移动支付平台的主要实现技术

4.2.3　移动支付平台的主要实现技术

1.移动消息平台

包括SMS和MMS两种，都可用于建立点对点的短信业务平台，在此基础上也可以开发各种增值业务。SMS短信息服务是指在无线电话或传呼机等设备之间传递小段文字或数字数据的一种业务，它是一种相对较简单和可靠的技术。新的换代产品增强型信息服务EMS使用了SMS技术并新增了对二进制对象如声音、图像和动画等的支持。使用该技术时，用户可以通过发送消息来使用绑定的号码账户进行付款或者利用绑定的电子钱包进行付款。

由于实际使用中，很多的业务可能是音乐、彩铃、壁纸等电子消费类，所以使用MMS技术则是一个较好的选择。MMS 是Multi media Message service的缩写，意为多媒体信息服务，通常又称为彩信。它最大的特色就是支持多媒体功能，能够传递功能全面的内容和信息。MMS可以发送一些用于确认信息的条码，所以该技术可以用于电影院、演唱会的电子门票等业务的应用。

相对WAP等技术，基于SMS平台的移动支付具有以下缺点:

①可靠性不高。交易完全依赖于短消息的传输，短消息的丢失会引起交易的中断。由于短消息的传输可能有一定的时延，从而使得用户可能需要更长的时间获得付款的收据或确认信息，这样有可能使得用户取消交易，导致交易终止。

②安全性不高。SMS系统一般的加密在空中接口，而对信息不加密，因此信息有可能被截获。

2.移动网络接入平台

WAP平台是开展移动商务的核心平台之一。通过WAP平台，手机可以方便快捷地接入互联网，真正实现不受时间和地域约束的移动商务。WAP可以支持目前使用的绝大多数无线设备，包括移动电话、PDA设备等。在网络方面，WAP也可以支持目前的各种移动网络，如GSM，CDMA，PHS等。当然，它也可以支持第三代移动通信系统，即3G，随着3G的逐渐推广，带宽已经不是主要问题，WAP的发展也迎来了良好的契机。

WAP协议是用来标准化无线通信设备，可以让使用者通过移动电话上网，获取因特网服务，如电子邮件、电子商务及信息等服务。目前它已经成为数字移动电话、因特网或其他个人数字助理机、计算机之间进行通讯的全球统一的开放式标准。WAP技术将移动网络和互联网以及公司的局域网紧密地联系起来，提供一种与网络类型、运营商和终端设备都独立的移动增值业务。WAP是建立移动网络的基石。

WAP模型是WWW模型的一个扩展和加强，包括一个熟悉的通信模型、一个被证明的结构和利用现有工具的能力(WEB服务器，XML语言及工具)。在可能的情况下，现存的技术都可以作为WAP技术的起点。在WAP中，最具意义的加强功能是实现了PUSH模型和电话支持(WTA)。WAP内容和应用以熟悉的WWW内容格式为基础，内容的传输依靠以WWW通信协议为基础的标准通信协议。无线终端上的WAP微浏览器与用户接口合作，类似于标准的WEB浏览器。其结构如图4－7所示。

图4－7　无线终端上的WAP结构

目前，这种系统还具有以下缺点:

①移动终端只能采用B/S方式访问互联网。WAP是一种分层协议，底层是无线WDP、WTP等传输层协议，基于此上应用层中的WAP微浏览器只能访问WML脚本，而不是主流的HTML，同时也不能显示复杂格式的图形。

②WAP1.X解决方案需要移动终端手机通过WAP网关才能访问互联网。由于WAP网关的存在不可避免地带来新的安全隐患:例如中间人攻击等。直到WAP2.0采用TLS来保证端到端的安全性。

