移動支付空中圈存技術研究

張湘東，張文安，謝 云

（中國電信股份有限公司廣東研究院 廣州 510630）

移動支付空中圈存技術研究

張湘東，張文安，謝 云

（中國電信股份有限公司廣東研究院 廣州 510630）

空中圈存作為移動支付業務的核心功能之一，為移動支付業務提供了與傳統IC卡支付業務所不同的非常重要的差異化服務。本文在對空中圈存業務實現原理及關鍵問題進行分析的同時，對空中圈存技術中的圈存安全機制、交易保護機制等重點問題進行了深入研究，提出了一種可行的空中圈存技術實現方案，供移動支付運營商及應用方在發展空中圈存業務過程中參考。

空中圈存；移動支付；圈存安全機制；交易保護機制；OTA

1 引言

隨著手機智能卡RFID技術的發展，SIMPass、eNFC、RF-SIM等使用手機智能卡實現非接觸式應用的技術陸續為廣大用戶所接受，基于RFID的移動支付業務已經在全世界范圍內蓬勃發展。相比起傳統IC卡方式的非接觸式應用，手機智能卡除具備隨身攜帶的便利外，一個非常重要的特性是可以通過手機屏幕實現與用戶之間的交互，同時還可以利用手機所提供的數據通道實現與后臺系統的交互。利用上述技術，可以實現讓用戶隨時隨地完成錢包充值、消費記錄查詢等手機錢包的管理功能，給消費者提供遠遠超出傳統IC卡的用戶體驗。這就是本文所要討論的空中圈存技術。

空中圈存是指用戶通過操作手機STK菜單或者手機客戶端，使用OTA或者BIP等無線方式與后臺支付系統進行通信，完成對手機智能卡內錢包的充值、查詢、消費等功能?？罩腥Υ媸且苿又Ц稑I務區別于傳統公交、銀行、校企等IC卡應用的一個非常重要的差異，它所提供的這種隨時隨地進行錢包管理的能力，對于應用方提高服務水平、降低服務成本、提升用戶體驗等都有著非常重要的意義，可以大大豐富移動支付業務的功能。

2 空中圈存技術發展現狀

空中圈存是一項非常新的技術，技術的成熟度還有待提高，目前在國內外的正式應用還不多。下面分別從網絡架構、交易流程、存在問題等方面對現有空中圈存技術的發展情況進行介紹。

2.1 網絡總體結構

現有方案空中圈存業務網絡結構如圖1所示。由于BIP（bearer independent protocol，承載無關協議）技術尚未成熟，因此目前空中圈存業務主要通過OTA（即數據短信）的方式實現，從網絡架構上看主要包括以下幾部分。

（1）手機終端/SIM 卡

手機終端需支持數據短信。SIM卡中預置了移動支付應用方的手機錢包，并且支持空中圈存功能。

圖1 現有方案空中圈存業務網絡結構

（2）短信網關

短信網關是空中圈存業務的短信通道，負責轉發上下行短信。

（3）移動支付應用方平臺

移動支付應用方是指公交、銀行及其他使用空中圈存業務的第三方系統。為實現短信的收發，移動應用方平臺需作為短信SP連接到短信網關，負責完成以下功能：

·負責數據短信的接收、發送以及加解密處理；

·負責驗證業務請求的有效性，根據業務類型進行相應的業務處理，并將處理結果返回到卡端；

·負責與支付平臺進行交互完成圈存扣款等相關工作；

·負責完成空中圈存業務的事務保證。

（4）支付平臺

支付平臺負責管理用戶的支付賬戶，完成賬戶綁定、賬戶支付、平賬及清/結算等功能。支付平臺可能由銀行或其他第三方支付平臺提供，不同的應用方可能使用不同的支付平臺。

2.2 交易流程

由于空中圈存包含的交易流程很多，這里僅以手機錢包圈存流程進行說明。用戶通過空中圈存進行錢包充值前，需要事先將手機錢包與支付賬戶進行綁定?，F有方案手機錢包圈存交易流程如圖2所示。

