Mobile Payment: Βασικές αρχές και εφαρµογές

ΕΘΝΙΚΟ ΜΕΤΣΟΒΙΟ ΠΟΛΥΤΕΧΝΕΙΟ ΤΜΗΜΑ ΗΜΜΥ Εργασία στα πλαίσια του µεταπτυχιακού µαθήµατος ίκτυα Προστιθέµενης Αξίας EDI και Εφαρµογές Ηλεκτρονικού Εµπορίου µε θέµα: Mobile Payment: Βασικές αρχές και εφαρµογές Μπάσιος Χρήστος Αθήνα, Ιούλιος 2004

ΠΕΡΙΕΧΟΜΕΝΑ 1. Εισαγωγή 2. Τεχνολογίες κινητής επικοινωνίας 2.1 Υπηρεσίες 2.1.1 SMS 2.1.2 WAP 2.1.3 i-mode 2.1.4 USSD 2.1.5 Cell Broadcast 2.1.6 SIM Toolkit 2.1.7 Web Clipping 2.1.8 MexE 2.2 Πλατφόρµες κινητής επικοινωνίας 3. Χαρακτηριστικά και κατηγορίες m-payment 3.1 Μέθοδος ρύθµισης συναλλαγής 3.2 Τύπος συναλλαγής 3.3 Τύπος περιεχοµένου 3.4 Αξία περιεχοµένου 4. Βασική αρχιτεκτονική του m-payment 4.1 Συµµετέχοντες σε ένα m-payment µοντέλο 4.2 Βασικές φάσεις του m-payment 5. Σενάρια και βασικοί τύποι πληρωµής 5.1 Γενικό σενάριο και παραδείγµατα 5.1.1 Content Download 5.1.2 Point Of Sale 5.1.3 Content on Device 5.2 Βασικοί τρόποι πληρωµής 5.2.1 Πληρωµή µέσω operator κινητού δικτύου 5.2.1.1 Συστήµατα µεσολάβησης 5.2.1.2 Λύσεις χρέωσης από πωλητές 5.2.2 Out-of-band πληρωµή 5.2.2.1 Οικονοµικοί Οργανισµοί 5.2.2.2 Reverse-Charge/Billed SMS 5.2.3 Proximity πληρωµή 5.2.3.1 Smartcards 5.2.3.2 Mobile Wallets 6. Η ασφάλεια στο m-payment 7. Εφαρµογές 7.1 Encorus PaymentWorks Mobile 7.2 Enition 7.3 ipin 7.4 Paybox 7.5 Nokia Payment Solution 7.6 Paypal 7.7 MobiPay 8. Προκλήσεις 8.1 Τεχνικές προκλήσεις

8.1.1 Ασφάλεια 8.1.2 Προσβασιµότητα 8.1.3 Ανάπτυξη κοινού standard 8.2 Ρυθµιστικές διατάξεις 9. Μελλοντική ανάπτυξη του m-payment 10. Βιβλιογραφία

1. Εισαγωγή Η πληρωµή µέσω κινητής συσκευής, γνωστή µε τον όρο m-payment θεωρείται από πολλούς ως η νέα εφαρµογή που θα δώσει νέα ώθηση στις e-/mcommerce. Σύµφωνα µε την αναφορά του Wireless World Forum, η συνολική αξία των πληρωµών µέσω κινητού θα αυξηθούν από 5.5 δις Euro σε 55.3 δις Euro το 2006. Ένας ακριβής ορισµός του m-payment έχει δοθεί από το Mobile Payment Forum (2002): Ως m-payment ορίζεται η µεταφορά µε ηλεκτρονικά µέσα µιας πληρωµής από τον πληρωτή στον αποδέκτη της πληρωµής µέσω της χρήσης µιας συσκευής ηλεκτρονικής πληρωµής, την οποία αποτελεί µια κινητή συσκευή (που βρίσκεται στην κατοχή ενός τουλάχιστον από τους συµµετέχοντες), µέσω της οποίας στέλνονται και λαµβάνονται πληροφορίες δια µέσου µιας ασύρµατης ζεύξης. Ο όρος κινητή συσκευή αναφέρεται, συνήθως, σε ένα κινητό τηλέφωνο ή ένα PDA. Σύµφωνα µε την Celent, µια εταιρία έρευνας οικονοµικών υπηρεσιών, µέσα στο 2004 οι χρήστες που θα κάνουν χρήση της κινητής τους συσκευής για πληρωµές θα ανέρχονται στα 60 εκατοµµύρια, ενώ µια ανάλογη έρευνα από τις εταιρίες Visa International και Boston Consulting προβλέπει πως ο όγκος των συναλλαγών από e- commerce και m-commerce θα αυξηθεί από 38 εκατοµµύρια δολάρια το 2002 σε 128 εκατοµµύρια δολάρια το 2004 [1]. 2. Τεχνολογίες Κινητής Επικοινωνίας Στη συνέχεια παραθέτουµε αρχικά τις υπηρεσίες των κινητών συσκευών, στις οποίες ο χρήστης µπορεί να στηριχθεί για να συµµετάσχει σε µια m-payment συναλλαγή. Έπειτα, αναφέρουµε επιγραµµατικά τις πιο γνωστές πλατφόρµες που οι εταιρίες κινητών συσκευών έχουν υλοποιήσει για να διευκολύνουν τη χρήση της ασύρµατης επικοινωνίας και την ανάπτυξη πολλών υπηρεσιών, ανάµεσα στις οποίες συµπεριλαµβάνεται και το m-payment. 2.1 Υπηρεσίες 2.1.1 SMS Η υπηρεσία του SMS (Short Messaging Service) [2] δηµιουργήθηκε ως µέρος του GSM Phase 1 για αποστολή και λήψη µικρών µηνυµάτων κειµένου µεταξύ κινητών τηλεφώνων. Το 2002, στέλνονταν περίπου 24 εκατοµµύρια SMS µηνύµατα κάθε µήνα σε όλο τον κόσµο του GSM, σύµφωνα µε έναν Ευρωπαικό SMS οδηγό, από τη Netsize [3]. Η πλειοψηφία αυτών ήταν p2p µηνυµάτων κειµένου σε ποσοστό 90% της SMS κίνησης, ενώ το υπόλοιπο 10% αναλογούσε σε υπηρεσίες συναλλαγών, όπως ενηµέρωση καιρού, νέων κ.ά. 2.1.2 WAP Το WAP (Wireless Application Protocol) [2] αποτελεί µια τεχνολογία η οποία παρέχει ένα µηχανισµό για την έκθεση πληροφορίας από το Internet σε µια κινητή συσκευή. Αυτό γίνεται µεταφράζοντας την πληροφορία αυτή σε ένα format κατάλληλο για να εµφανίζεται στις οθόνες των κινητών συσκευών. Το WAP αποτελεί

