張彩霞 湖南大眾傳媒職業(yè)技術(shù)學(xué)院

o2o模式下的移動支付安全保障研究

張彩霞 湖南大眾傳媒職業(yè)技術(shù)學(xué)院

O2O的核心在于在線支付，消費者通過移動終端對商家展示的二維碼進行掃描實現(xiàn)便捷的一站式購物消費體驗。在移動支付的過程中主要涉及到消費者、商家及第三方支付平臺三個方面，因此移動支付安全是也涉及到商家內(nèi)部支撐安全、商家應(yīng)用系統(tǒng)安全、消費者手機終端安全和第三方支付平臺安全幾部分。而商家內(nèi)部的ERP系統(tǒng)、商家的前端消費系統(tǒng)均部署在特定的支撐環(huán)境中，需要充分保障支撐環(huán)境的安全。

移動支付 支付系統(tǒng) 支付安全保障

一、移動支付系統(tǒng)的構(gòu)成

（一）O2O營銷模式的核心

從表面上看，O2O的關(guān)鍵似乎是網(wǎng)絡(luò)上的信息發(fā)布，但實際上，O2O的核心在于在線支付，一旦沒有在線支付功能，O2O中的online不過是替他人做嫁衣罷了。如：團購，如果沒有能力提供在線支付，僅憑網(wǎng)購后的自家統(tǒng)計結(jié)果去和商家要錢，結(jié)果會是雙方無法就實際購買的人數(shù)達成精確的統(tǒng)一而陷入糾紛。

在線支付不僅是支付本身的完成，也是某次消費得以最終形成的唯一標(biāo)志，更是消費數(shù)據(jù)唯一可靠的考核標(biāo)準(zhǔn)。對于提供online服務(wù)的互聯(lián)網(wǎng)專業(yè)公司而言，只有用戶在線上完成支付，自身才可能從中獲得效益，從而把準(zhǔn)確的消費需求信息傳遞給offline的商業(yè)伙伴。無論B2C，還是C2C，均是在實現(xiàn)消費者能夠在線支付后，才形成了完整的商業(yè)形態(tài)。而在以提供服務(wù)性消費為主，且不以廣告收入為盈利模式的O2O中，在線支付更是舉足輕重。

移動支付正在不斷的深入到人們生活中，它有著獨特的“隨時”、“隨地”、“便捷”的特點，只要有移動互聯(lián)網(wǎng)終端，且有移動支付的軟件，就可以彈指間完成一次網(wǎng)上交易，這樣的特點正好與O2O營銷模式的無地域、無時限的需求相吻合。

現(xiàn)在廣大消費者開始利用“二維碼”將購物消費決策由電腦搬到了手機上，通過移動終端對商家展示的二維碼進行掃描實現(xiàn)便捷的一站式購物消費體驗，更好的體現(xiàn)出O2O營銷模式便捷、隨意的特點，二維碼的發(fā)展已經(jīng)成為O2O營銷模式有關(guān)移動支付技術(shù)的關(guān)鍵市場價值增長點。從消費者購買行為來看，消費者在商場、超市等零售賣場進行購物時使用手機支付也應(yīng)是符合市場發(fā)展規(guī)律和現(xiàn)代人生活方式的一種未來趨勢。

（二）移動支付系統(tǒng)構(gòu)成

移動支付系統(tǒng)主要涉及到三個方面：消費者、商家及第三方支付平臺，所以移動支付系統(tǒng)大致可分為消費者前端消費系統(tǒng)、商家內(nèi)部ERP系統(tǒng)和第三方支付平臺三個部分。

消費者前端消費系統(tǒng)：保證消費者順利地購買到所需的產(chǎn)品和服務(wù)，并可隨時觀察消費明細賬、余額等信息。商家內(nèi)部ERP系統(tǒng)：可以隨時查看銷售數(shù)據(jù)以及賬戶到帳情況。

二、移動支付面臨的安全風(fēng)險

（一）技術(shù)方面

移動支付領(lǐng)域的風(fēng)險隱患主要有以下三點：

第一，二維碼生成機制和傳輸過程存在風(fēng)險隱患。由于技術(shù)門檻低，二維碼目前處在“人人皆可制作、印刷和發(fā)布”的狀態(tài)。不法分子可將帶有病毒程序、不良信息的網(wǎng)站或者釣魚網(wǎng)站的網(wǎng)址發(fā)布成二維碼形式，然后通過各種手段誘導(dǎo)用戶掃碼。對于普通用戶來說，無法鑒別二維碼的信息內(nèi)容和發(fā)布者的身份信息，用手機掃二維碼成了高風(fēng)險動作。

第二，支付終端的安全性較難保障。與傳統(tǒng)POS機具有專用?？氐闹Ц督K端相比，二維碼形式的手機支付終端環(huán)境復(fù)雜，被攻擊的渠道增多，安全性較難保障，可能會導(dǎo)致用戶身份信息、交易信息泄露、資金損失。

