王 紅 新， 楊 德 禮， 王 建 軍， 馬 慧

（大連理工大學(xué) 管理與經(jīng)濟(jì)學(xué)部，遼寧 大連 116024）

0 引 言

支付服務(wù)最大的難點是安全問題［1］.在不斷創(chuàng)新的電子商務(wù)環(huán)境中，支付服務(wù)的另一難點是柔性問題.柔性是互聯(lián)網(wǎng)環(huán)境下對E－服務(wù)的特別要求［2］，但同樣是安全與信任問題，使支付服務(wù)成為開放性服務(wù)的雷區(qū)，成為互聯(lián)網(wǎng)服務(wù)中幾乎唯一缺乏柔性的服務(wù)領(lǐng)域.

柔性涉及兩個方面.一是支付系統(tǒng)本身架構(gòu)的柔性.隨著電子商務(wù)的發(fā)展，會有更多新的服務(wù)模式或服務(wù)中介誕生，如果支付系統(tǒng)不具備架構(gòu)的柔性，在新的中介服務(wù)增加或舊的服務(wù)中介撤離時就不能很好地適應(yīng)，將面臨大的系統(tǒng)修改甚至被淘汰.二是服務(wù)的柔性.電子商務(wù)的發(fā)展一定是朝著更便利客戶，給客戶最大選擇自由度的方向發(fā)展.客戶會在不同的交易場合（時間、地點、心情、交易對象），不同的賬戶狀況（資金余額、積分折扣）下有意愿地選擇不同的銀行（或其他支付平臺）與支付方式來進(jìn)行結(jié)算，未來的系統(tǒng)必須能滿足這種需求［3］.這就需要系統(tǒng)與系統(tǒng)之間可以方便地柔性地轉(zhuǎn)換.

傳統(tǒng)支付系統(tǒng)以及現(xiàn)有的移動支付系統(tǒng)大都缺乏柔性，總是各建各的基礎(chǔ)設(shè)施、銀行網(wǎng)關(guān)、支付流程與協(xié)議，系統(tǒng)的骨干架構(gòu)是固定的，支付流程與支付信息的傳遞路徑也是固定的.這種剛性的、相對封閉的模式帶來系統(tǒng)與系統(tǒng)之間難以通用、難以協(xié)調(diào)，資源難以共享，支付服務(wù)難以柔性適應(yīng)日新月異的商務(wù)創(chuàng)新與發(fā)展等問題.

不少研究提出了支付系統(tǒng)的柔性問題，指出這是支付系統(tǒng)發(fā)展的方向與趨勢［4－5］.解決柔性的最好方法是模塊化，分解系統(tǒng)并使各部分之間去耦，使之可以很好地柔性重組［6－7］.一些研究曾在支付系統(tǒng)的柔性方面作出努力［7－10］，力圖找到一種通用的支付模式，但它們大多局限于商戶與客戶的可擴(kuò)展方面，多以一個通用的接口模塊覆蓋不同的終端（商戶、客戶），系統(tǒng)的骨干架構(gòu)是不變的，支付信息的傳遞路徑也是不變的；文獻(xiàn)［11］指出過程虛擬化對認(rèn)證需求較高時線下認(rèn)證的必要性；文獻(xiàn)［3、12］給出柔性的跨多個系統(tǒng)與多種支付方式的方案，但局限于多個MNO之間，且是客戶單方在線的.目前還沒有看到支付系統(tǒng)架構(gòu)（或信息傳遞路徑）柔性且交易雙方在線的支付模式方面的研究.

支付系統(tǒng)架構(gòu)的柔性牽涉信任與安全問題，這也許正是這種柔性遲遲未得到解決的重要原因.當(dāng)架構(gòu)是固定的，架構(gòu)骨干間的信任關(guān)系容易建立，而柔性架構(gòu)就需要有新的認(rèn)證方法與建立信任的方法.

文獻(xiàn)［13］在對大量現(xiàn)有的互聯(lián)網(wǎng)支付系統(tǒng)、移動支付系統(tǒng)以及中國國家現(xiàn)代化支付系統(tǒng)（CNAPS）研究的基礎(chǔ)上，提出了一種基于預(yù)信任與公共服務(wù)域的柔性在線移動支付模式（flexible on－line mobile payment model based on pre－trust and p－pervice－domain system），簡稱為FMPTS.

