未来智讯 > 移动支付论文 > 一种平安的移动支付方法

一种平安的移动支付方法

发布时间:2018-12-06 01:06:05 文章来源:未来智讯    
    一种平安的移动支付方法作者:未知   摘要:分析了移动电子商务飞速发展的前景以及对移动支付业务发展要求,并针对当前最主流的电子支付协议3-D secure,提出了一种更为平安和有效的移动支付方法。该支付方法从密钥生成、加密处理、资金管理等多方面保证了移动支付过程的平安性,且优化了整个支付流程,使得该支付方法更适用于移动支付应用。
  关键词:移动电子商务;移动支付;支付平安;资金处理
  中图分类号:TP309文献标志码:A
  文章编号:1001-3695(2008)05-1546-04
  
  0引言��
  
  电子支付是指以商用电子化工具和各类电子货币为媒介,以计算机技能和通讯技能为手段,通过电子数据存储和传递的形式在计算机网络系统上实现资金的流通和支付。��
  近年来,随着因特网、移动通讯和计算机等技能的联合,以移动支付为代表的移动电子商务应运而生。有关市场调查汇报显示,移动电子商务在近几年将出现质的飞跃,2005年全球移动电子商务用户达到1.7亿,交易额达108亿美元;预计到2006年底移动电子商务市值会达到250亿美元,届时移动电子商务占全球在线交易市场的15%。作为新兴的电子支付方式,移动支付拥有随时随地和方便、快捷、支付成本低等诸多特点[1,2]。消费者只要拥有一部手机,就能够完成理财或交易,享受移动支付带来的便利。现在,手机支付正成为电子商务新亮点[3~5]。��
  由于运作模式的不同,各种支付系统在平安性、风险性和支付效率等方面有着不同的特点[6]。但无论在电子商务中选取哪一种付款工具,都必须具备以下几个条件:平安性高、处理成本低、广为全球金融市场所接受,而平安性是第一位的。保证支付信息的真实性和可以识别支付者的合法身份是金融业在网络环境下实现电子支付所亟待解决的问题。解决这一问题的关键是使用平安的电子支付模式[7]。��
  针对移动支付的潜在市场,已有人提出一些移动支付系统方案。提出的这些移动支付系统都有一定的不足之处,或系统跟当前的支付流程有很大的不同,需要作很大的改动[8];或系统平安性不够,用户的支付信息会被他人监测到,从而伪造支付。目前移动支付一般是小额支付,这样的支付对平安性要求较低[9]。随着移动商务的进一步发展,对移动商务交易要求也越来越高,提高了对支付的平安性要求,小额支付已难以满足电子商务发展的需求,这已成为普及移动商务的一大障碍[10];或者用户的使用成本太高,用户需要购买支持一定功能的手机;当用户的手机丢失,账号信息就可能失窃[11]。��
  3-D secure协议[12]是Visa在2002年提出并开发的电子支付协议,也是目前较为完善的电子支付平安协议,并已成为新一代电子付账认证的标准架构。Visa、MasterCard、JCB、中国银联和美国运通等都已经投入了该3-D secure协议平台。图1为基于3-D secure 协议的电子支付系统示意图。��
  该系统中,若消费者通过移动终端来付费,则移动支付者基于该系统实现电子支付的流程如下:��
  移动终端将决定购买的商品信息、支付者的银行账户等信息发送到商家服务器;商家服务器将支付者的银行账户等信息发送给Visa目录服务器;Visa目录服务器根据接收到的信息,查找是否有可用的发卡行的访问抑制服务器(ACS),若没有,则直接向商家服务器返回无法认证的响应;若有,则将接收到的上述信息转发给对应的发卡行的ACS,问询ACS上述账户等信息是否合法;ACS接收到Visa目录服务器的问询信息后,向Visa目录服务器返回应答;Visa目录服务器再将ACS的应答返回商家服务器;商家服务器将支付授权请求通过移动终端转发给ACS;移动终端检查该支付授权请求所携带的支付者的支付信息是否齐全,若不齐全,则补齐后,将该支付授权请求发送给ACS;ACS收到该请求后,对支付者身份进行认证,之后产生支付授权响应信息,并对该支付授权响应信息进行数字签名;ACS将上述支付授权响应信息通过移动终端转发给商家服务器,同时将相关信息存入授权历史记录中;商家服务器接收支付授权响应信息,并验证ACS的数字签名,在验证通事后,将支付授权响应信息发送给商家的收单行服务器;收单行服务器与发卡行服务器之间进行结算。��
  在整个支付流程中,移动终端作为移动支付请求的倡议者,由于需要与发卡行与商家之间进行频繁的信息交互,导致移动终端的通讯负担较重,也因此增加通讯费用的支出,延长了交易时间。另外,上述支付流程中,支付者的银行卡账号等重要信息对商家来说都是可见的。虽然在ACS通过口令对支付者身份进行认证之后才进行支付授权,但仍给掌握支付者大量支付信息的商家进行商业欺诈提供可乘之机。因此,现有基于3-D secure协议的支付系统及实现支付的流程还存在可改进之处。且3-D核心协议中定义的支付授权请求和支付授权响应对于大多数移动设备来说都太大了。��
  鉴于此,本文提出了一种平安的移动电子支付方法,本方法用一套完善的机制把银行账号与移动设备相联合,建立一套平安的支付体系;把信息传递和身份认证、资金转移等要素整合起来。既放宽了对支付金额的限制,又保障了支付方的个人信息平安。这套机制不但符合于移动电子商务,而且兼容传统的电子商务。��
  
