电子支付与安全报告——移动端电子支付调查报告学院:管理学院小组成员:班级:一.调查对象移动端电子支付二.调查目的了解移动支付的定义及其相关的技术,并通过案例学习进一步加深了解,分析其未来发展的趋势三.调查方式网上搜集资料、与课程内容联动学习分析四.调查结果1.移动电子支付简介(负责人:)移动支付属于电子支付方式的一种,也称为手机支付,是允许用户使用其移动终端(通常是手机)对所消费的商品或服务进行账务支付的一种服务方式。
单位或个人通过移动设备、互联网或者近距离传感直接或间接向银行金融机构发送支付指令产生货币支付与资金转移行为,从而实现移动支付功能。
移动支付将终端设备、互联网、应用提供商以及金融机构相融合,为用户提供货币支付、缴费等金融业务。
移动支付具有电子支付的特征,但因其与移动通信技术、无线射频技术、互联网技术相互融合,又具有自己的特征。
其特征有:(1).移动性,随身携带的移动性,消除了距离和地域的限制。
结合了先进的移动通信技术的移动性,随时随地获取所需要的服务、应用、信息和娱乐。
(2).及时性,不受时间地点的限制,信息获取更为及时,用户可随时对账户进行查询、转账或进行购物消费。
(3).定制化,基于先进的移动通信技术和简易的手机操作界面,用户可定制自己的消费方式和个性化服务,账户交易更加简单方便。
(4).集成性,以手机为载体,通过与终端读写器近距离识别进行的信息交互,运营商可以将移动通信卡、公交卡、地铁卡、银行卡等各类信息整合到以手机为平台的载体中进行集成管理,并搭建与之配套的网络体系,从而为用户提供十分方便的支付以及身份认证渠道。
对于支付方式方面,移动支付使用方法有:短信支付、扫码支付、指纹支付、声波支付等(1).短信支付,手机短信支付是手机支付的最早应用,将用户手机SIM卡与用户本人的银行卡账号建立一种一一对应的关系,用户通过发送短信的方式在系统短信指令的引导下完成交易支付请求,操作简单,可以随时随地进行交易。
手机短信支付服务强调了移动缴费和消费。
(2).扫码支付,扫码支付是一种基于账户体系搭起来的新一代无线支付方案。
在该支付方案下,商家可把账号、商品价格等交易信息汇编成一个二维码,并印刷在各种报纸、杂志、广告、图书等载体上发布。
用户通过手机客户端扫拍二维码,便可实现与商家支付宝账户的支付结算。
最后,商家根据支付交易信息中的用户收货、联系资料,就可以进行商品配送,完成交易。
(3).指纹支付,指纹支付即指纹消费,是采用目前已成熟的指纹系统进行消费认证,即顾客使用指纹注册成为指纹消费折扣联盟平台会员,通过指纹识别即可完成消费支付。
(4).声波支付,则是利用声波的传输,完成两个设备的近场识别。
其具体过程是,在第三方支付产品的手机客户端里,内置有“声波支付”功能,用户打开此功能后,用手机麦克风对准收款方的麦克风,手机会播放一段“咻咻咻”的声音。
最后,纵观其发展趋势,国内移动支付不同商业模式并存,运营商、金融机构、移动支付第三方虽然已经在不同程度上建立起合作关系,但总的来看,主导者、合作方以及运营模式不统一;此外,不同主导方所采用的技术方案有差别,实现移动支付功能的载体及其工作频段不统一,分别工作于13.56 MHz和2 GHz频点。
上述两方面的差异,提高了国内移动支付推广的成本,为国内移动支付更快的普及带来了一定的障碍。
在移动端电子支付领域里,还有着诸多挑战。
(1).交易的安全问题未能妥善解决移动支付的安全问题一直是移动支付能否快速推广的一个瓶颈。
信息的机密性,完整性,不可抵赖性,真实性、支付模式、身份验证、支付终端(手机)的安全性、移动支付各环节的法律保障不健全(合同签订、发货、付款、违约、售后责任、退货、纳税、发票开具、支付审计等。
2014年腾讯管家发布“移动支付安全升级版”,在业内首创移动支付“前、中、后”闭环保护,为移动支付的支付终端安全性提供保障,国家法律保障不健全,交易安全问题仍未能妥善解决(2).行业标准尚未能完全完善统一从国内移动支付业务的开展情况看,仍然缺乏统一的被广泛认可的支付安全标准。
首先应加强用于移动支付安全保障的信息安全基础和通用标准的研制,为移动支付的安全保障提供基础性技术支撑;同时,加强支撑移动支付业务应用的RFID标准的研制,突破RFID空中接口安全保障技术,加快具有自主知识产权的RFID空中接口协议的制定;国内移动支付产业链中各部门应加强合作,制定通用的移动支付安全保障流程、协议、安全管理等标准,保障移动支付业务系统的互联互通,促进移动支付产业的安全、快速、健康发展。
只有一个相对完善的行内标准才能给用户提供一个诚信的支付环境。
(3).诈骗电话及短信诈骗短信、骚扰电话也造成了一定的手机支付风险。
腾讯移动安全实验室监控到,诈骗分子除了通过诈骗骚扰电话诱导手机用户进行银行转账之外,主要还是通过发送带钓鱼网址或恶意木马程序下载链接的诈骗短信,这些恶意钓鱼网址往往会诱导用户登录恶意诈骗网址等,引导用户进行购物支付,中奖钓鱼类诈骗已呈现多发趋势。
其中重点案例有三类,网银升级、U盾失效类诈骗,社保诈骗及热门节目中奖诈骗。
2.移动电子支付应用技术(负责人:)目前近距离移动支付有三种主流技术方案:NFC、SIMPASS、RF-SIM,这三种方式都是通过无线射频信号实现信息传输,区别在于:第一、NFC的射频单元集成在手机上,需要改造手机方可投入使用;而SIMPASS、RF-SIM是集成在SIM卡上,无需改造手机。
第二、RF-SIM 载波频率为2.4G,SIMPASS和NFC为13.56M。
NFC为手机内置式,需要更换手机,SIMPASS、RF-SIM则不用更换手机。
SIMPASS技术成熟,但存在使用不便的问题。
RF-SIM天线体积较小,信号穿透能力较强,较为适用于近距离手机支付。
SIMPASS双界面SIM卡是建立在SIM卡上的单芯片NFC实现方案,所以又称为Single-CardNFC(SC-NFC),它把传统NFC的功能全部都集成到SIM上,天线外置,从而实现移动支付功能。
该方案是集高安全,低成本,多兼容,易推广四大优势于一身的移动现场支付解决方案。
SIMPASS是一种双界面SIM卡技术,SIMPASS在原有的SIM卡上直接集成非接触式智能卡,并将天线布置在手机背板上,实现移动支付和其他非接触智能卡的功能。
可通过两种方法实现,一种是定制手机方案,这种方案将天线组件内置在手机之中,手机中只要装入SIMPASS卡片就可以实现非接触通信。
另一种是低成本天线组方案,这种方案不需要对手机进行任何改造,整个系统包括SIMPASS卡片和一个与之配合的天线组件,只需将SIMPASS 卡片和天线一起安装在手机中便可工作。
RFSIM卡是可实现中近距离无线通信的手机智能卡。
它通过将最新的射频技术集成到手机SIM卡里,使手机使用者仅需要更换一张智能卡,便可以使现有的手机变成类NFC手机。
不但拥有普通SIM卡的所有功能,还拥有一个可代替钱包、钥匙和身份证的全方位服务平台。
RF-SIM卡既具有普通SIM卡一样的移动通讯功能,又能够通过附与其上的天线与读卡器进行近距离无线通信,从而能够扩展至非典型领域,尤其是手机现场支付和身份认证功能。
RF-SIM支持接触与非接触两个工作接口,接触接口负责实现SIM卡的应用,完成手机卡的正常功能,例如:电话、短信功能等。
于此同时,非接触界面可以实现非接触式消费、门禁、考勤等应用。
并且由于支持空中下载相关规范(OTA和WIB规范),RF-SIM卡的用户能够通过空中下载的方式实时更新手机中的应用程序或者给帐户充值,从而使手机真正成为随用随充的智能化电子钱包。
1)技术原理RF-SIM支持市面所有的移动手机,可以通过手机屏幕读取其中的数据,还可以通过手机键盘对其进行控制操作,远非普通智能卡可比拟。
1 SIM卡部分用于正常的手机移动通讯、鉴权,仅用作与手机的物理连接;2 内置软件用于管理高安全度的RF-ID、内置e-credit电子信用卡、EMV电子钱包以及其他基于mifare逻辑的VIP会员卡;3 使用微型RF模块并通过内置的天线与外部设备通讯。
NFC(Near Field Communication)技术是最早提出的短距离手机支付解决方案,通过集成在手机电路板中的射频控制芯片实现手机和消费终端的互联。
该技术最初由索尼和飞利浦共同开发,2002年成为ISO/IEC 18092国际标准。
目前采用这一标准的主流手机制造商有诺基亚、三星、NEC、苹果。
SWP技术方案虽然是将NFC模块内置于手机基板上与SIM卡模块分离开,但可以通过SIM卡的SWP引脚进行通讯和控制。
NFC手机因为射频芯片直接集成在其硬件电路中,因此能够调动硬件资源,实现双向近距离无线通信能力(手机内信息既能够被读卡器读取,手机本身也能作为读卡器,还能实现两个手机间的相互通信),从而其应用潜力显著加强。
同时也正是因为这一点,普通手机用户需要更换新的手机才能开通手机支付业务,这是该技术大面积推广的最大障碍。
智能SD卡移动支付,在尽量避免改动手机主板和SIM卡的原则下,将RFID模块放置在智能存储卡中。
这样做的优点在于不需要改动手机,支付功能可以随SD智能存储卡迁移至PC机平台或者其他移动终端平台上。
智能SD卡技术方案具有以下特点:1 运算安全性SD智能存储卡内置智能安全芯片,数据加/解密、数字签名、签名验证等密码运算都在安全芯片上进行,各种密钥在使用中均不出卡。
2 存储安全性SD智能存储卡根据业务的需要,分为程序区、加密区、用户存储区等,私钥和动态密码算法的共享密钥保存在卡的安全区内,卡片具有自毁功能,保证机密信息不可导出。
支持带权限管理功能的访问控制。
支持大容量的高速存储。
3 认证安全性客户端实现的安全连接协议具有双向认证功能,保证客户端和服务器端都无法伪造。
敏感信息在传递过程中都通过安全通道来传输。
能够有效防止中间人攻击、网络嗅探攻击,也能够阻止钓鱼网站的侵扰。
4 多功能性,SD智能存储卡内置无线射频芯片,符合金融领域标准,可配合无线POS实现现场支付、移动POS等多种移动支付、手机银行等应用。
5 使用便利性符合终端用户的使用习惯,使用SD移动支付方案,用户无需更换手机和SIM卡/UIM卡,即可使用移动支付、近场支付功能。
和其他移动支付解决方案相比,无论在安全性、方便性、用户体验上都具有明显优势。
3.移动支付案例分析(负责人:)对于移动支付的分类,不同的角度有不同的分类方式。
1从支付账户分类,可以分为银行卡账户支付,话费账户支付,中间账户支付。
这里的中间账户一般指的是第三方支付。
2 按用户支付的额度,可以分为微支付和宏支付。
微支付:根据移动支付论坛的定义,微支付是指交易额少于10美元,通常是指购买移动内容业务,例如游戏、视频下载等。