05 第五章 移动支付移动电子商务(钟元生主编复旦大学出版)

第五章第五章 移动支付移动支付倚动软件工厂实验室倚动软件工厂实验室 移动电子商务移动电子商务12移动支付概述 移动支付方式目录CONTENTS34移动支付系统移动支付安全5风险防范本章本章导导读读移 动 支 付 概 述移 动 支 付 安 全风 险 防 范移 动 支 付移 动 支 付 含 义移 动 支 付 流 程移 动 支 付 发 展存 在 风 险安 全 防 范移 动 支 付 方 式移 动 支 付 系 统电 话 账 单手 机 钱 包手 机 信 用 平 台手 机 银 行移 动 支 付 框 架移 动 支 付 系 统安 全 技 术安 全 认 证移动支付概述移动支付概述 含义含义：移动支付移动支付的定义的定义:借助移动终端设备（如移动电话、借助移动终端设备（如移动电话、PDAPDA、移动、移动POSPOS机等），对所消费的商品或服务进行账务支付的方式。机等），对所消费的商品或服务进行账务支付的方式。移动支付概述移动支付概述2 支付流程支付流程：移动支付与一般的网络支付行为相似，都要涉及到消移动支付与一般的网络支付行为相似，都要涉及到消费者，商家，金融机构等；费者，商家，金融机构等；移动支付与普通支付不同之处，在于交易资格审查处移动支付与普通支付不同之处，在于交易资格审查处理过程有所不同。因为这些都涉及到移动网络运营商理过程有所不同。因为这些都涉及到移动网络运营商及所使用的浏览协议，例如及所使用的浏览协议，例如WAPWAP和和HTMLHTML、信息系统、信息系统SMSSMS或或USSDUSSD等。等。移动支付流程移动支付流程消费者和商家都在金融组织拥有账户情况下，一种预付款形式的移动消费者和商家都在金融组织拥有账户情况下，一种预付款形式的移动商务的一般支付流程：商务的一般支付流程：移动支付概述移动支付概述最早出现于上世纪最早出现于上世纪9090年代初的美国，日韩主要通过手机支年代初的美国，日韩主要通过手机支付一些小额商品。付一些小额商品。20032003年年2 2月，欧洲的月，欧洲的OrangeOrange、Telefonica MovilesTelefonica Moviles、T-T-MobileMobile和和VodafoneVodafone等多家运营商和软件开发商以及银行联等多家运营商和软件开发商以及银行联合成立了合成立了移动电子支付联盟移动电子支付联盟，希望在选择和推荐标准的移，希望在选择和推荐标准的移动支付业务平台标注，让移动支付业务提供者、商家以及动支付业务平台标注，让移动支付业务提供者、商家以及银行能够在一个开放的、相互兼容的公共品牌下提供移动银行能够在一个开放的、相互兼容的公共品牌下提供移动支付业务。支付业务。国外的移动支付发展国外的移动支付发展：3 发展状况发展状况：移动支付概述移动支付概述从移动支付的从移动支付的业务种类业务种类来看：来看：电子化产品由于不需要物流支电子化产品由于不需要物流支撑，很适合采取移动支付方式；撑，很适合采取移动支付方式；公用事业产品由于处于垄断地公用事业产品由于处于垄断地位，往往只有一个产品提供者，位，往往只有一个产品提供者，利用移动支付来缴费的谈判成利用移动支付来缴费的谈判成本较低。本较低。从从业务特点业务特点来看：小额电子化来看：小额电子化产品的支付成为移动支付业务产品的支付成为移动支付业务发展的起点，逐渐向大额、实发展的起点，逐渐向大额、实物的方向发展。物的方向发展。业务演变轨迹：业务演变轨迹：移动支付概述移动支付概述 2002年2004年为业务导入阶段；2004年2007年进入地域扩展阶段；2007年2009年进入规模成长期；2009年后进入稳定发展阶段；中国的移动支付发展历程中国的移动支付发展历程：移动支付的方式移动支付的方式 用户所缴纳的费用在移动通信费用的账单中统一结算，支付方式操作简单，使用广泛；前提是移动运营商以及其账单必须具备良好的信誉。适用于缴费的额度较小且支付时间、额度固定。