电子商务安全课件第11章-移动支付

电子商务安全课件第11章_移动支付第一页，共100页。第11章移动支付什么是移动支付？移动支付的发展前景如何？移动支付分为哪几种类型？典型代表有哪些？今日移动支付（

MobilePaymentsToday）制作了一张信息图，对上述问题进行了一一解答。来源：http://第二页，共100页。第11章移动支付第一节移动支付概述第二节移动支付业务模式第三节主要技术第四节移动支付安全性风险及其防范对策第五节移动支付安全关键技术第六节移动支付的具体应用第三页，共100页。第一节移动支付概述移动互联网是近年兴起的事物。但此前，网络购物、银行和第三方支付公司已经拥有了庞大的网络支付群体。当这些强大的支付能力从以电脑为终端的互联网转移到移动互联网时，必然会带来巨大的潜力。随着智能手机的普及，移动支付方式得到了越来越多的技术支持。2011年11月16日，全球移动通信系统协会（GSMA）宣布，全球45家移动运营商表示将支持并落实基于SIM卡的近场通讯（NFC）解决方案和服务；这其中就包括中国移动和中国联通。第四页，共100页。第一节移动支付概述1、移动支付的概念移动支付（MobilePayment）是在商务处理流程中，基于移动网络平台特别是日益广泛的Internet，随时随地利用现代的移动智能设备如手机、PDA、笔记本电脑等，为服务于商务交易而进行的有目的资金流流动。移动支付（mobilepayment）是在现有技术（如wirelessLAN，Bluetooth等）的基础上提出的用手持设备如手机和PDA等（有时称手持设备）作为也有观点认为，移动支付（又称手机支付）是指用户使用移动手持设备，通过无线网络（包括移动通信网络和广域网）购买实体或虚拟物品以及各种服务的一种新型支付方式。一个新的终端进行交易的支付方法。第五页，共100页。第一节移动支付概述1、移动支付的概念总之，移动支付就是指交易双方为了某种货物或者服务，使用移动终端设备为载体，通过移动通信网络实现的商业交易。移动支付所使用的移动终端可以是手机、PDA、移动PC等根据艾瑞咨询集团发布的《2011年中国移动支付行业研究报告》中所述，广义的移动支付是指交易双方为了某种商品或服务而通过移动终端设备交换金融价值的过程。狭义的移动支付是指基于无线通信技术，通过移动电话终端实现的非语音方式的货币资金的转账及支付第六页，共100页。第一节移动支付概述2、移动支付的分类移动支付按照距离主要分为近场支付和远程支付两种，所谓近场支付，就是用手机刷卡的方式坐车、或者通过手机在自动售货机上购买饮料则是现场支付等，很便利。远程支付是指：通过发送支付指令(如网银、电话银行、手机支付等)或借助支付工具(如通过邮寄、汇款)进行的支付方式，如掌中付推出的掌中电商，掌中充值，掌中视频等属于远程支付。目前支付标准不统一给相关的推广工作造成了很多困惑。移动支付标准的制定工作已经持续了三年多，主要是银联和中国移动两大阵营在比赛。第七页，共100页。第一节移动支付概述2、移动支付的分类移动支付业务按支付的空间和时间特点，可分为非现场的非实时支付和现场的实时支付。非现场的非实时支付是目前常用的支付方式，这种方式一般通过短信方式发起交易请求，从支付的速度来看，具有明显的时间延迟，快时需几秒钟，慢时甚至几分钟。目前在国内开展的手机购物、手机银行等均属此类非现场的非实时支付。第八页，共100页。第一节移动支付概述2、移动支付的分类移动支付系统按照交易额的数量分为宏支付（$10以上）和微支付（$10以下）。现存的移动支付系统大部分是微支付，主要提供信息类服务，交易类服务很少，真正使用手持设备进行交易的用户就更少。在这种微支付系统中，交易的费用是从用户的话单中扣除的，银行不直接参与。若采用宏支付系统，用户不需携带信用卡，用手持设备即可在商场购物。在这种系统中，银行是参与者之一，用户的交易费用是直接从与用户手持设备绑定的银行账户中扣除的。第九页，共100页。第一节移动支付概述3、移动支付的发展概况全球移动支付市场还处在发展阶段，用户数和交易金额正不断上升。根据TelecomTrends的调查数据显示，使用移动支付的地区主要分布在欧亚地区，其中亚洲占据48%的市场份额，欧洲占42%。亚洲的韩国、日本、新加坡以及欧洲的奥地利、挪威等国在移动支付的应用方面处于领先地位。据预测，到2008年亚洲将占据全球54%的移动支付市场(主要源于亚洲巨大的消费能力以及中国移动支付潜在市场的开拓)。移动支付消费的内容将集中在数字化产品(64%)、促销/广告信息(18%)、金融交易(9%)和在线购物(6%)。预测全球移动支付的用户数将在2008年达到16亿人，收入超过5500多亿美元。第十页，共100页。第一节移动支付概述3、移动支付的发展概况截至2006年底，手机在韩国和日本己经成为主流的支付设备NTTDoCoMo公司已经在日本销售了超过110万部具有支付功能的手机，有超过13000多家的日本商店安装了能够与手机通讯的读卡机。在韩国，由于其移动通信发展迅速，政府管制进行扶持，手机采用机卡不分离的销售模式，因此韩国消费者己经把手机作为信用卡使用。在欧洲，移动支付启动相比日韩较晚，但是在欧洲良好的信用体制和商业运作下，移动支付正迅速发展。第十一页，共100页。第一节移动支付概述3、移动支付的发展概况日本是移动支付发展最成功的国家，已经有超过1000万的移动用户使用Felica手机，并有超过250万的商户可以受理移动支付。日本的移动通信产业非常发达，日本是目前全球3G用户最多的国家，同时也是3G产业发展最成熟的国家之一。截至2006年12月，日本的3G用户已经达到了7310万户，占全球3G用户的16.6%，移动渗透率达到了74%，且日本上网手机的普及率也位居世界第一，达到了90%。第十二页，共100页。第一节移动支付概述3、移动支付的发展概况与日本相比，韩国移动支付产业发展外部环境不同之处在于其银行卡市场更为成熟。韩国银行卡发卡数量大，受理环境好。2003年，当时拥有4800万人口的韩国在使用的借记卡和信用卡的数量分别达到7100万张和9600万张。当年韩国银行卡交易量为11亿笔，交易额达3000亿美元。持卡消费额占个人可支配收入的比重高达36.6%，居全球第一。同时，韩国近90%的商户能够受理银行卡，各类银行卡受理网点达250万个。这也带来了银行卡市场竞争的激烈以及银行参与移动支付业务积极性的高涨。韩国在移动支付方面的发展仅次于日本。2004年第二季度，韩国移动银行交易额达到20亿美元，比上季度增长58%。2005年，月交易次数则超过450万次。第十三页，共100页。第一节移动支付概述3、移动支付的发展概况2003年、2004年美国移动数据业务收入所占移动总收入的比例分别只有2%和4%；而且，美国的2.5G/3G网络的进程落后于亚洲和欧洲发达国家。推动美国移动支付发展的主要力量是银行卡公司。它们联合移动运营商、银行与商户资源。美国移动现场支付的主要模式是与传统的信用卡和借记卡网络连接。2005年，visa宣布正式采用万事达的PayPass作为其非接触智能卡标准。两大信用卡公司的非接触智能卡标准的统一将更有力地推动非接触移动支付的发展。随后，发卡机构、银行卡公司和移动运营商等各相关方多次合作进行了基于NFC技术的移动支付试验。第十四页，共100页。第一节移动支付概述3、移动支付的发展概况欧洲移动支付的发展仍没有系统化和规模化。大多数移动支付解决方案是适应其所在国家业务需求而建立起来的。在欧洲，奥地利是移动支付开展最成功的国家。

