□文/方俊月

（渤海大學遼寧·錦州）

移動支付下的電子商務安全探究

□文/方俊月

（渤海大學遼寧·錦州）

在電子商務時代，移動支付的可移動、可及時的個性化支付方式受到各界人士歡迎，同時人們也擔憂它的安全性。本文簡述電子商務，詳細闡述移動支付，解釋支付原理及技術，探究對電子商務的安全問題，以此為移動支付提供策略。

電子商務安全；移動支付；認證技術；SWOT闡發(fā)

收錄日期：2014年7月7日

一、探究背景

人們在20世紀70年代末對電子商務專研，電子商務把計算機、網(wǎng)絡和遠程通信交融一起呈現(xiàn)電子般的流程、數(shù)字化和網(wǎng)絡業(yè)務。也就是說在一個虛擬的市場里利用信息技術進行買賣，體現(xiàn)電子設施與商務的完美結合。

電子商務的優(yōu)越性是顯而易見的，他為商務活動的水平與服務質(zhì)量做出了重大貢獻。電子郵件的推出省下來費用，EDI的使用使信息及時得到了共享的便利，一個電子系統(tǒng)避免了管理人員的泛濫，銷售途徑的交互式性，24小時的服務性，能夠及時地得到信息的反饋，以便資源相互流通，但依然存在著信息威脅。

電商行業(yè)在國內(nèi)的規(guī)模逐漸擴大，市場交易額每年都在增長，2013年電子商務墟市總交易額10萬億元，2014年僅第一季度就增加了255%，然而國家對電商的扶持政策也毋庸置疑，對可信交易過程中基礎信息的規(guī)范管理和服務做了調(diào)整，中國人民銀行研究制定政策，規(guī)范商業(yè)銀行、各類支付機構的移動支付標準。

二、移動支付概論

（一）定義及原理

1、定義。移動支付的另一種說法是手機支付，支付方借助智能手機、PDA等移動終端和設備，利用移動網(wǎng)絡與支付系統(tǒng)來結束換取產(chǎn)品和服務的購買全過程。

2、原理。用戶綁定SIM卡與一張銀行卡賬號，利用短信的發(fā)送，完成系統(tǒng)下達的交易支付要求，流程簡潔同時也不受時間與地理位置的干擾進行交易，完美地呈現(xiàn)了移動互聯(lián)網(wǎng)的快捷方便、數(shù)字化的特點。

（二）移動支付現(xiàn)有的交易形式

1、遠程支付。如網(wǎng)銀、電話銀行等下達指令的工具通過WAP、GPRS、WWW等途徑完成遠距離支付過程。掌中充值就是這樣的一個支付形式。遠程支付的業(yè)務有很多參與者、監(jiān)督者，產(chǎn)業(yè)鏈也很長，所以運營商、銀行、手機廠商都極有可能做業(yè)務模式的領導者。在手機上登陸相關頁面或者是在安裝的客戶端進行支付，其中軟硬件服務都參與進來，這是用戶端操作較繁瑣的，而且在電子商務過程中進行支付，關系到了信息的加密與認證等相關的服務。手機話費充值、手機彩票、繳費等移動遠程支付應用深受人們歡迎，手機話費充值特別的流行，占整體移動支付一半市場還綽綽有余，然而近幾年來，電子商務的地理支付形式得到了迅速的發(fā)展。

2、近場支付。近場支付為人們提供的便利的服務，買東西、坐公交車等生活中需要現(xiàn)金交易的過程被刷卡替代了，如今已成為了現(xiàn)實。是在有POS機的前提下，利用特定手機或者是芯片，進行近距離的刷卡，實現(xiàn)支付。芯片的使用、商品的結算、支付的受理等在業(yè)務模式的產(chǎn)業(yè)鏈中有著至關的重要性。

