移动电子支付调查报告
2020-03-02 11:00:45 来源:范文大全收藏下载本文
电子支付与安全报告
——移动端电子支付调查报告
负责3移动支付案例分析
学院:管理学院 小组成员: 班级:
一.调查对象
移动端电子支付
二.调查目的
了解移动支付的定义及其相关的技术,并通过案例学习进一步加深了解,分析其未来发展的趋势 三.调查方式
网上搜集资料、与课程内容联动学习分析
四.调查结果
1.移动电子支付简介
移动支付属于电子支付方式的一种,也称为手机支付,是允许用户使用其移动终端(通常是手机)对所消费的商品或服务进行账务支付的一种服务方式。单位或个人通过移动设备、互联网或者近距离传感直接或间接向银行金融机构发送支付指令产生货币支付与资金转移行为,从而实现移动支付功能。移动支付将终端设备、互联网、应用提供商以及金融机构相融合,为用户提供货币支付、缴费等金融业务。
移动支付具有电子支付的特征,但因其与移动通信技术、无线射频技术、互联网技术相互融合,又具有自己的特征。
其特征有:
(1).移动性,随身携带的移动性,消除了距离和地域的限制。结合了先进的移动通信技术的移动性,随时随地获取所需要的服务、应用、信息和娱乐。
(2).及时性,不受时间地点的限制,信息获取更为及时,用户可随时对账户进行查询、转账或进行购物消费。
(3).定制化,基于先进的移动通信技术和简易的手机操作界面,用户可定制自己的消费方式和个性化服务,账户交易更加简单方便。
(4).集成性,以手机为载体,通过与终端读写器近距离识别进行的信息交互,运营商可以将移动通信卡、公交卡、地铁卡、银行卡等各类信息整合到以手机为平台的载体中进行集成管理,并搭建与之配套的网络体系,从而为用户提供十分方便的支付以及身份认证渠道。
对于支付方式方面,移动支付使用方法有:短信支付、扫码支付、指纹支付、声波支付等
(1).短信支付,手机短信支付是手机支付的最早应用,将用户手机SIM卡与用户本人的银行卡账号建立一种一一对应的关系,用户通过发送短信的方式在系统短信指令的引导下完成交易支付请求,操作简单,可以随时随地进行交易。手机短信支付服务强调了移动缴费和消费。
(2).扫码支付,扫码支付是一种基于账户体系搭起来的新一代无线支付方案。在该支付方案下,商家可把账号、商品价格等交易信息汇编成一个二维码,并印刷在各种报纸、杂志、广告、图书等载体上发布。用户通过手机客户端扫拍二维码,便可实现与商家支付宝账户的支付结算。最后,商家根据支付交易信息中的用户收货、联系资料,就可以进行商品配送,完成交易。
(3).指纹支付,指纹支付即指纹消费,是采用目前已成熟的指纹系统进行消费认证,即顾客使用指纹注册成为指纹消费折扣联盟平台会员,通过指纹识别即可完成消费支付。
(4).声波支付,则是利用声波的传输,完成两个设备的近场识别。其具体过程是,在第三方支付产品的手机客户端里,内置有“声波支付”功能,用户打开此功能后,用手机麦克风对准收款方的麦克风,手机会播放一段“咻咻咻”的声音。
最后,纵观其发展趋势,国内移动支付不同商业模式并存,运营商、金融机构、移动支付第三方虽然已经在不同程度上建立起合作关系,但总的来看,主导者、合作方以及运营模式不统一;此外,不同主导方所采用的技术方案有差别,实现移动支付功能的载体及其工作频段不统一,分别工作于13.56 MHz和2 GHz频点。上述两方面的差异,提高了国内移动支付推广的成本,为国内移动支付更快的普及带来了一定的障碍。
在移动端电子支付领域里,还有着诸多挑战。 (1).交易的安全问题未能妥善解决
移动支付的安全问题一直是移动支付能否快速推广的一个瓶颈。信息的机密性,完整性,不可抵赖性,真实性、支付模式、身份验证、支付终端(手机)的安全性、移动支付各环节的法律保障不健全(合同签订、发货、付款、违约、售后责任、退货、纳税、发票开具、支付审计等。
2014年腾讯管家发布“移动支付安全升级版”,在业内首创移动支付“前、中、后”闭环保护,为移动支付的支付终端安全性提供保障,国家法律保障不健全,交易安全问题仍未能妥善解决
