手机支付应用层安全威胁，密码破解轻而易举

手机支付因其便携性而备受人们喜爱，但由于相应支付体制还不完善等问题的存在，相对应的诈骗案件亦是时有发生，接下来就手机支付应用层角度为大家解析一下这个中缘由。

手机应用层威胁主要是从用户、数据、业务流程、业务应用四方面的信息安全来考虑。那么应用层出现的威胁是怎样产生的呢？佰佰小编来为您介绍吧！

应用层威胁：

1、对于用户为而言，各类用户通过网络登录后台系统过程中，其账户、口令可能会被嗅探，导致用户或口令信息被盗取或泄漏后，存在用户身份伪造和欺骗的威胁；

2、支付系统的数据主要涉及密钥/证书等信息、用户相关信息、应用配置信息、交易信息、系统信息等，这些数据可能会因密码破解、用户卡攻击、PSAM 卡攻击等手段而遭到泄漏/篡改/破坏；

3、业务流程安全威胁是指系统在信息网络输入、传输、加工、输出等过程中，可能存在数据嗅探、非授权访问、信息篡改等威胁；

4、业务应用包括支付模块、帐户模块、PSM 模块、卡管理模块、STK 应用等，当用户信息被盗或手机被盗，这些模块和应用均存在非授权访问威胁或受到来自远程主机的漏洞探测威胁，并可能引起后续攻击。

5、支付平台运营管理漏洞造成的安全威胁

手机支付平台中各核心服务器、网管服务器、安全服务器、业务前置机器以及相关管理工作站，都可能由于系统软件故障、系统安全漏洞、拒绝服务、操作失误、非授权访问、病毒蠕虫等原因导致系统破坏。

应用层安全管理策略

1、手机终端安全：对于手机终端的各种不同接入方式将提供相应的安全手段，除基本的密码方式外，对于短消息方式，不用 STK 时，采用封闭网络保证安全，使用 STK 时，在应用层对短消息进行加密；对于 WAP1.2，通过TLS+SSLTLS 保证两段传输安全；对于WAP2.0，通过端到端的 TLS 保证安全；对于 BREW 方式由应用层与移动终端动态口令系统共同保证安全。

2、通信传输安全：通信安全是通过安全协议实现的。为保证应用之间通过网络进行通过程中的数据安全、数据完整性，根据业务场景的不同以及业务需求的不同，采用合适的安全协议。对于文件传输和远程登录的需求，需要采用标准的应用层安全通信协议，其中文件传输，建议采用 SFTP 协议，远程登录建议采用 SSH 协议；对于跨互联网的 WEB 通信,可根据需要采用 HTTPS应用层安全协议；对于后台系统间的通信，采用 SSL 协议进行通信，实现双向身份认证和机密性、完整性；对于 SIM卡/手机终端与后台系统间的通信，需要传输层标准协议（如：GSM 03.48），结合采用专用密码体系进行安全通信；对于手机支付系统与第三方系统或移动其它系统间的通信，优先采用业内标准安全协议进行通信或与第三方协商定制专用安全协议。

3、密码体系管理：提供系统的加解密、完整性保证措施及相关的密钥管理机制，采用证书认证系统来进行数据加密。与第三方机构进行交易过程中，对于敏感的交易信息，可以采用数字证书进行数字签名和数据加密。手机支付系统中，所应用的数字证书包括三类，即：服务器证书、企业证书和管理员证书，对于不同类型的证书，申请流程要求不同。数字签名机制是为了满足交互双方对交互信息的不可否认性要求，发出信息（请求信息或响应信息）的一方对信息签名，一方面可以保证信息的完整性，同时可以为对方提供不可否认性。

应用层的安全问题及威胁成为了手机支付业务推广应用的瓶颈，阻碍了手机支付业务的发展。针对上述提出的安全性问题，提出了应对策略，以降低移动支付业务的风险，减少其危害和损失。望应用层威胁能够得到有效解决哦！

责任编辑:黄淑蓉