3、手機載體下的支付形式。在電子商務時代，條碼掃描、二維碼拍照等支付已經(jīng)不陌生了，手機作為媒介，利用他的智能性，使其具有POS機的刷卡功能、銀行卡的支付性，就這樣，在移動電子商務的遠程傳遞下完成近場支付相關環(huán)節(jié)。在電子商務市場中類似于這樣的支付模式仍在追求更好、更新穎。

（三）安全認證技術

1、對稱密碼與非對稱密碼。對稱密碼與非對稱密碼是一個密碼系統(tǒng)的主要構成。將對稱算法解釋為用同樣的密鑰進行加密和解密，密鑰簡潔快速，處理成果顯著，DES與AES是較為有影響力的對稱加密體制算法。加密方與解密方實現(xiàn)密鑰共享，在解密過程中，持密文、算法，不能成功瀏覽信息。而非對稱密鑰即算法的使用一致，而解密的密鑰不同。RSA算法是普遍使用的。在整個過程中加密方掌握加密或解密密鑰，解密方手中也有另一把解密鑰匙，有密文，破譯不會成功，擁有算法、密文，但是缺少另一把密鑰也不能進行解密，這就是非對稱算法的特點，私鑰一定要保密。

2、數(shù)字簽名。信息的發(fā)送者擁有數(shù)字串，其他人不能偽造，簽名與驗證證明了數(shù)字簽名的不可抵賴性。接受者確認信息是否被破壞、認證發(fā)送者身份，借助簽名技術中的簽名值和簽名后的文件，保證了消息的完整性，阻止了交易的否認性。

3、身份認證。在支付過程中必須確保安全，斷定消息的真實性，對身份認證，出示相關的口令或者證件，以免給偽裝者盜取信息的可能。DNA、手機號碼、指紋、口令都可以視為認證方式?？诹钫J證還是較為普遍的，在登錄時設置一些密碼，服務器進行加密，但是安全性會低一些，非法分子會偽裝你與服務器進行交流，從而竊取你的更多資料。感應設備的可取性高一些，因為DNA與指紋都是別人無法復制的。

4、WPKI加密。PKI作為一種保障網(wǎng)絡信息安全的設備，自行對密鑰和證書處理。WPKI則對他進行了升級，主旨是電子商務的移動支付中的實體聯(lián)系、證書認證，終端、認證中心、WAP網(wǎng)關、目錄服務、PKI門戶是其重要的組件，當然還關系到相關的服務器設施。終端請求證書簽名，PKI門戶將請求證書傳達給CA，在目錄服務的基礎上由CA發(fā)布證書，PKI Portal獲取證書的位置，由終端將文檔、簽名和證書的位置傳達給WAP網(wǎng)管，整個過程中證書的產(chǎn)生、下達與刷新以及傳遞的安全、WPKI都進行了標準的優(yōu)化，使得電子商務移動支付更安全。

（四）移動電子商務的安全要求。保證整個移動支付系統(tǒng)的安全，判斷對信息的、實體的有效性，保護信息被篡改的機密度，阻止消息在電子商務環(huán)境中泄露，利用可靠的數(shù)據(jù)，避免中途的不可否認等電子商務數(shù)據(jù)安全要素，譬如竊聽、漫游安全、交易抵賴、完整性損害等。

保證安全要素的同時還要具備一套優(yōu)越的安全機制，是對電子商務環(huán)境下的用戶、運營商、第三方主要當事人交易過程中所涉及到的網(wǎng)絡層、平臺層、應用/服務層、加密技能的安全管理。管理角色權限、認證身份、會話與日志，保護數(shù)據(jù)，這就是應用/服務層所提供的，阻止對數(shù)據(jù)的濫用，對服務的非法訪問。

三、電子商務市場下移動支付的SWOT

（一）優(yōu)勢闡述。3G網(wǎng)絡的盛行，手機及銀行卡使用者的數(shù)量逐年增加，可想而知，是一個龐大的群體，同時也是可待持續(xù)發(fā)展的一個市場。移動支付主要的就是Anyway、Anytime、Anywhere性質(zhì)相比對其他的支付方式造成了威脅，移動支付信息查詢快捷、對非實物商品的結算及時，避免了傳統(tǒng)支付的現(xiàn)場排隊現(xiàn)象，既方便又快捷，同時也會對現(xiàn)金的安全進行保護，用戶不必攜帶現(xiàn)金便可支付，不必擔心移動運營商收取多余的費用。

（二）劣勢闡述。正視移動支付的兩面性，有著優(yōu)勢但也不能忽視他的缺點，人們對移動支付的安全性還是放心不下來，比如信號在傳送的過程中被截獲，用戶端的操作反應慢，就像支付反饋信息收不到，POS機登陸出現(xiàn)故障，移動支付覆蓋面擴大了、群體增加了，信用系統(tǒng)卻不夠完善，無線支付的技術、信譽、法律風險仍是現(xiàn)在面臨的問題，無論是運營商與銀行或是其他當事人擔心責任的問題避而遠之，不能平衡支產(chǎn)業(yè)鏈的利益。

（三）機會闡述。目前，使用數(shù)據(jù)足以證明，移動終端設備的方便快捷，并且逐漸成熟，顯然手機淘寶等字樣家喻戶曉，移動支付也得到了多家銀行的支持，整個支付產(chǎn)業(yè)鏈要素已經(jīng)基本完善，手機與IC卡的融合深受用戶的追捧，還有現(xiàn)金支付的弱點、支付途徑的單一化、3G網(wǎng)絡技術的不系統(tǒng)、國家的相關政策等不完善的方面對于如今的電子商務移動支付來說都是一個極大的挑戰(zhàn)，有著更好發(fā)展的機遇。

（四）威脅闡述。人們還是熱衷于傳統(tǒng)支付，拒絕移動支付，因為那樣會覺得放心；政策的出臺或多或少的會對銀行、運營商和支付群體做出一些規(guī)范，其中包括很復雜的經(jīng)營制度、用戶能不能放心使用的擔憂；考慮支付金額的大小，謹慎壞賬和欺詐，要明確風險承擔者；如今的移動支付市場多了外資企業(yè)這樣一個觀眾，外資企業(yè)的加入對中國當?shù)氐你y行有著一定的競爭力，同時其他的支付方式也在不斷改進，在支付市場占據(jù)了一定的比例。

四、我國移動支付發(fā)展障礙

（一）不習慣移動消費。2013年上半年相關市場調(diào)研表明：僅僅6.49%的人不清楚移動支付，聽過移動支付的人多，真正了解移動支付的人少。消費者的認知程度低有待進一步的提高，以及強化消費者的使用意識和習慣性移動消費，是電子商務移動支付的首要因素。

（二）產(chǎn)業(yè)鏈利益共贏不平衡。運營商、網(wǎng)絡、銀行機構等重要成員通過跨行業(yè)相關技術的整合，需要完美的分工實現(xiàn)電子商務活動的移動支付，合作上的共贏也成為關鍵，但實際上運營模式的差異性、技術方案的不統(tǒng)一、支付載體的不同，增加了推廣成本，成為各個合作方的一個糾紛，在規(guī)范制度上，合作方對權利、成本、模式利益的分配不滿意，后來的收益與投資狀況都將成為阻礙移動支付飛速發(fā)展的因素。

（三）安全技術不完善。技術問題又是一個障礙。3G取代了2G網(wǎng)絡，當今，4G網(wǎng)絡已經(jīng)提出，不同的網(wǎng)絡體制下加密機制有所差異，不過共同的目標都在保證數(shù)據(jù)的完整性、保密性，手機短信支付是非互交式的，公網(wǎng)傳遞無加密，手機出現(xiàn)漏洞，遭遇病毒，信息被竊取的可能性就會增加，用戶擔憂數(shù)據(jù)的完整性與及時性不能被保證。

（四）監(jiān)管方不透明。銀行占有主導地位，通信運營商、第三方支付公司的監(jiān)管主體有差別。比如，工業(yè)與信息化部作為通信行業(yè)的監(jiān)管主體，監(jiān)管移動增值業(yè)務的服務、信息安全與業(yè)務內(nèi)容等。重復監(jiān)管模式對于移動支付的有序發(fā)展沒有優(yōu)勢。

（五）信用制度不先進。我國的信用體系在金融服務領域還不夠成熟。銀行信用體系的良好連帶到個人使用移動支付的狀況，人們擔心在交易過程中泄露身份，相關調(diào)查也表明：手機用戶沒有接到垃圾短信、詐騙電話的人少之又少。所以，改變惡劣的信用機制，就不會有機會阻礙移動支付的電子商務市場向前發(fā)展了。

五、針對移動支付對電子商務安全問題的建議

（一）支付終端的系統(tǒng)安全。有待加強移動支付的技術設備這個硬環(huán)境，對于手機的技術支持、安全芯片、加密文件、身份認證等相關技術，對登錄前的安全以及支付的交易保密性的提高。

（二）加強安全技術。就目前電子商務市場的移動支付來說，所涉及到的安全技術大體上能夠達成移動支付的業(yè)務，保證了自身系統(tǒng)的基本安全卻沒有在意用戶使用過程的安全信息進行升級保護，導致了一部分用戶主動放棄這種付款方式。移動支付機構對技術上的可攻擊性提高一些，對ID進行加密處理，移動運營商提供的安全網(wǎng)絡，避免支付風險，重視整個支付及交易系統(tǒng)的安全。

（三）調(diào)動支付產(chǎn)業(yè)鏈的積極性，加大監(jiān)管力度。保障整個線條的每一部門的利益，使其得到效益均衡，可以充分帶動發(fā)揮各自的積極性，促使移動支付市場產(chǎn)業(yè)鏈有條不紊地發(fā)展。這樣，一些監(jiān)管部門就不會費盡心思想去懲罰他們的一些行為，當然他們的所作所為是在法律允許的邊界內(nèi)，為移動支付產(chǎn)業(yè)做貢獻。

（四）建設安全信用機制。良好的安全信用體系制造了健康的網(wǎng)絡環(huán)境，同時為商家提高了信用度。現(xiàn)在通過對第三方擔保系統(tǒng)有了規(guī)劃，加上移動支付企業(yè)聯(lián)合第三方支付平臺，進一步增進移動支付產(chǎn)業(yè)的信用機制，就能在多個方面解除用戶的擔憂，感受到移動支付在我們身邊的美好。

（五）制定法規(guī)。對于業(yè)務處理的過程中出現(xiàn)的故障，用戶的請求被限制以及支付短信沒有反饋，利用合理的支付信用機制，避免風險，采取限額等防范途徑，確保支付安全。需要相關部門檢測支付體系，對日常監(jiān)管負責，完善相關法律法規(guī)。

六、總結

電子商務市場與移動支付市場都是炙手可熱的，兩者又相互影響著，移動支付蔓延在社交行業(yè)中，比如微信支付已經(jīng)基本穩(wěn)定了，對于社交平臺的移動支付同樣吸引著各個企業(yè)，移動終端的普及和電子商務的發(fā)展，對于移動支付的發(fā)展前景有著不可估量的影響。然而，談及移動支付的發(fā)展前景就會想到其能替代紙幣，實現(xiàn)銀行服務的移動化、整個移動支付產(chǎn)業(yè)鏈的完美配合，加上大體成型的支付業(yè)務環(huán)境和技術，不管技術上還是外界狀況影響，整合通訊安全等安全機制共同克服移動支付泛起的電子商務安全問題。

［1］李琪.電子商務概論［J］.高等教育出版社，2009.3.1.

［2］萬隆.電子商務環(huán)境下移動支付的安全性分析［J］.商場現(xiàn)代化，2008.

［3］黃麗云，黃瑾，陸宏治.移動支付風險與安全機制分析［J］.移動通信，2013.1.

F713.36

A