(2).行业标准尚未能完全完善统一 从国内移动支付业务的开展情况看,仍然缺乏统一的被广泛认可的支付安全标准。首先应加强用于移动支付安全保障的信息安全基础和通用标准的研制,为移动支付的安全保障提供基础性技术支撑;同时,加强支撑移动支付业务应用的RFID标准的研制,突破RFID空中接口安全保障技术,加快具有自主知识产权的RFID空中接口协议的制定;国内移动支付产业链中各部门应加强合作,制定通用的移动支付安全保障流程、协议、安全管理等标准,保障移动支付业务系统的互联互通,促进移动支付产业的安全、快速、健康发展。只有一个相对完善的行内标准才能给用户提供一个诚信的支付环境。
(3).诈骗电话及短信
诈骗短信、骚扰电话也造成了一定的手机支付风险。腾讯移动安全实验室监控到,诈骗分子除了通过诈骗骚扰电话诱导手机用户进行银行转账之外,主要还是通过发送带钓鱼网址或恶意木马程序下载链接的诈骗短信,这些恶意钓鱼网址往往会诱导用户登录恶意诈骗网址等,引导用户进行购物支付,中奖钓鱼类诈骗已呈现多发趋势。其中重点案例有三类,网银升级、U盾失效类诈骗,社保诈骗及热门节目中奖诈骗。
2.移动电子支付应用技术
目前近距离移动支付有三种主流技术方案:NFC、SIMPASS、RF-SIM,这三种方式都是通过无线射频信号实现信息传输,区别在于:第
一、NFC的射频单元集成在手机上,需要改造手机方可投入使用;而SIMPASS、RF-SIM是集成在SIM卡上,无需改造手机。第
二、RF-SIM载波频率为2.4G,SIMPASS和NFC为13.56M。
NFC为手机内置式,需要更换手机,SIMPASS、RF-SIM则不用更换手机。SIMPASS技术成熟,但存在使用不便的问题。RF-SIM天线体积较小,信号穿透能力较强,较为适用于近距离手机支付。
SIMPASS双界面SIM卡是建立在SIM卡上的单芯片NFC实现方案,所以又称为 Single-CardNFC(SC-NFC),它把传统NFC的功能全部都集成到SIM上,天线外置,从而实现移动支付功能。该方案是集高安全,低成本,多兼容,易推广四大优势于一身的移动现场支付解决方案。SIMPASS是一种双界面SIM卡技术,SIMPASS在原有的SIM卡上直接集成非接触式智能卡,并将天线布置在手机背板上,实现移动支付和其他非接触智能卡的功能。可通过两种方法实现,一种是定制手机方案,这种方案将天线组件内置在手机之中,手机中只要装入SIMPASS卡片就可以实现非接触通信。另一种是低成本天线组方案,这种方案不需要对手机进行任何改造,整个系统包括SIMPASS卡片和一个与之配合的天线组件,只需将SIMPASS卡片和天线一起安装在手机中便可工作。 RFSIM卡是可实现中近距离无线通信的手机智能卡。它通过将最新的射频技术集成到手机SIM卡里,使手机使用者仅需要更换一张智能卡,便可以使现有的手机变成类NFC手机。不但拥有普通SIM卡的所有功能,还拥有一个可代替钱包、钥匙和身份证的全方位服务平台。 RF-SIM卡既具有普通SIM卡一样的移动通讯功能,又能够通过附与其上的天线与读卡器进行近距离无线通信,从而能够扩展至非典型领域,尤其是手机现场支付和身份认证功能。
RF-SIM支持接触与非接触两个工作接口,接触接口负责实现SIM卡的应用,完成手机卡的正常功能,例如:电话、短信功能等。于此同时,非接触界面可以实现非接触式消费、门禁、考勤等应用。并且由于支持空中下载相关规范(OTA和WIB规范),RF-SIM卡的用户能够通过空中下载的方式实时更新手机中的应用程序或者给帐户充值,从而使手机真正成为随用随充的智能化电子钱包。
1)技术原理
RF-SIM支持市面所有的移动手机,可以通过手机屏幕读取其中的数据,还可以通过手机键盘对其进行控制操作,远非普通智能卡可比拟。
1 SIM卡部分用于正常的手机移动通讯、鉴权,仅用作与手机的物理连接; 2 内置软件用于管理高安全度的RF-ID、内置e-credit电子信用卡、EMV电子钱包以及其他基于mifare逻辑的VIP会员卡; 3 使用微型RF模块并通过内置的天线与外部设备通讯。
