移动支付的运营模式
及风险防范分析
一李艳,涂伟2陈美芳。(I、江西科技师范学院贸经系
2、江西科技师范学院王科综合实验中心
南昌330038)
◆
中图分娄号:F713文献标识码:^
进行交易支付和身份认证的途径。用户通
内客绚耍:随着移动通讯技术的快速
过拨打电话、发送短信或者使用WAP功能友展.3G时代的到来m厦h1㈣眦£的广
接人移动支付系统,移动支付系统将此次泛普厦,“手机为代表的移动盘什将交易的要求传送给MASP.由MASP确定此成为t子置付的主流发展方向和市场竞争熊点n于起步阶段的移动支付次交易的金额.并通过移动支付系统通知目前∞自%著许多月题矗待解决,其
用户.在用户确认后.付费方式可通过多中最为突出∞就是哥仝目趣+奉i针
种途径实现.如直接转入银行、用户电话时移动支付运营模式的各个环节.在账单或者实时在专用预付账户上借记,这分析比较现有安全问题的基础土提出
些都将由移动支付系统f或与用户和T其风险防范的方霉。
MASP开户银行的主机系统协作l来完成。
戈犍词:移≈置付移动电子商务远
营模式风险防范
移动支付的运营模式由移动支付价值
链中各方的利益分配原则及合作关系决定。
移动电子商务作为电子商务的一个分成功的移动支付解决方案是充分考虑到移支正在蓬勃发展.移动支付是穆动电子商动支付价值链中的所有环节,进行利益其务中的关键问题,移动支付以其本身所具事和利益均衡。目前移动支付的运营模式有的方懂快捷等优势,以及用户、运营商、主要有以下四种:
服务提供方、银行等各方对移动支付渐趋(一)移动运营商模式
明朗的态度,使得我国大力发展移动支付当移动运营商作为移动支付平台的运的叫机逐渐趋于成熟。
营主体时,移动运营商会以用户的手机话所谓移动支付就是用户使用手机、掌费账户或专门的小额账户作为移动支付账上电脑、笔记奉电脑等移动电子终端和设户.用户所发生的移动支付交易费用全部备.通过手机短消息、IVR(即互动式语音从用户的话费账户或小额账户中扣减。因应答.是基于手机的无线语音增值业务的此,用户每月的手机话费和移动支付赞用统称】、手机上网业务WAPI无线应用协很难区分.而且通过这种方式进行的交易议l等多种方式对所消费的商品或服务进也仅限于100元以下的交易。该模式最典
行账务支付、银行转账等的商务交易服务型的例子是日本移动运营商NTTDoCoMo
活动。
推广的i-ModeFelica手机电子钱包服务,移动支付的运营模式
用户将1c卡插八手机就可以进行购物,lc卡中安装了电子货币交易软件,用户拥有移动支付业务是由移动运营商、
一个电子账户,可以购买电子货充值。进MASPfMobIIeAPPI}CatlonService
行交易时无需金融机构参与.直接从用户Provide
r.移动应用服务提供商)和金融机
的电子账户中扣除。
构共同推出的,构建在移动运营支撑系统在移动运营商模式中移动运营商直L的一个移动数据增值业务应用。移动支接与用户联系.不需要银行参与.技术成付系统将为每个移动用户建立一个与其手本较低。但是移动运营商参与金融交易.机号码*联的支付账户,萁功能相当于电需要承担部分金融机构的责任和风险.子钱包,为移动用户提供了
个通过手机
如果没有经营赍质.将与国家的金融政
118i&W代f万方数据
n#《≈Ⅲ&*m£、】2011十17月
策发生抵触。
(二)银行模式
银行也可以借助移动运营商的通信网络.独立提供移动支付服务。银行通过专线与移动通信网络实现互联,将银行账户与手机账户绑定,用户通过银行卡账户进行移动支付,银行为用户提供交易平台和付款途径,移动运营商只为银行和用户提供消息通道,不参与支付过程一当前我国大部丹提供手机银行业务的银行(如招商银行、工商银行等l都有自己运营移动支村平台?
