第12章

移動互聯(lián)網(wǎng)的攻防12內(nèi)容安排移動互聯(lián)網(wǎng)概述移動終端系統(tǒng)的攻防移動網(wǎng)絡(luò)的攻防移動應(yīng)用的攻防移動支付安全212.1移動互聯(lián)網(wǎng)概述基本概念技術(shù)和學(xué)科分類角度3體系結(jié)構(gòu)角度移動互聯(lián)網(wǎng)是一個涉及多學(xué)科、涵蓋范圍廣的研究和應(yīng)用領(lǐng)域。移動互聯(lián)網(wǎng)分成移動終端、移動網(wǎng)絡(luò)和應(yīng)用服務(wù)3個層次，而且每層都包括相關(guān)的安全保護移動互聯(lián)網(wǎng)概述圖1移動互聯(lián)網(wǎng)的體系結(jié)構(gòu)12.2移動終端系統(tǒng)的攻防Android組件安全和防護攻擊方法概念防護

Android串謀攻擊通過權(quán)限共享或相互通信，多個應(yīng)用可以組成一個協(xié)作的整體進行惡意活動，而每一個單獨的應(yīng)用都能夠繞過安全軟件的權(quán)限檢測，具有非常高的隱蔽性。Android所有組件聲明時，可以通過指定Android:exported屬性值為false來設(shè)置組件不能被外部程序調(diào)用。Activity劫持惡意程序會啟動一個帶FLAG_ACTIVITY_NEW_TASK標(biāo)志的釣魚式Activity覆蓋正常的Activity，從而欺騙用戶輸入用戶名或密碼信息。通過查看最近運行過的程序列表，通過最后運行的程序來判斷Activity是否被劫持過。但此方法依然不夠完善12.2移動終端系統(tǒng)的攻防Android組件安全和防護攻擊方法概念防護BroadcastReceive發(fā)送安全Hacker動態(tài)注冊一個高優(yōu)先級的Action,優(yōu)先響應(yīng)實例發(fā)送的廣播或使BroadcastReceiver實例就永遠(yuǎn)無法收到發(fā)送給自己的廣播。

在發(fā)送廣播時，通過Intent指定具體要發(fā)送到的Android組件或類，廣播就永遠(yuǎn)只能被本實例指定的類所接收。BroadcastReceive接收安全BroadcastReceiver的設(shè)計初衷是全局性，可接收來自本應(yīng)用和其他應(yīng)用發(fā)過來的Intent廣播。這也同時給App帶來了一定的安全風(fēng)險。

LocalBroadcastManager發(fā)送的廣播不會離開所在的應(yīng)用程序，同樣也不會接收來自其它應(yīng)用程序的廣播，因此可以放心的在LocalBroadcastManager

中傳播敏感信息。12.2移動終端系統(tǒng)的攻防Android組件安全和防護攻擊方法概念防護

Service安全對于惡意的stopService()，它破解程序的執(zhí)行環(huán)境，直接影響到程序的正常運行設(shè)置它的Android:exported屬性為false，如果是同一作者的多個程序共享該服務(wù)，則可以使用自定義權(quán)限

ContentProvider安全聲明的ContentProvider沒有權(quán)限控制，這使得一些惡意軟件不需要任何權(quán)限就可以獲取用戶的敏感信息。求在聲明ContentProvider時，定義readPremission

和writePermission。12.2移動終端系統(tǒng)的攻防登錄安全

當(dāng)用戶通過手機等終端進行網(wǎng)絡(luò)支付等操作時首先要登錄，如圖為手機銀行登錄界面。一旦用戶的登錄過程被攻擊者監(jiān)視或劫持，通信數(shù)據(jù)被截獲或破解，將會產(chǎn)生嚴(yán)重的安全問題。根據(jù)對各類安全事件的綜合分析，目前較為嚴(yán)重的安全隱患主要有由加密機制引起的安全問題和由服務(wù)器證書驗證產(chǎn)生的安全問題兩個方面。12.2移動終端系統(tǒng)的攻防加密機制HTTPS方式：HTTPS是以安全為目標(biāo)的HTTP通道，是基于HTTP協(xié)議的安全115版本。HTTPS協(xié)議是在HTTP協(xié)議中加入SSL層，由SSL協(xié)議負(fù)責(zé)其安全性，用于安全的HTTP數(shù)據(jù)傳輸?！癏TTP+數(shù)據(jù)加密”方式：

