张彩霞 湖南大众传媒职业技术学院

o2o模式下的移动支付安全保障研究

张彩霞 湖南大众传媒职业技术学院

O2O的核心在于在线支付，消费者通过移动终端对商家展示的二维码进行扫描实现便捷的一站式购物消费体验。在移动支付的过程中主要涉及到消费者、商家及第三方支付平台三个方面，因此移动支付安全是也涉及到商家内部支撑安全、商家应用系统安全、消费者手机终端安全和第三方支付平台安全几部分。而商家内部的ERP系统、商家的前端消费系统均部署在特定的支撑环境中，需要充分保障支撑环境的安全。

移动支付 支付系统 支付安全保障

一、移动支付系统的构成

（一）O2O营销模式的核心

从表面上看，O2O的关键似乎是网络上的信息发布，但实际上，O2O的核心在于在线支付，一旦没有在线支付功能，O2O中的online不过是替他人做嫁衣罢了。如：团购，如果没有能力提供在线支付，仅凭网购后的自家统计结果去和商家要钱，结果会是双方无法就实际购买的人数达成精确的统一而陷入纠纷。

在线支付不仅是支付本身的完成，也是某次消费得以最终形成的唯一标志，更是消费数据唯一可靠的考核标准。对于提供online服务的互联网专业公司而言，只有用户在线上完成支付，自身才可能从中获得效益，从而把准确的消费需求信息传递给offline的商业伙伴。无论B2C，还是C2C，均是在实现消费者能够在线支付后，才形成了完整的商业形态。而在以提供服务性消费为主，且不以广告收入为盈利模式的O2O中，在线支付更是举足轻重。

移动支付正在不断的深入到人们生活中，它有着独特的“随时”、“随地”、“便捷”的特点，只要有移动互联网终端，且有移动支付的软件，就可以弹指间完成一次网上交易，这样的特点正好与O2O营销模式的无地域、无时限的需求相吻合。

现在广大消费者开始利用“二维码”将购物消费决策由电脑搬到了手机上，通过移动终端对商家展示的二维码进行扫描实现便捷的一站式购物消费体验，更好的体现出O2O营销模式便捷、随意的特点，二维码的发展已经成为O2O营销模式有关移动支付技术的关键市场价值增长点。从消费者购买行为来看，消费者在商场、超市等零售卖场进行购物时使用手机支付也应是符合市场发展规律和现代人生活方式的一种未来趋势。

（二）移动支付系统构成

移动支付系统主要涉及到三个方面：消费者、商家及第三方支付平台，所以移动支付系统大致可分为消费者前端消费系统、商家内部ERP系统和第三方支付平台三个部分。

消费者前端消费系统：保证消费者顺利地购买到所需的产品和服务，并可随时观察消费明细账、余额等信息。商家内部ERP系统：可以随时查看销售数据以及账户到帐情况。

二、移动支付面临的安全风险

（一）技术方面

移动支付领域的风险隐患主要有以下三点：

第一，二维码生成机制和传输过程存在风险隐患。由于技术门槛低，二维码目前处在“人人皆可制作、印刷和发布”的状态。不法分子可将带有病毒程序、不良信息的网站或者钓鱼网站的网址发布成二维码形式，然后通过各种手段诱导用户扫码。对于普通用户来说，无法鉴别二维码的信息内容和发布者的身份信息，用手机扫二维码成了高风险动作。

第二，支付终端的安全性较难保障。与传统POS机具有专用专控的支付终端相比，二维码形式的手机支付终端环境复杂，被攻击的渠道增多，安全性较难保障，可能会导致用户身份信息、交易信息泄露、资金损失。

第三，二维码支付指令验证手段较为单一，安全性屏障不够。二维码移动支付的特点是所有的支付指令验证手段都通过手机来完成，要么是在手机中输入支付密码，要么是通过短信验证码的方式完成支付指令验证，甚至可通过手机重置支付密码。因此支付交易过程中的安全因子单一，验证通道单一，一旦用户手机丢失或被遥控，可能会直接造成用户资金损失。

（二）支撑安全方面

商家内部的ERP系统、商家的客户消费系统均部署在特定的支撑环境中，需要充分保障支撑环境的安全。

（三）操作系统安全方面

主机操作系统是承载业务应用、存储系统、数据库和中间件的基础载体，是业务应用安全的主要防线，一旦操作系统的安全性出现问题，将对整体业务及数据安全造成严重威胁。

（四）数据库安全方面

数据库是业务系统的数据承载体，保存着重要的敏感业务数据，包括企业信息及其他敏感数据。参照等级保护三级要求，应该保障数据库安全。如可以制定和使用口令的安全策略、授予用户执行业务操作所需的最小数据访问权限、在数据库性能可接受的前提下，建议进行数据库事件审计，并定期检查数据库审核记录，加强对日志记录的保护，避免被意外删除、修改或覆盖等、对远程数据库调用进行地址限制、及时更新经过安全测试的数据库管理系统补丁，更新时应当制定详细的回退计划、对权限较敏感的存储过程加强管理等。

