[发明专利]基于信任模型的移动电子商务微支付方案

说明书

技术领域

本发明属于信息安全和控制与决策技术领域，涉及到安全管理、访问控制、控制与决策、移动电子商务微支付等技术，具体是一种基于信任模型的移动电子商务微支付方案，应用于移动电子商务微支付网络系统的安全管理和安全控制等领域。 

背景技术

移动电子商务融合了Internet、无线通信技术和电子商务，是指通过手机、个人数字助理(PDA)和笔记本电脑等移动终端设备进行的商务活动。在移动电子商务中，用户使用移动设备通过无线网络在Internet上买卖商品、服务和信息。虽然现有的电子商务服务也可以用于移动环境，但由于传统电子商务与移动电子商务所依赖的基础设施不同，移动设备运算能力、存储能力、传输能力的局限性和无线网络的物理限制和技术限制，使得现有的电子商务支付方案很难直接应用于移动环境中。此外，由于无线通信的开放性，使得无线网络更容易受到安全攻击。在无线网络环境中，不仅原来在有线环境下的安全威胁依然存在，而且还会产生新的专门针对无线网络的安全威胁。因此，需要建立安全、高效、可信的移动电子支付平台，其中微支付是移动电子支付的重要形式。 

通过移动设备进行安全可靠的电子支付是移动电子商务中的关键环节，是移动电子商务成功的基石。电子支付的发展过程经历了两个阶段，第一个阶段主要基于信用卡，第二个阶段引入了数字现金、电子支票、移动支付工具等。此外，在这个发展过程中引入了新的参与者作为服务提供商与用户之间的可信第三方，即支付服务提供商(PSP：Payment ServiceProvider)。典型的电子支付协议主要有基于信用卡的电子支付协议SET、iKP、SSL和3D等，其中iKP能够根据安全要求，实现不同的安全水平，也可用于微支付。基于数字现金的典型产品主要有ECash。电子支票方案是通过买方的银行账户向卖方进行支付，如FSTC和Netcheque。以上这些支付协议在执行时都会产生较大的计算成本和通信负担，尽管具有较高的安全性，但对于微支付来说由于每笔交易的成本可能会高于支付金额，因而不适合用于移动电子商务的微支付环境。 

微支付是移动支付的主要形式。为了获得较高的效率，保持较低的交易成本，微支付协议希望能够使通信负担和计算成本最小化。微支付方案通常使用轻量级的密码协议，并允许离线验证。对于微支付来说，其安全性的基础是“攻击者欺骗的代价要比可能获得的利益更高”。微支付方案有两种模型，即符号(Notational)模型和代币(Token)模型。在符号 模型中，用户传送具有支付价值的支付消息，基于这种模型的微支付方案主要有Millicent、Micro-iKP。在代币模型中，交易是通过交换代币进行的，基于这种模型的微支付方案主要有PayWord和MicroMint。近年来，国内的学者也对微支付进行了相关的研究，提出了改进的电子商务微支付方案。但是，这些方案在应用于移动电子商务环境时没有充分考虑无线网络的特殊性，存在计算成本高、协议交互轮数多、存在安全隐患等问题，不适用于多方微支付的情形。 

目前大多数移动电子商务安全方案主要采用加密和认证技术解决无线通信中的安全问题，却很少去研究应用层的安全风险，而移动用户在移动电子商务中与未知的或不熟悉的服务提供商进行交易时，必须面对各种潜在的安全威胁和信用风险。 

在线信任匮乏也是阻碍移动电子商务快速、健康发展的重要因素。因此，需要建立移动电子商务的信任机制，根据交易参与者的行为预测其未来的信誉，以评价交易各方的信任度，从而降低交易风险。但是，与传统电子商务相比，移动电子商务中的信任机制建立无论在内容上还是方法上都有很大差别，需要探索与之相适应的信任模型和信任保障机制。 

目前在信用机制研究方面，主要采用统计学、社会学、不确定性理论、语义等理论、方法，试图用一种精确的、理性的方式来度量在线用户的信用度，并提出了许多信用模型。但现有信用模型研究存在难以准确预测交易行为，无法消除信任诋毁、榨取等恶意行为。因此，必须在分析和研究移动电子商务应用现状的基础上，提出一种新的适用于移动电子商务环境的微支付方案，将移动电子商务中的微支付方案与信任模型相结合，根据交易各方的信用度自动选择适用的支付算法和支付方式，以体现其自适应性、动态性和高效性。 

发明内容