在银行模式中运营商只负责提供信息通道.不参与支付过程,各个银行只可以
为本行的用户提供手机银行服务.不同银行之间不能互通,而且特定的手机终端和STK卡置换也会造威用户成本的上升。
(三)第三方支付服务提供商模式
移动支付服务提供商【或移动支付平
台运营商l是独立于银行和移动运营商的第三方经济实体,同时也是连接移动运营商、银行和商家的桥梁和细带。通过交易平台运营商,用户可以轻松实现跨银行的移动支付服务。比如北京泰康亚洲科技有限公司的“万信通”平台、广州金中华通讯公司的“金钱包”等.就是由独立的平台运营商运营的移动支付平台。
在第三方支付服务提供商模式中,第三方支付服务提供商可以平衡移动运营商和银行之间的关系.不同银行之问的手机支付业务得到了互联互通.银行、移动运营商、支付服务提供商之问的责、权、利明确,关系简单。这种模式对第三方支付服务提供商的技术能力、市场能力、资金运用能力要求较高。
(四J银行和运营商合作运营模式
由于认识到各自在移动支付领域中的优势和不足,移动运营商同银行台作,开创出新的商业模式。相对于第三方移动支付服务提供商,移动运营商与银行I金融
机构)的台作优势明显。目前国内外很多
公司采用这种台作模式.,与分散的“银行+运营商”台作体相比.中国银联在2010年5月宣布联台18家商业银行、中国联通和中国电信两家移动通信运营商、手机制造商等其同成立移动支付产业联盟体。首批加八该联盟的包括工商银行、表业银行、建设银行等18家全国及区域性商业银行.而手机制造商诺基亚、联想也在其中。此外还有多家智能卡及安全芯片厂商、受理终端厂商、系统集成商、科研院所等相关
机构。移动支付产业联盟的目标是要。打通支付、通信、芯片、智能卡、电子等不同行业间的壁垒,其建一个平台”。联盟各方将联合推广基于金融账户、采用ISO有关非接触通信的国际标准的智能卡手机支付业务。同时.公文、地铁、水电煤、影院、石油公司、医院、商业零售等各行业用户都可以基于此平台开展便捷服务。
在银行和运营商台作运营模式中.移动运营商与银行*注各自的核心产品.形成一种战略联盟关系,合作控制整条产业链.在信息安全、产品开发和资源共享方面合作更加紧密,运营商需要与银行合作.或与银行台作组织建立联盟关系。
付是在支付各方互不见面的情况下.使用移动终端通过移动通信网进行的交易。移动用户与服务提供商之间不存在固定的物理连接,候难确认彼此的合法身份.建立信任关系.保证主付全过程的安全进行。
移动支付的不可否认性。与传统商务活动相比.移动支付是无纸化支付。支付行为难以留下凭证,不便于对支付过程进行记录、分析、管理和追踪。对于信息发布、支付谈判、支付台同签署等关键交易步骤.一旦有一方予以否认,另一方没有已签名的记录作为仲裁的依据。并且即使进八法律程序.由于缺乏配套的法律法规支持,使得诉讼请求不能得到合理的支持。
移动支付服务的不可拒绝性。由于移动支付网络中存在拥塞、单点失效、效率和服务质量不高的问题。无法保证授权用户在正常访问信息和资源时不被拒绝.无法保证为移动用户提供稳定的服务。
立直接的数据连接.但是在用户和银行联系系统±间要保证用户密码是端到端安全的.在中间的SP平台不能得到用户的密码
踞文信息。
对基于SMSf短消息服务}的移动支付我们可以采用的安全措施有:银联系统生成一对RSA1024位密钥。其中公钥随客户端程序分发到手机上。用户在手机上输八密码后,先用公钥对密码进行加密处理.然后只把加密后的密文随同其他信息一起通过HTTPs挤议传送给SP平台。sP平台再按照银行公共支付平台的接1:3,把支付请求数据发给公共支付平台,其中密码仍然是密文形式。由于SP平台没有对应的RSA私钥,所以不能通过密文得到用户的密码.保证了密码在手机和银联公共支付平台之间是端到端安全的。
