基于智能終端的電子支付系統(tǒng)的安全性研究

摘 要：隨著智能終端的不斷普及和網(wǎng)上銀行業(yè)務(wù)的快速發(fā)展，支付形式也在不斷變化，智能終端電子支付活動的安全問題也隨之出現(xiàn)，終端的硬件和軟件威脅、無線網(wǎng)絡(luò)和智能終端支付處理平臺的安全性也成了用戶關(guān)注的問題。本文以提高和改善移動支付系統(tǒng)安全性作為主要研究方向，對智能終端電子支付體系的安全風(fēng)險進行分析和研究，論文將相關(guān)背景與技術(shù)知識相結(jié)合，在智能終端電子支付安全技術(shù)中利用到了數(shù)據(jù)加密技術(shù)、數(shù)字簽名技術(shù)等關(guān)鍵的安全技術(shù);接著從無線網(wǎng)絡(luò)、智能終端等方面來分析智能電子支付體系的安全。

關(guān)鍵詞：智能終端;電子商務(wù);電子支付;安全策略

一、智能終端電子支付系統(tǒng)的現(xiàn)狀

（一）智能終端電子支付的發(fā)展現(xiàn)狀

智能終端電子支付的出現(xiàn)包括兩個技術(shù)原因：首先，在現(xiàn)有的技術(shù)（如WLAN，BIuetooth等）能為智能終端電子支付提供有利的無線支付網(wǎng)絡(luò)環(huán)境;其次，有了手機，PAD這樣的智能設(shè)備也就有了可以作為智能終端電子支付行為的交易活動的物理介質(zhì)，從發(fā)展歷程來說，智能終端電子支付從傳統(tǒng)支付經(jīng)過電子商務(wù)過渡而來，傳統(tǒng)支付與普通的電子支付和智能終端電子支付都是由于支付介質(zhì)的不同，就傳統(tǒng)支付而言，人們是使用現(xiàn)金支付的而普通的電子支付是通過PC機上的網(wǎng)上銀行等手段進行虛擬的貨幣交易這樣就省去了傳統(tǒng)交易中攜帶現(xiàn)金的不便，保證了隨時隨地的交易活動。

（二）智能終端電子支付現(xiàn)階段的優(yōu)勢

我們都知道，智能終端的電子支付其實是智能移動設(shè)備主要是智能手機、手機支付寶、網(wǎng)上銀行等多種電子支付一種融合發(fā)展后的集成支付方式，研究發(fā)現(xiàn)相對于傳統(tǒng)支付，智能終端電子支付的優(yōu)勢主要有：

1.便利性

隨著科技的進步，智能設(shè)備越來越受到人們的青睞，智能終端設(shè)備既能上網(wǎng)又能滿足用戶對于商家和各個支付相關(guān)行業(yè)產(chǎn)品進行隨時隨地便利的支付交易活動，同時又能保證距離支付和遠程支付的統(tǒng)一;

2.易用性

智能終端作為支付設(shè)備時，可以與用戶的手機號碼聯(lián)系起來，在支付的交易過程中可以利用手機號碼來驗證和其他的安全性認證操作，從而達到保護用戶資金安全。

二、智能終端電子支付體系架構(gòu)及安全研究

（一）電子支付體系架構(gòu)

移動電子支付系統(tǒng)架構(gòu)圖，分為三個層次：應(yīng)用層，交易層和支付處理層。移動支付的架構(gòu)要保證能支持移動交易，所以需要滿足一些獨特的需求，如：性能、安全、移動網(wǎng)絡(luò)的相對穩(wěn)定性。隨著新的移動支付技術(shù)和移動終端應(yīng)用技術(shù)不斷發(fā)展，移動支付對解決一些非功能性的需求也越來越高，如：可擴展性、可用性，是否符合支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)和政策規(guī)定以及一些其他規(guī)定。

（二）電子支付的安全需求

首先，用戶在支付或者轉(zhuǎn)賬的時候要保證應(yīng)用程序和數(shù)據(jù)庫中數(shù)據(jù)的安全性;其次，交易和支付過程中的安全性;還有互聯(lián)網(wǎng)和各個系統(tǒng)的安全性（包括支付平臺系統(tǒng)、用戶終端系統(tǒng)和網(wǎng)上銀行處理后臺系統(tǒng)），以及它們的安全維護和管理。其中，交易和支付的安全性必然是我們最為關(guān)注的。下面說說交易和支付的安全性需要滿足的一些要求：

1.認證性：也稱為有效性，信息系統(tǒng)的安全性都以這個為基礎(chǔ)。當(dāng)然這也是支付過程中重要的一步，其目的是為了驗證參與各方的身份，以防止外來攻擊者破壞重要的信息數(shù)據(jù)或?qū)π畔?shù)據(jù)進行未經(jīng)授權(quán)的轉(zhuǎn)移。多數(shù)情況下各個交易方不能進行面對面的身份認證，那么就需要我們的支付體系中各方遵從提前約定好的某種認證方式，再有自己特有的身份認證體系來確認各方身份的真實性。

2.隱私性：也稱為機密性。其目的是保護通過互聯(lián)網(wǎng)發(fā)送的信息不能被外來攻擊者訪問。最重要的一點是這個隱私性要求即使是有攻擊者獲取了消息但是也不能夠讀取正確的消息或者其他有用的內(nèi)容。由于在移動支付中，涉及的用戶信息以及銀行賬戶等敏感信息，要求支付系統(tǒng)就必須保證這些敏感數(shù)據(jù)在通信流通中的隱私性，支付過程中的機密性主要依靠數(shù)據(jù)加密技術(shù)來實現(xiàn)，可以保證傳輸?shù)男畔⒓词贡还粽吒`取也不能解讀出數(shù)據(jù)信息的真實內(nèi)容。