ένα ανοικτό standard, που υλοποιήθηκε από το WAP Forum, και στα πάνω από 500 µέλη του συµπεριλαµβάνονται µερικές από τις µεγαλύτερες εταιρίες όπως οι Nokia, Ericsson, Motorola κ.ά. 2.1.3 i-mode Το i-mode αποτελεί µια ασύρµατη τεχνολογία που αναπτύχθηκε από την Ιαπωνική εταιρία NTT DoCoMo, που επιτρέπει την πρόσβαση σε υπηρεσίες Internet µέσω των κινητών τηλεφώνων. Το I-mode έχει ήδη κυριαρχήσει στην Ιαπωνική αγορά και θεωρείται ως µία επιτυχηµένη λύση στον κόσµο του m-commerce. Η υποκείµενη τεχνολογία δεν είναι περίπλοκη, κάτι που διευκολύνει τους παροχείς περιεχοµένου να δηµιουργήσουν νέες I-mode υπηρεσίες και ευκολόχρηστες προς τους καταναλωτές. Η τεχνολογία στηρίζεται στο Ασιατικό standard PDC και κάνει χρήση της γλώσσας chtml (compact HTML) [4]. 2.1.4 USSD Το USSD (Unstructured Supplementary Services Data) [2] αποτελεί έναν µηχανισµό µετάδοσης πληροφορίας µέσω ενός GSM δικτύου. Είναι ανάλογο µε το SMS, αλλά βασικά είναι µόνο µια υπηρεσία αποθήκευσης και προώθησης. Το USSD προσφέρει σύνδεση πραγµατικού χρόνου κατά τη διάρκεια µιας σύνδεσης. 2.1.5 Cell Broadcast Το Cell broadcast [2] είναι µια τεχνολογία η οποία είναι σχεδιασµένη για ταυτόχρονη παράδοση µικρών µηνυµάτων σε πολλαπλούς χρήστες µέσα σε µια συγκεκριµένη περιοχή. Η τεχνολογία είναι ανάλογη µε αυτή του SMS, αλλά είναι µια υπηρεσία ένας-προς-πολλούς παρά ένας-προς-έναν. Συνήθως, οι υπηρεσίες αυτές κατανέµονται στον καταναλωτή χωρίς χρέωση. Ο operator του δικτύου χρεώνει τον πάροχο περιεχοµένου για την αποστολή των µηνυµάτων, ενώ ο πάροχος περιεχοµένου θα προσπαθήσει να κερδίσει χρήµατα από τις επακόλουθες υπηρεσίες. 2.1.6 SIM Toolkit Το SIM Toolkit [5] αποτελεί ένα ETSI/SMG standard για value added υπηρεσίες και e-commerce χρησιµοποιώντας GSM τηλέφωνα για την πραγµατοποίηση των συναλλαγών. Το SIM Toolkit που είναι προγραµµατισµένο µέσα σε µια GSM SIM κάρτα επιτρέπει στην SIM κάρτα, χρησιµοποιώντας το GSM handset, να δηµιουργήσει µια ανταλλαγή µεταξύ µιας δικτυακής εφαρµογής και του τελικού χρήστη. Η τεχνολογία αποτελεί µια µεταβατική εφαρµογή και δύσκολα θα επιβιώσει από τη στιγµή που στην αγορά θα ισχυροποιηθούν τα GPRS τερµατικά, καθώς τα τελευταία υποστηρίζουν το WAP. 2.1.7 Web Clipping Η Web clipping υπηρεσία για τις 3Com Palm handheld συσκευές έχει αποδειχθεί ιδιαίτερα επιτυχηµένη, καθώς χρησιµοποιείται από το 75% της αγοράς των PDA στις ΗΠΑ. Η τεχνολογία χρησιµοποιείται για παράδοση web-based πληροφοριών σε Palm συσκευές µέσω συγχρονισµού ή ασύρµατης επικοινωνίας.

2.1.8 MexE Το MexE (Mobile Station Application Execution Environment) [2] αποτελεί ενσωµάτωση της Java Virtual Machine στο κινητό τηλέφωνο και επιτρέπει προγραµµατισµό ολοκληρωµένων εφαρµογών. 2.2 Πλατφόρµες κινητής επικοινωνίας Το Symbian [6] δηµιουργήθηκε το 1998 από τις εταιρίες Nokia, Motorola, Ericsson και Psion (κατασκευαστής PDA). Στηρίχθηκε σε ένα προηγούµενο λειτουργικό σύστηµα της Psion, το EPOC, το οποίο δηµιουργήθηκε για smartphones και communicators. Μετά την κυκλοφορία του EPOC release 5, το λειτουργικό σύστηµα µετονοµάσθηκε σε Symbian OS. Η πλατφόρµα Series 60 [6], δηµιουργήθηκε για Symbian OS και υποστηρίζει mobile browsing, MMS, content downloading και πολλές εφαρµογές διαχείρισης προσωπικών πληροφοριών και τηλεφώνων. Το Series 60 Platform 1.0 υποστηρίζει πολλές τεχνολογίες που απαιτούνται σε ένα smartphone, όπως e-mail, WAP 1.2.1 stack, Bleuetooth και GPRS. Η Microsoft έχει υλοποιήσει µια έκδοση για το λειοτυργικό σύστηµα των Windows, που καλείται Windows CE και δηµιουργήθηκε ειδικά για palm-size, handheld PCs και άλλες παρόµοιες συσκευές. Πολλοί κατασκευαστές PC, όπως οι HP, Compaq, Philips κατασκευάζουν τις συσκευές τους σύµφωνα µε το CE. Η 3COM κατέχει το µικρότερο µερίδιο στα λειτουργικά συστήµατα κινητών συσκευών, ωστόσο συνεχίζει να κατέχει ένα µεγάλο ποσοστό στην PDA αγορά. Το λειτουργικό σύστηµα που υποστηρίζει είναι το Palm OS, το οποίο χρησιµοποιείται ευρέως στις ΗΠΑ. 3. Χαρακτηριστικά και κατηγορίες m-payment Το m-payment µπορεί να προσεγγιστεί µέσα από διάφορα χαρακτηριστικά. Αρχικά, το περιβάλλον συναλλαγής σχετίζεται µε την εφαρµοζόµενη τηλεπικοινωνιακή τεχνολογία. Έτσι, η Nokia, εκ µέρους του Mobey Forum, όρισε τις 3 επόµενες κατηγορίες: Αποµακρυσµένο περιβάλλον (Remote environment) Τοπικό περιβάλλον (Local environment) Προσωπικό περιβάλλον (Personal environment) Ένα δεύτερο χαρακτηριστικό είναι ο χρόνος κατά τον οποίο θα λάβει χώρα η πληρωµή, γεγονός που έχει αντίκτυπο στο µέσο που θα χρησιµοποιηθεί για την συναλλαγή. Και σε αυτή την περίπτωση υπάρχουν 3 κατηγορίες µέσων πληρωµής: Pay-before Pay-now Pay-later Ένα παράδειγµα pay-before είναι η δυνατότητα που έχει ένας χρήστης να κάνει τηλεφωνήµατα όσο υπάρχουν χρήµατα στην SIM κάρτα του κινητού του τηλεφώνου. Ως περίπτωση pay-now, µπορεί να χαρακτηριστεί µια κάρτα χρέωσης (debit card) που επιτρέπει αγορές σε ένα Point Of Sale (POS) όπως ένας σταθµός

