o2o模式下的移動(dòng)支付安全保障研究

張彩霞 湖南大眾傳媒職業(yè)技術(shù)學(xué)院

o2o模式下的移動(dòng)支付安全保障研究

張彩霞 湖南大眾傳媒職業(yè)技術(shù)學(xué)院

O2O的核心在于在線支付，消費(fèi)者通過(guò)移動(dòng)終端對(duì)商家展示的二維碼進(jìn)行掃描實(shí)現(xiàn)便捷的一站式購(gòu)物消費(fèi)體驗(yàn)。在移動(dòng)支付的過(guò)程中主要涉及到消費(fèi)者、商家及第三方支付平臺(tái)三個(gè)方面，因此移動(dòng)支付安全是也涉及到商家內(nèi)部支撐安全、商家應(yīng)用系統(tǒng)安全、消費(fèi)者手機(jī)終端安全和第三方支付平臺(tái)安全幾部分。而商家內(nèi)部的ERP系統(tǒng)、商家的前端消費(fèi)系統(tǒng)均部署在特定的支撐環(huán)境中，需要充分保障支撐環(huán)境的安全。

移動(dòng)支付 支付系統(tǒng) 支付安全保障

一、移動(dòng)支付系統(tǒng)的構(gòu)成

（一）O2O營(yíng)銷模式的核心

從表面上看，O2O的關(guān)鍵似乎是網(wǎng)絡(luò)上的信息發(fā)布，但實(shí)際上，O2O的核心在于在線支付，一旦沒(méi)有在線支付功能，O2O中的online不過(guò)是替他人做嫁衣罷了。如：團(tuán)購(gòu)，如果沒(méi)有能力提供在線支付，僅憑網(wǎng)購(gòu)后的自家統(tǒng)計(jì)結(jié)果去和商家要錢，結(jié)果會(huì)是雙方無(wú)法就實(shí)際購(gòu)買的人數(shù)達(dá)成精確的統(tǒng)一而陷入糾紛。

在線支付不僅是支付本身的完成，也是某次消費(fèi)得以最終形成的唯一標(biāo)志，更是消費(fèi)數(shù)據(jù)唯一可靠的考核標(biāo)準(zhǔn)。對(duì)于提供online服務(wù)的互聯(lián)網(wǎng)專業(yè)公司而言，只有用戶在線上完成支付，自身才可能從中獲得效益，從而把準(zhǔn)確的消費(fèi)需求信息傳遞給offline的商業(yè)伙伴。無(wú)論B2C，還是C2C，均是在實(shí)現(xiàn)消費(fèi)者能夠在線支付后，才形成了完整的商業(yè)形態(tài)。而在以提供服務(wù)性消費(fèi)為主，且不以廣告收入為盈利模式的O2O中，在線支付更是舉足輕重。

移動(dòng)支付正在不斷的深入到人們生活中，它有著獨(dú)特的“隨時(shí)”、“隨地”、“便捷”的特點(diǎn)，只要有移動(dòng)互聯(lián)網(wǎng)終端，且有移動(dòng)支付的軟件，就可以彈指間完成一次網(wǎng)上交易，這樣的特點(diǎn)正好與O2O營(yíng)銷模式的無(wú)地域、無(wú)時(shí)限的需求相吻合。

現(xiàn)在廣大消費(fèi)者開(kāi)始利用“二維碼”將購(gòu)物消費(fèi)決策由電腦搬到了手機(jī)上，通過(guò)移動(dòng)終端對(duì)商家展示的二維碼進(jìn)行掃描實(shí)現(xiàn)便捷的一站式購(gòu)物消費(fèi)體驗(yàn)，更好的體現(xiàn)出O2O營(yíng)銷模式便捷、隨意的特點(diǎn)，二維碼的發(fā)展已經(jīng)成為O2O營(yíng)銷模式有關(guān)移動(dòng)支付技術(shù)的關(guān)鍵市場(chǎng)價(jià)值增長(zhǎng)點(diǎn)。從消費(fèi)者購(gòu)買行為來(lái)看，消費(fèi)者在商場(chǎng)、超市等零售賣場(chǎng)進(jìn)行購(gòu)物時(shí)使用手機(jī)支付也應(yīng)是符合市場(chǎng)發(fā)展規(guī)律和現(xiàn)代人生活方式的一種未來(lái)趨勢(shì)。

