《电子商务安全与支付XXXX(第8章-移动支付)》由会员分享,可在线阅读,更多相关《电子商务安全与支付XXXX(第8章-移动支付)(43页珍藏版)》请在金锄头文库上搜索。
1、 第第8章章移动支付移动支付1学习目标学习目标掌握移动支付的概念和分类。掌握移动支付模式,了解各种模式的主要特点。了解两种移动支付传输技术的区别及各自特点。掌握移动支付安全风险来源,了解主要的无线网络标准的安全隐患。2基本概念基本概念移动电子商务 移动支付 空中交易 广域网交易38.1移动支付概述移动支付概述8.1.1 什么是移动支付什么是移动支付8.1.1.1移动电子商务移动电子商务移动电子商务是基于无线网络,运用移动通信设备,如笔记本电脑、手机、个人数据助手(Personal Data Assistants, PDAs),进行的商品交易或服务交易。从另一角度,移动电子商务也可以定义为移动通
2、信网络为用户提供的网络交易的增值服务。48.1.1.2移动支付移动支付移动支付(Mobile Payment,简称MPayment)是使用移动设备通过无线方式完成支付行为的一种新型的支付方式。目前使用最广泛最典型的移动支付方式是手机支付。在手机支付中,使用一部手机就可以方便的完成整个交易,而且很多情况下可以缩短用户不必要不必要的等待时间,剔除很多无价值的活动,因而,日益受到移动运营商、商品零售商和消费者的青睐。 58.1.2移动支付的框架及流程移动支付的框架及流程在移动支付协议中,主要的参与者有四个:用户、商家、金融机构和支付网关。假设用户和服务商都在金融组织拥有账户,那么其支付的一般流程可参
3、见图8-1。6图 81 移动商务支付流程图 7(5)转账申请消费者消费者移动交互平台移动支付系统金融机构(8) 递送(1)注册(9)返回确认订单(6) 确认转账有效(3)支付申请(7)返回支付结果(4) 商家确认(10)反馈消费者(2)提交支付申请8.1.3移动电子商务环境的特点移动电子商务环境的特点无线环境所存在的缺陷制约了移动应用的发展,特别是在考虑安全的时候。与有线终端相比,无线终端的运行环境非常有限,无法对资源进行随意取舍。这种有限的资源状况对移动电子商务的安全构成了严重的威胁 。88.1.4 移动支付的分类移动支付的分类根据交易结算的是否即时性,移动支付可以分为现场支付(Local
4、Payment)和非现场支付(Remote payment)。按照支付媒介分类,移动支付可分为两种:基于电话账单的移动支付和基于电子钱包的移动支付。98.1.5移动支付系统架构移动支付系统架构移动支付系统是一个完整的信息系统,包括网络、数据库、分析工具等,涵盖了事务处理、中层决策、战略决策等功能。移动支付系统机构可以分为四层(参见图8-2)。10图 82 移动支付的系统架构118.1.6中国移动支付产业发展现状中国移动支付产业发展现状从2004年下半年开始,移动支付进入地域快速扩张的阶段。2005年,移动支付用户数达到1560万人,同比增长134,占移动通信用户总数的4,产业规模达到3.4亿元
5、;2006年,由于产业链的成熟、用户消费习惯的形成和基础设施的完备,移动支付业务将进入产业规模快速增长的拐点;根据诺盛电信咨询的报告,预计到2008年,移动支付用户数达到1.39亿人,占移动通信用户总数的24,产业规模达到32.8亿元 。12从移动支付的业务种类来看,电子化产品由于不需要物流支撑,很适合采取移动支付方式;公用事业产品由于处于垄断地位,往往只有一个产品提供者,利用移动支付来缴费的谈判成本较低。这两类业务构成了移动支付发展初期的主导业务。从业务特点来看,小额电子化产品的支付成为移动支付业务发展的起点,逐渐向大额、实物的方向发展(参见图8-3)。13图 83 移动支付业务演进路线14