該方式是指使用HTTP方式進行傳輸，而采用加密機制對傳輸?shù)臄?shù)據(jù)進行加密處理。在該安全機制中，如果數(shù)據(jù)加密機制不完整或過于簡單，就會存在安全風(fēng)險。12.2移動終端系統(tǒng)的攻防服務(wù)器證書驗證安全問題概念：

服務(wù)器證書驗證存在的安全問題是當(dāng)客戶端登錄服務(wù)器時，在通信過程中不對服務(wù)器端身份的合法性進行驗證，從而導(dǎo)致登錄過程容易被“中間人攻擊”劫持。中間人攻擊：

是一種“間接”的入侵攻擊方式，通過各種技術(shù)手段將受入侵者控制的一臺計算機（或手機）虛擬放置在網(wǎng)絡(luò)連接中的兩臺通信計算機之間，這臺計算機就稱為“中間人”。解決方案：針對服務(wù)器登錄過程存在的安全威脅，最有效的解決辦法是采用相對完善的HTTPS安全機制。12.2移動終端系統(tǒng)的攻防盜版程序帶來的安全問題逆向工程：逆向工程也稱為“反向工程”，在信息技術(shù)領(lǐng)域是指對一個信息系統(tǒng)或軟件進行逆向分析及研究，從而得到系統(tǒng)或軟件的架構(gòu)和開發(fā)源代碼等要素，進而對其進一步分析或優(yōu)化處理。目前出現(xiàn)了許多匯編和反匯編工具，如Smali和Baksmali。二次打包：利用Android系統(tǒng)的漏洞，通過在反匯編后的程序中隱藏木馬代碼，以達到篡改原始客戶端軟件的執(zhí)行流程、截獲用戶的賬號信息和隱私信息等目的。防范二次打包的有效方法主要有對APP進行簽名驗證，以及對APP進行加固處理等方式。12.2移動終端系統(tǒng)的攻防服務(wù)器證書驗證安全問題概念：

服務(wù)器證書驗證存在的安全問題是當(dāng)客戶端登錄服務(wù)器時，在通信過程中不對服務(wù)器端身份的合法性進行驗證，從而導(dǎo)致登錄過程容易被“中間人攻擊”劫持。中間人攻擊：

是一種“間接”的入侵攻擊方式，通過各種技術(shù)手段將受入侵者控制的一臺計算機（或手機）虛擬放置在網(wǎng)絡(luò)連接中的兩臺通信計算機之間，這臺計算機就稱為“中間人”。解決方案：針對服務(wù)器登錄過程存在的安全威脅，最有效的解決辦法是采用相對完善的HTTPS安全機制。12.2移動終端系統(tǒng)的攻防認(rèn)證安全雙因子認(rèn)證：認(rèn)證過程是用戶（要求驗證者）向認(rèn)證服務(wù)器（驗證者）輸入自己的身份信息并驗證其真實性的過程，是確保訪問者合法性的重要環(huán)節(jié)。驗證短信的安全分析：主流的短信劫持木馬通常會劫持并自動轉(zhuǎn)發(fā)手機驗證碼短信、密碼找回驗證短信、消費通知短信等多種短信信息，而且這些木馬在轉(zhuǎn)發(fā)信息的同時，還會在本地手機上銷毀短信原文，以避免自身被暴露或被發(fā)現(xiàn)。目前主要通過新技術(shù)的應(yīng)用，權(quán)限管理，短信加密認(rèn)證方法解決該問題12.2移動終端系統(tǒng)的攻防數(shù)據(jù)安全外部存儲安全：外部存儲的方式是直接使用File類在外部存儲設(shè)備上讀寫文件，其他軟件只要擁有內(nèi)存卡讀寫權(quán)限，就可以訪問它的內(nèi)容，即外部存儲的數(shù)據(jù)是完全暴露的，這就給很多惡意軟件留下了獲取其他軟件數(shù)據(jù)的可乘之機，極易造成隱私泄露問題。內(nèi)部存儲安全：外部存儲的方式是直接使用File類在外部存儲設(shè)備上讀寫文件，其他軟件只要擁有內(nèi)存卡讀寫權(quán)限，就可以訪問它的內(nèi)容，即外部存儲的數(shù)據(jù)是完全暴露的，這就給很多惡意軟件留下了獲取其他軟件數(shù)據(jù)的可乘之機，極易造成隱私泄露問題。12.2移動終端系統(tǒng)的攻防移動終端的安全防護措施類別概念終端硬件安全目前，通過使用微探針等物理設(shè)備可以獲得硬件信息和數(shù)據(jù)。通過安全啟動功，可信執(zhí)行環(huán)，可信區(qū)域技術(shù)可避免數(shù)據(jù)泄露操作系統(tǒng)安全移動終端應(yīng)該具備對系統(tǒng)程序進行一致性檢測的能力，系統(tǒng)程序被非授權(quán)修改，那么在啟動過程中就能夠被檢測出來。主動防護技術(shù)主要包括入侵檢測技術(shù)蜜罐技術(shù)、攻擊吸收與轉(zhuǎn)移技術(shù)等安全防護軟件對于移動終端，比較有效的安全防護措施就是安裝安全防護軟件。由于移動終端的種類繁多可分為防病毒軟件，移動終端防火墻等。通信接口安全目前，移動終端具備了眾多的無線接口（如Wi-Fi、藍(lán)牙等默認(rèn)狀態(tài)為開啟并能夠自動連接導(dǎo)致危險。用戶安全通過定期備份數(shù)據(jù)，減少數(shù)據(jù)暴露風(fēng)險，物理上始終由用戶管理等保證用戶安全12.3移動網(wǎng)絡(luò)的攻防無線局域網(wǎng)

