移动支付中的身份认证技术分析

移动支付中的身份认证技术分析【摘要】身份认证技术作为一种能有效保护交易过程安全的方法，可以有效解决移动支付过程中存在的一些安全性问题，本文分析了身份认证的概念，移动支付中安全问题现状，并介绍了几种常用的身份认证技术。【关键词】移动支付；身份认证；信息安全一、前言由于移动互联网的强劲发展，移动电子商务也逐渐凭借技术和应用上的优越性，显示出了强大的生命力和发展潜力。而影响移动支付业务发展的关键问题是安全性。相对于有线网络的连接方式，无线网络没有特定的界限，窃听者无需进行搭线就可以轻易获得无线网络信号。因此相对于传统的电子商务模式，移动电子商务的安全性更加薄弱。如何保护用户的个人信息不受侵犯，除了需要加密措施外，还需要强有力的身份认证，使得窃听者无从盗用用户权限。二、身份认证的概念身份认证系统是认证、授权与访问控制三个系统相结合的产物。认证是指检测用户或设备所声称身份是否有效的过程；授权是赋予用户、用户组对于特定系统访问权限的过程；访问控制指把来自系统资源的信息流限制到网络中被授权的人或系统。授权和访问大多数情况下都是在成功的认证之后进行的。因此，身份认证技术主要基于以下要素：（1）“Whatyouknow”，如密码和身份证号码等；（2）“Whatyouhave”，如一个动态口令卡、一个IC卡或USBKey等；（3）“Whoareyou”，根据被认证对象身上所具有的特征，如指纹、瞳孔等；（4）“Whereareyou”，根据被认证方所在的位置如地理位置、IP地址等三、移动支付中安全问题的现状（一）信息的泄露。用户在使用手机进行支付时，加密等安全措施保护力度不高，黑客们就可以通过钓鱼网站、木马程序等手段窃取用户信息，将被移动支付功能进行非法复制，从而造成用户的损失。（二）商家和消费者合法身份的确认。移动支付将银行、商家、消费者紧密地联系起来，并涉及大量的现金往来，如何解决合法身份认证就显得尤为重要。（三）用户信用体系的建设和完善。通常一些小额支付业务可以通过扣除手机话费的方式进行付费交易，于是就可能产生手机话费透支、恶意拖欠等现象。同时，由于我国手机号管理不够完善，许多手机号购买时尚未采取实名制管理，由此可能造成恶意透支现象发生。（四）移动终端丢失给移动支付用户带来的损失。移动支付通常是手机卡与银行卡、信用卡相关联，由此可能存在用户在丢失手机后自己的移动支付帐户被他人冒用的风险。四、常用身份认证技术（一）静态口令认证技术静态口令认证是指用户设置登录的用户名和密码，电子商务系统通过验证用户名和密码来确认用户的身份。这种认证机制方法表面看来比较简单，开销小，但实际上，由于许多用户为了防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码，或者把密码抄写在某个自认为安全的地方，这样很容易造成密码泄漏。为提高静态口令的安全性，通常会控制口令的内容。例如，对口令长度和内容的限制（如要求口令长度达到一定长度，要多种符号混合输入等）、要求定期更换口令、不同系统功能采用不同的口令等。采用这些方法可以从口令的复杂程度上提高系统的安全性，但是并不能从根本上解决安全问题，同时也造成用户使用的不方便。但对于安全性要求不是很高的领域，静态口令认证仍然是一种可取的方式。（二）动态口令认证技术以一次性动态口令登录，每次登录的认证信息都不相同。由于每个正确的动态口令只能使用一次，即使非法用户截获了己经通过验证的正确口令，再次提交到认证服务器也不能通过验证，因此不必担心口令在传输认证期间被第三方监听到，从而提高登录过程的安全性。（三）基于数字证书的认证技术数字证书包含用户身份信息、用户公钥以及证书发行机构对该证书的数字签名信息。证书发行机构的数字签名可以确保证书信息的真实性，用户公钥信息可以保证数字信息的完整性，用户的数字签名可以保证数字信息的不可抵赖性。基于X.509证书的认证技术适用于开放式网络环境下的身份认证，该技术已被广泛接受，许多网络安全程序都可以使用X.509证书，如IPsec、SSL、SET、S/MIME等）。但它不可避免地存在着某些缺陷，如：在发布最初的证书时，CA如何验证一个远程用户提供的信息的真实性问题；用户私有密钥保存的安全问题；用户用于取出私钥的通行字的质量问题等等。此类问题在理论上虽不难解决，但在具体实施中却很困难。（四）基于智能卡认证技术智能卡（SmartCard）是一种集成的带有智能的电路卡，它不仅具有读写和存储数据的功能，而且能对数据进行处理。智能卡由于其硬件软件的多种措施的保护，保证了卡内的个人信息不会轻易的被第三方窃取，且其内部自带的数据处理功能可以使得对于关键信息的操作在卡内完成，而不必读取卡中的内容，从而防止了信息在读取过程中泄露的可能性。此外，智能卡可以提供唯一的ID号，系统通过此ID号可以识别使用系统的用户身份。因此，智能卡认证技术被认为是最安全可靠的认证技术之一。智能卡一般是形状与信用卡类似的矩形塑料片，但也有许多其它的形式。近年来出现了许多将智能卡与身份认证相结合的技术，其中，基于USBKey的身份认证是目前比较流行的智能卡身份认证方式。USBKey结合了现代密码学技术、智能卡技术和USB技术，是新一代身份认证技术。（五）基于生物识别的认证技术生物识别这种认证方式是将人体固有的生理或行为特征收集并用电脑进行处理，由此用于个人身份鉴定的技术。基于生物特征的身份认证技术具有以下优点：①没有复杂的密码口令，不易遗忘或丢失；②利用了个人特征的独特性，不易伪造或被盗；③利用了人体本身，无需增加复杂的装置，方便实用。目前，己有的生物特征识别技术主要有指纹识别、掌纹识别、手形识别、人脸识别、虹膜识别、视网膜识别、声音识别和签名识别等。其中，指纹识别是最早研究并利用的，由于人类指纹的唯一性，指纹识别是最方便、最可靠的生物识别技术之一。此外，声音、虹膜、视网膜、脸部特征识别，都是非接触方式进行，易于被用户接受。但目前多数识别技术仍处于研究实验或小范围应用阶段，由于识别设备成本高、对识别正确率没有确切结论、采取的特征会由于某些因素呈现不稳定性等原因，目前还很难真正推广到应用中。参考文献：[1]王秦、支芬和.移动商务身份认证评价指标体系研究[N]技术管理与经济研究2