移動(dòng)支付的應(yīng)用安全性檢測(cè)

1、移動(dòng)支付的應(yīng)用安全性檢測(cè) 國(guó)家應(yīng)用軟件產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心 鄭麗娜 王威    摘要 隨著3G時(shí)代的到來(lái)，移動(dòng)支付業(yè)務(wù)得到迅速發(fā)展，而安全問(wèn)題一直用戶關(guān)心的首要問(wèn)題，本文從移動(dòng)支付的概念、類型、技術(shù)出發(fā)，對(duì)移動(dòng)支付存在的安全問(wèn)題，以及當(dāng)前采用的安全機(jī)制進(jìn)行展開(kāi)，并就移動(dòng)支付應(yīng)用安全性的檢測(cè)方法和檢測(cè)內(nèi)容進(jìn)行了初步探討。    關(guān)鍵詞 移動(dòng)支付，手機(jī)支付，應(yīng)用安全檢測(cè)     1、移動(dòng)支付的概念     移動(dòng)支付是移動(dòng)運(yùn)營(yíng)商和金

2、融機(jī)構(gòu)共同推出的能夠?qū)崿F(xiàn)遠(yuǎn)程在線支付的移動(dòng)增值業(yè)務(wù)。移動(dòng)支付狹義上是指使用手機(jī)作為終端的通信工具，廣義上是指交易雙方為了某種貨物或者服務(wù)，使用移動(dòng)終端設(shè)備為載體，通過(guò)移動(dòng)通信網(wǎng)絡(luò)實(shí)現(xiàn)的商業(yè)交易。移動(dòng)支付所使用的移動(dòng)終端可以是手機(jī)、PDA、移動(dòng)PC 等，其手段包括手機(jī)短信，互動(dòng)式語(yǔ)音應(yīng)答、WAP等多種方式。     具體來(lái)說(shuō)，移動(dòng)支付就是將移動(dòng)網(wǎng)絡(luò)與金融系統(tǒng)相結(jié)合，將移動(dòng)通信網(wǎng)絡(luò)作為實(shí)現(xiàn)移動(dòng)支付的工具和手段，為客戶提供商品交易、繳費(fèi)、銀行賬號(hào)管理等金融服務(wù)。它采用手機(jī)等作為支付工具，客戶將消費(fèi)的金額從手機(jī)費(fèi)中扣除，服務(wù)提供方則通過(guò)與移動(dòng)運(yùn)營(yíng)商的結(jié)算來(lái)獲得收

3、益。移動(dòng)支付系統(tǒng)為每個(gè)手機(jī)客戶建立一個(gè)與手機(jī)號(hào)碼綁定的支付賬戶，客戶通過(guò)手機(jī)即可進(jìn)行現(xiàn)金的劃轉(zhuǎn)和支付。     在移動(dòng)支付產(chǎn)業(yè)中，其整個(gè)系統(tǒng)由消費(fèi)者、商業(yè)機(jī)構(gòu)、支付平臺(tái)運(yùn)營(yíng)商、銀行、移動(dòng)運(yùn)營(yíng)商等多個(gè)環(huán)節(jié)組成，主要原理是在移動(dòng)運(yùn)營(yíng)支撐平臺(tái)上構(gòu)建一個(gè)移動(dòng)數(shù)據(jù)增值業(yè)務(wù)，把移動(dòng)客戶的手機(jī)號(hào)碼當(dāng)作關(guān)聯(lián)支付賬戶，使移動(dòng)客戶可以通過(guò)手機(jī)進(jìn)行身份確認(rèn)和交易活動(dòng)。    2、移動(dòng)支付的類型     按照不同的標(biāo)準(zhǔn)，移動(dòng)支付可以分為不同的類型。     2.1按交易

