手機支付的探析

[摘要] 本文首先介紹了手機支付的相關概念和基于支付平臺的支付流程，然后描述了手機支付存在的一些安全隱患，并且給出了解決方法。 同時又介紹了手機支付的推廣之所以困難重重的各種原因。

[關鍵詞] 手機支付支付平臺短信業務安全機制

一、引言

手機支付是一種新興的費用結算方式，由于方便而日益受到銀行、無線運營商、商家和用戶的青睞。手機支付是利用STK技術及SIM卡開發的使用手機進行消費的功能，基于銀行賬號和手機號的惟一性，將銀行賬號和手機號進行綁定，用戶就可以通過短信、語音等多種方式對自己的銀行賬戶進行操作，實現查詢、繳費、轉賬、消費等功能，并可以通過短信等方式得到交易結果和賬戶變化的通知。使用手機支付，人們可免受銀行排隊的苦惱，省去隨時攜帶錢包、信用卡的麻煩。可以肯定，在不久的將來，手機支付將在人們生活中扮演越來越重要的角色。

二、基于支付平臺的手機支付模型

目前在我國，各家移動運營商和大部分提供手機銀行業務的銀行，都有自己的運營的手機支付平臺。比如：2004年8月中國移動和中國銀聯成立合資公司聯動優勢，推出“手機錢包”服務；2004年12月9日，中國聯通和中國建設銀行聯手推出“新一代手機銀行”業務。這樣的后果是既造成了資源的浪費，又使手機支付在銀行之間不能互通，在很大程度上阻礙了手機支付的發展。

因此，有必要建立一個獨立的手機支付平臺，使其獨立于移動運營商和金融機構。這樣就可以使移動運營商、金融機構和支付平臺運營商之間分工明確。除此之外，還可以簡化系統結構，提高運營效率，實現跨行之間的支付交易。

在整個手機支付的過程中，支付平臺處于核心地位，所有的交易信息都要由它進行傳遞。圖中指出了在手機支付的流程中消費者、商業機構、支付平臺和第三方信用機構（例如銀行）所起的作用。

手機支付流程圖

1.購買請求：消費者對準備購買的商品進行查詢，在確定了準備購買商品之后，通過手機發送購買請求給商業機構。

2.收費請求：商業機構在接收到消費者的購買請求之后，發送收費請求給支付平臺。支付平臺利用消費者賬號和這次交易的序列號生成一個具有惟一性的序列號，代表此次交易過程。

3.認證請求:支付平臺必須對消費者和商業機構賬號的合法性及正確性進行確認。支付平臺把消費者賬號和商業機構賬號信息發送給第三方信用機構，第三方信用機構對賬號信息進行認證。

4.認證:第三方信用機構把認證結果返回給支付平臺。

5.授權請求：支付平臺在收到第三方信用機構的認證消息之后，如果賬號通過認證，支付平臺把交易的詳細信息，包括商品或服務的種類、價格等發送給消費者，請求消費者對支付行為進行授權。如果賬號未能通過認證，支付平臺把認證結果發送給消費者和商業機構，并且取消此次交易。

6.授權:消費者在核對交易的細節之后，發送授權消息給支付平臺。

7.收費完成:支付平臺得到了消費者的支付授權之后，開始消費者賬戶和商業機構賬戶之間的轉賬，并且把轉賬細節記錄下來。轉賬完成之后，傳送消費完成信息給商業機構，通知他交付消費者商品。

8.支付完成：支付平臺傳送支付完成信息給消費者，作為支付憑證。

9.交付商品：商業機構在得到了收費成功的信息之后，把商品交給消費者。

三、手機支付中的安全現狀分析

資金安全是銀行考慮的第一要素，也是影響消費者體驗的首要障礙。目前，我國手機支付實現技術主要有基于短信、WAP、BREW等技術，由于技術原因造成的數據傳輸中的加密性和數據的實時性、完整性不夠，使手機支付面臨安全隱患。

利用GSM+SIM實現的手機支付是目前最為常用和最為成熟的一種技術。其中GSM+SIM的鑒權和加密技術提供了較好的安全性，但是即使在待機狀態下，手機也要與通信網絡保持不間斷的信號交換，所以很容易被識別、監視和跟蹤。此外，SIM卡本身相對容易被復制，也存在安全隱患。

短信業務作為手機支付的主要手段之一，其也存在著一定的缺陷。比如：短信是一種存儲轉發機制，對于實時支付業務來說就存在不可避免的缺陷；在無線POS終端上送數據包成功之后，由于某種原因造成POS無法接受返回的數據包；如果短信時間延長，可能造成交易數據混亂的情況，而現在的短信業務沒有提供很好的支付終止的機制。

針對目前短信業務所面臨的各種安全問題，移動運營商應提供以下的安全機制來保證手機支付業務的安全性。

1.加密機制：加密的目的是保護數據的機密性。通過加密處理保證只有消息的發送者和預定的接收者才能看懂消息的真正內容。由于受到手機計算和存儲能力的限制，加密機制的算法最好選擇對稱加密算法。

2.身份認證機制：身份認證是確保短信的接收者能夠確認短信的來源，從而使通信雙方能夠確定對方的真實身份。在對稱密碼系統中，MAC可提供身份認證的功能。

3.數據完整性機制：保證數據完整性的目的是保證短信的接收者能夠判斷短信在傳輸過程中是否被篡改。MAC也是一種用來保護短信數據完整性的可行方法。

4.密鑰管理機制：在整個手機支付系統中，密鑰至關重要。所以，應當制定一套完善的密鑰生成、分發、存儲、使用機制，以保護密鑰的安全性。現在最基本的需求是交易密鑰能安全、方便地更新，最好是一次一密，實現動態的密鑰變換機制。

四、手機支付的推廣難度

作為一種新的支付方式，手機支付的推廣應用在現實生活中遇到了一些阻礙。首先，客戶對此項服務的安全性存在顧慮。由于手機支付過程是通過無線傳輸的，在安全方面，人們會有不同程度的擔憂。此外，如果一旦手機丟失，那么與該手機綁定的銀行賬號如何才能得到有效的保護，這也是一大問題。其次，中國人傳統的消費習慣同樣也影響著手機支付的發展。人們對現金交易的依賴是推廣手機支付的最大阻礙。還有，銀行和移動運營商的收費，導致使用手機支付方式要比傳統支付方式花費更多，從而打擊了商家、消費者使用手機支付的積極性。最后，手機支付的應用還不夠豐富，目前手機支付還僅僅停留在一些電子化產品上，尚未實現對實物支付。

五、結束語

只要手機支付在信用安全、手續費用、快捷程度等問題上得到有效的解決，那么消費者在傳統購物時使用手機支付這一新型方式的可能性才會獲得提高。

手機支付作為一種嶄新的支付方式，將會有非常大的商業前景，必將成為移動電子商務的一個新亮點。

參考文獻:

[1]馬凌:手機支付三國演義[J].數字財富，2005.1.10:84～87

[2]王瀟雨朱曉蕓楊棖:移動支付的安全交易平臺的研究與開發[J].計算機工程與設計，2001，27（21）:4157～4160