【IT168 资讯】2012年12月6-7日，由中国通信学会主办的“2012第三届中国移动支付产业年会” 在北京举行，作为中国最权威的移动支付产业交流展示平台，本届年会吸引了移动支付行业内领导、高管及优异专家以及优秀企业齐聚一堂。北京国富安电子商务安全认证有限公司作为支付领域安全专家应邀在大会上发言。

▲

　　会上，国富安信息安全专家针对移动支付，特别是手机支付的安全性进行了深入的剖析，并将移动支付细分为两种支付方式进行阐述，一个是POS机、手机和手机短信等支付方式为进场支付，这种方式已被人们熟知且应用广泛;另一种是基于安卓和苹果系统的智能手机支付为远程支付，这种支付方式在近几年发展最迅速，潜力最大。

　　众所周知，整个移动支付环节需要涉及到用户、银行、商家及资金往来，是保障用户身份的合法性和整个信息安全的基础。从支付的流程来看，就是要保证用户在通过终端输入帐号，登陆支付系统时的信息安全性，以及通过移动网络传输交易数据过程中有没有被修改或拦截，保证整个信息在交易过程中的不可侵犯性。同时，在法律上还要保证整个交易的法律效力。因此，国富安信息安全专家认为，只有符合用户习惯，安全便捷;并且，建立终端用户、服务商和商户等参与交易各环节厂商的有效身份验证模式;和保障移动终端交付平台数据传输的安全，建立成熟的防抵赖机制，才能打造移动支付的安全环境。

　　国富安数字证书(WPKI)有效的解决了目前移动支付面临的相关安全问题，能够把用户、终端、运营服务、安全应用等结合到一起，提供全方位安全解决方案。这也是未来移动终端的一个发展方向，是每个厂商都不能忽视的一点。那么，国富安数字证书(WPKI)在整个移动支付中的优势在哪里?

　　首先，数字证书(WPKI)可以提供非常严谨的身份验证机制。只要用户提交和自己身份相关的用户资料，RA中心收到请求后对用户验证，用户提交资料可以通过RA中心定义，当提交完RA资料申请，RA中心将证书签发到用户的客户端，并在用户客户端产生基于终端的模式。移动支付平台通过基于这种数字认证方式接口之后，可以实现终端用户使用数字证书来访问后台的移动支付方式，有效的解决了移动支付过程中身份验证的安全问题。

　　然后，是传输加密服务。数字证书可以提供签名和加密服务，WPKI通过WTLS加密传输机制保障移动支付的通信通道安全性。

　　其次，WPKI通过数字签名来保障数据完整性。支付过程中，当用户在自己的终端产生一个单据时，可以通过终端用户的私钥进行签名，并把签名数据提交到后台移动支付系统。移动支付系统通过后台中心来验证用户的签名。当签名验证后，确认中间数据完整性没有被篡改，后台中心将会给用户发放支付回执。支付完成后，如若产生对方抵赖行为，该用户签名单据具有法律效力，可为用户提供法律保障。

　　最后，国富安专家通过一组数据解释了为什么WPKI技术能有效地保障移动支付的安全性： WPKI是通过管理实体间关系、密钥和证书来增强电子商务安全的，WPKI所采用的ECC密码系统的密钥长度(163bit)对穷举密钥攻击几乎是绝对安全的，因为穷举163bit的密钥个数有1.156×1049个，按每秒钟测试1亿个密钥计算，破解密钥也要3.6×1032年!

　　作为国内最早接触WPKI技术的厂商之一，国富安公司将互联网电子商务中PKI/CA安全机制引入到移动商务中，从而保障一个安全、可靠的移动网络环境。对于国富安来说，如何为终端用户营造更安全便捷的移动支付环境，是一直以来不懈努力的方向。