虛擬公交卡服務(wù)系統(tǒng)安全技術(shù)研究

■ 周 亮 李漢臣 程連濤

城市公交是公眾出行的重要公共交通方式，公交乘車收費(fèi)具有典型的乘客流量大、點(diǎn)位多、小額、剛需、充值和結(jié)算復(fù)雜等特點(diǎn)，同時(shí)還要求車載收費(fèi)機(jī)具能夠適應(yīng)高頻次應(yīng)用，計(jì)費(fèi)速度快并適應(yīng)移動(dòng)網(wǎng)絡(luò)。

新興的支付寶、微信等離線二維碼支付（簡(jiǎn)稱虛擬卡）是通過公交車載POS終端掃描線下乘客APP中的公交付款二維碼方式完成購(gòu)票，交易資金準(zhǔn)實(shí)時(shí)結(jié)算并打入公交賬戶中的一種交易方式。在該模式下，現(xiàn)場(chǎng)掃碼時(shí)車載POS處于離線狀態(tài)，后期結(jié)算時(shí)POS終端及其服務(wù)端具備聯(lián)網(wǎng)能力，并與條碼支付系統(tǒng)通信，這種交易模式相比較傳統(tǒng)的公交IC卡交易，在支付方式、交易安全和后臺(tái)結(jié)算等方面有很大的區(qū)別。

1 虛擬卡支付的業(yè)務(wù)流程

公共交通虛擬卡支付流程既可以實(shí)現(xiàn)傳統(tǒng)的“先儲(chǔ)值，后乘車”支付模式，也可以實(shí)現(xiàn)新型的“先乘車，后結(jié)算”支付模式，對(duì)公共交通領(lǐng)域消費(fèi)的乘客提供了更多的便民服務(wù)。

在開通虛擬卡功能時(shí)，可以開通代扣方式，比如通過在線賬戶、支付寶、微信支付等代扣代繳，也可以和普通實(shí)體卡一樣，先在線充值然后再乘車消費(fèi)。

公共交通虛擬卡在公共交通場(chǎng)景使用有兩種方式：一是單票制公交車。打開手機(jī)端展示乘車專用二維碼，進(jìn)行掃碼消費(fèi)后，機(jī)具顯示消費(fèi)金額，交易記錄傳輸至后臺(tái)，按實(shí)扣費(fèi)。二維碼中帶有生成時(shí)間、支付上限、有效期、公鑰、密鑰索引、支付終端類型等信息。二是多票制公交車。上下車時(shí)均需要掃碼，后臺(tái)收到消費(fèi)記錄后，進(jìn)行匹配，根據(jù)上下車站點(diǎn)，確定消費(fèi)金額，后臺(tái)賬戶進(jìn)行扣費(fèi)。

不論是單票制還是多票制，都對(duì)應(yīng)了預(yù)付費(fèi)、先享后付、信用支付等支付方式：

（1） 預(yù)付費(fèi)。虛擬卡持卡人可以預(yù)先向二維碼賬戶儲(chǔ)值，通常在儲(chǔ)值或者消費(fèi)時(shí)享受一定的優(yōu)惠。系統(tǒng)收到交易記錄后，直接扣除賬戶中的金額，如余額不足則禁止生成二維碼或者轉(zhuǎn)為先享后付二維碼，交易允許最后一筆存在小額透支，再次充值后則重新轉(zhuǎn)為預(yù)付費(fèi)模式二維碼。

（2） 先享后付。虛擬卡持卡人可以提前綁定支付寶、微信、銀行卡等代扣方式，或者直接使用支付寶、微信等相關(guān)乘車碼，系統(tǒng)收到交易記錄后，直接按照協(xié)議發(fā)送給第三方支付機(jī)構(gòu)，由第三方支付機(jī)構(gòu)根據(jù)協(xié)議支付消費(fèi)金額。

（3）信用支付。信用支付是先享后付和預(yù)付費(fèi)的組合，在賬戶系統(tǒng)建立信用額度及使用明細(xì)記錄，為每個(gè)持卡用戶設(shè)定對(duì)應(yīng)的信用額度記錄，包括最高額度、已用（未還款）額度、當(dāng)前可用余額、以及每一筆信用額度使用情況，可供個(gè)人還款查詢、系統(tǒng)計(jì)算免息期、滯納金等。

