引言
　　
　　隨著我國電子商務的廣泛應用，人們使用的支付方式早已不局限于現金本身，而擴大到銀行卡、網上銀行、銀行等多種方式。目前，隨著我國的廣泛使用，基于移動終端的應用愈加廣泛，在這種移動通訊工具上應運而生產生了更便利的移動支付功能，人們可以利用手機登錄互聯網進行遠程購物消費，可以在便利店、商場、超市等進行現場刷卡消費[1-3]。然而，作為一種新興的電子支付方式，移動支付擁有傳統支付方式*的優勢，但是其安全性也更多引起人們的關注。由于目前發生移動支付行為是基于上綁定的銀行卡、信用卡以及與商家之間完成，或者基于手機SIM卡與POS機近距離完成，故此，類似于密碼破解、信息復制、病毒感染等都有可能對移動支付造成重大的損失。因此，我們有必要對移動支付的安全性進行分析，并通過技術手段來進行解決[3-5]。
　　
　　1移動支付概念及分類
　　
　　1.1概念辨析
　　
　　目前，在日常生活中圍繞移動支付涉及眾多新型支付詞語眾多，包括移動支付、手機支付、移動錢包、手機錢包、移動銀行、手機銀行等，它們之間相互又互有不同。
　　
　　所謂移動支付也稱為手機支付，就是允許用戶使用其移動終端（通常是手機）對所消費的商品或服務進行賬務支付的一種服務方式。單位或個人通過移動設備、互聯網或者近距離傳感直接或間接向銀行金融機構發送支付指令，產生貨幣支付與資金轉移行為，從而實現了移動支付功能。移動支付將終端設備、互聯網、應用提供商以及金融機構相融合，為用戶提供貨幣支付、繳費等金融業務。所謂移動錢包也稱為手機錢包，是指中國移動開發的基于無線射頻識別技術（RFID）的小額電子錢包業務。用戶辦理該業務后，即可利用手機在中國移動合作的商戶進行POS機刷卡消費。手機錢包（移動錢包）是用于中國移動用戶移動電子商務交易支付的中間帳戶，可更好地滿足銀行對小額移動電子商務結算處理的需求，滿足商戶對小額商品交易管理的需求，方便用戶使用。用戶開通手機錢包業務后，就能有一個與綁定的消費賬戶，賬戶直接就是，往這個賬戶上充值[7]，就像是給手機內置了鈔票，在商家消費的時候，在的POS刷卡機前晃晃手機就能結賬，也可以上網或發短信進行遠程購物，此外，這個業務也可以用于企業的門禁系統和企業內部消費，如食堂用餐、內部消費等。
　　
　　所謂移動銀行也稱為手機銀行，是利用移動通信網絡及終端辦理相關銀行業務的簡稱。手機銀行是由手機、GSM短信中心和銀行系統構成。在手機銀行的操作過程中，用戶通過SIM卡上的菜單對銀行發出指令后，SIM卡根據用戶指令生成規定格式的短信并加密，然后指示手機向GSM網絡發出短信，GSM短信系統收到短信后，按相應的應用或地址傳給相應的銀行系統，銀行對短信進行預處理，再把指令轉換成主機系統格式，銀行主機處理用戶的請求，并把結果返回給銀行接口系統，接口系統將處理的結果轉換成短信格式，短信中心將短信發給用戶。
　　
　　我們通過對三組概念的比較可以發現，移動支付（手機支付）是一個整體概念，用戶通過移動設備、互聯網或近距離傳感進行移動業務處理。移動錢包（手機錢包）更傾向于小額電子錢包業務，它的主要消費方式就是在POS刷卡機前刷卡進行現場支付。移動銀行（手機銀行）主要是辦理相關銀行業務，也就是說用戶使用手機進行銀行業務操作時，實際上是和銀行發生相關業務往來，比如說查詢賬單、銀行轉賬等。
　　
　　1.2方式分類
　　
　　根據移動支付在電子商務中的應用，我們認為移動支付可以按業務種類分為以下幾種方式：
　　
　　1）SMS（ShortMessageService，短消息業務），終端用戶通過發送短消息的形式請求服務內容，從用戶的話費中扣除費用，通常只適合于小額支付，如：利用短信支付服務進行鈴聲下載等。
　　