（五）安全监控方面

根据我国的信息安全保护强制标准GB17859-1999《计算机信息系统安全保护等级划分准则》信息规定三级系统，均应提供系统审计措施对用户登录情况、系统配置情况以及系统资源使用情况等进行记录。建议通过监控系统，实现主机、网络、存储、数据库中间件的监控与报警，便于实时发现问题及定位追踪。

（六）应用系统权限安全

主要的风险源包括用户名、密码泄露；用户名、密码被恶意盗用；用户在系统中的操作请求被抓包监听、用户在系统中的操作请求被抓包并恶意篡改、用户在系统中的操作在不知情的情况下被恶意导向到钓鱼网站，暴露了交易的信息。可利用私钥、公钥，通过RSA加密算法，将客户端与服务器端进行的网络请求进行双向加密，确保不被恶意截取及篡改。

（七）消费者手机终端安全

对于手机支付终端的环境安全问题，需加强手机端安全环境检测，培养用户使用手机的良好使用习惯（从正规渠道下载APP，其次对别人发来的APP、链接和二维码不要随便扫描、点击和安装）。从支付业务风险控制角度，需对手机上的支付业务进行限额管理。

三、微信移动支付安全保障

微信支付作为第三方移动支付平台提供了充分的安全保障措施。

（一）被读模式的扫码支付

日前，微信最新版本推出了全新的二维码和条形码扫描模式，刷卡支付采用的是被读模式(也就是用户展示二维码被商家扫描)，原来扫码支付是主读模式(也就是用户主动扫描商户的二维码），并且条形码和二维码每分钟会自动更新，在安全性能上有所提高，随着国内银行、银联以及支付宝等多家机构在二维码支付方式上投入，相信后期二维码支付有望进入一个标准化的安全阶段。

（二）构建移动支付闭环保护

腾讯手机管家将构建移动支付“前、中、后”闭环保护，建立了以微信为核心的丰富移动支付安全入口。支付前，腾讯手机管家会提供手机支付漏洞检测，创建“支付保险箱”，对各类网购支付应用进行安全检测。支付中，可防止虚假Wi-Fi网络、钓鱼网站和二维码病毒、防支付短信被拦截盗用、防银行卡信息被盗。支付后，还提供手机防盗功能，防止手机丢失后账号密码泄露，以及提供极速包赔，双重保障服务。

同时，新版产品为微信支付打造了“手机管家软件锁”，打通了微信支付的整个服务链条，实现微信支付的全程保护。此外腾讯广大的合作和控股商家，如滴滴打车、大众点评、京东、上品折扣、王府井等移动网购支付产业链，在引流的同时增强用户对手机管家的信任。

（三）微信支付的五大安全保障为用户提供安全防护和客户服务

第一，技术保障：微信支付后台有腾讯的大数据支撑，海量的数据和云计算能够及时判定用户的支付行为是否存在的风险。基于大数据和云计算的全方位的身份保护，最大限度保证用户交易的安全性。同时微信安全支付认证和提醒，从技术上保障交易的每个环节的安全。

第二，客户服务：7*24小时客户服务，加上微信客服，及时为用户排忧解难。同时为微信支付开辟的专属客服通道，以最快的速度响应用户的提出问题并做出处理判断。

第三，业态联盟：基于智能手机的微信支付，将受到多个手机安全应用厂商的保护，如腾讯手机管家等，将与微信支付一道形成安全支付的业态联盟。

第四，安全机制：微信支付从产品体验的各个环节考虑用户心理感受，形成了整套安全机制和手段。这些机制和手段包括：硬件锁、支付密码验证、终端异常判断、交易异常实时监控、交易紧急冻结等。这一整套的机制将对用户形成全方位的安全保护。

第五，赔付支持：如果出现账户被盗被骗等情况，经核实确为微信支付的责任后，微信支付将在第一时间进行赔付；对于其他原因造成的被盗被骗，微信支付将配合警方，积极提供相关的证明和必要的技术支持，帮用户追讨损失。

四、结语

移动支付安全是一个系统工程，需要主管部门、支付机构、商家、消费者多方一齐努力，针对二维码的特点，合理搭配各种安全手段和机制，才能在享受二维码便利性的同时最大限度实现支付安全，也为互联网金融创新发展提供坚实的基础。

[1]王潇雨，朱晓芸，杨枨.移动支付的安全交易平台的研究与开发[J].计算机工程与设计,2006,27(21).

[2]张培晶.移动支付-基于第三方安全支付模式的研究及其实现[D].太原理工大学,2005.

[3]赵艳丽，移动支付安全性研究与实现[D].浙江理工大学,2009.

[4]崔莹，手机二维码支付应用技术和发展概述[J].电脑知识与技术：学术交流,2013(4).

[5]陆睿敏，刘南君，莫晓贤，裴爱.二维码支付技术的应用现状及其对策研究[J].电子商务,2015(9)：65-67.

[6]陈龙军.有关二维码支付风险分析及其防范[J].科技经济导刊,2015(7).

[7]周国涛，袁舟舟，浅谈二维码支付的风险与防范措施[J].中国信用卡,2015(1):79-82.

张彩霞，研究生学历，湖南大众传媒技术学院，研究方向：电子商务。

本文系湖南省教育厅科学项目研究“O2O模式下的微信营销应用研究”（项目编号：15C0277）的研究成果。