移動支付下的電子商務安全探究

□文/方俊月

（渤海大學遼寧·錦州）

移動支付下的電子商務安全探究

□文/方俊月

（渤海大學遼寧·錦州）

在電子商務時代，移動支付的可移動、可及時的個性化支付方式受到各界人士歡迎，同時人們也擔憂它的安全性。本文簡述電子商務，詳細闡述移動支付，解釋支付原理及技術，探究對電子商務的安全問題，以此為移動支付提供策略。

電子商務安全；移動支付；認證技術；SWOT闡發

收錄日期：2014年7月7日

一、探究背景

人們在20世紀70年代末對電子商務專研，電子商務把計算機、網絡和遠程通信交融一起呈現電子般的流程、數字化和網絡業務。也就是說在一個虛擬的市場里利用信息技術進行買賣，體現電子設施與商務的完美結合。

電子商務的優越性是顯而易見的，他為商務活動的水平與服務質量做出了重大貢獻。電子郵件的推出省下來費用，EDI的使用使信息及時得到了共享的便利，一個電子系統避免了管理人員的泛濫，銷售途徑的交互式性，24小時的服務性，能夠及時地得到信息的反饋，以便資源相互流通，但依然存在著信息威脅。

電商行業在國內的規模逐漸擴大，市場交易額每年都在增長，2013年電子商務墟市總交易額10萬億元，2014年僅第一季度就增加了255%，然而國家對電商的扶持政策也毋庸置疑，對可信交易過程中基礎信息的規范管理和服務做了調整，中國人民銀行研究制定政策，規范商業銀行、各類支付機構的移動支付標準。

二、移動支付概論

（一）定義及原理

1、定義。移動支付的另一種說法是手機支付，支付方借助智能手機、PDA等移動終端和設備，利用移動網絡與支付系統來結束換取產品和服務的購買全過程。

2、原理。用戶綁定SIM卡與一張銀行卡賬號，利用短信的發送，完成系統下達的交易支付要求，流程簡潔同時也不受時間與地理位置的干擾進行交易，完美地呈現了移動互聯網的快捷方便、數字化的特點。

（二）移動支付現有的交易形式

1、遠程支付。如網銀、電話銀行等下達指令的工具通過WAP、GPRS、WWW等途徑完成遠距離支付過程。掌中充值就是這樣的一個支付形式。遠程支付的業務有很多參與者、監督者，產業鏈也很長，所以運營商、銀行、手機廠商都極有可能做業務模式的領導者。在手機上登陸相關頁面或者是在安裝的客戶端進行支付，其中軟硬件服務都參與進來，這是用戶端操作較繁瑣的，而且在電子商務過程中進行支付，關系到了信息的加密與認證等相關的服務。手機話費充值、手機彩票、繳費等移動遠程支付應用深受人們歡迎，手機話費充值特別的流行，占整體移動支付一半市場還綽綽有余，然而近幾年來，電子商務的地理支付形式得到了迅速的發展。

2、近場支付。近場支付為人們提供的便利的服務，買東西、坐公交車等生活中需要現金交易的過程被刷卡替代了，如今已成為了現實。是在有POS機的前提下，利用特定手機或者是芯片，進行近距離的刷卡，實現支付。芯片的使用、商品的結算、支付的受理等在業務模式的產業鏈中有著至關的重要性。

3、手機載體下的支付形式。在電子商務時代，條碼掃描、二維碼拍照等支付已經不陌生了，手機作為媒介，利用他的智能性，使其具有POS機的刷卡功能、銀行卡的支付性，就這樣，在移動電子商務的遠程傳遞下完成近場支付相關環節。在電子商務市場中類似于這樣的支付模式仍在追求更好、更新穎。

（三）安全認證技術

1、對稱密碼與非對稱密碼。對稱密碼與非對稱密碼是一個密碼系統的主要構成。將對稱算法解釋為用同樣的密鑰進行加密和解密，密鑰簡潔快速，處理成果顯著，DES與AES是較為有影響力的對稱加密體制算法。加密方與解密方實現密鑰共享，在解密過程中，持密文、算法，不能成功瀏覽信息。而非對稱密鑰即算法的使用一致，而解密的密鑰不同。RSA算法是普遍使用的。在整個過程中加密方掌握加密或解密密鑰，解密方手中也有另一把解密鑰匙，有密文，破譯不會成功，擁有算法、密文，但是缺少另一把密鑰也不能進行解密，這就是非對稱算法的特點，私鑰一定要保密。