定義預(yù)信任為本次在線支付發(fā)生之前，交易各方預(yù)先建立的信任關(guān)系，主要指在現(xiàn)實世界中商戶（產(chǎn)品或服務(wù)提供商）、商區(qū)（商業(yè)平臺）及其他各中間服務(wù)商、支付服務(wù)商之間建立的信任關(guān)系（不包括客戶與商戶之間）.這個關(guān)系可以經(jīng)實地考察、當(dāng)面實物認(rèn)證（證件、證書、印鑒、紙質(zhì)合同等）、雙方合作實踐建立.這個信任關(guān)系最終以電子證書的方式預(yù)存在這些相互認(rèn)證與信任實體的服務(wù)器中.而公共服務(wù)域指一國或一個區(qū)域的銀行間支付清算系統(tǒng)加公共支付數(shù)據(jù)服務(wù)，在現(xiàn)實生活中，這個域已經(jīng)或正在一些國家建立起來（如歐盟的 SEMOPS［14－15］，中國的 CNAPS、CUPN［13］，美國的 ACH［16］）.

FMPTS充分應(yīng)用預(yù)信任以及分層認(rèn)證模型來解決支付信息在廣袤的互聯(lián)網(wǎng)中跨平臺傳遞問題，應(yīng)用公共服務(wù)域解決用戶對所有銀行、多種支付方式的跨行服務(wù)需求及支付安全問題.支付信息的傳遞路徑不是固定的，而是可以按每次交易對支付的具體需求在商務(wù)信任關(guān)系中動態(tài)重建，即它是柔性的.客戶與商戶可以根據(jù)自己的需求與信任選擇不同的支付平臺與支付服務(wù)商.相應(yīng)的FMPTS協(xié)議采用多種安全方案與技術(shù)，強(qiáng)調(diào)線上與線下認(rèn)證的結(jié)合，在協(xié)議中體現(xiàn)交易的不可抵賴性，可追蹤性，可滿足支付服務(wù)靈活性與安全性需求.

1 基于預(yù)信任與公共服務(wù)域的柔性在線移動支付模式

1.1 模式的目標(biāo)

模式的目標(biāo)為使移動互聯(lián)網(wǎng)環(huán)境下的在線支付活動具有最大的柔性，即通過移動設(shè)備

（1）任一客戶可以與任一商戶構(gòu)成交易與支付關(guān)系；

（2）客戶可以選擇任何偏好的支付服務(wù)商（銀行或某個第三方支付），選擇任何偏好的支付方式，即滿足跨平臺支付服務(wù)柔性；

（3）形成的支付信息可以通過不同的傳遞路徑傳遞到不同的支付執(zhí)行機(jī)構(gòu)，即允許傳遞路徑中隨時加入新的傳遞者或減少某個傳遞者，也即可以滿足支付架構(gòu)的柔性；

（4）滿足支付系統(tǒng)必需的5個安全標(biāo)準(zhǔn)，并有很好的全過程監(jiān)督機(jī)制與爭議解決機(jī)制.

1.2 FMPTS基本架構(gòu)

FMPTS基本架構(gòu)如圖1所示.其中：A為手機(jī)客戶（付款人）；B為商戶（收款人），可以是任意產(chǎn)品或服務(wù)供應(yīng)商；BCOM為商區(qū)或社區(qū)，即B所在的商業(yè)平臺；TPP為有資質(zhì)的非銀行第三方支付平臺：這里的有資質(zhì)，是指經(jīng)權(quán)威機(jī)構(gòu)認(rèn)證的具有良好信譽(yù)與所需能力的第三方支付服務(wù)機(jī)構(gòu)，在中國即經(jīng)央行批準(zhǔn)的非銀行支付機(jī)構(gòu)；PDS為支付數(shù)據(jù)服務(wù)中心，提供銀行賬戶尋址服務(wù)，即可根據(jù)用戶手機(jī)號、商戶ID（或名稱）與各銀行賬號的綁定關(guān)系，將用戶手機(jī)號及商戶ID轉(zhuǎn)換成真正的銀行賬戶信息，如賬號、賬戶名等；CBP為跨行支付平臺，可聯(lián)通所有銀行的銀行間支付與清算平臺；CAP為證書與密鑰發(fā)行平臺，提供第三方可信的證書發(fā)行與基于身份密碼方案的密鑰發(fā)放；SMP為爭議管理平臺，接受爭議解決申請，調(diào)用在TPP與PDS存貯的交易證據(jù)送專門的仲裁機(jī)構(gòu)；OIM為其他中間代理，可以是一個或多個，它是可變化的，也是可包容各種電子商務(wù)創(chuàng)新服務(wù)的部分.支付系統(tǒng)的柔性主要針對這一部分，當(dāng)然也包括其他各部分的關(guān)聯(lián)關(guān)系與關(guān)聯(lián)方式的可變性.

