夏 平，楊 明

（1.廣州工商學(xué)院 計(jì)算機(jī)科學(xué)與工程系，廣東 廣州 528138；2.深圳東信海洋機(jī)械工程公司，廣東 深圳 518000）

移動(dòng)支付是指通過(guò)移動(dòng)終端設(shè)備（通常指手機(jī)）實(shí)現(xiàn)賬單在線支付的一種服務(wù)手段，是近幾年來(lái)興起的一種便捷的電子交易方式。隨著移動(dòng)支付技術(shù)的普及，國(guó)內(nèi)的支付寶、微信以及手機(jī)閃付已成為主流的支付產(chǎn)品，涉及購(gòu)物、轉(zhuǎn)賬、醫(yī)療、理財(cái)及生活繳費(fèi)等各個(gè)方面[1]。在2017年，無(wú)現(xiàn)金時(shí)代成了熱點(diǎn)話題，支付寶官方高調(diào)表示，“5年推動(dòng)中國(guó)進(jìn)入無(wú)現(xiàn)金時(shí)代，”事實(shí)上，國(guó)家政府和銀行金融機(jī)構(gòu)也為無(wú)現(xiàn)金時(shí)代做出多項(xiàng)實(shí)際行動(dòng)支持，全面推動(dòng)無(wú)現(xiàn)金時(shí)代的發(fā)展進(jìn)程。但隨著移動(dòng)支付使用的普遍性，日益嚴(yán)峻的安全問(wèn)題也不斷呈現(xiàn)在用戶的面前。移動(dòng)支付已成為不法分子的重點(diǎn)攻擊對(duì)象，如黑客攻擊，信息泄露，電信詐騙，二維碼病毒等安全問(wèn)題層出不窮，讓用戶防不勝防，直接威脅到用戶生命財(cái)產(chǎn)安全。

1 我國(guó)移動(dòng)支付發(fā)展現(xiàn)狀

在移動(dòng)支付領(lǐng)域，我國(guó)的研究起步比較晚，但隨著技術(shù)的不斷發(fā)展，用戶的規(guī)模得到了迅速的擴(kuò)張。根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的權(quán)威數(shù)據(jù)統(tǒng)計(jì)，截至2017年12月，我國(guó)網(wǎng)上支付用戶規(guī)模達(dá)到5.31億，其中手機(jī)支付用戶數(shù)量為5.27億，占比高達(dá)99.2%。由于移動(dòng)支付需要多方技術(shù)以及網(wǎng)絡(luò)環(huán)境的協(xié)助，容易受到一系列的入侵和攻擊，導(dǎo)致信息泄露乃至財(cái)產(chǎn)損失。通過(guò)對(duì)2017年移動(dòng)支付的大數(shù)據(jù)分析，我國(guó)的移動(dòng)支付呈現(xiàn)3個(gè)主要的特征：（1）移動(dòng)支付的使用領(lǐng)域不斷拓寬，滲透到工作和生活的方方面面。（2）在線電子交易逐步向農(nóng)村地區(qū)和老齡網(wǎng)民輻射，用戶使用線下線上交易的數(shù)量持續(xù)增長(zhǎng)，農(nóng)村地區(qū)移動(dòng)支付于2017年底統(tǒng)計(jì)的數(shù)據(jù)比2016年底增長(zhǎng)了15.4%。（3）傳統(tǒng)的支付的技術(shù)逐步被高新技術(shù)替代，指紋支付以及面部識(shí)別支付等生物識(shí)別技術(shù)得到了快速的發(fā)展。

中國(guó)銀聯(lián)發(fā)布的《2017移動(dòng)互聯(lián)網(wǎng)支付安全調(diào)查報(bào)告》顯示，在2017年，短信木馬、社交賬號(hào)盜用，病毒等高發(fā)的詐騙手段呈下降趨勢(shì)，誘掃二維碼欺詐受騙比例明顯增長(zhǎng)，尤其是防范意識(shí)薄弱的中老年及90后群體遭受的網(wǎng)絡(luò)詐騙比例較高，須更加關(guān)注支付安全。移動(dòng)支付正在替代傳統(tǒng)的交易方式，具有無(wú)限的發(fā)展前景，但越來(lái)越多的安全問(wèn)題已經(jīng)嚴(yán)重制約其發(fā)展的步伐。因此，針對(duì)移動(dòng)支付的安全性方案的研究是迫在眉睫的。