καυσίµων. Μετά την επιβεβαίωση από την εισαγωγή του PIN, το ποσό χρεώνεται στον λογαριασµό του πελάτη. Οι πιστωτικές κάρτες και τα check αντιπροσωπεύουν τα pay-later µέσα. Πέρα από την τηλεπικοινωνιακή τεχνολογία και την χρονική στιγµή της συναλλαγής, η πληρωµή µέσω κινητής συσκευής µπορεί να χωριστεί και στις επόµενες κατηγορίες: Τύπος περιεχοµένου (Content type) Αξία περιεχοµένου (Content value) Τύπος συναλλαγής (Transaction type) Μέθοδος ρύθµισης συναλλαγής (Transaction settlement method) 3.1 Μέθοδος ρύθµισης συναλλαγής Η έννοια του χρόνου διαχωρίζει τις διάφορες µεθόδους διακανονισµού της πληρωµής: 1. Pre-paid (debit): Ο καταναλωτής πληρώνει προκαταβολικά το περιεχόµενο που επιθυµούν. Οι voice pre-paid κάρτες και τα electronic wallets αποτελούν παραδείγµατα τέτοιου είδους µεθόδου πληρωµής. 2. Post-paid (credit): Ο καταναλωτής λαµβάνει το περιεχόµενο και το καταναλώνει προτού το πληρώσει. Για παράδειγµα, ένας χρήστης κάνει λήψη ενός ringtone και το πληρώνει µέσω ενός λογαριασµού που εκδίδεται από τον TTP. 3.2 Τύπος συναλλαγής Οι συνήθεις τύποι µιας συναλλαγής m-payment είναι οι εξής: 1. Pay Per View (PPV): Ο καταναλωτής πληρώνει µια φορά για κάθε εικόνα ή αύξηση του επιθυµητού περιεχοµένου. Ένα παράδειγµα τέτοιας πληρωµής είναι ο χρήστης να πληρώσει µια φορά για την λήψη ενός MP3 αρχείου από ένα m-commerce site. Αυτό το µοντέλο συναλλαγής αποτελεί, ίσως, το λιγότερο περίπλοκο όσον αφορά την τεχνική υποδοµή που απαιτείται. 2. Pay Per Unit (PPU): Ο καταναλωτής πληρώνει µια φορά για κάθε µονάδα που ολοκληρώνεται µε επιτυχία σύµφωνα µε τον πάροχο περιεχοµένου. Ένας συγκεκριµένος αριθµός µονάδων (που µπορεί να αντιπροσωπεύεται από ποσότητα ή διάρκεια µονάδων) µπορούν να ξοδευτούν σε κάθε συναλλαγή και να χρεωθούν στον καταναλωτή. Ένα παράδειγµα τέτοιας συναλλαγής είναι η χρέωση (από έναν πάροχο παιχνιδιού) 50 cent για κάθε µονάδα που ξοδεύεται από έναν χρήστη σε ένα διαδικτυακό παιχνίδι. 3. Recurrent Subscription: Ο καταναλωτής πληρώνει ένα περιοδικό ποσό για να έχει πρόσβαση στο περιεχόµενο σε απεριόριστη βάση κατά τη διάρκεια µιας συγκεκριµένης χρονικής περιόδου. Για παράδειγµα, ένας χρήστης µπορεί να χρεώνεται ένα σταθερό τέλος κάθε µήνα για να έχει απεριόριστη πρόσβαση σε ένα περιοδικό.

3.3 Τύπος περιεχοµένου Οι βασικοί και συνηθέστεροι τύποι περιεχοµένου είναι: Ψηφιακά αγαθά (Digital goods): MP3s, downloaded ringtones Υλικά αγαθά (Hard goods): TV, CDROM Ψηφοφορία (Voting) Έκδοση εισιτηρίων (Ticketing) 3.4 Αξία περιεχοµένου Ένα άλλο χαρακτηριστικό αποτελεί το ύψος της συναλλαγής που εκφράζεται ως το ποσό των χρηµάτων που µεταφέρεται από τον πληρωτή (payer) στον αποδέκτη της πληρωµής (payee) και το οποίο έχει αντίκτυπο στο κόστος συναλλαγής που σχετίζεται µε την πληρωµή [7]. Έτσι, καθορίζονται οι επόµενες κατηγορίες: Picopayments: <0.10 Euro Micropayments: <10 Euro Macropayments: >10 Euro Αυτή η κατηγοριοποίηση έχει αντίκτυπο στην ασφάλεια και τη συνολική διαχείριση της συναλλαγής που πρέπει να λάβει ένας mobile operator. Γενικά, οι m-payment εφαρµογές πρέπει να καλύπτουν τα παρακάτω βασικά κριτήρια: Προσαρµοστικότητα και διαλειτουργικότητα (interoperability) ([8], [9]) Μείωση του κόστους των συναλλαγών [10] Χρησιµοποίηση των υπαρχόντων δικτύων Εναρµόνιση της ασφάλειας µε την έκθεση σε διάφορους κινδύνους 4. Βασική αρχιτεκτονική του m-payment 4.1 Συµµετέχοντες σε ένα m-payment µοντέλο Οι διακριτοί ρόλοι που υπάρχουν και πρέπει να διαχειριστούν στην τεχνολογία του m-payment είναι οι παρακάτω: Ο χρήστης ή καταναλωτής (consumer): Είναι ο κάτοχος της κινητής συσκευής και αυτός που αγοράζει περιεχόµενο (content) ή υπηρεσίες από τον πάροχο περιεχοµένου (content provider). Στους ρόλους του περιλαµβάνονται αρχικοποίηση της αγοράς, εγγραφή στον PSP και η έγκριση της πληρωµής. Ο πάροχος περιεχοµένου (content provider) ή έµπορος (merchant): Είναι ένα άτοµο ή ένας οργανισµός που πουλάει ηλεκτρονικές υπηρεσίες/περιεχόµενο ή φυσικά προϊόντα στους πελάτες. Ο ρόλος του µπορεί να συµπεριλαµβάνει την προώθηση αιτήσεων αγοράς προς τον PSP, την αποστολή αιτήσεων επικύρωσης (authorization) πίσω στον πελάτη, καθώς και την παράδοση του περιεχοµένου που ζητήθηκε. Ο Trusted Third Party (TTP): Είναι µια εταιρεία που εκτελεί την επικύρωση (authentication) και την εξουσιοδότηση (authorization) των µερών που