系統(tǒng)為每個(gè)用戶設(shè)置一個(gè)信用額度并定期在綁定賬戶中扣除金額。初期為每個(gè)符合條件用戶設(shè)置統(tǒng)一的固定額度，后期可以根據(jù)建設(shè)完善的征信體系中個(gè)人數(shù)據(jù)模型評(píng)估，為個(gè)人設(shè)定不同的信用額度。授信額度可根據(jù)用戶使用頻率、金額大小、還款情況、違約次數(shù)、黑名單記錄等做調(diào)整。

公共交通信用支付正常還款期為一個(gè)月或者交易累計(jì)值接近信用額度閾值則啟動(dòng)還款機(jī)制，還款途徑包括第三方支付、網(wǎng)銀等。還款時(shí)，系統(tǒng)可從信用額度表中查詢到該個(gè)人當(dāng)前欠款額度，列出額度使用情況，根據(jù)欠款額度一次還清，也可綁定支付寶、微信、銀行卡等途徑進(jìn)行代扣還款。

2 虛擬卡支付的風(fēng)險(xiǎn)控制

針對(duì)離線支付，需要考慮各種風(fēng)險(xiǎn)控制，風(fēng)險(xiǎn)控制主要包括事前控制、事后控制和壞賬比例控制。

（1）事前控制：通過身份證、手機(jī)號(hào)驗(yàn)證核實(shí)身份；從信用管理服務(wù)平臺(tái)獲得授信判斷；虛擬卡設(shè)置有效期，消費(fèi)時(shí)判斷碼內(nèi)有效期；手機(jī)遺失后提供緊急掛失功能，后臺(tái)阻止生成二維碼； 延長(zhǎng)有效期時(shí)聯(lián)機(jī)判斷后臺(tái)黑名單。

（2）事后控制（違約處理）：對(duì)于信用支付逾期一個(gè)月仍未還款用戶，將不能聯(lián)機(jī)延續(xù)有效期和生成二維碼。繼續(xù)收取滯納金；后臺(tái)關(guān)閉其信用支付功能，下載黑名單至消費(fèi)終端，在公共交通領(lǐng)域不能再支付；聯(lián)機(jī)禁止延續(xù)有效期，手機(jī)端不能生成行業(yè)二維碼；相關(guān)信用服務(wù)聯(lián)動(dòng)限制，在征信系統(tǒng)方案中約定。

（3）壞賬比例報(bào)警機(jī)制：實(shí)時(shí)計(jì)算拖欠還款的壞賬比例，以人為單位計(jì)算，壞賬率=違約且未追回人（逾期30日仍未還款）/公共交通使用信用支付總?cè)藬?shù)，壞賬率超過1%啟動(dòng)首次警示，以后每增加1%均進(jìn)行內(nèi)部警示，并需要討論確認(rèn)應(yīng)急處置辦法，可采取的方案包括：降低整體授信額度或臨時(shí)暫停信用支付等。若綁定信用卡則壞賬比例會(huì)大幅降低。

3 消費(fèi)二維碼 （條碼） 的安全性

條碼是指寬度不等的多個(gè)黑條和空白，按照一定的編碼規(guī)則排列，用以表達(dá)一組信息的圖形標(biāo)識(shí)符，包括一維條碼、二維條碼。

二維條碼則是指在一維條碼的基礎(chǔ)上擴(kuò)展出另一維具有可讀性的條碼，使用黑白矩形圖案表示二進(jìn)制數(shù)據(jù)，被設(shè)備識(shí)讀和解碼后可獲取其中所包含的信息。二維條碼一般在長(zhǎng)度、寬度兩個(gè)維度上均記載著數(shù)據(jù)。

聯(lián)機(jī)條碼支付已經(jīng)在微信、支付寶等第三方支付機(jī)構(gòu)廣泛使用。

常見的二維碼交易方式分為主讀和被讀兩種方式，主讀指用戶終端主動(dòng)識(shí)讀條碼的行為，被讀指用戶終端上條碼被受理終端識(shí)讀的行為。因公共交通車載終端等需要主動(dòng)識(shí)別消費(fèi)者的消費(fèi)行為，確認(rèn)消費(fèi)者，所以一般均采取被讀模式進(jìn)行交易。此模式下，由受理終端掃描代表付款人的條碼，終端直接確認(rèn)掃碼結(jié)果發(fā)出乘車提醒，并延時(shí)傳輸交易記錄，以完成收款動(dòng)作。付款人可通過移動(dòng)終端或者刷卡機(jī)進(jìn)行交易確認(rèn)。

