移动支付危机分析及安全方案

一、移动支付概述

因特网的迅猛发展使基于因特网的电子商务发展成为一种重要的商业运作方式，3G时代的到来使互联网和移动通信服务的发展趋于交融，移动通信技术的不断更新更推动着全球移动电子商务应用市场的快速发展。2006年中国互联网用户超过1.3亿，固定、移动电话用户则超过7亿。巨大的市场空间、庞大的潜在用户需求，使移动电子商务逐渐成为各方关注的焦点。移动电子商务的最大特点是“随时随地”和“个性化”，它不仅是一种全新的销售与促销渠道，更可以根据消费者的个性化需求和喜好，为消费者提供网上购物、信息、媒体和娱乐等服务。据电信趋势国际公司预测，全球移动电子商务到2008年将吸引17亿用户，其中使用手机进行的交易额预计将达到5540亿美元。

移动支付是移动电子商务的一个重要流程。移动支付是继银行柜台、自助银行、电话银行、网上银行之后，以移动通讯设备作为支付的工具和新的服务渠道。用户使用移动设备可以随时随地完成商品支付业务，其安全、方便、操作简单、贴身服务、多功能、低成本、覆盖面广、不受时空限制等特点，蕴藏着巨大的商机。移动支付处理得好坏将直接影响移动电子商务的拓展。

一般来讲，移动支付是以IC卡和数字签名技术为安全保障，以移动通讯网络和银行金融服务系统为依托，以电子信息作为货币形态，实现货币从付款人向收款人转移。它是通过移动通信网络将客户的移动终端连接至银行，实现利用移动终端界面完成各种金融理财业务的服务系统。移动支付所使用的移动终端通常是手机、PDA、移动PC或是当前其他较为复杂的电子设备，而由于手机的广泛应用，使得手机在移动支付中扮演着重要的角色。狭义讲，移动支付也叫手机支付。

按照支付交易金额，移动支付分为移动小额支付和移动大额支付。国外移动支付业务己经进入大额支付阶段。大额支付对安全性要求较高，一般采用各交易角色移动终端绑定银行账号或信用卡账号的方式进行移动支付。国内的移动支付方式1999年才起步，目前小额支付成为主流，主要面向商户与消费者之间的小额交易，它可以采用消费者手机的移动充值卡付费模式，也可以采用消费者手机号与银行账号或信用卡账号绑定到移动虚拟电子钱包的付费模式。

二、移动支付的价值链构成

1.移动用户，是业务的使用者和移动支付业务各方收益的主要来源。

2.终端厂商，是支付终端的开发者，销售终端从而获得收益。

3.移动网络运营商，通过运营移动通信网络，获得通信费收益和代收费、服务手续费，并提供差异化服务，提高企业的核心竞争力。

4.支付平台运营商，通过运营移动支付平台，负责与金融机构和商户接口，拓展有价值的商户，获得用户服务费和交易佣金。

5.商户，通过移动支付提供非现金交易手段，增加商业机会和交易额。

6.金融机构，包括银行和中国银联，提供银行卡服务和移动支付服务，从用户的交易中收取费用，提高用户的忠诚度。

在移动支付价值链中，由于移动运营商越来越重视构建开放、标准的业务架构，使自己成为业务提供商接入的门户和组织者，将在激烈的市场竞争中处于有利位置；支付平台运营商不仅是移动运营商的核心设备供应商，为其提供技术，而且是移动运营商的合作伙伴。因此，未来的移动支付运营模式很可能是移动运营商同时作为支付平台运营商，在其统一品牌下，不断保持和强化核心用户资源等优势，共同拓展市场。

三、移动支付流程

一般来说，移动支付系统包括四个部分：消费者、商家、金融机构和移动运营商。

1.消费者选择商品，发出购买指令。购买指令通过无线运营商支付管理系统发送到商家商品交易管理系统。

2.商家将消费者的详细购买信息通过无线运营商支付管理系统发送到消费者手机终端进行确认操作，得到确认后再继续往下操作，否则停止。

3.消费者确认支付后，无线运营商支付管理系统记录详细的交易记录，同时通知金融机构在商家和消费者的账户间进行支付和清算，并且通知商家提货或提供服务。

4.商家供货或提供服务。

5.交易结束。

从上述流程可看出，移动运营商的支付管理系统是整个支付过程中具有核心纽带功能的部件，它要完成对消费者鉴别和认证、将支付信息提供给金融机构、监督商家提供的产品和服务、进行利润分成等等。

消费者发出购买指令时，消费者的权限和开户行账号等信息先传到移动运营商的支付管理系统，而不是商家系统。移动运营商只知道消费者的账户可用额度信息，初步判断消费者是否有足够的余额进行购买。消费者的开户行账号详细信息由金融机构进行管理，接到经消费者确认的支付指令后，由银行进行账户处理、支付和清算。移动运营商不能进行消费者账户处理，商家更不可以进行消费者的账户处理。这样，避免了消费者被欺骗的可能性，同时由于消费者的个人资料不是存放在商家系统中，也保护了消费者的隐私权。

四、移动支付的风险与防范措施

基于无线通信和开放性传输的移动支付给人们生活带来方便和快捷的同时，也存在着较高的潜在风险，容易遭受非法入侵和恶意攻击。对移动支付的风险进行分析，制定与之相关的安全策略，有助于移动支付的健康发展。

1.风险分析。移动支付的风险集中于三个方面：技术风险、法律风险和信誉风险。短信支付密码被破译、实时短信无法保证、身份识别缺乏和信用体系缺失是移动支付面临的主要技术难题。手机仅仅作为通话工具时，密码保护并不是很重要；但作为支付工具时，设备丢失、密码被攻破、病毒发作等问题都会造成重大损失。在由移动运营商、金融机构、商家和消费者共同支撑的移动支付运行架构中，任何一个环节出现问题，整个框架都面临着坍塌的危险。

大多数国家在移动支付方面的法律法规还不完善，交易各方权利和义务规定的也不明确。比如，我国消费者保护法对手机银行运作的适用性还不明确，客户通过电子媒介所达成协议的有效性也具有不确定性，使得移动支付在交易中存在着法律风险。

开展移动支付，可靠的服务平台至关重要。金融机构要能够持续提供安全、准确和及时的移动金融服务；移动运营商的服务质量也要有保障，如果客户访问其资金或账户信息时遇到严重通讯网络故障，将会造成客户对移动支付服务的怀疑和不信任，引发信誉风险

2.防范措施。在技术风险防范方面，要保证数据的保密性和完整性、系统的完整性、用户的身份鉴别、灾难恢复性和操作的不可否认性。针对这些问题，必须对敏感信息进行全程数据安全加密；系统中配备适当的安全措施如防火墙、侵入窃密检测系统、监视控制系统等；对访问系统的用户进行身份鉴别；装备必要的恢复和后备系统；使用数字签名等。

在法律风险防范方面，首先要充分利用我国现行法律来拟定移动支付相关协议，如《合同法》、《会计法》、《票据法》、《支付结算办法》等；其次，技术安全上充分利用目前执行的关于信息技术安全方面的行政法规，如《中华人民共和国计算机信息系统安全保护条例》等；最后，银行应注重交易数据的保管，为可能的纠纷或诉讼做必要准备。

在信誉风险防范方面，重点要防范操作风险和利用移动支付进行金融欺诈的行为。完善移动支付系统中各相关部门的制度规范，加强对人员的管理，防范操作风险；随着移动支付业务的不断拓展，应对重点客户加强监控，防范金融欺诈问题的发生。