MobikomAustira是该国领先的移动支付服务提供商。截止到2005年年末，MobikomAnstira已经成功地将移动支付应用于多个领域，包括公交系统、比赛入场券和彩票等票务系统、自动售货机、停车、出租车、加油站等。在克罗地亚，移动支付服务提供商将精力重点集中在扩大受理网络和升级移动银行应用。英国的移动支付业务尚出于发展初期，移动支付服务提供商Bango向所有移动用户提供服务并向内容提供商提供管理解决方案。第十五页，共100页。第一节移动支付概述4、国内移动支付发展历程第一阶段:2002-2004年国外移动支付的迅速发展给中国市场展现了该服务的美好前景。国内的移动运营商尝试性地推出了一些移动支付业务，如彩票的投注、电子邮件服务费的代收、自动售货机零售商品的购买等。同时，媒体进行了大量的炒作性报道。但由于刚刚开始涉及移动支付业务，国内的移动运营商并没有太多的经验，而且技术也不成熟，导致市场发展十分缓慢。这个时期的移动支付市场还处于业务导入阶段。第十六页，共100页。第一节移动支付概述4、国内移动支付发展历程第二阶段:2004年下半年-2007年随着国外移动支付技术不断改进，进一步提高了该业务的安全性和便捷性。与此同时，国内的物理基础(移动通信网络以及其他相关技术)也在不断改进。越来越多的银行开始和移动运营商合作，在更多的地区和更多的领域开展了该业务。互联网用户和移动用户的普及率逐步提高、网上支付和移动增值业务的迅速发展，为该业务奠定了良好的产业环境。此时，国内的移动支付用户的认知度和接受度有了普遍提高。这个时期的移动支付市场开始了地域扩展阶段。第十七页，共100页。第一节移动支付概述4、国内移动支付发展历程第三阶段:2007-2009年2007至2009年，为移动支付业务的商业模式探索阶段。移动支付产业环节复杂，价值链的构成需要多方的共同参与。在这一阶段，金融机构和移动运营商的议价能力都很有限，导致产业主导者并不清晰，产业实际投入力度很低。相关规范和标准的不统一，市场的缓慢发展，使得许多商户都处于观望状态，价值链的构建与合作机制的完善都非常缓慢。这时用户的体验较差，由于国内信用体系的不健全和安全保障问题并未根本解决，用户通过移动支付购买的物品和服务并不丰富，所以并未带来真正的便捷。这个时期为移动支付产业的规模成长期。第十八页，共100页。第一节移动支付概述4、国内移动支付发展历程第四阶段:2009年以后2009年以后，移动支付服务进入了快速发展的阶段。3G网络覆盖区域的扩大和网络优化的持续，不仅为更复杂的移动支付应用提供了相应的带宽支持，而且保障用户可以进行更便捷的实时在线处理。对移动支付有特殊要求的支持终端的平均价格不断下降，促进了相应终端普及率的提高。移动支付服务内容的不断丰富，加之以不断改善的硬件环境，用户体验不断提升，越来越多的用户开始使用该服务。监管政策的完善、商业模式的创新有效地平衡了价值链上各方的利益，促使了价值链的良性发展。第十九页，共100页。第一节移动支付概述4、国内移动支付发展历程第二十页，共100页。第一节移动支付概述5、移动支付的交易流程根据移动支付不同的业务种类和业务实现方式，支付的流程也不尽相同。总结起来可以归纳成一般流程，大体涉及到消费者、商家、支付平台、移动网络运营商、第三方信用机构和设备制造商。第二十一页，共100页。第一节移动支付概述5、移动支付的交易流程整个支付流程基本上由9个步骤构成，根据支付流程参与方的多少可能略有增减。首先，由消费者向商家提出购买的请求，商家再向支付平台提出收费请求；其次，支付平台与第三方信用机构进行对商家和消费者身份的认证；再次，支付平台向消费者提出支付的授权申请，得到确认授权之后向商家支付费用，并通知消费者支付完成;最后，商家将商品交付消费者。第二十二页，共100页。第一节移动支付概述5、移动支付的交易流程从上面描述的移动支付的基本流程和具体步骤中可以得到一个结论，即支付平台运营商在移动支付整个环节作用非常重要，负责支付结算的全过程。它具有整合移动运营商和银行等各方面资源并协调它们进行运转的能力，它传递交易双方的各种请求，甚至记录交易双方的交易记录等信息。正因为支付平台运营商角色的重要性，目前它主要是由移动运营商、银行或者信用卡组织等金融机构担当，也有一些独立的支付平台运营商存在。在移动多媒体下载的业务中，移动通信运营商就担任支付平台的角色。第二十三页，共100页。第一节移动支付概述5、移动支付的交易流程以购买彩铃为例：用户通过Internet对运营商的彩铃业务进行选择，用短信向运营商发出缴费申请，运营商在对用户身份进行认证后即进行收费，提供服务，完成支付过程。收费方式分为两种，一种是运营商代收费，它直接从用户手机账户中扣除金额；一种是从用户银行卡绑定的账户中扣除费用。第三方信用认证机构在国外移动支付业务的发展中起到了很好的推动作用，在我国，由于第三方信用认证体系还不是很完善，移动支付业务完全是在运营商和银行的领导下，往往由它们自己提供对于身份和交易的识别认证等。第二十四页，共100页。第一节移动支付概述6、移动支付产业链移动支付的产业链主要包括移动支付服务提供商、移动支付应用服务商、移动支付平台运营商和收单机构等主要主体。第二十五页，共100页。第一节移动支付概述1）移动支付服务提供商移动支付服务提供商即为传统意义上的发卡机构。然而，此处的发卡主体范围比较广泛，包括银行卡(借记卡和信用卡)、行业卡(公交卡等)和虚拟卡(如QQ币)的发卡主体以及移动运营商。移动支付服务提供商向用户提供用于移动支付的载体。当然，这个载体已经摆脱了传统意义上的卡介质而完全数字化了。当前金融机构所参与手机支付的业务相对比较简单，主要是集中在查询、转账、缴费等可以开展的一小部分手机支付产品中。