本站原创[摘 要]移动电子商务是传统电子商务的一种创新营利模式,移动电子商务除了存在传统电子商务未能解决的障碍,如支付、配送、费用高等问题外,安全性问题尤其显得突出.针对移动商务的支付现状,提出了以移动支付中心为核心的移动电子商务安全支付方案.
[关 键 词]移动商务现状支付安全
移动商务就是在交易活动中用手机、掌上电脑、笔记本电脑作为支付手段,通过短信、WAP、IVR等方式,使用移动话费或使用信用卡做为支付资金,完成购物、缴费、银行转账等商务活动.经过手机、网上购写游戏卡、移动梦网和手机支付水电费燃气费等商务活动,移动商务逐渐走进了普通百姓的生活.由于手机用户可以随时随地进行购物和支付,不再受时间和地域限制,被认为将成为今后消费方式的一大主流.
目前我国银行系统的发卡量累计已超过7.6亿,移动用户数量已接近4亿,而且大部分移动手机用户拥有一张或多张.根据CCNIC2006年调查报告,我国上网用户总数为1.23亿人,其中使用手机上网的网民大概有1500万.而且,中国网民70%集中在收入1500元以下、年龄30岁以下的人群中,而手机用户中基本包含了消费群体中高端用户,如早期使用一万多元大哥大的手机用户;另一个原因,无线网络覆盖面广,从城市到乡村,都可以使用手机.因此,不论用户数量还是用户资金实力,移动电子商务都远远高于传统电子商务.如此巨大的手机消费群体和持有者数量,对于移动商务来说无疑是一个巨大的“金矿”.
但是,在移动电子商务发展过程中,由于中国网络环境的特殊,移动电子商务除了存在传统电子商务未能解决的障碍,如支付、配送、费用高等问题外,安全性问题尤其显得突出,成为制约移动电子商务的瓶颈问题.
一、移动商务安全性支付问题
首先,手机加密能力低.由于手机的运算能力低内存小,加上带宽小容易掉失数据,所以无法运行太复杂加密算法,造成数据保密低,也无法传递大量数据.
其次,手机信息在空中极容易被被拦截.网上经常有人叫卖”(G/CDMA多信道移动拦截系统)装置”,喧称:”监听地点没有限制,能在任何地点,包括车载移动手机空中拦截;监听数量多,可以同时监听20个手机;监听范围广,可以显示手机的短信息内容和来电;并且可以将监听到的信息录音并存于硬盘,以做证据之用.”这种宣传有水分,但明白不误地告诉我们,手机信息可被拦截;我们使用手机支付的信用卡数据同样也可被拦截.
再加上不法分子千方百计企图偷盗消费者的.例如冒充银行发诈骗短信.“您好!你的信用卡于×××商城刷卡消费2000元,此笔消费将从您账上扣除.如有疑问请拨3888×××银联联合管理局.”不法分子用此类短信告知用户无中生有的消费,要求用户确认.用户情急之中查询,结果把自己的泄露,造成信用卡里的钱被不法分子.
因此,当移动商务流行时,不法分子极有可能使用移动,监听移动手机使用信用卡支付信息,想方设法加以.
二、移动电子商务安全支付方案
解决移动电子商务安全支付问题,我们可以采用国际上比较成熟的解决方案,如爱立信公司的移动电子商务解决方案(MobileE-Pay)、HP为企业提供的全系开移动E-Services解决方案等;同时,我们更鼓励自主推出一些安全支付的解决方案.下面,提出一种以移动安全中心为核心的一套移动电子商务解决方案:
1.初始化
顾客、商家、移动支付中心分别到权威认证机构申请证书,生成数字证书和公钥私钥.
顾客在商家电子商务网站注册,并确定支付方式为手机话费,以及支付手机号;商家通过短信,确认手机主人身份.
顾客在移动支付中心以实名手机信息注册,并与移动支付中心交换证书和公钥.实名手机信息内容有:手机、姓名、、固定、住址、邮政编码.其次,在银联系统进行手机与信用卡帐号绑定,一旦手机话费余额不足时,可快速充值.
商家也在移动支付中心注册,并与中心交换证书和公钥.
顾客和商家拿移动支付中心证书、移动支付中心拿顾客和商家的证书到权威注册机构验证,确保正确无误.
2.手机交易安全支付流程
(1)顾客使用手机浏览商务网站选择商品,将商品信息、用户编号、交货地址、使用移动话费支付方式等购写信息发给商家.商品信息包含内容:商品名称、规格、数量、、购写时间.
(2)商家收到购写信息后,产生订单合同,并同时产生惟一的交易合同号.然后商家将订单合同信息、交易合同号发给顾客,订单合同信息包含内容:商品名称、规格、数量、、运送方式(平邮或快邮)、总金额、交货地址.
(3)商家将订单合同信息、交易合同号、顾客手机,以及订货合同数字签名,使用DES对称加密形成请求支付信息,再把DES使用移动支付中心公钥加密,然后一起发送到移动支付中心.
(4)移动支付中心:
首先,使用私钥解出DES,使用DES解密算法解出订货合同.
