#电子商务环境下移动支付的安全性分析

电子商务环境下移动支付的安全性分析
2009.2.28 21:23 中国移动手机支付业务网站
电子商务环境下的移动支付是指单位或个人通过移动设备，直接或间接向银行业金融机构发出支付指令，实现货币支付和资金转移的行为移动支付所使用的移动设备可以是手机、PDA、移动PC等。

从移动支付的实质上讲，移动支付就是将移动网络和金融系统结合，把移动网络作为实现移动支付的工具和手段，为用户提供货币支付、缴费等金融服务的业务。

移动支付通常有以下几种实现方式:(1)短信(SMS)支付，终端用户通过发送短消息的形式请求服务内容，从用户的话费中扣除费用，通常只适合于小额支付。

(2)WAP(Wireless Application Protocol)，终端用户通过访问WAP站点，进行简单的金融业务。

(3)USSD(Unstructured Supplementary ServiceData，非结构化补充数据业务)，是一种基于GSM网络的新型交互式数据业务，如证券交易、移动银行业务。

(4)NFC((Near Field Communication)，是一种短距离的无线连接技术，支付和票务业务是使用最早的NFC业务。

一、移动支付中的安全问题
在整个移动支付的过程中涉及到的支付参和者包括：消费用户、商户用户、移动运营商、第三方服务提供商、银行。

消费用户和商户用户是系统的服务对象，移动运营商提供网络支持，银行方提供银行相关服务，第三方服务提供商提供支付平台服务，通过各方的结合以实现业务。

移动支付需要考虑以下安全问题：(1)移动终端接入支付平台的安全，包括用户注册时，签约信息的安全传递，以及用户通过移动终端登录系统，其间传递的数据如签约用户名、签约密码等的安全性。

(2) 支付平台内部数据传输的安全，即支付平台内部各模块之间数据传输的安全性。

(3)支付平台数据存储的安全，涉及到签约用户的机密性的银行卡账户、密码、签约用户名、签约密码等的安全性。

二、移动支付的安全认证技术
当前，移动设备的大量普及为移动支付的实现提供了必要的条件，但也存在许多问题制约着移动支付的实施，如移动终端的计算环境和通信环境都非常有限，这就需要对相应的安全认证做一些特殊要求。

1.WPKI安全标准概况
WPKI (Wireless PKI)是有线PKI的一种扩展，它将互联网电子商务中PKI的安全机制引入到移动电子商务中。

WPKI采用公钥基础设施、证书管理策略、软件和硬件等技术，有效地建立了安全和值得信赖的无线网络通信环境。

WPKI以WAP的安全机制为基础，通过管理实体间关系、密钥和证书来增强电子商务安全。

WAP安全机制包括WIM(WAP Identity Module，无线使用协议识别模块)、WMLSCrypt(WML Script Crypto API，WML脚本加密接口)、WTLS(Wireless Transport Layer Security，无线传输安全层)和WPKI四个部分。

以上各部
分对实现无线网络使用的安全分别起着不同的作用。

WPKI作为安全基础设施平台，一切基于身份验证的使用都需要WPKI技术的支持，它可和WTLS、TCP/IP相结合，实现身份认证、私钥签名等功能。

WPKI的主要组件包括：终端实体使用程序(EE)、PKI门户(PKI Portal)、认证中心(CA)、目录服务(PKI Directory)、WAP网关，在使用模型中还涉及数据提供服务器等设备，WPKI的基本结构和数据流向如图所示。

在WPKI中，代替RA(Registration Authority)的功能组件是PKI门户(PKI Portal)，它是一个网络服务器，负责把WAP客户的需求转发给PKI中的RA和CA(Certification Authority)。

CA主要负责生成证书、颁发证书和刷新证书等。

WAP Gateway负责处理客户和源服务器之间的协议转换工作。

WTLS是经传统网络的TLS协议改进和优化而得来的，主要保证传输层的安全，WPKI也是对 IETF PKIX标准的优化，使之更适合无线环境。

2.WPKI的加密算法和密钥
WPKI是通过管理实体间关系、密钥和证书来增强电子商务安全的，和WAP安全标准相比，WPKI所采用的ECC(Elliptic Curve Cryptography，椭圆曲线密码)密码系统更适合在无线设备中使用。

