基于移动电子商务安全支付协议的研究与设计.doc

1、 1 学年论文基于移动电子商务安全支付协议的研究与设计 院 系： 专 业： 电子商务 学 号： 姓 名： 指导教师： 提交日期： 2015 年 4 月 13 日 制 姓名 学年论文成绩 评语： 指导教师（签名） 年 月 日说明：指导教师评分后，学年论文交院（系）办公室保存。内容摘要移动电子商务是电子商务的发展方向，有着光明的前景，而移动支付是移动电子商务中最重要的组成部分之一，它是指交易双方通过移动设备进行的商业交易。由于用户通过无线环境进行业务访问，并通过无线网络传输机密数据，因此安全性、私密性、易用性成为了移动支付的最重要的几个问题。目前有许多不同种类的技术能够实现移动支付，本文简单介绍了

2、其中的 SMS、STK、WAP 和 J2ME 技术。然后着重分析了两种应用比较广泛的支付协议：SSL和 SET，通过分析可以看出这两个协议都是基于非对称密钥的，交易时需要很多复杂的运算，但是无线环境具有存储能力低，处理能力慢，电池容量小等缺点，显然不适应进行多次运算。本文的主要工作就是设计一个使用对称密钥技术实现的支付协议，并对其安全性进行分析，发现其能保证移动支付各参与方的安全性、私密性，并且比 SSL、SET 减少了很多密码操作的次数，大大提高了移动支付的交易效率。关键词： 移动 电子商务 安全支付 协议Abstract Mobile E-commerce has a brilliant

3、future, and mobile payment is one the most important parts of mobile E-commerce. Its definition is that the two parties trade by mobile equipment. As the users have to operate the cellphones and send confidential information vai wireless network, security, confidentiality and easiness of use become

4、the most significant problems in mobile payment.Currently there are many different types of technology that can implement the mobile payment. Firstly this text introduces the SMS、STK、WAP and J2 ME in brief among them, then attempts to analyze two kinds of pay agreement applied more and extensively：t

5、he SSL and SET. The analysis suggest that the two agreements based on asymmetrical airtight operate with more complicated agreements, they are all unwell to used for wireless environment because the wireless environment have a saving ability low, handle an ability slow, the battery capacity small et

6、c. characteristics. The emphasis of this paper lies in designing a pay agreement based on symmetry and airtight usage and analyzing its the security, the results of the research indicate that it can promise the ambulation pays each security, private that participate a square, compares SSL、 SET to re

7、duce a lot of passwords to operate of number of times, and raise to move the bargain efficiency for pay consumedly.Key words： mobile e-commerce security payment agreement 目录1绪论1.1课题背景1.2国内外的发展现状1.2.1 移动支付目前存在的问题1.2.2发移动支付的发展现状1.3 本文的研究目的和研究内容1.3.1 研究目的1.3.2 主要研究工作1.4 结构安排2 移动电子商务与移动支付的剖析2.1移动电子商务的概念

8、2.1.1 移动电子商务的定义2.1.2 移动商务的架构2.1.3 移动电子商务的特点2.1.4 移动电子商务的安全需2.1.5 移动电子商务可能遇到的安全问题2.2 移动支付概述2.2.1 移动支付的定义2.2.2 移动支付的使用2.2.3 移动电子支付的分类2.2.4 移动支付流程2.2.5 移动支付成功所面临的问题3移动支付技术与协议3.1 一些典型的移动支付技术3.1.1 SMS3.1.2 STK3.1.3 WAP3.2 安全支付协议介绍3.2.1 SSL 安全协议3.2.2 SET 协议介绍3.2.3 SSL 与 SET 协议的比较3.3 本章小结4 基于对称密钥的移动支付协议4.1

9、 支付协议的目标4.2 新协议产生的背景4.2.1 无线通信的特点4.2.2 受限的手持设备4.3 新型协议介绍4.3.1 初始假设4.3.2 密钥产生技术4.4 协议的安全性分析4.4.1 交易安全4.4.2 秘密密钥4.4.3 性能分析4.5 小结5总结和展望5.1 本文工作总结5.2 进一步的工作参考文献致谢 基于移动电子商务安全支付协议的研究与设计1绪论1.1课题背景电子商务(Electronic Commerce)是 90 年代初期在美国等发达国家兴起的一种崭新的企业经营方式，它通过对现有网络技术的应用，快速而有效的进行各种商务活动。传统的电子商务指人们通过计算机及计算机专用网络进行