無線局域網(wǎng)采用射頻技術(shù)，使用電磁波取代有線網(wǎng)絡(luò)的雙絞銅線等介質(zhì)，在空中實現(xiàn)通信連接，使得無線局域網(wǎng)能夠利用簡單的存取架構(gòu)讓用戶通過它來隨時隨地與外界通信并獲取互聯(lián)網(wǎng)資源IEEE802.11的安全機制IEEE802.11協(xié)議主要用于解決辦公室局域網(wǎng)和校園網(wǎng)中用戶終端的無線接入問題。制定了一系列的安全機制來防止非法入侵，如身份認(rèn)證、數(shù)據(jù)加密、完整性檢測和訪問控制等1612.3移動網(wǎng)絡(luò)的攻防WEP的安全性分析及問題17隨著無線網(wǎng)絡(luò)逐漸流行，研究者發(fā)現(xiàn)WEP協(xié)議的安全機制中存在嚴(yán)重的漏洞。經(jīng)過認(rèn)證安全分析，完整性分析，機密性分析。發(fā)現(xiàn)IEEE802.11存在的安全問題總結(jié)如下：認(rèn)證協(xié)議是單向認(rèn)證且過于簡單，不能有效實現(xiàn)訪問控制。完整性算法CRC-32函數(shù)不能阻止攻擊者篡改數(shù)據(jù)。WEP沒有提供抵抗重放攻擊的對策。使用IV和ShareKey直接級聯(lián)的方式產(chǎn)生Per-PacketKey，在RC4算法下容易產(chǎn)生弱密鑰。IV的沖突問題，重用IV會導(dǎo)致多種攻擊。12.3移動網(wǎng)絡(luò)的攻防WEP的安全性分析及問題18對WEP所存在的問題，產(chǎn)生了如下攻擊手段：（1）弱密鑰攻擊。已有工具利用弱密鑰這個弱點，在分析100萬個幀之后即可破解RC4的40位或104位密鑰。經(jīng)過改進，它可以在分析2萬個幀后即可破解RC4的密鑰，在IEEE802.11b正常使用條件下，這一過程只需要花費11s的時間。

