作者： 朱建明/中央财经大学 信息学院    
 
　　关键词： 移动电子商务；电子支付；微支付；安全

　　1 引言

　　移动电子商务融合了Internet、无线通信技术和电子商务，是指通过手机、个人数字助理（PDA：Personal Digital Assistant）和笔记本电脑等移动终端设备进行的商务活动。与传统电子商务（固定设备、有线连接）相比，移动电子商务的发展使电子商务的应用从千万级的互联网用户上升到了亿级的移动用户，市场前景更加广阔。在移动电子商务中，用户可以在任何时候、任何地方使用移动设备查找、选择及购买商品和服务，其中大多数商品和信息服务项目都是低值提供的，一般在几分到几元之间，其特点是交易量大、交易频繁、支付金额小，微支付系统就是专门用于这种小额支付的系统。当前的手机短信息服务是常见的一种应用，信息产业部2006年1月22日的统计数据显示，2005年我国短信市场收入超过300亿元，从中可以看到移动电子商务微支付的应用前景。此外，由于用户移动与漫游的特点，在支付过程中会涉及到多个运营商和服务商，支付过程表现为一种多方微支付。但是当前的电子支付方式远未满足移动电子商务此类应用的需求。

　　在移动电子商务中，用户使用移动设备通过无线网络在Internet上买卖商品、服务和信息。虽然现有的电子商务服务也可以用于移动环境，但由于传统电子商务与移动电子商务所依赖的基础设施不同（有线与无线），移动设备运算能力、存储能力、传输能力的局限性和无线网络的物理限制和技术限制，使得现有的电子商务支付方案很难直接应用于移动环境中。此外，由于无线通信的开放性，使得无线网络更容易受到安全攻击。在无线网络环境中，不仅原来在有线环境下的安全威胁依然存在，而且还会产生新的专门针对无线网络的安全威胁。另一方面，由于移动设备计算能力与可利用资源的限制以及较高的误码率，使得有线环境下的安全方案不能直接应用于无线环境中。因此，需要建立安全、高效、可信的移动电子支付平台，其中多方微支付是移动电子支付的重要内容。

　　本文提出一种新的适用于移动电子商务中多方支付环境的微支付方案，在这种方案中允许移动用户对提供服务的多方同时进行支付。我们所提出的方案是基于Hash函数，没有引入额外的通信负担和运算量大的公钥密码算法，以求获得较高的效率和较低的交易成本。在方案中，移动用户通过释放低值微支付代币流以获得连续服务，方案满足安全性、匿名性、高效性和轻负载的要求。

　　2 相关研究

　　移动电子商务的主要特点是灵活、简单、方便。通过移动设备进行安全可靠的电子支付是移动电子商务中的关键环节，是移动电子商务成功的基石。电子支付的发展过程经历了两个阶段，第一个阶段主要基于信用卡，第二个阶段引入了数字现金、电子支票、移动支付工具等。此外，在这个发展过程中引入了新的参与者作为服务提供商与用户之间的可信第三方，即支付服务提供商（PSP：Payment Service Provider）。典型的电子支付协议主要有基于信用卡的电子支付协议SET[1]、iKP[2]、SSL和3D等，其中iKP能够根据安全要求，实现不同的安全水平，也可用于微支付。基于数字现金的典型产品主要有ECash[3]。电子支票方案是通过买方的银行账户向卖方进行支付，如FSTC[4]和Netcheque[5]。以上这些支付协议在执行时都会产生较大的计算成本和通信负担，尽管具有较高的安全性，但对于多方微支付来说由于每笔交易的成本可能会高于支付金额，因而不适合用于移动电子商务的多方微支付环境。

　　移动支付有多种方式，可以直接转入银行、也可以使用用户电话账单或者实时通过专用预付账户支付，以满足不同的应用需求。微支付是移动支付的主要形式。微支付是指高效且频繁的小额支付，甚至可能会小到零点几分。为了获得较高的效率，保持较低的交易成本，微支付协议希望能够使通信负担和计算成本最小化。微支付方案通常使用轻量级的密码协议，并允许离线验证。对于微支付来说，其安全性的基础是“攻击者欺骗的代价要比可能获得的利益更高”。微支付方案有两种模型，即符号（Notational）模型和代币（Token）模型[6]。在符号模型中，用户传送具有支付价值的支付消息，基于这种模型的微支付方案主要有Millicent[7]、Micro-iKP[8]。在代币模型中，交易是通过交换代币进行的，基于这种模型的微支付方案主要有PayWord和MicroMint[9]。近年来，国内的学者也对微支付和多方微支付进行了相关的研究[10-13]，提出了改进的电子商务微支付方案。但是，这些方案在应用于移动电子商务环境时没有充分考虑无线网络的特殊性，存在计算成本高、协议交互轮数多、存在安全隐患等问题，不适用于多方微支付的情形[14,15]。