2、數字簽名。信息的發送者擁有數字串，其他人不能偽造，簽名與驗證證明了數字簽名的不可抵賴性。接受者確認信息是否被破壞、認證發送者身份，借助簽名技術中的簽名值和簽名后的文件，保證了消息的完整性，阻止了交易的否認性。

3、身份認證。在支付過程中必須確保安全，斷定消息的真實性，對身份認證，出示相關的口令或者證件，以免給偽裝者盜取信息的可能。DNA、手機號碼、指紋、口令都可以視為認證方式。口令認證還是較為普遍的，在登錄時設置一些密碼，服務器進行加密，但是安全性會低一些，非法分子會偽裝你與服務器進行交流，從而竊取你的更多資料。感應設備的可取性高一些，因為DNA與指紋都是別人無法復制的。

4、WPKI加密。PKI作為一種保障網絡信息安全的設備，自行對密鑰和證書處理。WPKI則對他進行了升級，主旨是電子商務的移動支付中的實體聯系、證書認證，終端、認證中心、WAP網關、目錄服務、PKI門戶是其重要的組件，當然還關系到相關的服務器設施。終端請求證書簽名，PKI門戶將請求證書傳達給CA，在目錄服務的基礎上由CA發布證書，PKI Portal獲取證書的位置，由終端將文檔、簽名和證書的位置傳達給WAP網管，整個過程中證書的產生、下達與刷新以及傳遞的安全、WPKI都進行了標準的優化，使得電子商務移動支付更安全。

（四）移動電子商務的安全要求。保證整個移動支付系統的安全，判斷對信息的、實體的有效性，保護信息被篡改的機密度，阻止消息在電子商務環境中泄露，利用可靠的數據，避免中途的不可否認等電子商務數據安全要素，譬如竊聽、漫游安全、交易抵賴、完整性損害等。

保證安全要素的同時還要具備一套優越的安全機制，是對電子商務環境下的用戶、運營商、第三方主要當事人交易過程中所涉及到的網絡層、平臺層、應用/服務層、加密技能的安全管理。管理角色權限、認證身份、會話與日志，保護數據，這就是應用/服務層所提供的，阻止對數據的濫用，對服務的非法訪問。

三、電子商務市場下移動支付的SWOT

（一）優勢闡述。3G網絡的盛行，手機及銀行卡使用者的數量逐年增加，可想而知，是一個龐大的群體，同時也是可待持續發展的一個市場。移動支付主要的就是Anyway、Anytime、Anywhere性質相比對其他的支付方式造成了威脅，移動支付信息查詢快捷、對非實物商品的結算及時，避免了傳統支付的現場排隊現象，既方便又快捷，同時也會對現金的安全進行保護，用戶不必攜帶現金便可支付，不必擔心移動運營商收取多余的費用。

（二）劣勢闡述。正視移動支付的兩面性，有著優勢但也不能忽視他的缺點，人們對移動支付的安全性還是放心不下來，比如信號在傳送的過程中被截獲，用戶端的操作反應慢，就像支付反饋信息收不到，POS機登陸出現故障，移動支付覆蓋面擴大了、群體增加了，信用系統卻不夠完善，無線支付的技術、信譽、法律風險仍是現在面臨的問題，無論是運營商與銀行或是其他當事人擔心責任的問題避而遠之，不能平衡支產業鏈的利益。

（三）機會闡述。目前，使用數據足以證明，移動終端設備的方便快捷，并且逐漸成熟，顯然手機淘寶等字樣家喻戶曉，移動支付也得到了多家銀行的支持，整個支付產業鏈要素已經基本完善，手機與IC卡的融合深受用戶的追捧，還有現金支付的弱點、支付途徑的單一化、3G網絡技術的不系統、國家的相關政策等不完善的方面對于如今的電子商務移動支付來說都是一個極大的挑戰，有著更好發展的機遇。

（四）威脅闡述。人們還是熱衷于傳統支付，拒絕移動支付，因為那樣會覺得放心；政策的出臺或多或少的會對銀行、運營商和支付群體做出一些規范，其中包括很復雜的經營制度、用戶能不能放心使用的擔憂；考慮支付金額的大小，謹慎壞賬和欺詐，要明確風險承擔者；如今的移動支付市場多了外資企業這樣一個觀眾，外資企業的加入對中國當地的銀行有著一定的競爭力，同時其他的支付方式也在不斷改進，在支付市場占據了一定的比例。

