬,手機(jī)的所有短信能夠被獲取�。同時我們看到網(wǎng)上銀行安全防護(hù)措施的一種是動態(tài)口令發(fā)到手機(jī)里,這種機(jī)制作為網(wǎng)上銀行來講是可以作為比較有效的安全防護(hù)措施�,但是作為手機(jī)銀行或者是移動支付、遠(yuǎn)程支付來講就大打折扣����。因?yàn)檫@種短信是發(fā)到手機(jī)上,通過木馬程序可以直接分析出短信信息�,這同使用靜態(tài)密碼沒有什么太大的區(qū)別,木馬完全可以做到���。3.IVR通過提供交易身份驗(yàn)證信息����,卡號���、手機(jī)號����、姓名等,上送信息�,發(fā)起交易。曾經(jīng)有一種詐騙�����,通過電話的免提來輸入銀行卡