同样强度的密钥，ECC的密钥长度(163bit)只是其他方案的六分之一(1024bit)，但163bit的密钥长度对穷举密钥攻击几乎是绝对安全的，因为穷举163bit的密钥个数有1.156×1049个，按每秒钟测试 1亿个密钥计算，也要3.6×1032年！
三、结论
支付手段的电子化和移动化已经成为了不可避免的发展趋势，而移动支付系统的安全性问题又是移动电子商务安全的核心问题。

从技术角度上看，需要将无线通信的安全和其他的安全机制相结合才能满足移动电子商务安全的需要。

标准缺位移动支付陷安全瓶颈
2013-05-14 00:45:27来源: 中国企业报(北京)有0人参和
分享到
随着争议多年的移动支付标准问题尘埃落定，安全问题对行业发展的阻碍日益突出，引起了从芯片、终端到商业银行、支付企业和安全厂商在内整个产业链的广泛关注。

金山安全公司技术总监、助理总裁林凯在接受《中国企业报》记者采访时表示，目前移动支付的安全防控主要是身份认证和通讯加密，支付环境的安全防范比较薄弱，传统的黑名单方式也难以跟上急剧增长的病毒增长，对于潜在的高级持续性攻击（IPT）更是大打折扣，解决这些问题需要包括支付企业、安全厂商在内整个产业链的共同努力和通力合作。

移动支付安全问题亟待解决
根据艾瑞咨询的统计数据，2012年，中国移动支付市场交易规模达1511.4亿元，同比增长高达89.2%。

未来几年，这一领域仍将保持40%左右的年增长率。

中国支付网主编刘刚认为，随着标准问题争议结束，下一阶段影响移动支付商用发展的因素还有很多，日益突出的移动支付的安全问题是迫在眉睫的问题。

近期的调查结果显示，93%的消费者表示，支付是否安全是影响其考虑使用移动支付服务的重要因素。

财付通上述人士认为，随着智能手机以及移动支付的普及，越来越多的手机病毒将会涌现出来，用户的财产、隐私都将受到威胁。

有案例表明，招商银行、建设银行、浦发银行等多款银行类使用都曾遭遇恶意木马篡改。

和传统的针对大众用户的木马等病毒相比，林凯认为，新兴的高级持续定向攻击是移动支付更大的潜在威胁。

这是一种更具针对性的、潜伏时长更长的攻击手段，在普及程度加深和价值充分体现之后，移动支付将会成为这类网络攻击的重要目标。

产业链各环节积极应对
考虑到安全问题对产业发展至关重要，整个产业链都一直在这方面进行努力，不仅包括一些支付企业，某些终端芯片厂商及一些传统互联网安全厂商也给予了高度关注。

“面对目前移动支付过程中存在的安全隐患，某些支付企业推出的相关移动支付技术能减少网页的跳转，有效地降低钓鱼网站和病毒的危害。

收集的信息全程加密传输，信息保管也进行物理上的隔离，并且严禁用于和用户支付无关的场景。

”业内人士指出。

除了技术方面的努力，某些支付企业还通过业务创新来保障用户资金安全。

包括对手机交易额设置了上限，例如有些支付企业还开创性地推出了赔付机制，满足条件的用户可以拿到支付企业的全额赔偿，希望最大限度地打消用户使用移动支付的安全担忧。

此外，有些传统互联网安全厂商推出了云私有安全系统，该系统注重支付环境的安全，通过特有的白名单技术，将支付环境的规范化清零，只允许白名单中认可的程序运行，保证支付环境不受到病毒污染，而且对于潜在的IPT攻击更具有效果。