10、商务活动，例如电子资金转账、远程购物、电子合同等等。进入 21 世纪以来，移动电子商务则逐渐兴起，并具有极其广阔的应用前景。所谓移动电子商务是指用户通过移动终端所进行的电子交易行为1，例如手机购物、管理银行账户(手机银行)、股票交易等。移动支付作为移动电子商务中的一个重要组成部分，无论是移动购物、移动彩票还是移动证券都是建立在移动支付技术基础之上的。只有移动支付得到充分的发展，移动电子商务才会有一个良好的发展环境。在国内，移动支付更有它的特殊性2。中国移动公司在 2001 年推出了“移动梦网”计划，为网络企业提供了收入来源，也为移动支付打开了方便之门。很长一段时间以来，移动支付的理念已经广泛的

11、被业界所接受，但是由于技术、市场等多方面的原因，迄今为止，国内安全可靠并为广大用户所接受的移动支付平台几乎没有，这都在很大程度上阻碍了移动电子商务的发展。1.2国内外的发展现状1.2.1 移动支付目前存在的问题移动支付的目标是将移动设备与银行卡有机结合，让移动设备成为个人金融终端，使持卡人在移动中完成支付，不再受时间、地域的限制，体现了现代金融、通信业以人为本的服务理念，是一项新兴的、具有无限潜力和巨大商机的事业。但作为移动电子商务的一部分，移动支付所要解决的问题仍然是一般电子商务协议所要求的安全性、匿名性、非否认性、原子性、公平性和效率需求。由于移动商务及其支付业务还处于起步阶段，虽然有基于

12、互联网的电子商务安全技术作为基础，但由于移动设备的特殊性，所以其支付过程中的安全性保证具有一个复杂而长期的实现及验证过程，还存在着不同程度的局限性:1.2.2发移动支付的发展现状对于移动支付，目前国内外都有不少企业在进行研究。我国拥有广大的移动用户群，拥有较强的消费能力，在手机支付业务等方面具有相当大的发展潜力。2003 年 1 月 20 日，我国首家手机支付示范店选在了深圳宝景田分店。只要通过手机输入账户密码和购物金额，消费者就可以把精挑细选出来的商品带回家。这项名为“众银通”的服务是由中国移动深圳分公司和深圳银联联手推出的。手机用户只需把SIM卡用STK卡替换掉，就开通了手机支付。最近，e

13、Net硅谷动力就网民是否使用移动支付业务展开调查，结果显示，33.23%的网民会是用这项服务，并表示完全信赖这项技术；16.15%的网民表示考虑使用这项服务，但对技术还有忧虑；994%的网民则直接表示不会使用这项新业务，主要原因是对技术还很担心；另外还有 4.68%的网民认为，现金支付很方便。中国人最根深蒂固的消费习惯是，不见兔子不撒鹰，一手交钱一手交货。电子支付则是两头不户对移动支付表示担心，一方面的原因是由于用户的消费习惯还需要改变，最大的原因还是因为目前的移动支付协议不够安全和完善，从而限制了移动支付的发展1.3 本文的研究目的和研究内容1.3.1 研究目的本文在对国内外移动支付技术进行

14、分析之后发现，现行的移动支付都是建立在以 Internet 为基础的电子支付上的，其支付协议都是基于非对称密钥的，进行支付需要经过很多次的运算。而无线环境具有较小的内存、较低的处理能力、较少的电池容量和难于操作等特点，难以完成这些复杂的运算，因此，设计适应移动通信设备的支付协议应属当务之急。本文的研究目的就是在仔细分析和研究移动电子商务和移动支付的特点之后，针对现有的支付协议，找出其中的缺陷，设计出一种新型的适合移动电子支付的全新的协议。只有设计出适用于移动设备的协议，保证参与移动商务的各方的利益，才能使得手机短信、IVR、WAP 等多种方式进行的银行转账、交费和购物等商业交易活动更加安全，有

15、助于移动支付方式的迅速推广。1.3.2 主要研究工作本文首先界定了移动电子商务的内涵、特点和安全需求，在此基础之上着重研究了移动电子商务中的最重要的环节移动电子支付，给出了移动电子支付的基本概念，概括了移动电子支付的一般流程，分析了影响移动电子支付安全的主要因素和存在的主要问题。经过对移动支付流程和特点的分析和研究之后，对比介绍了目前国内外运行的主要移动支付技术：SMS、STK、WAP 和 J2ME，重点探讨了两种使用广泛的支付协议：SSL 和 SET。它们的最大的特点就是对于协议参与方来说，都要进行大量的基于非对称密钥的加、解密运算才能保证交易的安全性。而移动设备具有低功率，低存储量和低运算

