二维码支付安全性

2016-03-14方正国际北京有限公司于芬芬

电子世界 2016年7期

方正国际（北京）有限公司　于芬芬

二维码支付安全性

方正国际（北京）有限公司于芬芬

【摘要】近年来，移动支付愈来愈流行，其给消费者的支付工作提供了极大的便利。二维码支付是移动支付手段的重要组成成分，是非常受现代人欢迎的一种支付方式。从专业的角度看，虽然二维码支付方式具有极强的便利性，但是该种技术在支付安全保障上仍然存在着一些问题，可能造成用户个人信息泄露的现象。结合工作经验与相关理论知识，在本文中着重分析了二维码支付技术的安全性并提出技术改进方案，供有关人员参考借鉴。

【关键词】二维码支付；个人信息；泄露

现阶段，二维码支付技术应用较为普遍，不仅为消费者的支付工作提供了便利，同时在一定程度上刺激了社会消费。应当看到，二维码支付发展时间相对较短，技术上依然存在着许多问题，直接影响了支付过程的安全性。就目前状况而言，大部分不愿意使用二维码支付的用户主要认为该支付方式安全性较低，可能导致个人信息泄露现象的发生。因此，必须重视二维码支付过程的安全保障工作，通过提升技术的安全性来消除消费者对二维码支付的顾虑。

1　二维码技术概述

1.1编码

编码工作是制作二维码的第一步。首先，技术人员需要对各种原始数据展开分析工作，不同的数据编码工作需要应用不同的编码方式。在数据转为位流后，需要对二维码的纠错能力进行相应的设置，通常情况下，可供选择的纠错容易等级为H，L，Y以Q，在纠错容量等级确立后，可以开展纠错码的生成工作。

二维码图形中的数据具有一定的排列规则，经过处理的数据需要依照二维码中的数据排列规则进行排布，这是形成最终数据的主要工作。上述工作完成后，需要采取相应措施以增强条码的可读性，在版本信息以及格式添加完毕后，即可以得到二维码图形。

1.2解码

解码是二维码支付最重要的一个步骤。在解码开始时，解码设备会对二维码图像进行定位，随后开展图像识别工作，设备的性能与网络速率可能会影响定位与识别的效率。在准确定位二维码后，二维码的版本信息以及格式信息将被接收处理。随后，设备利用编码区的位图开展消除掩模工作，从而为后续的二维码原始信息识别奠定基础。

在掩模处理工作结束后，设备会进行信息数据的恢复、符号字符的读取以及纠错码字等操作。解码工作最后一道程序是解读二维码原始信息，在此之前，需要依据字符计数指示以及模式指示符对二维码数据码字进行重新组合，重新组合所得到的数据即为二维码的原始信息[1]。

1.3移动支付领域二维码的应用

目前，二维码在移动支付领域应用非常广泛。商家将商品信息制作成二维码，顾客在确认购买某件商品后，打开移动设备，运用相应的扫码软件扫描二维码，软件便可以迅速识别二维码信息，其中包括商品信息以及支付信息，此时顾客便可以在网络环境下完成移动支付。由上可见，二维码支付技术的出现为消费者的支付工作提供了极大的便利，是信息技术影响改变人们生活方式的又一典型例子。

POS机是目前使用较为普遍的支付工具，用户在POS机上刷银行卡并输入密码则可以轻松地完成交易。POS机的出现使得公众不必再在外出时携带大量现金，极大地保障了人们的安全，与此同时，便利的POS机消费方式也促使人们热衷于进行消费。应当看到，POS的投入使用选需要耗费一定的成本，设备也需要进行定期的维护。而相比之下，二维码支付技术无论是在便利性与成本控制上都优于POS机支付，同时扫二维码的过程也能增加商家与顾客的互动，有利于商铺今后的发展。综上所述，二维码支付手段的发展前景颇佳。

1.4二维码支付的安全问题

二维码支付虽然在便利性上远胜于其他的支付方式，然而由于二维码设计程序中只通过设置信息错误纠正机制以保障信息的完整性，却忽视了信息识别的可靠性问题，因此信息识别安全性相对较低。当前，黑客利用二维码设计缺陷而篡改二维码信息的新闻屡见报端，引发了社会对二维码支付安全的讨论与担忧。总体上看，二维码原始信息被更改仍是小概率事件，但是随着信息技术的不断进步，二维码原始信息可靠性不高的问题如若依然迟迟得不到解决，势必会阻碍二维码支付行业的发展[2]。

2　二维码支付安全性讨论

商品信息被编成二维码后，顾客使用移动终端设备扫描二维码即可以识别商品详细信息与支付信息，这是二维码支付的操作方式。可以假设，当一个黑客得到了某个明文编码的二维码后，他可以篡改二维码中的支付信息，将原来的支付对象换成自己，通过保留原二维码的商业信息伪造一个“正常”的二维码，此时如果使用移动终端设备扫描被攻击的二维码，表面上看商品信息正确可靠，实际上用户已经被黑客引入另一个支付环境中，这就是所谓的“二维码钓鱼”现象。

3　提升二维码支付安全性的方法

3.1带三方认证

为了有效提升二维码支付的安全性，可以在二维码交易过程中引入第三方认证机制。第三方认证机构必须具有极高的权威性，在行业内具有较大的影响力与知名度，在制作二维码的过程中加入第三方认证信息，采用“一对一”的信息匹配规则，即一个二维码信息对应一个第三方认证信息，不同的商品所对应的第三方认证信息不同。二维码信息中引进第三方认证信息后，顾客在确认支付前会被引入第三方认证环境，顾客即可向第三方认证机构发出请求，确认所购买的商品信息是否可靠。经过第三方认证中心认证的商品信息的可靠度将大幅提升，原则上能够完全避免顾客误入支付陷阱的情况出现[3]。

3.2采用特殊加密技术对二维码信息进行加密

得益于互联网技术与计算机技术的迅猛发展，目前市面上出现了大量二维码信息读取专用软件，使用这些软件读取二维码信息能够较大程度地提升信息识别工作的安全性。利用专用终端软件读取二维码信息的方法理论上非常可靠，其使得黑客因无法得到密钥以及加密方式而失去了伪造二维码信息的机会。在利用终端软件读取二维码信息的过程中，安全因素会转移到软件上，因此采用终端软件加密二维码信息的做法较为可取。

4　二维码信息安全保障方案可行性分析

4.1第三方认证信息法

就目前状况而言，在二维码信息中加入可靠的第三方认证信息的方法应用较为广泛。顾客扫描加入了第三方认证信息的二维码的过程中，需要在进入支付环境前向第三方认证机构确认商品信息是否真实可靠，只有在得到第三方认证中心的确认回执后方能完成交易。由于第三方认证机构的认证信息无法伪造，因此就算黑客更改了商品信息以及支付信息，第三方认证中心识别到信息被更改便会提醒顾客信息有误，那么黑客也将无功而返。

4.2特殊加密法

事实表明，基于终端软件识别框架的特殊加密法实际应用效果良好。技术人员使用密钥对数字签名的认证信息进行加密，加密工作通过专用通道进行，解密码过程也需要通过专用通道。如此在黑客篡改了二维码信息，用户通过专用软件通道是无法识别商品原始信息的，从而交易行为会被中止，这就大幅提升了支付工作的可靠性。理论上，只要黑客不能获得加密方式，则几乎不可能实现“钓鱼”的目的[4]。