安全标准缺位是根源
就在产业链各环节纷纷为移动支付安全出谋划策的时候，另一个问题浮出了水面，整个行业缺乏统一的安全标准和体系，这给安全制度的推广造成了困难。

例如，高级别安全认证工具的推广使用，就因为数字证书使用缺乏统一的硬件标准下的兼容性问题。

“移动支付的安全不是孤立的安全，总的来讲包括终端安全和业务安全，终端安全又包括设备安全、使用安全和数据安全，每一个环节的安全者需要相应的企业各司其职，同时又需要上下游之间充分沟通和协同，这样才能保证整个体系的安全。

”刘刚说。

林凯也表示，移动支付涉及产业链的各个环节，包括银行、公安、手机厂商、运营商、手机安全厂商等应该全产业链联手，包括用户信用意识的建立，共同推进移动支付业务产业发展，金山安全已经和多年移动支付企业展开合作商谈。

财付通相关人士也透露，财付通已联合腾讯手机管家、QQ浏览器，共建安全的移动支付生态圈。

财付通还在积极和安全厂商、手机厂商、移动支付提供商等企业进行沟通合作，以完善移动支付生态链的搭建。

8月21日，记者使用同事的手机成功进行身份验证，获取验证码。

实习记者唐俊摄
开通快捷支付？小心安全漏洞！
密码可轻易破解，卡内资金瞬间流失
实验：5分钟可“盗刷”2万元专家观点：网络支付验证平台要注意保密
“无需网银，只需关联您的信用卡或借记卡，每次付款时只需输入支付宝支付密码即可完成付款……”这是支付宝快捷支付的宣传广告语。

快捷支付在给市民带来方便的同时，也给市民带来了安全的困扰，部分使用支付宝“快捷功能”
的客户遭遇网络盗刷，和支付宝绑定的银行卡资金被“蚂蚁搬家”。

支付宝在自己的网页上还列出了近期因为被盗刷而理赔的案例，最大一笔资金达到9492.24元。

记者根据网上的一些提示，对快捷支付手段做了一次安全实验，发现了一些值得注意的安全漏洞。

实验：“捡到”手机后，五分钟内盗刷2万元
为了验证网上流传的“快捷支付存在安全问题”是否真实，记者做了一个实验，模拟在“捡到”一部手机之后，如何破解密码并刷取卡内资金。

首先，记者拿起同事的一部手机，当然前提是这部手机已经绑定了支付宝快捷支付，并且假设记者并不知道该同事的其他信息。

下面是记者的实验过程：
第一步：记者打开支付宝的登入界面，在账户名一栏记者看到输入手机号码或邮箱地址的提示，而这两个信息拿到手机的人都会知道，记者点击旁边的忘记登录密码，并尝试这个手机的号码或手机里面的QQ邮箱是否已注册支付宝账号，记者尝试后知道，这个手机的号码就是支付宝的账号。

第二步：接下来是输入手机验证码，当你点击发送手机验证码时，会有一组六位数字的验证码发到这个手机上，这时只要你输入这组数字，就可以进入更改密码的界面，记者由此完成对密码的修改。

第三步：知道支付宝账号和密码后，记者登入这个账号的支付宝界面，在账户管理的界面里，记者可以看到这个账号上面的余额，还能看到这个账号绑定了中国银行卡。

记者同样运用找回密码这一功能，用这个手机接到的验证码将绑定的银行卡快捷支付密码更换。

第四步：记者接下来通过快捷支付转账，输入新的支付密码后，成功转出中国银行规定的最高额度两万元。

记者看了一下时间，从开始操作修改密码到完成转账，记者只用了5分钟时间。

随后，记者又让同事修改银行卡密码。

但是记者发现银行卡密码被修改后，支付宝账户绑定的银行卡付款操作并未受到任何影响。

这意味着，开通快捷支付后，万一手机被盗，绑定的银行卡很容易遭到盗刷，即使用户修改了银行卡的密码也无法阻止盗刷。

二维码支付频现盗刷被暂停移动支付遇立法空白
2014年03月27
【字体：大中小】
来源：责任编辑：卡娅梅朵
日
二维码支付频现盗刷，关键问题还在于立法的空白。

目前我国有关第三方支付的立法
主要是《非金融机构支付服务管理办法》，但该办法没有涉及二维码支付等移动支付方式央行近日下发了关于暂停支付宝公司线下条码(二维码)支付等业务意见的函，要求暂
停支付宝、腾讯的虚拟信用卡产品和条码(二维码)支付等面对面支付服务。

