o2o模式下的移動(dòng)支付安全保障研究

張彩霞 湖南大眾傳媒職業(yè)技術(shù)學(xué)院

o2o模式下的移動(dòng)支付安全保障研究

張彩霞 湖南大眾傳媒職業(yè)技術(shù)學(xué)院

O2O的核心在于在線支付，消費(fèi)者通過移動(dòng)終端對商家展示的二維碼進(jìn)行掃描實(shí)現(xiàn)便捷的一站式購物消費(fèi)體驗(yàn)。在移動(dòng)支付的過程中主要涉及到消費(fèi)者、商家及第三方支付平臺(tái)三個(gè)方面，因此移動(dòng)支付安全是也涉及到商家內(nèi)部支撐安全、商家應(yīng)用系統(tǒng)安全、消費(fèi)者手機(jī)終端安全和第三方支付平臺(tái)安全幾部分。而商家內(nèi)部的ERP系統(tǒng)、商家的前端消費(fèi)系統(tǒng)均部署在特定的支撐環(huán)境中，需要充分保障支撐環(huán)境的安全。

移動(dòng)支付 支付系統(tǒng) 支付安全保障

一、移動(dòng)支付系統(tǒng)的構(gòu)成

（一）O2O營銷模式的核心

從表面上看，O2O的關(guān)鍵似乎是網(wǎng)絡(luò)上的信息發(fā)布，但實(shí)際上，O2O的核心在于在線支付，一旦沒有在線支付功能，O2O中的online不過是替他人做嫁衣罷了。如：團(tuán)購，如果沒有能力提供在線支付，僅憑網(wǎng)購后的自家統(tǒng)計(jì)結(jié)果去和商家要錢，結(jié)果會(huì)是雙方無法就實(shí)際購買的人數(shù)達(dá)成精確的統(tǒng)一而陷入糾紛。

在線支付不僅是支付本身的完成，也是某次消費(fèi)得以最終形成的唯一標(biāo)志，更是消費(fèi)數(shù)據(jù)唯一可靠的考核標(biāo)準(zhǔn)。對于提供online服務(wù)的互聯(lián)網(wǎng)專業(yè)公司而言，只有用戶在線上完成支付，自身才可能從中獲得效益，從而把準(zhǔn)確的消費(fèi)需求信息傳遞給offline的商業(yè)伙伴。無論B2C，還是C2C，均是在實(shí)現(xiàn)消費(fèi)者能夠在線支付后，才形成了完整的商業(yè)形態(tài)。而在以提供服務(wù)性消費(fèi)為主，且不以廣告收入為盈利模式的O2O中，在線支付更是舉足輕重。

移動(dòng)支付正在不斷的深入到人們生活中，它有著獨(dú)特的“隨時(shí)”、“隨地”、“便捷”的特點(diǎn)，只要有移動(dòng)互聯(lián)網(wǎng)終端，且有移動(dòng)支付的軟件，就可以彈指間完成一次網(wǎng)上交易，這樣的特點(diǎn)正好與O2O營銷模式的無地域、無時(shí)限的需求相吻合。

現(xiàn)在廣大消費(fèi)者開始利用“二維碼”將購物消費(fèi)決策由電腦搬到了手機(jī)上，通過移動(dòng)終端對商家展示的二維碼進(jìn)行掃描實(shí)現(xiàn)便捷的一站式購物消費(fèi)體驗(yàn)，更好的體現(xiàn)出O2O營銷模式便捷、隨意的特點(diǎn)，二維碼的發(fā)展已經(jīng)成為O2O營銷模式有關(guān)移動(dòng)支付技術(shù)的關(guān)鍵市場價(jià)值增長點(diǎn)。從消費(fèi)者購買行為來看，消費(fèi)者在商場、超市等零售賣場進(jìn)行購物時(shí)使用手機(jī)支付也應(yīng)是符合市場發(fā)展規(guī)律和現(xiàn)代人生活方式的一種未來趨勢。

（二）移動(dòng)支付系統(tǒng)構(gòu)成

移動(dòng)支付系統(tǒng)主要涉及到三個(gè)方面：消費(fèi)者、商家及第三方支付平臺(tái)，所以移動(dòng)支付系統(tǒng)大致可分為消費(fèi)者前端消費(fèi)系統(tǒng)、商家內(nèi)部ERP系統(tǒng)和第三方支付平臺(tái)三個(gè)部分。

