空中圈存系统平台研究

    圈存，是指将账户资金划入电子钱包的过程，即将平时从银行户头中提领现金放在口袋里进行消费付款的方式转变成将银行户头中的钱直接圈存(存入)IC晶片上[1]。通过圈存的方式，使消费者免除诸多麻烦和风险，如找零、遗失、伪钞、被抢等。根据传统的圈存方式，用户必须得去银行的营业厅或者业务受理专用终端以联机的方式从而进行圈存充值。

    这种方式既需要业务提供方投入较大的成本，也需要用户投入较大的时间成本，从而降低了业务的便利性。随着目前移动支付业务量的不断增大，固定地点进行圈存的方式越来越无法满足使用者日渐增长的圈存需求。

    移动支付，也称为手机支付[2-3]，是指用户使用其移动终端（通常是手机）对所消费商品或服务进行账务支付的一种服务方式。移动支付作为一种新兴的应用方式，正在受到产业各界和用户越来越多的重视。据市场研究公司Juniper Research的调查数字显示，2011年全球手机用户创造的移动支付市场规模将可能会达到220亿美元。

    同传统的固定圈存方式相比，移动支付对使用者有着天然的便利性。因此，移动支付能够成为圈存技术由固定地点向空中发展的重要前提和基础。

    文章首先对目前基于固定地点的两种圈存技术进行了深入分析，并在此基础上，从用户体验、系统实现、应用开发、交易流程等方面提出了空中圈存系统平台设计的基本原则；基于该原则，文章又给出了实现空中圈存系统平台的详细方案及其业务流程；最后，文章对空中圈存系统平台的相关应用价值及可行性进行了总结分析。

1 圈存技术现状分析
    目前，基于固定地点的圈存技术方案主要包括两类：

• 基于电子钱包的圈存方案：基本遵循《中国金融集成电路（IC）卡电子钱包/电子存折规范第2部分：应用规范》，目前非金融行业领域主要采取该技术方案[4]；
• 基于电子现金的圈存方案：基本遵循《中国金融集成电路（IC）卡规范第13部分：基于借记/贷记应用的小额支付规范》，目前金融领域主要采取该技术方案[5]。

    从实现功能的角度来说，电子现金和电子钱包没有区别，二者均可实现圈存、消费、查询余额3项基本功能。但是电子现金解决方案是完全兼容借记/贷记应用的支付产品组件，并具有标准借记/贷记应用的高级风险管理特性。

    而电子钱包本身是独立于借贷记的一种应用，其交易流程与借贷记应用有很大的差别，是人民银行专门为小额支付推广制订的一个应用，其优点在于和电子现金相比其交易流程较为简单，缺点在于安全性和电子现金相比存在差距。

    从用户使用圈存技术的角度来看，电子现金和电子钱包的这两种圈存方式，都是基于固定地点来实施的圈存方式，除具体圈存技术内部实现技术上的区别外，对广大的实际用户来说，都需要去一个固定场所办理圈存的相关业务。

    因此，从这一点来说，电子现金和电子钱包这两种传统的圈存方式，已经无法很好地适应目前移动支付蓬勃发展的新形势。

    从单纯的圈存技术角度来看，目前这两种传统的圈存方式彼此之间是分离的，是基于不同的技术原理和相关标准规范来设计并最终建立起来的。

    从实现技术和最终的业务提供平台来讲，这两种圈存方式彼此之间是完全分离的。不同的技术方式提供相同的业务和应用，可能会出现基础设施重复建设和资源浪费的一些情况。

    正是由于传统的基于固定地点的圈存方式存在诸多问题，现已无法满足和适应蓬勃发展的移动支付的广泛需求。

    文章在经过大量研究和分析的基础上提出了基于移动支付技术的空中圈存系统平台，并对其优缺点进行了深入的分析。

2 空中圈存系统平台研究和设计
    空中圈存，即以手机支付的方式进行圈存，如通过手机打电话、短信、空中下载技术(OTA)、菜单等方式即时将银行卡账户金额划转到手机卡钱包。相对固定地点的传统圈存方式，移动支付大大提高了用户使用的便捷性，使用户在具备移动信号覆盖的区域能够时时处处实现随心所欲的圈存操作。