16、能力等缺点，显然不适合进行大量的运算。为了弥补这种不足，本文在分析移动支付各参与方的安全需求的基础上，结合移动设备的特点设计出了一个全新的移动支付协议。这个协议应该是基于对称密钥技术的，这就保证了各参与方不需要进行大量和复杂的运算就可以确保支付的安全1.4 结构安排本篇论文的结构如下：第一章：绪论。介绍本文的研究背景、研究目的、国内外的进展和论文所作的主要工作和全文的结构。第二章：阐述移动商务的概念，总结移动商务的特点和局限性，接下来介绍移动支付的概念和一深入分析了移动支付的安全需求和可能遇到的安全问题。般流程，第三章：对现存的各种移动支付技术进行简要的介绍，重点介绍两种重要的支付协议 SSL

17、 和 SET，指出了各自的优缺点。第四章：在分析无线环境和手持设备的特点的基础上，设计出利用对称密钥实现的移动支付协议，并对其安全性进行分析。第五章：总结本文工作和提出后面的研究方向。最后是参考文献和致谢。2.移动电子商务与移动支付的剖析2.1移动电子商务的概念对电子商务的定义、概念，国内外至今尚无统一公认的定义。如果以电子商务问世的背景定义，可以说电子商务是互联网商务。电子商务的本质是知识经济。电子商务是各种通过电子方式而不是面对面方式完成的交易。电子商务是商业的新模式。各行业的企业都将通过网络连接在一起，使得各种现实与虚拟的合作都成为可能。2.1.1 移动电子商务的定义随着拥有互联网接入功

18、能的移动电话迅速普及，人们可以通过计算机与互联网连接获取信息，移动电话以无线通信方式方便地提供随时随地的交流与沟通。人们因为工作和生活的需要，希望随时随地收发电子邮件、查阅新闻、股票信息、定购各种急需商品，即实现移动互联。于是，一种新型的电子商务模式应运而生移动电子商务，所谓移动电子商务（M-Commerce）3，是指利用手机、掌上电脑、呼机等移动通信设备与因特网有机结合，进行电子商务活动。移动电子商务包括移动支付、无线CRM、移动股市、移动银行与移动办公等。另外，ForresterResearch 预估，2004 年的电子商务市场将达 6.9 兆美元，Strategy Analytics预测

19、，移动商务市场收入将达其中的 2 亿美元。随着移动用户的剧增，移动商务的重要性将越来越突现。 2.1.2 移动商务的架构移动商务环境中，移动用户必须先向移动运营商申请无线上网服务后，即可利用移动设备上网与网络上的服务提供商连线，随时随地攫取所需的信息与服务，整体架构如图 2.2 所示。图 2.2 移动商务模式简图262.1.3移动电子商务的特点 移动电子商务的主要特点是灵活、简单、方便。移动电子商务不仅仅能提供在因特网上的直接购物，还是一种全新的销售与促销渠道，它全面支持移动因特网业务，可实现电信、信息、媒体和娱乐服务的电子支付。移动电子商务能完全根据消费者的个性化需求和喜好定制，设备的选择以

20、及提供服务与信息的方式完全由用户自己控制。通过移动电子商务，用户可随时随地购买所需的服务、应用、信息和娱乐。他们可以在自己方便的时候，使用智能电话或个人数字助理（PDA）查找、选择及购买商品和各种服务。通过个人移动设备来进行可靠的电子交易的能力被视为移动因特网业务的一个重要方面。移动电子商务是能够为人们生活带来变革的业务，与传统电子商务相比，它具有很多特性，主要表现在以下几个方面4：1. 移动性(ubiquity)2. 可接收性(reach ability)3. 安全性(security)4. 便利性(convenience)5. 定位性(localization)6. 个性化(persona

21、lization)7. 即时连接(instant connectivity)2.1.4 移动商务的局限性而提供一个不受时间与空间限制的商务环境。然而，移动设备的轻便和易携带的特性同时也给移动商务的发展带来了许多不便和限制。相对于个人电脑，移动设备目前有如下限制：1. 屏幕显示能力(display)2. 运算能力(low- power ICs)3. 存储空间(memory)4. 电池持续能力(batteries)5. 输入界面(keypad)下面是一组关于移动设备和固定网络设备的参数，如表 2.1 所示表 2.1 移动设备和固定网络设备参数对照表30处理器带宽内存有线无线有线无线有线无线高性能处

