一种安全移动支付方法.docVIP

一种安全的移动支付方法 　　摘要：分析了移动电子商务飞速发展的前景以及对移动支付业务发展要求，并针对当前最主流的电子支付协议3－D secure，提出了一种更为安全和有效的移动支付方法。该支付方法从密钥生成、加密处理、资金管理等多方面保证了移动支付过程的安全性，且优化了整个支付流程，使得该支付方法更适用于移动支付应用。 　　关键词：移动电子商务；移动支付；支付安全；资金处理 　　中图分类号：TP309文献标志码：A 　　文章编号：1001-3695(2008)05-1546-04 　　 　　0引言?? 　　 　　电子支付是指以商用电子化工具和各类电子货币为媒介，以计算机技术和通信技术为手段，通过电子数据存储和传递的形式在计算机网络系统上实现资金的流通和支付。?? 　　近年来，随着因特网、移动通信和计算机等技术的结合，以移动支付为代表的移动电子商务应运而生。有关市场调查报告显示，移动电子商务在近几年将出现质的飞跃，2005年全球移动电子商务用户达到1.7亿，交易额达108亿美元；预计到2006年底移动电子商务市值会达到250亿美元，届时移动电子商务占全球在线交易市场的15%。作为新兴的电子支付方式，移动支付拥有随时随地和方便、快捷、支付成本低等诸多特点[1,2]。消费者只要拥有一部手机，就可以完成理财或交易，享受移动支付带来的便利。如今，手机支付正成为电子商务新亮点[3~5]。?? 　　由于运作模式的不同，各种支付系统在安全性、风险性和支付效率等方面有着不同的特点[6]。但无论在电子商务中采用哪一种付款工具，都必须具备以下几个条件：安全性高、处理成本低、广为全球金融市场所接受，而安全性是第一位的。保证支付信息的真实性和能够识别支付者的合法身份是金融业在网络环境下实现电子支付所亟待解决的问题。解决这一问题的关键是使用安全的电子支付模式[7]。?? 　　针对移动支付的潜在市场，已有人提出一些移动支付系统方案。提出的这些移动支付系统都有一定的不足之处，或系统跟当前的支付流程有很大的不同，需要作很大的改动[8]；或系统安全性不够，用户的支付信息会被他人监测到，从而伪造支付。目前移动支付一般是小额支付，这样的支付对安全性要求较低[9]。随着移动商务的进一步发展，对移动商务交易要求也越来越高，提高了对支付的安全性要求，小额支付已难以满足电子商务发展的需求，这已成为普及移动商务的一大障碍[10]；或者用户的使用成本太高，用户需要购买支持一定功能的手机；当用户的手机丢失，账号信息就可能失窃[11]。?? 　　3－D secure协议[12]是Visa在2002年提出并开发的电子支付协议，也是目前较为完善的电子支付安全协议，并已成为新一代电子付账认证的标准架构。Visa、MasterCard、JCB、中国银联和美国运通等都已经加入了该3－D secure协议平台。图1为基于3－D secure 协议的电子支付系统示意图。?? 　　该系统中，若消费者通过移动终端来付费，则移动支付者基于该系统实现电子支付的流程如下：?? 　　移动终端将决定购买的商品信息、支付者的银行账户等信息发送到商家服务器；商家服务器将支付者的银行账户等信息发送给Visa目录服务器；Visa目录服务器根据接收到的信息，查找是否有可用的发卡行的访问控制服务器（ACS），若没有，则直接向商家服务器返回无法认证的响应；若有，则将接收到的上述信息转发给对应的发卡行的ACS，询问ACS上述账户等信息是否合法；ACS接收到Visa目录服务器的询问信息后，向Visa目录服务器返回应答；Visa目录服务器再将ACS的应答返回商家服务器；商家服务器将支付授权请求通过移动终端转发给ACS；移动终端检查该支付授权请求所携带的支付者的支付信息是否齐全，若不齐全，则补齐后，将该支付授权请求发送给ACS；ACS收到该请求后，对支付者身份进行认证，之后产生支付授权响应信息，并对该支付授权响应信息进行数字签名；ACS将上述支付授权响应信息通过移动终端转发给商家服务器，同时将相关信息存入授权历史记录中；商家服务器接收支付授权响应信息，并验证ACS的数字签名，在验证通过后，将支付授权响应信息发送给商家的收单行服务器；收单行服务器与发卡行服务器之间进行结算。?? 　　在整个支付流程中，移动终端作为移动支付请求的发起者，由于需要与发卡行与商家之间进行频繁的信息交互，导致移动终端的通信负担较重，也因此增加通信费用的支出，延长了交易时间。另外，上述支付流程中，支付者的银行卡账号等重要信息对商家来说都是可见的。虽然在ACS通过口令对支付者身份进行认证之后才进行支付授权，但仍给掌握支付者大量支付信息的商家进行商业欺诈提供可乘之机。因此，现有基于3－D secure协议的支付系统及实现支付的流程还