金融机构如若想在手机支付中占据重要一席之地，运采用手机号码绑定银行卡、信用卡的策略必是首选。但银行需因此为手机支付平台建立一套完整灵活的安全体系，从而保证消费者支付过程的安全通畅。第二十六页，共100页。第一节移动支付概述2）移动支付应用服务商移动支付应用服务商在手机支付产业链中有着特殊的优势，其主要任务是搭建手机支付平台，为手机支付提供安全的通信渠道。移动支付应用服务商是连接消费者、金融机构和服务提供商的重要桥梁，在推动手机支付产品的发展中起着关键性的作用。对移动支付服务提供商而言，移动支付应用服务商向其提供了支付产品的销售和管理平台；对用户而言，移动支付应用服务商则是其挑选合适支付产品的大卖场。移动支付应用服务提供商可以视为移动支付服务提供商和用户之间的重要桥梁，直接面向用户并掌握了用户的许多信息。移动运营商拥有用户群的优势，同时凭借着其品牌效应可以在用户中产生强大的推广力，对用户来说是值得信赖的业务提供者。第二十七页，共100页。第一节移动支付概述2）移动支付应用服务商在移动支付业务中，移动运营商的收益来源主要有以下方向：第一，移动用户为了使用移动支付业务，就需要在运营商那里存储专用的资金，由于用户基数的效应，这笔资金总额非常可观，移动运营商可以将其投入到各个方面的建设中，带来更多的收益；第二，用户使用SMS（ShortMessageService，短消息服务）、WAP方式进行移动支付时，运营商对数据流量进行收费；第三，移动支付业务可以带动用户产生更多的数据业务需求，进一步加大增值业务的使用量；第四，移动支付的第三方支付服务提供商需要挂靠在移动运营商的移动通信网络之上，因此就需要向移动通信上交一定的佣金。第二十八页，共100页。第一节移动支付概述3）移动支付平台运营商移动支付平台运营商的直接客户是各类发卡机构和收单机构，而最终客户则是用户和商户。其主要职责是跨行信息的转接和清算。它在移动支付产业链上的功能与传统银行卡产业链上的银行卡公司非常近似。尽管移动支付平台运营商维持银行卡公司在传统支付产业上的优势地位将面临很大的挑战，因为银行卡公司凭借的“品牌、规则和网络”三位一体的游戏规则很难在这个新兴支付产业上延续，但移动支付平台运营商依靠广泛的受理网络和庞大的用户群，仍将对该产业的定价权和利益分配格局拥有相当的影响力。第二十九页，共100页。第一节移动支付概述4）金融机构目前银行机构提供的移动支付业务涉及不广。若银行采用手机号码与用户信用卡绑定的策略，银行就需要为支付平台建立一套完整的安全和支付体系。银行同移动运营商一样，也掌握了大量的用户资源，拥有强大的议价能力和资金支持。同时，移动支付业务的延伸必将触及到大额资金转账的领域，而产业链的延长也会给银行等金融机构进入移动支付领域带来机会，它们理所当然的需要分得自己的那块“蛋糕”。第三十页，共100页。第一节移动支付概述4）金融机构金融机构可以从以下几个方向取得收入：第一，同移动运营商合作开展移动支付业务的利润分成；第二，银行与移动运营商合作，将手机号码同银行卡绑定之后，将刺激银行卡的使用，为移动银行提供更多的用户数量，增加储蓄，扩大信用卡收入；同时与移动运营商就移动支付业务的结算也可以为银行增加不小的收益；第三，通过移动支付业务，银行可以把一些非营利性的代收费服务的柜台过渡到电子支付平台；通过移动支付业务的开展，移动支付终端的普及也对银行设置的ATM机等设备产生替代作用，节约了大量的资金。减少了营业网点的建设，节约了成本；第四，通过移动支付，促进银行卡的使用，扩大用户数。第四，银行通过移动支付业务可以提升银行的传统金融业务的服务功能，可以吸引更多的储户和资金，提供更多的信贷服务。第五，银行用户本身就具有一定的客户勃度，通过移动支付业务的开展，可以为用户提供一些附加值，更加提升客户对银行的忠诚度。第三十一页，共100页。第一节移动支付概述5）第三方业务提供商独立的第三方移动支付服务提供商具有整合和协调各方面资源的能力，其存在的价值就在于为消费者提供许多适合的、市场反应良好的移动支付服务。相对于移动运营商和银行的传统业务，移动支付属于交叉提供的增值业务，因此，移动支付服务提供商是银行和运营商之问沟通的桥梁，实际上有些时候移动运营商与会直接充当服务提供商的角色。在移动支付应用中，需要构建包括支付网关、客户钱包、商家账号和结算系统等组成的移动支付服务系统，它需要提供两方面的接口：一是与移动通信网络挂靠的终端设备识别与管理，二是同银行等挂靠的业务接口与管理。这些功能需要由移动支付服务平台来提供第三十二页，共100页。第一节移动支付概述6）设备提供商设备制造商为移动运营商提供移动通信系统，为用户提供支持移动支付的终端设备，并且同时提供移动支付业务的解决方案。移动支付设备提供商在移动支付整个产业链中基本上处于下游，具有相对稳定的利益。随着移动支付业务内容和实现方式的不断进步，对支持移动支付的新系统设备、终端、应用软件等的需求也不断增加。而移动支付又是一种技术驱动型的产业，因此，硬件设备制造商和软件开发商成为移动支付的积极推动者。随着移动支付业务的发展，越来越多的设备制造商将和移动通信运营商结成伙伴关系，生产定制设备和终端。第三十三页，共100页。第一节移动支付概述7）商家商家在移动支付的产业链中基本上属于从属地位，它提供相同于传统支付的产品和服务。主要的作用在于通过部署便捷的移动支付终端，减少支付的中间环节，提高用户满意度，扩大移动支付的使用范围。商家的类型是多种多样的，可以是商场、电影院、超市，也可以是网站、电影院等。移动支付可以获得更高的用户满意度，提升企业的核心竞争力。对于一些新兴的商家，如电子商务网站，移动支付给他们带来了一种主要的竞争力，也成为其业务的主要支柱。对于一些商家，移动支付可以作为目前传统支付手段的有益补充，还可以拓展客户，增加营业收入，减少成本。第三十四页，共100页。第一节移动支付概述8）用户用户是移动支付服务的最终使用者。他们的使用习惯和接受程度是决定移动支付产业发展的重要因素，操作是否方便、支付是否安全是移动支付能否吸引消费者的关键。当消费者形成用户群之后，就具有了一定的议价能力，从一定程度上可以影响移动支付业务的发展，甚至是监管政策的调整。用户是运营商和金融机构不可忽视的力量。从以上的分析可以看出，在移动支付产业链上，最重要的两个产业环节分别是移动支付应用服务商和移动支付平台运营商。这是因为：移动支付应用服务商成为面向用户的直接窗口，能够快速、及时地掌握用户对支付产品的需求及变化等信息，并将这些变化向上游企业传递；第三十五页，共100页。第一节移动支付概述7、移动支付的主要障碍1）技术问题第一，SIM卡与STK卡。如前文所述，STK卡具有存储量大、菜单功能丰富、操作简便、交易安全等特点，很受运营商青睐，但当前的手机市场上大量使用的是SIM卡，在移动支付中卡与卡之间的兼容互通问题一时难以解决。第二，手续繁琐操作复杂。一些银行推出的个人移动支付服务，在使用中其繁琐的设置会让人望而却步.第三，安全问题。我国现有的移动支付方式中，所发送的信息全为明码，短消息通过公网传输，没有加密功能，手机号码、密码等重要信息很容易被破译和截取。其实时性和数据完整性无法保证。第三十六页，共100页。第一节移动支付概述2）服务单一、支付内容不丰富这是移动支付缺乏吸引力的最主要原因。目前，移动支付大多用于价值较低、交易较频繁的支付，如支付手机话费、水费、电费，购买彩票等小额支付。各家机构推出的手机支付服务大同小异，往往因为服务内容单一、贫乏使得这一业务仅仅是现有多种支付渠道的一种补充，在目前大多数手机用户还不习惯和不信任移动支付的情况下，要大面积推广手机支付存在着一定的难度。另外，个别商业银行还曾推出过支持手机银行的用户识别卡，但由于这种卡在技术上不支持无线下载，银行把其提供服务的菜单写死在卡中，反而限制了商业银行对其服务的更新和增加，使得手机银行的实用性大打折扣。第三十七页，共100页。第一节移动支付概述3）移动支付的利益机制尚待建立和完善当前，移动支付各合作方之间在利益分配、权利和责任、费用支付等方面各不相同，这也在一定程度上影响了移动支付的推广，尤其是在移动支付还没有形成一定业务规模的情况下，交易本身还不能给提供移动支付服务的公司带来较高的收益。由于盈利模式和利益共享模式不成熟，移动支付业务所产生的收益不能弥补相应的成本，公司开展移动支付业务所产生的收益也无法独立支撑公司相应的运营成本，不仅我国如此，国际上其他国家也是如此。因此，这些提供移动支付服务的公司只能从其他相关服务中进行收费，如向用户收取数据下载费用、信息服务费用、通信费以及向网上商户收取固定费用等。第三十八页，共100页。第一节移动支付概述4）

消费习惯中国人的传统消费习惯影响着移动支付的发展。中国人对现金交易的依赖是推广移动支付业务的最大障碍，人们对消费方式的固有认识和习惯使手机支付发展缓慢。目前国内的移动支付业务多局限于小额支付，而将移动支付方式应用于酒店消费、宾馆住宿等高额消费的情况却很少见。5）法律问题目前，短信金融欺诈事件时有发生，人们对电子支付交易的安全性颇为担忧。对于移动支付我国暂时还缺乏有力的法律和技术保障，一旦产生纠纷和侵权，很难在法律上有准确的定义和判断。第三十九页，共100页。第一节移动支付概述8、移动支付的解决办法1．支付额度细分2．使用更安全传输技术3．加强行业协同，规避政策风险4．商业模式创新5．法律完善第四十页，共100页。第一节移动支付概述8、移动支付的解决办法1）支付额度细分为了解决金融机构与运营商在推动移动支付方面的积极性问题，可以把手机支付的额度加以细分如，单笔消费在200元或者在一个结算周期内消费额度在1000元以上的交易由银行来做，单笔交易在200元以下或者在一个结算周期消费额度在l000元以下由移动运营商做不同的部门分别负责不同额度的支付，这样既没有太大风险，又使相互之间变排斥为双赢的局面。第四十一页，共100页。第一节移动支付概述8、移动支付的解决办法2）使用更安全传输技术短信不能保证数据传输的实时性和数据完整性，用户可以采用更安全的WAP技术或BREW技术。基于WAP功能的手机支付由于采用了一定的加密技术，相对比较安全。目前大部分手机都支持WAP功能，用户申请开通WAP业务后，就可以通过WAP方式支持手机支付。联通的手机支付业务基于CDMA1x平台的特有BREW（无线二进制运行环境，inaryRuntimeEnvironmentforWireless）技术，用户需要下载一个BREW安装后即可操作。现在联通正在着手与更多的银行建立合作关系，联通的手机支付的环境会更成熟。第四十二页，共100页。第一节移动支付概述8、移动支付的解决办法3）加强行业协同，规避政策风险在我国，市场上已有的移动支付解决方案形形色色，技术并不复杂，但行业技术标准尚未统一，业务流程需要重组，企业管理跟不上技术的发展，特别是业务背后涉及的移动运营商、银行、特约商户等多方尚无定数的利益博弈，使得我国移动支付的发展仍有赖于包括开发商、运营商及银行在内的整个产业链各环节的共同推动，因此产业成员正确定位，开展协同商务已是大势所趋。第四十三页，共100页。第一节移动支付概述8、移动支付的解决办法4）商业模式创新银行、移动运营商如何与商家合作，进行商业模式创新，丰富手机支付的应用，是一个需要解决的问题。其实，除了缴费业务，手机支付应用可以进行扩充。网站上的小额电子产品非常适合使用手机支付。订票业务、电子书籍、网络音乐、保险等商品和服务的交易都可以使用手机支付。传统的餐饮娱乐、公交收费系统等也很适合手机支付。除了可以应用于商家与个人之间的结算之外，也可以应用于个人与个人之间的交易结算。只有不断地开拓新的商业模式，给用户充分的选择才能让手机支付普及起来。第四十四页，共100页。第一节移动支付概述8、移动支付的解决办法5）法律完善中国银监会最近发布《电子银行业务管理办法》和《电子银行安全评估指引》将手机银行业务、个人数字助理（PDA）银行业务等新业务首次被纳入监管体系。新法规将促进电子银行业务规范、健康发展，提高银行业金融机构提供安全、高效金融服务的能力，更好地满足广大金融消费者的需要。当然，随着手机支付市场的不断发展，会不断的有新的问题需要立法维持市场的止常进行。第四十五页，共100页。第二节移动支付业务模式根据支付结算账户和实现业务的方式和流程的不同，移动支付的业务模式分为以下五种：1、手机话费模式2、虚拟卡模式3、手机银行模式4、虚拟帐户模式5、物理卡的关联支付模式第四十六页，共100页。第二节移动支付业务模式1、手机话费模式移动运营商使用手机话费账户进行小额支付的业务模式。这类模式主要适用于图铃下载、游戏等移动增值业务费用的缴纳。2、虚拟卡模式移动用户通过手机号码和银行卡业务密码进行缴费和消费的业务模式。这种模式要求移动用户将银行卡与手机号码事先绑定，在移动支付交易过程中，手机号码代替了定制关系对应的银行卡，即手机号码成为虚拟银行卡。在目前国内的移动支付市场上，中国银联和大多数的第三方移动支付服务提供商采用的都是这类业务模式。第四十七页，共100页。第二节移动支付业务模式3、手机银行模式移动用户通过手机菜单完成关联帐户的查询、转帐、基金买卖等交易的业务模式。要求用户在银行网点开通手机银行业务或换STK卡，申请手机银行关联帐户的支付密码。这种模式目前还不能用户消费类交易。4、虚拟帐户模式移动用户使用网上虚拟帐户进行支付的业务模式。这种模式要求用户预先将资金转帐或充值到后台服务器的虚拟帐户内，或者将该虚拟帐户与银行卡账户关联，在支付时使用该帐户进行消费。目前，支付宝、贝宝等虚拟帐户运营商正在从互联网支付向移动支付领域扩展。第四十八页，共100页。第二节移动支付业务模式5、物理卡的关联支付模式移动用户通过关联银行卡帐户或电子钱包帐户进行现场支付和远程支付，或者远程二次发卡与账户充值的业务模式。这种模式是将银行卡帐户、储值卡和电子钱包，经过特殊工艺加工或异型，贴在手机后盖上，或者改造手机后形成双卡手机或双模手机，以及带接触功能的双界面SIM卡等模式。第四十九页，共100页。第二节移动支付业务模式业务模式模式特点业务应用手机话费模式手机话费账户作为结算账户，业务流程简单，无需经过金融机构环节。图铃、游戏下载等虚拟卡模式通过手机号码和银行卡业务密码完成支付的业务模式。公共事业缴费、数字产品购买、移动票务手机银行模式通过手机菜单完成关联账户的查询、转账、基金买卖等交易的业务模式。账户查询、转账、基金买卖虚拟账户模式使用网上虚拟账户进行支付的业务模式。C2C平台上的商品购买。物理卡的管理支付模式通过关联银行卡账户或电子钱包账户进行现场支付和远程支付，或者远程二次发卡与账户充值的业务模式。应用范围将最广，包括各种缴费和消费。第五十页，共100页。第二节移动支付业务模式移动支付终端解决方案根据安全载体芯片及现场支付技术实现的不同，目前市场上在手机支付终端的解决方式存在很多方案，比如：智能SD卡、SIMPASS、iSIM、RFSIM、贴片以及NFC等等结合手机支付市场的现实情况和手机支付技术的未来发展趋势，银联手机支付产品将立足于金融账户和国际非接触金融通信标准（13.56MHZ）两大原则，采用兼顾先进性和可操作性的实施策略，在培育手机市场的同时不断引导和培育手机支付产业，并推动手机支付技术走向成熟第五十一页，共100页。第二节移动支付业务模式移动支付终端解决方案解决方案原理说明缺点优点智能SD卡将智能卡嵌在SD内，重新定义SD卡的扩展脚用与外接天线现场解决方案有待成熟简单易行，业务扩展方式灵活SIMPASS利用SIM卡作为支付信息的安全载体，通过SIM的C4C8脚引出外接天线，放在电池后面机械接触点不稳定，天线容易断裂，C4C8脚的利用不是国际通用标准简单易行iSIM支付信息放在一张很薄的智能卡内，该卡贴在SIM卡上，作为桥接器，过滤分析SIM卡和手机的通讯并进行处理，外接天线连接在这张薄卡上SIMPASS的缺点都具备的同时，还可能存在法律方面的问题简单易行，业务扩展方式灵活RF-SIM利用SIM卡作为支付信息的载体，同时在SIM卡上添加无线调制解调器，实现现场支付，采用2.4GHZ频率，无需外接天线用户界面采用STK菜单方式，友好型不足，同时由于采用2.4GHZ的频率，无法和现有非接触式终端（13.56MHZ）兼容不用调换或改造手机就可实现现场及远程交易贴片将非接触式智能卡贴在手机的后盖上无法实现远程支付简单易行NFC按照手机支付的需求重新设计手机终端支持现场和远程支付目前支持的手机终端少符合国际标准，是手机支付的终极解决方案第五十二页，共100页。第三节主要技术根据移动支付技术成熟度及业务应用的不同，移动支付的技术模式经历了以下三个阶段技术模式特点业务应用以短信模式为主的第一代移动支付处于成熟阶段定向交易和查询类交易以WAP和二维码为主要特征的第二代移动支付处于发展阶段银行卡查询、充值缴费、远程大额消费、转账交易等以移动互联、非接触、手机客户端和安全芯片为主要特征的处于储备阶段其应用于现场支付和远程支付的多个领域。第五十三页，共100页。第三节主要技术1、以短信模式为主的第一代移动支付技术第一代移动支付技术实现模式包括SMS、STK、IVR、WAP1.O、K-java等，但以短信支付模式为主。目前，这种技术模式已处于成熟阶段，已进入商业推广期，其应用领域和定制用户规模都较为广泛。它的业务模式特点为：用户将银行卡和手机号码进行关联，交易时使用手机号码代替银行卡卡号完成支付。这类技术模式的安全控制主要通过定制验证、交易授权的方式。也就是说，用户在业务定制时，产业各方通过定制交易鉴别持卡人合法身份、磁道信息真伪、手机号码、帐单号码的真实性，并建立银行卡卡号和手机号码的绑定关系。持卡人身份识别和磁道信息由发卡银行进行验证，手机号码真伪通过移动运营商鉴权来识别，帐单号码由公共事业运营商等相关方鉴权识别。这种技术实现模式完成的交易一般限定在定向交易(如缴费业务、信用卡还款)和查询类交易(如银行卡查询、帐单查询)。第五十四页，共100页。第三节主要技术2、以WAP和二维码为主要特征的第二代移动支付技术第二代移动支付承载技术包括WAP2.0、手机客户端技术、二维码、手机证书等。目前，这种技术模式正处于发展阶段，在国内已经得到小规模的应用，其业务品种和应用领域正日益丰富。它的业务模式既可以采用银行卡无磁有密的模式或者下载加密磁道的有磁有密的模式，又可以采用手机话费账户模式。这类技术模式的安全控制主要通过SSL技术、非对称密钥技术等实现交易的端对端加密，并配合手机证书的应用，保证了移动电子商务的安全交易环境。这种技术模式既可以完成现场支付—主要通过二维码电子回执技术实现现场支付以及电子凭证的无物流配送和现场识别(如移动票务)，又可以实现远程支付—主要通过WAP2.0实现初级的无线互联网支付应用，手机客户端实现手机与服务器的端对端加密。交易类型包括银行卡查询、充值缴费、远程大额消费、转账交易等。第五十五页，共100页。第三节主要技术3、以移动互联、非接触和安全芯片为特征的第三代移动支付目前，这种技术正处于储备阶段，中国移动和中国银联分别在厦门、上海等地进行了商用试验。第三代移动支付将会带来发卡模式、消费模式、网络模式等多方面的变革，从而引发支付产业的又一次革命。这是因为:发卡模式的改变:银行卡应用将不依赖于卡基，开始向数字基转变。商业银行将金融电子钱包应用、EMV应用或磁条卡应用、积分应用、身份识别信息等，采用OTA(overtheair)空中发卡模式，通过移动互联网下载到手机IC卡芯片上；同时，移动用户也可以移动互联网申请开通某些业务或银行卡应用。消费模式的改变:非接触支付功能解决了移动支付现场消费的速度问题网络模式的改变:由于移动互联网和传统互联网的融合，移动支付和金融非接触IC卡支付的结合，移动支付与其它支付方式的界限越来越模糊第五十六页，共100页。第三节主要技术从移动通信体系结构来看，支撑移动支付的技术分为四个层面，如表所示。传输层GSM、CDMA(CodeDivisionMultipleAccess，码分多址)、TDMA(TimeDivisionMultipleAccess，时分多址)、GPRS、蓝牙、红外、非接触芯片、RFID交互层语音、WAP、短信、USSD(UnstructuredSupplementaryServiceData，非结构化补充数据业务)、i-mode支撑层WPKI(wirelesspublicKeyInfrastructure，无线公钥基础设施)/WIM（Wirelessidentitymodule，无线个人身份模块）、SIM、操作系统平台层STK、J2ME、BREW、浏览器第五十七页，共100页。第三节主要技术1、短信短消息服务是移动支付中经常用到的，用于触发交易支付、进行身份认证和支付确认的移动技术。在移动支付中按照信息流的流向可以分为上行和下行两种方式。用户使用短信的上行通道，发送特定信息(此信息格式由移动支付运营商提供，一般包括购买商品的编号、数量等)到指定的特服号进行支付；另外，也可以通过下行通道向客户推送一些商品或服务，如提醒充值用户进行充值，如果用户确认充值，则完成了此次的移动支付。同时下行通道也是进行用户消费确认的渠道，来保证支付的安全，避免支付中的欺诈行为。第五十八页，共100页。第三节主要技术2、红外线技术2002年由红外线数据协会制定了一个用于移动支付的全球无线非接触支付标准:IFM(Infra-redFinancialMessaging，红外线金融通信)。2003年4月由VISA国际、OMCcard、日本ShinPan、AEONcredit和日本NTTDoCoMo等公司将其引入进行移动支付服务的试验，通过红外线通信把信用卡信息下载并存储在手机里，在支付时通过红外线通信将用户的信用卡信息传输到指定设备，以完成支付认证。第五十九页，共100页。第三节主要技术3、自动语音服务(IVR)自动语音服务技术与短信类似，用户可以通过拨打某个特服号码进行移动支付。在用户支付确认和购买商品确认流程中也使用到IVR技术，如在用户支付前，用户收到一个由移动支付平台外拨的自动语音电话，用户根据电话提示进行支付;支付成功后，商户也收到一个由支付平台外拨的语音电话，通知商户支付成功可以提供商品或服务。4、GPRS/UMTSGPRS/UMTS均支持IP协议的数据通信，在此网络上可开发类似于Internet的支付。第六十页，共100页。第三节主要技术5、RFID/Bluetooth射频识别技术(RadioFrequencyIdentification，RFID)和蓝牙技术(Bluetooth)都是基于射频技术(RF)的两种通信标准，可以将RF技术引入非接触式移动支付服务。一般情况下在手机中内置一个非接触式芯片和射频电路，用户帐户支付信息通过某种特殊格式的编码，存放在此芯片中，以适应银行或信用卡商的认证规则。用户在支付时，只需将手机在POS的读卡器前一晃，用户的帐户信息就会通过RF传输到此终端，几秒钟后就可以完成支付认证和此次交易第六十一页，共100页。第三节主要技术6、非接触式芯片技术非接触式芯片技术是使用IC智能芯片技术与近距离无线通信技术(蓝牙技术、红外线技术等)相结合的一种新型技术，将用户信息存储在智能芯片中，通过近距离无线通信技术与其他接受处理设备进行通信，将信息按照某种格式进行加密传输。在这些通信技术中，射频识辨(RFID)和红外线技术(InfaredRed)与非接触芯片的结合将是未来手机作为移动支付设备的技术发展主流另外，几乎所有的现场支付解决方案中，手机技术的支持都是重要的环节，目前有如下几种有关手机的解决方案：多功能芯片卡，双卡手机，外接无线识别模块读卡器，双插槽手机和内置的手机支付软件。第六十二页，共100页。第三节主要技术7、J2ME随着Java的移动版本J2ME在移动领域越来越广泛的采用，使得移动支付平台也可以引入JAVA作为支付平台。利用J2ME建立支付平台主要可移植性、更低的网络资源消耗与服务器负载、改善用户体验、保密性高等优势。第六十三页，共100页。第四节移动支付安全性风险及其防范对策1、移动支付安全风险移动支付的整个交易过程是完全处在一个开放的环境中的，面临的环境非常复杂，移动支付的安全问题包括很多环节，比如存储安全、传输安全、认证安全等。移动支付它不仅仅同普通的电子商务安全体系一样存在被外部恶意攻击的可能，而且由于移动支付的参与者存在着种种利益方面的冲突，使得一些不诚实的参与者也有向系统发起攻击的可能。同时加上网络和移动环境等差强人意，网络带宽不足，终端计算能力相对较弱，这种种因素为安全的移动支付系统的设计和实施带来了相当大的困难。移动支付的风险主要集中在政策风险、技术风险、法律风险、信誉风险等4个方面。第六十四页，共100页。第四节移动支付安全性风险及其防范对策1）政策风险移动支付是通过各方的配合完成交易的，只要任何一方出了问题，这个交易体系就会失效甚至失控，而对于各方的权利义务，目前法律规定还不明确，移动支付作为新兴业务，缺乏行业规范，包括准入政策和监管政策，资源共享、服务质量保证、服务规范等都需要有明确的规定。移动支付作为新兴业务，消费者保护法对手机银行业务的适应性还不完善，存在一定的法律风险。移动支付业务的核心是支付，移动支付相关政策成为各方关注的焦点。移动支付处于电信增值业务与银行增值业务——中间业务的交叉地带，它有不同的业务类型。国内非银行机构推动移动支付的积极性比银行更高，但移动支付涉及金融业务必须接受金融监管第六十五页，共100页。第四节移动支付安全性风险及其防范对策2）技术风险手机仅仅作为通信工具时，密码保护并不重要，但作为支付工具时，丢失手机、密码被攻破、病毒木马等问题都会造成重大损失。数据传输的安全性风险是客户对移动支付最为关注的问题，用户信息的安全性风险同样值得关注。当消费者发出支付指令时，能发生短信数据包被截取的情形，支付密码被破译后，短信的内容因而无法被保护。攻击者盗用消费者的身份信息后，可以仿冒消费者的身份与他人进行交易，从而获得非法利益，并对合法户造成了巨大的损失。攻击者还可对数据进行修改，如修改消息次序、时间，注入伪造消息等，使信息失去真实性和完整性，从而干扰消费者的正常使用。再者，攻击者未经许可就使用网络或计算机资源被看作非授权访问，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息等这就产生了技术风险第六十六页，共100页。第四节移动支付安全性风险及其防范对策2）技术风险移动支付的技术风险主要表现如下几个方面：（1）移动支付信息的机密性。（2）移动支付信息的完整性。（3）移动支付多方身份的认证性。（4）移动支付的不可否认性。（5）移动支付服务的不可拒绝性。第六十七页，共100页。