移动支付空中圈存技术研究

张湘东，张文安，谢 云

（中国电信股份有限公司广东研究院 广州 510630）

移动支付空中圈存技术研究

张湘东，张文安，谢 云

（中国电信股份有限公司广东研究院 广州 510630）

空中圈存作为移动支付业务的核心功能之一，为移动支付业务提供了与传统IC卡支付业务所不同的非常重要的差异化服务。本文在对空中圈存业务实现原理及关键问题进行分析的同时，对空中圈存技术中的圈存安全机制、交易保护机制等重点问题进行了深入研究，提出了一种可行的空中圈存技术实现方案，供移动支付运营商及应用方在发展空中圈存业务过程中参考。

空中圈存；移动支付；圈存安全机制；交易保护机制；OTA

1 引言

随着手机智能卡RFID技术的发展，SIMPass、eNFC、RF-SIM等使用手机智能卡实现非接触式应用的技术陆续为广大用户所接受，基于RFID的移动支付业务已经在全世界范围内蓬勃发展。相比起传统IC卡方式的非接触式应用，手机智能卡除具备随身携带的便利外，一个非常重要的特性是可以通过手机屏幕实现与用户之间的交互，同时还可以利用手机所提供的数据通道实现与后台系统的交互。利用上述技术，可以实现让用户随时随地完成钱包充值、消费记录查询等手机钱包的管理功能，给消费者提供远远超出传统IC卡的用户体验。这就是本文所要讨论的空中圈存技术。

空中圈存是指用户通过操作手机STK菜单或者手机客户端，使用OTA或者BIP等无线方式与后台支付系统进行通信，完成对手机智能卡内钱包的充值、查询、消费等功能。空中圈存是移动支付业务区别于传统公交、银行、校企等IC卡应用的一个非常重要的差异，它所提供的这种随时随地进行钱包管理的能力，对于应用方提高服务水平、降低服务成本、提升用户体验等都有着非常重要的意义，可以大大丰富移动支付业务的功能。

2 空中圈存技术发展现状

空中圈存是一项非常新的技术，技术的成熟度还有待提高，目前在国内外的正式应用还不多。下面分别从网络架构、交易流程、存在问题等方面对现有空中圈存技术的发展情况进行介绍。

2.1 网络总体结构

现有方案空中圈存业务网络结构如图1所示。由于BIP（bearer independent protocol，承载无关协议）技术尚未成熟，因此目前空中圈存业务主要通过OTA（即数据短信）的方式实现，从网络架构上看主要包括以下几部分。

（1）手机终端/SIM 卡

手机终端需支持数据短信。SIM卡中预置了移动支付应用方的手机钱包，并且支持空中圈存功能。

图1 现有方案空中圈存业务网络结构

（2）短信网关

短信网关是空中圈存业务的短信通道，负责转发上下行短信。

（3）移动支付应用方平台

移动支付应用方是指公交、银行及其他使用空中圈存业务的第三方系统。为实现短信的收发，移动应用方平台需作为短信SP连接到短信网关，负责完成以下功能：

·负责数据短信的接收、发送以及加解密处理；

·负责验证业务请求的有效性，根据业务类型进行相应的业务处理，并将处理结果返回到卡端；

·负责与支付平台进行交互完成圈存扣款等相关工作；

·负责完成空中圈存业务的事务保证。

（4）支付平台

支付平台负责管理用户的支付账户，完成账户绑定、账户支付、平账及清/结算等功能。支付平台可能由银行或其他第三方支付平台提供，不同的应用方可能使用不同的支付平台。

2.2 交易流程

由于空中圈存包含的交易流程很多，这里仅以手机钱包圈存流程进行说明。用户通过空中圈存进行钱包充值前，需要事先将手机钱包与支付账户进行绑定。现有方案手机钱包圈存交易流程如图2所示。