1 电话帐单交费电话帐单交费移动支付的方式移动支付的方式 定义：通过移动通信网络将客户的手机连接至银行，实现通过手机界面直接完成各种金融理财业务的服务系统2 手机银行手机银行移动支付的方式移动支付的方式 手机银行业务，主要通过WAP和短信方式进行操作，以下是一种通过短信操作的方式。移动支付的方式移动支付的方式 手机钱包定义：以银行卡账户为资金支持、手机为交易工具的业务，将用户在银行的账户和用户的手机号码绑定，通过手机短信息、IVR、WAP等多种方式，用户可以对绑定账户进行操作，实现购物消费、转账、账户余额查询并可以通过短信等方式得到交易结果通知和账户变化通知。3 手机钱包手机钱包移动支付的方式移动支付的方式手机银行与手机钱包的区别：手机银行与手机钱包的区别：n手机钱包由移动运营商与银行合资推出，以规避金融手机钱包由移动运营商与银行合资推出，以规避金融政策风险；政策风险；n手机银行由银行联合移动运营商推出，移动运营商为手机银行由银行联合移动运营商推出，移动运营商为银行提供信息通道，他们之间一般不存在合资关系。银行提供信息通道，他们之间一般不存在合资关系。n申请手机银行需要更换具有特定银行接口信息的申请手机银行需要更换具有特定银行接口信息的STK卡，这就容易受到银行的限制，难以进行异地划拨；卡，这就容易受到银行的限制，难以进行异地划拨；n而手机钱包则不需要更换而手机钱包则不需要更换STK卡，受银行的限制也较卡，受银行的限制也较小。小。移动支付的方式移动支付的方式手机银行与手机钱包的区别：手机银行与手机钱包的区别：n手机钱包需要建立一个额外的移动支付账户；手机钱包需要建立一个额外的移动支付账户；n而手机银行只需要原有的银行卡账号。而手机银行只需要原有的银行卡账号。n手机钱包主要用于支付，特别是小额支付；手机钱包主要用于支付，特别是小额支付；n而手机银行可以看作是银行服务方式的升级，利用手而手机银行可以看作是银行服务方式的升级，利用手机银行，用户除了可以支付，还可查询账户余额和股机银行，用户除了可以支付，还可查询账户余额和股票、外汇信息、完成转账、股票交易、外汇交易和其票、外汇信息、完成转账、股票交易、外汇交易和其他银行业务。他银行业务。移动支付的方式移动支付的方式手机信用平台的特点是移动运营商和信用卡发行单位合作，将用户手机中的SIM卡等身份认证技术与信用卡身份认证技术结合，实现一卡多用功能。例如在某些场合用接触式或非接触式SIM可以用来代替信用卡，用户提供密码，进行信用消费。我国的信用卡业务尚属于普及阶段，手机信用平台的推广市场准备和技术准备都不足。4 手机信用平台手机信用平台移动支付系统移动支付系统根据适用场合的差异，分成远程支付和近场支付两种模式；n 手机支付也将同时具备这两种功能。现场支付通过RFID芯片/卡、POS机等设施配合，也就是一般所说的“刷手机”的方式；n 远程支付通过短信、WAP等手段接入互联网上的商城和银行来实现，涉及消费者、金融机构、业务提供方和商家等实体，类似于计算机电子支付的在信息传输环节的无线化。1 系统框架系统框架移动支付系统移动支付系统移动支付系统框架移动支付系统框架移动支付系统移动支付系统支撑移动支付的技术平台支撑移动支付的技术平台移动支付的方式移动支付的方式2 移动支付系统移动支付系统基于基于SMS移动支付系统移动支付系统：移动支付的方式移动支付的方式基于基于WAP的移动支付系统的移动支付系统:nWAP（Wireless Application Protocol)为无线应用为无线应用协议，是一项全球性的网络通信协议。协议，是一项全球性的网络通信协议。移动支付的方式移动支付的方式 基于基于USSD的移动支付系统的移动支付系统:n USSD（Unstructured Supplementary Service Data）即非结构）即非结构化补充数据业务，是一种基于全球移动通信系统化补充数据业务，是一种基于全球移动通信系统GSM（Global System for Mobile Communications）网络的、实时在线的新）网络的、实时在线的新型交互会话数据业务型交互会话数据业务。