　　3移动电子商务多方微支付方案

　　在设计移动电子商务多方微支付模型时，除了要满足传统电子商务的基本要求，还需要考虑以下三个因素：

　　移动设备的运算能力有限，在移动设备端不能采用计算成本高的算法；

无线移动通信网络的带宽有限，且相对有线网络而言，误码率较高，所以协议中应尽量减少交换消息的长度和轮数；

　　用户身份的保密问题，应提供匿名服务。

　　在移动网络环境中，移动用户使用多种无线通信协议通过多个移动接入网络进行连接。在现实中存在许多彼此独立的公共的和专用的移动服务网络，这些网络有的是移动的，有的是固定的，也存在大量的增值服务提供商（VASP）提供增值服务。在这种环境下，用户可能处于多个移动网络区域内，可以选择满足要求的服务提供商，交易过程会涉及到多方。我们基于图1所示的多方微支付模型研究移动电子商务的多方微支付方案[14]。

　　在当前的微支付模型主要有三种，即记账模型、信用卡模型和电子支票模型。在记账模型中，每个顾客与不同的商家注册，以获得服务或商品，这种方式的交易费用低，但是不太方便。如果顾客想要从100个不同的商家购买商品，顾客就必须开设100个账户，记住100个密钥。对于信用卡模型，顾客通过与商家之间的安全信道传送信用卡号，但是信用卡的高成本不适合用于微支付。电子支票模型依赖于银行的层次结构来转移资金，如果系统是基于公钥体制，银行就必须提供在线密钥验证和撤销服务，这些服务器必须是对所有商家总是可用的。如果顾客和商家没有共享一个公共的账户服务器的话，一笔资金的转移至少涉及到三个账户服务器。而且在顾客提交申请之前，商家必须在线清理支票，这就意味着计算机系统和通信信道必须总是可靠的，这在无线环境下是不适合的。由于电子支票是电子现金的一个简化模式，因此电子现金模型不予考虑。基于上述分析，我们考虑借方记账模型作为微支付的基本模型。顾客的银行借方记入顾客的账户，以转移资金到商家的银行。商家的银行贷方记入商家账户，这一过程为借方记账模型。但是假设每个银行都为顾客提供在线转移服务是不现实的。相反，可靠的电子支付服务提供者（PSP）是处理顾客与商家之间的资金转移。

　　移动用户（MU）通过网络服务提供商（SP）接入移动无线网络，或固定网络。用户通过SP呼叫和发送数据包，并进行实时支付。这一连接可能通过一个或多个SP才能到达目的增值服务提供商（VASP）。一个服务提供商SP在连接期间提供服务，用户在访问过程中为所涉及到的SP释放一系列的微支付代币。代币由用户从在线的PSP处购买，并通过其SP进行消费。当移动用户漫游到外地网络时，外地网络SP通过现有的认证协议进行认证。

　　基于文献[14]中的方案，提出了一种多方微支付方案。方案中所采用的符号如下：

　　表示用密钥K对X进行加密；

　　表示用密钥A对X签名；

　　表示强抗碰撞的Hash函数。

　　表示实体X的身份标识

　　表示实体X的公钥

　　用MU表示移动用户，SP表示服务提供商，PSP表示支付服务提供者。我们所提出的多方微支付方案由3个阶段组成：初始化、支付与交货和结算。

　（1）初始化阶段

　　移动用户MU使用现有的大额支付系统，从PSP通过移动设备购买预付的支付链。移动用户对根值PN重复应用单向Hash函数h(x)产生支付Hash链，建立初始代币。Hash链只有在用户所选择的PSP签发证书后才具有货币价值。为了获得PSP签发的证书，移动用户可以使用大额支付协议，同时将终值P0、Hash链长N、总金额Value，以及所在的本地服务提供商SP，通过安全信道发送给PSP。经过验证后，PSP为用户签发一个支付证书。过程如下：

　　MU→PSP：

　　这条消息用PSP的公钥加密，PSP收到消息后，用其私钥解密，然后检查用户的账户是否可以用来产生所要求的支付链。用户的账户是使用大额支付方式建立的。通过验证后，PSP为MU签发一个支付证书 ：

　　PSP→MU：

　　其中E表示证书的有效期限。赎值必须在有效期内，过期的部分可以作为退款返还给用户。移动用户收到支付证书后，使用PSP的公钥验证其签名。支付证书显示支付链中的每个Hash值的价值，但是单个支付Hash值是后来才确定的，这样才能允许相同的Hash值支付所涉及的各方。最后用户得到 ，并秘密保存PN。

　　（2）支付与交货阶段

　　支付过程的进行是随着用户定期不断释放支付Hash值进行的，例如每隔10秒或500KB释放一个Hash值，对于有效的支付，SPs不断提供服务。如果用户没有收到服务，可以中止释放Hash值。