消費(fèi)者前端消費(fèi)系統(tǒng)：保證消費(fèi)者順利地購買到所需的產(chǎn)品和服務(wù)，并可隨時(shí)觀察消費(fèi)明細(xì)賬、余額等信息。商家內(nèi)部ERP系統(tǒng)：可以隨時(shí)查看銷售數(shù)據(jù)以及賬戶到帳情況。

二、移動(dòng)支付面臨的安全風(fēng)險(xiǎn)

（一）技術(shù)方面

移動(dòng)支付領(lǐng)域的風(fēng)險(xiǎn)隱患主要有以下三點(diǎn)：

第一，二維碼生成機(jī)制和傳輸過程存在風(fēng)險(xiǎn)隱患。由于技術(shù)門檻低，二維碼目前處在“人人皆可制作、印刷和發(fā)布”的狀態(tài)。不法分子可將帶有病毒程序、不良信息的網(wǎng)站或者釣魚網(wǎng)站的網(wǎng)址發(fā)布成二維碼形式，然后通過各種手段誘導(dǎo)用戶掃碼。對于普通用戶來說，無法鑒別二維碼的信息內(nèi)容和發(fā)布者的身份信息，用手機(jī)掃二維碼成了高風(fēng)險(xiǎn)動(dòng)作。

第二，支付終端的安全性較難保障。與傳統(tǒng)POS機(jī)具有專用專控的支付終端相比，二維碼形式的手機(jī)支付終端環(huán)境復(fù)雜，被攻擊的渠道增多，安全性較難保障，可能會(huì)導(dǎo)致用戶身份信息、交易信息泄露、資金損失。

第三，二維碼支付指令驗(yàn)證手段較為單一，安全性屏障不夠。二維碼移動(dòng)支付的特點(diǎn)是所有的支付指令驗(yàn)證手段都通過手機(jī)來完成，要么是在手機(jī)中輸入支付密碼，要么是通過短信驗(yàn)證碼的方式完成支付指令驗(yàn)證，甚至可通過手機(jī)重置支付密碼。因此支付交易過程中的安全因子單一，驗(yàn)證通道單一，一旦用戶手機(jī)丟失或被遙控，可能會(huì)直接造成用戶資金損失。

（二）支撐安全方面

商家內(nèi)部的ERP系統(tǒng)、商家的客戶消費(fèi)系統(tǒng)均部署在特定的支撐環(huán)境中，需要充分保障支撐環(huán)境的安全。

（三）操作系統(tǒng)安全方面

主機(jī)操作系統(tǒng)是承載業(yè)務(wù)應(yīng)用、存儲(chǔ)系統(tǒng)、數(shù)據(jù)庫和中間件的基礎(chǔ)載體，是業(yè)務(wù)應(yīng)用安全的主要防線，一旦操作系統(tǒng)的安全性出現(xiàn)問題，將對整體業(yè)務(wù)及數(shù)據(jù)安全造成嚴(yán)重威脅。

（四）數(shù)據(jù)庫安全方面

數(shù)據(jù)庫是業(yè)務(wù)系統(tǒng)的數(shù)據(jù)承載體，保存著重要的敏感業(yè)務(wù)數(shù)據(jù)，包括企業(yè)信息及其他敏感數(shù)據(jù)。參照等級保護(hù)三級要求，應(yīng)該保障數(shù)據(jù)庫安全。如可以制定和使用口令的安全策略、授予用戶執(zhí)行業(yè)務(wù)操作所需的最小數(shù)據(jù)訪問權(quán)限、在數(shù)據(jù)庫性能可接受的前提下，建議進(jìn)行數(shù)據(jù)庫事件審計(jì)，并定期檢查數(shù)據(jù)庫審核記錄，加強(qiáng)對日志記錄的保護(hù)，避免被意外刪除、修改或覆蓋等、對遠(yuǎn)程數(shù)據(jù)庫調(diào)用進(jìn)行地址限制、及時(shí)更新經(jīng)過安全測試的數(shù)據(jù)庫管理系統(tǒng)補(bǔ)丁，更新時(shí)應(yīng)當(dāng)制定詳細(xì)的回退計(jì)劃、對權(quán)限較敏感的存儲(chǔ)過程加強(qiáng)管理等。

