按照移动支付远距离支付接入方式的不同,移动支付可以分为以下四类:
1.基于短消息(SMS)方式(包括基于STK 的支付接入方式)的支付
国内提供基于SMS 移动支付的典型是中国工商银行,工行在2004年正式在全国范围内推出基于短信的手机银行服务,为个人网上银行用户提供增值服务。
在以金融机构为主导的移动支付运营模式中,用户必须将手机原有的SIM 卡换成STK(SIM Tool Kit,用户识别应用工具)卡,STK 卡与SIM 卡一样都能够在普通手机上使用,但是STK 卡具有更高的存储量,能够运行应用软件。基于STK 卡的支付方式与基于SMS 的移动支付流程相似。中国银行、建设银行、招商银行等都曾提供过STK 手机银行,但在随后的发展中,多数都被其他类型的手机银行所代替。
(1)短消息SMS 业务。
短消息分为两类:一类是点到点短消息(SMS),一类是校区广播短消息(CBS),一般意义上提到的短消息主要指的是点到点短消息。
短消息SMS(Short Message Service)业务是一种在数字蜂窝终端上发送或接收长达140byte 字符的消息,并具有存储和转发功能的服务。短消息并不是直接从发送人发送到接收人,而始终通过SMS 中心进行转发。如果接收人处于未连接状态(可能电话已关闭或超出服务范围),则消息将在接收人再次连接时发送。
点对点短消息既是一种基本电信业务,又可以作为信息服务业务的数据传输载体提供增值业务,如信息点播服务及远程数据操作业务。由于短消息需在短消息中心存储转发,所以实时性较弱。
短消息业务以较低的延迟支持国际漫游,因此特别适合多用户寻呼、Email、语音邮件通知和消息类业务等应用,但具体提供给用户的各种功能和相应的收费在很大程度上仍依赖于网络运营商所提供的服务水平。已经有大量的应用可以使用计算机来接收和发送短消息。
(2)基于SMS 的移动支付流程。
主要采用的是点到点短消息模式,这种方式广泛在欧洲和亚洲使用,基于SMS 支付方式的支付流程参见图7-8。
图7-8 基于SMS 支付方式支付流程
① 用户通过短消息形式向移动支付平台请求内容服务;
② 移动支付平台收到请求内容后认证用户的合法性及账户余额,如果合法则向增值服务提供商请求内容,不合法则返回相应错误信息;
③ 增值服务提供商收到移动支付平台的内容请求后,认证移动支付平台的合法性,如果合法,则增值服务提供商发送请求的内容给移动支付平台,否则返回相应错误信息;
④ 移动支付平台从用户的账户中扣除相应费用,然后把收到的内容转发给用户,同时告诉用户付款结果;
⑤ 移动支付平台通知增值服务提供商转账成功。
在SMS 系统中,费用从用户的话费中扣除,账户的处理由移动支付平台来完成,银行不参与,因此SMS 系统仅适合小额的信息服务。SMS 方式移动支付的安全性主要由短消息的安全性决定。这种方式的优点是费用低廉、节省成本,符合手机使用群体以低成本享受高质量服务的期望。
2.基于USSD 方式的支付
(1)USSD 简介。
USSD(Unstructured Supplementary Services Data)即非结构化补充业务数据,是基于900/1800MHz 数字蜂窝移动网络的一种应用,遵循GSM02.90,GSM03.90,GSM04.90 标准。它是一种面向连接的基于会话的数据业务,在使用上与SMS 非常类似。用户可以在移动终端上按照规定的格式编辑USSD 字符串,然后发起USSD 请求。USSD 在非通话状态下使用独立专用控制信道,每个USSD 会话占用一个专用控制信道,传输速度约600byte/s;在通话状态下使用快速随机控制信道,传输速度约1000byte/s。USSD 第一阶段规范只支持移动台发起的USSD 操作,且只支持一次交互,因此只适合简单的业务;第二阶段规范引入了对网络发起的USSD 操作的支持,允许移动平台与网络间的持续会话。
USSD 是继短消息业务后在GSM 移动通信网络上推出的又一新型增值业务。USSD 业务与SMS 的主要区别在于SMS 采用的是存储转发方式,而USSD 业务系统采用的是面向连接,提供透明通道的交互式会话方式,是会话类业务的理想载体,具有响应速度快、交互能力强、可靠性高的特点,特别适合开展支付型、交易型的业务(如,银行转账、股票彩票业务、移动电子商务小额交易等)。大多数普通GSM 手机支持USSD 功能,可使手机用户在不换卡的情况下,采用菜单方式访问各项USSD 业务,有利于降低用户操作难度。
