二維碼支付安全性

方正國際（北京）有限公司　于芬芬

?

二維碼支付安全性

方正國際（北京）有限公司于芬芬

【摘要】近年來，移動支付愈來愈流行，其給消費者的支付工作提供了極大的便利。二維碼支付是移動支付手段的重要組成成分，是非常受現代人歡迎的一種支付方式。從專業的角度看，雖然二維碼支付方式具有極強的便利性，但是該種技術在支付安全保障上仍然存在著一些問題，可能造成用戶個人信息泄露的現象。結合工作經驗與相關理論知識，在本文中著重分析了二維碼支付技術的安全性并提出技術改進方案，供有關人員參考借鑒。

【關鍵詞】二維碼支付；個人信息；泄露

現階段，二維碼支付技術應用較為普遍，不僅為消費者的支付工作提供了便利，同時在一定程度上刺激了社會消費。應當看到，二維碼支付發展時間相對較短，技術上依然存在著許多問題，直接影響了支付過程的安全性。就目前狀況而言，大部分不愿意使用二維碼支付的用戶主要認為該支付方式安全性較低，可能導致個人信息泄露現象的發生。因此，必須重視二維碼支付過程的安全保障工作，通過提升技術的安全性來消除消費者對二維碼支付的顧慮。

1　二維碼技術概述

1.1編碼

編碼工作是制作二維碼的第一步。首先，技術人員需要對各種原始數據展開分析工作，不同的數據編碼工作需要應用不同的編碼方式。在數據轉為位流后，需要對二維碼的糾錯能力進行相應的設置，通常情況下，可供選擇的糾錯容易等級為H，L，Y以Q，在糾錯容量等級確立后，可以開展糾錯碼的生成工作。

二維碼圖形中的數據具有一定的排列規則，經過處理的數據需要依照二維碼中的數據排列規則進行排布，這是形成最終數據的主要工作。上述工作完成后，需要采取相應措施以增強條碼的可讀性，在版本信息以及格式添加完畢后，即可以得到二維碼圖形。

1.2解碼

解碼是二維碼支付最重要的一個步驟。在解碼開始時，解碼設備會對二維碼圖像進行定位，隨后開展圖像識別工作，設備的性能與網絡速率可能會影響定位與識別的效率。在準確定位二維碼后，二維碼的版本信息以及格式信息將被接收處理。隨后，設備利用編碼區的位圖開展消除掩模工作，從而為后續的二維碼原始信息識別奠定基礎。

在掩模處理工作結束后，設備會進行信息數據的恢復、符號字符的讀取以及糾錯碼字等操作。解碼工作最后一道程序是解讀二維碼原始信息，在此之前，需要依據字符計數指示以及模式指示符對二維碼數據碼字進行重新組合，重新組合所得到的數據即為二維碼的原始信息[1]。

1.3移動支付領域二維碼的應用

目前，二維碼在移動支付領域應用非常廣泛。商家將商品信息制作成二維碼，顧客在確認購買某件商品后，打開移動設備，運用相應的掃碼軟件掃描二維碼，軟件便可以迅速識別二維碼信息，其中包括商品信息以及支付信息，此時顧客便可以在網絡環境下完成移動支付。由上可見，二維碼支付技術的出現為消費者的支付工作提供了極大的便利，是信息技術影響改變人們生活方式的又一典型例子。

POS機是目前使用較為普遍的支付工具，用戶在POS機上刷銀行卡并輸入密碼則可以輕松地完成交易。POS機的出現使得公眾不必再在外出時攜帶大量現金，極大地保障了人們的安全，與此同時，便利的POS機消費方式也促使人們熱衷于進行消費。應當看到，POS的投入使用選需要耗費一定的成本，設備也需要進行定期的維護。而相比之下，二維碼支付技術無論是在便利性與成本控制上都優于POS機支付，同時掃二維碼的過程也能增加商家與顧客的互動，有利于商鋪今后的發展。綜上所述，二維碼支付手段的發展前景頗佳。