圖1 FMPTS基本框架Fig.1 The basic structure of FMPTS

整個架構(gòu)將移動支付分成互聯(lián)網(wǎng)域與支付公共服務(wù)域PA.支付公共服務(wù)域由PDS、CBP及所有的銀行組成，構(gòu)成支付服務(wù)云.公共服務(wù)域參考了SEMOPS［14－15］的架構(gòu).只是不再要求客戶與商戶直接與自己的開戶銀行連接，而是可以通過各種中介去間接與之相聯(lián)，為互聯(lián)網(wǎng)上的商務(wù)創(chuàng)新與支付創(chuàng)新留下充分空間.

1.3 實現(xiàn)目標(biāo)的主要方法

支付處理分為支付的產(chǎn)生、確認(rèn)，支付的發(fā)送，支付的清算與結(jié)算［16］.以此作參照，要實現(xiàn)柔性支付模式也包括3個方面，即柔性需求的產(chǎn)生、確認(rèn)；載有柔性需求的支付指令的柔性傳遞；載有柔性需求的支付指令的執(zhí)行.

柔性需求的產(chǎn)生、確認(rèn)可通過移動設(shè)備瀏覽器，通過交易雙方協(xié)商過程標(biāo)準(zhǔn)化與協(xié)商結(jié)果標(biāo)準(zhǔn)化解決［3，12］，如通過通用購物車軟件或支付指令生成軟件來記錄并提取用戶跨支付平臺與支付方式的選擇，形成標(biāo)準(zhǔn)格式支付信息（訂單與支付指令）送到TPP或PA；而第三方面：執(zhí)行，只要支付信息正確傳遞到相應(yīng)的支付處理機(jī)構(gòu)，就可由該支付機(jī)構(gòu)完成；柔性問題最難實現(xiàn)的是第二方面：傳遞.跨平臺服務(wù)必然帶來支付指令傳遞終點的動態(tài)變化，采用不同中介服務(wù)將引起傳遞路徑的變化，這時需采用新的機(jī)制來解決.

（1）以預(yù)信任與分層認(rèn)證支持支付指令的柔性傳遞

預(yù)信任如引言中定義.支付指令生成后只在有預(yù)信任關(guān)系的節(jié)點中傳遞，這些節(jié)點之間有預(yù)先約定的共享會話密鑰及對方的簽名公鑰甚至對方的IP地址.每步傳遞先由信息接收者認(rèn)證信息來源，而后根據(jù)本次傳遞的最終方向來選擇與自己有預(yù)信任關(guān)系的后一級節(jié)點進(jìn)行傳遞.傳遞的路徑與參與者是柔性的，如圖2所示（圖中虛線表示可能的選擇.中間服務(wù)平臺與第三方支付服務(wù)中的節(jié)點構(gòu)成預(yù)信任集，IB表示付款行，AB代表收款行）.

圖2 支付信息傳遞路徑Fig.2 The transfer path of payment information

這種柔性傳遞除滿足傳遞路徑的柔性（打破各支付系統(tǒng)封閉的傳遞框架）外，還可以結(jié)合實際存在的商務(wù)分層結(jié)構(gòu)形成支付系統(tǒng)認(rèn)證空間逐級縮小的結(jié)構(gòu)，每個后一級節(jié)點只對信任圈中的前一級節(jié)點認(rèn)證且搜索空間逐級縮小.如商區(qū)對所屬商戶進(jìn)行認(rèn)證，中介對所接入的商區(qū)認(rèn)證，TPP對各種中介服務(wù)認(rèn)證，最終使PA中的PDS只需對有資質(zhì)的TPP進(jìn)行認(rèn)證（一百多個），大大減輕了PDS的接入壓力與認(rèn)證壓力，達(dá)到安全可控的效果.