(2)基于USSD 接入方式的移动支付流程。
基于USSD 接入方式的移动支付流程如图7-9 所示。
图7-9 基于USSD 接入方式的移动支付流程
3.基于K-JAVA 方式(包括基于BREW 的支付接入方式)的支付
国内提供K-JAVA 方式手机银行服务的典型代表是兴业银行和工商银行上海分行。兴业银行K-JAVA 手机银行提供的服务主要包含两大类:外汇和银证。与基于短信方式的手机银行相比,基于K-JAVA 方式的手机银行界面更友好,输入输出更方便,网络传输更快;而与基于WAP 方式的手机银行相比,则存在必须先下载客户端的劣势。
(1)K-JAVA 及其规范。
K-JAVA 即J2ME(Java to Micro Edition),是Sun 公司专门用于嵌入式设备的Java 软件。利用K- JAVA 编程语言为手机开发应用程序,可以为手机用户提供游戏、个人信息处理、电子地图、股票等服务程序。J2ME 致力于消费产品和嵌入式设备的最佳解决方案,其遵循“对于各种不同的装置而造出一个单一的开发系统是没有意义的事”这个基本原则,将所有的嵌入式装置大体上区分为两种:一种是运算功能有限、电力供应也有限的嵌入式装置(例如:PDA、手机等);另外一种是运算能力相对较佳,并且在电力供应上相对比较充足的嵌入式装置(例如:冷气机、电冰箱等)。针对这两种嵌入式设备引入了两种规范:把上述运算功能有限、电力有限的嵌入式装置规范为CLDC(Connected Limited Device Configuration)规格;而另外一种装置则规范为CDC(Connected Device Configuration)规格。
(2)基于K-JAVA 接入方式的移动支付流程。
基于K-JAVA 接入方式的移动支付流程如图7-10 所示,以招商银行为例。
① 用户挑选商品后,由商家服务人员录入所买商品的详细信息,并按固定格式形成订单。用户核对完订单后告诉服务人员手持设备的号码。
② 商家对该订单和手持设备(如手机号)加密、签名后通过安全Internet 通道(SSL)发送给移动支付平台。
③ 移动支付平台收到消息后确认消息的来源,如果消息确实来自指定商家则对消息处理(如加密签名)后发送给移动用户。
④ 用户收到移动支付平台发来的消息后,进行验证,输入PNI 码,同意使用移动支付系统,然后确认所买的商品、消费额、商家标识及消息来源,如果消息正确,则同意支付。消息处理后传送给移动支付平台。
⑤ 移动支付平台确认消息正确后向银行发起转账请求。
⑥ 银行处理支付。
⑦ 移动支付平台收到转账成功的消息。
⑨ 商家收到支付成功的通知。
⑩ 商家为客户提供服务。
4.基于WAP 协议的方式的支付
目前,我国几乎所有银行都在着力提供WAP 方式的手机银行。其中发展成效最好的当属中国建设银行。早在2000年建设银行就已携手中国移动共同探索手机银行服务的研发,相继提供了STK 手机银行、BREW 手机银行(类似于K-JAVA 手机银行),2005年与中国联通合作在业内首次推出联通WAP 手机银行。该手机银行功能可形象地被表述为“手机理财+手机支付+手机电子商务”,它是国内首个大规模推出支持在线交易的金融服务,让我国手机银行服务的发展有了一次跳跃式的进步。随后又在2006年与中国移动合作推出移动WAP 手机银行。
图7-10 K-JAVA 接入方式支付流程
(1)WAP 简介。
WAP(Wireless Application Protocol)即“无线应用协议”,是一种向移动终端提供互联网内容和先进增值服务的全球统一的开放式协议标准,是简化了的无线Internet 协议。WAP将Internet 和移动电话技术结合起来,使随时随地访问丰富的互联网资源成为现实。WAP 服务是一种手机直接上网,通过手机WAP“浏览器”浏览WAP 站点的服务,可享受新闻浏览、股票查询、邮件收发、在线游戏、聊天等多种应用服务。WAP 由一系列协议组成,用来标准化无线通信设备。