四、我國移動支付發展障礙

（一）不習慣移動消費。2013年上半年相關市場調研表明：僅僅6.49%的人不清楚移動支付，聽過移動支付的人多，真正了解移動支付的人少。消費者的認知程度低有待進一步的提高，以及強化消費者的使用意識和習慣性移動消費，是電子商務移動支付的首要因素。

（二）產業鏈利益共贏不平衡。運營商、網絡、銀行機構等重要成員通過跨行業相關技術的整合，需要完美的分工實現電子商務活動的移動支付，合作上的共贏也成為關鍵，但實際上運營模式的差異性、技術方案的不統一、支付載體的不同，增加了推廣成本，成為各個合作方的一個糾紛，在規范制度上，合作方對權利、成本、模式利益的分配不滿意，后來的收益與投資狀況都將成為阻礙移動支付飛速發展的因素。

（三）安全技術不完善。技術問題又是一個障礙。3G取代了2G網絡，當今，4G網絡已經提出，不同的網絡體制下加密機制有所差異，不過共同的目標都在保證數據的完整性、保密性，手機短信支付是非互交式的，公網傳遞無加密，手機出現漏洞，遭遇病毒，信息被竊取的可能性就會增加，用戶擔憂數據的完整性與及時性不能被保證。

（四）監管方不透明。銀行占有主導地位，通信運營商、第三方支付公司的監管主體有差別。比如，工業與信息化部作為通信行業的監管主體，監管移動增值業務的服務、信息安全與業務內容等。重復監管模式對于移動支付的有序發展沒有優勢。

（五）信用制度不先進。我國的信用體系在金融服務領域還不夠成熟。銀行信用體系的良好連帶到個人使用移動支付的狀況，人們擔心在交易過程中泄露身份，相關調查也表明：手機用戶沒有接到垃圾短信、詐騙電話的人少之又少。所以，改變惡劣的信用機制，就不會有機會阻礙移動支付的電子商務市場向前發展了。

五、針對移動支付對電子商務安全問題的建議

（一）支付終端的系統安全。有待加強移動支付的技術設備這個硬環境，對于手機的技術支持、安全芯片、加密文件、身份認證等相關技術，對登錄前的安全以及支付的交易保密性的提高。

（二）加強安全技術。就目前電子商務市場的移動支付來說，所涉及到的安全技術大體上能夠達成移動支付的業務，保證了自身系統的基本安全卻沒有在意用戶使用過程的安全信息進行升級保護，導致了一部分用戶主動放棄這種付款方式。移動支付機構對技術上的可攻擊性提高一些，對ID進行加密處理，移動運營商提供的安全網絡，避免支付風險，重視整個支付及交易系統的安全。

（三）調動支付產業鏈的積極性，加大監管力度。保障整個線條的每一部門的利益，使其得到效益均衡，可以充分帶動發揮各自的積極性，促使移動支付市場產業鏈有條不紊地發展。這樣，一些監管部門就不會費盡心思想去懲罰他們的一些行為，當然他們的所作所為是在法律允許的邊界內，為移動支付產業做貢獻。

（四）建設安全信用機制。良好的安全信用體系制造了健康的網絡環境，同時為商家提高了信用度。現在通過對第三方擔保系統有了規劃，加上移動支付企業聯合第三方支付平臺，進一步增進移動支付產業的信用機制，就能在多個方面解除用戶的擔憂，感受到移動支付在我們身邊的美好。

（五）制定法規。對于業務處理的過程中出現的故障，用戶的請求被限制以及支付短信沒有反饋，利用合理的支付信用機制，避免風險，采取限額等防范途徑，確保支付安全。需要相關部門檢測支付體系，對日常監管負責，完善相關法律法規。

六、總結

電子商務市場與移動支付市場都是炙手可熱的，兩者又相互影響著，移動支付蔓延在社交行業中，比如微信支付已經基本穩定了，對于社交平臺的移動支付同樣吸引著各個企業，移動終端的普及和電子商務的發展，對于移動支付的發展前景有著不可估量的影響。然而，談及移動支付的發展前景就會想到其能替代紙幣，實現銀行服務的移動化、整個移動支付產業鏈的完美配合，加上大體成型的支付業務環境和技術，不管技術上還是外界狀況影響，整合通訊安全等安全機制共同克服移動支付泛起的電子商務安全問題。

［1］李琪.電子商務概論［J］.高等教育出版社，2009.3.1.

［2］萬隆.電子商務環境下移動支付的安全性分析［J］.商場現代化，2008.

［3］黃麗云，黃瑾，陸宏治.移動支付風險與安全機制分析［J］.移動通信，2013.1.

F713.36

A