■ 周 亮 李漢臣 程連濤

城市公交是公眾出行的重要公共交通方式，公交乘車收費具有典型的乘客流量大、點位多、小額、剛需、充值和結(jié)算復(fù)雜等特點，同時還要求車載收費機(jī)具能夠適應(yīng)高頻次應(yīng)用，計費速度快并適應(yīng)移動網(wǎng)絡(luò)。

新興的支付寶、微信等離線二維碼支付（簡稱虛擬卡）是通過公交車載POS終端掃描線下乘客APP中的公交付款二維碼方式完成購票，交易資金準(zhǔn)實時結(jié)算并打入公交賬戶中的一種交易方式。在該模式下，現(xiàn)場掃碼時車載POS處于離線狀態(tài)，后期結(jié)算時POS終端及其服務(wù)端具備聯(lián)網(wǎng)能力，并與條碼支付系統(tǒng)通信，這種交易模式相比較傳統(tǒng)的公交IC卡交易，在支付方式、交易安全和后臺結(jié)算等方面有很大的區(qū)別。

1 虛擬卡支付的業(yè)務(wù)流程

公共交通虛擬卡支付流程既可以實現(xiàn)傳統(tǒng)的“先儲值，后乘車”支付模式，也可以實現(xiàn)新型的“先乘車，后結(jié)算”支付模式，對公共交通領(lǐng)域消費的乘客提供了更多的便民服務(wù)。

在開通虛擬卡功能時，可以開通代扣方式，比如通過在線賬戶、支付寶、微信支付等代扣代繳，也可以和普通實體卡一樣，先在線充值然后再乘車消費。

公共交通虛擬卡在公共交通場景使用有兩種方式：一是單票制公交車。打開手機(jī)端展示乘車專用二維碼，進(jìn)行掃碼消費后，機(jī)具顯示消費金額，交易記錄傳輸至后臺，按實扣費。二維碼中帶有生成時間、支付上限、有效期、公鑰、密鑰索引、支付終端類型等信息。二是多票制公交車。上下車時均需要掃碼，后臺收到消費記錄后，進(jìn)行匹配，根據(jù)上下車站點，確定消費金額，后臺賬戶進(jìn)行扣費。

不論是單票制還是多票制，都對應(yīng)了預(yù)付費、先享后付、信用支付等支付方式：

（1） 預(yù)付費。虛擬卡持卡人可以預(yù)先向二維碼賬戶儲值，通常在儲值或者消費時享受一定的優(yōu)惠。系統(tǒng)收到交易記錄后，直接扣除賬戶中的金額，如余額不足則禁止生成二維碼或者轉(zhuǎn)為先享后付二維碼，交易允許最后一筆存在小額透支，再次充值后則重新轉(zhuǎn)為預(yù)付費模式二維碼。

（2） 先享后付。虛擬卡持卡人可以提前綁定支付寶、微信、銀行卡等代扣方式，或者直接使用支付寶、微信等相關(guān)乘車碼，系統(tǒng)收到交易記錄后，直接按照協(xié)議發(fā)送給第三方支付機(jī)構(gòu)，由第三方支付機(jī)構(gòu)根據(jù)協(xié)議支付消費金額。

（3）信用支付。信用支付是先享后付和預(yù)付費的組合，在賬戶系統(tǒng)建立信用額度及使用明細(xì)記錄，為每個持卡用戶設(shè)定對應(yīng)的信用額度記錄，包括最高額度、已用（未還款）額度、當(dāng)前可用余額、以及每一筆信用額度使用情況，可供個人還款查詢、系統(tǒng)計算免息期、滯納金等。

系統(tǒng)為每個用戶設(shè)置一個信用額度并定期在綁定賬戶中扣除金額。初期為每個符合條件用戶設(shè)置統(tǒng)一的固定額度，后期可以根據(jù)建設(shè)完善的征信體系中個人數(shù)據(jù)模型評估，為個人設(shè)定不同的信用額度。授信額度可根據(jù)用戶使用頻率、金額大小、還款情況、違約次數(shù)、黑名單記錄等做調(diào)整。

公共交通信用支付正常還款期為一個月或者交易累計值接近信用額度閾值則啟動還款機(jī)制，還款途徑包括第三方支付、網(wǎng)銀等。還款時，系統(tǒng)可從信用額度表中查詢到該個人當(dāng)前欠款額度，列出額度使用情況，根據(jù)欠款額度一次還清，也可綁定支付寶、微信、銀行卡等途徑進(jìn)行代扣還款。

2 虛擬卡支付的風(fēng)險控制

針對離線支付，需要考慮各種風(fēng)險控制，風(fēng)險控制主要包括事前控制、事后控制和壞賬比例控制。

（1）事前控制：通過身份證、手機(jī)號驗證核實身份；從信用管理服務(wù)平臺獲得授信判斷；虛擬卡設(shè)置有效期，消費時判斷碼內(nèi)有效期；手機(jī)遺失后提供緊急掛失功能，后臺阻止生成二維碼； 延長有效期時聯(lián)機(jī)判斷后臺黑名單。