  1一种平安的移动支付方法��
  
  用户能够选取多种方式购物,下了订单之后核对购物信息如支付金额、商家标志、交易序列号等,无误后用户使用移动支付终端进行移动支付。��
  1.1标志说明��
  {P,M,PG,I,A}:分辨表示本移动支付方法中涉及的实体,包括支付者、商家、支付网关、发卡行、收单行。
  
  下面将对支付协议进行详细描述:��
   (1)移动终端和发卡行服务器两端之间基于相同的算法同步产生会话随机序列号SEQNO,序列号在根密钥K��i作用下本地离线生成移动终端与发卡行之间通讯的会话密钥K��s,在此后的通讯中,使用会话密钥作为双方通讯的秘密密钥。每次通讯使用新的会话随机序列号产生不同的会话密钥,从而保证一次一秘的平安通讯。��
  (2)进行支付之前支付终端先检查本地存储的支付账号的余额信息。如果余额足够支付此次交易,则向商家服务器发送支付信息。其中敏感数据使用会话密钥加密传输;否则提示用户资金不足。��
  (3)商家服务器校验ID��M、TID、AMOUNT等明文信息的值,如果有误则中止此次交易;否则服务器添加商家的收款账号信息,生成支付授权请求信息,发送给支付网关,由支付网关将此支付授权请求信息转发至相应ID��I的发卡行。��
  (4)发卡行验证支付授权请求信息的完整性和有效性,同时检查支付账号的余额。若验证合法则向移动终端发送支付应答信息,并在一定时间内等待用户的回执。发卡行惟有在收到移动支付终端的确认回执之后,才把用户的支付资金转出,以及向商家发送支付处理信息。发卡行发送给移动终端的支付应答信息中包括此次交易后该支付账号的余额信息。��
  
  (5) 用户浏览支付应答信息后支付终端将强制用户发送此支付应答信息的确认回执,回执信息包括用户授权支付的应答值ACCEPT或REJECT。如果因为某些原因如支付应答信息丢失、用户确认回执信息丢失、用户取消发送确认回执等发卡行在一定时间范围内未收到用户的回执,那么发卡行将向移动支付终端反复发送支付应答信息,直至收到用户的回执。支付终端若向发卡行发送赞成支付的回执信息,则发送信息后支付终端更新本地的支付账号的余额信息。��
  (6)若收到确认支付回执信息,发卡行则将支付资金从用户的支付账号中转出,存入本行的保付账号中,并通过支付网关向商家发送成功的支付请求处理信息,其中包括发卡行的保付支票凭证信息;否则发卡行通过支付网关向商家发送支付失败、交易中止的支付请求处理信息。商家收到成功的支付请求处理信息后按照订单发货。��
  (7)商家将收到的成功的支付处理信息定期发送给收单行进行结算,收单行验证保付支票信息合法后与发卡行进行内部资金转账处理。��
  