2 移動(dòng)支付的安全風(fēng)險(xiǎn)

移動(dòng)支付主要包括移動(dòng)終端、支付賬戶、第三方支付平臺(tái)、網(wǎng)絡(luò)環(huán)境、銀行機(jī)構(gòu)等基本要素，其安全風(fēng)險(xiǎn)主要體現(xiàn)在3個(gè)方面：移動(dòng)終端設(shè)備的安全風(fēng)險(xiǎn)；移動(dòng)支付環(huán)境的安全風(fēng)險(xiǎn)；個(gè)人信息泄露問(wèn)題。

2.1 移動(dòng)終端設(shè)備的安全風(fēng)險(xiǎn)

移動(dòng)終端設(shè)備是進(jìn)行移動(dòng)支付的硬件載體，目前絕大多數(shù)用戶都是采用智能手機(jī)進(jìn)行支付操作，因此，硬件設(shè)備的安全性在很大程度上決定了移動(dòng)支付的安全性。大眾化的智能手機(jī)其本身硬件系統(tǒng)并未采用加密芯片和底層的安全防護(hù)功能，容易導(dǎo)致移動(dòng)支付APP出現(xiàn)安全風(fēng)險(xiǎn)。在智能手機(jī)的使用上，有部分用戶獲得更高的操作權(quán)限和更好的用戶交互體驗(yàn)，進(jìn)行越獄和刷機(jī)操作，這有可能破壞手機(jī)系統(tǒng)的安全運(yùn)行機(jī)制，出現(xiàn)系統(tǒng)漏洞，遭受到惡意代碼的攻擊。另外，手機(jī)丟失也會(huì)給用戶造成巨大的影響，由于手機(jī)都會(huì)綁定銀行卡、信用卡來(lái)實(shí)現(xiàn)移動(dòng)支付，當(dāng)手機(jī)丟失后，極有可能出現(xiàn)被人冒用的安全風(fēng)險(xiǎn)。

2.2 移動(dòng)支付環(huán)境的安全風(fēng)險(xiǎn)

隨著無(wú)線通信網(wǎng)絡(luò)的普遍應(yīng)用，大型商場(chǎng)、酒店、飯店以及地鐵公交等公共場(chǎng)所都提供了免費(fèi)WiFi，部分用戶為了節(jié)省流量會(huì)選擇使用它。一些公共場(chǎng)所的免費(fèi)WiFi可能就是釣魚(yú)陷阱，如果連接到這種“危險(xiǎn)WiFi”進(jìn)行移動(dòng)支付的話，將直接導(dǎo)致用戶帳戶的資金損失。正是因?yàn)闊o(wú)線網(wǎng)絡(luò)的便利性、開(kāi)放性，以及一般數(shù)據(jù)傳輸都是明文傳輸?shù)仍?，非法分子可以利用搭線竊聽(tīng)來(lái)獲取用戶的隱私數(shù)據(jù)以及相關(guān)支付信息。其次，移動(dòng)支付網(wǎng)絡(luò)平臺(tái)還可能受到拒絕服務(wù)攻擊的安全風(fēng)險(xiǎn)，導(dǎo)致支付平臺(tái)無(wú)法處理和響應(yīng)用戶的服務(wù)請(qǐng)求，影響用戶的支付行為。

2.3 個(gè)人信息泄露的安全風(fēng)險(xiǎn)