    空中圈存是实现圈存的一种新的形式，与原有的固定方式的圈存应相辅相成，共同为用户提供不同的业务使用途径。

    基于对圈存技术的分析以及对移动支付技术和发展的研究，文章提出了新的空中圈存系统平台，包括空中圈存系统平台的设计原则、系统架构、基本的圈存流程以及关键结技术机制和异常处理等。

2.1 设计原则
    根据对传统固定地点圈存技术的分析和研究，目前空中圈存技术方案的制订过程中需要遵循一些重要的原则：

• 用户体验的友好性
  提供方便、快捷的圈存业务办理，易于用户使用，为用户提供良好的业务体验；提供与现有固定方式圈存相同的服务功能，确保用户体验的一致性。
• 平台的开放性与公共性
  构建开放、公共的圈存平台，实现跨平台、多应用的圈存能力。
• 后台系统的兼容性
  与各金融账户系统、第三方支付机构的账户系统、电子钱包等应用平台系统有良好的技术兼容性，方便与各系统进行对接。
• 应用开发的便捷性
  简化应用开发难度，实现便捷的应用开发，方便各种定制化、个性化的应用实现，并且还具有良好的可扩展性。
• 交易流程的简洁性
  从用户需求角度出发，尽可能的简化交易流程，降低系统实现的复杂性和圈存处理效率。

2.2 基本架构及主要功能
    根据对传统圈存技术的研究以及上述设计原则，文章经过研究提出一种新的基于空中圈存方式的系统平台，其基本架构如图1所示。

    该空中圈存系统平台所涉及主要模块有6大功能。

    (1) 空圈平台
    承担空中传输的角色，并负责空中报文的安全传输和圈存接入服务，将用户和金融系统、行业系统安全连接起来。其主要功能包括：

• 负责向金融系统/行业系统提供空中圈存的数据短信通道；
• 负责重复报文过滤；
• 负责短信报文的组装和安全处理；
• 负责分析数据短信，并且根据短信类型向相应的应用平台和账户系统转发圈存请求，并记录圈存手机号码。

    (2) 账户平台
    负责充值主账户的管理，以及充值、转账等账户相关操作的逻辑控制。在空中圈存业务中，账户平台主要负责主账户的资金划转。

    (3) 应用平台
    主要指电子钱包/电子现金应用平台，该平台负责应用逻辑的控制和钱包/现金账户的管理。在空中圈存业务中，应用平台主要负责圈存处理、冲正处理等。

    (4) 金融系统/行业系统
    包括账户平台和第三方应用平台，可实现充值主账户管理、应用逻辑控制和电子现金/电子钱包账户管理两方面的功能。典型的金融系统如银行系统，典型的行业系统如公交一卡通系统。在空圈业务中，金融系统/行业系统是主要的业务处理点，它利用空圈平台提供的数据短信通道和空中圈存服务，实现空中圈存业务，包括圈存安全处理、绑定圈存账户管理、冲正限额管理、圈存处理、冲正处理等。

    (5) 短信系统
    实现短信接入的能力部件，移动支付空圈功能的短信通道，主要负责转发上行短信到空圈平台系统进行处理，并向用户发送下行短信通知业务处理结果。

    (6) GGSN
    实现承载无关协议(BIP)接入的能力部件。

2.3 空中圈存业务流程
    空中方式的业务处理流程与销售点终端(POS)方式的业务处理流程一致，区别只是在于通道方式不同。对于各类金融应用，存在一个通用的空中圈存流程，但每个流程的细节会根据具体应用的不同而存在细微的区别。基于以上考虑，在文章所提出的空中圈存系统平台中，由用户主动发起的空中圈存的基本流程如图2所示。