συναλλάσσονται και τον διακανονισµό (settlement) της πληρωµής. Ο TTP µπορεί να είναι operators δικτύου, τράπεζες ή εταιρίες πιστωτικών καρτών. Είναι φανερό πως ένας πάροχος δικτύου ή µια τράπεζα µπορεί να έχει ταυτόχρονα τον ρόλο του PSP, του TTP και του παρόχου περιεχοµένου (content provider). Ο πάροχος υπηρεσίας πληρωµής (Payment Service Provider - PSP) είναι η κεντρική οντότητα, υπεύθυνη για την διαδικασία της πληρωµής. ίνει τη δυνατότητα στο µήνυµα πληρωµής που αρχικοποιείται από την κινητή συσκευή να δροµολογηθεί προς το TTP. Αυτή η υπηρεσία συµπεριλαµβάνει, συνήθως, µια e-wallet εφαρµογή που επιτρέπει στους πληρωτές να αποθηκεύουν τις προσωπικές πληροφορίες πληρωµής, όπως τους αριθµούς λογαριασµών της πιστωτικής κάρτας, σε έναν ασφαλή server του παροχέα ώστε να µην χρειάζεται να πληκτρολογούν όλες τις πληροφορίες που απαιτούνται σε κάθε αγορά.. Ο PSP µπορεί να είναι ένας network operator, µια τράπεζα µια εταιρία πιστωτικής κάρτας ή ένας ανεξάρτητος φορέας. Ένα απλό σχήµα µιας τυπικής συναλλαγής φαίνεται στη συνέχεια. Σχήµα 1: Τυπικό µοντέλο m-payment συναλλαγής. Όπως φαίνεται και από το παραπάνω σχήµα, σηµαντικό ρόλο στο m-payment παίζει και η επικύρωση (authentication) των συµµετεχόντων σε µία συναλλαγή. Από τεχνικής πλευράς, υπάρχουν 3 βασικές επιλογές για ενσωµάτωση της επικύρωσης στα κινητά τηλέφωνα [11]: 1. Single chip: Οι λειτουργίες επικύρωσης και επικοινωνίας ενσωµατώνονται σε ένα µόνο chip 2. Dual chip: Οι λειτουργίες επικύρωσης και επικοινωνίας διαχωρίζονται σε δύο chip, µε το ένα να παρέχεται από τον πάροχο υπηρεσίας πληρωµής και το άλλο από τον τηλεπικοινωνιακό φορέα. 3. Dual slot: Η λειτουργία της επικύρωσης υλοποιείται σε µία ανεξάρτητη µονάδα (µια κάρτα) από την κινητή συσκευή, µε έναν εξωτερικό ή εσωτερικό σαρωτή κάρτας να µεσολαβεί για την επικοινωνία µεταξύ κάρτας και κινητής συσκευής.

4.2 Βασικές φάσεις του m-payment Μέσα σε ένα σύστηµα m-payment, υπάρχουν συγκεκριµένες αλληλεπιδράσεις µεταξύ των συµµετεχόντων µερών, οι οποίες είναι απαραίτητες σε µία σύνοδο πληρωµής. Το διάγραµµα ροής που φαίνεται στο επόµενο σχήµα συµπεριλαµβάνει κάποιες βασικές λειτουργίες του χρήστη, του παρόχου περιεχοµένου και του παρόχου υπηρεσίας πληρωµής. Αυτές οι λειτουργίες µπορεί να διαµορφώνονται ανάλογα µε το σενάριο πληρωµής. Σχήµα 2: Γενικές λειτουργίες σε ένα m-payment σύστηµα. Τα αριθµηµένα βήµατα του παραπάνω σχήµατος περιγράφονται στη συνέχεια, ξεκινώντας από την εγγραφή του χρήστη και φτάνοντας στην τελική χρέωση του για κάποιες υπηρεσίες ή υλικά αγαθά. Εγγραφή υπηρεσίας (Service Registration): Ο πάροχος περιεχοµένου χρειάζεται να εγγραφεί µε τον πάροχο της υπηρεσίας πληρωµής, ώστε να κάνουν την υπηρεσία τους διαθέσιµη στους χρήστες του κινητού µέσω του συστήµατος πληρωµής. Εγγραφή χρήστη (User Registration): Ο χρήστης του κινητού χρειάζεται να εγγραφεί µε τον πάροχο της υπηρεσίας πληρωµής προτού κάνει χρήση των

προσφεροµένων υπηρεσιών ενός εγγεγραµµένου πάροχου περιεχοµένου. Ο χρήστης θα παραδώσει τις λεπτοµέρειες σχετικά µε τρόπο πληρωµής για τις υπηρεσίες καθώς ο πάροχος µπορεί να είναι ικανός να προσωποποιήσει την πληρωµή ώστε να καλύπτει τις ανάγκες του χρήστη. Επίσης, µπορεί να ζητηθεί από τον χρήστη να υποβάλλει έναν PIN (Personal Identification Number) αριθµό, ο οποίος θα χρησιµοποιηθεί κατά τη διάρκεια της διαδικασίας επικύρωσης του χρήστη. Με την ολοκλήρωση της εγγραφής δίνεται στον χρήστη ένας νέος αριθµός, ο User Identification Number, ο οποίος θα προσδιορίζει µοναδικά την ταυτότητα του χρήστη κατά τη διάρκεια κάθε συναλλαγής πληρωµής. Αίτηση Υπηρεσίας (Request Service): Από τη στιγµή που ο χρήστης έχει εγγραφεί µε τον πάροχο υπηρεσίας πληρωµής, µπορεί να αιτηθεί τη χρήση συγκεκριµένης υπηρεσίας. Αίτηση Συνόδου Χρέωσης (Request Charging Session): Με την λήψη της αίτησης υπηρεσίας, ο πάροχος περιεχοµένου θα αρχικοποιήσει µια αίτηση χρέωσης συνόδου µε τον πάροχο υπηρεσίας πληρωµής. Τόσο το id του χρήστη όσο και το id της υπηρεσίας θα σταλθούν στον πάροχο υπηρεσίας πληρωµής ώστε να δηµιουργήσει µια σύνοδο χρέωσης, η οποία θα αναπαρίσταται από έναν µοναδικό αριθµό, τον Session Identification Number. Αίτηση Εξουσιοδότησης και Επικύρωσης (Request Authorization and Authentication): Προτού αρχίσει µια σύνοδος χρέωσης, πρέπει να πιστοποιηθεί οτι ο χρήστης του κινητού είναι πρόθυµος να πληρώσει για την υπηρεσία. Μια αίτηση εξουσιοδότησης στέλνεται από τον πάροχο υπηρεσίας πληρωµής προς τον χρήστη, συνήθως µε την µορφή ενός συµβολαίου πληρωµής. Αυτό το συµβόλαιο θα δηλώνει του όρους τις συνθήκες της συµφωνίας πληρωµής µεταξύ του χρήστη και του παροχέα περιεχοµένου. Ο χρήστης πρέπει να απαντήσει στον παροχέα υπηρεσίας πληρωµής µε επιβεβαίωση της αποδοχής των όρων του συµβολαίου πριν συνεχιστεί η διαδικασία της συνόδου χρέωσης. Από τον χρήστη θα ζητηθεί, επίσης, να επικυρώσει τη σύνοδο µε τον πάροχο υπηρεσίας πληρωµής. Αυτό γίνεται, συνήθως, στέλνοντας το PIN από την κινητή τους συσκευή. Επικύρωση του Χρήστη (User Authenticated): Ο πάροχος υπηρεσίας πληρωµής θα ειδοποιήσει τον πάροχο περιεχοµένου για το αν ο χρήστης έχει επικυρωθεί επιτυχώς. Αν οι αιτήσεις εξουσιοδότησης και επικύρωσης έχουν θετικό αποτέλεσµα, τότε αρχικοποιείται η σύνοδος χρέωσης. Ο πάροχος υπηρεσίας πληρωµής θα εκδόσει ένα id συνόδου στον πάροχο περιεχοµένου, σηµατοδοτώντας την έναρξη της συνόδου χρέωσης. Παροχή Υπηρεσίας ή Περιεχοµένου (Provide Content or Service): Ο πάροχος περιεχοµένου µπορεί να παράσχει την υπηρεσία ή το περιεχόµενο στον χρήστη. Χρέωση (Charge): Ανάλογα µε το σύστηµα πληρωµής που σχετίζεται µε την υπηρεσία που ζητήθηκε, ο πάροχος περιεχοµένου θα ζητήσει µια διαδικασία πληρωµής στον πάροχο υπηρεσίας πληρωµής στο τέλος της υπηρεσίας ή σε διαφορετικά διαστήµατα κατά τη διάρκεια της υπηρεσίας. Με τη λήψη της αίτησης χρέωσης, ο πάροχος υπηρεσίας πληρωµής θα καθορίσει την συναλλαγή πληρωµής µεταξύ των 2 µερών και θα ειδοποιήσει το κάθε µέρος για το αποτέλεσµα της