第三，二維碼支付指令驗證手段較為單一，安全性屏障不夠。二維碼移動支付的特點是所有的支付指令驗證手段都通過手機來完成，要么是在手機中輸入支付密碼，要么是通過短信驗證碼的方式完成支付指令驗證，甚至可通過手機重置支付密碼。因此支付交易過程中的安全因子單一，驗證通道單一，一旦用戶手機丟失或被遙控，可能會直接造成用戶資金損失。

（二）支撐安全方面

商家內(nèi)部的ERP系統(tǒng)、商家的客戶消費系統(tǒng)均部署在特定的支撐環(huán)境中，需要充分保障支撐環(huán)境的安全。

（三）操作系統(tǒng)安全方面

主機操作系統(tǒng)是承載業(yè)務(wù)應(yīng)用、存儲系統(tǒng)、數(shù)據(jù)庫和中間件的基礎(chǔ)載體，是業(yè)務(wù)應(yīng)用安全的主要防線，一旦操作系統(tǒng)的安全性出現(xiàn)問題，將對整體業(yè)務(wù)及數(shù)據(jù)安全造成嚴(yán)重威脅。

（四）數(shù)據(jù)庫安全方面

數(shù)據(jù)庫是業(yè)務(wù)系統(tǒng)的數(shù)據(jù)承載體，保存著重要的敏感業(yè)務(wù)數(shù)據(jù)，包括企業(yè)信息及其他敏感數(shù)據(jù)。參照等級保護三級要求，應(yīng)該保障數(shù)據(jù)庫安全。如可以制定和使用口令的安全策略、授予用戶執(zhí)行業(yè)務(wù)操作所需的最小數(shù)據(jù)訪問權(quán)限、在數(shù)據(jù)庫性能可接受的前提下，建議進行數(shù)據(jù)庫事件審計，并定期檢查數(shù)據(jù)庫審核記錄，加強對日志記錄的保護，避免被意外刪除、修改或覆蓋等、對遠程數(shù)據(jù)庫調(diào)用進行地址限制、及時更新經(jīng)過安全測試的數(shù)據(jù)庫管理系統(tǒng)補丁，更新時應(yīng)當(dāng)制定詳細的回退計劃、對權(quán)限較敏感的存儲過程加強管理等。

（五）安全監(jiān)控方面

根據(jù)我國的信息安全保護強制標(biāo)準(zhǔn)GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》信息規(guī)定三級系統(tǒng)，均應(yīng)提供系統(tǒng)審計措施對用戶登錄情況、系統(tǒng)配置情況以及系統(tǒng)資源使用情況等進行記錄。建議通過監(jiān)控系統(tǒng)，實現(xiàn)主機、網(wǎng)絡(luò)、存儲、數(shù)據(jù)庫中間件的監(jiān)控與報警，便于實時發(fā)現(xiàn)問題及定位追蹤。

（六）應(yīng)用系統(tǒng)權(quán)限安全

主要的風(fēng)險源包括用戶名、密碼泄露；用戶名、密碼被惡意盜用；用戶在系統(tǒng)中的操作請求被抓包監(jiān)聽、用戶在系統(tǒng)中的操作請求被抓包并惡意篡改、用戶在系統(tǒng)中的操作在不知情的情況下被惡意導(dǎo)向到釣魚網(wǎng)站，暴露了交易的信息?？衫盟借€、公鑰，通過RSA加密算法，將客戶端與服務(wù)器端進行的網(wǎng)絡(luò)請求進行雙向加密，確保不被惡意截取及篡改。

（七）消費者手機終端安全

對于手機支付終端的環(huán)境安全問題，需加強手機端安全環(huán)境檢測，培養(yǎng)用戶使用手機的良好使用習(xí)慣（從正規(guī)渠道下載APP，其次對別人發(fā)來的APP、鏈接和二維碼不要隨便掃描、點擊和安裝）。從支付業(yè)務(wù)風(fēng)險控制角度，需對手機上的支付業(yè)務(wù)進行限額管理。

三、微信移動支付安全保障

微信支付作為第三方移動支付平臺提供了充分的安全保障措施。

（一）被讀模式的掃碼支付

日前，微信最新版本推出了全新的二維碼和條形碼掃描模式，刷卡支付采用的是被讀模式(也就是用戶展示二維碼被商家掃描)，原來掃碼支付是主讀模式(也就是用戶主動掃描商戶的二維碼），并且條形碼和二維碼每分鐘會自動更新，在安全性能上有所提高，隨著國內(nèi)銀行、銀聯(lián)以及支付寶等多家機構(gòu)在二維碼支付方式上投入，相信后期二維碼支付有望進入一個標(biāo)準(zhǔn)化的安全階段。