22、理器8 位或 16位处理器虚 拟 带 宽无穷大对 GSM9600 波特扩展内存无穷大非 常有限从表 2.1 可以看出移动终端无法适合复杂的认证运算，9600 波特的传输率如果采用 TCP/IP 协议，掉线频繁时避免不了的，无法保证稳定的网络连接。移动商务开发的软环境和普通电子商务的软环境也有很大的区别，主要参数对照如表 2.2 所示 表 2.2 有线与无线软环境主要参数对照表浏览器协议描述语言有线无线有线无线有线无线IE,Firefox等有 可 用 产品，无相应标准TCP/IP ，HTTP 等WAPHTMLWML有线网络浏览器已有完善的标准和成熟的产品，有线网络浏览器占用的资源量大，并不适用于

23、移动设备中，移动终端的微浏览器已有产品，但尚无国际统一标准，仍不完善。有线网络采用 HTML 语言作为描述语言，无线网络则采用 WML 语言描述。2.1.6 移动电子商务可能遇到的安全问题1. 窃听2. 病毒3. 欺骗与木马4. 口令攻击与协议安全5. 拒绝服务攻击(Dos，denial of services)2.2 移动支付概述随着移动通信的利润增长点渐渐地从语音业务转向数字业务，各种移动增值业务层出不穷，而移动支付就成为其中的一个亮点。ARC Group 最新发布的策略报告显示，全球移动支付营收在 2005 已增至 200 亿美元，年度增长率超过 100%。而众多运营商也看到了移动支付的

24、巨大商机，纷纷展开行动开始抢占市场。2.2.1 移动支付的定义移动电子支付是电子支付的一个特殊形式，随着移动电子商务的日益受欢迎， 移动支付已经成为人们津津乐道的话题，而且也受到来自移动行业以外的企业的关注，如银行、零售业等。移动支付是移动电子商务的一个重要目标，根据国外著名移动支付论坛（Mobile Payment Forum）的定义，移动支付是指交易双方为了某种货物或者业务，通过移动设备进行商业交易5。移动支付所使用的移动终端可以是手机、PDA、移动PC等。2.2.2 移动支付的使用最早引入移动支付业务的是以下四个方面：（1） 自动销售点的支付。比如饮料的贩卖机、停车点的支付和订票服务。（

25、2） POS 机的移动支付。（3） 移动介入 INTERNET 支付。就是通过一个移动门户，来购买商品。（4） 移动辅助 INTERNET 支付。这种方式有点类似移动交费。通过互联网或者专网的网络平台，然后把支付方连接到平台，相互转账的支付方式。移动支付具体表现在：（1） 自动销售点的支付，购买商品。（2） 电子现金。把手机当成电子钱包。（3） 定票的业务。定票业务可能会和定位，MMS 这些业务结合在一起。为用户提供更便捷的多元化生活方式。（4） 博彩，包括彩票，国外的赌马和体育赌博等等。（5） 交费的方式。通过银行把个人账户和手机联系在一起。2.2.3 移动电子支付的分类移动电子支付是移动电

26、子商务最重要的一环，涉及到安全性、可靠性、经济利益等多方面因素。对于移动电子支付的分类也是五花八门，大体上来说可以分为如下几类：（1）按照支付的数额分类，包括微支付、小额支付、宏支付等。（2）按照交易对象所处的位置分类，包括远程支付、面对面支付、家庭支付等。（3）按照支付发生的时间分类，包括预支付、在线即时支付、离线信用支付等。2.2.4 移动支付流程其实移动支付与一般的支付行为没有太大的区别，都要涉及到四个环节：消费者、出售者、发行方和收款方。其中发行单位和收款单位都应该是金融机构。如图 2.3 所示： 图 2.3 移动支付流程图 2.2.5 移动支付成功所面临的问题移动支付业务的成功发展不

27、可避免地要面临一些问题，例如用户对移动支付业务的认可以及技术问题。1、用户的需求用户是否认为有必要通过手机购物。消费者已经习惯了现金或信用卡的消费方式。移动支付作为一个新型的业务，在很长的一段时间内，只是一个补充的手段。要解决这个问题就必须充分发挥移动终端随时接入到多种业务所带来的利性，另外还可以考虑根据个性化和位置信息增加功能。2、可用性问题繁琐的交易程序消耗的时间可能会是现金交易的几倍。可用性也就成了用户考虑的因素。用户如何能够通过终端方便的接入到业务，点击一个号码或者通过WEB 浏览等等；友好的用户界面也是一个非常关键的因素。目前的 SMS，STK，WAP 的界面都不丰富，有的既需要换卡