1.4二維碼支付的安全問題

二維碼支付雖然在便利性上遠勝于其他的支付方式，然而由于二維碼設計程序中只通過設置信息錯誤糾正機制以保障信息的完整性，卻忽視了信息識別的可靠性問題，因此信息識別安全性相對較低。當前，黑客利用二維碼設計缺陷而篡改二維碼信息的新聞屢見報端，引發了社會對二維碼支付安全的討論與擔憂。總體上看，二維碼原始信息被更改仍是小概率事件，但是隨著信息技術的不斷進步，二維碼原始信息可靠性不高的問題如若依然遲遲得不到解決，勢必會阻礙二維碼支付行業的發展[2]。

2　二維碼支付安全性討論

商品信息被編成二維碼后，顧客使用移動終端設備掃描二維碼即可以識別商品詳細信息與支付信息，這是二維碼支付的操作方式。可以假設，當一個黑客得到了某個明文編碼的二維碼后，他可以篡改二維碼中的支付信息，將原來的支付對象換成自己，通過保留原二維碼的商業信息偽造一個“正常”的二維碼，此時如果使用移動終端設備掃描被攻擊的二維碼，表面上看商品信息正確可靠，實際上用戶已經被黑客引入另一個支付環境中，這就是所謂的“二維碼釣魚”現象。

3　提升二維碼支付安全性的方法

3.1帶三方認證

為了有效提升二維碼支付的安全性，可以在二維碼交易過程中引入第三方認證機制。第三方認證機構必須具有極高的權威性，在行業內具有較大的影響力與知名度，在制作二維碼的過程中加入第三方認證信息，采用“一對一”的信息匹配規則，即一個二維碼信息對應一個第三方認證信息，不同的商品所對應的第三方認證信息不同。二維碼信息中引進第三方認證信息后，顧客在確認支付前會被引入第三方認證環境，顧客即可向第三方認證機構發出請求，確認所購買的商品信息是否可靠。經過第三方認證中心認證的商品信息的可靠度將大幅提升，原則上能夠完全避免顧客誤入支付陷阱的情況出現[3]。

3.2采用特殊加密技術對二維碼信息進行加密

得益于互聯網技術與計算機技術的迅猛發展，目前市面上出現了大量二維碼信息讀取專用軟件，使用這些軟件讀取二維碼信息能夠較大程度地提升信息識別工作的安全性。利用專用終端軟件讀取二維碼信息的方法理論上非常可靠，其使得黑客因無法得到密鑰以及加密方式而失去了偽造二維碼信息的機會。在利用終端軟件讀取二維碼信息的過程中，安全因素會轉移到軟件上，因此采用終端軟件加密二維碼信息的做法較為可取。

4　二維碼信息安全保障方案可行性分析

4.1第三方認證信息法

就目前狀況而言，在二維碼信息中加入可靠的第三方認證信息的方法應用較為廣泛。顧客掃描加入了第三方認證信息的二維碼的過程中，需要在進入支付環境前向第三方認證機構確認商品信息是否真實可靠，只有在得到第三方認證中心的確認回執后方能完成交易。由于第三方認證機構的認證信息無法偽造，因此就算黑客更改了商品信息以及支付信息，第三方認證中心識別到信息被更改便會提醒顧客信息有誤，那么黑客也將無功而返。

4.2特殊加密法

事實表明，基于終端軟件識別框架的特殊加密法實際應用效果良好。技術人員使用密鑰對數字簽名的認證信息進行加密，加密工作通過專用通道進行，解密碼過程也需要通過專用通道。如此在黑客篡改了二維碼信息，用戶通過專用軟件通道是無法識別商品原始信息的，從而交易行為會被中止，這就大幅提升了支付工作的可靠性。理論上，只要黑客不能獲得加密方式，則幾乎不可能實現“釣魚”的目的[4]。

5　結語

二維碼支付技術極大地方便了公眾的生活，深刻地影響了金融行業的發展，鑒于二維碼支付過程存在著較高風險的現狀，技術人員應當改進商品信息的加密方式，引入第三方認證信息與應用特殊加密法，如此方能最大程度地提升二維碼支付過程的可靠性。

參考文獻

[1]吳輝婷,楊志成,任惠榮,唐和業,楚文軍.快遞自動收發系統的設計[J].電子世界,2015(21).

[2]譚嬋.二維碼在數字化博物館中的應用研究[J].信息化建設,2015(11).

[3]文欣.走進公眾號 關注不求人[J].電腦愛好者,2016(3).

[4]謝廣灼.二維碼在圖書出版行業中的應用[J].出版廣角,2015(Z1).