    (1) 用户进入STK菜单发起圈存请求，菜单Applet则会根据应用需求组装好圈存所需要的具体数据元，按照报文格式生成数据短信上发给空圈平台；

    (2) 空圈平台收到卡上发的数据报文后，进行完整性校验，根据不同的目标应用索引将报文域发送给对应的支付应用平台；

    (3) 金融系统处理报文域数据，将圈存结果返回给空圈平台；

    (4) 空圈平台按照报文格式对圈存结果进行组装，生成下行圈存结果报文发送给卡；

    (5) 卡片收到圈存结果下行报文后，将圈存结果写入金融应用，同时给出成功与否的圈存确认；

    (6) 空圈平台收到卡上发的圈存确认报文后，进行完整性校验，根据不同的目标应用索引将报文域发送给对应的支付应用平台，从而完成圈存流程。

2.4 关键技术机制
    在空中圈存平台系统中，除了具备主要的系统架构和功能模块以及基本的圈存流程外，还主要涉及到同步计数器、安全认证保护和异常处理等主要的关键技术机制。

2.4.1 同步计数器机制
    空中圈存系统平台，在(U)SIM卡与空圈平台之间采用同步计数器机制，来保持支付(U)SIM卡与空圈平台间的同步状态，并且还可以通过保持支付(U)SIM卡与空圈平台间的同步来防止重传攻击对空圈平台所造成的损害。

    在本空圈系统平台中，需要同时维护和管理多个同步计数器。(U)SIM卡中所涉及到多个支付应用，每个支付应用需要维护属于该应用自己的A、B两个计数器，并且同时与空中圈存系统平台中的同步计数器一一相对应。

    在本空中圈存系统平台中，(U)SIM卡与空圈平台之间的同步机制分为3个基本阶段：同步计算器的初始化、运行及复位。

    (1) 同步计算器的初始化

• 支付(U)SIM卡端的同步计数器A和同步计数器B的初始值都为0；
• 空中圈存系统平台端的同步计数器A初始值为0，同步计数器B初始值为1。
  

    (2) 同步计数器的运行
    按照“下行短信是对支付(U)SIM卡的一个响应还是空圈平台主动下发行为”的基本设计思路，平台所采用的两个同步计数器的运行流程分为两种情况。

• 同步计数器A对应于“下行短信是对支付(U)SIM卡的一个响应”，该情况包括圈存请求命令、圈存确认命令、圈存结果命令、冲正交易请求命令、冲正结果。在这种情况下使用的同步计数器机制有两类。

    (a)支付(U)SIM卡产生上行数据时，应以当前本地同步计数器A的值填充上行数据中的同步计数器值；在收到圈存结果命令下行数据时，若下行数据中同步计数器值与当前本地同步计数器A的值相等或下行数据中同步计数器值比当前本地同步计数器A的值大1，则需要在完成该次圈存过程后将本地同步计数器A的值加1。

    (b)空圈平台收到上行数据时，若该上行数据需要响应，当上行数据中同步计数器值与当前本地同步计数器A的值相等，则应以当前本地同步计数器A的值填充下行数据中的同步计数器值，并将下行数据发送给支付(U)SIM卡，在发送完该次圈存结果命令下行数据后，空圈平台应将当前本地同步计数器A的值加1；当上行数据中同步计数器值比当前本地同步计数器A的值小1时，应以当前本地同步计数器A的值填充下行数据中的同步计数器值，并将下行数据发送给支付(U)SIM卡，在发送完该次圈存结果命令下行数据后，空圈平台则应保持当前本地同步计数器A的值不变。