NFC(Near Field Communication)技术是最早提出的短距离手机支付解决方案,通过集成在手机电路板中的射频控制芯片实现手机和消费终端的互联。该技术最初由索尼和飞利浦共同开发,2002年成为ISO/IEC 18092国际标准。目前采用这一标准的主流手机制造商有诺基亚、三星、NEC、苹果。
SWP技术方案虽然是将NFC模块内置于手机基板上与SIM卡模块分离开,但可以通过SIM卡的SWP引脚进行通讯和控制。
NFC手机因为射频芯片直接集成在其硬件电路中,因此能够调动硬件资源,实现双向近距离无线通信能力(手机内信息既能够被读卡器读取,手机本身也能作为读卡器,还能实现两个手机间的相互通信),从而其应用潜力显著加强。同时也正是因为这一点,普通手机用户需要更换新的手机才能开通手机支付业务,这是该技术大面积推广的最大障碍。
智能SD卡移动支付,在尽量避免改动手机主板和SIM卡的原则下,将RFID模块放置在智能存储卡中。这样做的优点在于不需要改动手机,支付功能可以随SD智能存储卡迁移至PC机平台或者其他移动终端平台上。
智能SD卡技术方案具有以下特点: 1 运算安全性
SD智能存储卡内置智能安全芯片,数据加/解密、数字签名、签名验证等密码运算都在安全芯片上进行,各种密钥在使用中均不出卡。 2 存储安全性
SD智能存储卡根据业务的需要,分为程序区、加密区、用户存储区等,私钥和动态密码算法的共享密钥保存在卡的安全区内,卡片具有自毁功能,保证机密信息不可导出。支持带权限管理功能的访问控制。支持大容量的高速存储。3 认证安全性客户端实现的安全连接协议具有双向认证功能,保证客户端和服务器端都无法伪造。敏感信息在传递过程中都通过安全通道来传输。能够有效防止中间人攻击、网络嗅探攻击,也能够阻止钓鱼网站的侵扰。
4 多功能性,SD智能存储卡内置无线射频芯片,符合金融领域标准,可配合无线POS实现现场支付、移动POS等多种移动支付、手机银行等应用。
5 使用便利性符合终端用户的使用习惯,使用SD移动支付方案,用户无需更换手机和SIM卡/UIM卡,即可使用移动支付、近场支付功能。和其他移动支付解决方案相比,无论在安全性、方便性、用户体验上都具有明显优势。
3.移动支付案例分析(负责人:
对于移动支付的分类,不同的角度有不同的分类方式。 1从支付账户分类,可以分为银行卡账户支付,话费账户支付,中间账户支付。这里的中间账户一般指的是第三方支付。2 按用户支付的额度,可以分为微支付和宏支付。微支付:根据移动支付论坛的定义,微支付是指交易额少于10美元,通常是指购买移动内容业务,例如游戏、视频下载等。宏支付:宏支付是指交易金额较大的支付行为,例如在线购物或者近距离支付(微支付方式同样也包括近距离支付,例如交停车费等)。3从运营主体分可以分为以移动运营为主体,以银行系为主体,以第三方支付企业为主体的移动支付。4按支付的结算模式,可以分为及时支付和担保支付。及时支付是指支付服务提供商将交易资金从买家的账户即使划拨到卖家账户。一般应用于\"一手交钱一手交货\"的业务场景(如商场购物),或应用于信誉度很高的B2C以及B2B电子商务,如首信、yeepal、云网等。担保支付是指支付服务提供商先接收买家的货款,但并不马上就支付给卖家,而是通知卖家货款已冻结,卖家发货;买家收到货物并确认后,支付服务提供商将货款划拨到卖家账户。支付服务商不仅负责资本的划拨,同时还要为不信任的买卖双方提供信用担保。担保支付业务为开展基于互联网的电子商务提供了基础,特别是对于没有信誉度的C2C交易以及信誉度不高的B2C交易。做得比较成功的是支付宝。5从技术手段上划分可分为远程支付和近场支付,远程支付指的指通过移动网络,利用短信、GPRS等空中接口,和后台支付系统建立连接,实现各种转账、消费等支付功能。而近场支付一般是指通过具有近距离无线通讯技术的移动终端实现本地化通讯进行货币资金转移的支付方式。
