手机支付的探析

[摘要] 本文首先介绍了手机支付的相关概念和基于支付平台的支付流程，然后描述了手机支付存在的一些安全隐患，并且给出了解决方法。 同时又介绍了手机支付的推广之所以困难重重的各种原因。

[关键词] 手机支付支付平台短信业务安全机制

一、引言

手机支付是一种新兴的费用结算方式，由于方便而日益受到银行、无线运营商、商家和用户的青睐。手机支付是利用STK技术及SIM卡开发的使用手机进行消费的功能，基于银行账号和手机号的惟一性，将银行账号和手机号进行绑定，用户就可以通过短信、语音等多种方式对自己的银行账户进行操作，实现查询、缴费、转账、消费等功能，并可以通过短信等方式得到交易结果和账户变化的通知。使用手机支付，人们可免受银行排队的苦恼，省去随时携带钱包、信用卡的麻烦。可以肯定，在不久的将来，手机支付将在人们生活中扮演越来越重要的角色。

二、基于支付平台的手机支付模型

目前在我国，各家移动运营商和大部分提供手机银行业务的银行，都有自己的运营的手机支付平台。比如：2004年8月中国移动和中国银联成立合资公司联动优势，推出“手机钱包”服务；2004年12月9日，中国联通和中国建设银行联手推出“新一代手机银行”业务。这样的后果是既造成了资源的浪费，又使手机支付在银行之间不能互通，在很大程度上阻碍了手机支付的发展。

因此，有必要建立一个独立的手机支付平台，使其独立于移动运营商和金融机构。这样就可以使移动运营商、金融机构和支付平台运营商之间分工明确。除此之外，还可以简化系统结构，提高运营效率，实现跨行之间的支付交易。

在整个手机支付的过程中，支付平台处于核心地位，所有的交易信息都要由它进行传递。图中指出了在手机支付的流程中消费者、商业机构、支付平台和第三方信用机构（例如银行）所起的作用。

手机支付流程图

1.购买请求：消费者对准备购买的商品进行查询，在确定了准备购买商品之后，通过手机发送购买请求给商业机构。

2.收费请求：商业机构在接收到消费者的购买请求之后，发送收费请求给支付平台。支付平台利用消费者账号和这次交易的序列号生成一个具有惟一性的序列号，代表此次交易过程。

3.认证请求:支付平台必须对消费者和商业机构账号的合法性及正确性进行确认。支付平台把消费者账号和商业机构账号信息发送给第三方信用机构，第三方信用机构对账号信息进行认证。

4.认证:第三方信用机构把认证结果返回给支付平台。

5.授权请求：支付平台在收到第三方信用机构的认证消息之后，如果账号通过认证，支付平台把交易的详细信息，包括商品或服务的种类、价格等发送给消费者，请求消费者对支付行为进行授权。如果账号未能通过认证，支付平台把认证结果发送给消费者和商业机构，并且取消此次交易。

6.授权:消费者在核对交易的细节之后，发送授权消息给支付平台。

7.收费完成:支付平台得到了消费者的支付授权之后，开始消费者账户和商业机构账户之间的转账，并且把转账细节记录下来。转账完成之后，传送消费完成信息给商业机构，通知他交付消费者商品。

8.支付完成：支付平台传送支付完成信息给消费者，作为支付凭证。

9.交付商品：商业机构在得到了收费成功的信息之后，把商品交给消费者。

三、手机支付中的安全现状分析

资金安全是银行考虑的第一要素，也是影响消费者体验的首要障碍。目前，我国手机支付实现技术主要有基于短信、WAP、BREW等技术，由于技术原因造成的数据传输中的加密性和数据的实时性、完整性不够，使手机支付面临安全隐患。

利用GSM+SIM实现的手机支付是目前最为常用和最为成熟的一种技术。其中GSM+SIM的鉴权和加密技术提供了较好的安全性，但是即使在待机状态下，手机也要与通信网络保持不间断的信号交换，所以很容易被识别、监视和跟踪。此外，SIM卡本身相对容易被复制，也存在安全隐患。

短信业务作为手机支付的主要手段之一，其也存在着一定的缺陷。比如：短信是一种存储转发机制，对于实时支付业务来说就存在不可避免的缺陷；在无线POS终端上送数据包成功之后，由于某种原因造成POS无法接受返回的数据包；如果短信时间延长，可能造成交易数据混乱的情况，而现在的短信业务没有提供很好的支付终止的机制。

针对目前短信业务所面临的各种安全问题，移动运营商应提供以下的安全机制来保证手机支付业务的安全性。

1.加密机制：加密的目的是保护数据的机密性。通过加密处理保证只有消息的发送者和预定的接收者才能看懂消息的真正内容。由于受到手机计算和存储能力的限制，加密机制的算法最好选择对称加密算法。

2.身份认证机制：身份认证是确保短信的接收者能够确认短信的来源，从而使通信双方能够确定对方的真实身份。在对称密码系统中，MAC可提供身份认证的功能。

3.数据完整性机制：保证数据完整性的目的是保证短信的接收者能够判断短信在传输过程中是否被篡改。MAC也是一种用来保护短信数据完整性的可行方法。

4.密钥管理机制：在整个手机支付系统中，密钥至关重要。所以，应当制定一套完善的密钥生成、分发、存储、使用机制，以保护密钥的安全性。现在最基本的需求是交易密钥能安全、方便地更新，最好是一次一密，实现动态的密钥变换机制。

四、手机支付的推广难度

作为一种新的支付方式，手机支付的推广应用在现实生活中遇到了一些阻碍。首先，客户对此项服务的安全性存在顾虑。由于手机支付过程是通过无线传输的，在安全方面，人们会有不同程度的担忧。此外，如果一旦手机丢失，那么与该手机绑定的银行账号如何才能得到有效的保护，这也是一大问题。其次，中国人传统的消费习惯同样也影响着手机支付的发展。人们对现金交易的依赖是推广手机支付的最大阻碍。还有，银行和移动运营商的收费，导致使用手机支付方式要比传统支付方式花费更多，从而打击了商家、消费者使用手机支付的积极性。最后，手机支付的应用还不够丰富，目前手机支付还仅仅停留在一些电子化产品上，尚未实现对实物支付。

五、结束语

只要手机支付在信用安全、手续费用、快捷程度等问题上得到有效的解决，那么消费者在传统购物时使用手机支付这一新型方式的可能性才会获得提高。

手机支付作为一种崭新的支付方式，将会有非常大的商业前景，必将成为移动电子商务的一个新亮点。

参考文献:

[1]马凌:手机支付三国演义[J].数字财富，2005.1.10:84～87

[2]王潇雨朱晓芸杨枨:移动支付的安全交易平台的研究与开发[J].计算机工程与设计，2001，27（21）:4157～4160