3.不可抵賴性：移動支付系統(tǒng)的設(shè)計必須滿足消費者和商家在參與支付的過程中無法否認他們的消息。通過電子簽名的方法可以很好的滿足這一要求。網(wǎng)上銀行系統(tǒng)中的不可抵賴性服務(wù)一般也是通過字證書來完成。

（三）智能終端的安全分析

移動支付依賴的主要工具是移動終端設(shè)備，所以說終端安全是移動支付安全的一個重點。終端層的安全主要包括移動終端硬件安全、系統(tǒng)安全和移動終端應(yīng)用安全。

首先移動終端設(shè)備由于自身物理條件的限制，比如計算能力、內(nèi)存和外圍設(shè)備這些都是有限的，通過一些開放的方式訪問網(wǎng)絡(luò)和與其他設(shè)備交換數(shù)據(jù)時，無論從數(shù)據(jù)存儲的穩(wěn)定性，還是信息的加密能力，還是信息傳輸過程的可靠性，都存在一定的安全風(fēng)險。

其次是移動終端上的應(yīng)用程序安全，這些移動應(yīng)用程序是用戶進行信息傳遞和交易的媒介，要是這個過程中因為手機受到軟件病毒的威脅而導(dǎo)致交易的失敗或者交易信息的泄露，可能會發(fā)生很多意外的金融事故。例如病毒軟件欄截用戶的登錄信息、竊取用戶的銀行賬戶、支付寶信息，然后自動發(fā)送惡意短信定制扣費業(yè)務(wù)等等，這些都是通過惡意手段利用用戶終端來進行支付活動或者破壞支付活動的行為，因此需要我們的重視。最后是終端系統(tǒng)安全，包括操作系統(tǒng)本身的安全，運行在操作系統(tǒng)之上的各種中間件的安全。

三、電子支付系統(tǒng)的安全風(fēng)險

（一）智能移動終端自身的物理環(huán)境威脅

智能移動終端設(shè)備開始時只具備簡單的電話短信功能，到現(xiàn)在直接可以利用互聯(lián)網(wǎng)為媒介的平板電腦與智能手機，這些新近的技術(shù)在為我們帶來多變的智能支付方式時也為我們招來了新的安全風(fēng)險.這些設(shè)備開始擁有了自己的IP地址，設(shè)備自身開始成為攻擊的目標(biāo)，而這些設(shè)備的功能也與臺式電腦和筆記本電腦有不同安全性差異，影響設(shè)備的安全性可以歸為一下幾點：

1.體積不大、成本低，智能移動終端設(shè)備不斷的流失性使得他們更有可能被丟失和盜取。

2.同步軟件可以在電腦上同時備份和存儲移動手持設(shè)備上文件和應(yīng)用軟件，而PC設(shè)備和移動設(shè)備終端面臨著不同的安全威脅，由于需要不同的安全機制以來減低風(fēng)險，但是兩者都必須提供相同的安全級別來保護敏感信息，所以移動終端設(shè)備的安全性必須具備特殊的要求。

3.一個用戶可以購買多個移動終端設(shè)備而通常不需要提供過多的個人信息，這些設(shè)備常常用于個人與商業(yè)數(shù)據(jù)而往往用戶不會去考慮他們的工作環(huán)境中使用的安全隱患。

（二）智能移動終端設(shè)備的應(yīng)用軟件威脅

用戶在移動終端進行信息傳遞與交易的過程時，手機容易受到軟件病毒威脅從而導(dǎo)致交易失敗或者交易信息泄露，這種安全威脅伴隨著移動支付的普及已經(jīng)智能終端應(yīng)用軟件的多樣性變得愈加嚴(yán)重，因此智能終端作為移動應(yīng)用在支付體系中更加要注意增強它的安全性，以下是幾種常見的應(yīng)用軟件威脅：

1.終端性能破壞類

這種軟件會占用系統(tǒng)內(nèi)存從而導(dǎo)致資源受限，比如我們在運用支付寶時功能會受到限制不能順利的進行交易，雖然說這類軟件不一定影響安全但是會影響到用戶終端的性能與正常程序的運行。

2.惡意盜取用戶信息

在智能終端進行支付過程時用戶需要進入互聯(lián)網(wǎng)，這就會導(dǎo)致惡意軟件可能伺機盜用戶支付寶賬號密碼信息和銀行卡信息等涉及到網(wǎng)絡(luò)安全。

總結(jié)

本文主要從多個角度對智能終端支付體系的安全風(fēng)險進行分析和研究，并且提出一系列的安全性策略。對于這些存在的安全威脅提出針對性的安全策略，提供智能終端設(shè)備支付活動時的安全保障。

參考文獻：

[1]帥青紅.電子支付與安全.西南財經(jīng)大學(xué)出版社，2014，（8）：8-11.

[2]左沈怡.移動支付的未來.上海國資，2015，（11）：11-16.

作者簡介：

張智（1983—），女，壯族，廣西柳州市人，柳州鐵道職業(yè)技術(shù)學(xué)院，成人教育學(xué)院，研究方向：經(jīng)濟學(xué)。