WAP 由WAP 论坛(WAP forum,网址为www.wapforum.com)发布,WAP 论坛由爱立信、摩托罗拉、诺基亚以及无线星球(Unwired Planet)共同创建于1997年6月,其目标是通过WAP 这种技术,将Internet 的大量信息及各种各样的业务引入到移动电话、PALM 等无线终端之中。WAP 论坛的成员目前占据着超过90%的全球手机市场,同时又是领先的基础设施提供商、软件提供商。正是由于WAP 论坛成员有广泛的代表性,其制定的WAP 规范具有多厂商设备可以互操作的特点,使WAP 成为业界广泛接受和使用的无线信息网络连接方式。WAP 标准和其他技术文档可以直接从WAP 论坛上下载。
WAP 无线应用协议的产生,使移动设备能够直接访问国际互联网上的资源,WAP 可以支持目前使用的绝大多数无线设备,包括移动电话、FLEX 寻呼机、双向无线电通信设备等。目前,WAP 已经成为移动通信业中的一大热点,具有以下特点:
① WAP 是公开的全球无线协议标准,并且是基于现有的Internet 标准制定的。
② WAP 提供了一套开放、统一的技术平台。WAP 定义了一套软硬件的接口,实现了这些接口的移动设备和网站服务器可以使人们像使用PC 机一样,使用移动电话收发电子邮件甚至浏览Internet。
③ WAP 定义了一种XML(Extensible Markup Language)语法,被称作为无线标记语言WML(Wireless Markup Language);WML 是专门为小屏幕和无键盘手持设备服务的语言。
④ WAP 协议可以广泛地运用于GSM、CDMA、TDMA、3G 等多种网络。
⑤ 为保持现有的巨大移动市场,WML 用户的界面直接映射到现有的手机界面上。(www.daowen.com)
(2)WAP 应用体系结构。
WAP 的应用模型是基于WWW 的客户/服务器结构(即B/S 结构),客户方通过浏览器向Internet 上的服务器请求以标准格式表示的Web 页面内容;还针对无线和移动环境的特点对内容格式、通信协议等方面进行了优化和扩展;可以利用现有的大量应用开发工具(如Web 服务器、XML 工具等)。
WAP 的目标是利用其在Internet 上的对等WEB 结构,使内容提供商和移动设备之间的通信比在单独使用情况下更有效和省时。因此WAP 应用结构非常类似Internet 结构。一个典型的WAP 应用系统如图7-11 所示。
图7-11 WAP 应用体系结构
在一个WAP 应用系统中包括以下三种实体。
① 具有WAP 用户代理功能的移动终端。
典型的移动终端是WAP 手机,它相当于Internet 中的PC 机,在它的显示屏上运行有微浏览器(micro-browser),用户可以采用简单的选择键来实现WAP 服务请求,并以无线方式发送和接收所需的信息。WAP 终端使用WML 显示各种文字图像数据。
② WAP 代理。
WAP 代理是联系GSM 网与万维网的桥梁。它具有两方面的功能:一是进行协议的“翻译”,实现WAP 协议栈(WSP,WTP,WTLS 和WDP)与Internet 协议栈之间的转换;二是作为内容编码器,WAP 网关利用信息内容编码/解码器(Content Encoders and Decoders)把WAP 数据压缩编码,减少了网络数据流量,最大限度地利用无线网络缓慢的数据传输速率。同时,WAP 还采用了错误校正技术,确保网络浏览和数据过程不会因无线通信线路质量的变化而受到影响。
③ 应用服务器(或称为内容服务器)。
支持WAP 的Web 网站就存放在应用服务器上,服务器中存有用WML Script 及WML编写的WAP 应用,这些应用可以根据WAP 移动终端的需要而被下载,在不需要时可以从WAP 终端中卸载。
WAP 应用系统的基本工作过程如下:
WAP 移动终端上WAE(Wireless Application Environment)用户代理将编码后的HTTP请求通过无线接口,经由无线通信网络发送给WAP 代理。
WAP 代理解码请求后将其转换为标准的HTTP 请求提交给内容服务器(即应用服务器)。
响应信息经由应用服务器返回到WAP 代理。
如果应用服务器提供的是WAP 内容(即WML),WAP 代理可以从应用服务器上直接取回;如果应用服务器提供的是WWW 内容(即HTML),则需要先使用过滤器(例如:HTML过滤器),把WWW 内容转化为WAP 内容。
WAP 代理对响应信息进行编码并返回给移动客户端。
WAE 用户代理负责解释并显示响应数据。
无线应用环境WAE
