第八章_移动电子支付.pptVIP

8.3 移动电子支付安全与风险防范 存在的主要问题： 发送短消息方不一定是付费方，其费用由网站制定的某个手机用户号码者担当。 移动用户与SP没有固定的物理连接，SP很难确定用户的合法身份。 WAP协议中的安全漏洞。 网络中拥塞、单点失效，效率和服务质量不高的问题。 8.3.1 安全技术与标准 移动支付中的安全应确保交易双方的合法权益所涉及的内容不受非法入侵者的侵害。 1）数据的机密性： 　　防止合法或隐私数据为非法用户所获得，通常使用加密的手段实现，从而确保在交易过程中只有交易的双方才能唯一知道交易的内容。 2）数据的完整性： 　　确保交易他方或非法入侵者不能对交易的内容进行修改。 3）数据的鉴别： 　　交易双方是可以信任的，即确保服务间的相互身份认证，防止欺诈行为的产生。 4）不可否认性： 　　确保交易行为正确性，交易双方不能否认交易行为的产生 1.安全技术 加密技术 安全认证技术 消息认证 数字签名 数字证书 数字信封 数字时间戳 双重数字签名 2.安全标准 可认证性 秘密性 完整性 不可否认性 对称密钥、数字签名、可信第三方、数字证书 加密技术 数字信封、消息认证 数字签名 (发送/接收不可否认) 8.3.2 安全认证与管理 移动电子支付认证消息是在商家与支付网关之间交换的信息。 支付授权 支付资金清算 8.3.3 移动电子支付的风险防范 技术风险 法律风险 信誉风险 移动支付产业的潜能将超过网上支付的价值 模式 业务 安全 ——多方合作，解决问题 ——省时省力省成本 ——用户确认、信息安全 8.3.4 移动支付中的创新思考 SMPP协议是无线数据市场上使用最广泛的消息协议，USSD服务器提供了对SMPP应用开发的一系列支持，开发包支持WINDOWS和主要UNIX版本的C语言开发库。 * 成功的移动支付解决方案应该是充分考虑到移动支付价值链中的所有环节，进行利益共享和利益平衡；在世界上移动支付推出比较成功的韩国和日本，就基本实现了各环节的利益共享。 * 移动和金融机构（银行、卡类组织等）是移动支付最主要的服务提供商， * 对消费者的权限、账户进行审核；对商家提供的服务和产品进行监督，看是否符合所在国家的法律规定。 为利润分成的最终实现提供了技术保证。 2.移动电子支付系统框架 CA 防火墙 移动通信网关 Sp防火墙 银行防火墙 Sp支付平台 银行后台数据库 阅读器 3.移动电子支付系统的功能 账户管理：管理银行帐号，查询交易信息 自助转帐、缴费：手机费、公车卡充值、日常生活缴费等 自动提醒：到帐通知、自设信息定时发送 移动支付：实时支付、外汇买卖、证券服务、预订房间、餐位、机票服务等 信息查询：根据需要发送汇率、利率等信息 安全服务：结合监视防盗装置，发送报警信息给相关人员 8.1.3 典型的移动电子支付系统 技术基础成熟，几乎现有的所有手机均支持这种方式，对用户来说不需要任何设备更新； 成本不确定，不论交易者在何地，每次交互需0.1元/次 ； 面向非连接的存储－转发方式，只能实现请求－响应的非实时业务； 无法实现交互流程，不同业务需要使用不同的代码完成； 信息量少。 SMS 问题：实时性、数据的私密性和完整性 面向连接的浏览器方式，可实现交互性较强业务，可实现网上银行的全部功能； 终端设置较复杂； 客户可能需要更换终端设备； 交易成本高，不适合做频繁小额支付； WAP 缺点：B/S访问Internet、 智能访问WML脚本、 安全、速度 完全基于目前HTML W3C建议，即cHTML具有标准HTML的灵活性； cHTML在有限存储和低功耗CPU上实现； 支持网络内容在单色小屏幕上阅读； 用户操作方便，通过4个按钮（前，后，选择，倒退/停止），就可以完成一系列基本操作。 I-mode “随时在线”、按量计费、同HTML、非国际 USSD（非结构化补充数据业务）是实时互动的全新移动增值业务平台，为最终用户提供交互式对话菜单服务，实在GSM的短消息系统技术基础上推出的新业务，支持现有GSM系统网络及普通手机，提供接近GPRS的互动数据服务功能。 USSD 传输速度较SMS快。 面向连接的，提供透明的交互式会话，容易实现银行为不同客户定制的交互流程； 交易成本低，可以以接近SMS的价格实现接近WAP的业务功能。 手机无需作任何设置。 相对SMS，信息量较大。 不支持USSD交互的手机，可通过类似SMS的功能代码方式交易。 不是所有地区的移动服务商都支持此模式，但可以漫游。 USSD应用接口协议是SMPP。SMPP的使用为USSD使用现有的应用（如SMS）提供了可能。 已经基本被其它方式取代 可移植性。移动支付客户机应用程序能很容易地被移植到其他遵循 J2