  2平安性分析��
  
  在移动支付应用中,本文提出的支付方法在平安性方面更优于3-D secure协议,具体表现如下:��
  a)本文提出的移动支付方法优化了3-D secure协议中原本的支付授权请求和支付授权响应策略,商家接受移动终端提交的支付信息后,由商家作为整个移动支付请求的倡议者;发卡行直接对商家发送支付授权响应,且该支付授权响应在固网内进行发送,在确保其平安性的基础上加快了移动支付的处理速度,使之更符合于移动支付业务。而在3-D secure 协议中移动终端作为整个移动支付请求的倡议者提出支付授权请求,发卡行对移动终端的支付授权进行响应,发送支付授权响应信息至支付者,再由支付者将此信息转发至商家。��
  b)在本文提出的移动支付方法中,发卡行收到支付授权请求信息后即可对移动支付终端和收讫终端进行身份认证,在一次会话请求中即可完成,无须另外发送信息至终端对其进行身份认证。而在3-D secure 协议中,发卡行需要单独发送身份认证请求信息至支付终端,等待支付终端的身份认证应答信息才能完成身份认证过程。��
  c)本移动支付方法选取分辨加密、分辨封装的加密机制。移动支付终端有关支付者的敏感信息使用与发卡行共享的会话密钥加密后封装入支付信息中,使之成为密文传输给商家;商家收到支付信息后只可对明文局部进行核对,而无法知晓密文局部即保护了支付者的敏感信息。商家添加收款账号信息,并对该局部信息加密、签名,然后向发卡行提交支付授权请求。本移动支付方法选取分辨加密、分辨封装的机制进行处理,提高了移动支付业务的平安性。而在3-D secure 协议的协商过程中,支付者的账号、账号标志符等与银行卡相关的重要信息对商家来说都是可见的,给商家进行商业欺诈提供了可乘之机。��
  d)本移动支付方法选取离线密钥生成机制,有别于3-D secure协议,在密钥过期之前参与者之间传输任何消息,所使用的密钥均保持不变;同时也有别于无线接入中AKA协议每次建立连接进行通讯之前都进行协商来更新会话密钥。本移动支付方法选取一种离线密钥生成机制,会话密钥在本地生成而无须在网络中传输,甚至无须建立额外通讯进行协商来更新密钥就可达到一次一密的加密效果。��
  e)在本文提出的移动支付方法中,发卡行完成了对商家的支付授权响应后,将会对支付终端发送反馈信息,除了支付资金信息外,还包括当前银行支付账号的资金余额信息(密文形式)。该信息将动态更新移动支付终端内该账号的资金状态,方便消费者对支付账户的资金准时明白与掌握;在3-D secure协议中发卡行完成了支付授权后向支付终端发送响应信息,因为涉及到平安和响应信息转发等因素的限制,但该信息只包含有限的几项支付数据。��
  f)在本文提出的移动支付方法中,用户在进行移动支付之前,支付终端预先在本地端进行支付账号余额对照,若余额不足以支付此次交易,则提示用户且支付终端不与其他终端进行会话连接;在3-D secure 协议中仅在移动支付业务进行过程当中由发卡行服务器判断支付者的资金是否足以支付此次交易,若资金不足则之前建立起来的会话协商和线路连接均耗费了用户成本和网络资源。��
  
  g)本移动支付方法选取倒进账资金的处理机制。本移动支付方法对移动支付终端和商家进行身份认证成功且收到用户赞成支付的确认信息之后,对支付账号的资金进行处理,但发卡行对资金的处理并不即时将资金转入商家的收款账号中,而是将支付资金转入到本行的保付账号中,向商家发送保付支票凭证;商家凭保付支票凭证定期向收单行进行资金结算、转账业务。此机制使商家在发卡行保证支付资金的担保下放心发货,同时使移动支付业务站在消费者的态度最大限度的保护了消费者的权益,一旦出现业务纠纷,能最大限度地防止消费者的资金流失,增加了消费者对移动支付业务的信任。��
  h)本移动支付方法选取强制用户发送支付确认回执的应答机制。发卡行惟有在收到移动支付终端的确认回执之后,才对用户的支付资金进行处理,以及向商家发送支付处理信息。其中包括发卡行的保付支票信息。强制用户发送支付确认回执确保了该笔业务的真实性,同时增强了整个支付过程的安�┤�性。��
  