中国人民银行支付结算司副司长周金黄3月14日接受媒体采访时表示，央行此举意
在规范相关业务发展和保护消费者权益，而并非针对某家企业。

周金黄表示，此前曾接到
一些消费者的投诉，有些用户在二维码支付过程中，发现信息和资金被盗取的问题。

相关法学专家在接受《法制日报》记者采访时表示，在立法尚存空白的情况下，央行
暂停该业务十分必要。

二维码支付的兴起和便利
2013年6月，经常坐地铁的上班族发现，一种新型的饮料和零食自助销售机出现在了
部分地铁站点。

这种外表和传统自动售货机并无区别的机器，同样拥有一个展示商品的透
明橱窗，你只需按下商品下方对应的按钮，即可选择你所要购买的饮料或零食。

区别在此出现——选择商品后，机器的显示界面并没有提醒你投币，而是跳出一个二
维码图案。

你只需打开手机微信，启动“扫一扫”功能，对准二维码图案扫一下，就进入了
手机支付程序。

这被称为“二维码支付”。

按照通俗定义，二维码支付是一种基于账户体系搭起来的新
一代无线支付方案。

在该支付方案下，商家可把账号、商品价格等交易信息汇编成一个二
维码，并印刷在各种报纸、杂志、广告、图书等载体上发布。

用户通过手机客户端扫拍二
维码，便可实现和商家支付宝账户的支付结算。

而商家根据支付交易信息中的用户收货、联系资料，进行商品配送，完成交易。

这项听起来十分新鲜的技术，早在上世纪90年代即已形成。

在我国，IT技术的日渐成熟，推动了智能手机、平板电脑等移动终端的诞生。

和此同时，国内电商紧咬“移动”概念，推动了移动支付的快速发展。

所谓移动支付，又被称为手机支付，即允许用户使用其移动终端(通常是手机)对所消费的商品或服务进行账务支付的一种服务方式。

单位或个人通过移动设备、互联网或者近距离传感直接或间接向银行金融机构发送支付指令产生货币支付和资金转移行为，从而实现移动支付功能。

据央行公布的《2013年支付体系运行总体情况》，过去一年，移动支付的笔数和金额分别增长了212.86%和317.56%。

频频出现盗刷引央行重视
在简单便捷的同时，二维码支付却因频频引发的“盗刷”案而遭到质疑。

今年1月19日，江苏一名网店店主王先生在网上认识了一名“客户”。

该“客户”以买货为名加他为QQ好友，同时发来一张二维码图片让王先生“扫一下”，以方便今后联系。

王先生照做了。

随后两天里，他发现自己在进行网上交易时无法收到短信提示，连使用支付宝时需要的验证码信息也未能收到。

这引起了他的怀疑。

因为手机绑定了网银功能，他赶到银行查询，结果发现，他的银行卡有多次网上支付记录，总计支付100多次，金额高达9万多元。

该案最终被公安机关破获。

据犯罪嫌疑人李某交代，他在“二维码”中植入了木马病毒。

一旦扫描成功，受害人和手机绑定的网银信息等就会自动转发到李某的手机上。

同时，受害人的手机短信接收功能也会被屏蔽，只能发送短信，无法收到。

类似的案件屡见不鲜。

浙江嘉兴的汪女士在淘宝交易过程中，扫描了对方发来的一个二维码，称必须扫描二维码才能显示商品信息。

汪女士用手机扫了一下，随后，支付宝、余额宝中的18万元被对方转走。