对基于WAP的移动支付我们可以采用的安全措施有:由于WAP与后台之间的通信栗用B/s方式。不能够在客户端对用户密码先进行加密处理,再通过HTTPS传输。为了保证用户密码的安全,在银行系统内设置一台代理加密服务器。用来代理客户端进行用户密码的加密工作,手机与代服务器之间使用协议。由代理加密服务器使用RSA公钥对密码进行加密处理.然后把密码的密文以及其他信息通过重定向命令发给用户手机.通知手机把密码密文
移动支付的安全问题
移动支付面临的环境非常复杂.它不仅仅同普通的电子商务安全体系样存在被外部恶意攻击的可能.而且由于移动支付的参与者存在着种种利益方面的;÷突.使得一些不诚实的参与者也有向系统发起攻击的可能。同时加上网络和穆动环境等差强人意.网络带宽不足.终端计算能力相对较弱.这种种因素为安全的移动支付系
移动电子支付的风险防范
(一)移动终端的量仝
针对移动垫端有可能受到的安全威胁.开发商开发的手机应用程序首先要提交给运营商指定的第三方测试公司进行兼容性测试,保证软件没有病毒和有害代码:测试通过后的软件包经过运营商代理数字簦名,提交到应用下载服务器,用户在此下载的软件包是经过数字签名的.保证了软件包在分技过程中不会被更改;开发商可以指定软件包中二进制执行文件等关键的数据文件不可更改.否则将无法启动救件,从而防止了文件被外部改动而带来的风险.软件被下载到手机上会生成个跟卡号相关的签名文件,在每发启动程序的时候,首先要检查当前卡跟签名文件授权的卡是吾一致.只有致才能正常启动程序。
统的设计和实施带来了相当大的困难,.移
动支付系统的主要安全问题有如下方面:
移动支付信息的机密性。商家向穆动支付平台传递的产品信息、买家付费的账户信息以及在移动支付平台上传输的机密信息.有可能在网络上传送或存储的过程中被他人窃取、泄露或披露给未经授权的人或组织.造成用户损失。不安全的移动终端也有可能使个人账号、密码等敏感信息
和其他信息重定向到SP平台。这样SP平
台只能收到密码密文信息,保证了密码在手机和银联公共支付平台之问是端到端安全的。
综上所迷,客户端的安全认证.网络传输层的机密性,这些部需要建立完备的机制,并且取得客户的信任.这样才能使移动支付业务得到广泛的认可和接纳。随着3G业务的全面推进.网络融台应用服务平台已经措建,人们对移动支付将变得越来越有信心,移动支付业务最终将全面普及,成为与传统支付并驾齐驱的支付方式。帝
受到病毒、木马程序的攻击.威胁用户银行
账号安全。移动支付的WAP协议中存在一
个安全漏混服务器lqJWAP网关用SSL(安
全套接层l加密的信息需在WAP阿关解密后.再用wTLS(WirelessTransportLayerSecurity,无线传输层安全)加密后发送出去,,这样尽管内容服务器到嗣关.同关到终端用户是安全的.但信息层以明文形式在网关上存在了段时间.这就有可能被攻击者窃取,造成安全隐患。
移动支付信息的完整性。敏感机密信息以及买卖双方与移动支付平台问的数据可能被未授权者修改、嵌入、删除、重复传送或由于其他原因使原始数据被更改。如果没有一种让持卡人认可的措施来确保支付过程是安全的.将极大彰响用户选用
(二)月,与Sp(s…oc
Provider.服
务提供商)平台之间的安全通信
用户登录到SP平台,处理余额查询、转账、支付等业务。在这过程当中需要用户输人用户的卡号和密码等关键信息.要保证这些信息不被窃听和篡改。我们可以让SP平台配置有CFCA笠发的服务器证书,手机端程序中包括cFcA的报证书。在用户和SP平台之间罘用HTTPs协议.手机端通过证书对服务端进行身份认证.在传输过程中使用HTTPS协议进行加密传输.保证了数据不会被窃听和篡改。
(三】用户与银行系统之闻的安奎通信用户与银行公共支付平台之间并不建
1毒成德.i女蛛移动t干商务
『M1人R娜t女版社,201
0
2闰甚峰3(:时代时醇自置付产m链模式撂讨U1移自《信,2009
3中目对外&簧女学现代服务Ⅱ研宄十心##支付斑展现状与趋势JJl尘*t十化.2叭u