4、金額分     根據(jù)支付金額的大小，可以將移動(dòng)支付分為小額支付和大額支付。小額支付指運(yùn)營(yíng)商與銀行合作，建立預(yù)存費(fèi)用的賬戶，用戶通過(guò)移動(dòng)通信的平臺(tái)發(fā)出劃賬指令代繳費(fèi)用；大額支付指把用戶銀行賬戶和手機(jī)號(hào)碼進(jìn)行綁定，用戶通過(guò)多種方式對(duì)與手機(jī)捆綁的銀行卡進(jìn)行交易操作。     2.2 按照傳輸方式分     按照傳輸方式的不同，移動(dòng)支付可以分為近場(chǎng)支付和遠(yuǎn)程支付。     近場(chǎng)支付不通過(guò)移動(dòng)網(wǎng)絡(luò)，使用近距離無(wú)線通信技術(shù)進(jìn)行支付，包括接

5、觸式支付和非接觸式支付。消費(fèi)者在購(gòu)買商品或服務(wù)時(shí)，即時(shí)通過(guò)移動(dòng)設(shè)備向商家進(jìn)行支付，支付的處理在現(xiàn)場(chǎng)進(jìn)行，支付完畢，消費(fèi)者即可得到商品或服務(wù)。    遠(yuǎn)程支付是指通過(guò)無(wú)線移動(dòng)網(wǎng)絡(luò)進(jìn)行接入的服務(wù)。消費(fèi)者在購(gòu)買商品時(shí)，可以用短信、WAP或客戶端將支付信息傳遞到支付平臺(tái)的后臺(tái)服務(wù)器，支付平臺(tái)在銀行賬戶中扣除相應(yīng)的費(fèi)用，并且向商家發(fā)出支付確認(rèn)信息，商家再向使用者確認(rèn)，完成交易支付。     2.3 按支付時(shí)間分     按支付時(shí)間分，可分為預(yù)付費(fèi)（存儲(chǔ)卡）、后付費(fèi)（信用卡）和

6、交易當(dāng)時(shí)支付（借記卡）。     2.4 按接入方式分     移動(dòng)支付接入方式主要有五種：第一種是利用短信（STK）方式；第二種是語(yǔ)音方式IVR（Interactive Voice Response 交互式語(yǔ)音應(yīng)答）；第三種是利用USSD 方式；第四種是使用WAP協(xié)議實(shí)現(xiàn)；第五種是利用WEB 方式實(shí)現(xiàn)。目前主要采用的是語(yǔ)音、STK 和WEB方式實(shí)現(xiàn)。    3、移動(dòng)支付的技術(shù)     近場(chǎng)支付和遠(yuǎn)程支付的實(shí)現(xiàn)采用了不同的技術(shù)方式，用以

7、滿足其不同支付地點(diǎn)差異的安全需求。     3.1近場(chǎng)支付     近場(chǎng)支付是利用射頻、紅外或者藍(lán)牙等技術(shù)，實(shí)現(xiàn)手機(jī)與其他智能終端的通訊與信息交換，進(jìn)而完成交易支付，具體實(shí)現(xiàn)技術(shù)如下：     （1）紅外(IR)與藍(lán)牙：都是通過(guò)無(wú)線通訊進(jìn)行數(shù)據(jù)傳輸，兩者的終端普及率均較高。前者的成本低，不易被干擾；后者的傳輸距離較遠(yuǎn)，且信號(hào)沒(méi)有方向性。     （2）無(wú)線射頻識(shí)別技術(shù)(RFID)：它通過(guò)射頻信號(hào)自動(dòng)識(shí)別目標(biāo)對(duì)象并獲取數(shù)據(jù)。RFID技術(shù)安

8、全性高、速度快且存儲(chǔ)量大，但其基礎(chǔ)設(shè)施投入大、成本高、終端要求較高。     3.2遠(yuǎn)程支付     遠(yuǎn)程支付是利用無(wú)線網(wǎng)絡(luò)，通過(guò)手機(jī)向提供某種商品（或服務(wù)）的商家發(fā)出交易申請(qǐng)，并完成交易支付，具體實(shí)現(xiàn)技術(shù)如下：     （1）交互語(yǔ)音應(yīng)答技術(shù)（IVR）：用手機(jī)撥打電話實(shí)現(xiàn)支付過(guò)程。它的穩(wěn)定性和實(shí)時(shí)性較好，但由于操作復(fù)雜導(dǎo)致耗時(shí)較長(zhǎng)，通訊費(fèi)用較高，安全性能不佳，僅適用于小額支付。     （2）短消息服務(wù)技術(shù)（SMS）：通過(guò)發(fā)送短信完成