（2）重放攻擊。在無線局域網(wǎng)和有線局域網(wǎng)共存時，攻擊者可以改變某個捕獲幀的目的地址，然后重放該幀，而AP會繼續(xù)解密該幀，將其轉(zhuǎn)發(fā)給錯誤的地址，從而攻擊者可以利用AP解密任何幀。12.3移動網(wǎng)絡(luò)的攻防WEP的安全性分析及問題19（3）相同的IV攻擊。通過竊聽攻擊捕獲需要的密文，如果知道其中一個明文，可以立刻知道另一個明文。而實際中的明文具有大量的冗余信息，知道兩段明文將其異或處理就很可能揭示出兩個明文，并且可以通過統(tǒng)計式攻擊、頻率分析等方法破解出明文。（4）IV重放攻擊。從互聯(lián)網(wǎng)向無線局域網(wǎng)上的工作站發(fā)送指定的明文，然后通過監(jiān)聽密文、組合竊聽和篡改數(shù)據(jù)等方法，攻擊者可以得到對應(yīng)IV的密鑰流。一旦得到該密鑰流，攻擊者可以逐字節(jié)地延長密鑰流。周而復(fù)始，攻擊者就可以得到該IV任意長度的密鑰流。這樣，攻擊者可以使用該IV對應(yīng)的密鑰流加密或解密相應(yīng)的的數(shù)據(jù)。（5）針對ICV線性性質(zhì)的攻擊。由于ICV是由CRC-32函數(shù)運算產(chǎn)生的，而CRC-32129函數(shù)對于異或是線性的，因而無法發(fā)現(xiàn)消息的非法改動，所以無法勝任數(shù)據(jù)的完整性檢測。12.3移動網(wǎng)絡(luò)的攻防WPA標(biāo)準(zhǔn)20由于WEP存在嚴(yán)重的安全漏洞，研究者推出了WPA來替代WEP，并在IEEE802.11i標(biāo)準(zhǔn)協(xié)議中做了具體規(guī)定，WPA是一種保護無線局域網(wǎng)安全的系統(tǒng)。Wi-Fi保護接入（Wi-FiProtectedAccess，WPA）：WPA

的數(shù)據(jù)是用一個128位的密鑰和一個48位的初始向量經(jīng)

RC4流密碼算法來加密的。WPA對WEP的主要改進是在使用過程中可以動態(tài)改變密鑰的“臨時密鑰完整性協(xié)議”（TemporalKeyIntegrityProtocol，TKIP），并采用了更長的初始向量。WPA使用了名為“Michael”的更安全的消息認(rèn)證碼來完成對數(shù)據(jù)完整性的校驗。與此同時，WPA使用的消息認(rèn)證碼機制中包含了幀計數(shù)器，可以避免WEP的重放攻擊。12.4移動應(yīng)用的攻防惡意程序21概念：移動終端中的惡意程序也通常是指帶有攻擊意圖的一段程序，主要包括陷門、邏輯炸彈、特洛伊木馬、蠕蟲、病毒等。惡意程序影響：

將移動終端惡意程序分為資源消耗、隱私竊取、惡意扣費、詐騙欺詐、流氓行為、系統(tǒng)破壞、遠(yuǎn)程控制和惡意傳播幾種類型。其主要惡意行為是通過自動聯(lián)網(wǎng)、上傳和下載數(shù)據(jù)、安裝其他應(yīng)用，消耗用戶手機流量和資費。安全防范方法：為手機設(shè)置流量提醒功能，避免手機不幸感染病毒或惡意軟件后臺偷偷聯(lián)網(wǎng)造成資費消耗。不要隨意用手機掃二維碼，二維碼已經(jīng)成為惡意程序新的傳播途徑。從有安全信譽的來源下載應(yīng)用程序等。12.4移動應(yīng)用的攻防騷擾和詐騙電話22《2022年度騷擾、詐騙電話形勢分析報告》。報告指出“騷擾電話”標(biāo)記近四年呈現(xiàn)逐年上升趨勢，2022年“騷擾電話”標(biāo)記總量超4.99億次，較2021年上升了36.33%。詐騙電話：詐騙電話一般具有以下特征：①詐騙手段多樣。②有組織的集團作案。③迷惑性強。④實施手段隱蔽。⑤社會危害大。騷擾電話：騷擾電話一般具有以下特征：①大批量呼叫。②反向驗證不正常。③違背用戶主觀意愿。④對用戶造成騷擾。12.4移動應(yīng)用的攻防安全防范方法23①不貪婪。不要輕信中獎的電話和短信，要明白“天下沒有免費的午餐”這一基本道理②不輕信。不要相信任何“緊急通知”。當(dāng)在ATM自動取款機取款過程中出現(xiàn)操作故障133時，不要相信貼在ATM機旁紙條上的任何“緊急通知”上的所謂“銀行值班電話"，而應(yīng)撥打銀行正規(guī)的客服專線請求幫助。

③多防范。對于來歷不明的電話要謹(jǐn)慎小心，防止不法分子借機詐騙，如接到“猜猜我是誰”這種電話時，不要急于說出對方的名字，也不要透露自己更多的信息。④添加到黑名單。現(xiàn)在幾乎所有的智能手機都提供了黑名單功能，或通過下載手機防火墻安全軟件來實現(xiàn)黑名單操作。12.4移動應(yīng)用的攻防垃圾短信24

