王菁

湖南涉外經(jīng)濟學(xué)院 湖南 410205

0 引言

隨著互聯(lián)網(wǎng)絡(luò)的迅速發(fā)展和移動通訊技術(shù)日漸大眾化，基于移動通訊和互聯(lián)網(wǎng)技術(shù)的移動電子商務(wù)逐漸滲透到大眾生活的方方面面，并成為一種重要的服務(wù)。所謂移動電子商務(wù)是指用戶使用手機、PDA等移動通信設(shè)備所進行的一種電子商務(wù)活動。對于大眾用戶來說，使用手機等移動終端進行電子商務(wù)活動時用得最多的是小額支付或微支付，如信息查詢、資料檢索和獲取收費服務(wù)等，收取的費用面額一般都非常小。這種支付機制有著特殊的系統(tǒng)要求，在滿足一定安全性的前提下，要求有盡量少的信息傳輸、較低的管理和存儲需求。正是由于移動電子商務(wù)的這些特點，適合于移動商務(wù)的微支付協(xié)議成了業(yè)內(nèi)研究的重點。本文介紹了幾種當(dāng)前典型的移動微支付協(xié)議，并綜合評價這些協(xié)議的優(yōu)劣，最后對移動微支付協(xié)議的現(xiàn)狀和發(fā)展趨勢給出了總結(jié)。

1 Millicent協(xié)議

Millicent是1995年由Compaq與Digital聯(lián)合開發(fā)的微支付協(xié)議，其基本思想是利用一個密鑰控制的單向散列函數(shù)來認證和驗證支付票據(jù)(Scrip)。一個票據(jù)代表了商家給顧客建立的一個賬號，在任何給定的有效期內(nèi)，顧客都可以利用該票據(jù)購買商家的服務(wù)。

1.1 Millicent的交易過程

Millicent微支付協(xié)議主要包含經(jīng)紀(jì)人、商家和顧客三個交易實體。經(jīng)紀(jì)人購買和銷售商家的票據(jù)作為對商家和顧客的服務(wù)形式。票據(jù)的產(chǎn)生有兩種方式，一種是商家自行產(chǎn)生票據(jù)，然后經(jīng)紀(jì)人從商家處購買大量票據(jù)，另一種方式是經(jīng)紀(jì)人從商家處獲得產(chǎn)生票據(jù)的授權(quán)。顧客在進行商品購買前需向經(jīng)紀(jì)人購買零售商的票據(jù)，如圖1。

圖1 Millicent支付模型

在商品購買過程中，顧客向商家發(fā)送一個購買請求request、商家的票據(jù)Sv和一個顧客共享密鑰CSK(Customer Shared Key)。CSK是中介產(chǎn)生的，并且被顧客與商家共享。

商家收到消息后，將Sv、request還有CSK一起Hash運算，如果Hash后的值與收到的Hash值一致，則證明收到的信息是有效信息。為了防止重復(fù)消費，商家查詢數(shù)據(jù)庫看這個票據(jù)是否已經(jīng)被消費過。如果沒有則表明這次購買合法，同時商家將響應(yīng)(reply)返回。如果這次并沒有消費完Sv中的金額，則商家還會返回一個剩余金額的 Sv’給顧客，然后顧客就可以使用Sv’進行下一次購買了。

1.2 Millicentd的特點及局限性

Millicent是一個設(shè)計簡單的微支付協(xié)議，很容易理解。在協(xié)議交互過程中沒有引入計算量大的公鑰加密算法，同時，Millicent的認證方式是離散化的，一般的支付協(xié)議都需要和銀行進行一次線下的確認，而Millicent只需要自己驗證自己的票據(jù)即可，無需中介進行第二次驗證。

在Millicent中，完全沒有采用公開密鑰算法，只是采用單向 Hash函數(shù)進行快速的計算，而且利用“離線”方式進行驗證。由于憑據(jù)是針對特定商家的，所以顧客不能驗證憑據(jù)的真?zhèn)危⑶裔槍γ恳粋€新的商家，顧客都要請求一個新的票據(jù)，Millcent對經(jīng)常更換商家的顧客效率不高。

2 PayWord協(xié)議

PayWord是1996年由麻省理工學(xué)院的Rivest及Shamir提出的基于信用的微支付協(xié)議。它使用叫做Payword的Hash鏈作為交換介質(zhì)，Hash鏈中的每個Payword代表一個小的價值單元。

2.1 PayWord的交易過程

PayWord也涉及到交易的三方：顧客、商家和經(jīng)紀(jì)人。顧客首先在經(jīng)紀(jì)人處建立完賬戶，然后由經(jīng)紀(jì)人發(fā)給顧客發(fā)一個Payword證書。利用Payword 證書，經(jīng)紀(jì)人授權(quán)顧客制造Payword鏈，以作為支付憑證提交給商家，商家可在以后通過經(jīng)紀(jì)人進行兌換，如圖2。