①用户通过点选手机UTK菜单的“充值菜单”，将充值请求信息通过数据短信形式发送到应用方平台；

②应用方平台将圈存短信内容进行解析，首先对验证圈存请求是否由合法的手机钱包发起；

③确认请求的合法性后，应用方平台向支付平台发起扣款；

④支付平台验证扣款请求合法性后，从用户手机钱包绑定的支付账户中进行扣费，返回扣款结果；

⑤应用方平台记录交易信息，并生成圈存结果数据短信返回SIM卡；

图2 现有方案手机钱包圈存交易流程

⑥圈存结果通过数据短信形式发送到手机终端，手机终端将数据短信透传到SIM卡进行处理；

⑦SIM卡上的空中圈存应用验证圈存结果的有效性，并根据圈存结果，对手机钱包的余额进行更新；

⑧SIM卡将钱包更新情况以充值确认数据短信形式发送到应用方平台；

⑨应用方平台收到充值确认短信后进行记录，如钱包更新失败则需要与支付平台进行平账处理。

2.3 存在问题

上述空中圈存技术方案目前已在部分地区的公交、银行等移动支付应用上进行过试点，但是试点效果并不理想，一直无法进行大规模的推广，存在的问题主要包括以下3个方面。

2.3.1 接口标准化

从长远的发展看，每个用户都需要使用包括公交、银行、校企等在内的多种移动支付应用，这就要求在同一张智能卡上需要集成多个应用方的手机钱包。各个应用方为了提高其服务水平，都会开展空中圈存业务，这会带来以下两个问题。

（1）标准不统一

目前空中圈存技术都是由应用方自行定义数据短信接口标准，因此标准都不统一。一旦卡片上需要集成多个应用的时候，由于SIM卡上处理下行数据短信的接口是统一的，一方面，如不同应用的短信接口标准存在冲突，那么将会导致SIM卡无法对短信内容进行正确解析；另一方面，既便不存在冲突，也必须在SIM卡上的数据短信接收处理流程中对多个不同手机钱包应用的数据短信进行解析处理，导致该流程的设计非常复杂，从而给卡片开发带来很大困难；尤其未来移动支付卡上的应用可以根据用户需要动态加载，SIM卡在无法预知用户将使用哪些应用的情况下，对于新增应用将无法提供空中圈存功能的支持。

（2）于应用方的技术实力要求很高

由于空中圈存技术较为专业，应用方需要对数据短信收发、空中圈存的安全机制及事务控制、支付平台的扣款及清/结算等技术有深入了解，因此对于应用方的技术实力要求很高。对于一些技术实力不强、规模较小的应用方，要自行开发空中圈存平台存在技术难度大、开发成本高等困难。这种情况会制约空中圈存业务的发展。

2.3.2 圈存安全

空中圈存技术通过无线信道向SIM卡发送圈存指令，因此交互信息容易被截获。一旦指令格式及密钥被破解，就可以通过向SIM卡发送仿冒指令方式实现对卡片的无限充值，从而给应用方造成损失。同时由于空中圈存与POS现场圈存使用相同的圈存密钥，受影响的可能不仅限于空中圈存卡片，还包括了普通的IC卡片。

目前空中圈存技术在圈存安全方面采取的措施较为简单，通过在SIM卡内存放一个专用的短信加密密钥，对上、下行的数据短信内容进行加/解密处理。这种对称加密方式安全性不高，容易被破解和篡改，因此必须研究更为安全的技术实现方法。

2.3.3 事务处理

空中圈存业务使用短信作为数据通道，由于短信存在不确定性，会出现延迟、遗漏等情况，可能造成后台服务器与卡片状态不一致的情况。例如后台已经从用户绑定的支付账户扣款，但是由于短信未能下发到卡片，导致充值未能成功等情况，为此必须通过专门的事务处理机制进行平账处理。

现有技术主要通过短信重发机制进行解决，应用方平台在一定时限内未收到充值确认短信时，按照系统设定的时间和次数重发圈存结果短信，直到收到SIM卡返回的充值确认短信为止。这种方式存在的问题包括：如果用户手机由于断电、无信号等原因，较长时间都未能连接网络，可能导致平台后续重发的短信都不能到达手机，将使得充值最终失败，无法进行平账；如果SIM卡充值已经成功，但是返回的充值确认短信丢失，应用方平台超过时限后重复下发圈存结果短信，会导致SIM卡重复收到多次圈存结果短信。这种情况下要求SIM卡必须要对重复短信进行识别，避免重复充值，同时要将充值结果再次进行上报。这就会增加SIM卡内充值处理流程的复杂度。