συναλλαγής. Αυτό, συνήθως, παρουσιάζεται στον χρήστη του κινητού ως µια απόδειξη πληρωµής. 5. Σενάρια και βασικοί τύποι πληρωµής 5.1 Γενικό σενάριο και παραδείγµατα Υπάρχουν ήδη αρκετά σενάρια πληρωµής σε χρήση και προβλέπονται ακόµα περισσότερα στο µέλλον. Στο επόµενο σχήµα αποδίδεται µια γενική αρχιτεκτονική των σεναρίων πληρωµών, ενώ στο [10] υπάρχουν αναλύσεις για διάφορες διαδικασίες πληρωµής και εφαρµογές. Σχήµα 3: Γενικό σενάριο πληρωµής µέσω κινητού τηλεφώνου. Γενικά, υπάρχουν 2 βασικές κατηγορίες στις συναλλαγές µέσω κινητού τηλεφώνου: Η µεταφορά χρηµάτων µε µια κινητή συσκευή µόνο για ανταλλαγή χρηµάτων Η πραγµατοποίηση µιας συναλλαγής µε σκοπό την πληρωµή ενός αγαθού ή µιας υπηρεσίας. Στη συνέχεια παραθέτουµε 3 βασικά σενάρια m-payment µε µεγάλη δυναµική ανάπτυξης στο µέλλον. 5.1.1 Content Download Σε αυτό το σενάριο, ο παροχέας περιεχοµένου προσφέρει ψηφιακά περιεχόµενα σε κινητούς χρήστες. Τα περιεχόµενα µπορούν να αγοραστούν χρησιµοποιώντας ένα µετρικό (metered pricing model) µοντέλο χρέωσης ή ένα µοντέλο χρέωσης γεγονότων (event pricing model). Στο µετρικό µοντέλο, ως µετρικό περιεχόµενο µπορεί να θεωρηθεί µια υπηρεσία ροής, όπως ένα video ή ένα ραδιοφωνικό κανάλι. Η πληρωµή της συναλλαγής εξαρτάται από µια µετρήσιµη ποσότητα της παρεχόµενης υπηρεσίας, όπως η διάρκεια της υπηρεσίας ή ο όγκος των δεδοµένων που παραδίδονται.

Στο µοντέλο χρέωσης περιεχοµένου ανά γεγονός, ένα παράδειγµα αποτελεί η ολόκληρη αποθήκευση ενός ψηφιακού περιεχοµένου, για το οποίο ο καταναλωτής πληρώνει µια προκαθορισµένη τιµή για κάθε στοιχείο που αποθηκεύει. Η συναλλαγή εξαρτάται από την επιτυχία της αποθήκευσης, καθώς το περιεχόµενο αξίζει το αντίτιµο του µόνο όταν θα έχει ολοκληρωθεί η αποθήκευσή του. Αυτή η κατάσταση χρέωσης µπορεί να καλύπτει και επαναλαµβανόµενες συµφωνίες χρέωσης ή συνδροµές, όπως η µηνιαία συνδροµή ενός ηλεκτρονικού περιοδικού. Το περιεχόµενο µπορεί να πληρωθεί µέσω µιας PC Internet σύνδεσης, όπου η κινητή συσκευή θα χρησιµοποιηθεί για την εξουσιοδότηση της συναλλαγής πληρωµής και για την επικύρωση του σωστού παραλήπτη του περιεχοµένου (του χρήστη του κινητού τηλεφώνου). Από τη στιγµή που πραγµατοποιείται η αίτηση υπηρεσίας από τον χρήστη του κινητού στον παροχέα περιεχοµένου, ο τελευταίος αρχικοποιεί µια σύνοδο χρέωσης µε τον PSP. Ο PSP θα αναζητήσει εξουσιοδότηση από τον χρήστη και επικύρωση (authentication) του τελευταίου για να ολοκληρώσει την συναλλαγή, χρησιµοποιώντας µια pre-paid ή µια post-paid µέθοδο. Σχήµα 4: Σύστηµα πληρωµής για Content Download 5.1.2 Point of Sale Σε αυτό το σενάριο, ο παροχέας περιεχοµένου ή έµπορος προσφέρει τις υπηρεσίες ή τα αγαθά σε ένα σηµείο πώλησης (POS), όπως η πληρωµή ενός taxi ή η αγορά σε ένα κατάστηµα. Η πληρωµή θα αρχικοποιηθεί στο POS από τον παροχέα περιεχοµένου. Ο PSP µπορεί να ζητήσει εξουσιοδότηση από τον χρήστη είτε άµεσα, όπως µία sms pin αίτηση, ή έµµεσα µέσω του παροχέα υπηρεσιών, χρησιµοποιώντας για παράδειγµα µία Bluetooth ζεύξη. Σε αυτό το σενάριο συµπεριλαµβάνονται και οι εφαρµογές αυτόµατων πωλητών. Ένας χρήστης µπορεί να πληρώσει για αγαθά ή υπηρεσίες σε ένα µηχάνηµα, όπως η αγορά εισιτηρίων για τα Μέσα Μαζική Μεταφοράς. Η αναγνώριση του χρήστη µπορεί να γίνει µε τη χρήση µιας Bluetooth ή µιας InfraRed ζεύξης.