4耪晨.橱建军秽自主什安奎犀障挂木体系研宽U】信怠挂书自标准化.2(110
移动支付的告■和积擞性。
移动支付多方身份的认证性。移动主
万方数据
(十女#o№W!目H%》口5§*#镕oⅫW”9
移动支付的运营模式
及风险防范分析
一李艳,涂伟2陈美芳。(I、江西科技师范学院贸经系
2、江西科技师范学院王科综合实验中心
南昌330038)
◆
中图分娄号:F713文献标识码:^
进行交易支付和身份认证的途径。用户通
内客绚耍:随着移动通讯技术的快速
过拨打电话、发送短信或者使用WAP功能友展.3G时代的到来m厦h1㈣眦£的广
接人移动支付系统,移动支付系统将此次泛普厦,“手机为代表的移动盘什将交易的要求传送给MASP.由MASP确定此成为t子置付的主流发展方向和市场竞争熊点n于起步阶段的移动支付次交易的金额.并通过移动支付系统通知目前∞自%著许多月题矗待解决,其
用户.在用户确认后.付费方式可通过多中最为突出∞就是哥仝目趣+奉i针
种途径实现.如直接转入银行、用户电话时移动支付运营模式的各个环节.在账单或者实时在专用预付账户上借记,这分析比较现有安全问题的基础土提出
些都将由移动支付系统f或与用户和T其风险防范的方霉。
MASP开户银行的主机系统协作l来完成。
戈犍词:移≈置付移动电子商务远
营模式风险防范
移动支付的运营模式由移动支付价值
链中各方的利益分配原则及合作关系决定。
移动电子商务作为电子商务的一个分成功的移动支付解决方案是充分考虑到移支正在蓬勃发展.移动支付是穆动电子商动支付价值链中的所有环节,进行利益其务中的关键问题,移动支付以其本身所具事和利益均衡。目前移动支付的运营模式有的方懂快捷等优势,以及用户、运营商、主要有以下四种:
服务提供方、银行等各方对移动支付渐趋(一)移动运营商模式
明朗的态度,使得我国大力发展移动支付当移动运营商作为移动支付平台的运的叫机逐渐趋于成熟。
营主体时,移动运营商会以用户的手机话所谓移动支付就是用户使用手机、掌费账户或专门的小额账户作为移动支付账上电脑、笔记奉电脑等移动电子终端和设户.用户所发生的移动支付交易费用全部备.通过手机短消息、IVR(即互动式语音从用户的话费账户或小额账户中扣减。因应答.是基于手机的无线语音增值业务的此,用户每月的手机话费和移动支付赞用统称】、手机上网业务WAPI无线应用协很难区分.而且通过这种方式进行的交易议l等多种方式对所消费的商品或服务进也仅限于100元以下的交易。该模式最典
行账务支付、银行转账等的商务交易服务型的例子是日本移动运营商NTTDoCoMo
活动。
推广的i-ModeFelica手机电子钱包服务,移动支付的运营模式
用户将1c卡插八手机就可以进行购物,lc卡中安装了电子货币交易软件,用户拥有移动支付业务是由移动运营商、
一个电子账户,可以购买电子货充值。进MASPfMobIIeAPPI}CatlonService
行交易时无需金融机构参与.直接从用户Provide
r.移动应用服务提供商)和金融机
的电子账户中扣除。
构共同推出的,构建在移动运营支撑系统在移动运营商模式中移动运营商直L的一个移动数据增值业务应用。移动支接与用户联系.不需要银行参与.技术成付系统将为每个移动用户建立一个与其手本较低。但是移动运营商参与金融交易.机号码*联的支付账户,萁功能相当于电需要承担部分金融机构的责任和风险.子钱包,为移动用户提供了
个通过手机
如果没有经营赍质.将与国家的金融政
118i&W代f万方数据
n#《≈Ⅲ&*m£、】2011十17月
策发生抵触。
(二)银行模式
银行也可以借助移动运营商的通信网络.独立提供移动支付服务。银行通过专线与移动通信网络实现互联,将银行账户与手机账户绑定,用户通过银行卡账户进行移动支付,银行为用户提供交易平台和付款途径,移动运营商只为银行和用户提供消息通道,不参与支付过程一当前我国大部丹提供手机银行业务的银行(如招商银行、工商银行等l都有自己运营移动支村平台?