9、支付。這種方式的用戶群基礎(chǔ)廣泛，費(fèi)用低，易于操作，普通手機(jī)均可實(shí)現(xiàn)，但是安全性差，不能確定短信發(fā)送及接收的響應(yīng)時(shí)間。     （3）非結(jié)構(gòu)化補(bǔ)充數(shù)據(jù)業(yè)務(wù)技術(shù)（USSD）：通信網(wǎng)絡(luò)在用戶使用手機(jī)向網(wǎng)絡(luò)發(fā)送事先預(yù)定的數(shù)字或符號(hào)后，為用戶提供相應(yīng)的服務(wù)。該技術(shù)操作簡(jiǎn)單，交易成本低、具有較高的安全性，但對(duì)終端要求較高，需要特定終端支持。     （4）無(wú)線應(yīng)用協(xié)議技術(shù)（WAP）：利用手機(jī)連接Internet完成支付。該方法交互性強(qiáng)，但由于網(wǎng)絡(luò)不穩(wěn)定，造成指令的響應(yīng)速度不能確定，使用費(fèi)用較高，且需要終端支持。 &#

10、160;   （5）K.Java/Brew（J2ME/無(wú)線二進(jìn)制運(yùn)行環(huán)境）：通過(guò)下載KJava/Brew連接Internet。它可移植性強(qiáng)、消耗網(wǎng)絡(luò)資源低、服務(wù)器負(fù)載低，界面易被用戶接受，但需要終端設(shè)備支持。    四、移動(dòng)支付的安全問(wèn)題     不論移動(dòng)支付采用何種技術(shù)實(shí)現(xiàn)，其安全性都是影響支付業(yè)務(wù)能否發(fā)展的關(guān)鍵因素。移動(dòng)支付的安全性涉及用戶信息的保密、用戶資金和支付信息的安全等問(wèn)題，其面臨的安全風(fēng)險(xiǎn)主要來(lái)自于無(wú)線鏈路、服務(wù)網(wǎng)絡(luò)和終端。具體而言，主要包括：    

11、 4.1竊聽(tīng)     竊聽(tīng)是最簡(jiǎn)單的獲取非加密網(wǎng)絡(luò)信息的形式，這種方式可以同樣應(yīng)用于無(wú)線網(wǎng)絡(luò)。由于無(wú)線網(wǎng)絡(luò)本身的開(kāi)放性，以及短消息等數(shù)據(jù)一般都是明文傳輸，這使得通過(guò)無(wú)線空中接口進(jìn)行竊聽(tīng)成為可能。攻擊者通過(guò)竊聽(tīng)有可能了解支付流程，獲取用戶的隱私信息，甚至破解支付協(xié)議中的秘密信息。     4.2 重傳交易信息     攻擊者截獲傳輸中的交易信息，并把交易信息多次傳送給服務(wù)網(wǎng)絡(luò)。多次重復(fù)傳送的信息有可能給支付方或接收方帶來(lái)?yè)p失。   

12、60; 4.3 終端竊取與假冒     攻擊者有可能通過(guò)竊取移動(dòng)終端或SIM卡來(lái)假冒合法用戶，從而非法參與支付活動(dòng)，給系統(tǒng)和交易雙方造成損失。通過(guò)本地和遠(yuǎn)程寫(xiě)卡方式，攻擊者還有可能修改、插入或刪除存儲(chǔ)在終端上的應(yīng)用軟件和數(shù)據(jù)，從而破壞終端的物理或邏輯控制。     4.4 中間人攻擊     如果攻擊者設(shè)法使用戶和服務(wù)提供商間的通信變成由攻擊者轉(zhuǎn)發(fā)，那么該中間人可完全控制移動(dòng)支付的過(guò)程，并從中非法牟利。     4.

