邹清淼 黄子晨 操婉婷 梅恒武 赖辉

[提要] 移动支付是指用户使用移动设备的支付，以换取资金来支付商品或服务。本课题主要围绕移动支付方面的路径以及运行特点对其安全性进行研究，探索移动支付安全性问题的现存机制与体系。研究认为：为了解决移动支付的安全问题，需要吸收传统电子商务的安全方法，改进现有移动终端的设计，加强移动终端本身的安全性，同时还应加强通信网络的信息安全，防止通过无线网络盗取用户信息，而且要对用户身份认证与支付确认的机制进行提升。

关键词：移动支付;支付安全;网络安全

本文获得江西财经大学科研课题（编号：2019061514204151）资助

中图分类号：F83 文献标识码：A

收录日期：2020年2月5日

一、移动支付存在的安全问题

（一）研究背景。中国的移动支付发展迅猛，目前阿里巴巴的支付宝，腾讯的微信发展迅速，成为了两大巨头。由于支付宝2014年春节红包和微信支付2015年的春晚红包大战对于我国移动支付起了很积极的作用，中国目前已经成为移动支付应用的大国，但是因此产生的各类支付问题也频频发生。

（二）移动支付中的移动终端和无限网的安全问题。移动支付的终端包括用户身份、账户信息和认证密钥的丢失、设备的攻击和数据的破坏等不安全因素。对于移动终端，例如黑客很容易通过手机的移动支付应用程序盗取用户的各类信息和用户的资金，手机等移动终端具有各类的安全漏洞，因为用户的智能手机一般没有高级加密的芯片和相关保护硬件。

无线网络的安全性其实是比较低的，尤其是公共的免费wifi风险程度更高。如果在钓鱼网站上安装了公共wifi，或者用户连接到一个创建了一个类似于公共wifi的假名的黑客，就会有很大概率被黑客获取用户的账户和支付密码。

（三）法律体系和国家信用制度对移动支付安全的影响。我国移动支付法律法规很早被利用，但成熟的法律保护体系并没完全被落实。我国国内的立法没有特别在移动支付的领域进行专门的法律规范，以保护中国的移动信息安全。为了让移动支付有专门单独的保护，而且设立具体的信息保护，可以借鉴国外有关移动支付的相关法律，完善我国现有的法律。有关社会信用制度体系建设与经济发展和我国社会发展的矛盾依然显著，因此加强国家信用制度对移动支付的保障也很重要。

二、移动支付安全优化对策

（一）加密技术的提升

1、动态密码口令。动态密码是根据特定算法生成不可预测的随机数字组合，其基本思想是在每次身份认证中改变数字密码组合，定时改变随机的数字组合，每次形成的认证信息是不同的。动态口令认证方法一般是首先分配一个账号给每位用户，使每个账号和服务器有相同的动态认证机制，即秘密认证密语简称SSP。这种动态认证机制包括私有密钥、迭代值和通行短语等。用户和其服务器的身份认证中使用动态口令，每个口令每过一段时间会自动更新，且每次产生的口令用户只使用一次，用户输入口令，服务器则接受与动态验证机制对比，相同则通过验证，反之则不通过。由于动态密码口令的随机多变性，加上可以对密码进行复杂的叠加，因此动态密码保护越来越受欢迎，将此用于移动支付交易确实比静态传统密码安全。动态密码口令具有容易维护、扩展性强、安全性高等特点。

2、椭圆曲线密码。由于网络上的身份认证是依靠用户的登录账号数据、密码或者生物特征比如指纹等信息来实现认证的，但在一定程度上存在安全隐患。加密体系在身份认证的过程中起到决定性作用，椭圆曲线密码是关键性的认证系统，用它来完成身份认证对于安全性的提高不言而喻。在椭圆曲线密码的身份认证中，首先在认证中进行注册，成功后可以得到系统发放的CA认证签名的公钥和私钥。公钥的意思是公开的数据信息，私钥即私有的信息，只有用户自己知道并保存。由于在这个认证系统中，分为各种模块如认证模块、代理模块、加密模块，对于每个模块都进行安全性的细分并提高，从而使整体的安全性提升。

系统模型主要工作流程如下：首先在系统数据库存放用户信息;客户端代理会从应用程序向登录认证提出申请;登录认证会检查用户身份信息，并且发放应用服务器的Ticket;代理服务器会读取用户从客户端请求访问的消息数据;在访问控制表中进行查看并给予应有的权限访问应用服务器;然后给予用户应有的连接权限，建立加密通道，用户与经营者双方即可交换数据，进行安全交易。