線下認(rèn)證（預(yù)信任）使網(wǎng)絡(luò)交易不再顯得虛無縹緲，可以將真實空間與虛擬空間對應(yīng)起來，用戶一旦選擇了商戶，整個后續(xù)的搜索空間就變得有限與清晰.雖然支付鏈上（如圖3）TPPi之前各方的連接是在互聯(lián)網(wǎng)虛擬空間，用戶與商戶之間又不存在預(yù)信任關(guān)系，但由于商戶是處在一個有預(yù)信任關(guān)系的信任鏈條中，后續(xù)的各傳遞點也處在這個信任鏈條中，支付發(fā)生時容易相互識別，各方的行為也可受到信任鏈的相互制約，使網(wǎng)絡(luò)交易安全有了保障.

圖3 FMPTS支付鏈舉例Fig.3 The example of FMPTS payment chain

與沒有預(yù)信任關(guān)系的線上認(rèn)證相比，有預(yù)信任的線上認(rèn)證有很大優(yōu)勢.一是由于信任關(guān)系的預(yù)存省去了證書傳遞及追溯證書鏈的步驟，使線上認(rèn)證得到簡化；二是可更好地避免證書失效問題.

（2）以公共服務(wù)域支持跨銀行支付指令的傳遞與執(zhí)行并保證支付安全

公共服務(wù)域的設(shè)立為跨銀行服務(wù)提供了最大的便利.只要將載有選擇不同銀行、不同支付方式的支付指令送到PA，則無論選擇了哪一個銀行、哪一種支付方式都可以得到有效的傳遞與執(zhí)行.PDS的設(shè)立既可使互聯(lián)網(wǎng)域中不必傳遞銀行賬號等敏感信息（利于保密，便于用戶操作），又使每個商戶的收款賬戶處于可監(jiān)控狀態(tài)（只有經(jīng)銀行或PDS現(xiàn)場認(rèn)證的商戶才可在PDS注冊，只有注冊的商戶才能得到銀行系統(tǒng)的支付服務(wù)，且每次支付都會在PDS留下記錄），配合相應(yīng)的措施，以有效防范商業(yè)詐騙.

建立國家級的公共服務(wù)域還因其公信力帶來系統(tǒng)的可信性與可接受性［9，17］，使支付協(xié)議與流程的設(shè)計得到最大程度的簡化.統(tǒng)一的支付數(shù)據(jù)服務(wù)可以保證數(shù)據(jù)的一致性，資源共享性，可監(jiān)測性.

（3）采用多種安全模式與技術(shù)

如盲簽名［18］、基于身份的密碼方案［19］、訂單與支付指令分別打包并捆綁、不可信前提下的傳遞機(jī)制［20－21］、支付授權(quán)與支付指令分路分時、在傳遞中生成與保留支付證據(jù)［22－23］等方法保證模式滿足支付系統(tǒng)必需的5個安全標(biāo)準(zhǔn)，即可認(rèn)證性、授權(quán)性、完整性、保密性、不可否認(rèn)性［9，24］.

2 支付流程與協(xié)議

以手機(jī)網(wǎng)絡(luò)購物為例說明支付流程與協(xié)議.

2.1 基本符號表示

本文結(jié)合采用文獻(xiàn)［21，25］等協(xié)議的形式化描述和分析方法，即

X：主體X.

M：主體間發(fā)送的消息.

KX：主體X的公鑰.

［M］K：用密鑰K對M進(jìn)行非對稱加密后的密文.

signX（M）：用X的私鑰對消息M進(jìn)行數(shù)字簽名.這表示完成下述過程：X用自己的私鑰對M的摘要（哈希函數(shù)H（M））進(jìn)行加密.

verifyX（signX（M））：用X的公鑰對X的簽名驗證，是簽名的反過程.這表示完成下述過程：用X的公鑰解密signX（M），得到M的哈希值H（M）；再對原始信息M取哈希值得到H′（M），如果H（M）與H′（M）相等，則說明數(shù)據(jù)傳輸正確并且信息確實是由X發(fā)來的.

evid（M）：將M作為證據(jù)，等于［F，M］KA.其中F＝ ［signB（M）］KA－1，是 A 與 B的雙簽名.用KA加密F與M，使之被封裝起來，傳遞與存貯中不能被任一方打開，只有爭議時在A的參與下才可以打開.

KX［M］：用X的公鑰對M解密.

store［X］Y：在Y節(jié)點存儲信息X.

PPO：初始支付指令，PPO＝ ｛NO；ANM；BID；PID；SUM｝.

