日本好大好硬好爽免费视频

<acronym id="ecc4e"></acronym>
  • <sup id="ecc4e"></sup>
  • <optgroup id="ecc4e"><sup id="ecc4e"></sup></optgroup>
  • <optgroup id="ecc4e"><u id="ecc4e"></u></optgroup>
    <optgroup id="ecc4e"><acronym id="ecc4e"></acronym></optgroup>
  • <small id="ecc4e"><u id="ecc4e"></u></small>
    無憂支付網首頁
    囊括國內所有第三方支付公司信息
    為客戶提供最優質的支付接口服務
    24小時服務電話
    182 2176 9212
    站內搜索
    您當前的位置:主頁 > 支付知識 >

    移動支付系統安全性分析

    添加時間:2017-08-14 14:44
      本文首先介紹移動支付系統的體系結構與支付流程,然后分別從移動支付系統各個網絡層次安全性、支付協議安全性和安全性評估等角度對現有國內外研究現狀進行綜述,最后對現有研究進行總結并分析不足,指出未來的發展方向。
      
      1 移動支付系統體系結構與支付流程。
      
      現有移動支付系統主要分為遠程支付和近場支付兩種.遠程支付是指采用中遠距離無線通信技術,如 4G、Wi-Fi、GSM 進行支付的方式。近場支付是指用手機刷卡的方式進行支付,采用的為無線近距離通信技術,如藍牙、RFID、NFC等.從網絡體系結構角度分為應用層、網絡層、控制層和非接觸層,如圖1 所示。其中應用層為用戶提供移動支付的 APP 軟件和服務;網絡層負責為用戶的移動設備提供網絡接入服務;控制層為支付安全所需的硬件模塊,典型的如移動 TPM;非接觸層提供了近場通信接口和相關功能。
      
    圖 1 移動支付網絡體系結構
      
      典型的移動支付流程如圖 2 所示。
      
    圖 2 移動支付流程
      
      1)支付請求。用戶通過移動設備的客戶端,通過無線網絡請求支付商家的商品或服務,對于近場支付此步驟為利用 NFC、RFID 等接口刷商家 POS 機,對于遠程支付此步驟為利用 4G 等移動通信網絡上網請求商家的商品或服務。
      
      2)支付受理。商家受理用戶請求并向支付網關申請進行移動支付,此步驟商家通常使用有線網絡連接自己的Web 服務器或 POS 讀卡器完成。
      
      3)身份認證與電子銀行支付。支付網關與電子銀行通過運行移動支付協議,完成買家和賣家的身份確認,處理支付請求。
      
      4)支付確認。支付網關先后與買家和賣家確認交易信息包括:買家電子銀行賬號扣款和賣家電子銀行賬號收款。
      
      5)交易收貨。賣家給予買家商品或服務。
      
      2 移動支付安全性研究。
      
      目前國內外對于移動支付系統的安全性研究多從移動支付系統的網絡體系結構出發,研究各層安全性及相應的安全防御與增強措施。主要的研究領域主要包括各層安全性、移動支付協議與安全性評估模型等。
      
      2.1 各層安全性。
      
      1)非接觸層安全。在非接觸層,采用最為廣泛的是NFC 接口,國內外對于近場支付的研究也多針對 NFC.非接觸層安全威脅主要包括:終端安全和通信安全。終端安全的威脅主要在讀寫器模式下攻擊者通過各種非法途徑復制、篡改和破壞存儲在 NFC 手機標簽中的數據。由于通信雙方采用 NDEF 數據格式,因此相關研究主要關注NDEF 格式的漏洞發現和分析以及安全性增強,F有解決方案主要為對標簽進行加密或簽名。另外,手機丟失、SIM卡克隆、對芯片植入病毒也是終端安全研究的熱點。通信安全的威脅主要是由于 NFC 采用無線通信技術,各種典型無線通信攻擊在 NFC 中均存在,如被動偵聽、拒絕服務攻擊(干擾攻擊)、中間人攻擊、重放攻擊、消息插入篡改等,F有解決方案主要包括:建立加密的安全信道,如采用 Diffie-Hellmann 密鑰交換協議。
      
      2)控制層安全?刂茖影踩饕婕翱刂茖拥挠布约安僮飨到y安全。前者主要集中在安全算法模塊,該模塊為手機提供各種加密算法和數字證書,為安全交易提供數據隔離保護和 API.攻擊者的攻擊行為可導致該模塊受損喪失可用性、證書或密鑰丟失、隱私數據泄露等,F有解決方案主要包括:采用密碼學手段保護在該模塊中存儲和傳輸的數據、開發專用的 NFC 安全算法模塊芯片以及建立加密的安全信道,如采用 Diffie-Hellmann 密鑰交換協議。后者則為操作系統平臺的內核、架構與權限管理等的安全性,如 Android 安全、iOS 安全等。
      