（二）加强移动终端的安全性。提高移动支付各类终端的安全性能，首先需要对移动支付的发展现状进行分析，然后对各类智能终端进行市场分析和技术分析，使用现代化的互联网技术制定统一的安全标准，在不同的移动终端处理过程中，应该不同情况不同分析，对于终端进行相应的测试并且进行加补丁改正。

还有包括目前移动支付的安全防护手段较为简陋，支付工具权限过高等安全问题，吸取国外的各种方法，银行的加密方式比如U盾、可变密码器等设计思想，在科技高速发展的現在，结合生物识别、二维码技术等简单高效的方式，加强移动支付的各个方面设计，诸如面部动态识别手机绑定、已经实行的指纹技术提升、三种基于多因素认证的移动支付等。

（三）用户身份认证与支付确认的机制

1、静态口令认证技术。静态口令的认证机制简单易做，但是由于是不变的密码和用户名，因此使用自己常见的生日等凑整获取的一段字符当作密码容易造成静态密码的泄露。对静态密码口令长度，覆盖的内容的限制，包括密码的复杂程度，找回密码机制的设立等来提升安全性。但是这样的方法可以提高静态密码的复杂度，不能从根源处解决，高级的黑客很容易盗取这些静态密码，造成危害。所以更高的加密需要在重要的移动支付上实行。

2、动态口令认证技术。一次性口令认证技术，同时又名为动态口令认证技术。以下是简单的两种技术：（1）口令表认证技术。展开口令表认证技术的解释，简单而言，即用户一旦登录，程序会自动比较输入的私密密码，同样地，其指针中所指的密码也将会自动进行比较。如果正确，用户即可进入系统，并同时会指到表里的下个口令。后台机器默认给此表设定一个指针，以达到确定用户下次登录时依然能够使用密码的功能，并且需要使用者给一张标有一连串口令的表存储于后台之中。从而，使用密码表验证技术，在黑客知道使用此用户登录密码的情况下，也无法进入系统。而用户的口令表却保存完好。（2）双因子认证技术。将散列函数得到动态口令的思想融入，即用户每次登录时使用的密码都是动态且可更改的。一次性密码中一个是使用者的私密钥匙，另一个是变化因素，这是两个各具特色的双运算因子。再者，一次性密码具有可变性，变动因子为时间或事件。其将数字排序的列数变为密码合成系统的操作因子，用户的私密钥匙一并生成动态密码。时间一致性大致以一分钟作为改变单位;然而，对于同步事件，这里的同步表明，其密码卡在每一次的验证中都与后台维持同样的事件顺序。在应答式中的变动因子中取的是后台随机取的数列，所以称为挑战应答式，其每一随机数都是唯一且不被重用的，连生成位置都在同一个地方。

三、移动支付安全前景

（一）移动支付现状与趋势。由于现在智能电子产品的普及，移动支付高速发展，移动支付的方式也从传统的金钱到如今的店内在线支付、NFC等多元化的支付。不久的将来，有各类的生物识别和多维交联的创新支付认证技术等广泛应用，移动支付发展将进入生物识别的时代。支付产品更加安全、智能化。大数据、云计算、区块链等新兴技术的发展会促进移动支付更好地发展，真正的大数据时代到来！

（二）移动支付思考与建议。移动支付依旧不断地发展，如何建设完好的法律体系，降低风险的概率，加大对移动支付安全技术的监督与防范，对于用户消费者的各种权益的保护等是应当重视的问题。完善的技术风险防范制度，加强安全技术监督。各类经营者应该提高移动支付的安全技术水平，加强对企业的内部管理，减少移动支付安全漏洞的出现。建议把监管沙盒模式引入移动支付的领域，对移动支付的各类产品进行测试调整。

主要参考文献：

[1]范斯琪.第三方移动支付平台的风险研究[J].时代金融，2019（18）.

[2]张猛，尹其其.静态口令认证技术研究进展[J].网络空间安全，2018.9（7）.

[3]郭岱乔.关于移动支付安全性的思考[J].民营科技，2017（7）.

[4]王子青.移动支付系统加密认证算法及安全协议的研究与实现[D].南京邮电大学，2016.