移動(dòng)支付的用戶群體的年輕化及老齡化的趨勢(shì)日益明顯，部分用戶缺乏基本的網(wǎng)絡(luò)安全防范意識(shí)，容易遭受到電信詐騙、釣魚(yú)網(wǎng)站詐騙、偽基站短信詐騙，不明木馬鏈接以及賬號(hào)盜用等常用手段的威脅，導(dǎo)致個(gè)人隱私泄露，從而影響到移動(dòng)支付流程整體的安全性[2]。在移動(dòng)支付環(huán)節(jié)，口令+驗(yàn)證碼的方式使用普遍，為了支付的快捷性，甚至出現(xiàn)了小額免密支付，或者6位數(shù)字支付手段，這樣的弱口令模式極容易被攻擊者實(shí)施口令破解，造成賬戶和密碼的盜用，從而造成不可彌補(bǔ)的損失。

3 移動(dòng)支付的安全應(yīng)對(duì)措施

3.1 提高大眾用戶的安全意識(shí)

網(wǎng)絡(luò)環(huán)境具備復(fù)雜性、靈活性、多樣性的特點(diǎn)，容易出現(xiàn)惡意攻擊和信息泄露等風(fēng)險(xiǎn)。用戶在進(jìn)行移動(dòng)支付過(guò)程中，針對(duì)社會(huì)工程學(xué)的攻擊，應(yīng)提高警惕，保管好賬號(hào)、支付密碼、驗(yàn)證碼、數(shù)字證書(shū)、動(dòng)態(tài)口令等隱私數(shù)據(jù)，防范因信息泄露出現(xiàn)的安全威脅[3]。用戶作為移動(dòng)支付的重要參與者，需不斷提高自身的安全意識(shí)和辨別能力。尤其是提供在線電子交易的平臺(tái)，可以對(duì)用戶進(jìn)行基本的移動(dòng)支付的安全培訓(xùn)，并為用戶提供及時(shí)有效的客戶安全服務(wù)與指導(dǎo)，第一時(shí)間幫助用戶解決問(wèn)題，規(guī)避不必要的風(fēng)險(xiǎn)要素。

3.2 加強(qiáng)移動(dòng)終端設(shè)備本身的安全

移動(dòng)終端設(shè)備是保障移動(dòng)支付流程安全的重要部分，可在硬件和軟件兩個(gè)層次上進(jìn)行安全策略的設(shè)計(jì)。在硬件系統(tǒng)上，可以添加加密芯片保障核心數(shù)據(jù)的保密性和完整性；具備內(nèi)置指紋傳感器模塊的開(kāi)啟該功能實(shí)現(xiàn)指紋驗(yàn)證和支付。在軟件系統(tǒng)上，增加層次級(jí)的安全協(xié)議，安裝防護(hù)級(jí)的應(yīng)用軟件，對(duì)病毒和攻擊進(jìn)行有效預(yù)警和防范，保障移動(dòng)支付數(shù)據(jù)安全。盡量從官方應(yīng)用中心下載APP應(yīng)用軟件，在隱私數(shù)據(jù)的訪問(wèn)上，堅(jiān)持最小化原則，嚴(yán)格限制其他程序的隱私訪問(wèn)權(quán)限。

3.3 基于終端認(rèn)證+生物識(shí)別技術(shù)的雙重身份驗(yàn)證策略

在移動(dòng)支付系統(tǒng)的用戶身份驗(yàn)證上，使用比較普遍的就是口令+驗(yàn)證碼的組合方式，交易時(shí)采用數(shù)字密碼方式支付。從安全角度來(lái)講，這種驗(yàn)證和支付方式是非常不安全的，容易被破解。為了進(jìn)一步保障移動(dòng)支付的安全性，可在口令驗(yàn)證的基礎(chǔ)上，實(shí)施基于終端認(rèn)證+生物識(shí)別技術(shù)的雙重身份驗(yàn)證模式。在進(jìn)行支付交易時(shí)，首先添加對(duì)終端設(shè)備的認(rèn)證模式，并記錄終端設(shè)備的登錄認(rèn)證記錄，保障交易設(shè)備的不可否認(rèn)性和合法性。目前，一般的智能手機(jī)都具備指紋識(shí)別傳感器，可以在身份認(rèn)證和支付時(shí)使用指紋操作，大大節(jié)約了時(shí)間，也提高了交易的安全級(jí)別。另外，生物識(shí)別技術(shù)中的虹膜識(shí)別技術(shù)也是極具前景的身份認(rèn)證方式，被行業(yè)中認(rèn)為是最安全的驗(yàn)證技術(shù)。由于人體眼睛中虹膜細(xì)節(jié)特征的唯一性，通過(guò)虹膜技術(shù)進(jìn)行用戶身份識(shí)別，不僅能提高支付的速度，更能保障合法用戶的賬戶安全。不過(guò)虹膜識(shí)別技術(shù)目前主要應(yīng)用于門禁、保險(xiǎn)箱或高保密要求場(chǎng)所，如果要應(yīng)用到智能手機(jī)設(shè)備上，相應(yīng)的硬件成本大幅增加，這也是該技術(shù)在移動(dòng)支付領(lǐng)域難以廣泛應(yīng)用的發(fā)展瓶頸。