（二）移動(dòng)支付系統(tǒng)構(gòu)成

移動(dòng)支付系統(tǒng)主要涉及到三個(gè)方面：消費(fèi)者、商家及第三方支付平臺(tái)，所以移動(dòng)支付系統(tǒng)大致可分為消費(fèi)者前端消費(fèi)系統(tǒng)、商家內(nèi)部ERP系統(tǒng)和第三方支付平臺(tái)三個(gè)部分。

消費(fèi)者前端消費(fèi)系統(tǒng)：保證消費(fèi)者順利地購(gòu)買到所需的產(chǎn)品和服務(wù)，并可隨時(shí)觀察消費(fèi)明細(xì)賬、余額等信息。商家內(nèi)部ERP系統(tǒng)：可以隨時(shí)查看銷售數(shù)據(jù)以及賬戶到帳情況。

二、移動(dòng)支付面臨的安全風(fēng)險(xiǎn)

（一）技術(shù)方面

移動(dòng)支付領(lǐng)域的風(fēng)險(xiǎn)隱患主要有以下三點(diǎn)：

第一，二維碼生成機(jī)制和傳輸過(guò)程存在風(fēng)險(xiǎn)隱患。由于技術(shù)門檻低，二維碼目前處在“人人皆可制作、印刷和發(fā)布”的狀態(tài)。不法分子可將帶有病毒程序、不良信息的網(wǎng)站或者釣魚網(wǎng)站的網(wǎng)址發(fā)布成二維碼形式，然后通過(guò)各種手段誘導(dǎo)用戶掃碼。對(duì)于普通用戶來(lái)說(shuō)，無(wú)法鑒別二維碼的信息內(nèi)容和發(fā)布者的身份信息，用手機(jī)掃二維碼成了高風(fēng)險(xiǎn)動(dòng)作。

第二，支付終端的安全性較難保障。與傳統(tǒng)POS機(jī)具有專用專控的支付終端相比，二維碼形式的手機(jī)支付終端環(huán)境復(fù)雜，被攻擊的渠道增多，安全性較難保障，可能會(huì)導(dǎo)致用戶身份信息、交易信息泄露、資金損失。

第三，二維碼支付指令驗(yàn)證手段較為單一，安全性屏障不夠。二維碼移動(dòng)支付的特點(diǎn)是所有的支付指令驗(yàn)證手段都通過(guò)手機(jī)來(lái)完成，要么是在手機(jī)中輸入支付密碼，要么是通過(guò)短信驗(yàn)證碼的方式完成支付指令驗(yàn)證，甚至可通過(guò)手機(jī)重置支付密碼。因此支付交易過(guò)程中的安全因子單一，驗(yàn)證通道單一，一旦用戶手機(jī)丟失或被遙控，可能會(huì)直接造成用戶資金損失。

（二）支撐安全方面

商家內(nèi)部的ERP系統(tǒng)、商家的客戶消費(fèi)系統(tǒng)均部署在特定的支撐環(huán)境中，需要充分保障支撐環(huán)境的安全。

（三）操作系統(tǒng)安全方面

主機(jī)操作系統(tǒng)是承載業(yè)務(wù)應(yīng)用、存儲(chǔ)系統(tǒng)、數(shù)據(jù)庫(kù)和中間件的基礎(chǔ)載體，是業(yè)務(wù)應(yīng)用安全的主要防線，一旦操作系統(tǒng)的安全性出現(xiàn)問(wèn)題，將對(duì)整體業(yè)務(wù)及數(shù)據(jù)安全造成嚴(yán)重威脅。

（四）數(shù)據(jù)庫(kù)安全方面

數(shù)據(jù)庫(kù)是業(yè)務(wù)系統(tǒng)的數(shù)據(jù)承載體，保存著重要的敏感業(yè)務(wù)數(shù)據(jù)，包括企業(yè)信息及其他敏感數(shù)據(jù)。參照等級(jí)保護(hù)三級(jí)要求，應(yīng)該保障數(shù)據(jù)庫(kù)安全。如可以制定和使用口令的安全策略、授予用戶執(zhí)行業(yè)務(wù)操作所需的最小數(shù)據(jù)訪問(wèn)權(quán)限、在數(shù)據(jù)庫(kù)性能可接受的前提下，建議進(jìn)行數(shù)據(jù)庫(kù)事件審計(jì)，并定期檢查數(shù)據(jù)庫(kù)審核記錄，加強(qiáng)對(duì)日志記錄的保護(hù)，避免被意外刪除、修改或覆蓋等、對(duì)遠(yuǎn)程數(shù)據(jù)庫(kù)調(diào)用進(jìn)行地址限制、及時(shí)更新經(jīng)過(guò)安全測(cè)試的數(shù)據(jù)庫(kù)管理系統(tǒng)補(bǔ)丁，更新時(shí)應(yīng)當(dāng)制定詳細(xì)的回退計(jì)劃、對(duì)權(quán)限較敏感的存儲(chǔ)過(guò)程加強(qiáng)管理等。

