微信移动支付安全与风险防范(下）

　　在我们上一节的内容中，我们介绍了移动支付需要考虑以下安全问题:

　　(1)移动终端接入支付平台的安全。包括用户注册时,签约信息的安全传递,以及用户通过移动终端登录系统,其间传递的数据如签约用户名、签约密码等的安全性。

　　(2)支付平台内部数据传输的安全,即支付平台内部各模块之间数据传输的安全性。

　　(3)支付平台数据存储的安全,涉及签约用户的机密性的银行卡账户、密码、签约用户名和签约密码等的安全性。

　　知识点1.消息认证消息认证是检验数据的完整性,通过对消息或者与消息有关的信息进行加密或签名变换进行的认证,目的是为了防止传输和存储的消息被有意无意地篡改,包括消息内容认证(即消息完整性认证)、消息的源和宿认证(即身份认证)、消息的序号和操作时间认证等。它在票据防伪中具有重要应用(如税务的金税系统和银行的支付密码器)。消息认证所用的摘要算法与一般的对称或非对称加密算法不同,它并不用于防止信息被窃取,而是用于证明原文的完整性和准确性,也就是说,消息认证主要用于防止信息被算改。

　　知识点2.数数字签名数字签名(又称公钥数字签名、电子签章)是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证证。数字签名(DigitalSignature)技术是不对称加密算法的典型应用。

　　知识点3.双重数字签名国在实际商务活动中经常出现这种情形,即持卡人给商家发送订购信息和自己的付款账户信息,但不愿让商家看到自己的付款账户信息,也不愿让处理商家付款信息的第三方看到订货信息。在移动电子商务中要实现该目标,需要双重签名技术,持卡人将发给商家的信息(报文1)和发给第三方的信息(报文2)都生成报文摘要1和2,合在一起生成报文摘要3,并签名;然后将报文1、报文摘要2和报文摘要3发送送给商家,将报文2、报文摘要1和报文摘要3发送给第三方;接收者根据收到的报文生成报文摘要3,确定持卡人的身份和信息是否被修改过。双重签名解决了三方参加电子贸易过程中的安全通信问题。

　　知识点4.数字证书数字证书就是互联网通信中标志通讯各方身份信息的一系列数据,提供了一种在因特网上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威CA机构,又称为证书授权(CertificateAuthority)中心发行的,人们可以在网上用它来识别对方的身份。

　　小编结语：拓展一下，其实数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。