Σχήµα 5: Σύστηµα πληρωµής για POS 5.1.3 Content on Device Σε αυτό το σενάριο, τα περιεχόµενα µπορεί να υπάρχουν ήδη στην κινητή συσκευή, όµως η χρήση των περιεχοµένων αυτών να προϋποθέτει την απόκτηση συγκεκριµένης άδειας. Η άδεια µπορεί να βασίζεται στην χρήση, την διάρκεια ή τον αριθµό των χρηστών. Σχήµα 6: Σύστηµα πληρωµής για Content on Device

5.2 Βασικοί τρόποι πληρωµής 5.2.1 Πληρωµή µέσω operator κινητού δικτύου Οι Παροχείς ικτύου είναι κατάλληλοι για να παρέχουν υπηρεσίες πληρωµής για κινητά περιεχόµενα λόγω της εµπειρογνωµοσύνης τους στον χώρο της χρέωσης. Αυτό το είδος πληρωµής αναφέρεται συχνά ως in-band [7], όπου τα περιεχόµενα και το κανάλι πληρωµής είναι η ίδια οντότητα, όπως για παράδειγµα µια χρεώσιµη υπηρεσία WAP πάνω από GPRS. Οι κινητοί χρήστες θα πρέπει να πληρώσουν µε συνδροµή ή µε βάση κάποιο µοντέλο πληρωµής σχετιζόµενο µε το ποσοστό χρήσης. Οι εφαρµογές αυτής της κατηγορίας συµπεριλαµβάνουν video streaming ή video messaging. Για παράδειγµα: Ο Bob είναι σε διακοπές και χρησιµοποιεί το τηλέφωνό του για να βγάλει µια φωτογραφία, προσθέτει ένα φωνητικό σχόλιο και το στέλνει µε MMS (Multimedia Messaging Service). Χρεώνεται µε 1 Euro στον prepaid λογαριασµό του. Στην περίπτωση αυτή θα χρησιµοποιηθούν η υπηρεσία MMS και η 2.5G τεχνολογία, συµπεριλαµβανόµενου ενός συστήµατος µεσολάβησης ενσωµατωµένο µε ένα σύστηµα µικρο-πληρωµής. 5.2.1.1 Συστήµατα µεσολάβησης Τα συστήµατα µεσολάβησης παρέχουν στο σύστηµα τη δυνατότητα να διαχειρίζονται τα µοντέλα χρέωσης και να ενσωµατώνονται µε διάφορες µεθόδους πληρωµής, όπως είναι τα συστήµατα χρέωσης και τα συστήµατα προπληρωµής [7]. Σε γενικές γραµµές, οι παροχείς δεν ενδιαφέρονται να παρέχουν µια standalone εφαρµογή πληρωµής, καθώς η χρέωση και η πληρωµή αποτελούν το κέντρο των ασύρµατων συστηµάτων δεδοµένων και αποτελούν µέρος της υποδοµής (infrastructure) του δικτύου του παροχέα. Οι πάροχοι που πρόκειται να εφαρµόσουν αυτά τα συστήµατα θα έχουν το ρόλο του παροχέα υπηρεσίας πληρωµής. Θέλουν να ελέγχουν την σχέση µεταξύ του χρήστη και των πάροχων περιεχοµένου και επιπλέον επενδύουν δυναµικά σε συστήµατα πληρωµής που µπορούν να υποστηρίξουν αυτά τα περίπλοκα µοντέλα. Μπορούν να επιλέξουν να δώσουν την επεξεργασία συναλλαγών σε ένα ASP (Application Service Provider), που αποτελεί ειδική εφαρµογή για µικροπληρωµές, ή µπορούν να αναβαθµίσουν τα συστήµατά τους ώστε να υποστηρίζουν υπηρεσίες χρέωσης δεδοµένων. 5.2.1.2 Λύσεις χρέωσης από πωλητές Οι πωλητές που παρέχουν λύσεις χρέωσης κινητών που κάνουν χρήση των τεχνολογιών GPRS και 3G είναι µεταξύ άλλων οι Amdocs, Cerillion Technologies, Convergys, EHPT, Geneva Technology, Kenan Systems, Portal, Sema και TelesensKSCL [12]. Μερικές από τις παρεχόµενες υπηρεσίες είναι η διαχείριση χρέωσης περιεχοµένου και CRM (Customer Relationship Management) υπηρεσίες. 5.2.2 Out-of-band πληρωµή

Ο τρόπος αυτός πληρωµής [7] αναφέρεται στην περίπτωση όπου το κανάλι πληρωµής είναι ανεξάρτητο από αυτό που χρησιµοποιείται για την φάση της αγοράς, π.χ. ένας κάτοχος πιστωτικής κάρτας µπορεί να χρησιµοποιήσει την κινητή του συσκευή για να επικυρώσει και να πληρώσει για την υπηρεσία που πρόκειται να χρησιµοποιήσει. Αυτός ο τύπος πληρωµής συνήθως εµπεριέχει ένα σύστηµα που ελέγχεται από έναν οικονοµικό ινστιτούτο, πιθανώς σε συνεργασία µε έναν παροχέα κινητής επικοινωνίας. Με σκοπό να κάνουν τις ασύρµατες συσκευές κατάλληλες για επικυρωµένες πληρωµές, οι οικονοµικοί οργανισµοί δίνουν ιδιαίτερη βαρύτητα σε σχηµατικά µοντέλα που κάνουν χρήση του ασύρµατου PKI, συµµετρικών κλειδιών κ.ά. Ένα παράδειγµα τέτοιας πληρωµής: Ένα SMS ειδοποιεί την Άννα ότι υπάρχουν προς πώληση εισιτήρια συναυλίας των U2. Από ένα Internet café κλείνει τα εισιτήρια µέσω του κατάλληλου site και πληρώνει µε την πιστωτική της κάρτα Visa. Η αίτηση για επικύρωση της πληρωµής εµφανίζεται στο κινητό της µέσω SMS και κάνει την επικύρωση χρησιµοποιώντας ένα προσωπικό PIN, υπογράφοντας έτσι ψηφιακά την παραγγελία. Μια απόδειξη στέλνεται στο κινητό της τηλέφωνο. Ένα σχηµατικό παράδειγµα αυτού του είδους πληρωµής δίνεται στο επόµενο σχήµα. Το υποκείµενο φέρον δίκτυο περιλαµβάνει το GSM δίκτυο σαν δίκτυο κινητής επικοινωνίας και SMS ή USSD ως τεχνολογία µηνυµάτων σηµατοδοσίας. Όπως φαίνεται στο επόµενο σχήµα, αποτελείται από ένα Authentication Source (AS) (π.χ. ο issuer), ο οποίος απαιτεί επικύρωση από τον χρήστη. Ο AS στέλνει την αίτηση για επικύρωση στον Authentication Gateway (AGW). Ο AGW είναι υπεύθυνος για την διαµόρφωση των µηνυµάτων προς τον χρήστη και για τον έλεγχο των συνόδων επικύρωσης µε τον χρήστη. Σχήµα 7: Out-of-band πληρωµή µέσω GSM δικτύου. Το AWG εισάγει τα µηνύµατα στο δίκτυο της κινητής επικοινωνίας µέσω του Short Message Switching Centre (µε τα SMS ως τρόπο µεταφοράς) ή µέσω του Unstructured Supplementary Services Data Centre (USSDC) (όταν χρησιµοποιείται το USSD ως µέσο µεταφοράς). Τα µηνύµατα µέσω του Signaling System 7 (SS7), το οποίο είναι το δίκτυο σηµατοδοσίας που χρησιµοποιείται για τον έλεγχο του δικτύου κινητής επικοινωνίας. Τα µηνύµατα δροµολογούνται µέσα από το SS7 δίκτυο προς στο Mobile Switching Centre (MSC) όπου ο χρήστης συνδέεται την τρέχουσα στιγµή και από κει προς το Base Station System (BSS), που αποτελεί το σταθµό βάσης στον οποίο ο