  3本能分析��
  
  本文提出的移动支付方法中在本能方面也更优于3-D secure协议,如表1所示。具体表如今如下几个方面:
  a)由商家作为整个移动支付请求的倡议者,发卡行直接对商家进行支付授权响应,减小了移动终端的通讯负担,同时也减轻了移动终端的通讯费用。 ��
  b)该支付授权响应在固网内进行发送,在确保其平安性的基础上减小了移动支付无线网业务量,且削减了整个移动支付业务的交易时间。��
  c)通过单向传输所有需要的交易信息,无须额外与移动终端建立连接对其进行身份认证,方便、快捷。��
  
  4结束语��
  
  本文提出了一种平安的移动电子支付方法,单向传输所有需要的交易信息和认证信息。其中用户敏感信息加密传输,保障了支付方的个人信息平安,也削减了对传输网络平安性的依赖,同时无须额外建立连接进行身份认证;且放宽了对支付金额的限制。用户使用普通移动终端而无须更换新的即可进行移动支付;只要无线通讯网络覆盖的地区,用户均可使用本方法随时随地进行移动支付。本方法避免了额外建立交易中心数据库,极大地削减了金融成本和由此而引发的平安问题;选取倒进账的资金处理方式保护消费者和商家双方的利益。本方法用一套完善的机制把银行账号与移动设备相联合,建立一套平安的支付体系,把信息传递和身份认证、资金转移等要素整合起来。这套机制不但符合于移动电子商务,而且兼容传统的电子商务。��
  无论从平安性方面还是从本能方面,本文提出的移动支付方法都更优于3-D secure协议,故本移动支付方法更适用于当前移动支付业务。
  
  参考文献:
  [1]ONDRUS J,CAMPONOVO G,PIGNEUR Y.A proposal for a multi-perspective analysis of the mobile payment environment[C]//Proc of International Conference on Mobile Business.2005.
  ��[2] VALCOURT E,ROBERT J M,BEAULIEU F.Investigating mobile payment: supporting technologies, methods, and use[EB/OL].(2005).http://ieeexplore.ieee.org/iel5/10102/32401/01512946.pdf?arnumber=1512946.
   [3]GAO J,CAI J,PATEL K,et al.A wireless payment system[C]//Proc of the 2nd International Conference on Embedded Software and Systems.2005.
  ��[4]SAXENA A,DAS M L,GUPTA A.MMPS:a versatile mobile-to-mobile payment system[C]//Proc of International Conference on Mobile Business.2005.
   [5]SAHUT J M,GALUSZEWSKA M.Ectronic payment market:a non-optimal equilibrium[C]//Proc of International Symposium on Applications and the Internet Workshops.2004.
   [6]ZMIJEWSKA A.Evaluating wireless technologies in mobile payments:a customer centric approach[C]//Proc of International Conference on Mobile Business.2005.
  [7]Payment card industry security standard council[S].Payment Card Industry Data Security Standard.2006.
   [8]LIU Jun,LIAO Jian-xin,ZHU Xiao-min.A system model and protocol for mobile payment[C]//Proc of IEEE International Conference on e-Business Engineering.2005.
   [9]RUFFO G,SCHIFANELLA R.Scalability evaluation of a peer-to-peer market place based on micro payments[C]//Proc of the 2nd International Workshop on Hot Topics in Peer-to-Peer Systems.2005.
   [10]王正伟.一种实现移动支付的方法:中国,200310115733.1[P].2005:1-6.
  [11]李洪斌,李敬人.银行信用卡绑定手机SIM卡实现移动支付功能:中国,03116382.3[P].2003:10-22.
  [12]SECPay Ltd: 3-D secure integration and user guide[R].2006.
  
  “本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文”

转载请注明来源。原文地址:https://www.7428.cn/page/2018/1206/51896/
 与本篇相关的热门内容: