移动电商安全支付实验报告

计算机学院

《电子商务与电子政务》实验报告

浅析移动电商安全支付解决方案

姓 名：

学 号： 班 级： 指导老师：

2013年 12 月 10日

一、移动电商的现状 .............................................. 3 1.1移动电商的现状............................................... 3 1.2移动电商的安全问题........................................... 3 二、 WPKI的技术模型............................................. 4 2、2 WPKI的部件与实现........................................... 5 2、3 WPKI技术的不足............................................. 6 三、 基于WPKI技术的安全支付方案 ................................ 7 四、方案分析 .................................................... 8 4、1可行性与优点分析............................................ 8 4.2方案缺点分析................................................. 9 五、结论 ........................................................ 9

引言

3G时代的来临，移动终端设备的日益普及，使移动支付迅速发展，而移动支付随身、实时、快捷的特性，解决一些传统支付无法解决的问题，提高传统商务流程的效率，促使其具有广阔的发展前景。但在发展过程中也在一定的问题，只有准确发现移动支付存在的问题及解决对策，才能更好的促进其在中国的迅速发展。而在各种问题中，威胁最大的便是移动电商安全支付的问题，提出一种安全的支付解决方案，是确保移动电商安全健康发展的必然。

一、移动电商的现状 1.1移动电商的现状

移动电子商务就是利用手机、PDA及掌上电脑等无线终端进行的B2B、B2C或C2C的电子商务。它将因特网、移动通信技术、短距离通信技术及其它信息处理技术完美的结合，使人们可以在任何时间、任何地点进行各种商贸活动，实现随时随地、线上线下的购物与交易、在线电子支付以及各种交易活动、商务活动、金融活动和相关的综合服务活动等。

2012年，中国移动电子商务市场规模达到了478亿元，较上一年增长了205.4%。而预计2015年中国移动电商的规模将达到2536.5亿元。并且每人的消费的平均力度和年龄范围布局也在飞速增长。

1.2移动电商的安全问题

在不选择移动电商的人们中，支付安全问题成了用户最为担心的问题，有36.9

的用户担心支付安全问题，移动端的安全隐患十分之多，不断成为了人们最担心。

从目前来看，主要有三大因素对移动支付的安全问题造成影响： 1.加密问题和即时性问题。加密问题和即时性问题是手机支付普及的主要障碍，虽然WAP功能的手机支付时，能够采用移动网络的加密技术，相对而言，并不能很有效的保证安全。如果引入短信确认实现手机支付的双重确认方式，又会因为短信的中继问题，有可能造成短信不能及时到达，影响支付的流程。

2.缺乏身份识别。身份识别的缺乏是限制移动支付应用的第二大原因。当手机仅仅当作通话工具时，密码保护并不是很重要。但作为支付工具时，移动信息化提高了手机等手持终端的重要程度，设备丢失、密码被攻破、病毒发作等问题都会造成重大损失。

3.缺失信用体系。信用体系的缺失是限制移动信息化应用的第三大原因。在手机支付中，一些小额支付可以捆绑在手机话费中，但手机话费透支、恶意拖欠十分常见，信用意识以及体系的不完善，也制约了移动信息化的普及、推广。 二、WPKI的技术模型 2、1 WPKI模型的简介

为了保证移动电商在支付的时候保证数据通信的加密，防止密码和验证信息被窃取，应该要引用更高于WAP技术的加密，因此，再次提出一个WPKI的技术来硬要的无线互联网的安全领域，保证其数据通信的加密。

WPKI即”无线公开密钥体系”．它是将互联网电子商务中PKI安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系．用它来管理在移动网络环境中使用的公开密钥和数字证书．有效建立安全和值得信赖的无线网

络环境。

它采用了优化的ECC椭圆曲线加密和压缩的X．509数字证书．它同样采用证书管理公钥．通过第三方的可信任机构一I认证中心fCA1验证用户的身份．从而实现信息的安全传输．无线公共密钥设施WPKI主要管理WAP网络中客户和服务器的公钥证书。

他的技术模型如下：

基本的WPKI组件包括终端实体应用(EE)、注册中心(RA)认证中心fC A1和PK1目录。WPKI中，终端实体应用 E)和注册中心rRA1的实现与传统PKI不同。而且需要一个全新的组件一PKI门户。WPKI体系的安全跟任何一个环节都有关系．它遵循的原理是木桶原理。WPKI体系有多安全是看这儿个环节安全的最低点，而不是最高点。所以要想设计一个安全WPKI体系。必须设计好所有的环节，尤其是WCA。 2、2 WPKI的部件与实现 各部件的功能主要如下：

l、嵌入EE

收发电子邮件有两种手段，(1)通过手机浏览器Opera是市场上比较流行的手机浏览器软件登陆电子邮件网站提供的移动电子邮件服务网站(2)在手机上设置接人点（用WAP OVER CPRS)和邮件发送和接受的服务器地址。象收发短信一样使用电子邮件服务。我们在手机终端中嵌入EE(终端实体应用程序)，它是为适应在WAP设备中运行而设计的优化软件，实现密钥管理和加密运算．其中包括产生。存储并允许访问用户公钥／密钥对；初始证书申请；证书更新请求；证书撤消请

求；查询、恢复和撒消证书信息；验证证书和读取证书内容；产生和验证数字签名。 2、WAP网关

WAP网关是WAP网络中重要的一个环节．它是连接客户端和服务器的桥梁。使得WAP终端可以访问其中的资源 从WAP终端发送的请求．在网关实现wAP协议栈与Internet协议栈之问的转换后．再向内容服务器传送：而从内容服务器返回 的信息，经网关编码后，转换为较紧凑的二进制格式．返回移动终端．以减少网络数据流量．最大限度地利用无线网络较为缓慢的数据传输速率。 3、PKI门户服务器

运行在有线网络上的服务器．它执行有线PKI中的RA功能，作为手机终端和现行PKI之间的连接桥梁，负责转换WAP客户给PKI中RA和CA互发的请求．PKI门户内嵌RA功能．实现与无线网络中的WAP设备和有线网络中的CA的互相操作 4、证书服务器(WCA）

在传统有线网络环境中，CA(认证中心)是PKI的信任基础，负责分发和验证数字证书．规定证书的有效期．发布证书撤销列表。在无线网络中．WCA相对于WPKI同样起着决定性的作用。因此正确定了WPKI的体系结构和认证方式后．着重于对WCA的设计。 5、目录服务器

提供用户身份信息和证书查询．保留最新的证书撒消列表 6、web服务器提供内容服务。 2、3 WPKI技术的不足

1、相对于有线终端，无线终端的资源有限，它处理能力低，存储能力小．需要尽量减少证书的数据长噬和处理难度。

2、有线网络和有线网络的通信模式不同．由于WPKI证书是IETFPKIX证书的一个分支．还需要考虑WPKI与标准PKI之问的互通性。

3、无线信道资源短缺、带克成本高、时延长，连接可靠性较低。因而技术实现上需要保证各项安全操作的速度。这是WPKI技术成功的关键之一 。 4、为了能够吸弓l更多的人利用WPKI技术从事移动商务等活动．必须提供方

便可靠和具备多种功能的移动设备，因此，必须改进移动终端的设计．以满足技术和应用的需要

5、就目前的应用情况采看，WPKI技术的应用更多的集中于获取信息飞订票、炒股等个人应用．缺乏更多、更广泛、更具吸引力的应用．这无疑会对w 技术和应用的发展起到一定的制约作用。 三、基于WPKI技术的安全支付方案 1.初始化

顾客、商家、移动支付中心分别到权威认证机构申请证书，生成数字证书和公钥私钥。

顾客在商家电子商务网站注册账号，并确定支付方式为手机话费，以及支付手机号；商家通过短信，确认手机主人身份。顾客在移动支付中心以实名手机信息注册，并与移动支付中心交换证书和公钥。实名手机信息内容有：手机号码、姓名、身份证号码、固定电话号码、住址、邮政编码。其次，在银联系统进行手机与信用卡帐号绑定，一旦手机话费余额不足时，可快速充值。商家也在移动支付中心注册账号，并与中心交换证书和公钥。顾客和商家拿移动支付中心证书、移动支付中心拿顾客和商家的证书到权威注册机构验证，确保正确无误。 2.手机交易安全支付流程

顾客使用手机浏览商务网站选择商品，将商品信息、用户编号、交货地址、使用移动话费支付方式等购买信息发给商家。商品信息包含内容：商品名称、规格、数量、价格、购买时间。商家收到购买信息后，产生订单合同，并同时产生惟一的交易合同号。

商家将订单合同信息、交易合同号、顾客手机号码，以及订货合同数字签名,使用D对称加密形成请求支付信息，再把DES密码使用移动支付中心公钥加密，然后一起发送到移动支付中心。 3、移动支付中心

首先，使用私钥解出密码，使用解密算法解出订货合同。其次，将订货合同、顾客现有话费（如果话费不足，加上提示）,使用加密，再把DES密码使用顾客公钥加密，形成请求确认合同信息。把请求确认合同信息发到顾客手机上。然后把交

易合同写入移动支付中心的记录交易的网站中，以便顾客商家查询和检查交易进展。如果没有收到顾客确认合同信息，则拒绝交易，购买过程到此终止。 4、顾客确认

首先对请求确认合同信息解密，确认订货合同无误。如果顾客看到话费不够，顾客把银行信用卡号、密码、转账命令及个人证书使用私钥签名，再用银行公钥加密，发送转账短信到银行。银行根据转账短信，把钱转到移动支付中心的顾客账号中。其次，对合同进行确认。把确认合同信息以及订货合同号使用顾 客私钥加密，通过手机发送到移动支付中心。

移动支付中心使用顾客公钥解密确认合同信息，从顾客账号中预扣货款；使用移动支付中心私钥加密请求发货通知，并把发货通知发给商家。 5、商家确认

商家根据通知发货，使用短信通知顾客收货，同时把订单合同号，货已发等信息加密后发送到移动支付中心。顾客收到货后进行验收，验收通过，把订货合同号、交易成功短信使用顾客私钥加密，使用手机向移动支付中心发送交易成 功短信。如果验收不合格，将货寄回商家，同时向移动支付中心发送交易不成功短信，并同时向商家和移动支付中心阐明交易不成功理由。如果顾客在规定时间内没有向移动支付中心发出交易成功或交易不成功信息，则移动支付中心自动按交易成功处理。 6、交易成功

移动支付中心收到交易成功短信后，将货款汇到商家账户。商家被退货到手后，向移动支付中心发出同意退款短信。移动支付中心将预扣款退回顾客账方案。 四、方案分析

4、1可行性与优点分析

1、移动支付中心为纽带的安全性高。在整个支付过程中，移动支付中心的支付管理系统是一个核心纽带，它完成对顾客商家身份确认、监督商家发货、代扣顾客货款等业务。

2、重要数据的机密性。为防止重要数据被非法用户所截获，使用了加密的手段实现保密，从而确保在传递过程中，只有顾客、商家、移动支付中心知道交

易的内容。使用加密技术，手机在传送顾客证书，传送顾客的银行账号和口令，以及传送各种个人的机密敏感信息，不会被轻易破译或盗用。

3、完整性。使用加密技术和以移动支付中心为纽带，可以防止其他方或非法入侵者对交易的内容进行修改，同时保障交易双方权益。

4、身份可确认性。通过数字证书验证，确保交易双方身份认证，防止欺诈行为的产生。顾客的身份还可以通过手机卡号确认。手机卡可以做到惟一和专属又不受时空限制，除移动通信服务商之外的其他机构或个人无法复制有效的同号手机卡。退一步讲，即便同号手机卡被人复制，通过移动网络控制中心也是很容易被发现的。何况还有账号和密码的保护。因此，该方案是安全可靠的。 4.2方案缺点分析

1、步骤复杂。由于方案中采用商家发订单合同到移动支付中心,移动支付中心把订单合同再转发给顾客手机,然后经过顾客使用手机确认订单合同后,移动中心才能告诉商家:货款己扣。还需要双方对购物对方评价,这对想马上支付的交易来说:步骤多,过程复杂。

2、传递数据比较多。本来手机速度慢带宽小,容易丢失数据,现在需要对传递指令和证书进行加密，并把它们传送到移动支付中心,对手机的处理能力是一个考验。 五、结论

随着3G时代的已经来临，移动终端用户数量的增加必将带动移动电子商务的发展。而且在未来很有可能移动电商将与传统的电商和更传统的市场商业形成三足鼎力的趋势。并且不止是购物，大量的虚拟货币和空间必将导致该领域形成巨大的利润。而在利润面前安全就是重要的问题，否则将导致整个产业的崩溃。所以，在大数据时代，大流量的语音和图片业务的网络速度以及无线环境下电子商务的安全性问题等因素如能得到很好的发展和改进，必将大大推动移动电子商务的发展。