上述几个问题是空中圈存技术一直以来研究的重点，只有通过不断地改进，才能推进空中圈存技术的成熟，从而促进空中圈存业务的规模发展。

3 空中圈存技术方案研究

为了解决上述问题，通过深入的分析和研究，笔者提出了一种新的空中圈存技术解决方案。这个方案由电信运营商实现统一的空中圈存平台，并提供标准的开发接口供各应用方调用，从而实现圈存流程的标准化，同时也大大降低了应用方开发空圈业务的技术难度。在此基础上，通过更为安全有效的圈存安全机制和交易保护机制，确保圈存交易的安全以及事务处理的完整性。

下面对由运营商统一实现空中圈存系统这种技术方案，分别从网络架构、平台架构、交易流程等方面与原有方案进行比较，并重点对圈存安全机制、交易保护机制进行分析和探讨。

3.1 网络总体结构

通过图1和图3的比较可以看出，新方案与原有方案相比差别主要有以下两点。

（1）分担原方案中应用方平台中部分与手机钱包交易处理流程无关的工作

新方案增加了一个由运营商提供的空中圈存系统，它将分担原方案中应用方平台中部分与手机钱包交易处理流程无关的工作，其主要功能包括：

·负责数据短信的接收、发送以及加解密处理；

·负责根据数据短信中的应用方标志字段将业务请求发送给相应的应用方平台等进行实际的业务处理，并将应用方平台返回的处理结果通过短信发送回用户的手机终端；

·负责完成空中圈存业务的事务保证；

·根据需要可与支付平台相连，完成支付账户扣款等功能。这种方式下，应用方平台只需要专注于手机钱包的相关业务处理流程，大大简化了技术实现难度。

（2）支付平台可以与空圈平台相连，也可以与应用方平台相连

根据业务需要，支付平台可以与空圈平台相连，也可以与应用方平台相连。对于规模大、技术能力强的应用方可以自行连接支付平台，完成账户绑定、账户扣款、平账处理、清算/结算等功能；而对于规模小、技术能力低的应用方，则可以由空中圈存平台负责这部分功能的处理。

3.2 平台架构

移动支付空中圈存平台（如图4所示）从功能层次上大致可以划分为以下几个层面。

图3 新方案空中圈存业务网络结构

图4 新方案空中圈存平台架构

（1）移动支付卡层

移动支付卡中加载了多种不同的应用，如银行、公交、校企等，在各个应用之上需要由智能卡操作系统实现一个数据短信分发模块，用于将下行的数据短信分发到不同的应用，进行应用相关的业务处理。

（2）数据短信分发层

为实现统一接入，空中圈存平台对数据短信格式进行统一的规范，并通过特定字段标识应用方平台，使得对短信内容进行统一解析后，可以很明确地知道这条消息将要发送到哪个应用方平台进行处理。数据短信分发层主要完成短信接入、数据短信解析处理、消息路由、协议转换及权限控制等功能。

（3）空中圈存处理层

由于不同类型应用的空中圈存业务流程有所差异，因此各类应用的空中圈存处理模块有所差别。空中圈存处理层完成的主要功能包括：

·空中圈存业务流程控制，空中圈存模块通过与应用平台之间的交互，完成空中圈存业务流程的处理；

·空中圈存业务事务保证，对于空中圈存业务流程中出现的异常情况进行处理，保证SIM卡与应用平台的数据一致。

（4）应用平台

各应用平台通过与空中圈存处理模块的交互，共同完成业务流程的处理。应用平台负责完成手机钱包业务流程的实际处理。

3.3 交易流程

这里同样以钱包充值流程为例对交易流程进行对比说明。在新方案中，支付平台有两种连接方式。对于支付平台与应用方平台连接的方式，交易流程与原方案基本类似，只是上下行短信经过空中圈存平台的中转处理，这里不重复描述。下面将以支付平台与空中圈存平台相连的方式为例，说明在钱包充值流程过程中的整个交易流程。新方案钱包充值交易流程如图5所示。