此流程所生成的條碼，即為用戶賬戶的一個(gè)展現(xiàn)，出于安全考慮，條碼應(yīng)該不包含用戶直接信息、敏感信息，應(yīng)采用加密技術(shù)進(jìn)行保護(hù)，并為一次性展現(xiàn)，使用后或者有效期到期即失效。

將傳統(tǒng)二維碼加入條碼支付機(jī)構(gòu)的機(jī)構(gòu)授權(quán)數(shù)據(jù)及相應(yīng)的簽名和條碼生成用戶的用戶授權(quán)數(shù)據(jù)及相應(yīng)的簽名，成為完整離線二維碼數(shù)據(jù)，使之具備不可抵賴性，車載POS終端對(duì)其進(jìn)行校驗(yàn)，明確該二維碼為條碼支付機(jī)構(gòu)和用戶均認(rèn)可的二維碼，記錄該碼，允許用戶乘車，并延時(shí)進(jìn)行聯(lián)機(jī)認(rèn)證，對(duì)用戶賬戶進(jìn)行扣費(fèi)，即為離線二維碼支付。

離線二維碼的消費(fèi)過程可以視為用戶聯(lián)機(jī)賬戶的一個(gè)離線認(rèn)證過程，因?yàn)榻灰椎姆菍?shí)時(shí)性，以及二維碼在多個(gè)離線終端上允許重放的特性，為防止事后賬戶扣費(fèi)失敗，建議該用戶賬戶為實(shí)名賬戶。

每個(gè)允許交易的用戶賬戶配合相應(yīng)的二維碼展示APP即可視為一張?zhí)摂M公交卡。虛擬公交卡牽扯到的交易包括開通虛擬公交卡、刷新授權(quán)、交易、結(jié)算、關(guān)閉虛擬公交卡等業(yè)務(wù)。

用戶支付過程中涉及的消費(fèi)二維碼安全主要采用以下技術(shù)： 二維碼聯(lián)機(jī)授權(quán)數(shù)據(jù)應(yīng)具備分鐘級(jí)時(shí)效性，且時(shí)效性可動(dòng)態(tài)調(diào)整；每個(gè)用戶僅能單智能終端登錄，使用新智能終端登錄時(shí)，舊智能終端應(yīng)自動(dòng)下線；應(yīng)根據(jù)用戶信用情況，限制二維碼連續(xù)生碼次數(shù)；次數(shù)由發(fā)碼平臺(tái)控制，超過限制需要驗(yàn)證用戶身份合法性；更換設(shè)備登錄，需重新驗(yàn)證用戶身份合法性；二維碼應(yīng)每分鐘自動(dòng)更新；保證車載機(jī)具設(shè)備和系統(tǒng)的合法性。

4 虛擬卡支付的系統(tǒng)安全性

虛擬卡支付的系統(tǒng)安全設(shè)計(jì)主要從以下幾個(gè)方面入手：

（1）數(shù)據(jù)存儲(chǔ)。數(shù)據(jù)存儲(chǔ)保護(hù)各系統(tǒng)內(nèi)保存的關(guān)鍵數(shù)據(jù)信息安全性，內(nèi)部數(shù)據(jù)統(tǒng)一在密鑰管理系統(tǒng)中安全存儲(chǔ)，手機(jī)客戶端關(guān)鍵信息應(yīng)分段存儲(chǔ)，且客戶端程序應(yīng)保證分段數(shù)據(jù)組合過程編程邏輯的安全性，禁止在身份認(rèn)證結(jié)束后明文存儲(chǔ)賬戶信息，防止賬戶信息泄露。