28、，又需要输密码，影响移动支付业务的发展。3、安全性问题安全是电子商务的保证，是非常重要的环节。移动支付必须让用户感知到和自己支付现金是一样的安全。 在国外，Forrester Research调查公司曾经做过一份用户对移动支付的看法的调查，调查显示超过一半的消费者认为信用卡安全是最大的问题。如表 2.3 所示。表 2.3国外用户对移动支付的看法障碍手机（%）PDA（%）信用卡安全5247糟糕的用户体验3531不知如何使用1616从未听说过1012其它1113移动支付的安全性问题涉及到了包括身份验证、数据加密解密、数据完整性、不可否认性等要点在内的许多方面的问题，这些问题在使用 PC 机或服务器

29、在互联网传输的情况下可能只是一些小问题，但由于移动设备终端自身的硬件限制，这些安全性的问题在移动终端上将成为重大的挑战3.移动支付技术与协议目前能够实现移动支付的技术从理论上来说有很多，如 SMS、WAP、J2ME 等增值服务及数据能满足移动支付业务的基本需要。本章将对现存的各种移动支付技术进行简要的介绍，重点介绍目前用于移动支付的两种安全协议 SSL 和 SET，通过分析，指出它们用于移动环境的缺陷，为下章的新协议做好准备。3.1 一些典型的移动支付技术3.1.1 SMS短信是目前国内移动支付的最主要的方式。这主要是由于短信息能够被所有移动设备终端所支持，不但操作简单，而且用户在日常使用手机

30、等移动终端的过程中也已经习惯了使用短信息，可以说短信在移动支付的领域里有着良好的先天的用户习惯基础。由于 SMS 具有高的易用性和高普及度，因此，它注定将成为移动支付服务中所使用的关键媒介。3.1.2 STKSTK（SimTool Kit）6，简称“用户识别应用发展工具”，可以理解为一组开发增值业务的命令，以中小型编程语言，它允许基于智能卡的用户身份识别模块SIM运行自己的应用软件。3.1.3 WAPWAP7的全称是“无线应用协议（Wireless Application Protocol)，它提供了通过手机访问互联网的途径，WAP站点也即手机上的网站。在过去，WAP1.2已经渐渐被用户所接纳

31、，用户访问量逐年大幅度提高，而最近移动运营商又把WAP2.0 作为新的业务重点进行大力推广。3.2 安全支付协议介绍上节介绍了现行的典型的移动支付实现技术，并且指出了各自的优缺点，这些技术只是为移动支付提供了一个交易的平台。要使这些平台安全的工作，还需要有安全支付协议的保障。本节介绍两种应用广泛的支付协议，同时指出它们的应用于无限环境的缺点。3.2.1 SSL 安全协议1、SSL 安全协议概念SSL 安全协议又叫安全套接层（ Secure Sockets Layer）协议，是由网景（Netscape）公司推出的一种安全通信协议，它能够对信用卡和个人信息提供较强的保护。SSL 是对计算机之间整个

32、会话进行加密的协议。在 SSL 中，采用了公开密钥和私有密钥两种加密方法。（1）在建立联系过程中采用公开密钥；（2）在交易过程中使用专有密钥；（3）加密的类型和强度由在两端之间建立连接的过程中判断决定。2、SSL 安全协议的电子交易过程SSL 安全协议的电子交易过程如下：（1）消费者与商家建立连接；（2）商家把自己的数字证书传送给消费者；（3）消费者利用 SSL 软件随机产生传输密钥，以商家的公钥加密后传送给商家；（4）消费者利用 SSL 软件随机产生传输密钥，以商家的公钥加密后传送给商家；（5）商家再将信息转发给银行；（6）银行对信息进行验证，一旦通过验证通知商家和消费者付款成功；（7）商家