（五）安全監(jiān)控方面

根據(jù)我國(guó)的信息安全保護(hù)強(qiáng)制標(biāo)準(zhǔn)GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》信息規(guī)定三級(jí)系統(tǒng)，均應(yīng)提供系統(tǒng)審計(jì)措施對(duì)用戶登錄情況、系統(tǒng)配置情況以及系統(tǒng)資源使用情況等進(jìn)行記錄。建議通過(guò)監(jiān)控系統(tǒng)，實(shí)現(xiàn)主機(jī)、網(wǎng)絡(luò)、存儲(chǔ)、數(shù)據(jù)庫(kù)中間件的監(jiān)控與報(bào)警，便于實(shí)時(shí)發(fā)現(xiàn)問(wèn)題及定位追蹤。

（六）應(yīng)用系統(tǒng)權(quán)限安全

主要的風(fēng)險(xiǎn)源包括用戶名、密碼泄露；用戶名、密碼被惡意盜用；用戶在系統(tǒng)中的操作請(qǐng)求被抓包監(jiān)聽(tīng)、用戶在系統(tǒng)中的操作請(qǐng)求被抓包并惡意篡改、用戶在系統(tǒng)中的操作在不知情的情況下被惡意導(dǎo)向到釣魚網(wǎng)站，暴露了交易的信息。可利用私鑰、公鑰，通過(guò)RSA加密算法，將客戶端與服務(wù)器端進(jìn)行的網(wǎng)絡(luò)請(qǐng)求進(jìn)行雙向加密，確保不被惡意截取及篡改。

（七）消費(fèi)者手機(jī)終端安全

對(duì)于手機(jī)支付終端的環(huán)境安全問(wèn)題，需加強(qiáng)手機(jī)端安全環(huán)境檢測(cè)，培養(yǎng)用戶使用手機(jī)的良好使用習(xí)慣（從正規(guī)渠道下載APP，其次對(duì)別人發(fā)來(lái)的APP、鏈接和二維碼不要隨便掃描、點(diǎn)擊和安裝）。從支付業(yè)務(wù)風(fēng)險(xiǎn)控制角度，需對(duì)手機(jī)上的支付業(yè)務(wù)進(jìn)行限額管理。

三、微信移動(dòng)支付安全保障

微信支付作為第三方移動(dòng)支付平臺(tái)提供了充分的安全保障措施。

（一）被讀模式的掃碼支付

日前，微信最新版本推出了全新的二維碼和條形碼掃描模式，刷卡支付采用的是被讀模式(也就是用戶展示二維碼被商家掃描)，原來(lái)掃碼支付是主讀模式(也就是用戶主動(dòng)掃描商戶的二維碼），并且條形碼和二維碼每分鐘會(huì)自動(dòng)更新，在安全性能上有所提高，隨著國(guó)內(nèi)銀行、銀聯(lián)以及支付寶等多家機(jī)構(gòu)在二維碼支付方式上投入，相信后期二維碼支付有望進(jìn)入一個(gè)標(biāo)準(zhǔn)化的安全階段。

（二）構(gòu)建移動(dòng)支付閉環(huán)保護(hù)

騰訊手機(jī)管家將構(gòu)建移動(dòng)支付“前、中、后”閉環(huán)保護(hù)，建立了以微信為核心的豐富移動(dòng)支付安全入口。支付前，騰訊手機(jī)管家會(huì)提供手機(jī)支付漏洞檢測(cè)，創(chuàng)建“支付保險(xiǎn)箱”，對(duì)各類網(wǎng)購(gòu)支付應(yīng)用進(jìn)行安全檢測(cè)。支付中，可防止虛假Wi-Fi網(wǎng)絡(luò)、釣魚網(wǎng)站和二維碼病毒、防支付短信被攔截盜用、防銀行卡信息被盜。支付后，還提供手機(jī)防盜功能，防止手機(jī)丟失后賬號(hào)密碼泄露，以及提供極速包賠，雙重保障服務(wù)。

同時(shí)，新版產(chǎn)品為微信支付打造了“手機(jī)管家軟件鎖”，打通了微信支付的整個(gè)服務(wù)鏈條，實(shí)現(xiàn)微信支付的全程保護(hù)。此外騰訊廣大的合作和控股商家，如滴滴打車、大眾點(diǎn)評(píng)、京東、上品折扣、王府井等移動(dòng)網(wǎng)購(gòu)支付產(chǎn)業(yè)鏈，在引流的同時(shí)增強(qiáng)用戶對(duì)手機(jī)管家的信任。