①用戶通過點選手機UTK菜單的“充值菜單”，將充值請求信息通過數據短信形式發送到應用方平臺；

②應用方平臺將圈存短信內容進行解析，首先對驗證圈存請求是否由合法的手機錢包發起；

③確認請求的合法性后，應用方平臺向支付平臺發起扣款；

④支付平臺驗證扣款請求合法性后，從用戶手機錢包綁定的支付賬戶中進行扣費，返回扣款結果；

⑤應用方平臺記錄交易信息，并生成圈存結果數據短信返回SIM卡；

圖2 現有方案手機錢包圈存交易流程

⑥圈存結果通過數據短信形式發送到手機終端，手機終端將數據短信透傳到SIM卡進行處理；

⑦SIM卡上的空中圈存應用驗證圈存結果的有效性，并根據圈存結果，對手機錢包的余額進行更新；

⑧SIM卡將錢包更新情況以充值確認數據短信形式發送到應用方平臺；

⑨應用方平臺收到充值確認短信后進行記錄，如錢包更新失敗則需要與支付平臺進行平賬處理。

2.3 存在問題

上述空中圈存技術方案目前已在部分地區的公交、銀行等移動支付應用上進行過試點，但是試點效果并不理想，一直無法進行大規模的推廣，存在的問題主要包括以下3個方面。

2.3.1 接口標準化

從長遠的發展看，每個用戶都需要使用包括公交、銀行、校企等在內的多種移動支付應用，這就要求在同一張智能卡上需要集成多個應用方的手機錢包。各個應用方為了提高其服務水平，都會開展空中圈存業務，這會帶來以下兩個問題。

（1）標準不統一

目前空中圈存技術都是由應用方自行定義數據短信接口標準，因此標準都不統一。一旦卡片上需要集成多個應用的時候，由于SIM卡上處理下行數據短信的接口是統一的，一方面，如不同應用的短信接口標準存在沖突，那么將會導致SIM卡無法對短信內容進行正確解析；另一方面，既便不存在沖突，也必須在SIM卡上的數據短信接收處理流程中對多個不同手機錢包應用的數據短信進行解析處理，導致該流程的設計非常復雜，從而給卡片開發帶來很大困難；尤其未來移動支付卡上的應用可以根據用戶需要動態加載，SIM卡在無法預知用戶將使用哪些應用的情況下，對于新增應用將無法提供空中圈存功能的支持。

（2）于應用方的技術實力要求很高

由于空中圈存技術較為專業，應用方需要對數據短信收發、空中圈存的安全機制及事務控制、支付平臺的扣款及清/結算等技術有深入了解，因此對于應用方的技術實力要求很高。對于一些技術實力不強、規模較小的應用方，要自行開發空中圈存平臺存在技術難度大、開發成本高等困難。這種情況會制約空中圈存業務的發展。

2.3.2 圈存安全

空中圈存技術通過無線信道向SIM卡發送圈存指令，因此交互信息容易被截獲。一旦指令格式及密鑰被破解，就可以通過向SIM卡發送仿冒指令方式實現對卡片的無限充值，從而給應用方造成損失。同時由于空中圈存與POS現場圈存使用相同的圈存密鑰，受影響的可能不僅限于空中圈存卡片，還包括了普通的IC卡片。

目前空中圈存技術在圈存安全方面采取的措施較為簡單，通過在SIM卡內存放一個專用的短信加密密鑰，對上、下行的數據短信內容進行加/解密處理。這種對稱加密方式安全性不高，容易被破解和篡改，因此必須研究更為安全的技術實現方法。

2.3.3 事務處理

空中圈存業務使用短信作為數據通道，由于短信存在不確定性，會出現延遲、遺漏等情況，可能造成后臺服務器與卡片狀態不一致的情況。例如后臺已經從用戶綁定的支付賬戶扣款，但是由于短信未能下發到卡片，導致充值未能成功等情況，為此必須通過專門的事務處理機制進行平賬處理。

現有技術主要通過短信重發機制進行解決，應用方平臺在一定時限內未收到充值確認短信時，按照系統設定的時間和次數重發圈存結果短信，直到收到SIM卡返回的充值確認短信為止。這種方式存在的問題包括：如果用戶手機由于斷電、無信號等原因，較長時間都未能連接網絡，可能導致平臺后續重發的短信都不能到達手機，將使得充值最終失敗，無法進行平賬；如果SIM卡充值已經成功，但是返回的充值確認短信丟失，應用方平臺超過時限后重復下發圈存結果短信，會導致SIM卡重復收到多次圈存結果短信。這種情況下要求SIM卡必須要對重復短信進行識別，避免重復充值，同時要將充值結果再次進行上報。這就會增加SIM卡內充值處理流程的復雜度。

