淺析條碼（二維碼）手機支付的安全防護

張濤

中國物品編碼中心武漢分中心 湖北武漢 430015

1 條碼（二維碼）手機支付的技術支撐

（1）無論是網上的網店還是網下的實體商店，商品交易的條碼（二維碼）支付都是通過互聯網來完成，所以首要條件是維護好互聯網的運行安全，確保互聯網不受到網絡惡意攻擊和病毒侵害這是條碼（二維碼）支付安全的第一要素。

（2）條碼（二維碼）的制作，目前我國使用較多的二維碼碼制為QR的二維碼（見圖1），制作二維碼首先要確保個人或公司二維碼的信息準確和完整，保證二維碼制作軟件的正規和安全性，同時盡可能的提高二維碼制作和仿造難度。最后只有制作合格的二維碼才能被正確識別[1]。

圖1 QR二維碼

2 二維碼支付的結算流程

客戶、商家、第三方支付機構、商業銀行和清算機構等組成跨行支付系統，該系統依托互聯網形成一個二維碼支付的結算流程（見圖2）。

圖2 二維碼支付的結算流程

（1）通過上圖我們發現，為實現安全的二維碼支付首先要保證買賣雙方二維碼信息的真實性和私密性。

（2）為了保證買方所付金額是用于所購商品和支付給賣方，需要清算機構對到第三方支付銀行的資金進行一定時間的核實監管，雙方核對正確后進行清算，如發生資金盜取也有時間和途徑追回。

（3）交易完成后要對賣方的生產或銷售的商品種類向買方提供回答，杜絕覆蓋賣方二維碼的行為從而進行盜取買方資金的事件發生，2018年全國多地發生過類似盜取案件[2]。

3 二維碼支付操作方法

條碼支付的核心內容是經銷商和客戶利用手機通過對二維條碼識讀來實現資金的支付，被識讀二維碼主要有靜態二維碼和動態二維碼兩種方式。

平常購物時，在收銀臺上用手機掃商家張貼的二維碼，屬于靜態二維碼，這種二維碼易被篡改或變造，易攜帶木馬或病毒，風險防范能力低。目前中國銀行采取的主要防范措施是對條碼付款進行交易限額管理。

買家手機上微信或支付寶會實時變動的付款碼，由商家來識讀支付的二維碼稱為動態二維碼，此種支付方式隨時保證買賣雙方直接交易，確保交易支付的安全性。可見動態二維碼安全性明顯高于靜態二維碼支付方式[3]。

綜上所述，經過分析了目前國內移動支付的基本情況，我們發現手機作為主要支付工具，一定要避免有以下這些行為，不要安裝不明APP和點擊不明連接、掃描一些不明優惠活動碼、換新手機不解綁銀行卡、直接刪除帶支付功能的 App 不解綁銀行卡、掃來源未明的二維碼、換手機前也要清理掉舊手機的支付信息，要不定期更換手機解鎖碼等。只有這樣才能保證手機支付的安全性。