①～②：充值请求信息通过数据短信形式发送到空中圈存平台后，空中圈存平台对短信内容进行解析，根据请求报文中的应用方标识，将圈存请求转发给对应的应用方平台。

③～④：应用方平台收到圈存请求后，验证圈存请求是否由合法的手机钱包发起。

⑤～⑥：确认请求的合法性后，空中圈存平台向支付平台发起扣款。

图5 新方案钱包充值交易流程

⑦～⑩：空中圈存平台将扣款结果通知应用方平台，应用方平台记录交易结果并生成圈存结果信息返回空中圈存平台，由空中圈存平台以数据短信形式发送到手机终端。

～ ：手机终端将数据短信传送到SIM卡进行处理，SIM卡上的空中圈存应用验证圈存结果的有效性，并根据圈存结果对手机钱包的余额进行更新。

～ ：SIM卡将钱包更新情况以充值确认数据短信形式发送到空中圈存平台，空中圈存平台收到充值确认短信后进行记录，如钱包更新失败则需要与支付平台进行平账处理。

3.4 圈存安全机制

由于空中圈存业务涉及钱包的充值、消费等重要操作，交易报文通过短信传递，存在被截取、仿冒等的可能性，原有方案中仅仅对数据短信内容进行加密还不足够，必须进一步采取措施确保交易报文在传输过程中不被篡改，确保信息双向传输的安全。

为此，笔者提出了在短信加密的基础上，增加一种更为安全的双向认证机制，从而保证圈存交易的安全。一方面由空中圈存平台对UIM卡的上行信息进行认证，确保只有合法用户发出的业务交易请求被响应；而同时UIM卡也需要对空中圈存平台的下行信息进行认证，确保业务操作请求确实由空中圈存平台下发，有效地避免恶意代码对用户UIM卡的入侵。此外，双向认证技术也可用于保证在空中圈存平台与UIM卡之间交互的上、下行数据的完整性和正确性。

具体技术实现过程中，空中圈存平台与用户的UIM卡需事先约定好一组空中圈存交易密钥，该组密钥由运营商给用户发卡过程中写入到UIM卡内，写入后不可读取，只能用于参与指定的运算。

UIM卡发送交易请求前，需要从密钥组中随机选择一个密钥，然后分别用UIM卡的卡片序列号及随机数进行2次分散，生成本次交易的工作密钥。然后将交易请求中的关键信息，使用工作密钥计算MAC值，同时将随机数及MAC值附在交易请求消息内容后一起发送到空中圈存平台。空中圈存平台通过同样方法对交易信息进行MAC计算，将得到的MAC值与UIM卡计算的MAC进行比较，只有结果一致的情况下才认为这个交易请求是合法有效、未被篡改的。空中圈存平台下发的信息也采用同样的方式进行认证。

图6 MAC算法

MAC算法如图6所示，MAC计算方法可以参考《中国金融集成电路（IC）卡规范电子钱包电子存折应用规范》的相关内容。

目前一次交易需要经过空中圈存平台与应用方平台的两次处理，空中圈存平台主要完成通信层功能处理，而应用方平台主要完成业务层功能处理。要进一步增加交易的安全性，可以对通信层和业务层的信息内容进行分离，在通信层和业务层分别约定不同的交易密钥用于进行MAC值计算和信息内容加密，由空中圈存平台和应用方平台分别进行校验和处理。这种方式一方面增加了交易的安全性，另一方面明晰了空中圈存平台和应用方平台的职责，确保了任何单方交易都无法对卡内数据进行更改，使得双方可以更好地建立信任关系。

3.5 圈存交易保护机制

为保证交易的事务处理完整性，笔者提出了一种充值同步的异常处理机制。在每次发起新充值流程的时候，对之前的充值记录进行对账处理，确保卡与后台交易记录的一致性，具体描述如下。

①UIM卡在每次发起充值请求时，都会在充值请求消息中附带上前n次未与应用平台进行过同步确认的交易数据信息（无论是成功还是失败）。

②应用平台将接收到的未同步的充值信息记录后进行对账处理。如果充值记录一致则不需要进行处理；若已经从绑定的支付账户进行了扣款，但是UIM卡实际充值未成功，那么就需要向支付账户发起冲正，返还用户的充值款。