（2）事后控制（違約處理）：對于信用支付逾期一個月仍未還款用戶，將不能聯(lián)機(jī)延續(xù)有效期和生成二維碼。繼續(xù)收取滯納金；后臺關(guān)閉其信用支付功能，下載黑名單至消費終端，在公共交通領(lǐng)域不能再支付；聯(lián)機(jī)禁止延續(xù)有效期，手機(jī)端不能生成行業(yè)二維碼；相關(guān)信用服務(wù)聯(lián)動限制，在征信系統(tǒng)方案中約定。

（3）壞賬比例報警機(jī)制：實時計算拖欠還款的壞賬比例，以人為單位計算，壞賬率=違約且未追回人（逾期30日仍未還款）/公共交通使用信用支付總?cè)藬?shù)，壞賬率超過1%啟動首次警示，以后每增加1%均進(jìn)行內(nèi)部警示，并需要討論確認(rèn)應(yīng)急處置辦法，可采取的方案包括：降低整體授信額度或臨時暫停信用支付等。若綁定信用卡則壞賬比例會大幅降低。

3 消費二維碼 （條碼） 的安全性

條碼是指寬度不等的多個黑條和空白，按照一定的編碼規(guī)則排列，用以表達(dá)一組信息的圖形標(biāo)識符，包括一維條碼、二維條碼。

二維條碼則是指在一維條碼的基礎(chǔ)上擴(kuò)展出另一維具有可讀性的條碼，使用黑白矩形圖案表示二進(jìn)制數(shù)據(jù)，被設(shè)備識讀和解碼后可獲取其中所包含的信息。二維條碼一般在長度、寬度兩個維度上均記載著數(shù)據(jù)。

聯(lián)機(jī)條碼支付已經(jīng)在微信、支付寶等第三方支付機(jī)構(gòu)廣泛使用。

常見的二維碼交易方式分為主讀和被讀兩種方式，主讀指用戶終端主動識讀條碼的行為，被讀指用戶終端上條碼被受理終端識讀的行為。因公共交通車載終端等需要主動識別消費者的消費行為，確認(rèn)消費者，所以一般均采取被讀模式進(jìn)行交易。此模式下，由受理終端掃描代表付款人的條碼，終端直接確認(rèn)掃碼結(jié)果發(fā)出乘車提醒，并延時傳輸交易記錄，以完成收款動作。付款人可通過移動終端或者刷卡機(jī)進(jìn)行交易確認(rèn)。

此流程所生成的條碼，即為用戶賬戶的一個展現(xiàn)，出于安全考慮，條碼應(yīng)該不包含用戶直接信息、敏感信息，應(yīng)采用加密技術(shù)進(jìn)行保護(hù)，并為一次性展現(xiàn)，使用后或者有效期到期即失效。

將傳統(tǒng)二維碼加入條碼支付機(jī)構(gòu)的機(jī)構(gòu)授權(quán)數(shù)據(jù)及相應(yīng)的簽名和條碼生成用戶的用戶授權(quán)數(shù)據(jù)及相應(yīng)的簽名，成為完整離線二維碼數(shù)據(jù)，使之具備不可抵賴性，車載POS終端對其進(jìn)行校驗，明確該二維碼為條碼支付機(jī)構(gòu)和用戶均認(rèn)可的二維碼，記錄該碼，允許用戶乘車，并延時進(jìn)行聯(lián)機(jī)認(rèn)證，對用戶賬戶進(jìn)行扣費，即為離線二維碼支付。

離線二維碼的消費過程可以視為用戶聯(lián)機(jī)賬戶的一個離線認(rèn)證過程，因為交易的非實時性，以及二維碼在多個離線終端上允許重放的特性，為防止事后賬戶扣費失敗，建議該用戶賬戶為實名賬戶。

每個允許交易的用戶賬戶配合相應(yīng)的二維碼展示APP即可視為一張?zhí)摂M公交卡。虛擬公交卡牽扯到的交易包括開通虛擬公交卡、刷新授權(quán)、交易、結(jié)算、關(guān)閉虛擬公交卡等業(yè)務(wù)。

用戶支付過程中涉及的消費二維碼安全主要采用以下技術(shù)： 二維碼聯(lián)機(jī)授權(quán)數(shù)據(jù)應(yīng)具備分鐘級時效性，且時效性可動態(tài)調(diào)整；每個用戶僅能單智能終端登錄，使用新智能終端登錄時，舊智能終端應(yīng)自動下線；應(yīng)根據(jù)用戶信用情況，限制二維碼連續(xù)生碼次數(shù)；次數(shù)由發(fā)碼平臺控制，超過限制需要驗證用戶身份合法性；更換設(shè)備登錄，需重新驗證用戶身份合法性；二維碼應(yīng)每分鐘自動更新；保證車載機(jī)具設(shè)備和系統(tǒng)的合法性。

