移动电子商务安全支付 [摘要] 移动电子商务是传统电子商务的一种创新盈利模式，除了传统电子商务一直无法解决的付款、送货、费用高等障碍外，安全问题尤为突出。针对移动商务支付的现状，提出了以移动支付中心为核心的移动电子商务安全支付解决方案。 [关键词] 移动商务现状 支付安全 移动商务是在交易活动中以手机、PDA、笔记本电脑等作为支付手段，通过短信、WAP、IVR等方式以手机话费或信用卡作为支付资金，完成购物、付款、银行转帐等商务活动。通过手机投注、在线购买游戏点卡、手机梦想网、手机交水电煤气费等商务活动，移动商务已逐渐走入普通百姓的生活。由于手机用户可以随时随地购物支付，不再受到时间和地域的限制，相信未来会成为一种主要的主流消费方式。目前，我国银行体系累计发卡量已超过7.6亿张，手机用户数已近4亿，绝大部分手机用户都拥有一张或多张银行卡。根据年度调查报告，我国网民总数为1.23亿，其中使用手机上网的约1500万人。而且，中国网民70%集中在收入低于1500元、年龄在30岁以下的群体，而手机用户的消费群体中基本包括高端用户，比如早期使用万元以上手机的手机用户；还有一个原因是无线网络覆盖范围广，从城市到乡村都能使用手机。

因此，无论是从用户数量，还是从用户资金实力来看，移动电子商务都远胜于传统电子商务。如此庞大的手机消费者和银行卡持有者数量，无疑是移动商务的一座巨大的“金矿”。然而，在移动电子商务的发展中，由于我国特殊的网络环境，除了传统电子商务一直无法解决的支付、配送、成本高等障碍外，移动电子商务的安全问题尤为突出，成为制约移动电子商务的瓶颈问题。1、移动商务安全支付问题首先，手机加密能力低。由于手机计算能力低、内存小，再加上带宽小、数据容易丢失，无法运行过于复杂的加密算法，导致数据保密性低，无法传输大量数据。其次，手机信息非常容易在空中被截获。网上经常有人兜售“监听王（GSM/CDMA多路手机拦截系统）设备”，宣称：“监听地点不受限制，可以在任何地点，包括车内空中监听手机；可同时监听大量手机号码；监听范围广，可显示手机短信内容、来电号码；可记录监听到的信息，存入硬盘，留作证据。”这种宣传虽不属实，但却明确告诉我们，手机信息是可以被拦截的；我们用于手机支付的信用卡数据，同样可以被拦截。此外，不法分子还想尽一切办法窃取消费者的账户密码。比如，冒充银行发送诈骗短信。

“您好！您的信用卡在×××商城消费了2000元，这笔款项将从您的账户中扣除，如有疑问请致电3888×××银联联管局。”不法分子利用此类短信告知用户不实消费，要求用户确认。用户在慌乱中查询并泄露了自己的账户密码，导致信用卡内的钱被不法分子盗用。因此，在移动商务盛行的时候，不法分子很有可能利用手机拦截器监听手机信用卡支付信息，想尽一切办法进行破解。2、移动电商安全支付解决方案解决移动电商安全支付问题，可以采用国际上比较成熟的解决方案，如爱立信的移动电商解决方案（-Pay）、惠普的企业全系统移动E-Pay解决方案；同时，鼓励自主推出一些安全的支付解决方案。下面提出以移动安全中心为核心的移动电商解决方案： 1、初始化 客户、商户、移动支付中心分别向权威认证机构申请证书，生成数字证书和公私钥。 客户在商户电商网站注册账户，确定支付方式为手机充值及支付手机号；商户通过短信确认手机机主身份。 客户在移动支付中心注册实名手机信息，并与移动支付中心交换证书和公钥。实名手机信息包括：手机号、姓名、身份证号、座机号、住址、邮编。

其次，手机和信用卡账户在银联体系内绑定，一旦手机余额不足，可以快速充值。商户也在移动支付中心注册账户，与中心交换证书和公钥。客户和商户拿着移动支付中心证书，移动支付中心拿着客户和商户证书到权威注册机构验证，确保无误。2.移动交易安全支付流程 (1)客户用手机浏览商家网站选择商品，将商品信息、用户号、收货地址、手机支付方式等购买信息发送给商户。商品信息包括：商品名称、规格、数量、价格、购买时间等。 (2)商户收到购买信息后，同时生成订单合同和唯一的交易合同号。商户再将订单合同信息和交易合同号发送给客户。订单合同信息包括：商品名称、规格、数量、价格、收货方式（平邮或特快专递）、总金额、收货地址等。 （3）商户将订单合同信息、交易合同号、客户手机号、订单合同数字签名等使用DES对称加密形成支付请求信息，然后用移动支付中心公钥加密DES密码后一起发送给移动支付中心。 （4）移动支付中心：首先使用私钥解密DES密码，使用DES解密算法解密订单合同。其次使用DES加密订单合同和客户当期话费（若话费不足则增加提示），然后用客户公钥加密DES密码，形成合同确认请求信息。

