未来智讯 > 移动支付论文 > 一种以移动运营商为核心的安全支付方案的设计

一种以移动运营商为核心的安全支付方案的设计

发布时间:2017-12-07 08:59:00 文章来源:未来智讯    
    关键词:移动电子商务 安全支付 密钥 认证
    1 引言
    移动电子商务(M—Commerce)是一种特殊的电子商务体系,它是指用户通过各种移动通信设备,例如手机、个人数字助理、笔记本电脑等,而后通过移动通信网络来进行电子商务交易。
    移动电子商务由电子商务发展而来,相对于传统的电子商务模式,移动电子商务突破了时间和地域的限制,具有灵活、便捷、高效的特点,已经成为电子商务发展的新方向,因为目前为止只有移动电子商务才能真正实现在任何地方、任何时间都能进行网上交易[1]。
    对于有线电子商务用户来说,通常认为物理线缆能保证其传输数据的安全性,由于移动电子商务采用的是无线传输信道,加之其安全技术不够完善,因此安全问题已成为制约移动电子商务发展的瓶颈。
    具体的问题为:
    1、交易双方身份的不确认性。现在的移动电子交易是客户在电子商务网站注册之后进行购物,商家和客户的信息真实程度无法保证,容易造成交易的其中一方出现欺诈行为。
    2、客户资料的保密性以及支付的安全性。首先,现在的移动电子商务采用客户和商家的直接对话,随着次数的增多,客户的资料信息容易被窃听和篡改。其次,大部分客户仍然使用手机等终端利用网上银行进行支付,由于手机的安全性能不如计算机,加之采用无线信道传输,其支付的安全性得不到保证。
    2 移动电子商务安全需求
    2.1可靠性
    可靠性是指保证交易的对象是真实的。在传统的纸面交易中,交易双方通过在交易合同等书面文件上手写签名或印章等确定其合同的可靠性。在无纸化的电子商务方式下,必须保证整个交易过程中参与者具有国家提供的可靠的标识。
    2.2机密性
    机密性是指消息内容不被无关者看到。电子商务作为交易的一种手段,其信息直接代表着交易双方的机密。传统的交易都是通过邮寄封装的信件来达到保守机密的目的。移动电子商务是通过无线信道进行数据传输的,维护商业机密是移动电子商务全面推广应用的重要保障。
    2.3不可否认性
    不可否认性又称抗抵赖性,是指信息的发送方不能否认已发送的信息,接收方不能否认已收到的信息,防止接收方和发送方更改交易的原始记录。
    2.4完整性
    数据的完整性是指数据在传输过程中不会被恶意的改变,即接受者所收到的数据就是发送者所发出的数据,同时,发送者发送的数据能够准确无误的传送到接收者手中。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失、重复并保证信息传送次序的统一[2]。
    3移动电子商务常用安全技术及存在的问题
    3.1常用安全技术
    3.1.1加密技术
    可应用于移动电子商务环境的加密技术是WPKI,即“无线公开密钥体系”,它是将互联网电子商务中PKI(Public Key Infrastructure)安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系,用它来管理在移动网络环境中使用的公开密钥和数字证书,有效建立安全和值得信赖的无线网络环境。
    WPKI并不是一个全新的PKI标准,它是传统的PKI技术应用于无线环境的优化扩展。二者之间最主要的区别在于加密算法的不同。在优先环境下PKI一般使用RSA签名算法,在WPKI中采用了优化的ECC椭圆曲线加密算法ECDSA。这是因为与密钥长度为1024Bit的RSA算法相比,椭圆曲线算法以160Bit的密钥长度保持与之相同的安全性且计算速度更快[3]。
    3.1.2数字签名
    数字签名是建立在公共密钥体制基础上,它是公用密钥加密技术的另一类应用。它的主要方式是,报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的私人密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值(或数字指纹),接着再用发送方的公用密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别[4]。
    3.1.3数字证书
    数字证书就是指互联网通讯中标志通讯各方身份信息的一系列数据,它提供了一种在Internet上验证身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个权威机构——CA机构,又称为证书授权中心发行的,CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权[5]。CA也拥有一个证书(内含公钥)和私钥,网上的公众用户通过验证CA的签字从而信任CA,任何人都可以得到CA的证书(含公钥),用以验证它所签发的证书。
    3.2存在的问题
    移动电子商务中交易平台的安全问题,由于手机系统的升级,有时候会出现系统版本和浏览器的不兼容,当客户进行支付出现这样问题的时候,可能引起客户的重复支付。例如,阿里巴巴前段时间出现其系统和浏览器不兼容问题,客户支付过程中出现网页突然自动关闭的情况,客户不知道是否支付成功。另外,由于现在证书办理的不规范,有些商家在没有取得相应证书或者伪造数字证书情况下进行电子交易,可能导致交易过程的抵赖性。   4以移动运营商为核心的安全支付方案
