Mobile e-Pay的安全功能集成了MAC(信息认证码)、DES、MD5、SHA-1和PKCS等加密算法,提供了能够满足不同安全级别要求的灵活的安全特性包。
Mobile e-Pay支持两种形式的安全:双区(two-zone)安全和端到端安全。Mobile e-Pay系统的端到端安全是指由使用用户的个人识别号(PIN)来验证银行交易所必需的认证和数据完整性,PIN是用来验证数字签名的产生过程的。每个认证是唯一的,并且它不依赖于中间的网络功能。端到端安全利用了
SAT(SIM应用工具包)应用,这个SAT应用可以在移动电话上产生数字签名并且将其发送给内容提供商。双区安全包括移动终端和Mobile e-Pay之间的通信安全(Zone 1安全)以及Mobile e-Pay和内容提供商之间的通信安全(Zone 2 安全)。
Mobile e-Pay使用PIN来验证端用户的身份,使用电话号码和PIN一起来解密专用密钥并且确定执行哪一种安全算法。这样Mobile e-Pay就可以在代理中签名数字合同。然后再将合同和签名传输给内容提供商。双区安全要求Mobile e-Pay系统必须驻留在一个可信和安全环境中。
Mobile e-Pay可以使用SSL与内容提供商通信,SSL可以保证Mobile e-Pay和内容提供商之间的安全,这样交易的内容即使在数据包被截获时也不容易被读出来。然而,既然无线传输层安全(WTLS)终止了WAP网关中的端到端安全方案,移动终端和Mobile e-Pay之间的通信安全就依赖于移动网络本身。
1.PIN安全
PIN安全是最简单的认证方法。系统将合同提交给用户并且要求其输入一个秘密PIN,然后这个PIN将返回给Mobile e-Pay。
Mobile e-Pay再通过验证移动站(终端)集成化服务数字号码(MSISDN)对端用户进行认证。Mobile e-Pay使用SSL来验证交易各方的身份并且对Mobile e-Pay节点和与之相连的Internet节点之间的连接进行加密。
GSM网络是使用原生网络安全来认证端用户身份的,而这个方案通过使用用户口令字(一个特定的移动电子商务PIN)进行了改进,它要求用户正确输入口令字以后能够完成交易。
2.PKI安全
PKI是一个应用独立的安全基础设施,它是基于可以保证数据完整性、秘密性、认证和不可否认的公开密钥密码的。PKI负责管理和分发密钥和数字认证。
Mobile e-Pay使用PKI/RSA数字签名来签订合同,以保证电子交易的安全。数字签名在端用户输入PIN进行购物证实时激发,这个特性并不需要SIM应用工具包(SAT)的支持。在从WAP 1.1终端和SMS中接收和签订合同时这个特性是非常有用的。
3.端到端
3DES SAT安全
移动端用户可以使用支持SAT的移动电话来进行数字合同的授权。在WAP 1.1/SAT电话中,这意味着可以使用信 息认证码(MAC)来验证端用户是否同意进行交易。3DES密钥存储在SAT应用中。任何SAT 电话(包括非WAP电话)都可以用来完成由另一个终端启动的支付。
4.端到端
WPKI SAT安全 端用户可以使用支持SAT的移动电话签订数字合同。Mobile e-Pay支持RSA不对称密钥。专用密钥存储在SIM卡中,它允许使用真正的端到端RSA密钥。任何SAT电话(包括非WAP电话)都可以用来push由另一个终端启动的支付。 在过去的电子商务中,售货商一般都无法验证客户是否是信用卡真正的主人或使用一些常用的方法(如签名)来认证用户的身份。如果用户拒绝承认交易,售货商需要面临着被诈骗的风险。因此,许多销售企业更愿意使用现金支付(COD)或者是只购买订单而不是在线完成整个交易,这就大大降低了电子商务的效率。现在有了端到端SAT安全方案,由于SAT应用会受到SIM卡上的个人PIN的保护,因此不仅可以保障交易信息的不可否认性,而且可以防止有人使用或窃取已经认证过的GSM电话进行非法交易。