6、8.2移动支付模式移动支付模式8.2.1移动运营商独立或联合经营移动运营商独立或联合经营无论是移动运营商独立还是联合经营,实质上移动支付都是移动运营商为主体的。移动运营商为主体比较典型的系统是Simpay。Simpay是由Orange、Vodafone、T-mobile和Telefonica四家欧洲最大的移动电信运营商联合开发,并联合了奥地利的通信运营商ONE在Trivnet的移动电子支付平台的基础上推出的移动支付。 下面以simpay为例讨论由移动电信运营商经营的移动支付的支付流程(如图8-4所示)。15图 84 simpay的支付流程168.2.2金融机构独立经营金融机构独立经营该模式下通
7、过专线与移动通信网络实现互联,将银行账户与手机账户绑定,用户通过银行卡账户进行移动支付。移动运营商只为银行和用户提供信息通道,不参与支付过程的运营和管理,由银行为用户提供交易平台和付款途径,银行独立享有移动支付的用户并对他们负责。当前我国大部分提供手机银行业务的银行(如招商银行、广发银行、工行等)都有自己运营移动支付平台。由银行等金融机构主导经营的移动支付流程可通过图8-5进行说明。17图 85 由银行等金融机构主导经营的移动支付流程188.2.3移动运营商与信用卡组织合作经营移动运营商与信用卡组织合作经营移动电信运营商与卡类组织联合运营;此种方式网络运营商和卡类组织同时为用户提供服务;如韩国
8、SK Telecom联合五家卡类组织(KORAM Bank、Sumsung Card、LG Card、Korea Exchange Card、Hang Card)共同推出的移动支付业务品牌MONETA,就是此种形式的代表;日本的NTT DoCoMo与VISA合作推出了手机钱包I-mode Felica;移动电信运营商与卡类组织进行互补,发挥各种的优势,共同运营移动支付服务。19图 86 I-mode Felica 的可应用领域208.2.4第三方机构独立经营第三方机构独立经营第三方服务商独立于银行和移动运营商,利用移动通信网络资源和金融机构的各种支付卡,实现支付的身份认证和支付确认。通过第三方
9、的交易平台,用户可以实现跨银行的移动支付服务。典型的例子有瑞典的PayBox。PayBox是一家独立的第三方移动支付应用平台提供商,先后在德国、瑞典、奥地利和西班牙等几个国家成功推出了手机支付系统。国内典型案例有北京泰康亚洲科技有限公司的“万信通”平台和广州金中华通讯公司的“金钱包”等。218.3移动支付的移动支付的“空中交易空中交易”模式模式按照传输方式不同,手机支付可以分为空中交易和WAN(广域网)交易两种。空中交易是指支付需要通过终端浏览器或者基于SMS/MMS等移动网络系统;WAN交易则主要是指移动终端在近距离内交换信息,而不通过移动网络。例如使用手机上的红外线装置在自动贩售机上购买可
10、乐(参见图8-7)。22图 8-7 手机支付的两种传输方式238.3.1“空中交易空中交易”的短信系统结构的短信系统结构目前在国内应用最为广泛的短信系统是利用GSM系统中的短信业务作为媒介,利用STK卡(SIM CARD TOOL KI,SIM卡开发工具包)作为信息加密、解密工具。图8-8为短信系统结构图,其中的ESME(External Short Message Entity)指的是金融、证券信息主机。这些机构通过SMPP(Short Message Peer to Peer,短消息接口)协议与短信中心相连,处理手机通过短信中心发来的请求,再将处理后的结果返回。248.3.2“空中交易空中
11、交易”的网络系统结构的网络系统结构“空中交易”的网络首先与移动通信公司的DDN(Digital Data Network,数字数据网络)联接,网络协议采用SMPP协议(一种基于TCP/IP协议之上的网络协议)。网络系统作为中心卡业务主机系统的一个前置系统,与银行主机以两种方式连接。其中移动银行业务系统模拟代理行与主机通过直联电缆直接相连,网络协议采用X.25协议以常联方式建立;而移动POS系统模拟传统POS终端通过网控器与主机连接,网络协议采用X.25协议。系统网络图参见图8-9,网络拓扑图参见图8-10。25图 89 系统网络图26图 810 系统拓扑图278.3.3“空中交易空中交易”的系
