引言
　　
　　隨著我國電子商務(wù)的廣泛應(yīng)用，人們使用的支付方式早已不局限于現(xiàn)金本身，而擴(kuò)大到銀行卡、網(wǎng)上銀行、銀行等多種方式。目前，隨著我國的廣泛使用，基于移動終端的應(yīng)用愈加廣泛，在這種移動通訊工具上應(yīng)運(yùn)而生產(chǎn)生了更便利的移動支付功能，人們可以利用手機(jī)登錄互聯(lián)網(wǎng)進(jìn)行遠(yuǎn)程購物消費(fèi)，可以在便利店、商場、超市等進(jìn)行現(xiàn)場刷卡消費(fèi)[1-3]。然而，作為一種新興的電子支付方式，移動支付擁有傳統(tǒng)支付方式*的優(yōu)勢，但是其安全性也更多引起人們的關(guān)注。由于目前發(fā)生移動支付行為是基于上綁定的銀行卡、信用卡以及與商家之間完成，或者基于手機(jī)SIM卡與POS機(jī)近距離完成，故此，類似于密碼破解、信息復(fù)制、病毒感染等都有可能對移動支付造成重大的損失。因此，我們有必要對移動支付的安全性進(jìn)行分析，并通過技術(shù)手段來進(jìn)行解決[3-5]。
　　
　　1移動支付概念及分類
　　
　　1.1概念辨析
　　
　　目前，在日常生活中圍繞移動支付涉及眾多新型支付詞語眾多，包括移動支付、手機(jī)支付、移動錢包、手機(jī)錢包、移動銀行、手機(jī)銀行等，它們之間相互又互有不同。
　　
　　所謂移動支付也稱為手機(jī)支付，就是允許用戶使用其移動終端（通常是手機(jī)）對所消費(fèi)的商品或服務(wù)進(jìn)行賬務(wù)支付的一種服務(wù)方式。單位或個人通過移動設(shè)備、互聯(lián)網(wǎng)或者近距離傳感直接或間接向銀行金融機(jī)構(gòu)發(fā)送支付指令，產(chǎn)生貨幣支付與資金轉(zhuǎn)移行為，從而實(shí)現(xiàn)了移動支付功能。移動支付將終端設(shè)備、互聯(lián)網(wǎng)、應(yīng)用提供商以及金融機(jī)構(gòu)相融合，為用戶提供貨幣支付、繳費(fèi)等金融業(yè)務(wù)。所謂移動錢包也稱為手機(jī)錢包，是指中國移動開發(fā)的基于無線射頻識別技術(shù)（RFID）的小額電子錢包業(yè)務(wù)。用戶辦理該業(yè)務(wù)后，即可利用手機(jī)在中國移動合作的商戶進(jìn)行POS機(jī)刷卡消費(fèi)。手機(jī)錢包（移動錢包）是用于中國移動用戶移動電子商務(wù)交易支付的中間帳戶，可更好地滿足銀行對小額移動電子商務(wù)結(jié)算處理的需求，滿足商戶對小額商品交易管理的需求，方便用戶使用。用戶開通手機(jī)錢包業(yè)務(wù)后，就能有一個與綁定的消費(fèi)賬戶，賬戶直接就是，往這個賬戶上充值[7]，就像是給手機(jī)內(nèi)置了鈔票，在商家消費(fèi)的時候，在的POS刷卡機(jī)前晃晃手機(jī)就能結(jié)賬，也可以上網(wǎng)或發(fā)短信進(jìn)行遠(yuǎn)程購物，此外，這個業(yè)務(wù)也可以用于企業(yè)的門禁系統(tǒng)和企業(yè)內(nèi)部消費(fèi)，如食堂用餐、內(nèi)部消費(fèi)等。
　　