上述幾個問題是空中圈存技術一直以來研究的重點，只有通過不斷地改進，才能推進空中圈存技術的成熟，從而促進空中圈存業務的規模發展。

3 空中圈存技術方案研究

為了解決上述問題，通過深入的分析和研究，筆者提出了一種新的空中圈存技術解決方案。這個方案由電信運營商實現統一的空中圈存平臺，并提供標準的開發接口供各應用方調用，從而實現圈存流程的標準化，同時也大大降低了應用方開發空圈業務的技術難度。在此基礎上，通過更為安全有效的圈存安全機制和交易保護機制，確保圈存交易的安全以及事務處理的完整性。

下面對由運營商統一實現空中圈存系統這種技術方案，分別從網絡架構、平臺架構、交易流程等方面與原有方案進行比較，并重點對圈存安全機制、交易保護機制進行分析和探討。

3.1 網絡總體結構

通過圖1和圖3的比較可以看出，新方案與原有方案相比差別主要有以下兩點。

（1）分擔原方案中應用方平臺中部分與手機錢包交易處理流程無關的工作

新方案增加了一個由運營商提供的空中圈存系統，它將分擔原方案中應用方平臺中部分與手機錢包交易處理流程無關的工作，其主要功能包括：

·負責數據短信的接收、發送以及加解密處理；

·負責根據數據短信中的應用方標志字段將業務請求發送給相應的應用方平臺等進行實際的業務處理，并將應用方平臺返回的處理結果通過短信發送回用戶的手機終端；

·負責完成空中圈存業務的事務保證；

·根據需要可與支付平臺相連，完成支付賬戶扣款等功能。這種方式下，應用方平臺只需要專注于手機錢包的相關業務處理流程，大大簡化了技術實現難度。

（2）支付平臺可以與空圈平臺相連，也可以與應用方平臺相連

根據業務需要，支付平臺可以與空圈平臺相連，也可以與應用方平臺相連。對于規模大、技術能力強的應用方可以自行連接支付平臺，完成賬戶綁定、賬戶扣款、平賬處理、清算/結算等功能；而對于規模小、技術能力低的應用方，則可以由空中圈存平臺負責這部分功能的處理。

3.2 平臺架構

移動支付空中圈存平臺（如圖4所示）從功能層次上大致可以劃分為以下幾個層面。

圖3 新方案空中圈存業務網絡結構

圖4 新方案空中圈存平臺架構

（1）移動支付卡層

移動支付卡中加載了多種不同的應用，如銀行、公交、校企等，在各個應用之上需要由智能卡操作系統實現一個數據短信分發模塊，用于將下行的數據短信分發到不同的應用，進行應用相關的業務處理。

（2）數據短信分發層

為實現統一接入，空中圈存平臺對數據短信格式進行統一的規范，并通過特定字段標識應用方平臺，使得對短信內容進行統一解析后，可以很明確地知道這條消息將要發送到哪個應用方平臺進行處理。數據短信分發層主要完成短信接入、數據短信解析處理、消息路由、協議轉換及權限控制等功能。

（3）空中圈存處理層

由于不同類型應用的空中圈存業務流程有所差異，因此各類應用的空中圈存處理模塊有所差別?？罩腥Υ嫣幚韺油瓿傻闹饕δ馨ǎ?/p>

·空中圈存業務流程控制，空中圈存模塊通過與應用平臺之間的交互，完成空中圈存業務流程的處理；

·空中圈存業務事務保證，對于空中圈存業務流程中出現的異常情況進行處理，保證SIM卡與應用平臺的數據一致。

（4）應用平臺

各應用平臺通過與空中圈存處理模塊的交互，共同完成業務流程的處理。應用平臺負責完成手機錢包業務流程的實際處理。

3.3 交易流程

這里同樣以錢包充值流程為例對交易流程進行對比說明。在新方案中，支付平臺有兩種連接方式。對于支付平臺與應用方平臺連接的方式，交易流程與原方案基本類似，只是上下行短信經過空中圈存平臺的中轉處理，這里不重復描述。下面將以支付平臺與空中圈存平臺相連的方式為例，說明在錢包充值流程過程中的整個交易流程。新方案錢包充值交易流程如圖5所示。

