o2o模式下的移動支付安全保障研究

張彩霞 湖南大眾傳媒職業技術學院

o2o模式下的移動支付安全保障研究

張彩霞 湖南大眾傳媒職業技術學院

O2O的核心在于在線支付，消費者通過移動終端對商家展示的二維碼進行掃描實現便捷的一站式購物消費體驗。在移動支付的過程中主要涉及到消費者、商家及第三方支付平臺三個方面，因此移動支付安全是也涉及到商家內部支撐安全、商家應用系統安全、消費者手機終端安全和第三方支付平臺安全幾部分。而商家內部的ERP系統、商家的前端消費系統均部署在特定的支撐環境中，需要充分保障支撐環境的安全。

移動支付 支付系統 支付安全保障

一、移動支付系統的構成

（一）O2O營銷模式的核心

從表面上看，O2O的關鍵似乎是網絡上的信息發布，但實際上，O2O的核心在于在線支付，一旦沒有在線支付功能，O2O中的online不過是替他人做嫁衣罷了。如：團購，如果沒有能力提供在線支付，僅憑網購后的自家統計結果去和商家要錢，結果會是雙方無法就實際購買的人數達成精確的統一而陷入糾紛。

在線支付不僅是支付本身的完成，也是某次消費得以最終形成的唯一標志，更是消費數據唯一可靠的考核標準。對于提供online服務的互聯網專業公司而言，只有用戶在線上完成支付，自身才可能從中獲得效益，從而把準確的消費需求信息傳遞給offline的商業伙伴。無論B2C，還是C2C，均是在實現消費者能夠在線支付后，才形成了完整的商業形態。而在以提供服務性消費為主，且不以廣告收入為盈利模式的O2O中，在線支付更是舉足輕重。

移動支付正在不斷的深入到人們生活中，它有著獨特的“隨時”、“隨地”、“便捷”的特點，只要有移動互聯網終端，且有移動支付的軟件，就可以彈指間完成一次網上交易，這樣的特點正好與O2O營銷模式的無地域、無時限的需求相吻合。

現在廣大消費者開始利用“二維碼”將購物消費決策由電腦搬到了手機上，通過移動終端對商家展示的二維碼進行掃描實現便捷的一站式購物消費體驗，更好的體現出O2O營銷模式便捷、隨意的特點，二維碼的發展已經成為O2O營銷模式有關移動支付技術的關鍵市場價值增長點。從消費者購買行為來看，消費者在商場、超市等零售賣場進行購物時使用手機支付也應是符合市場發展規律和現代人生活方式的一種未來趨勢。

（二）移動支付系統構成

移動支付系統主要涉及到三個方面：消費者、商家及第三方支付平臺，所以移動支付系統大致可分為消費者前端消費系統、商家內部ERP系統和第三方支付平臺三個部分。

消費者前端消費系統：保證消費者順利地購買到所需的產品和服務，并可隨時觀察消費明細賬、余額等信息。商家內部ERP系統：可以隨時查看銷售數據以及賬戶到帳情況。

二、移動支付面臨的安全風險

（一）技術方面

移動支付領域的風險隱患主要有以下三點：

第一，二維碼生成機制和傳輸過程存在風險隱患。由于技術門檻低，二維碼目前處在“人人皆可制作、印刷和發布”的狀態。不法分子可將帶有病毒程序、不良信息的網站或者釣魚網站的網址發布成二維碼形式，然后通過各種手段誘導用戶掃碼。對于普通用戶來說，無法鑒別二維碼的信息內容和發布者的身份信息，用手機掃二維碼成了高風險動作。

第二，支付終端的安全性較難保障。與傳統POS機具有專用專控的支付終端相比，二維碼形式的手機支付終端環境復雜，被攻擊的渠道增多，安全性較難保障，可能會導致用戶身份信息、交易信息泄露、資金損失。

第三，二維碼支付指令驗證手段較為單一，安全性屏障不夠。二維碼移動支付的特點是所有的支付指令驗證手段都通過手機來完成，要么是在手機中輸入支付密碼，要么是通過短信驗證碼的方式完成支付指令驗證，甚至可通過手機重置支付密碼。因此支付交易過程中的安全因子單一，驗證通道單一，一旦用戶手機丟失或被遙控，可能會直接造成用戶資金損失。

（二）支撐安全方面

商家內部的ERP系統、商家的客戶消費系統均部署在特定的支撐環境中，需要充分保障支撐環境的安全。

（三）操作系統安全方面

主機操作系統是承載業務應用、存儲系統、數據庫和中間件的基礎載體，是業務應用安全的主要防線，一旦操作系統的安全性出現問題，將對整體業務及數據安全造成嚴重威脅。

（四）數據庫安全方面

數據庫是業務系統的數據承載體，保存著重要的敏感業務數據，包括企業信息及其他敏感數據。參照等級保護三級要求，應該保障數據庫安全。如可以制定和使用口令的安全策略、授予用戶執行業務操作所需的最小數據訪問權限、在數據庫性能可接受的前提下，建議進行數據庫事件審計，并定期檢查數據庫審核記錄，加強對日志記錄的保護，避免被意外刪除、修改或覆蓋等、對遠程數據庫調用進行地址限制、及時更新經過安全測試的數據庫管理系統補丁，更新時應當制定詳細的回退計劃、對權限較敏感的存儲過程加強管理等。