③WAP解决方案不能访间终端设备本地存储区，需要运行于在线环境中。大量数据的交换增加了服务器负荷，并且增加了数据被窃听的可能性。

3.整合封包无线通信服务

GPRS也叫通用分组无线业务，是一种基于GSM系统的无线分组交换技术，它在GSM和TDMA网络上执行封包数据传输服务及第三代移动通信，提供端到端的、广域的无线IP连接。GPRS与现有的GSM语音系统最根本的区别是，GSM是一种电路交换系统，而GPRS是一种分组交换系统。因此，GPRS特别适用于间断的、突发性的或频繁的、少量的数据传输，也适用于偶尔的大数据量传输。这一特点正适合大多数移动互联的应用。

4.蓝牙技术

蓝牙技术是一种无线数据与语音通信的开放性全球规范，它以低成本的近距离无线连接为基础，为固定与移动设备通信环境建立一个特别连接，同时形成一种个人身边的网络，使得身边的各种信息化的移动便携设备都能无缝地实现资源共享。蓝牙以无线LAN的IEEE802.11标准技术为基础，使用全球通并且无需申请执照的2.45GHz无线频带。系统设计通信距离为10cm～10m，如增大发射功率，其距离可长达100m。

5.J2ME技术

J2ME是美国Sun公司为小型资源受限终端设备的应用程序开发提供使用的JAVA平台，是致力于消费产品和嵌入式设备的最佳解决方案。它提供了HTTP高级互联网协议，使移动电话能以ClientlServer方式直接访问互联网的全部信息，不同的Client访问不同的文件，此外还能访问本地储存区，以提供最高效率的无线交流。

J2ME平台分为两个配置，CDC是针对机顶盒等这类设备的，而CLDC是为严格受资源约束的设备如蜂窝电话、PDA等而设立的。所以，它在各个方面都做了优化，即它的虚拟机很小，它不支持JAVA语言的某些特征，它提供的类库也很少

J2ME具有一些独特的安全性特点，这些特点决定了它比其他移动支付开发技术更适合于宏观支付的开发。

①MIDP2.0的安全性。MIDP是目前为止可供使用的用于小设备的框架，它遵循了CLDC的宗旨，尽可能使用尽量少的资源。在这种模型中，每个应用都被称为MIDLet。MIDLet的生命周期有三个状态:活动(active)、暂停(pause)、被消毁(destroyed)。MIDLet Suite把多个MIDLet关联到一起。把在J2ME平台上开发的程序即MIDIet Suite打包后下载到支持MIDP的真机上即可运行。目前绝大多数品牌手持设备都支持MIDP规范，而且它的安全性随着MIDP的发展逐步增强。目前的MIDP版本为MIDP2.0，它支持HTTPS，能够建立端到端的开放安全套接字(SSL)连接，从而能保护传输层的安全。

②可移植性。移动支付客户机应用程序能很容易地被移植到其他遵循J2ME或MIDP且符合CLDC规范的设备上。

③更低的网络资源消耗与服务器负载。J2ME客户机的应用程序能在断开连接模式下工作并保持数据的同步。

④改善了的UI用户体验。J2MEAPI为呈现功能更强的GUI提供了更大的可能性，这些增强的功能包括了诸如事件处理和更丰富的图形等方面。

⑤MIDLet中的动态事件处理。这一功能大大改善了用户体验。

⑥网际协议。网际协议也就是IP协议，通过JAVA技术可以方便地连接到网络。

⑦尽可能小的MIDLet大小。把MIDLet编写得尽可能的小，从而降低用户通过国际漫游下载MIDLet所需的费用。

⑧记录管理存储。J2ME MIDP 1.0 规范提供一个面向记录的数据库系统作为持久存储器，这个系统的名称为RMS(Record Management Store)，即记录管理存储。该系统即使是在重新引导或电池电量低的情况下也能够确保记录完好无损。

⑨事务保护。使用J2ME密码术就能对整个移动支付事务进行加密。不仅如此，在WAP和WTLS的支持下，入口会话就能像在SSL3.0中所进行的那样被保护。

⑩密码术。J2ME本身提供了面向J2ME的安全性和信任服务API，即Security and Trust Services API for J2ME(JSR 177)。

