固定电话支付与移动电话支付业务系统介绍

　　本文为第三方支付技术与监督，其中一章节，如需查看全文，请点击：《第三方支付技术与监督》全文

　　一、固定电话支付业务系统

　　中国人民银行对固定电话支付业务尚无专项的政策要求，从事固定电话支付的机构遵循对非金融机构支付服务的统一要求即可。固定电话支付用于电子商务的销售时还应符合商务部、电子商务协会的相关规定,具体如下:

　　●2007年12月,商务部发布的《关于促进电子商务规范发展的意见》;

　　●2008年4月,商务部发布的《电子商务模式规范》和《网络购物服务规范》;

　　●2009年11月,商务部发布的《关于加快流通领域电子商务发展的意见》;

　　●2010年6月,国家工商总局发布的《网络商品交易及有关服务行为管理暂行办法》。

　　固定电话支付客户在固定电话上以语音1VR方式发出支付指令,通过IVR服务器在支付服务方确认付款的支付交易流程。

　　①用户拨打固定电话指定号码,根据语音提示选择商品或服务,并输人账户信息，固定电话对交易信息进行信号转换(具有加密功能的终端则在转换前对敏感信息进行加密处理),发送到IVR服务器;

　　②IVR服务器将语音信号转变为数字信号,并对敏感信息进行软/硬加密,组成报文并发送给支付服务方(如终端已进行加密,则直接转发);

　　③支付服务方系统解析报文并执行交易,并将交易的结果反馈给IVR服务器;

　　④IVR服务器将交易的结果以语音的形式通知用户。

　　固定电话支付系统以固话通信网络为基础，以语音IVR方式发出支付指令,开展交易。固定电话支付系统主要应用于电视购物、电话购物和电子商务领域,有如下特点:

　　●固定电话支付起步早,用户人群相对稳定;

　　●固定电话系统相对封闭;

　　●固定电话支付过程相对简单;

　　●用户的交互环节相对较少。

　　目前，固定电话支付系统的问题主要表现在功能问题和应用安全方面。

　　●部分功能缺失,如缺少查询功能等;

　　●系统交互过程中缺乏应有提示;

　　●支付系统在风险管控策略上的实现不足,如不能对规定的风险交易进行阻断或者采取相关的风控措施、风险报表功能不足等;

　　●商户平台管理存在漏洞,如商户平台正常退出后,访问URL仍可登录操作,口令长度和复杂度缺乏要求等,未使用数字证书。

　　●应用系统缺少相应的认证机制，如缺少第三方认证机制,缺少公钥和证书机制。

　　二、移动电话支付业务系统

　　中国人民银行对移动电话支付业务目前尚无专项的政策要求,但2012年组织制定的移动支付标准中包含了移动电话支付的内容。目前,移动电话支付业务遵循非金融机构支付服务的相关要求即可。

　　移动电话支付可区分为远程支付和近场支付,其技术实现方式非常丰富。从最初的手机短信支付到手机WAP网站支付，再到近年兴起的近场支付，移动电话支付不断成熟,快速发展。

　　1.远程支付

　　远程支付是客户在商户提供的平台，上选购商品或服务,并以短信、WAP.客户端软件以及客户端软件加智能卡等方式在支付服务方确认付款的支付交易流程。远程支付技术主要包括:

　　SMS技术:短消息服务(ShortMessagingService,SMS)是一种消息存储和转发服务技术。

　　IVR技术:互动式语音应答(Interactive Voice Response,IVR)是一种基于电话的语音增值业务的统称。用户只需用电话即可进入服务中心,根据操作提示完成相应的操作。

　　WAP技术: WAP( Wireless Application Protocol)为无线应用协议,是一项全球性的网络通信协议。WAP使移动Internet有了一个通行的标准,其目标是将Internet的丰富信息及先进的业务引人到移动电话等无线终端之中。WAP定义可通用的平台,把目前Internet上HTML语言的信息转换成用WML( Wireless Markup Language)描述的信息,显示在移动电话的显示屏上。WAP只要求移动电话和WAP代理服务器的支持,而不要求现有的移动通信网络协议做任何改动,因而可以广泛地应用于GSM、CDMA.TD-MA.3G等多种网络。

　　USSD技术:非结构化补充数据业务( Unstructured Supplementary Service Data,USSD)是一种基于全球移动通信系统GSM(Global System for Mobile Communications)网络的、实时在线的新型交互会话数据业务。它基于用户识别模块( Subscriber IdentityModule , SIM)卡,利用GSM网络的信令通道传送数据,是在GSM的短消息系统技术基础上推出的新业务,在业务开拓方面的能力远远强于SMS系统。

　　①客户使用移动终端访问商户网站,客户通过选购商品、数量等信息形成订单;

　　②商户网站将订单发给支付服务方的支付服务系统;

　　③客户在支付服务方输人账号、密码等支付信息,并完成付款;

　　④支付服务方将支付的结果通知反馈给客户和商户;

　　⑤商户收到支付结果通知后为客户提供商品或服务。

　　2.近场支付

　　近场支付是指移动终端上内嵌的智能卡通过非接触方式和支付受理终端进行通信，实现货币支付与资金转移的行为。近场支付技术主要包括如下五种:

　　红外:红外通信技术利用红外线来传递数据,是无线通信技术的一种。红外通信技术不需要实体连线，简单易用且实现成本较低,因而广泛应用于小型移动设备互换数据和电器设备的控制，例如笔记本电脑.PDA、移动电话之间或与计算机之间进行数据交换，电视机、空调器的遥控等。红外通信技术多数情况下传输距离短,传输速率不高。

　　蓝牙:蓝牙是一种支持设备短距离通信(一般10米内)的无线电技术。蓝牙能在包括移动电话、PDA、无线耳机、笔记本电脑、相关外设等众多设备之间进行无线信息交换。

　　利用蓝牙技术，能够有效地简化移动通信终端设备之间的通信,也能够成功地简化设备与Internet之间的通信,从而使得数据传输变得更加迅速高效,为无线通信拓宽道路。蓝牙采用分散式网络结构以及快跳频和短包技术,支持点对点及点对多点通信,工作在全球通用的2.4GHz ISM(即工业、科学、医学)频段。其数据速率为1 Mbit/s,采用时分双工传输方案实现全双工传输。

　　RFID:射频识别(Radio Frequency Identification, RFID)技术又称电子标签、无线射频识别,是一种通信技术,可通过无线电信号识别特定目标并读写相关数据,而无须识别系统与特定目标之间建立机械或光学接触。RFID射频识别是一种非接触式的自动识别技术,它通过射频信号自动识别目标对象并获取相关数据,识别工作无须人工干预,可工作于各种恶劣环境。目前国际上广泛采用的频率分布于4种波段,低频(125 kHz)、高频(13. 56 MHz)、超高频(850~910 MHz)和微波(2.45 GHz)。每一种频率都有它的特点，被用在不同的领域。

　　NFC:近场通信(Near Field Communication, NFC)又称近距离无线通信,是一种短距离的高频无线通信技术,允许电子设备之间进行非接触式点对点数据传输(在10厘米内)交换数据。这个技术由免接触式射频识别(RFID)演变而来,并向下兼容RFID,最早由Philips.

　　Nokia和Sony主推，主要用于手机等手持设备中。NFC将非接触读卡器、非接触卡和点对点(Peer to Peer)功能整合进一块 单芯片,为消费者的生活方式开创了不计其数的全新机遇。

　　这是一个开放接口平台,可以对无线网络进行快速、主动设置,也是虚拟连接器，服务于现有蜂窝状网络、蓝牙和无线802. 11设备。其工作频段为13. 56MHz。

　　FeliCa: FeliCa是SONY公司为了非接触式IC卡而开发出来的通信技术,与NFC技术本质上没有区别,只是在应用上加了一定的安全控制。

　　近场移动支付客户在商户处进行消费,使用内嵌智能卡的移动终端通过非接触方式和支付受理终端进行通信，实现货币支付与资金转移的支付交易流程。

　　①客户在商户处消费;

　　②商户处采用非接触方式的支付受理机具,生成订单,并发送给支付服务方;

　　③客户使用内嵌有智能卡的移动终端通过非接触方式和支付受理终端进行通信,输人密码,完成付款;

　　④支付服务方将成功通知反馈客户和商户;

　　⑤商户收到通知后打印支付凭证,付款成功。

　　3.移动电话支付系统业务的特点

　　移动电话支付的远程支付系统是移动终端(通常指手机)以短信、WAP、客户端软件以及客户端软件加智能卡等方式,通过无线通信网络(包括移动通信网络或者移动互联网)完成支付，系统具有如下特点:

　　●支付实现的方式多样化;

　　●手机替代PC成为支付终端，安全性要求更高;

　　●移动互联网具有同样的开放性和外部威胁;

　　●支付过程相对复杂;

　　●用户的交互环节相对较多。

　　移动电话支付的近场支付系统以移动终端(通常是指手机)上内嵌的智能卡通过非接触方式和支付受理终端进行通信完成支付,系统具有如下特点:

　　●应用场景集中在线下购物环节,以现场交易为主;

　　●交易终端依赖于手机智能卡;

　　●手机和智能卡的身份认证是近场支付的身份鉴别手段;

　　●支付过程相对简单;

　　●用户的交互环节相对较少。

　　4.移动电话支付系统个性问题

　　移动电话支付系统产品和实现方式较多,这类系统的个性问题也各有不同。

　　目前远程支付的问题主要有:

　　●部分功能不完善,如提示信息不够准确;

　　●支付系统在风险管控策略上的实现不足,如对消费次数和金额的限制等;

　　●商户平台管理存在漏洞,如正常退出后,访问URL仍可登录操作,口令长度和复杂度缺乏要求等,未使用数字证书;

　　●应用系统缺少相应的认证机制,如缺少第三方认证机制,缺少公钥和证书机制。

　　近场支付的问题主要有:

　　●部分功能不完善,如提示信息不够准确,不提供个人信息下载等;

　　●支付系统在风险管控策略上不足，如对卡片冻结、解冻等状态的控制不够,对消费次数和金额的限制等;.

　　●支付业务系统风险控制措施不足,如缺乏报警的查询统计分析、支付终端设备的改装情况巡查不足;

　　●应用系统的安全配置不足，如对电子签名技术使用不到位,不能对单用户的多重并发进行限制,支付系统口令没有有效期等问题。