33、再通知消费者交易成功。3、SSL 安全协议存在的问题（1）消费者的银行资料信息送给商家，消费者无法对商家保密自己的信用卡信息。（2）SSL 是被设计来保护传输资料的过程安全，而在传输过程中仍会遭受截取攻击。（3）没有提供消费者对商家的认证，无法保证该商家就是消费者愿与之合作的商家。4、SSL 安全协议的改进对金额不等的交易，协议要求也不一样，像对小额交易时，就不需太作更改，可直接使用 SSL 安全协议，作大型高额交易时，SSL 安全协议就需提高其安全性，提供完善的身份认证。具体改动如下：（1）交易参与各方都需具有证书，以提供相互认证。（2）消费者对订单和支付命令必须进行双向签名。（3）支付机构

34、通知商家支付确认后，商家向消费者提供商品或服务，款项从消费者户头里拨出，在一定的时间内允许消费者提意见，如果消费者没表示不满，则银行将款项转到商家户头里。否则，一旦消费者提出不满，则由仲裁中心来进行仲裁。3.2.2 SET 协议介绍安全电子交易（Secure Electronic Transaction，简称SET）是目前电子支付中最常见的交易模式，它较好的解决了在互联网支付中可能遇到的各种安全问题。在网上购物的环境中，用户希望在交易中保护自己的帐户信息，使之不被人盗用；商家则希望用户的订单不可抵赖，并且，在交易过程中，交易各方都希望验明其他方的身份，以防止被欺骗。针对这种情况，由美国Mast

35、ercard公司和Visa公司于 1996 年联合开发了SET协议。SET安全协议主要是针对互联网购物的安全性提出的一个国际标准。1、标准的 SET 安全协议标准的 SET 安全协议包括：（1） SET 通信协议，提供私密的付款信息、信用卡认证信息。（2） 持卡人使用含 SET 标准的电子钱包辅助持卡人至认证中心（CA）取得信用卡电子证书；产生公钥及密钥、存储与管理电子证书的密钥。（3） 发卡单位提供消费者对信用卡的申请与消费者信用卡的管理。（4） 支付网点。（5） 在线商家。（6） 认证机构提供持卡人、商店、支付网点之间的认证服务。（7） 收单银行，通过支付网点处理消费者和在线商店之间的交易

36、付款问题。2、SET 安全协议交易过程SET 交易流程如图 3.1 所示：图 3.1 SET 安全协议流程图3、SET 安全协议存在的问题从 1996 年 4 越 SET 安全协议 1.0 版面世以来，大量的现场实验和实施效果获得了业界的支持，促进了 SET 安全协议的发展，但其推广应用仍然比较缓慢，其主要原因是存在以下几个问题：（1）协议没有担保“非拒绝行为”，在线商家无法证明订单是不是由签署证书的消费者发出的。（2）没有说明收单银行给在线商家付款前是否必须收到消费者接收商品的证书，一旦出现消费者对商家提供的商品不满意时，责任问题无法落实。（3）没有明确事务处理结束后，如何安全的保存或销毁此

37、类数据，是否应当将数据保存在消费者的计算机里，还是应当保存在在线商家的计算机里？这些漏洞可能使这些数据以后受到潜在的攻击。3.2.3 SSL 与 SET 协议的比较SSL 与 SET 同样提供了电子安全交易的机制，但是运作方式是有差别的，其中包括：1认证机制方面：SET 的安全需求较高，因此所有参与 SET 交易的成员都必须先申请数字证书来识别身份。而在 SSL 中只有商家端的服务器需要认证，客户端认证则是有选择性的。2设置成本：若持卡者希望申请 SET 交易，除了必须先申请数字证书之外，也必须在计算机上安装符合 SET 规格的电子软件。而 SSL 交易则不需要另外安装软件。3安全性：一般公认

38、 SET 的安全性较 SSL 高，主要是因为整个交易过程中，包括持卡人到商家端、商家到银行网络，都受到严密的保护。而 SSL 的安全范围只限于持卡人到商家端的信息交换。3.3 本章小结本章介绍了现行的移动支付技术，重点介绍了两种重要的支付协议。虽然 SET和 SSL 协议已成功应用于传统网络，但它们不能很好的应用于无线网络环境，因为客户有限的移动设施性能无法完成 PKI 密码的大量运算。而且，发给客户的证书必须由 CA 校验，这将大大增加信息的传输。另外，客户需要信任支付网关，因为在传输信息的过程中客户的信用卡信息会泄露给支付网关。4 基于对称密钥的移动支付协议4.1 支付协议的目标由于移动宏支付涉及到银行的参与，且交易额较大，因此对安全性要求比较高。特别是无线环境中的安全，它受信道、手持设备等本身特有因素的影响，因此安全性不容易保证。