移动平台安全支付与管理

6.3.1  任务描述

电子支付是电子商务活动中重要的环节，通过网上银行或第三方支付平台在PC上来完成支付对小王而言是熟悉的，但近年来出现的手机端支付小王却倍感陌生。到底什么是移动支付？移动支付的特点及移动支付的安全保障又是如何实现的？带着这些疑问，小王决定一探究竟。

6.3.2  任务分析

移动支付本质上是一种电子支付，只不过是在智能移动设备上完成而已。目前，手机移动支付尚无标准，移动支付的方式也多种多样。但是，其基本实现原理是相同的。移动支付可以实现随时、随地便捷支付的同时，也带来了新的安全威胁，消除安全隐患、构建完善的身份认证体系则是移动支付首要解决好的问题。

6.3.3  知识准备

1）移动支付的概念

移动支付也称手机支付，就是允许用户使用其移动终端（通常是手机）对所消费的商品或服务进行账务支付的一种服务方式。单位或个人通过移动设备、互联网或者近距离传感器直接或间接向银行金融机构发送支付指令产生货币支付与资金转移，实现资金的移动支付，实现了终端设备、互联网、应用提供商以及金融机构的融合，完成货币支付、缴费等金融业务。

2）移动支付的特点

移动支付具有以下3个方面的特点：

（1）移动性

由于移动终端具有其特定服务实现的随身性和极好的移动性，可以使消费者从长途奔波到指定地点办理业务的束缚中解脱出来，摆脱支付实现的营业厅特定地域限制。

（2）实时性

移动通信终端和互联网平台的交互取代了传统的人工操作，使移动支付不再仅仅受限于相关金融企业、商家的营业时间限制，实现了7×24小时的便捷服务。移动支付的实现使消费者可以足不出户，也避免了毫无价值的排队等候。

（3）快捷性

移动支付同时还具有缴费准确、无须兑付零钱、快捷、多功能、全天候服务、网点无人值守的快捷性。

3）移动支付的安全威胁

目前，移动支付面临的安全威胁主要来自于支付操作所处的运行环境和信息的传输和存储环境中，其中，基于操作系统和应用软件的威胁较为突出，并在基于移动互联网的支付中更受关注。

（1）移动终端操作系统安全隐患

①对移动设备的刷机和越狱，通过刷机和越狱可以使移动设备访问第三方软件发布平台，或者改变操作系统的类别。这虽然会提升移动设备的用户体验，但可能会引入安全问题，如植入操作系统的木马程序等。

②来自操作系统本身的安全隐患，比起传统的PC安全体系，移动设备操作系统安全防护体系的完善性和成熟度有待提升。

（2）应用软件安全隐患

在Android操作系统上，由于平台的开源特性，通过反编译可能得到应用软件的源码，若经过改造且移植木马程序的软件被用户安装并使用，可能会给用户带来不必要的损失。

（3）信道安全隐患

①来自于对无线信号的窃听和转发，这种木马可以拦截到收到和发出的短信，比如银行的验证码等。

②通过基站的欺骗，通过模拟一个信号基站使用户接入，来达到窃听的目的。

（4）用户安全意识薄弱

目前，用户对智能手机的安全意识还相对薄弱，不一定具有安装安全防护软件的意识，对存储在手机中的数据和信息的处理也存在一定的随意性，这都让不法分子有机可乘。

4）移动支付的安全目标

由于存在上述可能的安全隐患，移动支付应实现以下安全目标：交易双方身份认证、数据机密性、数据完整性、数据抗抵赖性等。

（1）交易双方身份认证

交易开始前，应确认交易双方的身份。

（2）数据机密性

交易过程中，应保证业务数据不可侵犯，采用加密或其他有效措施实现业务数据传输和存储的保密性。

（3）数据完整性

交易过程中，保证业务数据在传输和存储过程中不受到篡改。

（4）数据抗抵赖性

交易双方均不能否认或抵赖已经发生的交易事件，应能为双方提供数据源发证据或数据接收证据。

5）移动支付中常见的身份认证技术

身份认证技术作为一种能有效保护交易过程安全的方法，可以有效解决移动支付过程中存在的一引起安全性问题。移动支付中常见的身份认证技术有如下几种：

（1）静态口令认证

静态口令认证是指用户设置登录的用户名和密码，电子商务系统通过验证用户名和密码来确认用户的身份。

（2）动态口令认证

与静态口令认证方式对应，用户的登录密码按照一定的时间周期随机生成，通过动态令牌生成动态口令，每一次都不一样，以保证密码在泄露后对用户没有任何损失。

（3）智能卡认证

智能卡具有信息的反篡改存储和加密计算能力，而且是能存储用户身份信息的存储卡。当需要验证用户身份时，通过确认智能卡内的信息来确定用户的身份。

（4）短信密码认证

短信密码认证是指在进行电子商务交易时，电子商务系统会发送一个短信密码到用户的手机中，用户使用该短信密码作为自己的身份认证信息。

（5）共享密钥认证

共享密钥认证是指在交易之前，交易双方通过安全的通信信道使双方能得到一个统一的密钥，通过该密钥实现对双方身份的验证。

（6）生物识别认证、

生物识别认证是将人体固有的生理或行为特征收集并用智能设备进行处理，由此用于个人的身份鉴定。目前生物识别认证主要有：指纹识别、掌纹识别、手形识别、人脸识别、虹膜识别、视网膜识别、声音识别和签名识别等。