nUSSD是在用户终端与应用服务之间在会话过程中一直保持透明无是在用户终端与应用服务之间在会话过程中一直保持透明无线连接，进行消息传送，且线连接，进行消息传送，且USSD每次消息发送不需要重新建立信每次消息发送不需要重新建立信道，因此，道，因此，USSD的响应时间比较快。的响应时间比较快。nUSSD技术单独使用或与目前的短消息技术、通用分组无线业务技术单独使用或与目前的短消息技术、通用分组无线业务GPRS（General Packet Radio Service）技术相结合，可为客）技术相结合，可为客户提供种类繁多的增值业务。户提供种类繁多的增值业务。移动支付的方式移动支付的方式u监控中心通过监控中心通过Internet或专线与或专线与USSD平台建立平台建立TCP/IP连接，连接，USSD传输终端通过传输终端通过GSM的公用网络与的公用网络与USSD平台建立无线平台建立无线连接，通过连接，通过USSD平台与平台与GSM网络、监控中心和现场监控网络、监控中心和现场监控单元建立起一个数据通讯的通道。单元建立起一个数据通讯的通道。移动支付的方式移动支付的方式基于基于J2ME的移动支付系统的移动支付系统:nJava ME是一种高度优化的是一种高度优化的Java运行环境，主要针对运行环境，主要针对消费类电子设备的。消费类电子设备的。n基于J2ME的移动支付系统模型如图：移动支付的方式移动支付的方式n 近场通信（Near Field Communication，NFC），又称近距离无线通信，是一种短距离的高频无线通信技术，允许电子设备之间进行非接触式点对点数据传输（在10厘米内）交换数据。n 和传统的近距通讯相比，近场通讯（NFC）就有天然的安全性，以及连接建立的快速性，具体对比如下表。基于基于NFC的移动支付系统的移动支付系统:NFC蓝牙蓝牙红外红外网络类网络类型型点对点点对点单点对多点单点对多点点对点点对点使用距使用距离离0.1m10m1m速度速度106 kbps,212 kbps,424 kbps规划速率可达规划速率可达868 kbps721 kbps，115kbps2.1 Mbps1.0 Mbps建立时建立时间间 0.1s6s0.5s安全性安全性具备，具备，硬件实现硬件实现具备，软件具备，软件实现实现不具备，不具备，使用使用IRFM 时除外时除外通信模通信模式式主动主动-主动主动/被动被动主动主动主动主动主动主动主动主动成本成本低低中中低低移动支付的方式移动支付的方式n射频识别即RFID（Radio Frequency IDentification）技术，又称电子标签、无线射频识别，是一种通信技术，可通过无线电讯号识别特定目标并读写相关数据，而无需识别系统与特定目标之间建立机械或光学接触。nRFID技术可识别高速运动物体并可同时识别多个标签，操作快捷方便，识别工作无需人工干预，可工作于各种恶劣环境。基于RFID支付由移动通信终端、RFID读写模块与IC卡构成，基于基于RFID的移动支付系统的移动支付系统:移动支付的方式移动支付的方式RFID模块在小额电子钱包应用中的功能分为下述3个部分：n远程充值功能n消费功能：消费功能主要有两种模式，通过移动终端对IC卡进行扣款操作以及外部的商户终端对IC卡进行扣款操作。n查询功能：通过移动终端查询卡上的余额。移动支付安全与风险防范移动支付安全与风险防范1 移动支付安全技术移动支付安全技术 加密技术：是电子商务采取的主要安全保密措施，是最常用的安全保密手段，利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。安全认证技术：移动电子商务中的身份认证可以将手机的SIM卡的唯一识别结合起来，实现对移动终端用户的认证，还可以结合数字签名技术和数字证书技术实现用户认证。消息认证：检验数据的完整性，通过对消息或者消息有关的信息进行加密或签名变换进行的认证，目的是为了防止传输和存储的消息被有意无意地篡改。数字签名：又称公钥数字签名、电子签章，是一种类似写在纸上的普通的物理签名，但是使用了公钥加密技术鉴别数字信息。移动支付安全与风险防范移动支付安全与风险防范 双重数字签名：需要寄出两个相关信息给接收者，接收者只能打开一个，而另一个只需转送，不能打开看其内容。