生活中有许多常见的移动支付例子。例如苹果的apple pay,微信的扫码支付,支付宝声波支付,运用nfc技术的闪付支付,以及手机银行支付。为了更好的说明移动支付方式,我们来进行apple pay,hce,闪付,paywave/paypa,微信,支付宝6种代表性移动支付方式的对比,从介质上看apple pay,Hce为手机,闪付,paywave,paypa为信用卡片,支付宝和微信是手机app。这些方式的发行机构也是各有不同的。从技术上看的话,前4个都运用了nfc技术,其中前2个也运用了tokenization(凭证化)技术(它能取代信用卡卡号,透过无线网络在设备间传输复杂的编码,而由于这些编码只能使用一次,因此就算遭到拦截、对诈骗集团也毫无用处),而支付宝和微信主要是二维码,条码,和凭证化技术综合运用。从使用方式方来看前4个都是用介质靠近支持nfc的pos机,其中hce还有安卓系统版本的要求,支付宝和微信主要是扫码,当然还有其他的如声波指纹等。对于密码,apple pay在国外是指纹验证的不需要密码,,在国内他类似于闪付是可能需要密码验证的,hce是需要密码验证的,paywave,paypa不需要,而闪付,支付宝,微信是有条件的免密免签。在使用前提条件方面,apple pay,hce,微信和支付宝都需要先绑定银行卡;apple pay,闪付和paywave需要支持nfc的pos机;闪付脱机圈存,联机不圈存;微信和支付宝还支持有扫码功能的pos机。对于收费对象,apple pay主要是银行其他为商户。在限额方面apple pay为单笔20000,hce为单笔5000,闪付为1000,paywave视发卡行而定,支付宝没特别限制,这指的是能自己改但一般默认不超过2万。,微信限额是和银行卡和零钱限额有关。
4.移动支付安全技术
移动支付渐成网民惯常的生活支付工具? 2013年1月到2014年4月,中国第三方移动支付交易规模结构呈现较大的发化。由宝宝类货币基金等一系列互联网金融产品交易带动,2014年各季度移动金融交易规模占比飞速提升,2014年占比接近50%,其余均在35%-40%之间。不此同时,移动消费所占比重日益增加,到2014年已绊占比近23.4%。随着移动互联时代的到来,为移动支付创造了新的使用场景,也使用户对移动支付和多种支付场景产生了理念化的新关联。比如:2014年,网民对于余额宝等货基的观念已绊从生息逐渐转化方便支付行为的现金管理工具;同时,移动支付也不社交、搜索等行为紧密结合,更多呈现出小额高频的支付特点。移动支付越来越成为继现金、银行卡外重要的支付组成部分。
要想保证在网上进行交易的安全性,首先要确保网上交易的载体——计算机网络的安全以及用户机终端的安全。有了计算机网络才有了电子商务交易,如果计算机网络不安全,可想而知我们在网上的交易肯定不安全。计算机网络安全的内容包括:计算机网络设备的安全、网络系统安全、数据库安全等。同时用户机终端的安全也会影响网上交易的顺利进行,如客户机上操作系统的漏洞、被植入木马、用户的不良使用习惯等。
上述两种安全问题不仅仅只存在于电子商务交易中,即使用户不使用计算机网络进行交易,而是进行普通的上网活动,也会受到这两种安全问题的威胁。由于非交易型的上网活动没有与金钱直接挂钩,用户如果碰到了这两种安全问题,受到的损失相对来说会小一些。 网上支付的安全除了上述两种安全问题外,还包括将传统的买卖交易搬到网上以后失去的一些在传统交易中不用考虑的安全性,包括以下几个方面:
(1)身份真实性。也称商务对象的认证性,传统的商务交易因为双方可以在见面后通过观察而不用担心身份的真实性,但网上交易的双方相隔甚远,互不了解,支付方不知道商家到底是谁,商家不能清晰确定银行卡等网络支付工具是否真实,以及由谁来支付和资金如何入账等。这就让一些不法商家或个人利用网络贸易的非面对面的特点进行欺诈活动有了可趁之机,所以需要为参与交易的各方提供可靠标识,使他们能正确识别对方并能互相证明身份。