　　2）WAP（WirelessApplicationProtocol，無線應用通訊），終端用戶通過訪問WAP站點，進行簡單的金融業務，用戶可通過手機上網進行遠程操作，如：在互聯網上進行購物及繳話費、水費、電費、燃氣費等。
　　
　　3）USSD（UnstructuredSupplementaryServiceData，非結構化補充數據業務），是一種基于GSM網絡的新型交互式數據業務，如證券交易、移動銀行業務等。
　　
　　4）NFC（NearFieldCommunication，短距離通訊），是一種短距離的無線連接技術，用戶可以使用“手機錢包”在合作商戶POS機上現場刷“機”消費，比如說：在便利店、商場、超市等場所進行現場刷卡消費。
　　
　　2移動支付國內外發展現狀
　　
　　2.1國外發展現狀
　　
　　美國三大移動通信運營商AT&T、T-和Verizon無線于2010年11月合資成立了移動支付公司ISIS。該公司計劃于2012年在鹽湖城進行試點，利用移動支付功能完成鹽湖城零售商的銷售結算，并為猶他州交通管理局提供一種移動車票支付方式。公司設想把鹽湖城以及其他城市變成消費者無需隨身攜帶錢包，使用手機取代現金和信用卡消費的地方。日前，AiteGroup發布的2010~2013年美國賬單支付渠道和方式的預測數據顯示，未來三年，移動支付將增長377%，成為美國人日常賬單支付中增長zui快的渠道，網上支付、借記卡支付、支付也將分別增長18%、4%、1%。
　　
　　歐盟從2007年底開始重視移動支付功能，英國的信用卡發行商Barclaycard、諾基亞和VisaEurope等合作推出手機錢包業務，主要用于乘坐公共交通工具、買報紙時的小額支付。截止2011年3月，歐洲五國（英國、法國、西班牙、德國、意大利）市場上，總共有2000萬手機用戶，其中8.5%的手機用戶開通了手機移動支付功能。
　　
　　日本的手機錢包已經拓展到大額支付，甚至包括了消費信貸和股票投資業務。日本移動支付市場發展的首要推動者是NTTDoCoMo。早在1999年，NTTDoCoMo即推出i-mode手機互聯網服務，并獲得巨大成功。為發展移動信用卡業務，NTTDoCoMo于2005年4月同三井住友金融集團（SMFG）及其旗下的三井住友卡及三井住友銀行公司結成戰略聯盟，并斥資980億日元開展移動支付功能開發。
　　
　　在韓國，目前70%的電子支付（即超過10億美元的交易額）都是由移動支付完成的。通過與運營商合作，幾乎所有的韓國零售銀行都提供手機銀行業務。現在，每個月有超過30萬人在購買新手機時會選擇具備特殊記憶卡的插槽，用以儲存銀行交易資料，并進行交易時的信息加密。
　　
　　2.2國內發展現狀
　　
　　在我國，移動支付產業屬于新興產業。截止2010年底，我國手機用戶達7.4個億，開通移動支付功能用戶達1.92億，實現交易6268.5萬筆，支付金額共170.4億元。并且，目前已開展了多個SIMpass試點應用示范工程，包括湖南移動、重慶移動、廈門移動、廣東移動、南京移動等。其中，湖南移動2009年下半年開始進行SIMpass試點工作，目前主要應用包括湖南移動辦公大樓門禁，食堂用餐，美容美發消費及停車場繳費。重慶移動在小額支付領域方面構建起了全國zui成熟的現場手機小額支付商業環境。截至2009年8月，重慶RFID現場移動支付用戶數已達到50萬戶，商戶數達到4000家，鋪設POS機5500余臺，每月消費額超過500萬元，用戶充值金額超過300萬元。廈門移動已經采購兩萬張雙界面SIM卡用于公交一卡通的應用，目前已經發放500張卡片，使用效果良好。并且，廈門移動與廈門e通卡及建行正洽談移動支付平臺的建設。廣東移動已經確定搭建基于雙界面SIM卡的移動支付平臺，主要應用在廣州的地鐵項目。并且，廣東移動已將SIMpass用于大樓門禁、食堂用餐等，員工充分體驗這項技術帶來的便利。南京移動全新推出的“智匯移動手機一卡通”業務，將惠及全市700萬的移動用戶，市民可以利用移動支付完成公交車、地鐵、出租車消費交易，甚至是去超市購物，到加油站加油等。