向客户手机发送确认合同信息请求。然后将交易合同写入移动支付中心的交易记录网站，以便客户和商户查询、查看交易进度。若未收到客户的确认合同信息，则拒绝交易，结束购买流程。（5）客户首先解密确认合同信息请求，确认订单合同无误。若客户发现话费不足，则客户用私钥对银行信用卡号、密码、转账单和个人证书进行签名，然后用银行公钥加密后将转账短信发送给银行。银行根据转账短信将款项转入客户在移动支付中心的账户。其次，确认合同。用客户私钥加密确认合同信息和订单合同号，通过手机发送给移动支付中心。（6）移动支付中心用客户公钥解密确认合同信息，从客户账户中预扣款项；使用移动支付中心私钥加密发货通知请求，发送发货通知给商户。（7）商户根据通知发货，并以短信通知客户货物已收到，同时将订单合同号、发货货物等信息加密发送给移动支付中心。（8）客户收到货物后进行验货，若验货通过，客户用客户私钥加密订单合同号和交易成功信息，通过手机发送交易成功信息给移动支付中心；若验货不通过，货物退回商户，并向移动支付中心发送交易失败信息，向商户和移动支付中心说明交易失败的原因。若客户未在规定时间内向移动支付中心发送交易成功或失败信息，移动支付中心自动处理本次交易成功。

(9)移动支付中心收到交易成功短信后，将货款划转到商户账户。 (10)商户收到退回的商品后，向移动支付中心发送同意退款的短信，移动支付中心将扣留的款项退还到客户账户。 (11)交易完成后，商户和客户双方都要在移动支付中心的交易记录网站上互相评价，积累信用积分，移动支付中心会根据客户的支付金额给予积分，并根据积分给予客户优惠的话费，以降低交易成本。交易流程至此完成。 三、移动电子商务安全支付方案可行性分析： 1、方案优势 (1)移动支付中心是安全性较高的环节，在整个支付过程中，移动支付中心的支付管理系统是核心环节，它完成确认客户和商户身份、监督商户发货、扣除客户货款等业务。当客户发送确认签约及交易成功信息时，客户的短信只传送给移动支付中心，而不会传送给商户系统。移动支付中心只能知道客户账户中可用的话费金额，以此来判断客户是否有足够的余额进行购买。客户银行账户的详细信息只由金融机构管理，当手机话费不足时，客户向银行发送转账指令，银行根据客户的指令进行银行账户的转账、支付和结算。移动支付中心无法处理客户的银行账户，商户也无法处理客户的银行账户。这样就避免了客户信用卡账户被骗的可能性。同时，由于客户的重要个人信息不存储在商户系统中，客户的隐私也得到了保护。

此外，在交易过程中，移动支付中心先为商户临时扣款，保护了商户的权益；临时扣划的电话费用并不直接支付给商户，而是在客户验货后再转给商户，也保护了客户的权益。（2）重要数据的保密性。为防止重要数据被非法用户截取，采用加密技术实现保密性，从而保证在传输过程中，只有客户、商户、移动支付中心三方知晓交易的内容。采用加密技术，手机在传输客户证书、银行账号与密码以及各类个人机密敏感信息时，不会轻易被破译或被窃取。（3）完整性。采用加密技术，以移动支付中心为纽带，可以防止其他方或非法入侵者修改交易内容，同时保护交易双方的权益。（4）身份确认。通过数字证书验证，保证交易双方身份真实，防止欺诈。通过手机卡号也可以确认客户身份，手机卡具有唯一性和专属性，不受时间和空间的限制，移动通信服务提供商以外的其他机构或个人无法复制同号的有效手机卡。换言之，即使复制了同一张SIM卡，也能被移动网络控制中心轻易发现。而且有账号和密码保护，因此，该方案安全可靠。2、该方案的缺点（1）步骤复杂。由于该方案采用商户将订单合同发送给移动支付中心，移动支付中心将订单合同转发到客户的手机上，然后客户使用手机确认订单合同后，移动中心才能告诉商户：款项已扣款。

交易双方需要互相评估，这对于想即时支付的交易来说是一个大问题：步骤多，流程复杂。 (2)传输数据量大，手机速度慢，带宽小，容易丢失数据，现在需要把传输指令和证书加密后发送给移动支付中心，这对手机的处理能力是一个考验。 四、结束语 手机用户和互联网宽带接入用户的日益增多，为移动电子商务的发展提供了沃土。未来移动支付的市场空间十分广阔，安全性是制约其发展的关键问题。在研究移动支付安全技术的同时，应采用统一的标准规范，完善交易流程，加强信用管理，加大安全芯片、智能卡读写器等研发，共同推进移动支付的产业化和应用。