13、5 交易抵賴     當(dāng)移動(dòng)支付成為普遍行為時(shí)，就可能存在支付欺詐問(wèn)題。用戶可能對(duì)發(fā)出的支付行為進(jìn)行否認(rèn)，也可能對(duì)花費(fèi)的費(fèi)用及業(yè)務(wù)資料來(lái)源進(jìn)行否認(rèn)。隨著開(kāi)放程度的加強(qiáng)，來(lái)自服務(wù)提供商的抵賴可能性也會(huì)有所增加。     4.6 拒絕服務(wù)     破壞移動(dòng)支付服務(wù)網(wǎng)絡(luò)，使得系統(tǒng)喪失服務(wù)功能，影響移動(dòng)支付的正常運(yùn)行，阻止用戶發(fā)起或接受相關(guān)的支付行為。    5、移動(dòng)支付的安全機(jī)制     為解

14、決移動(dòng)支付面臨的安全問(wèn)題，從管理上來(lái)說(shuō)，一般采用限額控制和簽約機(jī)制；從技術(shù)上來(lái)說(shuō)，一般采用訪問(wèn)控制技術(shù)使支付中的交易信息不被非法用戶獲取和篡改，采用身份認(rèn)證技術(shù)實(shí)現(xiàn)對(duì)交易各方的身份認(rèn)證，采用數(shù)字簽名技術(shù)實(shí)現(xiàn)信息的保密等等。     5.1 用戶身份認(rèn)證與支付確認(rèn)機(jī)制     在支付過(guò)程中，移動(dòng)支付系統(tǒng)扣款前向用戶再次確認(rèn)商品及支付金額，并索取支付密碼，完成對(duì)支付內(nèi)容的合法性確認(rèn)和對(duì)用戶身份的驗(yàn)證，用戶從移動(dòng)終端對(duì)交易內(nèi)容和金額進(jìn)行認(rèn)可，并輸入正確密碼，支付才可生效。這樣通過(guò)支付系統(tǒng)和用戶之間的確認(rèn)機(jī)制，可

15、以防止可能存在的欺詐行為。支付系統(tǒng)在交易確認(rèn)后向用戶下發(fā)確認(rèn)通知消息，進(jìn)行交易通知和提示，增加交易透明性，即便出現(xiàn)欺詐，用戶也可以及時(shí)發(fā)現(xiàn)并提起投訴。     5.2 WAP傳輸?shù)陌踩珯C(jī)制     對(duì)于移動(dòng)支付系統(tǒng)與用戶之間的WAP交互，由于目前WAP網(wǎng)關(guān)都支持WAP2.0，因此采用端到端的安全模式。在移動(dòng)用戶終端與移動(dòng)支付系統(tǒng)之間直接建立TLS的安全連接，交易事務(wù)鏈的兩端進(jìn)行數(shù)據(jù)加密處理，中間環(huán)節(jié)不解密，全部傳輸過(guò)程為密文傳送。     5.3 短消息傳輸?shù)陌踩珯C(jī)

16、制     由于支付系統(tǒng)發(fā)出的短信確認(rèn)消息是在封閉的移動(dòng)網(wǎng)絡(luò)上進(jìn)行傳輸?shù)?，其攜帶的確認(rèn)隨機(jī)數(shù)其他人無(wú)法獲取，因此依靠移動(dòng)網(wǎng)絡(luò)的安全即可保證支付信息的安全問(wèn)題。     5.4 數(shù)字簽名機(jī)制     通過(guò)數(shù)字簽名，移動(dòng)支付系統(tǒng)一方面實(shí)現(xiàn)身份驗(yàn)證，另一方面可以保證商業(yè)機(jī)構(gòu)、支付平臺(tái)運(yùn)營(yíng)商、支付用戶、銀行等對(duì)支付行為的不可否認(rèn)性，避免各實(shí)體拒絕承認(rèn)交易而使運(yùn)營(yíng)商面臨被欺騙的風(fēng)險(xiǎn)。 數(shù)字簽名技術(shù)需要CA證書(shū)權(quán)威向移動(dòng)支付中心、商業(yè)機(jī)構(gòu)、支付平臺(tái)運(yùn)營(yíng)商、支付用戶終端