　　
　　3移動支付中的安全問題
　　
　　3.1移動支付中安全問題現狀
　　
　　我們在分析了目前移動支付國內外使用現狀后，提出移動支付中可能隱藏的安全問題如下：
　　
　　1）普通手機通常沒有加密技術，在支付過程中往往會造成信息泄露，這已成為移動支付發展的一大難題。用戶在使用手機進行支付時，未進行加密等安全措施保護，而黑客們通過釣魚或木馬程序就可以竊取用戶信息，將被移動支付功能進行非法復制，從而造成用戶的損失。
　　
　　2）對參與交易各方的身份識別，手機支付須解決的一大問題就是商家和消費者合法身份的確認。由于移動支付將銀行、商家緊密，涉及現金轉帳的往來，如何解決合法身份認證就顯得尤為重要。
　　
　　3）用戶信用體系有待進一步建設和完善，通常一些小額支付業務可以通過扣除手機話費的方式進行付費交易，于是就可能產生手機話費透支、惡意拖欠等現象。同時，由于我國管理不夠完善，許多購買時尚未采取實名制管理，由此可能造成惡意透支現象發生。
　　
　　4）手機丟失會給移動支付用戶帶來損失。由于手機的便捷攜帶，也使得手機在日常生活中會出現頻繁丟失的情況，而移動支付通常是手機卡與銀行卡、信用卡相關聯，由此可能造成用戶在丟失手機后自己的移動支付帳戶被他人冒用的風險。
　　
　　移動支付是由銀行、商家、移動支付服務提供商、認證中心、用戶等多元素組成，該系統還與移動網絡運營商，移動網絡內容服務商，信用卡服務等其他機構產生業務往來，這樣一個龐大而復雜的移動支付產業鏈，其安全問題不僅只涉及其技術本身的安全防范，還會考慮到和其他系統之間的信息的安全傳遞。
　　
　　3.2移動支付安全特性
　　
　　我們在考慮了移動支付面臨的安全問題后，認為移動支付系統需要具備下列特性：
　　
　　1）交易雙方身份的認證：移動支付功能應可以確認交易雙方的身份。
　　
　　2）資料信息的私密性：交易必須保持其不可侵犯性，經由網絡送出以及接受的信息應是不能被任何闖入者讀取、修改或攔截的。黑客入侵電腦系統前往往利用網絡窺視、并事先收集使用者在登入系統時輸入的賬號、密碼及使用者姓名等重要信息，再冒名侵入系統。
　　
　　3）資料信息的一致性、完整性：移動支付交易必須保證交易不被破壞或干擾，電子交易的內容在用戶端和服務器間的傳遞過程需要確認沒有被改變，也就是信息在交易的處理過程中不能被任意加入、刪除或修改。
　　
　　4）不可否認性：移動支付必須是防止發送方或接收方抵賴所傳輸的消息的一種安全服務。也就是說，當接收方接收到一條消息后，能夠提供足夠的證據向第三方證明這條消息的確來自某個發送方，而使得發送方不能抵賴發送過這條消息。同理，當發送一條消息時，發送方也有足夠的證據證明某個接收方的確已經收到這條消息。
　　
　　4移動支付安全技術分析
　　
　　我們通過對移動支付安全問題的分析，認為可以通過無線公鑰基礎設施（WPKI）、WAP安全、身份認證等方式來確保移動支付的安全性。
　　
　　4.1無線公鑰基礎設施（WPKI）
　　
　　WPKI（WirelessPKI）是有線PKI的一種擴展，它將互聯網電子商務中PKI的安全機制引入到移動支付交易過程中。WPKI通過采用公鑰基礎設施以及證書管理策略，有效地建立了安全有效的無線網絡通信環境。WPKI以WAP的安全機制為基礎，通過管理實體間關系、密鑰和證書等來增強移動支付的安全性。WPKI作為安全基礎設施平臺，一切基于身份驗證的應用都需要WPKI技術的支持，它可與WTLS、TCP/IP相結合，實現身份認證、私鑰簽名等功能。WPKI的主要組件包括：終端用戶實體應用程序（EE）、PKI門戶（PKIPortal）、認證中心（CA）、目錄服務（PKIDirectory）、WAP網關以及服務器等設備，WPKI的基本工作原理如圖2所示：