（2）數(shù)據(jù)傳輸。數(shù)據(jù)傳輸保護(hù)各系統(tǒng)間進(jìn)行信息傳輸時(shí)的安全性。主要包括授權(quán)支付機(jī)構(gòu)服務(wù)端、手機(jī)客戶端和商戶三方間通信傳輸安全。授權(quán)支付機(jī)構(gòu)與手機(jī)客戶端間通信使用授權(quán)支付機(jī)構(gòu)的安全通道，商戶與授權(quán)支付機(jī)構(gòu)間通信使用HTTPS和簽名進(jìn)行保護(hù)。手機(jī)客戶端與商戶系統(tǒng)間通信應(yīng)由安全算法保護(hù)信息安全，具體要求如下：二維碼支付交易各系統(tǒng)間應(yīng)建立安全通信信道，對(duì)交易數(shù)據(jù)采用數(shù)字簽名或加密等方式進(jìn)行傳輸，確保數(shù)據(jù)不被監(jiān)聽和篡改；公網(wǎng)環(huán)境下，二維碼信息不應(yīng)以明文形式傳輸；應(yīng)具備對(duì)傳輸數(shù)據(jù)的鑒別機(jī)制，確保系統(tǒng)間傳輸數(shù)據(jù)的完整性；應(yīng)對(duì)傳輸數(shù)據(jù)進(jìn)行加密。

（3）數(shù)據(jù)防偽造。數(shù)據(jù)防仿造保護(hù)關(guān)鍵信息防止數(shù)據(jù)被偽造或者篡改，確保信息的完整性。主要采用簽名保證數(shù)據(jù)完整性，在國(guó)內(nèi)簽名算法一般要求支持國(guó)密算法。

（4）重放攻擊。重放攻擊是指將已接受或者已處理的信息進(jìn)行重放來破壞安全授權(quán)關(guān)系的攻擊方式。重放攻擊主要是針對(duì)信用數(shù)據(jù)和交易記錄的重放攻擊，依據(jù)攻擊模式的不同，可以采用相應(yīng)的防范技術(shù)手段。

針對(duì)消費(fèi)二維碼的數(shù)據(jù)重放，可采用單POS重放：POS機(jī)內(nèi)，數(shù)據(jù)有效時(shí)間內(nèi)不允許重復(fù)交易。同一POS機(jī)在特定時(shí)間間隔內(nèi)，讀取到同一用戶重新生成的數(shù)據(jù)，是否允許使用由商戶決定，特定時(shí)間間隔的值由商戶決定。也可采用跨POS重放：業(yè)務(wù)上作為多筆交易進(jìn)行扣款。

針對(duì)交易記錄的數(shù)據(jù)重放。交易信息商戶私鑰簽名防篡改，被重放記錄報(bào)錯(cuò)不做處理。

（5）用戶安全。客戶端應(yīng)驗(yàn)證用戶身份，驗(yàn)證可采用如下方式：用戶提供驗(yàn)證信息，例如：客戶端密碼或口令等；用戶提供所持設(shè)備的驗(yàn)證信息，例如：動(dòng)態(tài)驗(yàn)證碼、令牌等。

5 虛擬卡支付系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)

虛擬卡支付系統(tǒng)架構(gòu)如附圖所示，新建條碼業(yè)務(wù)系統(tǒng)和密鑰管理系統(tǒng)結(jié)合，統(tǒng)一為虛擬卡賬戶管理系統(tǒng)服務(wù)，對(duì)外提供各種接口，實(shí)現(xiàn)虛擬卡系統(tǒng)的開通、交易、充值、消費(fèi)、計(jì)算等功能。

附圖 虛擬卡支付系統(tǒng)結(jié)構(gòu)設(shè)計(jì)圖

虛擬卡支付已經(jīng)成為國(guó)內(nèi)發(fā)展最廣泛，社會(huì)接受度最高的公共交通支付產(chǎn)品，目前發(fā)碼機(jī)構(gòu)主要是支付寶、微信、銀聯(lián)等支付機(jī)構(gòu)。各公交公司應(yīng)在國(guó)家相關(guān)部委和各地政府統(tǒng)一規(guī)劃和指導(dǎo)下，通過改造和升級(jí)城市公交IC卡收費(fèi)系統(tǒng)實(shí)現(xiàn)虛擬公交卡和實(shí)體公交卡的結(jié)合，對(duì)擴(kuò)大電子支付應(yīng)用領(lǐng)域，推動(dòng)公交整體服務(wù)的提升，加快城市信息化建設(shè)整體發(fā)展具有重要積極意義。