17、發(fā)放數(shù)字證書(shū)、CA證書(shū)權(quán)威作為驗(yàn)證數(shù)字證書(shū)的可信實(shí)體。此外對(duì)于終端實(shí)現(xiàn)數(shù)字簽名技術(shù)，需要終端的WIM卡的支持。     5.5 網(wǎng)絡(luò)安全機(jī)制     為了保證交易過(guò)程中數(shù)據(jù)在網(wǎng)絡(luò)傳輸中的安全，移動(dòng)支付系統(tǒng)須建立完善的網(wǎng)絡(luò)安全機(jī)制，包括防火墻系統(tǒng)、病毒防范系統(tǒng)等；系統(tǒng)采用雙網(wǎng)的組網(wǎng)結(jié)構(gòu)，防止單點(diǎn)設(shè)備故障和鏈路故障，保證整個(gè)網(wǎng)絡(luò)的暢通；系統(tǒng)硬件雙備份，具有冗余性和負(fù)載分擔(dān)機(jī)制，及數(shù)據(jù)傳輸安全機(jī)制；對(duì)接入到系統(tǒng)的各銀行、移動(dòng)通信網(wǎng)元等實(shí)體作網(wǎng)段隔離，保證不同網(wǎng)絡(luò)因都與移動(dòng)支付系統(tǒng)相連而互通。 

18、0;   5.6 交易安全機(jī)制     移動(dòng)支付業(yè)務(wù)開(kāi)戶流程確保對(duì)用戶身份的認(rèn)證，建立用戶身份與手機(jī)號(hào)碼的綁定關(guān)系；移動(dòng)運(yùn)營(yíng)商確保對(duì)用戶手機(jī)的認(rèn)證，及對(duì)訂購(gòu)關(guān)系的合法性鑒權(quán)，對(duì)于不完整的交易，要求商業(yè)機(jī)構(gòu)（或支付平臺(tái)運(yùn)營(yíng)商）發(fā)出沖正請(qǐng)求，取消不完整的交易操作。     5.7 應(yīng)用系統(tǒng)、數(shù)據(jù)安全備份     采用應(yīng)用系統(tǒng)雙機(jī)熱備、異地備份技術(shù)，保障系統(tǒng)對(duì)外服務(wù)的不間斷性；數(shù)據(jù)庫(kù)實(shí)時(shí)雙備份的方式，保障交易記錄的不可缺失性。 &#

19、160;   5.8 其他安全機(jī)制     為防止非授權(quán)者對(duì)主機(jī)的入侵，將移動(dòng)支付中心部署在移動(dòng)運(yùn)營(yíng)商網(wǎng)絡(luò)的基于IP的防火墻后面；實(shí)現(xiàn)控制機(jī)制，設(shè)置支付限額；實(shí)現(xiàn)對(duì)賬號(hào)的安全管理；實(shí)現(xiàn)對(duì)加密算法、密鑰長(zhǎng)度、密鑰安全交換、密鑰更新時(shí)間、簽名算法等的安全模塊進(jìn)行管理；實(shí)現(xiàn)交易記錄的安全審計(jì)跟蹤，這樣在發(fā)生糾紛的時(shí)候，可以提供完整、準(zhǔn)確和可信的交易記錄進(jìn)行核查。    6、移動(dòng)支付的應(yīng)用安全性檢測(cè)     為了確保移動(dòng)支付系統(tǒng)的安全運(yùn)行，有必要對(duì)其進(jìn)行全面的安全