其中NO為交易編號；ANM為付款人A的手機(jī)號；BID是收款人－商戶的唯一標(biāo)識；PID為用戶A所選擇的，要完成付款任務(wù)的支付服務(wù)機(jī)構(gòu)ID；SUM為支付金額.

PX：客戶訂單（本文也指其他商務(wù)合約），PX＝｛NO；CNAME；CINF；CP；CNUM；ANM；BID｝.

其中CNAME為商品名稱；CINF為商品信息，如外觀、型號、品牌等；CP為商品單價；CNUM為商品數(shù)量；NO、ANM、BID含義同上.商品可以是多種.

PPI：銀行可執(zhí)行支付指令，PPI＝ ｛IN；RN；SUM｝.

其中IN＝付款人銀行賬號；RN＝收款人銀行賬號；SUM同上.

以上PPO與PX中的NO相同，保證兩者的關(guān)聯(lián)性.NO為PPO生成時刻的函數(shù).

協(xié)議假定：對移動用戶A的認(rèn)證采用基于身份ID的密碼算法［19］，即各商戶可以根據(jù)用戶的手機(jī)號及標(biāo)識生成用戶A的公鑰；用戶SIM卡存有用戶自己的私鑰（而不必存貯任何客戶賬號與銀行證書等敏感信息）；用戶與SIM卡綁定，與手機(jī)號綁定（不是與手機(jī)設(shè)備綁定）；手機(jī)制造商或運營商有技術(shù)措施保證SIM卡的唯一性、不可復(fù)制性，保證SIM卡中的密鑰不可非法讀出.

2.2 流程

（1）客戶A在手機(jī)上與商戶B的網(wǎng)頁交互，形成訂單.決定支付時，在選擇支付機(jī)構(gòu)與賬戶（用別名）后，按下支付確定鍵.

（2）商戶網(wǎng)頁接收支付確認(rèn)，生成PX與PPO，分別簽名后送A.同時向A送出TPP的公鑰（非銀行支付下TPP由用戶選擇，否則由B選擇）.

（3）A解密、驗證并核對（PX與PPO將在移動設(shè)備上顯示出來），確認(rèn)則對PX進(jìn)行evid操作， 加 密PPO′（PPO′＝ ［signA（PPO），signB（PPO），PPO］）構(gòu)成加密信封，再與PX證據(jù)一起用TPP公鑰加密構(gòu)成二級加密信封，簽名后送B；否則不簽名，選擇修改，交易再開始回到第（1）步.

手機(jī)存貯PPO，可用于以后對銀行支付通知的自動核對.

（4）B驗證是A所發(fā)，將信封盲簽名后轉(zhuǎn)發(fā)商區(qū)BCOM.B同時向BCOM發(fā)送IDTPP，對后續(xù)整個傳遞鏈提示傳遞目標(biāo)；發(fā)送自己的標(biāo)識BID，便于支付機(jī)構(gòu)對盲傳遞信息的驗證（防止手機(jī)端對收款人的更改）.

本文對稀疏解混理論和技術(shù)進(jìn)行了描述，介紹了基于光譜信息的稀疏解混算法和基于空譜聯(lián)合的稀疏解混算法，綜述了國內(nèi)外研究成果，總結(jié)和分析了各類稀疏解混算法的優(yōu)缺點。指出基于空譜聯(lián)合的稀疏解混算法是未來的重要研究方向。

（5）BCOM驗證B，將B的信息盲簽名后轉(zhuǎn)發(fā)到自己信任的，且可以有路徑到達(dá)TPP的節(jié)點OIM1.

（6）OIM1驗證BCOM，而后將信息盲簽名傳遞到自己信任的下一個有路徑到達(dá)TPP的OIM2，依此類推，每一次傳遞都是后一節(jié)點驗證前一節(jié)點，然后簽名后向再后一級傳遞，依此類推.

（7）最后一個中介 OIMN將信息傳遞到TPP.TPP驗證OIMN，存儲evid（PX）作為交易的證據(jù)，以備后用.當(dāng)Y＝TPP則轉(zhuǎn)入支付程序并保存PPO′，驗證BID，否則進(jìn)入下一步.

（8）進(jìn)入銀行支付，加編支付指令序號PN，以備信息反饋.

（9）PDS驗證PPO中的BID是否與傳送來的BID相同（不同則中止支付）；根據(jù)NO進(jìn)行重放檢驗；需要時（大額交易或特別交易）將商戶信息送CAP審核；將PPO轉(zhuǎn)換為正式支付指令PPI；將BID（在付款行提示用戶A授權(quán)時用）與PPI、PN送CBP；PPO′備份留存PDS.