（五）安全監(jiān)控方面

根據(jù)我國的信息安全保護(hù)強(qiáng)制標(biāo)準(zhǔn)GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》信息規(guī)定三級系統(tǒng)，均應(yīng)提供系統(tǒng)審計(jì)措施對用戶登錄情況、系統(tǒng)配置情況以及系統(tǒng)資源使用情況等進(jìn)行記錄。建議通過監(jiān)控系統(tǒng)，實(shí)現(xiàn)主機(jī)、網(wǎng)絡(luò)、存儲(chǔ)、數(shù)據(jù)庫中間件的監(jiān)控與報(bào)警，便于實(shí)時(shí)發(fā)現(xiàn)問題及定位追蹤。

（六）應(yīng)用系統(tǒng)權(quán)限安全

主要的風(fēng)險(xiǎn)源包括用戶名、密碼泄露；用戶名、密碼被惡意盜用；用戶在系統(tǒng)中的操作請求被抓包監(jiān)聽、用戶在系統(tǒng)中的操作請求被抓包并惡意篡改、用戶在系統(tǒng)中的操作在不知情的情況下被惡意導(dǎo)向到釣魚網(wǎng)站，暴露了交易的信息?？衫盟借€、公鑰，通過RSA加密算法，將客戶端與服務(wù)器端進(jìn)行的網(wǎng)絡(luò)請求進(jìn)行雙向加密，確保不被惡意截取及篡改。

（七）消費(fèi)者手機(jī)終端安全

對于手機(jī)支付終端的環(huán)境安全問題，需加強(qiáng)手機(jī)端安全環(huán)境檢測，培養(yǎng)用戶使用手機(jī)的良好使用習(xí)慣（從正規(guī)渠道下載APP，其次對別人發(fā)來的APP、鏈接和二維碼不要隨便掃描、點(diǎn)擊和安裝）。從支付業(yè)務(wù)風(fēng)險(xiǎn)控制角度，需對手機(jī)上的支付業(yè)務(wù)進(jìn)行限額管理。

三、微信移動(dòng)支付安全保障

微信支付作為第三方移動(dòng)支付平臺(tái)提供了充分的安全保障措施。

（一）被讀模式的掃碼支付

日前，微信最新版本推出了全新的二維碼和條形碼掃描模式，刷卡支付采用的是被讀模式(也就是用戶展示二維碼被商家掃描)，原來掃碼支付是主讀模式(也就是用戶主動(dòng)掃描商戶的二維碼），并且條形碼和二維碼每分鐘會(huì)自動(dòng)更新，在安全性能上有所提高，隨著國內(nèi)銀行、銀聯(lián)以及支付寶等多家機(jī)構(gòu)在二維碼支付方式上投入，相信后期二維碼支付有望進(jìn)入一個(gè)標(biāo)準(zhǔn)化的安全階段。

（二）構(gòu)建移動(dòng)支付閉環(huán)保護(hù)

騰訊手機(jī)管家將構(gòu)建移動(dòng)支付“前、中、后”閉環(huán)保護(hù)，建立了以微信為核心的豐富移動(dòng)支付安全入口。支付前，騰訊手機(jī)管家會(huì)提供手機(jī)支付漏洞檢測，創(chuàng)建“支付保險(xiǎn)箱”，對各類網(wǎng)購支付應(yīng)用進(jìn)行安全檢測。支付中，可防止虛假Wi-Fi網(wǎng)絡(luò)、釣魚網(wǎng)站和二維碼病毒、防支付短信被攔截盜用、防銀行卡信息被盜。支付后，還提供手機(jī)防盜功能，防止手機(jī)丟失后賬號(hào)密碼泄露，以及提供極速包賠，雙重保障服務(wù)。

同時(shí)，新版產(chǎn)品為微信支付打造了“手機(jī)管家軟件鎖”，打通了微信支付的整個(gè)服務(wù)鏈條，實(shí)現(xiàn)微信支付的全程保護(hù)。此外騰訊廣大的合作和控股商家，如滴滴打車、大眾點(diǎn)評、京東、上品折扣、王府井等移動(dòng)網(wǎng)購支付產(chǎn)業(yè)鏈，在引流的同時(shí)增強(qiáng)用戶對手機(jī)管家的信任。