其次,将订货合同、顾客现有话费(如果话费不足,加上提示),使用DES加密,再把DES使用顾客公钥加密,形成请求确认合同信息.把请求确认合同信息发到顾客手机上.
然后把交易合同写入移动支付中心的记录交易的网站中,以便顾客商家查询和检查交易进展.
如果没有收到顾客确认合同信息,则拒绝交易,购写过程到此终止.
(5)顾客首先对请求确认合同信息解密,确认订货合同无误.
如果顾客看到话费不够,顾客把银行信用卡号、、转账命令以及个人证书使用私钥签名,再用银行公钥加密,发送转账短信到银行.银行根据转账短信,把钱转到移动支付中心的顾客中.
其次,对合同进行确认.把确认合同信息以及订货合同号使用顾客私钥加密,通过手机发送到移动支付中心.
(6)移动支付中心使用顾客公钥解密确认合同信息,从顾客中预扣货款;使用移动支付中心私钥加密请求发货通知,并把发货通知发给商家.
(7)商家根据通知发货,使用短信通知顾客收货,同时把订单合同号,货已发等信息加密后发送到移动支付中心.
(8)顾客收到货后进行验收,验收通过,把订货合同号、交易成功短信使用顾客私钥加密,使用手机向移动支付中心发送交易成功短信.
如果验收不合格,将货寄回商家,同时向移动支付中心发送交易不成功短信,并同时向商家和移动支付中心阐明交易不成功理由.如果顾客在规定时间内没有向移动支付中心发出交易成功或交易不成功信息,则移动支付中心自动按交易成功处理.
(9)移动支付中心收到交易成功短信后,将货款汇到商家账户.
(10)商家被退货到手后,向移动支付中心发出同意退款短信.移动支付中心将预扣款退回顾客账户里.
(11)商家和顾客在交易完后均须在移动支付中心记录交易网站对对方作出评价,累积诚信积分.
移动支付中心根据顾客支付额度给予积分,从积分上给予顾客优惠话费,以降低交易成本.
至此完成交易过程.
三、移动电子商务安全支付方案可行性分析:
1.方案优点
(1)移动支付中心为纽带的安全性高.在整个支付过程中,移动支付中心的支付管理系统是一个核心纽带,它完成对顾客商家身份确认、监督商家发货、代扣顾客货款等业务.
当顾客发出确认合同和交易成功信息时,顾客的短信只传到移动支付中心,而不是商家系统.移动支付中心只能知道顾客账户的话费可用金额,用于判断顾客是否有足够的余额进行购写.
顾客的开户行详细信息只由金融机构进行管理.当移动话费不足时,顾客发送转账指令到银行.根据顾客指令,由银行进行银行账户转账、支付和清算.移动支付中心不能处理顾客的银行账户,商家更不可以进行顾客的银行账户处理.这样,避免了顾客信用卡被欺骗的可能性.同时,由于顾客的个人重要资料不是存放在商家系统中,也保护了顾客的隐私.
另外,交易过程中,移动支付中心首先暂替商家扣下货款,保障了商家的权益;所暂扣话费没有直接交给商家,而是等顾客验收完货物后,才转给商家,同样也保障了顾客权益.
(2)重要数据的机密性.为防止重要数据被非法用户所截获,使用了加密的手段实现保密,从而确保在传递过程中,只有顾客、商家、移动支付中心知道交易的内容.使用加密技术,手机在传送顾客证书,传送顾客的银行和口令,以及传送各种个人的机密敏感信息,不会被轻易破译或盗用.
(3)完整性.使用加密技术和以移动支付中心为纽带,可以防止其他方或非法入侵者对交易的内容进行修改,同时保障交易双方权益.
(4)身份可确认性.通过数字证书验证,确保交易双方身份认证,防止欺诈行为的产生.顾客的身份还可以通过手机卡号确认.手机卡可以做到惟一和专属又不受时空限制,除移动通信怎么写作商之外的其他机构或个人无法复制有效的同号手机卡.退一步讲,即便同号手机卡被人复制,通过移动网络控制中心也是很容易被发现的.何况还有和的保护.因此,该方案是安全可靠的.
2.方案缺点
(1)步骤复杂.由于方案中采用商家发订单合同到移动支付中心,移动支付中心把订单合同再转发给顾客手机,然后经过顾客使用手机确认订单合同后,移动中心才能告诉商家:货款己扣.还需要双方对购物对方评价,这对想马上支付的交易来说:步骤多,过程复杂.
(2)传递数据比较多.本来手机速度慢带宽小,容易丢失数据,现在需要对传递指令和证书进行加密,并把它们传送到移动支付中心,对手机的处理能力是一个考验.
四、结论
与我国传统电子商务整体发展水平偏低的状况相比,中国移动电子商务的前景乐观得多,在移动电子商务发展过程中,如果解决商务安全和费用高的问题,让人们对既安全又快捷还实惠的移动商务有充分认识,就会喜欢使用移动商务,那么4亿多中高端手机用户是多么大的消费能力.
所以,对于移动商务,虽然前面有艰难险阻,但希望在前面不远处.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文.