（10）…

圖4 協(xié)議信息流圖Fig.4 The flow graph of protocol information

從第10步開始是CBP及銀行之間的支付處理過程（即支付指令的執(zhí)行階段，充分利用原來CNAPS中的功能，如圖4中的Q10、Q13～Q17所示）以及銀行與客戶、商戶之間的交互過程（Q11、Q12、Q18～Q21）.其中兩點很重要：

一是付款行IB在執(zhí)行付款指令前必須向付款人A要求授權(quán)（要求密碼及支付確認(rèn)，Q11、Q12）；這個過程通過用戶與開戶機(jī)構(gòu)直接的安全通道（如短信、微信或 WAP），而不是原來的支付指令傳遞路徑.

二是支付完成后由消費者A的開戶行IB向A及時反饋支付情況（Q18、短信等），商戶B的開戶行AB向B及時反饋收款情況（Q19、短信等）.同時由CBP向PDS，再由PDS向TPP反饋支付完成情況以備后用（Q20、Q21）.

2.3 協(xié)議描述

（1）A→B：Q1.A確定好購物車內(nèi)容，決定支付.

（2）B→ A：Q2＝ ［signB（PX），signB（PPO），KB，KC，PX，PPO，KTPP］KA.／／ 銀 行 支 付 時KC＝KPDS，非銀行支付時KC＝0

（3）A →B：Q3＝ ［signA（Q3′），Q3′］KB，其中Q3′＝ ［evid（PX），Y，［PPO′］KY］KTPP.／／當(dāng)銀行支付時，Y＝PDS；當(dāng)非銀行支付時，Y＝TPP

（4）B → BCOM：Q4 ＝ ［signB（Q3′），Q3′，BID，IDTPP］KBCOM

（5）BCOM → OIM1：Q5 ＝ ［signBCOM（Q3′），Q3′，BID，IDTPP］KOIM1

（6）OIM1→ OIM2：Q6 ＝ ［signOIM1（Q3′），Q3′，BID，IDTPP］KOIM2，…

（7）OIMN→ TPP：Q7 ＝ ［signOIMN（Q3′），Q3′，BID］KTPP.store［evid（PX）］TPP

（8）TPP→PDS：Q8＝［signKTPP（［PPO′］KY），［PPO′］KY，BID，PN］KPDS，store［PPO′］PDS.／／此時KY＝KPDS

（9）PDS→CBP：Q9＝ （PPI，BID，PN）

（10）…

協(xié)議中，PDS與CBP及銀行間的認(rèn)證采用CNAPS的認(rèn)證方法.

當(dāng)交易雙方有異議，可向SMP平臺申請爭議解決.

在以上流程中，客戶A的各銀行付款賬戶以及商戶B的收款賬戶均需預(yù)先在PDS柜臺或銀行柜臺進(jìn)行認(rèn)證與注冊.商戶可通過MNO所提供的通用服務(wù)獲取手機(jī)號.

3 性能分析

主要從2.1中的柔性目標(biāo)與安全性目標(biāo)角度進(jìn)行分析.

3.1 滿足柔性目標(biāo)

（1）支付信息傳遞路徑與傳遞終點是可變的、柔性的，可以滿足客戶對不同支付平臺的跨平臺服務(wù)需求.

（2）支付信息傳遞過程中可以隨時加入新的中介與代理，可以滿足支付系統(tǒng)架構(gòu)的柔性，可適應(yīng)電子商務(wù)創(chuàng)新的需求.

（3）可滿足支付方式選擇的柔性.模式使互聯(lián)網(wǎng)域的所有支付活動只是支付信息的生成與傳遞，只要生成的支付信息足夠豐富（設(shè)不同支付方式標(biāo)志），就可以使支付信息到達(dá)執(zhí)行區(qū)（TPP或PA）后實現(xiàn)足夠豐富的支付方式.

3.2 滿足安全性目標(biāo)

以一個購買飛機(jī)票的案例對協(xié)議進(jìn)行檢驗、模擬，證明協(xié)議可以實現(xiàn)安全性目標(biāo).

（1）保密性：商戶只能看到客戶的手機(jī)號，看不到賬號，更看不到也接收不到客戶密碼（密碼與支付信息分時分路傳遞）；訂單只有客戶商戶可見，銀行看不到；銀行賬號只有PA域可見；其他中間傳遞機(jī)構(gòu)無論對訂單還是支付指令都既看不到也不可能修改.