（三）微信支付的五大安全保障為用戶提供安全防護(hù)和客戶服務(wù)

第一，技術(shù)保障：微信支付后臺(tái)有騰訊的大數(shù)據(jù)支撐，海量的數(shù)據(jù)和云計(jì)算能夠及時(shí)判定用戶的支付行為是否存在的風(fēng)險(xiǎn)?；诖髷?shù)據(jù)和云計(jì)算的全方位的身份保護(hù)，最大限度保證用戶交易的安全性。同時(shí)微信安全支付認(rèn)證和提醒，從技術(shù)上保障交易的每個(gè)環(huán)節(jié)的安全。

第二，客戶服務(wù)：7*24小時(shí)客戶服務(wù)，加上微信客服，及時(shí)為用戶排憂解難。同時(shí)為微信支付開辟的專屬客服通道，以最快的速度響應(yīng)用戶的提出問題并做出處理判斷。

第三，業(yè)態(tài)聯(lián)盟：基于智能手機(jī)的微信支付，將受到多個(gè)手機(jī)安全應(yīng)用廠商的保護(hù)，如騰訊手機(jī)管家等，將與微信支付一道形成安全支付的業(yè)態(tài)聯(lián)盟。

第四，安全機(jī)制：微信支付從產(chǎn)品體驗(yàn)的各個(gè)環(huán)節(jié)考慮用戶心理感受，形成了整套安全機(jī)制和手段。這些機(jī)制和手段包括：硬件鎖、支付密碼驗(yàn)證、終端異常判斷、交易異常實(shí)時(shí)監(jiān)控、交易緊急凍結(jié)等。這一整套的機(jī)制將對用戶形成全方位的安全保護(hù)。

第五，賠付支持：如果出現(xiàn)賬戶被盜被騙等情況，經(jīng)核實(shí)確為微信支付的責(zé)任后，微信支付將在第一時(shí)間進(jìn)行賠付；對于其他原因造成的被盜被騙，微信支付將配合警方，積極提供相關(guān)的證明和必要的技術(shù)支持，幫用戶追討損失。

四、結(jié)語

移動(dòng)支付安全是一個(gè)系統(tǒng)工程，需要主管部門、支付機(jī)構(gòu)、商家、消費(fèi)者多方一齊努力，針對二維碼的特點(diǎn)，合理搭配各種安全手段和機(jī)制，才能在享受二維碼便利性的同時(shí)最大限度實(shí)現(xiàn)支付安全，也為互聯(lián)網(wǎng)金融創(chuàng)新發(fā)展提供堅(jiān)實(shí)的基礎(chǔ)。

[1]王瀟雨，朱曉蕓，楊棖.移動(dòng)支付的安全交易平臺(tái)的研究與開發(fā)[J].計(jì)算機(jī)工程與設(shè)計(jì),2006,27(21).

[2]張培晶.移動(dòng)支付-基于第三方安全支付模式的研究及其實(shí)現(xiàn)[D].太原理工大學(xué),2005.

[3]趙艷麗，移動(dòng)支付安全性研究與實(shí)現(xiàn)[D].浙江理工大學(xué),2009.

[4]崔瑩，手機(jī)二維碼支付應(yīng)用技術(shù)和發(fā)展概述[J].電腦知識(shí)與技術(shù)：學(xué)術(shù)交流,2013(4).

[5]陸睿敏，劉南君，莫曉賢，裴愛.二維碼支付技術(shù)的應(yīng)用現(xiàn)狀及其對策研究[J].電子商務(wù),2015(9)：65-67.

[6]陳龍軍.有關(guān)二維碼支付風(fēng)險(xiǎn)分析及其防范[J].科技經(jīng)濟(jì)導(dǎo)刊,2015(7).

[7]周國濤，袁舟舟，淺談二維碼支付的風(fēng)險(xiǎn)與防范措施[J].中國信用卡,2015(1):79-82.

張彩霞，研究生學(xué)歷，湖南大眾傳媒技術(shù)學(xué)院，研究方向：電子商務(wù)。

本文系湖南省教育廳科學(xué)項(xiàng)目研究“O2O模式下的微信營銷應(yīng)用研究”（項(xiàng)目編號(hào)：15C0277）的研究成果。