移动支付应用系统安全等级保护研究
文章从移动支付应用的现状出发,阐述移动支付应用的类型和技术体系架构.在分析移动支付应用系统等级保护对象和风险的基础上,从智能卡、移动支付客户端软件、近场通信网络、远程通信网络四个具备移动支付个性特点的方面,探讨每个方面可采取的安全技术,并提出安全等级保护基本技术要求.智能卡嵌入式软件和应用的保护主要关注软件在下载、安装、删除过程中的安全以及对用户隐私数据、密钥等敏感信息的保护。移动支付客户端软件在下载和获取、安装和更新、清除和卸载过程中应采取认证、签名、加密、访问控制等安全技术保证软件的真实性、可靠性,防止木马、钓鱼等威胁造成用户敏感信息泄露和交易风险。在登录、支付等人机交互过程中应采取个人敏感信息隐藏、动态验证码等安全手段保证人机交互的信息安全。应采取安全编码、完整性校验等技术保证软件自身安全和接口安全。在数据输入、访问、存储、传输过程中应采取加密、完整性校验、抗抵赖等技术保证重要数据和敏感数据安全,防止用户敏感信息泄露和交易风险。近场通信网络应采取防扫描的措施防止恶意攻击者通过扫描获取用户敏感信息;近场支付应用应针对每次交易采取动态的认证方式;SE和受理终端之间应产生会话密钥以建立一个安全通道,防止交易信息被截获以及交换信息完整性遭到破坏。远程通信网络宜选择3G,4G等技术提升SIM卡被破解的难度;采取移动支付应用和IMEI号、IMSI号绑定的方式提升认证强度以防止身份假冒;针对无线网络,采取端到端的加密手段。
网络应用系统 等级保护 智能卡 客户端软件 通信网络
李宏达
上海市信息安全测评认证中心,200011
国内会议
合肥
中文
580-583
2013-06-01(万方平台首次上网日期,不代表论文的发表时间)