（五）安全監控方面

根據我國的信息安全保護強制標準GB17859-1999《計算機信息系統安全保護等級劃分準則》信息規定三級系統，均應提供系統審計措施對用戶登錄情況、系統配置情況以及系統資源使用情況等進行記錄。建議通過監控系統，實現主機、網絡、存儲、數據庫中間件的監控與報警，便于實時發現問題及定位追蹤。

（六）應用系統權限安全

主要的風險源包括用戶名、密碼泄露；用戶名、密碼被惡意盜用；用戶在系統中的操作請求被抓包監聽、用戶在系統中的操作請求被抓包并惡意篡改、用戶在系統中的操作在不知情的情況下被惡意導向到釣魚網站，暴露了交易的信息。可利用私鑰、公鑰，通過RSA加密算法，將客戶端與服務器端進行的網絡請求進行雙向加密，確保不被惡意截取及篡改。

（七）消費者手機終端安全

對于手機支付終端的環境安全問題，需加強手機端安全環境檢測，培養用戶使用手機的良好使用習慣（從正規渠道下載APP，其次對別人發來的APP、鏈接和二維碼不要隨便掃描、點擊和安裝）。從支付業務風險控制角度，需對手機上的支付業務進行限額管理。

三、微信移動支付安全保障

微信支付作為第三方移動支付平臺提供了充分的安全保障措施。

（一）被讀模式的掃碼支付

日前，微信最新版本推出了全新的二維碼和條形碼掃描模式，刷卡支付采用的是被讀模式(也就是用戶展示二維碼被商家掃描)，原來掃碼支付是主讀模式(也就是用戶主動掃描商戶的二維碼），并且條形碼和二維碼每分鐘會自動更新，在安全性能上有所提高，隨著國內銀行、銀聯以及支付寶等多家機構在二維碼支付方式上投入，相信后期二維碼支付有望進入一個標準化的安全階段。

（二）構建移動支付閉環保護

騰訊手機管家將構建移動支付“前、中、后”閉環保護，建立了以微信為核心的豐富移動支付安全入口。支付前，騰訊手機管家會提供手機支付漏洞檢測，創建“支付保險箱”，對各類網購支付應用進行安全檢測。支付中，可防止虛假Wi-Fi網絡、釣魚網站和二維碼病毒、防支付短信被攔截盜用、防銀行卡信息被盜。支付后，還提供手機防盜功能，防止手機丟失后賬號密碼泄露，以及提供極速包賠，雙重保障服務。

同時，新版產品為微信支付打造了“手機管家軟件鎖”，打通了微信支付的整個服務鏈條，實現微信支付的全程保護。此外騰訊廣大的合作和控股商家，如滴滴打車、大眾點評、京東、上品折扣、王府井等移動網購支付產業鏈，在引流的同時增強用戶對手機管家的信任。

（三）微信支付的五大安全保障為用戶提供安全防護和客戶服務

第一，技術保障：微信支付后臺有騰訊的大數據支撐，海量的數據和云計算能夠及時判定用戶的支付行為是否存在的風險。基于大數據和云計算的全方位的身份保護，最大限度保證用戶交易的安全性。同時微信安全支付認證和提醒，從技術上保障交易的每個環節的安全。

第二，客戶服務：7*24小時客戶服務，加上微信客服，及時為用戶排憂解難。同時為微信支付開辟的專屬客服通道，以最快的速度響應用戶的提出問題并做出處理判斷。

第三，業態聯盟：基于智能手機的微信支付，將受到多個手機安全應用廠商的保護，如騰訊手機管家等，將與微信支付一道形成安全支付的業態聯盟。

第四，安全機制：微信支付從產品體驗的各個環節考慮用戶心理感受，形成了整套安全機制和手段。這些機制和手段包括：硬件鎖、支付密碼驗證、終端異常判斷、交易異常實時監控、交易緊急凍結等。這一整套的機制將對用戶形成全方位的安全保護。

第五，賠付支持：如果出現賬戶被盜被騙等情況，經核實確為微信支付的責任后，微信支付將在第一時間進行賠付；對于其他原因造成的被盜被騙，微信支付將配合警方，積極提供相關的證明和必要的技術支持，幫用戶追討損失。

四、結語

移動支付安全是一個系統工程，需要主管部門、支付機構、商家、消費者多方一齊努力，針對二維碼的特點，合理搭配各種安全手段和機制，才能在享受二維碼便利性的同時最大限度實現支付安全，也為互聯網金融創新發展提供堅實的基礎。

[1]王瀟雨，朱曉蕓，楊棖.移動支付的安全交易平臺的研究與開發[J].計算機工程與設計,2006,27(21).

[2]張培晶.移動支付-基于第三方安全支付模式的研究及其實現[D].太原理工大學,2005.

[3]趙艷麗，移動支付安全性研究與實現[D].浙江理工大學,2009.

[4]崔瑩，手機二維碼支付應用技術和發展概述[J].電腦知識與技術：學術交流,2013(4).

[5]陸睿敏，劉南君，莫曉賢，裴愛.二維碼支付技術的應用現狀及其對策研究[J].電子商務,2015(9)：65-67.

[6]陳龍軍.有關二維碼支付風險分析及其防范[J].科技經濟導刊,2015(7).

[7]周國濤，袁舟舟，淺談二維碼支付的風險與防范措施[J].中國信用卡,2015(1):79-82.

張彩霞，研究生學歷，湖南大眾傳媒技術學院，研究方向：電子商務。

本文系湖南省教育廳科學項目研究“O2O模式下的微信營銷應用研究”（項目編號：15C0277）的研究成果。