基本概念：垃圾短信是指未經(jīng)用戶同意向用戶發(fā)送的與用戶意愿相違背的短信息，或與國家法律法規(guī)相違背的短信息，或用戶不能根據(jù)自己的意愿拒絕接收的短信息。垃圾信息主要包括廣告推銷、詐騙信息、違法信息（如代開發(fā)票、賭博、博彩、辦證、電話卡復(fù)制、色情服務(wù)、槍支出售等）。相比于在媒體上進行廣告投放，群發(fā)垃圾短信的推廣成本要低得多，而且事后追查相對較難，已嚴(yán)重影響到人們的正常生活及移動運營商的形象，甚至是社會穩(wěn)定。對于垃圾和一般詐騙短信，當(dāng)用戶對短信中透露的相關(guān)信息有疑問時，一定要通過正規(guī)渠道核實賬戶信息，不要獨自做出判斷并急于按短信提示進行操作（如銀行轉(zhuǎn)賬、訪問釣魚網(wǎng)站等），也不要輕易將卡號、存款密碼、個人身份等重要信息告知他人。通常情況下，銀行、公安、司法部門都不會通過電話詢問用戶的存款密碼，以及要求轉(zhuǎn)賬。12.4移動應(yīng)用的攻防移動APP安全防護策略25

基本概念：移動APP是用戶與移動互聯(lián)網(wǎng)進行交互的最直接的體現(xiàn)形式之一，它將移動互聯(lián)網(wǎng)與人們的生活緊密結(jié)合。在給用戶帶來豐富多彩和便捷的生活服務(wù)的同時，移動APP自身的安全問題也層出不窮。在面對這些安全威脅之前，需要確定具體的安全防護策略，即需要采134取怎樣的防護措施來應(yīng)對移動APP的安全威脅。

12.4移動應(yīng)用的攻防移動APP安全防護策略26

移動APP的安全防護策略分為以下3類：（1）安全檢測通過自動化監(jiān)測和人工滲透測試法對移動APP進行全面檢測，挖掘出系統(tǒng)源碼中可能存在的漏洞和安全問題，幫助開發(fā)者了解并提高其開發(fā)應(yīng)用程序的安全性，有效預(yù)防可能存在的安全風(fēng)險。（2）安全監(jiān)測安全監(jiān)測是通過對全網(wǎng)各種渠道的各類APP進行盜版仿冒、漏洞分布、惡意違規(guī)等方面的監(jiān)測，分析收集到的數(shù)據(jù)，精確識別出有問題的應(yīng)用程序，并發(fā)出預(yù)警提示，同時將結(jié)果反饋給監(jiān)測和加固環(huán)節(jié)，從而形成安全防護閉環(huán)。12.4移動應(yīng)用的攻防移動APP安全防護策略27

（3）安全加固：安全加固是針對移動APP普遍存在的破解、篡改、盜版、調(diào)試、數(shù)據(jù)竊取等各類安全風(fēng)險而提供的一種有效的安全防護手段，其核心加固技術(shù)主要包括防逆向、防篡改、防調(diào)試和防竊取4個方面。安全加固既可以保護APP自身的安全，也能保護APP的運行環(huán)境和業(yè)務(wù)場景。移動APP加固主要從技術(shù)層面對DEX文件、SO文件、資源文件等進行保護。為應(yīng)對不斷出現(xiàn)的新型黑客攻擊手段，加固技術(shù)也經(jīng)歷了代碼混淆保護技術(shù)、DEX文件整體加密保護技術(shù)、DEX函數(shù)抽取加密保護技術(shù)、混合加密保護技術(shù)、虛擬機（VMP）保護技術(shù)的迭代更新。12.5移動支付安全基本概念：28

移動支付是指貨物或服務(wù)的交易雙方，使用移動終端設(shè)備作為載體，通過移動通信網(wǎng)絡(luò)來實現(xiàn)商業(yè)交易。具體表示為買方使用移動終端設(shè)備購買實體商品或服務(wù)，個人或單位通過移動設(shè)備、互聯(lián)網(wǎng)或近距離傳感器直接或間接向銀行等金融機構(gòu)發(fā)送支付指令產(chǎn)生貨幣與資金轉(zhuǎn)移行為，從而實現(xiàn)移動支付功能。12.5移動支付安全29