　　所謂移動銀行也稱為手機(jī)銀行，是利用移動通信網(wǎng)絡(luò)及終端辦理相關(guān)銀行業(yè)務(wù)的簡稱。手機(jī)銀行是由手機(jī)、GSM短信中心和銀行系統(tǒng)構(gòu)成。在手機(jī)銀行的操作過程中，用戶通過SIM卡上的菜單對銀行發(fā)出指令后，SIM卡根據(jù)用戶指令生成規(guī)定格式的短信并加密，然后指示手機(jī)向GSM網(wǎng)絡(luò)發(fā)出短信，GSM短信系統(tǒng)收到短信后，按相應(yīng)的應(yīng)用或地址傳給相應(yīng)的銀行系統(tǒng)，銀行對短信進(jìn)行預(yù)處理，再把指令轉(zhuǎn)換成主機(jī)系統(tǒng)格式，銀行主機(jī)處理用戶的請求，并把結(jié)果返回給銀行接口系統(tǒng)，接口系統(tǒng)將處理的結(jié)果轉(zhuǎn)換成短信格式，短信中心將短信發(fā)給用戶。
　　
　　我們通過對三組概念的比較可以發(fā)現(xiàn)，移動支付（手機(jī)支付）是一個整體概念，用戶通過移動設(shè)備、互聯(lián)網(wǎng)或近距離傳感進(jìn)行移動業(yè)務(wù)處理。移動錢包（手機(jī)錢包）更傾向于小額電子錢包業(yè)務(wù)，它的主要消費(fèi)方式就是在POS刷卡機(jī)前刷卡進(jìn)行現(xiàn)場支付。移動銀行（手機(jī)銀行）主要是辦理相關(guān)銀行業(yè)務(wù)，也就是說用戶使用手機(jī)進(jìn)行銀行業(yè)務(wù)操作時，實(shí)際上是和銀行發(fā)生相關(guān)業(yè)務(wù)往來，比如說查詢賬單、銀行轉(zhuǎn)賬等。
　　
　　1.2方式分類
　　
　　根據(jù)移動支付在電子商務(wù)中的應(yīng)用，我們認(rèn)為移動支付可以按業(yè)務(wù)種類分為以下幾種方式：
　　
　　1）SMS（ShortMessageService，短消息業(yè)務(wù)），終端用戶通過發(fā)送短消息的形式請求服務(wù)內(nèi)容，從用戶的話費(fèi)中扣除費(fèi)用，通常只適合于小額支付，如：利用短信支付服務(wù)進(jìn)行鈴聲下載等。
　　
　　2）WAP（WirelessApplicationProtocol，無線應(yīng)用通訊），終端用戶通過訪問WAP站點(diǎn)，進(jìn)行簡單的金融業(yè)務(wù)，用戶可通過手機(jī)上網(wǎng)進(jìn)行遠(yuǎn)程操作，如：在互聯(lián)網(wǎng)上進(jìn)行購物及繳話費(fèi)、水費(fèi)、電費(fèi)、燃?xì)赓M(fèi)等。
　　
　　3）USSD（UnstructuredSupplementaryServiceData，非結(jié)構(gòu)化補(bǔ)充數(shù)據(jù)業(yè)務(wù)），是一種基于GSM網(wǎng)絡(luò)的新型交互式數(shù)據(jù)業(yè)務(wù)，如證券交易、移動銀行業(yè)務(wù)等。
　　
　　4）NFC（NearFieldCommunication，短距離通訊），是一種短距離的無線連接技術(shù)，用戶可以使用“手機(jī)錢包”在合作商戶POS機(jī)上現(xiàn)場刷“機(jī)”消費(fèi)，比如說：在便利店、商場、超市等場所進(jìn)行現(xiàn)場刷卡消費(fèi)。
　　
　　2移動支付國內(nèi)外發(fā)展現(xiàn)狀
　　
　　2.1國外發(fā)展現(xiàn)狀
　　