（2）完整性：信息的整個傳遞過程采用了數(shù)字簽名，而對數(shù)字簽名驗證本身就保證了信息的完整性.因為有verifyX（signX（M））成立當(dāng)且僅當(dāng)KX［signX（M）］＝H（X），若信息傳遞中完整性出了問題（篡改或丟失），簽名的驗證也一定不成功.

（3）可認(rèn)證性：線下信任關(guān)系與分層認(rèn)證機(jī)制以及線上的逐級簽名認(rèn)證保證了商戶、各中間服務(wù)商、TPP與銀行之間的可認(rèn)證性.對客戶的認(rèn)證通過手機(jī)與賬戶的綁定關(guān)系以及支付時的授權(quán)（口令）認(rèn)證.

（4）授權(quán)：雖然為了簡化客戶操作，每次支付發(fā)起時并不要求客戶注冊，但每筆支付實現(xiàn)的最后時刻，支付機(jī)構(gòu)必然通過直接安全通道要求客戶授權(quán)，要求密碼，保證了支付安全.

（5）不可否認(rèn)性：由于支付信息產(chǎn)生、傳遞的每一步都有數(shù)字簽名，所有參與主體的行為都可追溯，都能區(qū)分責(zé)任.另外，SMP的設(shè)置、訂單證據(jù)evid（PX）在TPP的保留、支付發(fā)起證據(jù)PPO′及支付結(jié)果數(shù)據(jù)在支付機(jī)構(gòu)的保留可保證爭議發(fā)生時的可追溯性.例如：當(dāng)B否認(rèn)錯發(fā)了貨品（質(zhì)量、數(shù)量與訂單不符），客戶A可向SMP申請調(diào)出在TPP的訂單證據(jù)，即：

仲裁者在A的配合下解密，而后驗證KA［［signB（PX）］KA－1］＝ ［H（PX）］KB是 否 成立，如果成立，仲裁者可以將得到的訂單PX與A收到的貨單進(jìn)行核對，證明A的申述是否正確.

4 結(jié)論與展望

本文提出了新的柔性移動支付模式——FMPTS，通過采用預(yù)信任下的分層認(rèn)證模型及公共服務(wù)域使模式有較好的柔性，可以支持移動支付架構(gòu)的變化及用戶跨平臺服務(wù)需求.對支付系統(tǒng)資源共享、統(tǒng)一測控、標(biāo)準(zhǔn)化與開放性也做出有益探索.

與現(xiàn)有的其他移動支付模式研究相比，本文的主要特點如下：

（1）提出了支付系統(tǒng)架構(gòu)的柔性問題.給出預(yù)信任定義，并以線上線下信任相結(jié)合的方案解決移動支付指令的柔性傳遞問題.

（2）提出公共支付服務(wù)域PA的思路與方案，以解決跨銀行支付問題及支付資源共享問題.

（3）綜合運用各種安全技術(shù)解決支付指令傳遞中的認(rèn)證（包括跨平臺認(rèn)證）與安全問題，并使認(rèn)證程序得到簡化.

模式還存在一些局限性，如手機(jī)資源的局限性要求手機(jī)認(rèn)證程序與簽名加密算法足夠安全且簡單高效，但現(xiàn)在還未進(jìn)行多種方案嚴(yán)謹(jǐn)比較以得到最佳方案.另外，在跨行、跨平臺柔性系統(tǒng)方案的基礎(chǔ)上，對于支付資源共享的各方合作關(guān)系及利益分配機(jī)制也將是進(jìn)一步研究的方向.

［1］Dahlberg T，Mallat N，Ondrus J，etal.Past，present and future of mobile payments research：a literature review ［J］.Electronic Commerce Research and Applications，2008，7（2）：165－181.

［2］Kim D J，Agrawal M，Jayaraman B，etal.A comparison of B2Be－service solutions ［J］.Communications of the ACM，2003，46（12）：317－324.

［3］Huitema G， Kühne R， Meyer U，etal.Compensation： Architecture for supporting dynamicity and negotiation in accounting，charging and billing［J］.Computer Communications，2010，33（15）：1823－1833.

［4］Kreyer N，Pousttchi K，Turowski K.Mobile payment procedures：scope and characteristics［J］.E－Service Journal，2003，2（3）：7－22.