（二）構(gòu)建移動支付閉環(huán)保護

騰訊手機管家將構(gòu)建移動支付“前、中、后”閉環(huán)保護，建立了以微信為核心的豐富移動支付安全入口。支付前，騰訊手機管家會提供手機支付漏洞檢測，創(chuàng)建“支付保險箱”，對各類網(wǎng)購支付應(yīng)用進行安全檢測。支付中，可防止虛假Wi-Fi網(wǎng)絡(luò)、釣魚網(wǎng)站和二維碼病毒、防支付短信被攔截盜用、防銀行卡信息被盜。支付后，還提供手機防盜功能，防止手機丟失后賬號密碼泄露，以及提供極速包賠，雙重保障服務(wù)。

同時，新版產(chǎn)品為微信支付打造了“手機管家軟件鎖”，打通了微信支付的整個服務(wù)鏈條，實現(xiàn)微信支付的全程保護。此外騰訊廣大的合作和控股商家，如滴滴打車、大眾點評、京東、上品折扣、王府井等移動網(wǎng)購支付產(chǎn)業(yè)鏈，在引流的同時增強用戶對手機管家的信任。

（三）微信支付的五大安全保障為用戶提供安全防護和客戶服務(wù)

第一，技術(shù)保障：微信支付后臺有騰訊的大數(shù)據(jù)支撐，海量的數(shù)據(jù)和云計算能夠及時判定用戶的支付行為是否存在的風(fēng)險?；诖髷?shù)據(jù)和云計算的全方位的身份保護，最大限度保證用戶交易的安全性。同時微信安全支付認證和提醒，從技術(shù)上保障交易的每個環(huán)節(jié)的安全。

第二，客戶服務(wù)：7*24小時客戶服務(wù)，加上微信客服，及時為用戶排憂解難。同時為微信支付開辟的專屬客服通道，以最快的速度響應(yīng)用戶的提出問題并做出處理判斷。

第三，業(yè)態(tài)聯(lián)盟：基于智能手機的微信支付，將受到多個手機安全應(yīng)用廠商的保護，如騰訊手機管家等，將與微信支付一道形成安全支付的業(yè)態(tài)聯(lián)盟。

第四，安全機制：微信支付從產(chǎn)品體驗的各個環(huán)節(jié)考慮用戶心理感受，形成了整套安全機制和手段。這些機制和手段包括：硬件鎖、支付密碼驗證、終端異常判斷、交易異常實時監(jiān)控、交易緊急凍結(jié)等。這一整套的機制將對用戶形成全方位的安全保護。

第五，賠付支持：如果出現(xiàn)賬戶被盜被騙等情況，經(jīng)核實確為微信支付的責(zé)任后，微信支付將在第一時間進行賠付；對于其他原因造成的被盜被騙，微信支付將配合警方，積極提供相關(guān)的證明和必要的技術(shù)支持，幫用戶追討損失。

四、結(jié)語

移動支付安全是一個系統(tǒng)工程，需要主管部門、支付機構(gòu)、商家、消費者多方一齊努力，針對二維碼的特點，合理搭配各種安全手段和機制，才能在享受二維碼便利性的同時最大限度實現(xiàn)支付安全，也為互聯(lián)網(wǎng)金融創(chuàng)新發(fā)展提供堅實的基礎(chǔ)。

[1]王瀟雨，朱曉蕓，楊棖.移動支付的安全交易平臺的研究與開發(fā)[J].計算機工程與設(shè)計,2006,27(21).

[2]張培晶.移動支付-基于第三方安全支付模式的研究及其實現(xiàn)[D].太原理工大學(xué),2005.

[3]趙艷麗，移動支付安全性研究與實現(xiàn)[D].浙江理工大學(xué),2009.

[4]崔瑩，手機二維碼支付應(yīng)用技術(shù)和發(fā)展概述[J].電腦知識與技術(shù)：學(xué)術(shù)交流,2013(4).

[5]陸睿敏，劉南君，莫曉賢，裴愛.二維碼支付技術(shù)的應(yīng)用現(xiàn)狀及其對策研究[J].電子商務(wù),2015(9)：65-67.

[6]陳龍軍.有關(guān)二維碼支付風(fēng)險分析及其防范[J].科技經(jīng)濟導(dǎo)刊,2015(7).

[7]周國濤，袁舟舟，淺談二維碼支付的風(fēng)險與防范措施[J].中國信用卡,2015(1):79-82.

張彩霞，研究生學(xué)歷，湖南大眾傳媒技術(shù)學(xué)院，研究方向：電子商務(wù)。

本文系湖南省教育廳科學(xué)項目研究“O2O模式下的微信營銷應(yīng)用研究”（項目編號：15C0277）的研究成果。