　　美國三大移動通信運(yùn)營商AT&T、T-和Verizon無線于2010年11月合資成立了移動支付公司ISIS。該公司計劃于2012年在鹽湖城進(jìn)行試點(diǎn)，利用移動支付功能完成鹽湖城零售商的銷售結(jié)算，并為猶他州交通管理局提供一種移動車票支付方式。公司設(shè)想把鹽湖城以及其他城市變成消費(fèi)者無需隨身攜帶錢包，使用手機(jī)取代現(xiàn)金和信用卡消費(fèi)的地方。日前，AiteGroup發(fā)布的2010~2013年美國賬單支付渠道和方式的預(yù)測數(shù)據(jù)顯示，未來三年，移動支付將增長377%，成為美國人日常賬單支付中增長zui快的渠道，網(wǎng)上支付、借記卡支付、支付也將分別增長18%、4%、1%。
　　
　　歐盟從2007年底開始重視移動支付功能，英國的信用卡發(fā)行商Barclaycard、諾基亞和VisaEurope等合作推出手機(jī)錢包業(yè)務(wù)，主要用于乘坐公共交通工具、買報紙時的小額支付。截止2011年3月，歐洲五國（英國、法國、西班牙、德國、意大利）市場上，總共有2000萬手機(jī)用戶，其中8.5%的手機(jī)用戶開通了手機(jī)移動支付功能。
　　
　　日本的手機(jī)錢包已經(jīng)拓展到大額支付，甚至包括了消費(fèi)信貸和股票投資業(yè)務(wù)。日本移動支付市場發(fā)展的首要推動者是NTTDoCoMo。早在1999年，NTTDoCoMo即推出i-mode手機(jī)互聯(lián)網(wǎng)服務(wù)，并獲得巨大成功。為發(fā)展移動信用卡業(yè)務(wù)，NTTDoCoMo于2005年4月同三井住友金融集團(tuán)（SMFG）及其旗下的三井住友卡及三井住友銀行公司結(jié)成戰(zhàn)略聯(lián)盟，并斥資980億日元開展移動支付功能開發(fā)。
　　
　　在韓國，目前70%的電子支付（即超過10億美元的交易額）都是由移動支付完成的。通過與運(yùn)營商合作，幾乎所有的韓國零售銀行都提供手機(jī)銀行業(yè)務(wù)?，F(xiàn)在，每個月有超過30萬人在購買新手機(jī)時會選擇具備特殊記憶卡的插槽，用以儲存銀行交易資料，并進(jìn)行交易時的信息加密。
　　
　　2.2國內(nèi)發(fā)展現(xiàn)狀
　　
　　在我國，移動支付產(chǎn)業(yè)屬于新興產(chǎn)業(yè)。截止2010年底，我國手機(jī)用戶達(dá)7.4個億，開通移動支付功能用戶達(dá)1.92億，實(shí)現(xiàn)交易6268.5萬筆，支付金額共170.4億元。并且，目前已開展了多個SIMpass試點(diǎn)應(yīng)用示范工程，包括湖南移動、重慶移動、廈門移動、廣東移動、南京移動等。其中，湖南移動2009年下半年開始進(jìn)行SIMpass試點(diǎn)工作，目前主要應(yīng)用包括湖南移動辦公大樓門禁，食堂用餐，美容美發(fā)消費(fèi)及停車場繳費(fèi)。重慶移動在小額支付領(lǐng)域方面構(gòu)建起了全國zui成熟的現(xiàn)場手機(jī)小額支付商業(yè)環(huán)境。截至2009年8月，重慶RFID現(xiàn)場移動支付用戶數(shù)已達(dá)到50萬戶，商戶數(shù)達(dá)到4000家，鋪設(shè)POS機(jī)5500余臺，每月消費(fèi)額超過500萬元，用戶充值金額超過300萬元。廈門移動已經(jīng)采購兩萬張雙界面SIM卡用于公交一卡通的應(yīng)用，目前已經(jīng)發(fā)放500張卡片，使用效果良好。并且，廈門移動與廈門e通卡及建行正洽談移動支付平臺的建設(shè)。廣東移動已經(jīng)確定搭建基于雙界面SIM卡的移動支付平臺，主要應(yīng)用在廣州的地鐵項目。并且，廣東移動已將SIMpass用于大樓門禁、食堂用餐等，員工充分體驗這項技術(shù)帶來的便利。南京移動全新推出的“智匯移動手機(jī)一卡通”業(yè)務(wù)，將惠及全市700萬的移動用戶，市民可以利用移動支付完成公交車、地鐵、出租車消費(fèi)交易，甚至是去超市購物，到加油站加油等。