从上面的论述可以知道，虽然现在基于J2ME的移动支付系统，特别是宏支付系统开发还处在研究阶段，但是J2ME平台的诸多优势决定了它适合移动支付特别是宏支付系统的开发。而且随着J2ME安全性能的逐渐提高、无线信道的加宽以及手持设备的升级，基于J2ME的宏支付系统必将是移动支付的发展方向。

一个完整、安全的基于J2ME的移动支付系统是由移动终端、移动通信网络、移动支付平台、银行(或服务提供商)和认证中心(CA)共五部分构成，如图4－8所示。

移动终端包括可运行J2ME客户端程序的手机和可读取用户信息的POS机。其中，POS机可通过射频识辨技术、蓝牙技术和非接触式芯片技术等近距离无线通信技术来读取手机用户信息，并通过CDMA和GPRS等无线网络方式与移动支付平台相连接进行信息互交，完成支付。

移动支付系统终端应用程序的开发主要是基于J2ME语言专门面向无线终端的开发平台及WTK(无线工具集)，开发一个可以在手机中运行的MIDlet程序。应用程序必须能够实现以下目标:支持手机与移动支付系统的服务器保持在线通信或离线操作;支持数据安全的发送与存储;支持安全认证书的下载、安装、管理;提供友好的用户界面，使移动支付系统能与手机用户便捷地交互。

移动通信网用于移动终端与移动支付平台的连接，主要包括CDMA和GPRS网络和移动网关服务器。移动网关服务器处理移动支付平台与无线网络连接的协议和数据转换，该部分通过路由器、防火墙与移动支付平台相连。

移动支付平台是移动支付系统的核心，它为移动终端、银行、认证中心之间的信息交互提供一个安全的平台。它应包括通信处理机、交易处理机、客户服务机、业务管理机、账务管理机、系统管理机、数据库、防火墙等模块。

图4－8　基于J2ME的移动支付系统

银行或服务提供商包括两个主要部分，一是银行网关服务器，处理移动支付平台与银行业务系统连接的协议和数据转换;二是用户管理服务器，处理本银行移动用户开户、业务管理、查询、咨询等。

认证中心主要是采用中国金融认证中心对用户的证书进行发放和管理。由于J2ME MIDP2.0增加了对HTTPS、SSL/TLS和X.509PKI的支持，手机与移动支付平台之间可采用基于双向认证的端到端加密，以提高移动支付的安全性。选择中国金融认证中心作为自己的CA，数字证书格式遵守X.509V3标准。

移动支付平台与银行之间、移动支付平台与移动运营商之间采用数据专线连接，并在各自系统的代理服务器之间采用防火墙进行隔离。

J2EE是建立在Java2平台上的企业级的解决方案。J2EE技术的基础便是Java2平台，它不但具有J2SE平台的所有功能，同时还提供了对EJB、Servlet、JSP、XML等技术的全面支持，其最终目标是成为一个支持企业级应用开发的体系结构，简化企业解决方案的开发、部署和管理等复杂问题。事实上，J2EE已经成为企业级开发的工业标准和首选平台。

基于J2EE的移动支付平台是基于J2EE的应用，具有J2EE典型的三层架构，充分利用了J2EE本身具有的可扩展性、容错性、有效资源利用、智能缓存以及事物处理的功能。移动支付的体系结构采取模块化组件的设计，保证了产品的可扩展性、容错能力、高效的资源利用、高速缓存和完整的事务管理。该平台的三层结构分别是表现层、应用逻辑层和数据库层。表现层主要为不同的客户端管理人员或者操作人员提供不同的界面;应用逻辑层主要完成各种各样的业务逻辑的处理，包括认证鉴权、移动用户接入服务代理、商户接入代理、银行通信、安全管理支付结算等;数据库层主要用来保存各种业务数据。