双重签名解决了三方参加电子贸易过程中的安全通信问题。数字证书：是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。数字信封：包含被加密的内容和被加密的用于加密该内容的密钥，是用加密技术来保证只有规定的特定收信人才能阅读通信的内容。数字时间戳服务：（DTS：digital time-stamp service）就能提供电子文件发表时间的安全保护。移动支付安全与风险防范移动支付安全与风险防范2 安全认证与管理安全认证与管理 移动电子支付认证消息是在商家与支付网关之间交换消息。支付认证包括支付授权和支付资金清算两部分。n 支付授权确保这笔交易是经过银行确认的，保障商家能收到钱，并作为向付款人提供服务或商品的凭证。移动支付安全与风险防范移动支付安全与风险防范n 支付资金清算是商业活动中金融机构之间办理资金调拨、划拨支付结算款项，并对由此引起的资金存欠进行清偿的行为。移动支付安全与风险防范移动支付安全与风险防范 在整个认证过程中，身份认证是至关重要的环节，CA认证中心颁发数字证书，并履行用户身份认证的责任：n产生、验证和分发密钥n签名和验证n数字证书的获取n数字证书的验证移动支付安全与风险防范移动支付安全与风险防范2 移动支付风险防范移动支付风险防范 政策风险：移动支付作为新兴业务，缺乏行业规范，包括准入政策和监管政策，资源共享、服务质量保证、服务规范等都需要有明确的规定，业务才能健康发展。技术风险：主要是支付的技术安全风险和技术开展风险。技术安全风险包括两方面：一是数据传输的安全性风险；二是用户信息的安全性风险。法律风险：动支付还处于起步阶段，有关法律法规不健全，移动支付涉及的当事人多，法律关系复杂，再加上移动支付使用计算机及通信等先进技术，因此在移动支付过程中可能产生一些法律纠纷。信誉风险：开展移动支付，可靠的服务平台至关重要。移动支付安全与风险防范移动支付安全与风险防范 移动支付最大的风险为技术风险，客户在交易中，银行会采用多种方式有效保障客户资金安全：n手机银行的信息传输、处理采用高强度的加密传输方式，实现移动通信公司与银行之间的数据安全传输和处理，防止数据被窃取或破坏；n手机银行对客户对外转账的金额有严格限制；n是将客户制定手机号码与银行帐号绑定，并设置专用的支付密码。移动支付安全与风险防范移动支付安全与风险防范codes02Calculate 图中描述移动支付中所涉及到的图中描述移动支付中所涉及到的角色，为了防范移动支付的潜在角色，为了防范移动支付的潜在风险，必须在各个角色的通信之风险，必须在各个角色的通信之间建立完善的技术安全机制间建立完善的技术安全机制。nWAP应用的安全应用的安全n手机终端软件的安全手机终端软件的安全 n手机与商家之间通信安全手机与商家之间通信安全n商家与商家与SP平台间的通信安全平台间的通信安全n手机与手机与SP平台之间的通信安全平台之间的通信安全 n手机与银行之间的通信安全手机与银行之间的通信安全 nSP平台与银行公共平台之间的平台与银行公共平台之间的通信安全通信安全 本章小结本章小结 移动支付是借助移动终端设备对所消费的商品或服务进行账务支付的一种服务方式，它是移动商务发展的基础条件。移动支付发展的起点是小额电子化产品的支付，并逐渐向大额、实物的方向发展。移动支付按业务模式可以分为电话账单交费、手机银行、手机钱包、手机信用平台四类。移动支付的系统架构根据适用场合的差异，分成远程支付和现场支付两种模式，其支撑技术可分为平台层、支撑层、交互层、传输层。本章小结本章小结 典型的移动支付系统有基于SMS、基于WAP、基于USSD、基于J2ME、基于NFC、基于RFID技术。移动支付安全维护方面主要采用加密技术、安全认证技术、消息认证、数字签名、双重数字签名、数字证书、数字信封、数字时间戳等。移动支付中涉及SP平台、手机终端、商家、银行，所以防范移动支付的潜在风险必须在各个角色的通信之间建立完善的技术安全机制。移动支付的风险主要集中在政策风险、技术风险、法律风险、信誉风险等，其中最大的风险为技术风险。