• 同步计数器B 对应于“下行短信是空圈平台主动下发的行为”，该情况包括修改卡内参数命令，及后续扩展的平台下发的主动命令。在该情况下，服务器在发送完该次修改卡内参数下行数据后，才将本地同步计数器B的值加1。下行短信中的计数器必须大于支付(U)SIM卡中的计数器B，该短消息才可以被支付(U)SIM卡接受，支付(U)SIM卡在收到该次修改卡内参数下行数据后，用下行短信中计数器的值更新本地计数器B的值。如果下行短信中的计数器小于等于支付(U)SIM卡中的计数器B，则该短信会被认为是不合法的，并将会被禁止使用。

    (3) 同步计数器的复位 
    若支付(U)SIM卡或空圈平台中维护和管理的本地同步计数器到达最大值，应将同步计数器复位为初始值。支付(U)SIM卡或空圈平台应能检测出支付(U)SIM卡或空圈平台因到达最大值而将同步计数器复位的情况。

2.4.2 安全认证保护机制
    在空中圈存系统平台中，为保证(U)SIM卡与空圈平台之间数据传输的安全性和完整性，在支付(U)SIM卡现有的短消息传输机制中，需要对在物理信道上所传输的数据采用健全的双向安全认证保护机制。所谓健全的双向安全认证保护机制，是指由空圈平台对支付(U)SIM卡的认证（上行认证）以确保只有合法用户发出的请求被响应，由支付(U)SIM卡对空圈平台的认证（下行认证）以确保进入支付(U)SIM卡的下行数据的合法性，有效避免恶意代码对用户支付(U)SIM卡的入侵。

    双向安全认证保护机制的基本工作流程如下：

• 空圈平台收到上行数据后，计算该上行数据的报文认证码(MAC)，并与上行数据中的MAC码进行比较。若两者相同，证明该上行数据的发送者是合法用户，且数据在传送过程中未被修改、删除或重组，该上行数据有效；否则，则可能会丢弃该上行数据。
• 支付(U)SIM卡收到下行数据后，计算该下行数据的MAC码，并与下行数据中的MAC码进行比较。若两者相同，证明该下行数据来自合法的空圈平台，且数据在传送过程中未被修改、删除或者重组，该下行数据被认为是有效的；否则，丢弃该下行数据。

2.4.3 异常处理机制
    在本圈存系统平台中，主要的异常处理机制包括空圈平台圈存异常处理、卡片圈存异常处理、空圈平台冲正异常处理、卡片冲正异常处理和同步计数器异常处理等。

    (1) 空圈平台圈存异常处理

• 缺省情况下，平台无需收到卡片圈存结果请求，也认可圈存成功；
• 平台收到重复的圈存请求报文，需要按第一次处理结果再次下发圈存请求响应报文；
• 平台收到重复的圈存结果请求报文，则直接丢弃该报文。

    (2) 卡片圈存异常处理

• 卡片在没有完成一个圈存流程时，不能再次发起新的圈存请求；
• 卡片在收到圈存请求应答后，如果应答失败，则提示用户圈存失败，交易结束；否则，执行圈存操作；
• 卡片在执行圈存操作后，如操作成功，则提示客户圈存成功，交易结束，并立即发送圈存结果请求；
• 卡片在执行圈存操作后，如圈存是操作失败的，卡片立即发起冲正交易；
• SIM发起冲正交易后，如再收到该圈存请求的应答，则直接丢弃；
• 卡片收到重复圈存应答时，直接丢弃重复的应答。

    (3) 空圈平台冲正异常处理

• 如平台在未收到圈存请求时，收到圈存冲正，则发送冲正请求给金融系统；如此后再收到圈存请求，则只做记录，不做圈存处理及应答。
• 如平台收到多次冲正请求，如前面的冲正处理成功，则直接返回第一次发送的报文；如前面的冲正处理失败，那么则再次进行冲正，并发送冲正应答报文。