　　（3）赎支付Hash链

　　每一天结束时，每个SP从事先确定的PSP赎回最高的消费支付Hash值。

　　4．安全性分析

　　本文所提出的方案具有抵抗外部攻击、防止交易各方进行欺骗的能力，同时还提供用户的匿名性。其安全性表现在以下几个方面：

　　（1）能够抵御外部攻击者的欺骗攻击

　　外部攻击者是指SP和合法支付链的所有者以外的实体。在本方案中，由于购买支付链采用大额支付方案，其安全性比较高，而且购买请求采用PSP的公钥加密，返回的支付证书 由PSP签名，因此，攻击者不可能得到有关支付链的内容。没有Hash链，就不可能进行消费。另一方面，攻击者也不能进行赎值，即使攻击者能够得到支付值，在得不到PSP认证的情况下，他们也不会得到赎值。第三，攻击者也不能够伪装成支付者免费获得服务。虽然在支付过程中不需要验证用户的身份，但是由于Hash函数的单向性，在不知道Hash链的情况下，攻击者无法获得免费服务。另外，攻击者也不能伪装成一个合法的SP，因为每个合法的SP都具有CA签发的证书，如果攻击者没有得到这样的证书，那么在形成价格合同的过程中，其他SP就会验证出来。

　　（2）能够防止用户的欺骗

　　用户的消费不能够超过支付链的总值，因为支付链的总值是由PSP签名的，用户不能随意修改；另一方面，用户消费时必须通过SP，SP会控制用户的支出总额，防止超支。

　　（3）能够防止PSP欺骗

　　PSP应付给每个SP的总金额能够由独立的第三方证明。每个SP按照价格合同、最高支付值从PSP处赎值，每个Hash值的价值按照合同中的规定计算，因此，任何一方都能够验证所欠SP的总金额。PSP可以采用B2B的支付方式进行支付。

　　（4）用户的匿名性

　　在本方案中，用户与SP的认证采用现有的无线认证协议，在整个通信过程中都不出现用户的真实身份。在支付过程中，支付委托、价格合同也不涉及用户的身份，因此，本方案具有用户匿名性。

5．结束语

　　近年来，随着电子商务的发展，安全的电子支付是一个非常重要的课题。特别是随着移动电子商务应用的普及和在线信息服务的增加，微支付将成为非常普遍的一种支付方式。本文在分析比较近年来主要微支付方案的基础上，根据微支付的特点和要求，提出了一种适用于移动电子商务的安全高效、低成本的微支付方案。本方案对硬件的没有特殊要求，具有保密性、完整性、健壮性、可行性和审计功能的特点，而且一次通信完成交易，通信成本低。

　　参考文献

　　［1］ SET Secure Electronic Transaction LLC, SET Secure Electronic Transaction Specification, http://www.setco.org, 1999

　　［2］ R.Hauser, M.Steiner, M.Waidner. Micro-payments based on iKP, Proc. Of the 14th Worldwide Congress on Computer and Communications Security Protection, 1996

　　［3］ P.Wayner. Digital cash, Byte 19 (10), 126

　　［4］ J.Doggest. Electronic check project, Financial Services Technology Consortium (FSTC), http://macke.wiwi.hu-berlin/IMI/micropayments.html, 1995

　　［5］ C.Neumann, G.Medvinsky. Requirements for network payment-the NetCheque perspective, IEEE Compcon, 1995

　　［6］ Ferreira. L.C., Dahab. R. . A scheme for analyzing electronic payment system., 14th Computer Security Applications Conference, 1998

　　［7］ M. Manasse. The Millicent protocols for electronic commerce. In Proceedings of the 1st USENIX Workshop on Electronic Commerce., New York, USA, July 1995

　　［8］ M. Bellare, J. Garay, R. Hauser, A. Herzberg, H. Krawczyk, M. Steiner, G. Tsudik, and M.Waidner. iKP – a family of secure electronic payment protocols. In Proceedings of the 1st USENIX Workshop on Electronic Commerce., New York, USA, July 1995

　　［9］ R. Rivest, A. Shamir. PayWord, MicroMint: two simple micropayment schemes. In Proceedings of the 4th Security Protocols International Workshop (Security Protocols), LNCS1189. Springer-Verlag, Berlin, 1996

　　［10］朱建明,马建峰. 一种高效的电子商务微支付方案，西安电子科技大学学报，2002增刊

　　［11］姬东耀,王育民. 移动计算网络环境中的认证与小额支付协议，电子学报，2002(4)

　　［12］李明柱,李志江,杨义先. 移动通信增值服务认证和支付研究.通信学报,2003(4)

　　［13］王晓明,符方伟. 一个安全的多方交易微支付方案.计算机工程,2005(2)

　　［14］M.Peirce, Multi-Party Electronic Payments for Mobile Communications, A thesis submitted for the degree of Doctor of Philosophy in Computer Science University of Dublin, Trinity College Department of Computer Science October 31st, 2000

　　［15］S.Micali, R.L.Rivest, Micropayments Revisited, LNCS, Proceedings of the The Cryptographer's Track at the RSA Conference on Topics in Cryptology, 2002