③当UIM卡收到对应的下行充值响应数据短信时，表明应用平台已经收到了UIM卡的上行请求，即应用平台已经对上行请求中携带的未同步交易信息进行了同步处理，这时候UIM卡就可以将已经确认过的交易信息删除。

④UIM卡中保存的未同步交易信息数量过多，到达一定限制时，就不允许UIM卡发起新的充值请求。若用户再次发起新的充值，此时UIM卡将自动触发执行充值同步请求操作，将UIM卡保存的未同步交易信息发送给应用平台进行同步处理，直至UIM卡收到充值同步确认后，才允许用户继续执行新的充值操作。

⑤用户在不发起新充值的情况下，也可以通过STK菜单中的同步充值记录菜单项，单独发起充值同步请求操作。

通过上述方式，实现了一种对交易异常情况进行平账处理的机制，确保了两端记录的一致性。与原有方式对比，这种方式由用户端发起，用户可以在能够连接网络的情况下进行交易同步，确保了平账处理的成功率，对于卡片的异常处理流程实现也可以简化。

4 方案总结

本文中提出的空中圈存技术新方案与原有方案相比具备以下优点：接口更为标准化，大量专业技术工作由运营商实现，极大简化了应用方平台的开发工作，使得空中圈存业务的开发更为简便、快速，有利于空中圈存业务的快速发展；对于移动支付卡片的开发工作同样大大简化，接口标准化使得数据短信接收处理流程实现统一，要实现新的移动支付应用时也可以大量重用原有代码；双向认证机制的引入，进一步增强圈存交易的安全性，保证了信息传输的安全；圈存交易保护机制的提出，减少了由于用户无法连接网络造成无法进行异常交易处理的情况，确保了两端交易数据的一致性。

目前笔者所提出的方案已经做为中国电信翼支付自有账户的空中圈存技术方案在部分省份进行试点，并取得了较为理想的效果，已经准备向全国范围进行推广。

另外，空中圈存技术目前存在的一个较为严重的问题是：数据短信的通信方式并不可靠，由于短信延误、丢失等而引起的交易异常情况出现较多，经常需要通过异常处理机制进行平账处理。要解决这个问题，必须尽快推进BIP技术的研究，使得智能卡可以通过数据网络与后台进行通信，保证交易的实时性，从而大大减少异常情况的发生。

1 中国金融集成电路（IC）卡电子钱包电子存折卡片规范.中国人民共和国金融行业标准,JR/T 0025.1-2004

2 中国金融集成电路（IC）卡电子钱包电子存折应用规范.中国人民共和国金融行业标准,JR/T 0025.1-2004

3 中国电信移动支付数据短信卡片操作技术规范，2011

4 刘挺，华皓，姚俊旻，张建宇.电信运营商的移动支付产品商业模式探讨.电信科学，2010，26（9）

5 陈洪，李真，张明杰，林正汉.手机非接触支付的技术标准比较分析.电信科学，2010，26（9）

6 李真，张明杰，奚中德.基于统一账号的电信运营商全业务支付体系探索.电信科学，2010，26（9）

7 李峰，陈晓勤，钱守廉.基于2.4 GHz载频的“翼支付”安全认证研究.电信科学，2010，26（9）

8 汪树东，柯卫，董亚楠.移动支付平台建设实践与探索.电信科学，2010，26（9）

9 陈晓勤，钱守廉.基于电信级网络营造 “随时随地和诚信安全”的电子支付服务环境.电信科学，2010，26（9）

Reseach on Load Credit Over the Air of Mobile Payment

Zhang Xiangdong,Zhang Wenan,Xie Yun
(Guangdong Research Institute of China Telecom Co.,Ltd.,Guangzhou 510630,China)

As one of the core functions for mobile payment business,‘load credit over the air’technology provides a very differential and important service from traditional IC card payment business.In this paper,we not only introduce the realization principle and key problems of load credit over the air,but also research deeply into some key problems like load credit protection mechanism,trading mechanism,etc.Base on that,we put forward a feasible solution for mobile payment operators and application square in the development process of load credit over the air business.

load credit over the air,mobile payment,load credit protection mechanism,load credit trading mechanism,OTA

2011－05－12）