χρήστης συνδέεται τοπικά την τρέχουσα στιγµή. Από το BSS τα µηνύµατα περνάνε µέσω του αέρα στην κινητή συσκευή του χρήστη Mobile Station (MS). 5.2.2.1 Οικονοµικοί Οργανισµοί Οι τράπεζες έχουν ήδη αναγνωρίσει την χρήση των κινητών τηλεφώνων ως µια νέα µέθοδο ασφαλούς προσωπικής πληρωµής [7]. Οι πληρωµές που εµπλέκονται εδώ είναι, συνήθως, για µεγαλύτερα ποσά από ότι στις µικροπληρωµές. Χρησιµοποιούνται διάφορες µέθοδοι για επικύρωση της συναλλαγής, όπως η χρήση dual slot τηλεφώνου για πληρωµές µε πιστωτική κάρτα, PIN επικυρώσεις µέσω SMS εφαρµογών και χρήση ψηφιακών υπογραφών που βασίζονται σε PKI µηχανισµούς. Η υιοθέτηση του PKI συστήµατος προϋποθέτει τουλάχιστον 2.5G τεχνολογία. Προς το παρόν, υπάρχουν συστήµατα όπου η ασφάλεια βασίζεται στη διαδικασία εγγραφής της κινητής συσκευής και της επικύρωσης µέσω ενός PIN. Ο χρήστης πρέπει να εγγράψει την κινητή του συσκευή στον πάροχο της υπηρεσίας πληρωµής, επιτρέποντας στην συναλλαγή της πληρωµής να επικυρωθεί µε διάφορες τεχνολογίες. Τέτοια παραδείγµατα συστηµάτων αποτελούν τα Paybox και MobiPay. 5.2.2.2 Reverse-Charge/Billed SMS Η reverse-billed SMS υπηρεσία παραδίδει το περιεχόµενο στα κινητά τηλέφωνα για την ανάλογη χρέωση [13]. Οι πελάτες εγγράφονται σε µια υπηρεσία και στη συνέχεια χρεώνονται µε µπόνους (premium) για τα µηνύµατα που λαµβάνουν. Το µοντέλο πληρωµής δίνει τη δυνατότητα στους πελάτες να χρησιµοποιήσουν SMS text messaging για να πληρώσουν ανώνυµα για πρόσβαση σε ψηφιακά περιεχόµενα. Η reverse-charge χρέωση σηµαίνει ότι ο κάτοχος του τηλεφώνου λήψης και όχι ο αποστολέας χρεώνεται για το SMS µήνυµα που έλαβε. Υπάρχουν αρκετές εταιρίες που προσφέρουν αυτήν την υπηρεσία στους παροχείς υπηρεσιών, παρέχοντας µια εναλλακτική επιλογή πληρωµής ανεξάρτητη από την infrastructure των διαχειριστών (operators) των δικτύων κινητής επικοινωνίας. 5.2.3 Proximity πληρωµή Ένα σύστηµα πληρωµής µε καλή δυναµική στο m-commerce [14] αποτελούν οι proximity συναλλαγές, όπως για παράδειγµα η χρήση ενός κινητού για πληρωµή σε ένα POS, µηχανή εισιτηρίων, διόδια κλπ. Χρησιµοποιώντας ασύρµατες τεχνολογίες, όπως Bleutooth και 802.11, οι κινητές συσκευές µπορούν να µετατραπούν σε συσκευές πληρωµής επεξεργαζόµενες τόσο micro όσο και macro πληρωµές [7]. Ένα παράδειγµα τέτοιας πληρωµής είναι και το επόµενο: Ο Bob βρίσκεται σε ένα κατάστηµα φωτογραφίας και εικόνας και µεταφέρει τις φωτογραφίες του από την ψηφιακή του κάµερα στον υπολογιστή του καταστήµατος µέσω µιας Bluetooth ζεύξης. Η αίτηση πληρωµής στέλνεται στην συσκευή του, επίσης µέσω µιας Bluetooth ζεύξης, όπου αποδεχόµενος την αίτηση πληροφορίες σχετικά µε την πιστωτική του κάρτα στέλνονται στην POS συσκευή του καταστήµατος. Οι τεχνολογίες που χρησιµοποιούνται είναι Bluetooth, ή κάποια άλλη ασύρµατη

τεχνολογία, και ένα java applet πληρωµής στην κινητή συσκευή και στην POS συσκευή. 5.2.3.1 Smartcards Οι smartcards, π.χ. chip cards µε ένα µικροεπεξεργαστή όπως οι GeldKarte, Proton, Mondex, µπορούν να έχουν credit/debit λειτουργικότητα καθώς και δυνατότητα ψηφιακών υπογραφών και electronic wallet. Οι SIM κάρτες που χρησιµοποιούνται µέσα στα GSM τηλέφωνα είναι και αυτές ένα είδος smartcards. Μέχρι σήµερα δεν υπάρχει ένα κοινό standard για smartcards. Η Visa, για παράδειγµα, έχει αναπτύξει µια δική της πλατφόρµα, που ονοµάζεται Open-Platform, ενώ και άλλες εταιρίες κινούνται προς την ανάπτυξη δικών τους ιδιόκτητων standards. Στο άµεσο µέλλον υπάρχει η ελπίδα ότι πολλοί Ευρωπαίοι καταναλωτές θα έχουν τη δυνατότητα να χρησιµοποιούν έξυπνες κάρτες ηλεκτρονικής πληρωµής που θα βασίζονται σε ένα κοινό standard, το EMV (European MasterCard Visa). Ακόµα και η Γαλλία, η οποία χρησιµοποιεί έξυπνες κάρτες εδώ και αρκετά χρόνια, έχει αποφασίσει να αλλάξει τα τρέχοντα standards στο EMV. Η µαζική αυτή έξαρση των EMV καρτών σχετίζεται µε το m-commerce και κατ επέκταση µε το m-payment. Μια έξυπνη πιστωτική κάρτα µπορεί να χρησιµοποιηθεί µε µια 2-slot κινητή συσκευή για τις πληρωµές εισιτηρίων κλπ. Από τη στιγµή που οι τράπεζες διανέµουν διάφορες κάρτες θα δώσουν βάση ώστε αυτές να υλοποιούν το EMV αλλά και mobile wallet εφαρµογές. 5.2.3.2 Mobile Wallets Γενικά, ένα wallet µπορεί να προσδιοριστεί σε διάφορες πλατφόρµες φορέων, όπως έµποροι, φορείς κινητής επικοινωνίας, third-party παροχείς χρέωσης, τράπεζες, εταιρίες πιστωτικών καρτών και µπορούν να χρησιµοποιηθούν για αποθήκευση ηλεκτρονικού χρήµατος. Οι ηλεκτρονικοί έµποροι, όπως τα Amazon και ebay κάνουν χρήση της έννοιας των wallets που στηρίζονται σε ιδιόκτητο server, όπου αποθηκεύουν πληροφορίες πληρωµής που σχετίζονται µε τους καταναλωτές. Η Nokia προσφέρει wallets σε κάποια κινητά τηλέφωνα για να διευκολύνουν τις αγορές και τη διαδικασία πληρωµής κρατώντας µε ασφάλεια τα δεδοµένα του καταναλωτή αποθηκευµένα στις κινητές συσκευές. H λειτουργία των m-wallets είναι ανάλογη µε αυτή των e-wallets, ενώ αντιπροσωπευτικά παραδείγµατα m-wallet αποτελούν οι εφαρµογές Mobipay Vodafone m-pay. Στον επόµενο πίνακα φαίνονται οι εκτιµήσεις µικρο- και µακρο- πληρωµών από το 2000 ως το 2005 [15].