大量事实已经证明，手机的开放性特质让其极易被病毒入侵，手机杀毒查毒技术落后让手机网络尚难筑起严密的保护墙。

资深财经评论员、仁和智本资产管理集团合伙人陈宇在接受《法制日报》记者采访时表示，二维码支付的确存在很多安全隐患，在未大面积推广之前就已经备受诟病和争议。

一旦大面积铺开，将成为关系民生的事情。

“对于这种存在安全隐患的事情，监管层暂停是必要且合理的。

”陈宇认为，央行此举并不是就此取缔二维码支付，而是需要一段时间来解决二维码的安全问题。

规范二维码支付需完善法律
二维码支付的安全隐患，一定程度上正是源于其生产方式简单。

由于任何机构和组织均可随意制作和发布二维码，加上传播过程中缺乏有效的过滤措施，极易被不法分子利用，成为传播非法信息、木马病毒的工具。

有效的监管是改变这一现状的唯一渠道。

《法制日报》记者了解到，从2006年开始，中国人民银行、证监会、银监会、保监会一直在为第三方非金融机构包括支付宝、财付通等企业发放许可证，并将其纳入监管范围。

这些支付平台中的账户如有不正常流动数据都会被人民银行监管，但是，小额用户的资金进出却一直处于监管空白状态，这让不少被盗刷的市民感到投诉无门。

“关键问题还在于立法的空白。

目前我国有关第三方支付的立法主要是《非金融机构支付服务管理办法》，但该办法没有涉及二维码支付等移动支付方式。

”长期研究电子商务法律的暨南大学教授刘颖告诉《法制日报》记者。

他认为，要完善对二维码支付等移动支付手段的监管，不单单是要针对这两项内容立法，而是要完善整个电子商务领域的立法。

“要填补电子商务领域的立法缺位，还有很多重点和难点需要逐个击破。

”刘颖说，“比如电子商务环境中的纠纷解决机制，就是一个很大的难点。

电子商务尤其是眼下界限模糊的手机支付涉及到法律的管辖权，这类网络纠纷的侵权发生地很难确定。

不像传统交易，公司开在广州，管辖地就是广州。

”
刘颖建议，完善包括移动支付在内的电子商务法律，可以分三步进行：“首先应有一部叫电子商务法的法律，用于规定一些基本的问题，包括市场准入、电子支付的合同和传统合同的差异化问题；第二，在传统的法律中增加一些条款就可以了；第三，可以订立一些单行的法例，比如在韩国，就有一个《电子资金基本法》，里面单列一些领域条款。

”(记者范传贵)
窥私大盗盯上移动支付机具手机刷卡器到底安不安全
2012-11-30 09:33:09来源: 广州日报(广州)有0人参和
近期深圳有不少市民的银行卡遭异地盗刷，有报道称犯罪嫌疑人疑似使用拉卡拉手机刷卡器进行作案。

有业内人士告诉记者，不法分子盗刷是需要获取账号信息还有密码的，因此并非如坊间流传的仅凭身份证号码就能刷走银行卡里的钱。

昨日，拉卡拉方面向记者表示，拉卡拉手机刷卡器和此事完全没有关系，完全可以保证持持卡人的用卡安全。

本报记者调查发现，目前移动支付虽然带来了不少方便，但同时也面临着被间谍软件威胁盗取信息的安全问题，而银行业内人士更是认为移动支付目前增加了克隆卡变现的渠道，其影响不容忽视。

本报讯据媒体报道，日前，家住平湖的打工仔邓先生突然收到一条短信“您尾号2994的储蓄卡账户11月25日8时42分网络ATM取款支出人民币3032.00元，活期余额83.65元。