20、檢測(cè)，其中包括對(duì)移動(dòng)支付系統(tǒng)進(jìn)行應(yīng)用安全性檢測(cè)，即檢測(cè)系統(tǒng)對(duì)非法訪問(wèn)和操作的控制能力。下面就應(yīng)用安全性檢測(cè)方面進(jìn)行詳細(xì)討論。     6.1 檢測(cè)方式     移動(dòng)支付的應(yīng)用安全性檢測(cè)主要采取人工訪談、文檔審查、現(xiàn)場(chǎng)測(cè)試、工具檢查和滲透測(cè)試等方式進(jìn)行。     （1）人工訪談。分別與移動(dòng)支付系統(tǒng)技術(shù)負(fù)責(zé)人和系統(tǒng)相關(guān)用戶，針對(duì)系統(tǒng)功能和運(yùn)行情況進(jìn)行訪談，初步了解應(yīng)用系統(tǒng)架構(gòu)、功能模塊、最終用戶，以及重要數(shù)據(jù)、系統(tǒng)運(yùn)行維護(hù)記錄的存放等。   

21、;  （2）文檔審查。審查系統(tǒng)開(kāi)發(fā)文檔、用戶文檔和管理文檔，以便對(duì)移動(dòng)支付系統(tǒng)有更深入的了解。     （3）現(xiàn)場(chǎng)測(cè)試。以管理員的身份登錄系統(tǒng)，查看用戶登錄賬戶、認(rèn)證功能、系統(tǒng)管理、安全審計(jì)等方面是存在安全方面的問(wèn)題。     （4）工具檢查。通過(guò)漏洞掃描工具、安全檢查工具對(duì)系統(tǒng)進(jìn)行遠(yuǎn)程檢測(cè)和本地檢測(cè)，以發(fā)現(xiàn)系統(tǒng)中存在的漏洞和安全隱患，如存在SQL注入、跨站腳本攻擊等漏洞。     （5）滲透測(cè)試。模擬互聯(lián)網(wǎng)和局域網(wǎng)用戶通過(guò)漏洞掃描、權(quán)限提升等攻擊手段，對(duì)網(wǎng)站和業(yè)務(wù)

22、系統(tǒng)實(shí)施遠(yuǎn)程、非破壞性安全檢測(cè)，以發(fā)現(xiàn)系統(tǒng)可能被惡意利用的薄弱環(huán)節(jié)。     6.2 檢測(cè)內(nèi)容     依據(jù)GB/T 22239-2008信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求，針對(duì)常見(jiàn)的信息系統(tǒng)，應(yīng)用安全從身份鑒別、訪問(wèn)控制、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)和資源控制等方面來(lái)檢測(cè)。     而針對(duì)新興的移動(dòng)支付而言，除了要嚴(yán)格檢測(cè)上述方面以外，還需要進(jìn)一步對(duì)如下幾個(gè)方面進(jìn)行檢測(cè)，如：     （1）WEB和WAP頁(yè)面安全：檢測(cè)系統(tǒng)是否采用登錄防窮舉措施，是否提供安全控件、數(shù)字證書(shū)和獨(dú)立的支付密碼，頁(yè)面是否采取SQL注入、跨站腳本攻擊、源代碼暴露和黑客掛馬的防范，以及防篡改和防釣魚(yú)措施；     （2）編碼安全：對(duì)系統(tǒng)源代碼和插件是否進(jìn)行了安全性審查，檢查其審查報(bào)告，是否具有編碼規(guī)范約束制度，是否對(duì)源代碼和版本進(jìn)行有效管理，檢查其管理制度；    （3）電子認(rèn)證應(yīng)用：對(duì)內(nèi)對(duì)外業(yè)務(wù)和關(guān)鍵業(yè)務(wù)是否使用第三方電子認(rèn)證機(jī)構(gòu)證書(shū)，是否使用有效的電子簽名，是否對(duì)服務(wù)器證書(shū)私鑰進(jìn)行有效保護(hù)；