（三）微信支付的五大安全保障為用戶提供安全防護(hù)和客戶服務(wù)

第一，技術(shù)保障：微信支付后臺(tái)有騰訊的大數(shù)據(jù)支撐，海量的數(shù)據(jù)和云計(jì)算能夠及時(shí)判定用戶的支付行為是否存在的風(fēng)險(xiǎn)。基于大數(shù)據(jù)和云計(jì)算的全方位的身份保護(hù)，最大限度保證用戶交易的安全性。同時(shí)微信安全支付認(rèn)證和提醒，從技術(shù)上保障交易的每個(gè)環(huán)節(jié)的安全。

第二，客戶服務(wù)：7*24小時(shí)客戶服務(wù)，加上微信客服，及時(shí)為用戶排憂解難。同時(shí)為微信支付開(kāi)辟的專屬客服通道，以最快的速度響應(yīng)用戶的提出問(wèn)題并做出處理判斷。

第三，業(yè)態(tài)聯(lián)盟：基于智能手機(jī)的微信支付，將受到多個(gè)手機(jī)安全應(yīng)用廠商的保護(hù)，如騰訊手機(jī)管家等，將與微信支付一道形成安全支付的業(yè)態(tài)聯(lián)盟。

第四，安全機(jī)制：微信支付從產(chǎn)品體驗(yàn)的各個(gè)環(huán)節(jié)考慮用戶心理感受，形成了整套安全機(jī)制和手段。這些機(jī)制和手段包括：硬件鎖、支付密碼驗(yàn)證、終端異常判斷、交易異常實(shí)時(shí)監(jiān)控、交易緊急凍結(jié)等。這一整套的機(jī)制將對(duì)用戶形成全方位的安全保護(hù)。

第五，賠付支持：如果出現(xiàn)賬戶被盜被騙等情況，經(jīng)核實(shí)確為微信支付的責(zé)任后，微信支付將在第一時(shí)間進(jìn)行賠付；對(duì)于其他原因造成的被盜被騙，微信支付將配合警方，積極提供相關(guān)的證明和必要的技術(shù)支持，幫用戶追討損失。

四、結(jié)語(yǔ)

移動(dòng)支付安全是一個(gè)系統(tǒng)工程，需要主管部門、支付機(jī)構(gòu)、商家、消費(fèi)者多方一齊努力，針對(duì)二維碼的特點(diǎn)，合理搭配各種安全手段和機(jī)制，才能在享受二維碼便利性的同時(shí)最大限度實(shí)現(xiàn)支付安全，也為互聯(lián)網(wǎng)金融創(chuàng)新發(fā)展提供堅(jiān)實(shí)的基礎(chǔ)。

[1]王瀟雨，朱曉蕓，楊棖.移動(dòng)支付的安全交易平臺(tái)的研究與開(kāi)發(fā)[J].計(jì)算機(jī)工程與設(shè)計(jì),2006,27(21).

[2]張培晶.移動(dòng)支付-基于第三方安全支付模式的研究及其實(shí)現(xiàn)[D].太原理工大學(xué),2005.

[3]趙艷麗，移動(dòng)支付安全性研究與實(shí)現(xiàn)[D].浙江理工大學(xué),2009.

[4]崔瑩，手機(jī)二維碼支付應(yīng)用技術(shù)和發(fā)展概述[J].電腦知識(shí)與技術(shù)：學(xué)術(shù)交流,2013(4).

[5]陸睿敏，劉南君，莫曉賢，裴愛(ài).二維碼支付技術(shù)的應(yīng)用現(xiàn)狀及其對(duì)策研究[J].電子商務(wù),2015(9)：65-67.

[6]陳龍軍.有關(guān)二維碼支付風(fēng)險(xiǎn)分析及其防范[J].科技經(jīng)濟(jì)導(dǎo)刊,2015(7).

[7]周國(guó)濤，袁舟舟，淺談二維碼支付的風(fēng)險(xiǎn)與防范措施[J].中國(guó)信用卡,2015(1):79-82.

張彩霞，研究生學(xué)歷，湖南大眾傳媒技術(shù)學(xué)院，研究方向：電子商務(wù)。

本文系湖南省教育廳科學(xué)項(xiàng)目研究“O2O模式下的微信營(yíng)銷應(yīng)用研究”（項(xiàng)目編號(hào)：15C0277）的研究成果。