　　
　　3移動支付中的安全問題
　　
　　3.1移動支付中安全問題現(xiàn)狀
　　
　　我們在分析了目前移動支付國內(nèi)外使用現(xiàn)狀后，提出移動支付中可能隱藏的安全問題如下：
　　
　　1）普通手機(jī)通常沒有加密技術(shù)，在支付過程中往往會造成信息泄露，這已成為移動支付發(fā)展的一大難題。用戶在使用手機(jī)進(jìn)行支付時，未進(jìn)行加密等安全措施保護(hù)，而黑客們通過釣魚或木馬程序就可以竊取用戶信息，將被移動支付功能進(jìn)行非法復(fù)制，從而造成用戶的損失。
　　
　　2）對參與交易各方的身份識別，手機(jī)支付須解決的一大問題就是商家和消費(fèi)者合法身份的確認(rèn)。由于移動支付將銀行、商家緊密，涉及現(xiàn)金轉(zhuǎn)帳的往來，如何解決合法身份認(rèn)證就顯得尤為重要。
　　
　　3）用戶信用體系有待進(jìn)一步建設(shè)和完善，通常一些小額支付業(yè)務(wù)可以通過扣除手機(jī)話費(fèi)的方式進(jìn)行付費(fèi)交易，于是就可能產(chǎn)生手機(jī)話費(fèi)透支、惡意拖欠等現(xiàn)象。同時，由于我國管理不夠完善，許多購買時尚未采取實(shí)名制管理，由此可能造成惡意透支現(xiàn)象發(fā)生。
　　
　　4）手機(jī)丟失會給移動支付用戶帶來損失。由于手機(jī)的便捷攜帶，也使得手機(jī)在日常生活中會出現(xiàn)頻繁丟失的情況，而移動支付通常是手機(jī)卡與銀行卡、信用卡相關(guān)聯(lián)，由此可能造成用戶在丟失手機(jī)后自己的移動支付帳戶被他人冒用的風(fēng)險。
　　
　　移動支付是由銀行、商家、移動支付服務(wù)提供商、認(rèn)證中心、用戶等多元素組成，該系統(tǒng)還與移動網(wǎng)絡(luò)運(yùn)營商，移動網(wǎng)絡(luò)內(nèi)容服務(wù)商，信用卡服務(wù)等其他機(jī)構(gòu)產(chǎn)生業(yè)務(wù)往來，這樣一個龐大而復(fù)雜的移動支付產(chǎn)業(yè)鏈，其安全問題不僅只涉及其技術(shù)本身的安全防范，還會考慮到和其他系統(tǒng)之間的信息的安全傳遞。
　　
　　3.2移動支付安全特性
　　
　　我們在考慮了移動支付面臨的安全問題后，認(rèn)為移動支付系統(tǒng)需要具備下列特性：
　　
　　1）交易雙方身份的認(rèn)證：移動支付功能應(yīng)可以確認(rèn)交易雙方的身份。
　　
　　2）資料信息的私密性：交易必須保持其不可侵犯性，經(jīng)由網(wǎng)絡(luò)送出以及接受的信息應(yīng)是不能被任何闖入者讀取、修改或攔截的。黑客入侵電腦系統(tǒng)前往往利用網(wǎng)絡(luò)窺視、并事先收集使用者在登入系統(tǒng)時輸入的賬號、密碼及使用者姓名等重要信息，再冒名侵入系統(tǒng)。
　　