移動支付的特點：（1）移動性：移動支付打破了傳統(tǒng)支付對于時空的限制，由于移動支付以手機支付為主，用戶可以隨時隨地進行支付活動。（2）及時性：不受時間地點的限制，信息獲取更為及時，用戶可以隨時通過手機對賬戶進行查詢、轉(zhuǎn)賬或消費支付等操作。（3）隱私性：移動支付是用戶將銀行卡與手機綁定，進行支付活動時，需要輸入支付密碼或驗證指紋，而且支付密碼一般不同于銀行卡密碼。這使得移動支付可以較好地保護用戶的隱私。（4）集成性：移動支付有較高的集成度，可以為用戶提供多種不同類型的服務(wù)。而且，通過使用RFID、NFC、藍(lán)牙等近距離通信技術(shù)，運營商可以將移動通信卡、公交卡、地鐵卡和銀行卡等各類信息整合到以手機為載體的平臺中進行集成管理，并搭建與之配套的網(wǎng)絡(luò)體系，從而為用戶提供方便快捷的身份認(rèn)證和支付渠道。12.5移動支付安全移動運營商提供網(wǎng)絡(luò)服務(wù)。銀行提供線上支付服務(wù)。有一個移動支付平臺。商戶提供商品或服務(wù)。30移動支付條件：12.5移動支付安全移動支付流程3112.5移動支付安全移動支付安全風(fēng)險分析32

（1）移動支付的技術(shù)風(fēng)險

移動支付產(chǎn)業(yè)鏈比較長，涉及銀行、非銀行機構(gòu)、清算機構(gòu)、移動設(shè)備運營相關(guān)機構(gòu)等多個行業(yè)。不同的場景和方案面臨的安全需求和安全題各不相同，導(dǎo)致移動支付的安全體系構(gòu)建十分復(fù)雜，安全測評的難度也比較大。（2）移動支付的應(yīng)用風(fēng)險由于智能終端的操作系統(tǒng)和APP存在病毒感染、操作系統(tǒng)漏洞、詐騙電話及短信等安全風(fēng)險，使得移動支付應(yīng)用的安全性受到嚴(yán)重挑戰(zhàn)。12.5移動支付安全移動支付安全風(fēng)險分析33

（3）移動支付的數(shù)據(jù)安全風(fēng)險

商家和用戶在公用網(wǎng)絡(luò)上傳送的敏感信息易被他人竊取、濫用和非法篡改，造成損失，必須實現(xiàn)信息傳輸?shù)臋C密性和完整性，并確保交易的不可否認(rèn)性。加密和即時性問題是移動支付普及的首要障礙，雖然OTA（Over-The-Air）功能能夠采用空中加密技術(shù)，相對而言存在有效的安全保證，但是承載在開放網(wǎng)絡(luò)上的激活指令和交易數(shù)據(jù)依然有被截獲的風(fēng)險。（4）移動支付的法律風(fēng)險

目前，我國移動支付的相關(guān)法律法規(guī)不斷完善，但進展步伐略顯滯后。同時，在對移動支付的監(jiān)管中，沒有明確各部門的監(jiān)管責(zé)任，容易導(dǎo)致監(jiān)管不明或交叉監(jiān)管的現(xiàn)象，而且移動支付的主題隨其支付模式的不同而不同，也導(dǎo)致了其監(jiān)管主體具有不確定性。12.5移動支付安全移動支付的安全防護34

（1）遠(yuǎn)程支付技術(shù)方案：

在遠(yuǎn)程支付過程中，終端APP通過TLS/SSL協(xié)議完成用戶和遠(yuǎn)程服務(wù)器之間的網(wǎng)絡(luò)安全連接，通過數(shù)字證書實現(xiàn)雙端身份認(rèn)證，并使用協(xié)商的對稱會話秘鑰對后續(xù)傳輸?shù)慕灰仔畔⑦M行加密和完整性保護。（2）單獨支付硬件技術(shù)方案：

單獨支付硬件（如IC卡）提供了一種基于芯片技術(shù)的支付安全解決方案，它借助于IC卡所提供的安全計算和安全存儲能力，可構(gòu)建高安全性的支付體系。在此類方案中，移動支付完全由支付硬件獨立完成，其安全性不依賴于手機環(huán)境，而等同于金融IC卡。12.5移動支付安全移動支付的安全防護35

（3）標(biāo)準(zhǔn)NFC技術(shù)方案的安全防護技術(shù)銀聯(lián)云閃付、MiPay和ApplePay等都是典型的標(biāo)準(zhǔn)NFC技術(shù)方案（基于智能卡和手機的支付方案）。因此，手機中的安全元件與交易終端的