在银行模式中运营商只负责提供信息通道.不参与支付过程,各个银行只可以
为本行的用户提供手机银行服务.不同银行之间不能互通,而且特定的手机终端和STK卡置换也会造威用户成本的上升。
(三)第三方支付服务提供商模式
移动支付服务提供商【或移动支付平
台运营商l是独立于银行和移动运营商的第三方经济实体,同时也是连接移动运营商、银行和商家的桥梁和细带。通过交易平台运营商,用户可以轻松实现跨银行的移动支付服务。比如北京泰康亚洲科技有限公司的“万信通”平台、广州金中华通讯公司的“金钱包”等.就是由独立的平台运营商运营的移动支付平台。
在第三方支付服务提供商模式中,第三方支付服务提供商可以平衡移动运营商和银行之间的关系.不同银行之问的手机支付业务得到了互联互通.银行、移动运营商、支付服务提供商之问的责、权、利明确,关系简单。这种模式对第三方支付服务提供商的技术能力、市场能力、资金运用能力要求较高。
(四J银行和运营商合作运营模式
由于认识到各自在移动支付领域中的优势和不足,移动运营商同银行台作,开创出新的商业模式。相对于第三方移动支付服务提供商,移动运营商与银行I金融
机构)的台作优势明显。目前国内外很多
公司采用这种台作模式.,与分散的“银行+运营商”台作体相比.中国银联在2010年5月宣布联台18家商业银行、中国联通和中国电信两家移动通信运营商、手机制造商等其同成立移动支付产业联盟体。首批加八该联盟的包括工商银行、表业银行、建设银行等18家全国及区域性商业银行.而手机制造商诺基亚、联想也在其中。此外还有多家智能卡及安全芯片厂商、受理终端厂商、系统集成商、科研院所等相关
机构。移动支付产业联盟的目标是要。打通支付、通信、芯片、智能卡、电子等不同行业间的壁垒,其建一个平台”。联盟各方将联合推广基于金融账户、采用ISO有关非接触通信的国际标准的智能卡手机支付业务。同时.公文、地铁、水电煤、影院、石油公司、医院、商业零售等各行业用户都可以基于此平台开展便捷服务。
在银行和运营商台作运营模式中.移动运营商与银行*注各自的核心产品.形成一种战略联盟关系,合作控制整条产业链.在信息安全、产品开发和资源共享方面合作更加紧密,运营商需要与银行合作.或与银行台作组织建立联盟关系。
付是在支付各方互不见面的情况下.使用移动终端通过移动通信网进行的交易。移动用户与服务提供商之间不存在固定的物理连接,候难确认彼此的合法身份.建立信任关系.保证主付全过程的安全进行。
移动支付的不可否认性。与传统商务活动相比.移动支付是无纸化支付。支付行为难以留下凭证,不便于对支付过程进行记录、分析、管理和追踪。对于信息发布、支付谈判、支付台同签署等关键交易步骤.一旦有一方予以否认,另一方没有已签名的记录作为仲裁的依据。并且即使进八法律程序.由于缺乏配套的法律法规支持,使得诉讼请求不能得到合理的支持。
移动支付服务的不可拒绝性。由于移动支付网络中存在拥塞、单点失效、效率和服务质量不高的问题。无法保证授权用户在正常访问信息和资源时不被拒绝.无法保证为移动用户提供稳定的服务。
立直接的数据连接.但是在用户和银行联系系统±间要保证用户密码是端到端安全的.在中间的SP平台不能得到用户的密码
踞文信息。
对基于SMSf短消息服务}的移动支付我们可以采用的安全措施有:银联系统生成一对RSA1024位密钥。其中公钥随客户端程序分发到手机上。用户在手机上输八密码后,先用公钥对密码进行加密处理.然后只把加密后的密文随同其他信息一起通过HTTPs挤议传送给SP平台。sP平台再按照银行公共支付平台的接1:3,把支付请求数据发给公共支付平台,其中密码仍然是密文形式。由于SP平台没有对应的RSA私钥,所以不能通过密文得到用户的密码.保证了密码在手机和银联公共支付平台之间是端到端安全的。
对基于WAP的移动支付我们可以采用的安全措施有:由于WAP与后台之间的通信栗用B/s方式。不能够在客户端对用户密码先进行加密处理,再通过HTTPS传输。为了保证用户密码的安全,在银行系统内设置一台代理加密服务器。用来代理客户端进行用户密码的加密工作,手机与代服务器之间使用协议。由代理加密服务器使用RSA公钥对密码进行加密处理.然后把密码的密文以及其他信息通过重定向命令发给用户手机.通知手机把密码密文