　　3）資料信息的一致性、完整性：移動支付交易必須保證交易不被破壞或干擾，電子交易的內(nèi)容在用戶端和服務(wù)器間的傳遞過程需要確認(rèn)沒有被改變，也就是信息在交易的處理過程中不能被任意加入、刪除或修改。
　　
　　4）不可否認(rèn)性：移動支付必須是防止發(fā)送方或接收方抵賴所傳輸?shù)南⒌囊环N安全服務(wù)。也就是說，當(dāng)接收方接收到一條消息后，能夠提供足夠的證據(jù)向第三方證明這條消息的確來自某個發(fā)送方，而使得發(fā)送方不能抵賴發(fā)送過這條消息。同理，當(dāng)發(fā)送一條消息時，發(fā)送方也有足夠的證據(jù)證明某個接收方的確已經(jīng)收到這條消息。
　　
　　4移動支付安全技術(shù)分析
　　
　　我們通過對移動支付安全問題的分析，認(rèn)為可以通過無線公鑰基礎(chǔ)設(shè)施（WPKI）、WAP安全、身份認(rèn)證等方式來確保移動支付的安全性。
　　
　　4.1無線公鑰基礎(chǔ)設(shè)施（WPKI）
　　
　　WPKI（WirelessPKI）是有線PKI的一種擴(kuò)展，它將互聯(lián)網(wǎng)電子商務(wù)中PKI的安全機(jī)制引入到移動支付交易過程中。WPKI通過采用公鑰基礎(chǔ)設(shè)施以及證書管理策略，有效地建立了安全有效的無線網(wǎng)絡(luò)通信環(huán)境。WPKI以WAP的安全機(jī)制為基礎(chǔ)，通過管理實(shí)體間關(guān)系、密鑰和證書等來增強(qiáng)移動支付的安全性。WPKI作為安全基礎(chǔ)設(shè)施平臺，一切基于身份驗證的應(yīng)用都需要WPKI技術(shù)的支持，它可與WTLS、TCP/IP相結(jié)合，實(shí)現(xiàn)身份認(rèn)證、私鑰簽名等功能。WPKI的主要組件包括：終端用戶實(shí)體應(yīng)用程序（EE）、PKI門戶（PKIPortal）、認(rèn)證中心（CA）、目錄服務(wù)（PKIDirectory）、WAP網(wǎng)關(guān)以及服務(wù)器等設(shè)備，WPKI的基本工作原理如圖2所示：
　　
　　WPKI基本工作原理為[10]：
　　
　　1）用戶向RA提交證書申請；
　　
　　2）RA對用戶的申請進(jìn)行審查，審查合格后將申請交給CA；CA為用戶生成一對密鑰并制作證書，將證書交給RA；
　　
　　3）CA同時將證書發(fā)布到證書目錄中，供有線網(wǎng)絡(luò)用戶查詢；
　　
　　4）RA保存用戶的證書，針對每一份證書產(chǎn)生一個證書URL，將該URL發(fā)送給移動終端用戶；
　　
　　5）同時有線網(wǎng)絡(luò)服務(wù)器下載證書列表備用；
　　
　　6）移動終端向WAP網(wǎng)關(guān)發(fā)送文檔、簽名及證書URL建立安全WTLS/TLS連接；
　　
　　7）WAP網(wǎng)關(guān)與有線網(wǎng)絡(luò)服務(wù)器建立TLS/SSL連接；
　　
　　8）移動終端和有線網(wǎng)絡(luò)服務(wù)器實(shí)現(xiàn)安全信息傳送。
　　
　　4.2WAP協(xié)議安全方式
　　
　　我們可以通過WAP協(xié)議方式來解決移動支付交易協(xié)議的安全問題，WAP的安全性主要由WTLS/TLS、以及WMLScriptSignText來實(shí)現(xiàn)。
　　