      3)網絡層安全。在移動支付系統中,遠程支付需要通過網絡層訪問 Internet 完成支付交易,在近場支付中除了NFC 往往也需要網絡層完成其他相關的交易環節。在移動支付系統中,典型的網絡層通信技術包括:Wi-Fi、GSM、4G 等。Wi-Fi 系統安全主要受到無線干擾攻擊、密鑰暴力破解、偽造AP 等威脅。相關研究主要包括攻擊方法、網絡協議分析與形式化驗證、安全性增強等.GSM 通過認證和加密保護用戶數據和信令數據的安全性以及防止非授權用戶訪問網絡資源。GSM 的主要弱點和攻擊包括:認證單向性導致的中間人攻擊、加密算法漏洞、SIM 卡克隆、重放攻擊、無線干擾攻擊、傳輸信道威脅等。4G 通信技術的安全結構在 GSM 安全特性的基礎上,針對新業務特點進一步提高安全性形成了完善的安全保障體系。然而在實際應用中,4G 認證在密鑰協商、數據加密算法等方面仍然有改進的必要,F有的研究主要包括:4G 安全體系中網絡協議的形式化分析、與 WLAN 網絡的安全融合、安全協議的設計與改進等.
      
      4)應用層安全。運行在手機上以完成支付交易的各種APP 構成了應用層。目前已有基于 J2ME 的手機支付系統開發接口,并已有對應的惡意軟件出現,手機病毒、釣魚攻擊等更加劇了這種狀況。相關研究包括了手機惡意軟件的檢測、安全的編程接口、統一的安全支付軟件標準、手機隱私保護等.
      
      2.2 移動支付協議。
      
      在移動支付環境中, 由于無線帶寬的限制,加之移動設備如智能手機計算能力有限且需要電池供電,導致移動支付協議計算量不能過大,協議交互步驟不能過多,因此傳統的有線網絡電子支付協議很難直接應用于移動支付中。
      
      這就需要對現有的電子支付協議進行改進以適用于移動支付或開發新的移動支付協議。
      
      1)現有支付協議的改進。對于現有支付協議的改進主要集中在 SET 協議。SET 協議作為一個協議族,主要分為證書申請協議和支付協議。在實際應用中,交易各方往往已經通過安全通道獲得數字證書,因此,支付協議的安全性更加受到研究人員關注。肖茵茵等人對 SET 協議支付子協議給出了更貼近原協議的簡化,并指出了原支付協議的漏洞,主要有持卡人無法對支付網關進行認證和支付網關由商家決定,可能存在惡意商家與支付網關串通的可能。文獻 [5] 還對協議進行了改進,同時對協議的安全性進行了形式化驗證。林宏剛等人使用串空間理論分析了參與者中途自愿退出或者因失效中止協議情形下移動支付協議的公平性,并進行了改進。另外,有學者提出了一種支持移動支付協議,通過采用對稱加密算法替換 SET 協議中的公鑰加密算法,減小 SET 協議的計算量以適應移動支付環境;針對 SET 協議無法保證商品原子性、無法解決交易糾紛、缺少時間信息、信任問題等漏洞,有學者提出對 SET 支付協議進行改進,包括:預付款、時間戳、交易記錄存儲、敏感數據銷毀機制以及信用評價機制等。
      
      2)新的移動支付協議。早期的移動支付協議注重算法的高效實現,忽略了安全性,如 Payword 協議不滿足不可否認性、公平性。后續的改進采用單 Hash 鏈修正了部分安全性問題,但依然無法滿足公平性。采用雙 / 多重 Hash鏈實現了公平性但終端計算量偏大。為進一步減少終端運算量,基于 ECC 的方案被提出。對于通信條件受限的移動環境,多采用離線第三方機制。王紅新等人提出了新的支付模式和系統架構,給出了基于預信任與公共服務域的移動支付協議族。引入盲簽名、基于身份的密碼方案等安全技術保證移動支付的安全特性。其他的典型工作包括:
      
      移動支付協議中錯誤處理和控制的子協議 ;5 種典型的基于公鑰加密的移動支付協議的性能評價;采用了WPKI 和簽密(Signcryption)技術的基于手機智能卡(UICC)的支付協議 ;基于 EMV 芯片卡的 NFC 手機支付協議 EMV-TLS ;基于 SMS 的移動支付協議;基于對稱密鑰的中心支付網關模型的安全支付協議.
      