Πίνακας 1 6. Η ασφάλεια στο M-Payment Όταν γίνεται αναφορά στην ασφάλεια στο m-payment, µπορούν να διαχωριστούν 3 βασικές περιοχές: Ο καταναλωτής Το µέσο µεταξύ καταναλωτή και πωλητή Ο πωλητής Στη συνέχεια θα αναφερθούµε σε κάποιες βασικές έννοιες που εφαρµόζονται στο m-payment και αφορούν στην ασφάλεια των συναλλαγών. Η κρυπτογράφηση (encryption) µπορεί να χρησιµοποιηθεί για να ενισχύσει την εµπιστευτικότητα (confidentiality) σε µία συναλλαγή. Η κρυπτογράφηση είναι η διαδικασία κατά την οποία plaintext δεδοµένα (δηλαδή η αναπαράσταση της πληροφορίας µε κείµενο και αριθµούς) µετατρέπονται σε ακατανόητα δεδοµένα. Αυτό επιτυγχάνεται µε τη χρήση κλειδιών κρυπτογράφησης και αποκρυπτογράφησης. Οι επόµενοι µηχανισµοί που θα αναφερθούν βασίζονται σε ένα public key cryptosystem σύστηµα, στο οποίο χρησιµοποιούνται 2 ειδών κλειδιά: Ένα προσωπικό µυστικό κλειδί (private key) Ένα κοινό δηµόσιο κλειδί (public key) Η ιδέα της χρήσης των 2 αυτών κλειδιών φαίνεται στο επόµενο σχήµα. Σχήµα 8: Σχηµατικό παράδειγµα χρήσης των private και public κλειδιών.

Η public key κρυπτογραφία µπορεί να χρησιµοποιηθεί σε θέµατα εµπιστευτικότητας ή ψηφιακές υπογραφές. Στην πρώτη περίπτωση, το κλειδί κρυπτογράφησης γίνεται δηµόσιο και το κλειδί αποκρυπτογράφησης κρατείται µυστικό. Αντίθετα, στις υπογραφές το κλειδί κρυπτογράφησης κρατείται µυστικό, ενώ το κλειδί αποκρυπτογράφησης γίνεται δηµόσιο. Οι ψηφιακές υπογραφές (digital signatures) µπορούν να πιστοποιήσουν την αυθεντικότητα των µερών που συναλλάσσονται. Μία ψηφιακή υπογραφή είναι ένα σχήµα δεδοµένων που συνοδεύει ένα ψηφιακά κωδικοποιηµένο µήνυµα. Οι υπογραφές αυτές µπορούν να παραχθούν κρυπτογραφώντας τα περιεχόµενα των δεδοµένων που πρόκειται να µεταδοθούν χρησιµοποιώντας ένα ιδιωτικό κλειδί. Η κίνηση αυτή µπορεί να εγγυηθεί ότι οι υπογραφές δεν πρόκειται να πλαστογραφηθούν. Επίσης, µαθηµατικές µέθοδοι όπως hash functions µπορούν να χρησιµοποιηθούν για την ελαχιστοποίηση του µεγέθους της ψηφιακής υπογραφής. Για την πιστοποίηση των ψηφιακών υπογραφών, χρειάζεται ένα αντίγραφο του δηµόσιου κλειδιού από το υπογράφων µέρος.. Είναι σηµαντικό να εξασφαλισθεί ότι το δηµόσιο κλειδί που χρησιµοποιείται είναι το σωστό, αλλιώς υπάρχει πιθανότητα παραβίασης της ασφάλειας. Τα ψηφιακά πιστοποιητικά (digital certificates) µας επιτρέπουν να διανέµουµε τα δηµόσια κλειδιά µε έναν ασφαλή τρόπο που µπορεί να παρέχει αυτή την εξασφάλιση. Ένα ψηφιακό πιστοποιητικό είναι µια συλλογή από πληροφορίες στις οποίες έχει προσαρτηθεί µια ψηφιακή υπογραφή από κάποια αναγνωρισµένη αρχή και έχουν πιστοποιηθεί από µια κοινότητα πιστοποιηµένων χρηστών. Ένας συνηθισµένος τύπος ψηφιακής υπογραφής είναι το πιστοποιητικό δηµόσιου-κλειδιού (public-key certificate) το οποίο συνδέει ένα συγκεκριµένο άτοµο, συσκευή ή οντότητα µε ένα δηµόσιο κλειδί. Ένα ψηφιακό πιστοποιητικό περιέχει 4 βασικά στοιχεία: ένα δηµόσιο κλειδί πληροφορίες σύνδεσης του κλειδιού µε τον κάτοχό του πληροφορίες σχετικά µε τον διανοµέα του κλειδιού την ψηφιακή υπογραφή του διανοµέα (issuer) Ένα Public Key Infrastructure (PKI) ορίζεται από το PKIX Working Group ως µια οµάδα από υλικό, λογισµικό, ανθρώπους και διαδικασίες που απαιτούνται για την δηµιουργία, διαχείριση, αποθήκευση, διανοµή πιστοποιητικών που βασίζονται στην κρυπτογραφία δηµόσιου κλειδιού. Οι παραπάνω τεχνολογίες συµβάλλουν καθοριστικά στην υλοποίηση ενός ασφαλούς περιβάλλοντος για τις m-commerce πληρωµές. Ένα τέτοιο παράδειγµα αποτελεί και το WTLS, ένα πρωτόκολλο ασφάλειας στην αρχιτεκτονική WAP, που συµπεριλαµβάνει κρυπτογραφία και ψηφιακά πιστοποιητικά.. Το WTLS ασφαλίζει την επικοινωνία µεταξύ της κινητής συσκευής του χρήστη και ενός WAP gateway. Ένα άλλο ανάλογο παράδειγµα είναι το SET (Secure Electronic Transaction), ένα πρωτόκολλο που αναπτύχθηκε από την MasterCard και την Visa και το οποίο υλοποιείται χρησιµοποιώντας το PKI και υποστηρίζει πληρωµές µέσω καρτών τραπέζης. 7. Εφαρµογές Κάθε εφαρµογή m-payment που υπάρχει στην αγορά, σήµερα, βασίζεται σε κάποια πλατφόρµα που υποστηρίζει διάφορα σενάρια m-payment. Μια λίστα του epayment Systems Observatory (που λειτουργεί κάτω από τη European Central Bank)