［5］Karnouskos S，Kauffman R J，Lawrence E P.Key guest editorial：research advances for the mobile payments arena［J］.Electronic Commerce Research and Applications，2008，7（2）：137－140.

［6］Peffers K， Tuunanen T.Planning for IS applications：apractical，information theoretical method and case study in mobile financial services［J］.Information and Management，2005，42（3）：483－501.

［7］Fischer M，Gall H，Manfred H.TUV－1841－2002－53towards a generalized payment model for Internet services technical ［R］.Vienna： Technical University of Vienna，2002.

［8］Chong C，Chua H N，Lee C S.Towards flexible mobile payment via mediator－based service model［C］／／ Proceedings of the 8th International Conference on Electronic Commerce.New York：ACM，2006：295－301.

［9］Kousaridas A，Parissis G，Apostolopoulos T.An open financial services architecture based on the use of intelligent mobile devices ［J］.Electronic Commerce Research and Applications，2008，7（2）：232－246.

［10］Peiro J，Asokan N，Steiner M，etal.Designing a generic payment service［J］.IBM Systems Journal，1998，37（1）：72－88.

［11］Overby E.Process virtualization theory and the impact of information technology ［J］.Organization Science，2008，19（2）：277－291.

［12］Bhushan B， Hall J，Kurtansky P，etal.OSS functions for flexible charging and billing of mobile services in a federated environment integrated network management［C］／／Proceedings of the 9th IFIP／IEEE International Symposium，IM 2005.Berlin：IEEE，2005：717－730.

［13］中國人民銀行支付結(jié)算司.中國支付系統(tǒng)發(fā)展報告［M］.北京：中國金融出版社，2007.Department of Payment and Settlement，People′s Bank of China.China Payment System Development Report ［M］.Beijing：China Finance Publishing House，2007.（in Chinese）

［14］Karnouskos S， Vilmos A， Hoepner P，etal.Secure mobile payment－architecture and business model of SEMOPS ［C］／／ European Institute for Research and Strategic Summit.Heidelberg：Spinger，2003：1－8.

［15］Karnouskos S，Hondroudaki A，Vilmos A，etal.Security，trust and privacy in the secure mobile payment service ［C］／／ Proceedings of the 3rd International Conference on Mobile Business.New York：ICMB，2004：1－8.

［16］蘇 寧.支付系統(tǒng)比較研究 ［M］.北京：中國金融出版社，2005 SU Ning.Payment System Comparison Research［M］.Beijing：China Finance Publishing House，2005.（in Chinese）

［17］Changsu K， Wang T，Namchul S，etal.An empirical study of customers′perceptions of security and trust in e－payment systems ［J］.Electronic Commerce Research and Applications，2010，9（1）：84－95.

［18］Fan Chun－i， Liang Yu－kuang.Anonymous fair transaction protocols based on electronic cash ［J］.International Journal of Electronic Commerce，2008，13（1）：131－151.

［19］LIN P，CHEN H Y，F(xiàn)ANG Y，etal.A secure mobile electronic payment architecture platform for wireless mobile networks［J］.IEEE Transactions on Wireless Communications，2008，7（7）：2705－2713.

［20］Carbonell M，Sierra J M，Lope Z J.Secure multiparty payment with an intermediary entity［J］.Computers and Security，2009，28（5）：289－300.

［21］Kungpisdan S.Accountability in centralized payment environments［C］／／Proceedings of the 9th International Symposium on Communications and Information Technology.Piscataway：IEEE，2009：1022－1027.

［22］Ou C M，Ou C R.SETNR／A：An agent－based secure payment protocol for mobile commerce［J］.International Journal of Intelligent Information and Database Systems，2010，4（3）：212－226.

［23］SUN Jin－yuan，ZHANG Chi，ZHANG Yan－chao，etal.SAT：A security architecture achieving anonymity and traceability in wireless mesh networks［J］.IEEE Transactions on Dependable and Secure Computing，2011，8（2）：295－307.

［24］Martinez P R，Rico N F J，Satizabal C.Study of mobile payment protocols and its performance evaluation on mobile devices ［J］.International Journal of Information Technology and Management，2010，9（3）：337－356.

［25］Marko H， Konstantin H，Elena T.Utilizing national public－key infrastructure in mobile payment systems ［J］.Electronic Commerce Research and Applications，2008，7（2）：214－231.