”
根据报道，当时银联客服给邓先生的回复称，他的存款是在河南郑州一家银行被提走的，而另外十余名受害者中，10名事发地在河南境内，2名在山西境内。

邓先生告诉媒体，对方告诉他，这是一种来自手机的网络ATM刷卡消费。

报道称，这是一起疑似使用拉卡拉手机刷卡器作案的异地盗刷银行卡案，警方已经派人去外地调查。

记者了解到，近年来，经常出现银行卡被盗刷的案例，但通过手机刷卡器作案的还并不多见。

拉卡拉：非手机终端问题
昨日，拉卡拉方面向记者表示，“就已披露信息而言，这是犯罪团伙通过不明渠道窃取用户银行卡信息制作伪卡，进行异地ATM提现的案件。

在某些媒体的不实报道中，把手机刷卡器想象成提现工具，是完全没有根据的联想。

”拉卡拉方面称，拉卡拉手机刷卡器和此事完全没有关系。

拉卡拉手机刷卡器的安全性是经过银联安全认证的，一卡一密，一机一密，加上拉卡拉多重风险控制保障，完全可以保证持卡人的用卡安全。

拉卡拉方面还表示，拉卡拉手机刷卡器是个人支付工具，有着严密的安全保障体系。

只获知身份证号是不可能被刷走卡中金额的（除个人身份证外，必须同时满足以下5点才可使用：用本人身份证验证开通的手机刷卡器、绑定的手机号、开通时设定的登录密码、银行卡实体而非银行卡账号、银行卡密码，缺少任何一个环节都不可能使用）。

央行将发布移动支付标准
来自网秦的数据显示，今年第三季度，网秦查杀到可具备盗取用户支付账户密码行为的间谍软件357款。

安全专家透露，目前不法分子主要通过两种形式威胁用户支付安全，一是通过篡改一些知名电商使用，在其中嵌入木马程序，盗用支付密码；二是通过专门截获手机的支付验证码形式，直接模拟用户的购物行为。

据媒体报道，11月27日，央行科技司副司长陆书春透露，近期将发布中国金融移动支付标准。

央行方面下一步会积极推动标准使用试点示范以及基础设施的完善，并为移动支付营造更好的环境。

争议：手机刷卡器到底安不安全？
手机支付是近年兴起的一种手机支付新业务，因其支付便捷，随着智能手机的兴起而逐渐火热。

而手机刷卡器仅一张卡片的四分之一大小，厚度和一般手机相同。

该产品主要面对个人消费者，是一款连接智能手机的外设刷卡终端，支持iPhone、Android等主流智能手机及Pad产品。

专家：仅凭身份证号码不能刷走金额
最近，一则“只要掌握机主身份证号码即可手机刷走他人卡上金额”的消息引起广泛关注。

网秦科技手机安全专家邹仕洪对本报记者表示，电商终端还相对安全，但实际上，由于目前手机不法分子通常会根据攻击目标的安全系数来调整自己的攻击方法，在未能及时辨别的状态下，用户仍然存在安全风险。

邹仕洪表示，如果只是知道用户的身份证号码，不法分子是不可能盗刷成功的，因为没有获取用户具体哪个银行的银行卡账号信息以及密码。

邹仕洪认为，这种盗刷，极有可能是不法分子此前已经成功克隆了用户的银行卡信息以及通过不法途径获得了用户的银行卡密码，才借助某个平台进行盗刷，这和此前被曝光的盗刷性质是一样的，只是平台进行了更换。

为此，邹仕洪博士提醒用户，要定期更换账户密码，并采用较为复杂的密码保护机制，发现账户活动异常时及时咨询、举报和对交易账户进行锁定。

银行：移动机具若审核不严易被利用犯罪
目前网上有很多银行卡的资料，甚至可以买到磁条、密码的信息，很多不法分子利用制作假卡，再在手机做支付进行套现，“现在随手可得的移动支付机具太容易让不法分子获得刷卡的机会了”，某股份制银行技术部门负责人对本报记者表达了担忧，“如果卖移动支付机器的时候没有强制的身份验证，如果有企业为了扩大用户量，对刷卡机具的准入的机制也很放松，这让移动支付的业务很具风险。

该负责人说，不法分子如果要通过ATM机变现，有视频监控进行监管，在商场刷卡，也有视频监控和签名等机制进行管理。

但是，一旦银行卡被克隆，这种移动支付方式就提供了一种前所未有的轻而易举的非法变现途径。

案例
间谍软件窃取手机验证码。