无线应用环境是一个融合了WWW 和移动电话技术的通用应用开发环境。其主要目标是建立一个兼容的环境,以便让移动运营商和服务提供商能够在各种无线平台上高效、实用地建立应用程序和服务。无线应用环境WAE包括一个微浏览器环境,主要有以下功能:
无线标记语言
这种语言是一种与超文本标记语言HTML 相似,经过优化的轻量级标记语言。
WML 脚本语言(WML Script)
这是一种与JavaScript 相似的轻量级脚本语言。
无线电话应用(Wireless Telephony Application,WTA,WTAI)
它们是电话业务和编程接口。
内容格式
这是一组已经定义好的数据格式,包括图像、电话簿记录和日志信息等。
(3)WAP 安全机制。
WAP 环境的安全机制包括WIM(WAP Identity Module)、WIMScript(WAP Script Crypto API)、WTLS(Wireless Transport Layer Security)、WPKI(Wireless Application Protocol PKI)四个安全标准。
① WIM。
WIM 是安装在WAP 设备里的微处理器芯片,能够保存一些关键信息(如PKI 公钥和用户的私钥信息),WIM 通常使用智能卡实现。
② WIMScript。
WIMScript 是WIMScriptLib 库提供的应用编程接口,包含密钥产生、数字签名,以及处理一些常用的PKI 对象的函数。
③ WTLS。
WTLS 是基于互联网中的TLS 的传输层安全协议。WTLS 能够实现对通信参与方的认证,对WML 数据加密,并能保证WML 数据的完整性。WTLS 针对无线设备通信的低宽带特性进行了优化。
④ WPKI。
WPKI 为无线应用协议的PKI,是传统PKI 在无线应用环境中的优化扩展。详细内容参见本节安全部分。
(4)WAP 移动接入方式的支付流程。
WAP 移动支付接入方式的支付流程如图7-12 所示,以工商银行为例。从移动客户端开始,经过商家、支付网关并最后到达银行端;银行经过验证、处理后,向商家及移动终端发出反馈说明本次交易状态。其中银行与商家不进行直接通信,而是通过商家在银行注册的支付网关进行转发;对于移动终端,则由银行向其发送签名消息来完成通知过程。
图7-12 WAP 移动接入方式支付流程
具体而言,WAP 移动接入方式的支付流程可以分为五个阶段。与有线交易不同的是,移动客户在整个交易过程中并不是一直处于连接状态,移动终端向商家提供订购信息后便断开网络连接,等待从银行发来的支付确认签名短信。这种做法有效地节约了无线网络的带宽,也从经济上为客户节省了开支,是目前一种可取的办法。
交易过程从移动终端用户开始,可能有以下两种情况。
① 网上购物。
客户从商家主页获取商品信息并做出选购,当商家发回确认信息后,再由客户生成交易数据。
② 直接支付。
客户不需要浏览商家网站,而只是进行一种简单的支付行为。例如,客户可能到某个超市进行购物,付款时发现身上没带现金,也没带银行卡,因此,客户选择移动支付方式,从商家获得代表本次交易的交易号,并将交易号、金额、商家账号等信息输入移动设备后向商家服务器提出支付请求。
不论哪种情况,真正的支付流程以商家向客户端发送支付确认为标志,以上述直接支付情况为例,支付流程图的各步骤具体含义如下。
① 客户端移动设备访问商家服务器,并与商家WAP 网关建立安全连接。
② 商家提供未支付的交易查询,保证客户能够通过交易序列号查询出本次交易所需支付的金额。
③ 商家向支付平台发出连接请求,支付平台收到请求后向其发送自己的数字证书。如果商家验证支付平台证书通过,则将数据以平台的公钥加密,将交易数据以及商家自己的证书发送给支付网关。支付网关利用商家证书验证商家身份,如果通过验证,则证明商家身份合法,可以进行通信;否则,发出警告并断开连接。
④ 银行前置机是整个交易流程的最后一个处理环节,并且是银行内部系统的外部接口。银行前置机根据支付平台传过来的支付请求信息生成本行内部使用的命令,操纵内部数据库,完成转账过程。
⑤ 支付结果反馈。完整的反馈过程由银行端发起,银行端会同时向支付平台及客户端发送支付确认消息。由于支付平台及客户端在银行均有注册,所以可以根据对象的不同使用其公钥进行加密,并附加上保证数据完整性的数字签名进行反馈。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。