①～②：充值請求信息通過數據短信形式發送到空中圈存平臺后，空中圈存平臺對短信內容進行解析，根據請求報文中的應用方標識，將圈存請求轉發給對應的應用方平臺。

③～④：應用方平臺收到圈存請求后，驗證圈存請求是否由合法的手機錢包發起。

⑤～⑥：確認請求的合法性后，空中圈存平臺向支付平臺發起扣款。

圖5 新方案錢包充值交易流程

⑦～⑩：空中圈存平臺將扣款結果通知應用方平臺，應用方平臺記錄交易結果并生成圈存結果信息返回空中圈存平臺，由空中圈存平臺以數據短信形式發送到手機終端。

～ ：手機終端將數據短信傳送到SIM卡進行處理，SIM卡上的空中圈存應用驗證圈存結果的有效性，并根據圈存結果對手機錢包的余額進行更新。

～ ：SIM卡將錢包更新情況以充值確認數據短信形式發送到空中圈存平臺，空中圈存平臺收到充值確認短信后進行記錄，如錢包更新失敗則需要與支付平臺進行平賬處理。

3.4 圈存安全機制

由于空中圈存業務涉及錢包的充值、消費等重要操作，交易報文通過短信傳遞，存在被截取、仿冒等的可能性，原有方案中僅僅對數據短信內容進行加密還不足夠，必須進一步采取措施確保交易報文在傳輸過程中不被篡改，確保信息雙向傳輸的安全。

為此，筆者提出了在短信加密的基礎上，增加一種更為安全的雙向認證機制，從而保證圈存交易的安全。一方面由空中圈存平臺對UIM卡的上行信息進行認證，確保只有合法用戶發出的業務交易請求被響應；而同時UIM卡也需要對空中圈存平臺的下行信息進行認證，確保業務操作請求確實由空中圈存平臺下發，有效地避免惡意代碼對用戶UIM卡的入侵。此外，雙向認證技術也可用于保證在空中圈存平臺與UIM卡之間交互的上、下行數據的完整性和正確性。

具體技術實現過程中，空中圈存平臺與用戶的UIM卡需事先約定好一組空中圈存交易密鑰，該組密鑰由運營商給用戶發卡過程中寫入到UIM卡內，寫入后不可讀取，只能用于參與指定的運算。

UIM卡發送交易請求前，需要從密鑰組中隨機選擇一個密鑰，然后分別用UIM卡的卡片序列號及隨機數進行2次分散，生成本次交易的工作密鑰。然后將交易請求中的關鍵信息，使用工作密鑰計算MAC值，同時將隨機數及MAC值附在交易請求消息內容后一起發送到空中圈存平臺。空中圈存平臺通過同樣方法對交易信息進行MAC計算，將得到的MAC值與UIM卡計算的MAC進行比較，只有結果一致的情況下才認為這個交易請求是合法有效、未被篡改的?？罩腥Υ嫫脚_下發的信息也采用同樣的方式進行認證。

圖6 MAC算法

MAC算法如圖6所示，MAC計算方法可以參考《中國金融集成電路（IC）卡規范電子錢包電子存折應用規范》的相關內容。

目前一次交易需要經過空中圈存平臺與應用方平臺的兩次處理，空中圈存平臺主要完成通信層功能處理，而應用方平臺主要完成業務層功能處理。要進一步增加交易的安全性，可以對通信層和業務層的信息內容進行分離，在通信層和業務層分別約定不同的交易密鑰用于進行MAC值計算和信息內容加密，由空中圈存平臺和應用方平臺分別進行校驗和處理。這種方式一方面增加了交易的安全性，另一方面明晰了空中圈存平臺和應用方平臺的職責，確保了任何單方交易都無法對卡內數據進行更改，使得雙方可以更好地建立信任關系。

3.5 圈存交易保護機制

為保證交易的事務處理完整性，筆者提出了一種充值同步的異常處理機制。在每次發起新充值流程的時候，對之前的充值記錄進行對賬處理，確?？ㄅc后臺交易記錄的一致性，具體描述如下。

①UIM卡在每次發起充值請求時，都會在充值請求消息中附帶上前n次未與應用平臺進行過同步確認的交易數據信息（無論是成功還是失?。?。

②應用平臺將接收到的未同步的充值信息記錄后進行對賬處理。如果充值記錄一致則不需要進行處理；若已經從綁定的支付賬戶進行了扣款，但是UIM卡實際充值未成功，那么就需要向支付賬戶發起沖正，返還用戶的充值款。