6）移动支付的模式

移动支付的模式有不同的划分标准，比较常用的有如下几种：

（1）根据支付账户的不同

根据支付账户的不同，移动支付可分为：

①银行卡账户支付：用户在移动终端上操作银行卡账户进行支付。

②话费账户支付：用户在移动终端上操作手机话费账户进行支付。

③中间账户支付：用户在移动运营商或第三方支付企业开通自有账户，先充值后消费，用户在移动终端上操作自有账户。

（2）根据运营主体的不同

根据运营主体的不同，移动支付可分为：

①移动运营商为主体的移动支付。移动支付平台由移动运营商建设、运行、维护及管理。

②银行系统为主体的移动支付。银行为用户提供付款途径，通过可靠的银行系统进行鉴权、支付。移动运营商只为银行和用户提供信息通道，不参与支付过程。

③第三方支付企业为主体的移动支付。移动支付平台由第三方支付企业建设、运行、维护和管理。

（3）根据技术手段的不同

根据技术手段的不同，移动支付可分为：

①远程支付：用户使用移动终端，通过短信、WAP、APP等方式远程连接到移动支付后台系统，实现账户查询、转账、信用卡还款、订单支付等功能。

②现场支付：用户使用移动终端和配套的受理终端，通过近距离非接触式技术，实现对商品或服务的现场支付。

7）中国移动支付市场现状

近年来，中国移动支付市场进入快速增长期。据统计，2015年中国第三方移动支付市场规模达到16.4万亿元，移动支付规模已首次超过PC端支付。其中，支付宝以72.9％的份额居首，财付通以17.4％位居第二，两者合计占据国内第三方移动支付市场份额近九成。

国内移动支付市场已形成支付宝、财付通两强对峙格局。对许多网民来说，在日常进行手机支付时，已习惯于通过支付宝或财付通。随着苹果、三星携手中国银联在国内移动支付市场的发力，这将对支付宝、财付通的市场地位形成一定冲击，有助于中国银联重新夺取移动支付市场份额。国内移动支付市场未来有望形成支付宝、财付通、中国银联“三足鼎立”格局。

6.3.4  任务实施

经过以上对移动平台安全支付相关知识的梳理，小王基本理解了什么是移动支付，为了加深学习，小王用自己的手机，从商品选择、下订单、订单支付到消费的全过程进行了真实的体验。

1）移动支付前的准备

为了能顺利、安全地在手机上完成支付，必要准备工作是不可少的。小王进行了如下准备工作：

①在银行柜面上开通网上银行。移动支付的先决条件是能够通过网上银行进行支付，小王因为长期从事电子商务的工作，早早地就为自己开通了网上银行。

②选择一家安全可靠的第三方支付平台。阿里巴巴公司旗下的支付宝是目前国内市场占有率最高的支付平台，绝大多数电商都支持支付宝作为付款手段。于是，小王也选择了支付宝作为自己的支付平台。

③支付宝绑定银行卡并授权快捷支付。按照支付宝开通流程，小王在PC端完成注册支付宝账号、绑定已开通网上银行的银行卡、授权快捷支付模式及实名认证等工作。

④设置支付宝账号安全防护策略。为保障支付宝用户的账户安全，阿里巴巴公司制定了全方位的安全防护策略，如支付密码、数字证书、支付盾、手机短信、宝令等。设置好相应安全策略后，一定要开通“无线支付”功能，使此支付宝账号能够在移动端支付。图6.12是支付宝安全设置界面。

图6.12  支付宝安全中心

⑤在手机端下载安装好支付宝客户端APP。

2）美团网上选择美食

小王是个标准的吃货，听说美团上不仅有各大美食店的特色餐品介绍，如果通过美团网预订用餐的话，还能享受不同程度的优惠，于是小王就把这次的购物体验选择在美团上完成。

按照美团使用流程，小王在美团上注册好自己的账户，开始了“淘食”行动。在浏览各家餐店主推的菜品时，小王不禁食指大动。经过多家比较，小王决定下单，为周末的美食大餐早做打算。图6.13是选中的美食店界面，图6.14是准备订购的优惠券。

       图6.13  选定餐厅          

图6.14  选定购买的优惠券      

3）下订单

图6.15是下订单界面，图6.16是确定支付界面。图中可以看出，美团支持支付宝、微信及多家网上银行的支付，在此选择用支付宝支付。

  图6.15  提交订单          

  图6.16  支付订单

4）订单支付

图6.17是跳转到支付宝APP上确认支付的界面，当确定支付后，会需要用户输入支付宝客户端的支付密码，如图6.18所示。

  图6.17  支付宝APP确认支付 

     图6.18  支付宝客户端支付密码

5）到店消费

图6.19是支付成功界面。周末，小王带上亲朋好友到该餐厅享用完美食后便可以用此券消费结账了。

图6.19  支付成功

6.3.5  任务考核

通过以下实际操作，来确认你对移动平台安全支付的认识和理解程度。

①在自己的智能手机上安装“支付宝客户端”APP，并设置好安全支付环境，使手机能够通过支付宝进行支付。

②在手机上安装“百度糯米”APP，注册自己的账号，设计一个预订电影票的过程，然后通过手机在百度糯米网上实际操作完成。