      2.3 安全性評估。
      
      目前網絡信息系統的安全性評估已形成較為成熟的技術和方法,如層次分析法、模糊理論、灰色理論、神經網絡、貝葉斯網絡、粗糙集理論等。在電子商務系統的安全性評估中,上述經典方法都已有研究成果涌現。典型的工作如下:ZHANG等人利用層次分析法(Analytic HierarchyProcess,AHP)AHP 和 D-S 證據理論提出了一種電子商務安全性評估系統,并給出了較為完備的三級指標體系,末端子指標為 27 個,涉及技術、環境和管理等方面。該系統首先利用 AHP 方法建立指標體系內各個指標的權重,然后利用 D-S 理論中的證據合成方法對電子商務系統安全性進行評級。類似的,其他學者利用模糊綜合評價法對電子商務系統進行安全性評估,也建立了三級指標體系,末端子指標為 23 個,涉及網絡安全、傳輸安全、信息安全和物理安全等方面;利用可信性理論改進了基于模糊綜合評價法的電子商務系統安全性評估系統,包含 2 級指標體系,末端子指標為 16 個;利用可拓理論對移動支付系統安全性進行了評估,細化的子指標為 31 個,并將移動支付系統分成移動用戶、無線網絡、移動操作系統等 7 個部分進行綜合評價;利用灰色綜合評價理論對電子商務系統進行安全性評估,包含 2 級指標體系,末端子指標為 20 個;利用神經網絡對電子商務系統進行安全性評估系統,包含2 級指標體系,末端子指標為12 個。XIN等人利用貝葉斯網絡對電子商務系統進行安全性評估,引入接入控制漏洞、證書驗證漏洞、信任漏洞等 6 個安全漏洞。模擬包含不同安全漏洞的網絡場景,根據系統弱點狀態圖測算可靠性,最終對漏洞的安全威脅程度進行排序。由于上述研究中,采用的安全評估算法均為專家經驗,因此現有安全性評估實例研究多為算法驗證,對于真實移動電子支付系統的安全性實例評估研究有待深入。
      
      2.4 安全的移動支付體系。
      
      由于現有的移動支付的安全研究,對于移動支付系統網絡體系結構各個層次的攻擊威脅的研究彼此孤立,并沒有形成整體的網絡安全體系結構。因此,目前對于移動支付的安全性研究依然有待完善。理想的安全移動支付體系應該形成整體的網絡防御手段和安全機制,如圖 3 所示。
      
    圖 3 安全移動支付體系
      
      在非接觸層,應考慮非接觸層接口的硬件安全性,引入如移動 TPM 等安全機制?刂茖討摫WC移動操作系統如 Android、iOS 的安全性。網絡層應保證用戶使用各種網絡接口訪問 Internet 的安全性,應用層應使用輕量級的安全網絡支付協議。同時應該加入跨層的安全機制,如接入層和非接觸層安全聯動。安全評估手段應采用定性與定量相結合的方法,避免僅使用專家經驗。最后,整體安全系統應該能夠根據評估結果對安全性進行自適應的增強。
      
      3 評價與發展對策。
      
      在移動電子商務背景下,現有國內外研究對于移動支付網絡體系結構的各個層次、攻擊方法和對應的防御措施都取得了一定的研究成果,但依然存在一些問題亟待解決。
      
      首先,對于移動支付系統網絡體系結構各個層次的攻擊威脅的研究彼此孤立,并沒有形成整體的攻擊建模手段和識別方法。同時,現有的安全評估方法多為專家經驗,指標雖很完備,但每個指標所代表的安全性威脅無法定量分析。同時缺少整體的安全體系架構。
      
      其次,支付協議與網絡大數據融合程度不高。海量的移動支付交易數據和社交媒體數據如微信、直播等多用來進行商品推送。交易中的信任表示和度量、信任模型、與安全支付決策和相關協議機制的聯動等研究有待加強和深化。
      
      最后,現有的安全解決方法大都要求使用復雜的高強度加密算法、安裝數字證書,而在移動社交商務中,用戶大都使用計算能力相對較低的移動設備,同時點對點電子交易越來越常見,如二手轉轉、咸魚等。因此,輕量級的可適用于移動設備的安全支付體系和相關協議機制亟待解決。
      
      當然,未來移動支付的安全性研究不但應在上述技術層面加強研究,在政府政策層面也應完善與提高,鼓勵金融創新并加強對移動支付領域安全的監管,利用社交媒體加強信息安全的宣講,提高普通用戶的安全意識等。
    日本好大好硬好爽免费视频
    <acronym id="ecc4e"></acronym>
  • <sup id="ecc4e"></sup>
  • <optgroup id="ecc4e"><sup id="ecc4e"></sup></optgroup>
  • <optgroup id="ecc4e"><u id="ecc4e"></u></optgroup>
    <optgroup id="ecc4e"><acronym id="ecc4e"></acronym></optgroup>
  • <small id="ecc4e"><u id="ecc4e"></u></small>