12、统特点的系统特点交易数据的传递通过移动局的短信息平台实现,突破了通过有线电话实现相应功能的局限;在容量更大的STK卡就能使用多家银行和多家券商的移动理财服务;只要一张手机STK卡就能使用多家银行和券商的移动理财服务;提供的移动理财服务内容丰富,覆盖银行、证券、外汇、保险等多方面,服务方式个性化;使用手机用户在商场购物或者其他移动付款环境下能够使用手机通过移动pos系统进行支付;移动POS为城市的现代化管理带来支付系统的现代化,以极低成本实现安全快捷的远程电子支付,成为将物流、资金流和信息流结果在一起的移动终端。288.4移动支付面临的安全威胁移动支付面临的安全威胁移动商务由于利用了很多新兴的技
13、术和设备带来了新的安全问题,而这些安全问题能否有效解决就成为了移动商务发展的关键。与传统电子商务相比,移动电子商务由于刚刚起步,技术标准不统一,所面临的安全问题更加复杂。传统电子商务的安全问题一直困扰着电子商务的发展,对于移动电子商务这种更进一步的商务形式,消费者习惯性地抱以观望的态度。移动支付因其业务本身的特性,面临的安全挑战主要体现在三个方面:移动终端、病毒和黑客以及短信欺诈。298.4.1移动终端的安全隐患移动终端的安全隐患移动支付中的终端设备主要包括个人数字助理(PDA)、智能手机(Smart Phone)、便携计算机、GPS导航设备等,他们面临的安全威胁有以下几类。 1)加密和认证问
14、题)加密和认证问题 2)移动终端设备中机密资料的泄漏问题)移动终端设备中机密资料的泄漏问题 3)通信内容被窃听或偷看)通信内容被窃听或偷看 4)用户自身的麻痹大意)用户自身的麻痹大意 5)安全制度漏洞)安全制度漏洞308.4.2无线网络标准中的漏洞无线网络标准中的漏洞8.4.2.1 WAP的安全问题的安全问题无线通信技术的发展满足了人们随时要求在线的意愿,方便了信息的交互。WAP(Wireless Application Protocol)技术的出现为无线平台上丰富的应用提供了基础。虽然现在基于WAP的应用较少,WAP本身也在与其他的一些标准竞争,如NT的DoCoMo,但是WAP在未来无线应用
15、中的前景仍是十分广阔的。31在WAP安全机制中,Client与WAP Gateway之间采用WTLS连接保证Client与WAP Gateway之间的双向身份认证和加密传输。WAP Gateway与App Server之间采用SSL连接保证WAP Gateway与App Server自己的双向身份认证和加密传输。这样,Client与App Server之间建立了一个间接的安全连接。WAP环境中的安全模型参见图8-11。电信级和用户级Wap Gateway之间的比较见图8-12所示。 32图 811 WAP安全模型33图 812 电信级和用户级Wap Gateway的比较348.4.2.2无限局
16、域网(无限局域网(WLAN)安全问题)安全问题WLAN(Wireless Local Area Network)是指应用无线通信技术将计算机设备互联起来,构成可以互相通信和实现资源共享的网络体系。无线局域网本质的特点是不再使用通信电缆将计算机与网络连接起来,而是通过无线的方式连接,从而使网络的构建和终端的移动更加灵活。 358.4.2.3蓝牙无线个人网络(蓝牙无线个人网络(Bluetooth WPAN)的安全问题)的安全问题蓝牙网络通信是一种基于邻近组网原则的对等通信,但链路级存在主从关系。一个微微网由一个单独的主控设备(Master)和邻近的从属设备(Slave)构成。多个微微网在时空上部分重叠,形成散列网(Scatternet)。典型散列网的拓扑结构如图8-13所示。36图 813 散列网拓扑结构378.4.3病毒与黑客病毒与黑客目前出现手机病毒仍以锁定智能手机为主,而且病毒越变越聪明。受感染的手机会不断地将短信传送给通讯录中的亲友,而且文件并夹带病毒。用户若是在国外,除了一直传送MMS彩信信息,还会自动启动漫游服务,结果导致通讯费可能比机票费、住宿费还贵。38本章小结本章小结全面