圖2 PayWord的支付模型

在第一次支付請求時，顧客計算并簽署針對某一特定Payword 鏈的承諾，即針對包含Payword 根和其他附加信息的簽名。顧客隨機提取某一個，并在此基礎(chǔ)上以相反的順序創(chuàng)建hash鏈，其中不是用于支付的Payword本身，而是該鏈的根。顧客把承諾和第i 個支付對同發(fā)送給商家，商家對承諾中簽名進行驗證，然后利用承諾來驗證支付對。在某一周期后(如一天)，商家把最后的支付對和所有顧客的承諾提交給經(jīng)紀(jì)人，經(jīng)紀(jì)人驗證通過以后，就從顧客的賬戶中扣除價值i 的貨幣轉(zhuǎn)移到商家的賬戶上。

2.2 PayWord的特點及局限性

與Millicent不同，PayWord在消費者與商家交易時可完全離線，不需要銀行的參與。支付交易中只需保留支付承諾和最后的支付對；系統(tǒng)的很多耗時操作是離線完成，如證書簽署和貨幣兌換，提高了效率，適合用戶對某一商家的經(jīng)常性訪問。

PayWord也有其本身的缺陷，例如沒有考慮交易的公平性，當(dāng)用戶向商家付費后，商家有可能不給用戶提供其購買的商品。協(xié)議對商家的這種欺詐行為在事前不能進行有效的預(yù)防，在事后也不能對其懲處，當(dāng)用戶較多時，這種欺詐行為獲得的非法收益積少成多，會相當(dāng)可觀。

3 中國移動小額支付協(xié)議MPTP

MPTP 協(xié)議是中國移動微支付系統(tǒng)采用的微支付協(xié)議。它是基于Payword 基礎(chǔ)上，由W3C 組織起草，于2002年3月由中國移動通信集團公司制定。

3.1 MPTP的交易過程

客戶和商家首先要到交易代理注冊賬戶，客戶還需要申請證書，證書用代理的公鑰簽名。代理接受賬戶申請，將證書發(fā)給客戶或商家。

交易過程中，客戶先發(fā)送一個包含支付根w0、客戶id、商家id及交易代理id等消息的支付憑證給商家。商家驗證支付憑證的有效性，如果有效則進行一系列支付鏈即Payword的傳輸，發(fā)送相應(yīng)消息給顧客，交易終止。如果客戶沒有提供支付憑證，則商家發(fā)生查詢包給交易代理用于認證該客戶。代理收到商家的客戶查詢包后驗證相關(guān)賬戶信息，決定是否授權(quán)此次交易，并將最后的決定結(jié)果發(fā)送給商家。商家收到代理的檢測反饋，如果通過檢測，則客戶與商家進行交易，交易流程同Payword 協(xié)議。

3.2 MPTP的特點及局限性

MPTP的優(yōu)點是在安全方案上可以用對稱加密也可以用公鑰加密算法，在支付方案上可以支持先付費方式，也可以支持后付費的信用方式。MPTP 比Payword 協(xié)議具有更好的公平性和更好的匿名性。發(fā)放給客戶的證書中沒有客戶地址等敏感信息，只有客戶標(biāo)志。

MPTP協(xié)議雖然繼承了Payword協(xié)議高效率的優(yōu)點，并且已經(jīng)克服了Payword協(xié)議的很多缺點，但是還有許多有待改進之處：如信息明文傳輸，不滿足保密要求的場合；公平性不好，在預(yù)支付的時候交易風(fēng)險由客戶方全部承擔(dān)；不同客戶選擇的payword支付鏈可能存在交叉重疊現(xiàn)象，為商家的欺騙提供了途徑；一條payword 鏈只能用于一個商家，當(dāng)客戶與多個商家交易時需要維護和保存眾多的hash鏈，開銷大等等，這些限制了MPTP協(xié)議的使用。

4 結(jié)束語

移動支付以其方便易行、支付成本低等優(yōu)點受到消費者的歡迎，并逐漸成為一種流行的支付方式。微支付是移動支付的一個重要部分，隨著微支付應(yīng)用的進一步深入，人們對微支付協(xié)議的效率以及安全性的要求將進一步提高。安全性與效率在微支付協(xié)議中是矛盾的兩個方面，如何將協(xié)議的安全性與高效性調(diào)和將是未來微支付協(xié)議研究的主要問題。同時，微支付協(xié)議的標(biāo)準(zhǔn)化、提高各系統(tǒng)間的互操作性以及提供單一支付點面向全球業(yè)務(wù)服務(wù)是微支付系統(tǒng)的發(fā)展總趨勢。

[1]KAPIL RAINA等,戰(zhàn)曉蘇等譯.移動商務(wù)安全實用指南[M].北京:清華大學(xué)出版社.2003.

[2]李明柱,李志江,楊義先.微支付機制及應(yīng)用分析綜述[J].計算機工程.2002.

[3]張安勤.移動支付技術(shù)綜述[J].上海電力學(xué)院學(xué)報.2006.

[4]Micro Payment Transfer Protocol (MPTP) Version 0.1.W3C Working Draft 22-Nov-95.http://www.w3.org/TR/WD-mptp-951122.