    针对刚才提出的安全问题,基于移动电子商务技术,提出一种以移动运营商为核心的支付方案。
    1、初始化
    客户、商家、移动运营商分别到权威认证机构申请证书,获取数字证书、公钥和私钥。
    客户在商家电子商务网站注册账号,与SIM卡进行绑定,并确定支付方式为手机话费;商家通过短信,确认手机主人身份。
    客户在移动支付中心使用身份证进行实名手机SIM卡信息注册,并与移动运营商交换证书和公钥。实名手机信息内容有:SIM卡号码、姓名、身份证号码。其次,在银行进行SIM卡与银行帐号绑定,一旦手机话费余额不足时,可快速充值[6]。
    商家也在移动运营商处注册,并与移动运营商交换证书和公钥。
    三方协定确认订单时间、确认收货时间等,例如,可以设定确认订单时间为3天,那么从商家发送短信确认客户购买其产品产生的订单算起,如果客户3天之内没有进行确认回复,则此订单视为无效。同理,从商家发货算起,如果20天之后客户没有进行收货确认,也没有进行收货延迟申请,则默认此交易成功。
    2、一次成功交易流程的时序图
    3、上述是一次成功交易的完整过程。当然,在交易过程中,交易双方有可能会出现一些人为或非人为的异常情况将影响交易的顺利进行:
    (1)当运营商把订单信息发送给客户后,在规定时间没有收到客户的确认订单信息,则交易终止。
    (2)客户看到运营商发送的消费余额信息,当余额不够时,客户和银行系统之间通过规范的加密解密步骤对客户余额进行充值,充值是否及时将直接影响到本次交易能否顺利进行。
    (3)运营商收到商家的发货信息之后,在规定的时间内没有收到客户延长收货时间请求和客户的确认收货信息,运营商将货款转给商家。
    (4)客户收到商品,如果验货不合格,应及时将商品寄回商家,同时向移动支付中心发送交易不成功短信,并向商家和移动支付中心阐明交易不成功理由。商家收到退货后,向运营商发送同意退货信息,运营商将货款退还给客户。
    最后,商家和客户最好在电子商务网站上对双方进行评价,累计诚信积分,为之后的客户提供一些参考。
    5对上述方案进行安全性分析
    1、交易以移动运营商为纽带大大提高了交易支付的安全性。从整个交易流程来看,移动运营商是交易的核心,客户和商家交易过程中的对话都是以移动运营商为中介进行的,而且运营商是以话费的形式代扣货款,这样比起客户使用网上银行进行支付更安全。
    当客户发送确认订单信息时,客户只是给运营商发送信息,而不是商家,这样客户的个人资料不是存放在商家系统里面,保护了客户的重要信息。而且,运营商这里只知道客户手机费用,客户的银行资料有银行系统管理,由客户和银行直接对话,避免了客户有关银行信息的泄露。
    2、交易双方的身份都是可以确认的。移动运营商在认证中心可以对交易双方的身份进行认证,防止任何一方的欺诈行为。还有,手机用户办理开卡业务时,移动运营商要求确认用户身份证,每张手机卡的SIM卡号是唯一的,通过卡号也是可以和每位用户进行身份认证。
    3、交易流程中重要资料进行了加密。交易双方以运营商为枢纽,重要资料在交易过程中进行了加密,比如说商家把订单号、客户手机号等信息发送给移动运营商,然后运营商把这些信息发送给客户进行确认过程中,当任何一次出现安全威胁,运营商会再次要求进行确认,这样进行多方认证,保证了数据的安全。
    通过以上分析得知,这种支付方案相对于普通的交易来说,安全性有了很大提高。但是,这种支付方案的缺点也比较明显:
    1、需要在移动运营商系统中增加一个为移动电子商务服务的交易平台,增加了移动运营商的信息传输负担。
    2、多次确认。商家发送订单合同等信息给移动运营商,运营商把订单合同等信息发送给客户手机,然后客户使用手机确认订单后,运营商才告知商家发货。
    3、传送数据较多。由于手机受到信号、带宽等因素的制约,传送数据能力本来就弱,现在要求其传送数据信息偏大,因此对手机要求较高。
    6总结
    作为一种新型的电子商务方式,移动电子商务还处于探索阶段,但移动电子商务降低了用户进入互联网的门槛,提供了随时随地的实时高效沟通,加之庞大的手机用户量以及智能化的发展,在解决了安全支付问题之后,相信在不久的将来,移动电子商务必然会成为商业运作的主流模式。
    参考文献:
    [1]http://www.drc.gov.cn,2012-12-25
    [2]王英伟.移动电子商务安全认证技术的研究[J].科学技术与工程,2011年5期:56-57
    [3]王维国.移动电子商务的安全解决方案[J].现代通信,2012年第3期:23-25
    [4]朱立伟,周理.安全及身份认证技术在移动电子商务的应用[J].商场现代化,2006年第2期:27-28
    [5]汪为.Mobile e-Pay移动电子商务解决方案[J].计算机世界 ,2010年第8期:43-45
    [6]曹乐平,李伟章.SIM卡与基于STK的SIM卡业务[J].产品与市场,2009年第4期:102-105
转载请注明来源。原文地址:https://www.7428.cn/page/2017/1207/6859/
 与本篇相关的热门内容: