移动支付下的电子商务安全探究

□文/方俊月

（渤海大学辽宁·锦州）

移动支付下的电子商务安全探究

□文/方俊月

（渤海大学辽宁·锦州）

在电子商务时代，移动支付的可移动、可及时的个性化支付方式受到各界人士欢迎，同时人们也担忧它的安全性。本文简述电子商务，详细阐述移动支付，解释支付原理及技术，探究对电子商务的安全问题，以此为移动支付提供策略。

电子商务安全；移动支付；认证技术；SWOT阐发

收录日期：2014年7月7日

一、探究背景

人们在20世纪70年代末对电子商务专研，电子商务把计算机、网络和远程通信交融一起呈现电子般的流程、数字化和网络业务。也就是说在一个虚拟的市场里利用信息技术进行买卖，体现电子设施与商务的完美结合。

电子商务的优越性是显而易见的，他为商务活动的水平与服务质量做出了重大贡献。电子邮件的推出省下来费用，EDI的使用使信息及时得到了共享的便利，一个电子系统避免了管理人员的泛滥，销售途径的交互式性，24小时的服务性，能够及时地得到信息的反馈，以便资源相互流通，但依然存在着信息威胁。

电商行业在国内的规模逐渐扩大，市场交易额每年都在增长，2013年电子商务墟市总交易额10万亿元，2014年仅第一季度就增加了255%，然而国家对电商的扶持政策也毋庸置疑，对可信交易过程中基础信息的规范管理和服务做了调整，中国人民银行研究制定政策，规范商业银行、各类支付机构的移动支付标准。

二、移动支付概论

（一）定义及原理

1、定义。移动支付的另一种说法是手机支付，支付方借助智能手机、PDA等移动终端和设备，利用移动网络与支付系统来结束换取产品和服务的购买全过程。

2、原理。用户绑定SIM卡与一张银行卡账号，利用短信的发送，完成系统下达的交易支付要求，流程简洁同时也不受时间与地理位置的干扰进行交易，完美地呈现了移动互联网的快捷方便、数字化的特点。

（二）移动支付现有的交易形式

1、远程支付。如网银、电话银行等下达指令的工具通过WAP、GPRS、WWW等途径完成远距离支付过程。掌中充值就是这样的一个支付形式。远程支付的业务有很多参与者、监督者，产业链也很长，所以运营商、银行、手机厂商都极有可能做业务模式的领导者。在手机上登陆相关页面或者是在安装的客户端进行支付，其中软硬件服务都参与进来，这是用户端操作较繁琐的，而且在电子商务过程中进行支付，关系到了信息的加密与认证等相关的服务。手机话费充值、手机彩票、缴费等移动远程支付应用深受人们欢迎，手机话费充值特别的流行，占整体移动支付一半市场还绰绰有余，然而近几年来，电子商务的地理支付形式得到了迅速的发展。

2、近场支付。近场支付为人们提供的便利的服务，买东西、坐公交车等生活中需要现金交易的过程被刷卡替代了，如今已成为了现实。是在有POS机的前提下，利用特定手机或者是芯片，进行近距离的刷卡，实现支付。芯片的使用、商品的结算、支付的受理等在业务模式的产业链中有着至关的重要性。

3、手机载体下的支付形式。在电子商务时代，条码扫描、二维码拍照等支付已经不陌生了，手机作为媒介，利用他的智能性，使其具有POS机的刷卡功能、银行卡的支付性，就这样，在移动电子商务的远程传递下完成近场支付相关环节。在电子商务市场中类似于这样的支付模式仍在追求更好、更新颖。

（三）安全认证技术

1、对称密码与非对称密码。对称密码与非对称密码是一个密码系统的主要构成。将对称算法解释为用同样的密钥进行加密和解密，密钥简洁快速，处理成果显著，DES与AES是较为有影响力的对称加密体制算法。加密方与解密方实现密钥共享，在解密过程中，持密文、算法，不能成功浏览信息。而非对称密钥即算法的使用一致，而解密的密钥不同。RSA算法是普遍使用的。在整个过程中加密方掌握加密或解密密钥，解密方手中也有另一把解密钥匙，有密文，破译不会成功，拥有算法、密文，但是缺少另一把密钥也不能进行解密，这就是非对称算法的特点，私钥一定要保密。

2、数字签名。信息的发送者拥有数字串，其他人不能伪造，签名与验证证明了数字签名的不可抵赖性。接受者确认信息是否被破坏、认证发送者身份，借助签名技术中的签名值和签名后的文件，保证了消息的完整性，阻止了交易的否认性。

3、身份认证。在支付过程中必须确保安全，断定消息的真实性，对身份认证，出示相关的口令或者证件，以免给伪装者盗取信息的可能。DNA、手机号码、指纹、口令都可以视为认证方式。口令认证还是较为普遍的，在登录时设置一些密码，服务器进行加密，但是安全性会低一些，非法分子会伪装你与服务器进行交流，从而窃取你的更多资料。感应设备的可取性高一些，因为DNA与指纹都是别人无法复制的。

4、WPKI加密。PKI作为一种保障网络信息安全的设备，自行对密钥和证书处理。WPKI则对他进行了升级，主旨是电子商务的移动支付中的实体联系、证书认证，终端、认证中心、WAP网关、目录服务、PKI门户是其重要的组件，当然还关系到相关的服务器设施。终端请求证书签名，PKI门户将请求证书传达给CA，在目录服务的基础上由CA发布证书，PKI Portal获取证书的位置，由终端将文档、签名和证书的位置传达给WAP网管，整个过程中证书的产生、下达与刷新以及传递的安全、WPKI都进行了标准的优化，使得电子商务移动支付更安全。

（四）移动电子商务的安全要求。保证整个移动支付系统的安全，判断对信息的、实体的有效性，保护信息被篡改的机密度，阻止消息在电子商务环境中泄露，利用可靠的数据，避免中途的不可否认等电子商务数据安全要素，譬如窃听、漫游安全、交易抵赖、完整性损害等。

保证安全要素的同时还要具备一套优越的安全机制，是对电子商务环境下的用户、运营商、第三方主要当事人交易过程中所涉及到的网络层、平台层、应用/服务层、加密技能的安全管理。管理角色权限、认证身份、会话与日志，保护数据，这就是应用/服务层所提供的，阻止对数据的滥用，对服务的非法访问。

三、电子商务市场下移动支付的SWOT

（一）优势阐述。3G网络的盛行，手机及银行卡使用者的数量逐年增加，可想而知，是一个庞大的群体，同时也是可待持续发展的一个市场。移动支付主要的就是Anyway、Anytime、Anywhere性质相比对其他的支付方式造成了威胁，移动支付信息查询快捷、对非实物商品的结算及时，避免了传统支付的现场排队现象，既方便又快捷，同时也会对现金的安全进行保护，用户不必携带现金便可支付，不必担心移动运营商收取多余的费用。

（二）劣势阐述。正视移动支付的两面性，有着优势但也不能忽视他的缺点，人们对移动支付的安全性还是放心不下来，比如信号在传送的过程中被截获，用户端的操作反应慢，就像支付反馈信息收不到，POS机登陆出现故障，移动支付覆盖面扩大了、群体增加了，信用系统却不够完善，无线支付的技术、信誉、法律风险仍是现在面临的问题，无论是运营商与银行或是其他当事人担心责任的问题避而远之，不能平衡支产业链的利益。

（三）机会阐述。目前，使用数据足以证明，移动终端设备的方便快捷，并且逐渐成熟，显然手机淘宝等字样家喻户晓，移动支付也得到了多家银行的支持，整个支付产业链要素已经基本完善，手机与IC卡的融合深受用户的追捧，还有现金支付的弱点、支付途径的单一化、3G网络技术的不系统、国家的相关政策等不完善的方面对于如今的电子商务移动支付来说都是一个极大的挑战，有着更好发展的机遇。

（四）威胁阐述。人们还是热衷于传统支付，拒绝移动支付，因为那样会觉得放心；政策的出台或多或少的会对银行、运营商和支付群体做出一些规范，其中包括很复杂的经营制度、用户能不能放心使用的担忧；考虑支付金额的大小，谨慎坏账和欺诈，要明确风险承担者；如今的移动支付市场多了外资企业这样一个观众，外资企业的加入对中国当地的银行有着一定的竞争力，同时其他的支付方式也在不断改进，在支付市场占据了一定的比例。

四、我国移动支付发展障碍

（一）不习惯移动消费。2013年上半年相关市场调研表明：仅仅6.49%的人不清楚移动支付，听过移动支付的人多，真正了解移动支付的人少。消费者的认知程度低有待进一步的提高，以及强化消费者的使用意识和习惯性移动消费，是电子商务移动支付的首要因素。

（二）产业链利益共赢不平衡。运营商、网络、银行机构等重要成员通过跨行业相关技术的整合，需要完美的分工实现电子商务活动的移动支付，合作上的共赢也成为关键，但实际上运营模式的差异性、技术方案的不统一、支付载体的不同，增加了推广成本，成为各个合作方的一个纠纷，在规范制度上，合作方对权利、成本、模式利益的分配不满意，后来的收益与投资状况都将成为阻碍移动支付飞速发展的因素。

（三）安全技术不完善。技术问题又是一个障碍。3G取代了2G网络，当今，4G网络已经提出，不同的网络体制下加密机制有所差异，不过共同的目标都在保证数据的完整性、保密性，手机短信支付是非互交式的，公网传递无加密，手机出现漏洞，遭遇病毒，信息被窃取的可能性就会增加，用户担忧数据的完整性与及时性不能被保证。

（四）监管方不透明。银行占有主导地位，通信运营商、第三方支付公司的监管主体有差别。比如，工业与信息化部作为通信行业的监管主体，监管移动增值业务的服务、信息安全与业务内容等。重复监管模式对于移动支付的有序发展没有优势。

（五）信用制度不先进。我国的信用体系在金融服务领域还不够成熟。银行信用体系的良好连带到个人使用移动支付的状况，人们担心在交易过程中泄露身份，相关调查也表明：手机用户没有接到垃圾短信、诈骗电话的人少之又少。所以，改变恶劣的信用机制，就不会有机会阻碍移动支付的电子商务市场向前发展了。

五、针对移动支付对电子商务安全问题的建议

（一）支付终端的系统安全。有待加强移动支付的技术设备这个硬环境，对于手机的技术支持、安全芯片、加密文件、身份认证等相关技术，对登录前的安全以及支付的交易保密性的提高。

（二）加强安全技术。就目前电子商务市场的移动支付来说，所涉及到的安全技术大体上能够达成移动支付的业务，保证了自身系统的基本安全却没有在意用户使用过程的安全信息进行升级保护，导致了一部分用户主动放弃这种付款方式。移动支付机构对技术上的可攻击性提高一些，对ID进行加密处理，移动运营商提供的安全网络，避免支付风险，重视整个支付及交易系统的安全。

（三）调动支付产业链的积极性，加大监管力度。保障整个线条的每一部门的利益，使其得到效益均衡，可以充分带动发挥各自的积极性，促使移动支付市场产业链有条不紊地发展。这样，一些监管部门就不会费尽心思想去惩罚他们的一些行为，当然他们的所作所为是在法律允许的边界内，为移动支付产业做贡献。

（四）建设安全信用机制。良好的安全信用体系制造了健康的网络环境，同时为商家提高了信用度。现在通过对第三方担保系统有了规划，加上移动支付企业联合第三方支付平台，进一步增进移动支付产业的信用机制，就能在多个方面解除用户的担忧，感受到移动支付在我们身边的美好。

（五）制定法规。对于业务处理的过程中出现的故障，用户的请求被限制以及支付短信没有反馈，利用合理的支付信用机制，避免风险，采取限额等防范途径，确保支付安全。需要相关部门检测支付体系，对日常监管负责，完善相关法律法规。

六、总结

电子商务市场与移动支付市场都是炙手可热的，两者又相互影响着，移动支付蔓延在社交行业中，比如微信支付已经基本稳定了，对于社交平台的移动支付同样吸引着各个企业，移动终端的普及和电子商务的发展，对于移动支付的发展前景有着不可估量的影响。然而，谈及移动支付的发展前景就会想到其能替代纸币，实现银行服务的移动化、整个移动支付产业链的完美配合，加上大体成型的支付业务环境和技术，不管技术上还是外界状况影响，整合通讯安全等安全机制共同克服移动支付泛起的电子商务安全问题。

［1］李琪.电子商务概论［J］.高等教育出版社，2009.3.1.

［2］万隆.电子商务环境下移动支付的安全性分析［J］.商场现代化，2008.

［3］黄丽云，黄瑾，陆宏治.移动支付风险与安全机制分析［J］.移动通信，2013.1.

F713.36

A