3.4 提供賬戶資金安全保障機(jī)制

移動(dòng)支付的安全性直接決定了用戶資金賬戶的安全性，第三方支付平臺(tái)和銀行機(jī)構(gòu)需建立用戶賬戶資金的安全保障機(jī)制，提供諸如賬戶安全系數(shù)檢測(cè)，異常賬戶預(yù)警，盜用賬戶資金及時(shí)止損、賬戶安全保險(xiǎn)及風(fēng)險(xiǎn)賠付、欺詐資金與貨物攔截等措施，努力保障用戶的賬戶資金安全，并逐步降低用戶自行承擔(dān)交易風(fēng)險(xiǎn)的比例。

3.5 加強(qiáng)行業(yè)法律法規(guī)的監(jiān)管

規(guī)范化、標(biāo)準(zhǔn)化的行業(yè)法律法規(guī)是移動(dòng)支付安全性的重要基礎(chǔ)保障，需要國(guó)家、網(wǎng)絡(luò)運(yùn)營(yíng)商、銀行機(jī)構(gòu)以及第三方支付平臺(tái)協(xié)同合作，大力推動(dòng)移動(dòng)支付的發(fā)展。其中，從國(guó)家政府層面上來(lái)說(shuō)，應(yīng)加快我國(guó)網(wǎng)絡(luò)安全領(lǐng)域的相關(guān)法律法規(guī)的制定與實(shí)施，建立完善的移動(dòng)支付安全的監(jiān)管體系，為移動(dòng)支付提供基礎(chǔ)的法律保障。只有當(dāng)網(wǎng)絡(luò)安全相關(guān)法律體系逐步完善，用戶的安全體驗(yàn)才會(huì)明顯提升。從網(wǎng)絡(luò)運(yùn)營(yíng)商的層面上，應(yīng)為移動(dòng)支付提供可靠、高效、保密的網(wǎng)絡(luò)運(yùn)行環(huán)境，對(duì)通信信道進(jìn)行加密和安全防護(hù)，防止信息遭到竊聽(tīng)或截獲。從銀行和第三方支付方層面上，建立移動(dòng)支付行業(yè)統(tǒng)一化的技術(shù)規(guī)范勢(shì)在必行，致力于打造安全系數(shù)高的在線交易平臺(tái)。

4 結(jié)語(yǔ)

隨著移動(dòng)支付技術(shù)的不斷升級(jí)和完善，無(wú)現(xiàn)金時(shí)代終將來(lái)臨。然而移動(dòng)支付的安全問(wèn)題是現(xiàn)階段必須面對(duì)和亟待解決的技術(shù)難點(diǎn)，需要多方共同努力，為移動(dòng)支付探索更安全、更高效、更穩(wěn)定、更和諧的可持續(xù)發(fā)展之路。

[參考文獻(xiàn)]

[1]李玲萱.以微信支付為例淺析無(wú)現(xiàn)金時(shí)代移動(dòng)支付安全現(xiàn)狀及保護(hù)策略[J].熱點(diǎn)聚焦，2017（40）：14-15.

[2]李善斌.移動(dòng)支付安全風(fēng)險(xiǎn)及防范措施分析[J].支付清算，2015（5）：24-26.

[3]劉瑩瑩.移動(dòng)支付安全問(wèn)題研究[J].網(wǎng)絡(luò)空間安全，2017（8）：16-18.