    (4) 卡片冲正异常处理

• 卡片发起冲正交易后，没有收到平台冲正的应答，则STK应显示“上次冲正异常，请按确认键取消冲正”；如重发3次冲正请求后，均未收到冲正成功应答，则STK菜单应显示“空中圈存功能被锁定，请致电XXX号或前往营业厅办理”，其他菜单则显示为正常；
• 卡片发起冲正交易后，收到冲正失败交易应答，卡片需再次发起冲正交易；
• 卡片发送冲正交易后，如仍接收到平台的圈存应答，则卡片应丢弃该应答。

    (5) 同步计数器异常处理

• 若上/下行数据中的同步计数器出现与描述的同步计数器管理情况不符，则应视为系统遭到恶意的重传攻击或出现异常情况，支付(U)SIM卡/空圈平台应对该上/下行数据做丢弃处理。

3 结束语
    文章分析了传统固定方式的圈存业务发展现状，并结合移动支付业务快速发展的需求，指出了单一固定方式带来的缺陷与不足。文章在对两种传统圈存技术进行分析比较的基础上，总结出了设计空中圈存系统平台应遵循的原则，并基于该原则提出了一种公共而又开放的空中圈存系统平台方案。

    该系统平台方案具有如下的一些显著特点：

• 可实现多应用跨平台圈存的公共空中圈存平台，为公交应用、金融应用、运营商自有应用等多种形式的应用提供公共的圈存功能；
• 同时兼容电子钱包和电子现金两大类应用，符合移动支付业务的圈存需求；
• 将通用的圈存功能抽取出来，避免针对每个应用单独建设一套圈存平台，也避免各个应用平台均需建设圈存模块，减少重复建设，降低投资，节省资源；
• 对移动通信系统而言，短信网关和GGSN等能力部件只需要和一套平台对接，降低对短信网关和GGSN系统的压力；
• 在保障安全性的前提下，实现流程最简单化的处理，以此来提高用户体验。

    综上所述，文中提出的空中圈存系统平台方案，可以实现公共、开放的圈存功能和便捷的圈存流程，满足了目前重要性和紧迫度不断提升的随时随地圈存的需求，具有较高的可行性。

4 参考文献
[1] 张安勤.移动支付技术综述[J].上海电力学院学报,2006,22(2):152-157.
[2] 李萍,闫长乐,童以祥.手机支付商业模式浅析[J].北京邮电大学学报:社会科学版,2008,10(4):20-25.
[3] 石丹,吕廷杰,杜惠英.手机支付在公共交通领域的应用研究[J].北京邮电大学学报:社会科学版,2009,11(5):49-53.
[4] 中国金融集成电路（IC）卡电子钱包/电子存折规范,第2部分：应用规范[S]. 北京: 中国人民银行,2004.
[5] 中国金融集成电路（IC）卡规范,第13部分：基于借记/贷记应用的小额支付规范[S]. 北京: 中国人民银行,2009.

收稿日期：2011-09-30

[摘要] 随着移动支付业务快速发展的实际需要，传统的基于固定地点的圈存方式已经无法适应其快速发展，因此文章提出了一种公共的、架构开放的空中圈存系统平台设计方案。该方案不仅可以为公交应用、金融应用以及运营商自有应用等多种形式的应用提供公共、开放的圈存功能和便捷的圈存流程，而且还兼容了电子钱包和电子现金两大类应用。文章指出该系统平台能够满足目前重要性和紧迫度不断提升的、随时随地的圈存需求，具有较高的可行性。

[关键词] 圈存；空中圈存；移动支付；系统平台；工作流程

[Abstract] With the rapid development of mobile payment, traditional location-based loading technology is unable to meet mobile payment requirements. This paper proposes a loading-in-air system platform with an open architecture. This platform has an open and convenient loading function and process for public transport, financial, individual operator applications. It also combines electronic wallet and electronic cash. The loading-in-air system platform satisfies the requirements of mobile payment anytime and anywhere.

[Keywords] loading; loading in air; mobile payment; system platform; working procedure