　　
　　WPKI基本工作原理為[10]：
　　
　　1）用戶向RA提交證書申請；
　　
　　2）RA對用戶的申請進行審查，審查合格后將申請交給CA；CA為用戶生成一對密鑰并制作證書，將證書交給RA；
　　
　　3）CA同時將證書發布到證書目錄中，供有線網絡用戶查詢；
　　
　　4）RA保存用戶的證書，針對每一份證書產生一個證書URL，將該URL發送給移動終端用戶；
　　
　　5）同時有線網絡服務器下載證書列表備用；
　　
　　6）移動終端向WAP網關發送文檔、簽名及證書URL建立安全WTLS/TLS連接；
　　
　　7）WAP網關與有線網絡服務器建立TLS/SSL連接；
　　
　　8）移動終端和有線網絡服務器實現安全信息傳送。
　　
　　4.2WAP協議安全方式
　　
　　我們可以通過WAP協議方式來解決移動支付交易協議的安全問題，WAP的安全性主要由WTLS/TLS、以及WMLScriptSignText來實現。
　　
　　1）WTLS/TLS。無線安全傳輸層WTLS（WirelessTransportLayerSecurity）是根據工業標準TLSProtocol制定的安全協定，是設計使用在傳輸層之上的安全層。WTLS的功能類似資訊所用的SSL加密傳輸技術，可以確保資料在傳輸的過程中經過編碼、加密處理，以避免黑客在資料傳輸過程中竊取保密性資料。WTLS被設計在兩個通信應用之間提供私密性、資料一致性和身份認證服務。WTLS支持不同的安全等級，每一個等級都牽涉到不同的握手（Hand-shake）需求，較高等級的安全性可能需要較復雜的握手程序及較大的頻寬。WTLS支持不同的加密機制，并依據密鑰的長度劃分不同的安全等級[11]。
　　
　　2）WMLScriptSignText。使用者可以通過輸入一些文字決定接受或拒絕寫入的應用。WAP瀏覽器提供一個WMLScript功能，Crypto.signText用來要求使用者輸入一些字串。當呼叫SignText方法時，顯示使用者輸入的字串，要求使用者確認。例如，當使用者接受時，必須輸入PIN碼。資料簽署后，簽章和資料會傳回服務器，服務器在取得數位簽章后驗證使用者身份。
　　
　　4.3身份認證方式
　　
　　在移動支付中，zui關鍵的問題是使用者的身份認證，我們提出以下五種方式可以提供不同安全程度的認證：
　　
　　1）號碼采用實名制管理；
　　
　　2）移動支付加入固定的密碼；
　　
　　3）移動支付過程中采用共用一副密鑰，并開展對稱式加密進行數據交換；
　　
　　4）移動支付中可采用動態密碼管理的方式，密碼采用*性管理；
　　
　　5）移動支付中可運用移動PKI做身份認證，如WIM。
　　
　　在實際操作中，將根據不同的因素和安全需求決定不同的身份認證方式。小額移動支付認證可以采用號碼和固定密碼認證，大額移動支付認證可以采用固定的密碼和動態密碼來提高安全性。并且，以WIM為基礎的移動PKI認證方式可以同時滿足以上兩項要求，進而可以完成更多的移動支付功能。
　　
　　5結束語
　　
　　隨著手機的普遍使用，用戶通過手機來完成移動支付更加普及。人們不但可以通過移動支付在互聯網上進行購物、處理日常消費、處理銀行相關業務，還可以利用手機錢包在POS機上進行近距離刷卡消費，大大方便了人們的生活。但是，移動支付的安全問題不容忽視。我國在研究移動支付安全技術方面，可以采用統一標準規范，完善交易流程、加密與電子認證、在線支付、信用管理、供應鏈管理、系統集成等關鍵技術，逐步制訂移動電子商務業務和技術規范，加快制定和完善行業相關業務規范和標準，并加大安全芯片、SIM卡、智能讀卡設備等研發力度，共同來推進移動支付的產業化應用。