第四节移动支付安全性风险及其防范对策3）法律风险当前，由于移动支付还处于起步阶段，有关法律法规不健全，移动支付涉及的当事人多，法律关系复杂，再加上移动支付使用计算机及通信等先进技术，因此在移动支付过程中可能产生一些法律纠纷。国内涉及计算机通信领域的立法还相对滞后，用于保护移动支付有效开展的法律目前除了《电子签名法》和《电子支付指引》之外，人民银行制定的法规均未涉及移动支付业务，一旦发生支付纠纷，银行、电信、客户将处于尴尬境地。第六十八页，共100页。第四节移动支付安全性风险及其防范对策4）信誉风险一方面，一些小额支付业务通常是捆绑在手机话费中，而有不少手机号并没有采取实名制，因此造成手机话费透支恶意拖欠并不少见。信用意识及体系的不完善，也制约着移动信息化的普及和推广。另一方面，开展移动支付，可靠的服务平台至关重要。如果客户在移动支付过程中遇到严重的通信网络故障以及银行信息系统的不完善而造成客户资金的流失，将会造成客户对移动支付的不信任，引发信誉风险。

支持移动支付业务的商业银行，不仅需要提供一个可靠的服务平台，还需要与第三方(移动运营商等)合作，能否持续地提供安全、准确和及时的服务，将影响到银行的信誉。另外，第三方的服务质量也会影响用户对商业银行的评价第六十九页，共100页。第四节移动支付安全性风险及其防范对策2、移动支付安全风险防范对策1）技术装备方面移动电子商务要在交易过程中确认信息源、对信息加密、确认数据完整性来保证安全，这就要提高交易系统中的数据加密技术、认证技术和安全协议技术等。通过数据加密，可以保证信息的机密性；通过采用数字签名、数字时间戳和数字证书等认证技术来解决信息的完整性和不可否认性的问题；通过安全协议方法，建立安全信息传输通道来保证电子商务交易过程和数据的安全。另外，完善交易系统中的安全措施，如防火墙、侵入窃密检测系统、监视控制系统等；对访问系统的用户进行身份鉴别；装备必要的恢复和后备系统等。除此以外要注意一下方面的安全保障：第七十页，共100页。第四节移动支付安全性风险及其防范对策2、移动支付安全风险防范对策1）技术装备方面（1）移动终端的安全（2）用户与SP(ServiceProvider，服务提供商)平台之间的安全通信（3）用户与银行系统之间的安全通信第七十一页，共100页。第四节移动支付安全性风险及其防范对策2、移动支付安全风险防范对策2）方针政策方面（1）与银行合作，降低政策风险（2）建立信用体系，完善政策法规体系（3）加强监控，完善行业规章制度第七十二页，共100页。第五节移动支付安全关键技术1、移动支付身份认证技术移动电子商务中，每一次交易活动都会涉及到不少于两个交易实体之间的对话，所以，移动支付安全性的一个关键方面，就是能否对交易实体的身份进行认证。在移动支付中，主要提出一下五种方式来进行：（1）移动电话号码采用实名制管理；（2）移动支付嵌入固定的密码；（3）移动支付过程中共用一副密钥，并开展对称式加密进行数据交换；（4）移动支付过程中可以考虑使用动态密码管理方式；（5）移动支付过程中可以采用移动PKI做身份认证。第七十三页，共100页。第五节移动支付安全关键技术1、移动支付身份认证技术怎么样选择安全的身份认证体制成为移动支付安全性的决定因素，一个安全的身份认证体制至少需要满足下列要求:互相认证性：服务提供者和用户的相互认证;可确认性：接受者能够校验和证实信息的合法性、真实性和完整性;不可否认性：消息的发送者对所发的消息不能抵赖，有时也要求消息的接受者不能否认所受到的消息;不可伪造性：除了合法的消息发送者之外，其他人不能伪造合法的消息。为了满足上述安全需求，身份认证体制往往需要通过引入可信的第三方来实现。这样，身份认证主要由用户实体、提供信息服务的网络和可信的第三方等三个方面组成。第七十四页，共100页。第五节移动支付安全关键技术1、移动支付身份认证技术在实际操作过程中将根据不同的因素和安全需求决定不同的身份认证方式。小额移动支付认证可以采用移动电话号码和固定密码认证，大额移动支付认证固定的密码和动态密码来提高安全性。移动支付应用领域的身份认证技术因为移动环境和移动终端的特殊性而提出了更高的要求。在无线通信环境下，PKI无法实现无线终端和有线设备之间的互通，同时，移动终端的计算能力非常有限以及数据流通率低的特点，也使得传统的PKI体制无法成为移动安全支付的合理解决方案。以WIM为基础的移动PKI认证方式可以同时满足以上两项要求，进而可以完成更多的移动支付功能。第七十五页，共100页。第五节移动支付安全关键技术1、移动支付身份认证技术WPKI(WirelessPublicKeyInfrastructure)，即无线PKI，是有线PKI的一种扩展，是PKI结合移动环境特点的产物,它将互联网电子商务中PKI的安全机制引入到移动支付交易过程中。WPKI通过采用公钥基础设施以及证书管理策略，以WAP的安全机制为基础，通过管理实体间关系、密钥和证书等来增强移动支付系统的安全性，有效地建立了安全有效的无线网络通信环境。WPKI的出现和发展，为解决移动安全支付的身份认证问题提供了合适的选择。WPKI(wirelesspublicKeyInfrastructure，无线公钥基础设施)系统是WAP(WirelessApplicationProtocol，无线应用协议)、WLAN(WirelessLocalAreaNetwork，无线局域网)、WVPN(WirelessVirtualPrivateNetwork，无线虚拟专用网)等移动安全基础设施建设所必需的关键性产品，WPKI作为安全基础设施平台，一切基于身份验证的应用都需要WPKI技术的支持，它可与WTLS、TCP/IP相结合，实现身份认证、私钥签名等功能。第七十六页，共100页。第五节移动支付安全关键技术1、移动支付身份认证技术无线PKI的架构包括无线终端、注册中心（RA）、证书认证中心（CA）、目录服务器和无线网关等。注册中心负责接受用户对证书颁发、撤销等请求，认证中心负责证书的颁发和管理，证书内容包括使用者的姓名和公开密钥、证书有效期等信息，和CA对这些信息的数字签名。目录服务器用来存放证书、CRL等供用户查询、下载，无线网关完成无线和有线环境协议的相互转化。在安全协议WTLS中，服务器和客户（如果服务器要求的话）分别利用其公钥证书向对方证明自己的身份。第七十七页，共100页。第五节移动支付安全关键技术1、移动支付身份认证技术为了适应无线应用环境，WPKI也针对传统的PKI作了相应的优化工作，如在证书格式上采用WTLS证书格式，因为这种格式具有编码紧凑、容易实现、证书长度短等特点，便于在移动设备中验证，也易于在无线通信网络中传输。