　　1）WTLS/TLS。無線安全傳輸層WTLS（WirelessTransportLayerSecurity）是根據(jù)工業(yè)標(biāo)準(zhǔn)TLSProtocol制定的安全協(xié)定，是設(shè)計使用在傳輸層之上的安全層。WTLS的功能類似資訊所用的SSL加密傳輸技術(shù)，可以確保資料在傳輸?shù)倪^程中經(jīng)過編碼、加密處理，以避免黑客在資料傳輸過程中竊取保密性資料。WTLS被設(shè)計在兩個通信應(yīng)用之間提供私密性、資料一致性和身份認(rèn)證服務(wù)。WTLS支持不同的安全等級，每一個等級都牽涉到不同的握手（Hand-shake）需求，較高等級的安全性可能需要較復(fù)雜的握手程序及較大的頻寬。WTLS支持不同的加密機(jī)制，并依據(jù)密鑰的長度劃分不同的安全等級[11]。
　　
　　2）WMLScriptSignText。使用者可以通過輸入一些文字決定接受或拒絕寫入的應(yīng)用。WAP瀏覽器提供一個WMLScript功能，Crypto.signText用來要求使用者輸入一些字串。當(dāng)呼叫SignText方法時，顯示使用者輸入的字串，要求使用者確認(rèn)。例如，當(dāng)使用者接受時，必須輸入PIN碼。資料簽署后，簽章和資料會傳回服務(wù)器，服務(wù)器在取得數(shù)位簽章后驗證使用者身份。
　　
　　4.3身份認(rèn)證方式
　　
　　在移動支付中，zui關(guān)鍵的問題是使用者的身份認(rèn)證，我們提出以下五種方式可以提供不同安全程度的認(rèn)證：
　　
　　1）號碼采用實(shí)名制管理；
　　
　　2）移動支付加入固定的密碼；
　　
　　3）移動支付過程中采用共用一副密鑰，并開展對稱式加密進(jìn)行數(shù)據(jù)交換；
　　
　　4）移動支付中可采用動態(tài)密碼管理的方式，密碼采用*性管理；
　　
　　5）移動支付中可運(yùn)用移動PKI做身份認(rèn)證，如WIM。
　　
　　在實(shí)際操作中，將根據(jù)不同的因素和安全需求決定不同的身份認(rèn)證方式。小額移動支付認(rèn)證可以采用號碼和固定密碼認(rèn)證，大額移動支付認(rèn)證可以采用固定的密碼和動態(tài)密碼來提高安全性。并且，以WIM為基礎(chǔ)的移動PKI認(rèn)證方式可以同時滿足以上兩項要求，進(jìn)而可以完成更多的移動支付功能。
　　
　　5結(jié)束語
　　
　　隨著手機(jī)的普遍使用，用戶通過手機(jī)來完成移動支付更加普及。人們不但可以通過移動支付在互聯(lián)網(wǎng)上進(jìn)行購物、處理日常消費(fèi)、處理銀行相關(guān)業(yè)務(wù)，還可以利用手機(jī)錢包在POS機(jī)上進(jìn)行近距離刷卡消費(fèi)，大大方便了人們的生活。但是，移動支付的安全問題不容忽視。我國在研究移動支付安全技術(shù)方面，可以采用統(tǒng)一標(biāo)準(zhǔn)規(guī)范，完善交易流程、加密與電子認(rèn)證、在線支付、信用管理、供應(yīng)鏈管理、系統(tǒng)集成等關(guān)鍵技術(shù)，逐步制訂移動電子商務(wù)業(yè)務(wù)和技術(shù)規(guī)范，加快制定和完善行業(yè)相關(guān)業(yè)務(wù)規(guī)范和標(biāo)準(zhǔn)，并加大安全芯片、SIM卡、智能讀卡設(shè)備等研發(fā)力度，共同來推進(jìn)移動支付的產(chǎn)業(yè)化應(yīng)用。