基于J2ME的移动支付安全方案研究

【摘要】：安全方案对移动支付系统的安全起着决定性作用，特别是无线环境中的安全和对用户即手持设备的认证，是系统成败的关键。 目前移动支付几乎都是基于SMS、WAP的小面额的支付(即微支付)，涉及到银行作为参与方的大额支付即宏支付在少数国家正在试验阶段如日本的I-mode。而在我国微支付才刚刚出现。技术的不公开和较强的安全性要求使得宏支付研究具有很大难度。虽然专为移动设备开发而设计的J2ME平台安全性能逐渐增强，但在J2ME平台上实现的宏支付系统还未出现，而随着技术的进步以及无线信道带宽的增加和移动设备的升级，基于J2ME平台的宏支付必将是移动支付系统的一种发展方向。 为此，本文在比较国外已有的移动支付系统的基础上，结合宏支付的特点及安全要求，并考虑到J2ME平台本身提供的安全性，在此基础上提出了一个基于J2ME的移动支付安全方案，来保证针对宏支付的移动支付系统的安全，重点解决无线环境下的用户的认证问题。接着根据安全方案设计和实施的准则，分析该安全方案的安全性、可行性等性质。最后在J2ME平台上实现了该安全方案。从方案的分析过程和系统运行及测试情况中得到的结论是：该安全方案实现了其安全目标，达到了认证用户即手持设备的目的，能抵抗目前常用基本攻击，且运行性能较优。 本文所做的工作有以下几点： ◆ 深入研究了已有典型的移动支付系统的实现技术及其采用的安全措施和系统的优缺点。 ◆ 根据移动支付的特点和要求，总结出本文要提出的安全方案设计和实施的一般准则。 ◆ 参照安全方案设计和实施的准则，根据移动支付系统实际运行环境的特点，同时结合J2ME平台的安全性质，设计了一个基于J2ME的移动支付安全方案，重点解决用户即手持设备的认证问题。分析了该方案的安全性、可行性等性质。 ◆ 基于J2ME平台，利用手机模拟器，实现了使用该安全方案的移动支付系统。并测试了系统对常用基本攻击的抵制能力。