移动支付的安全问题
移动支付面临的环境非常复杂.它不仅仅同普通的电子商务安全体系样存在被外部恶意攻击的可能.而且由于移动支付的参与者存在着种种利益方面的;÷突.使得一些不诚实的参与者也有向系统发起攻击的可能。同时加上网络和穆动环境等差强人意.网络带宽不足.终端计算能力相对较弱.这种种因素为安全的移动支付系
移动电子支付的风险防范
(一)移动终端的量仝
针对移动垫端有可能受到的安全威胁.开发商开发的手机应用程序首先要提交给运营商指定的第三方测试公司进行兼容性测试,保证软件没有病毒和有害代码:测试通过后的软件包经过运营商代理数字簦名,提交到应用下载服务器,用户在此下载的软件包是经过数字签名的.保证了软件包在分技过程中不会被更改;开发商可以指定软件包中二进制执行文件等关键的数据文件不可更改.否则将无法启动救件,从而防止了文件被外部改动而带来的风险.软件被下载到手机上会生成个跟卡号相关的签名文件,在每发启动程序的时候,首先要检查当前卡跟签名文件授权的卡是吾一致.只有致才能正常启动程序。
统的设计和实施带来了相当大的困难,.移
动支付系统的主要安全问题有如下方面:
移动支付信息的机密性。商家向穆动支付平台传递的产品信息、买家付费的账户信息以及在移动支付平台上传输的机密信息.有可能在网络上传送或存储的过程中被他人窃取、泄露或披露给未经授权的人或组织.造成用户损失。不安全的移动终端也有可能使个人账号、密码等敏感信息
和其他信息重定向到SP平台。这样SP平
台只能收到密码密文信息,保证了密码在手机和银联公共支付平台之问是端到端安全的。
综上所迷,客户端的安全认证.网络传输层的机密性,这些部需要建立完备的机制,并且取得客户的信任.这样才能使移动支付业务得到广泛的认可和接纳。随着3G业务的全面推进.网络融台应用服务平台已经措建,人们对移动支付将变得越来越有信心,移动支付业务最终将全面普及,成为与传统支付并驾齐驱的支付方式。帝
受到病毒、木马程序的攻击.威胁用户银行
账号安全。移动支付的WAP协议中存在一
个安全漏混服务器lqJWAP网关用SSL(安
全套接层l加密的信息需在WAP阿关解密后.再用wTLS(WirelessTransportLayerSecurity,无线传输层安全)加密后发送出去,,这样尽管内容服务器到嗣关.同关到终端用户是安全的.但信息层以明文形式在网关上存在了段时间.这就有可能被攻击者窃取,造成安全隐患。
移动支付信息的完整性。敏感机密信息以及买卖双方与移动支付平台问的数据可能被未授权者修改、嵌入、删除、重复传送或由于其他原因使原始数据被更改。如果没有一种让持卡人认可的措施来确保支付过程是安全的.将极大彰响用户选用
(二)月,与Sp(s…oc
Provider.服
务提供商)平台之间的安全通信
用户登录到SP平台,处理余额查询、转账、支付等业务。在这过程当中需要用户输人用户的卡号和密码等关键信息.要保证这些信息不被窃听和篡改。我们可以让SP平台配置有CFCA笠发的服务器证书,手机端程序中包括cFcA的报证书。在用户和SP平台之间罘用HTTPs协议.手机端通过证书对服务端进行身份认证.在传输过程中使用HTTPS协议进行加密传输.保证了数据不会被窃听和篡改。
(三】用户与银行系统之闻的安奎通信用户与银行公共支付平台之间并不建
1毒成德.i女蛛移动t干商务
『M1人R娜t女版社,201
0
2闰甚峰3(:时代时醇自置付产m链模式撂讨U1移自《信,2009
3中目对外&簧女学现代服务Ⅱ研宄十心##支付斑展现状与趋势JJl尘*t十化.2叭u
4耪晨.橱建军秽自主什安奎犀障挂木体系研宽U】信怠挂书自标准化.2(110
移动支付的告■和积擞性。
移动支付多方身份的认证性。移动主
万方数据
(十女#o№W!目H%》口5§*#镕oⅫW”9