(2)信息的完整性。网上交易简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。数据输入时的意外差错或欺诈行为,可能会导致交易各方信息的差异。另外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致交易各方信息的不同。假如有不法分子对支付的数据(如支付金额)进行修改而发生多支付或少支付的问题,那么势必给交易双方添加不少麻烦。
(3)不可否认性,也称不可抵赖性。在传统的商务交易中,双方可通过书面文件上的手写签名或印章来预防抵赖行为的发生,但在网上则是不可能的。因此就有可能出现这样的情况,当交易一方发现交易行为对自己不利时,可能会否认电子交易行为,这必然会损害另一方的利益。
(4)数据保密性。有关交易的各种信息,如付款人和收款人的标识、交易的内容和数量等,这些信息只能让交易的参与者知道,有时甚至要求只让参与方的部分人知道。因此网上支付就涉及到数据保密性的问题了。 移动支付安全解决方案,例如爱加密
爱加密提供移动支付安全状况及解决方案。立体化定制保护方案,包括安全评估及处理、dex三重保护、so文件加密、定制保护等四个方面。
1.通过爱加密的漏洞分析对apk包中的每一个文件进行风险检测,分析相关文件潜在的安全漏洞,一键生成安全分析报告。
2.针对安全分析报告中存在的漏洞,爱加密提供源码保护、APK防止二次打包、so库加密三项基础服务保证移动支付APK静态状态下的绝对安全。
3.爱加密分析师对移动支付类应用的APK评估结果制定企业定制安全解决方案。
5.移动支付未来发展趋势
移动支付灵活便捷。用户只要申请了移动支付功能,便可足不出户完成整个支付与结算过程。交易时间成本低,可以减少往返银行的交通时间和支付处理时间。利于调整价值链,优化产业资源布局。移动支付不仅可以为移动运营商带来增值收益,也可以为金融系统带来中间业务收入。截至目前,国内手机用户数已超过 6.6亿,位居全球第一。与之相应的是,国内手机支付的技术与产业模式也在逐渐成熟与清晰。据最新的行业分析调查报告称,2009 年中国手机支付市场规模将达到 19.74 亿元,从 2006 年到 2009 年的年均复合增长率为70.4o%。截至 2009 年 6 月末,全国手机支付定制用户总量突破 1920 万户,上半年共计实现交易 6268.5 万笔,支付金额共 170.4 亿元。此外,手机支付用户规模也将在今年之内增长到 8250 万人。以上数据表明,未来手机支付的发展前景无可限量,市场空间十分巨大。从某种意义上讲,对于我国手机用户的庞大数量,手机支付的推广与普及,除了可为电信运营商带来新的利润增长点,也有望改变手机用户此前的消费习惯。
随着智能手机的益普及和其他相关基础设施及法律法规的完善,移动支付已经开始进入高速增长期。移动支付的发展趋势是行业、交通、饮食、旅游业、娱乐业等其他的信息服务,实现电话支付,互联网支付,电视购物支付,移动支付等。面向校园、企业提供融人支付能力的信息化应用的综合解决,不但是支付,还可以实现后勤的管理服务,可以实现个人的通讯服务,比如手机通讯、互联网通讯,固话通讯,可以实现企业和校园外部商户消费服务,还有综合信息化服务,比如移动的 O A ,企业主机等。移动支付在技术上是 SIM 卡,用户卡加上 RFID 实现了应用和认证功能,不仅是通信工具,更是智能化的终端,起到认证,认证了才能支付。这主要对社会,市政、政府机关,行业等主管部门,原有的市政卡功能可以集合到手机里面,使得刷手机就可以,还可以进行医疗卫生,社会综合保险等的应用,拿一个手机就可以进行一卡通,煤气、水电表收费,交通,便利店等消费的使用。未来 5 年内小额支付仍是主流。由于移动互联网的发展还存在很多不完善的地方。从运营来看,移动支付在安全方面还没有建立起统一完善的规范和标准;从消费认知来看,移动互联网领域的诚信氛围相对不高;因此广大消费者目前对移动支付业务还比较谨慎,不愿意进行大额支付应用。而小额支付属于发生频率较高的支付行为,更追求方便和快捷,因此用户在移动支付应用上以小额支付为主。
人人范文网 m.inrrp.com.cn 手机版