③當UIM卡收到對應的下行充值響應數據短信時，表明應用平臺已經收到了UIM卡的上行請求，即應用平臺已經對上行請求中攜帶的未同步交易信息進行了同步處理，這時候UIM卡就可以將已經確認過的交易信息刪除。

④UIM卡中保存的未同步交易信息數量過多，到達一定限制時，就不允許UIM卡發起新的充值請求。若用戶再次發起新的充值，此時UIM卡將自動觸發執行充值同步請求操作，將UIM卡保存的未同步交易信息發送給應用平臺進行同步處理，直至UIM卡收到充值同步確認后，才允許用戶繼續執行新的充值操作。

⑤用戶在不發起新充值的情況下，也可以通過STK菜單中的同步充值記錄菜單項，單獨發起充值同步請求操作。

通過上述方式，實現了一種對交易異常情況進行平賬處理的機制，確保了兩端記錄的一致性。與原有方式對比，這種方式由用戶端發起，用戶可以在能夠連接網絡的情況下進行交易同步，確保了平賬處理的成功率，對于卡片的異常處理流程實現也可以簡化。

4 方案總結

本文中提出的空中圈存技術新方案與原有方案相比具備以下優點：接口更為標準化，大量專業技術工作由運營商實現，極大簡化了應用方平臺的開發工作，使得空中圈存業務的開發更為簡便、快速，有利于空中圈存業務的快速發展；對于移動支付卡片的開發工作同樣大大簡化，接口標準化使得數據短信接收處理流程實現統一，要實現新的移動支付應用時也可以大量重用原有代碼；雙向認證機制的引入，進一步增強圈存交易的安全性，保證了信息傳輸的安全；圈存交易保護機制的提出，減少了由于用戶無法連接網絡造成無法進行異常交易處理的情況，確保了兩端交易數據的一致性。

目前筆者所提出的方案已經做為中國電信翼支付自有賬戶的空中圈存技術方案在部分省份進行試點，并取得了較為理想的效果，已經準備向全國范圍進行推廣。

另外，空中圈存技術目前存在的一個較為嚴重的問題是：數據短信的通信方式并不可靠，由于短信延誤、丟失等而引起的交易異常情況出現較多，經常需要通過異常處理機制進行平賬處理。要解決這個問題，必須盡快推進BIP技術的研究，使得智能卡可以通過數據網絡與后臺進行通信，保證交易的實時性，從而大大減少異常情況的發生。

1 中國金融集成電路（IC）卡電子錢包電子存折卡片規范.中國人民共和國金融行業標準,JR/T 0025.1-2004

2 中國金融集成電路（IC）卡電子錢包電子存折應用規范.中國人民共和國金融行業標準,JR/T 0025.1-2004

3 中國電信移動支付數據短信卡片操作技術規范，2011

4 劉挺，華皓，姚俊旻，張建宇.電信運營商的移動支付產品商業模式探討.電信科學，2010，26（9）

5 陳洪，李真，張明杰，林正漢.手機非接觸支付的技術標準比較分析.電信科學，2010，26（9）

6 李真，張明杰，奚中德.基于統一賬號的電信運營商全業務支付體系探索.電信科學，2010，26（9）

7 李峰，陳曉勤，錢守廉.基于2.4 GHz載頻的“翼支付”安全認證研究.電信科學，2010，26（9）

8 汪樹東，柯衛，董亞楠.移動支付平臺建設實踐與探索.電信科學，2010，26（9）

9 陳曉勤，錢守廉.基于電信級網絡營造 “隨時隨地和誠信安全”的電子支付服務環境.電信科學，2010，26（9）

Reseach on Load Credit Over the Air of Mobile Payment

Zhang Xiangdong,Zhang Wenan,Xie Yun
(Guangdong Research Institute of China Telecom Co.,Ltd.,Guangzhou 510630,China)

As one of the core functions for mobile payment business,‘load credit over the air’technology provides a very differential and important service from traditional IC card payment business.In this paper,we not only introduce the realization principle and key problems of load credit over the air,but also research deeply into some key problems like load credit protection mechanism,trading mechanism,etc.Base on that,we put forward a feasible solution for mobile payment operators and application square in the development process of load credit over the air business.

load credit over the air,mobile payment,load credit protection mechanism,load credit trading mechanism,OTA

2011－05－12）