4 虛擬卡支付的系統(tǒng)安全性

虛擬卡支付的系統(tǒng)安全設(shè)計主要從以下幾個方面入手：

（1）數(shù)據(jù)存儲。數(shù)據(jù)存儲保護(hù)各系統(tǒng)內(nèi)保存的關(guān)鍵數(shù)據(jù)信息安全性，內(nèi)部數(shù)據(jù)統(tǒng)一在密鑰管理系統(tǒng)中安全存儲，手機(jī)客戶端關(guān)鍵信息應(yīng)分段存儲，且客戶端程序應(yīng)保證分段數(shù)據(jù)組合過程編程邏輯的安全性，禁止在身份認(rèn)證結(jié)束后明文存儲賬戶信息，防止賬戶信息泄露。

（2）數(shù)據(jù)傳輸。數(shù)據(jù)傳輸保護(hù)各系統(tǒng)間進(jìn)行信息傳輸時的安全性。主要包括授權(quán)支付機(jī)構(gòu)服務(wù)端、手機(jī)客戶端和商戶三方間通信傳輸安全。授權(quán)支付機(jī)構(gòu)與手機(jī)客戶端間通信使用授權(quán)支付機(jī)構(gòu)的安全通道，商戶與授權(quán)支付機(jī)構(gòu)間通信使用HTTPS和簽名進(jìn)行保護(hù)。手機(jī)客戶端與商戶系統(tǒng)間通信應(yīng)由安全算法保護(hù)信息安全，具體要求如下：二維碼支付交易各系統(tǒng)間應(yīng)建立安全通信信道，對交易數(shù)據(jù)采用數(shù)字簽名或加密等方式進(jìn)行傳輸，確保數(shù)據(jù)不被監(jiān)聽和篡改；公網(wǎng)環(huán)境下，二維碼信息不應(yīng)以明文形式傳輸；應(yīng)具備對傳輸數(shù)據(jù)的鑒別機(jī)制，確保系統(tǒng)間傳輸數(shù)據(jù)的完整性；應(yīng)對傳輸數(shù)據(jù)進(jìn)行加密。

（3）數(shù)據(jù)防偽造。數(shù)據(jù)防仿造保護(hù)關(guān)鍵信息防止數(shù)據(jù)被偽造或者篡改，確保信息的完整性。主要采用簽名保證數(shù)據(jù)完整性，在國內(nèi)簽名算法一般要求支持國密算法。

（4）重放攻擊。重放攻擊是指將已接受或者已處理的信息進(jìn)行重放來破壞安全授權(quán)關(guān)系的攻擊方式。重放攻擊主要是針對信用數(shù)據(jù)和交易記錄的重放攻擊，依據(jù)攻擊模式的不同，可以采用相應(yīng)的防范技術(shù)手段。

針對消費二維碼的數(shù)據(jù)重放，可采用單POS重放：POS機(jī)內(nèi)，數(shù)據(jù)有效時間內(nèi)不允許重復(fù)交易。同一POS機(jī)在特定時間間隔內(nèi)，讀取到同一用戶重新生成的數(shù)據(jù)，是否允許使用由商戶決定，特定時間間隔的值由商戶決定。也可采用跨POS重放：業(yè)務(wù)上作為多筆交易進(jìn)行扣款。

針對交易記錄的數(shù)據(jù)重放。交易信息商戶私鑰簽名防篡改，被重放記錄報錯不做處理。

（5）用戶安全。客戶端應(yīng)驗證用戶身份，驗證可采用如下方式：用戶提供驗證信息，例如：客戶端密碼或口令等；用戶提供所持設(shè)備的驗證信息，例如：動態(tài)驗證碼、令牌等。

5 虛擬卡支付系統(tǒng)的結(jié)構(gòu)設(shè)計

虛擬卡支付系統(tǒng)架構(gòu)如附圖所示，新建條碼業(yè)務(wù)系統(tǒng)和密鑰管理系統(tǒng)結(jié)合，統(tǒng)一為虛擬卡賬戶管理系統(tǒng)服務(wù)，對外提供各種接口，實現(xiàn)虛擬卡系統(tǒng)的開通、交易、充值、消費、計算等功能。

附圖 虛擬卡支付系統(tǒng)結(jié)構(gòu)設(shè)計圖

虛擬卡支付已經(jīng)成為國內(nèi)發(fā)展最廣泛，社會接受度最高的公共交通支付產(chǎn)品，目前發(fā)碼機(jī)構(gòu)主要是支付寶、微信、銀聯(lián)等支付機(jī)構(gòu)。各公交公司應(yīng)在國家相關(guān)部委和各地政府統(tǒng)一規(guī)劃和指導(dǎo)下，通過改造和升級城市公交IC卡收費系統(tǒng)實現(xiàn)虛擬公交卡和實體公交卡的結(jié)合，對擴(kuò)大電子支付應(yīng)用領(lǐng)域，推動公交整體服務(wù)的提升，加快城市信息化建設(shè)整體發(fā)展具有重要積極意義。