而客户证书可以采用X.509格式，但客户有时不必传其证书给服务器，而是传其证书的URL，服务器可以根据URL从证书授权机构直接调取，这样不仅可以降低无线设备的实现复杂性，而且可以提高WTLS中握手协议的效率。在加密算法上，WPKI采用了椭圆曲线加密算法ECC，ECC的密钥只有其他摘要算法的1/6（163位/1024位），这大大减少了密钥的存储、证书大小及内存的使用。第七十八页，共100页。第五节移动支付安全关键技术1、移动支付身份认证技术在移动支付的安全架构中，WPKI是安全协议能有效实行的基础设施。在基于WPKI的解决方案中，移动用户会将私钥和ROOTCA证书存在WIM卡上；将自己的证书通过发证机构存放在在线证书目录服务器上用户在浏览服务提供商提供的业务信息，然后用自己的私钥对交易数据进行数字签名，应用服务器收到该签名信息后，对用户的公钥对数字签名进行验证。第七十九页，共100页。第五节移动支付安全关键技术1、移动支付身份认证技术1）WPKI的原理与工作流程在移动电子商务中，存在着无线网络和有线网络之间的连接问题。无线应用协议WAP作为一个事实上的工业标准，解决了这个无线与有线网络之间的连接问题。第八十页，共100页。第五节移动支付安全关键技术具体的流程如下:用户向RA提交证书申请；RA对用户的申请进行审查，审查合格将申请将给CA；CA为用户生成一对密钥并制作证书，将证书交给RA；CA同时将证书发布到证书目录中，供有线网络用户查询；RA保存用户的证书，针对每一份证书产生一个证书URL，将该URL发送给移动终端；有线网络服务器下载证书列表备用；移动终端和撇P网关利用CA颁发的证书建立安全WTLS连接；WAP网关与有线网络服务器建立SSL连接；移动终端和有线网络服务器实现安全信息传送。通过上述步骤，就完成了采用WPKI安全认证体系的移动电子商务活动中的一次移动支付过程。第八十一页，共100页。第五节移动支付安全关键技术2）WPKI存在的问题及解决方案WPKI基本上是PKI在无线环境下的扩展，WPKI不仅可以用于移动支付，还可以用于电子邮件等其他移动电子商务领域。WPKI还存在不少问题，需要进一步的研究，主要包括证书的互通性、交叉认证技术、桥接技术和弹性CA技术等问题，都没有得到很好的解决。AP网关是敌人最常攻击的地方，所以桥接技术是显得最为严重的问题桥接技术问题，即“SecurityGap”漏洞，它之所以存在是因为WAP网关是无线设备和有线网络之间的互连点。第八十二页，共100页。第五节移动支付安全关键技术1、移动支付身份认证技术无线设备和WAP网关之间采用WTLS通讯，有线网络和WAP网关之间采用TLS进行通讯，这就需要WAP网关将在WTLS下加密的数据解密之后再在TLS下加密，然后传给服务器，这样，解密之后的数据就会以明文的形式短暂的暴露在WAP网关下，成为敌人常常攻击的薄弱点。现在常用的处理方法是使得WAP网关在处理数据转换时具有高速度，从而使得攻击从时间上是不可行的。但是这实际上只是一种相对的安全。现在提出来的另外一种解决方法是在WAP网关处采用安全性更高的内部网或含有WAP网关功能的服务器，但是内部网和服务器的路由转换等操作，将会直接减慢WPKI的处理速度，导致新的问题，所以，这也只能从一定程度上进行缓解。第八十三页，共100页。第五节移动支付安全关键技术2、移动支付数字签名技术在移动支付应用领域，移动支付所需要采用的数字签名技术除了需要满足数字签名的基本条件之外，还需要结合移动安全支付中移动终端计算能力和存储能力弱的特点，选取更加合适的公钥密码算法。即在选择数字签名的公钥算法时，既要满足移动支付中对数据加密的高安全性需求，又要充分考虑移动终端计算能力有限和存储流量小的特点。因此对于移动支付数字签名技术应满足：(1)该算法能够满足甚至高于传统信息安全系统的安全要求。即可以保证支付过程中的数据机密性，数据完整性，可以实现交易多方的身份认证以及不可否认性;(2)因为移动支付系统面临的用户是一个庞大的集合。所以密钥管理是一个不可忽视的问题。选择的密码算法要便于密钥管理;(3)针对移动终端的特点，该密码算法在保证强安全性的同时，计算量要小。第八十四页，共100页。第五节移动支付安全关键技术3、WAP安全技术在移动支付中我们最为关心的是数据在传输过程中的保密性、完整性、信息发送的不可否认性以及参与交易各方身份的真实性。由于我们目前所用到的无线终端设备如手机，PDA等，一般都是通过WAP协议接入无线网络的，所以其安全性也是由WAP的安全性来保障的。WAP协议与TCP／IP协议的体系结构类似，都是多层的工作模式，每一层都是为其上层提供服务，并为上层屏蔽下层所带来的差异。第八十五页，共100页。第五节移动支付安全关键技术3、WAP安全技术第八十六页，共100页。第五节移动支付安全关键技术3、WAP安全技术在WAP1.1中WAP的安全会话是由无线传输层安全（WTLS）协议和SSL协议共同完成的，在WAP1.2中引入了无线个人身份模块（WIM），其中应用安全采用WMLScript（无线标记语言脚本）在以后，WAP又引入了WPKI来提供对交易双方身份的认证及信息的传输安全。目前，WAP的安全构架由WTLS、WIM（无线个人身份模块）、WPKI、WMLScript（无线标记语言脚本）四部分组成，各个部分在实现无线网络应用的安全中起着不同的作用。第八十七页，共100页。第五节移动支付安全关键技术3、WAP安全技术在WAP协议栈中专门为数据传输安全设了一个协议层，这就是在TLS协议基础上提出的WTLS即无线传输层安全协议。WTLS是在传输层安全协议TLS基础上增加了对数据包的支持，通过握手协议建立会话保密密钥，并采用加密算法加密数据报文来提供数据的保密性；通过握手协议中提供公开密钥证书来实现客户和服务器的认证；采用哈希函数MD5或SHA来检测数据报文的完整性；WTLS还可以检测并拒绝重放数据。对于没有通过验证的数据也将拒绝服务。在WAP安全应用中，WTLS一般需要与SSL共同工作来提供安全保障。第八十八页，共100页。第六节移动支付的具体应用1、运营商移动支付应用——中国移动中国移动提供两款移动支付产品，分别是移动远程支付类的“手机支付”业务，和移动近端支付类的“手机钱包”业务。中国移动作为国内电信市场中的龙头企业、最大的电信运营商，在市场上有着极为特殊的地位。这不仅因为其电信运营的覆盖范围面积大、用户群数量大，更因为中国移动在产品和服务上始终处于技术领先水平。在未来小额支付成为支付趋势的情况下，中国移动在移动支付的平台建设上付出了极大的努力，是目前国内移动支付市场上走在最前面的移动运营商第八十九页，共100页。