移動(dòng)支付的安全“密碼”

董莉

二維碼支付一度因安全性被央行叫停，那么如何在方便快捷的同時(shí)保障支付的安全性呢？

二維碼是打通線上線下的重要入口，隨著行業(yè)標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)的出臺(tái)以及支付環(huán)境不斷完善，二維碼已經(jīng)廣泛應(yīng)用于制造業(yè)、物流業(yè)、零售業(yè)、餐飲業(yè)等領(lǐng)域。在支付體驗(yàn)方便快捷的同時(shí)，風(fēng)險(xiǎn)也相伴而生，解決好安全問題是二維碼支付發(fā)展的關(guān)鍵。

中國支付清算協(xié)會(huì)調(diào)研顯示，安全性是移動(dòng)支付用戶最看重的因素，占比達(dá)73.4%?！耙苿?dòng)支付產(chǎn)品和服務(wù)所涉及到的客戶資金規(guī)模和信息流量迅速提升，吸引了一些不法分子的關(guān)注。”中國支付清算協(xié)會(huì)副秘書長王素珍說，“這些病毒可以讀取、截獲手機(jī)短信驗(yàn)證碼，再結(jié)合用戶的身份證、銀行卡號(hào)等信息，截取用戶的信息。再有一些不法分子通過釣魚網(wǎng)站，將木馬病毒植入到二維碼當(dāng)中?！?/p>

在獵網(wǎng)平臺(tái)2016年接到的手機(jī)端用戶舉報(bào)數(shù)量中，有4265人是通過銀行轉(zhuǎn)賬、第三方支付、手機(jī)充值等方式主動(dòng)給不法分子轉(zhuǎn)賬，占比66.4%；掃二維碼支付的有107人，占比1.7%。從涉案總金額統(tǒng)計(jì)來看，釣魚網(wǎng)站支付，占比48.4%，累計(jì)2098.3萬元；掃二維碼支付占比0.9%，累計(jì)38.0萬元。

在王素珍看來，移動(dòng)支付涉及到用戶的隱私和資金安全，移動(dòng)支付發(fā)展越快，應(yīng)用得越廣，安全性就越重要?！耙寻踩珕栴}放在移動(dòng)支付發(fā)展優(yōu)先考慮的位置，還要加強(qiáng)產(chǎn)業(yè)鏈上的安全合作，統(tǒng)一安全、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)規(guī)則，完善信息共享機(jī)制，實(shí)現(xiàn)風(fēng)險(xiǎn)的聯(lián)防聯(lián)控。”

支付閉環(huán)內(nèi)的風(fēng)險(xiǎn)

二維碼是一種能存儲(chǔ)信息的特定格式圖片，可以看作一種秘文形式的信息載體，而二維碼支付通常指的就是包含了商戶信息和金額的訂單信息。從技術(shù)來說，二維碼支付的本質(zhì)和網(wǎng)絡(luò)支付一致，安全性與網(wǎng)站類似，也就是說亂掃二維碼就等于亂瀏覽網(wǎng)站，風(fēng)險(xiǎn)勢必隨之存在，因此，二維碼支付面臨的安全質(zhì)疑并不是新生事物。

隨著通過二維碼傳播釣魚網(wǎng)站、發(fā)布手機(jī)病毒等詐騙活動(dòng)逐漸增多。2014年3月，央行下發(fā)的緊急文件《中國人民銀行支付結(jié)算司關(guān)于暫停支付寶公司線下條碼（二維碼）支付等業(yè)務(wù)意見的函》，稱“條碼（二維碼）應(yīng)用于支付領(lǐng)域有關(guān)技術(shù)、終端的安全標(biāo)準(zhǔn)不明確，相關(guān)支付撮合驗(yàn)證方式的安全性尚存質(zhì)疑，存在一定的支付風(fēng)險(xiǎn)隱患”，叫停條碼、二維碼支付等面對(duì)面支付服務(wù)。

中國金融認(rèn)證中心（CFCA）助理總經(jīng)理張行介紹，二維碼只是一種承載信息的載體，可以承載商戶信息、交易金額、支付憑證信息等正常的交易信息，也可以承載釣魚網(wǎng)址或者惡意代碼的下載網(wǎng)址等惡意信息。同時(shí)，二維碼支付是一種創(chuàng)新的互聯(lián)網(wǎng)支付方式，而對(duì)于一些創(chuàng)新型的互聯(lián)網(wǎng)業(yè)務(wù)，為了保證業(yè)務(wù)前期的快速推廣，通常業(yè)務(wù)經(jīng)營者會(huì)在用戶體驗(yàn)和業(yè)務(wù)安全的天平上向用戶體驗(yàn)傾斜，在業(yè)務(wù)安全方面考慮不多，投入不足，從而讓一些不法分子有機(jī)可乘。

“為了保證二維碼能夠在支付業(yè)務(wù)中安全使用，我們需要對(duì)二維碼支付業(yè)務(wù)設(shè)計(jì)完整的安全機(jī)制，保證二維碼在發(fā)碼、傳輸、應(yīng)用的過程中不被惡意利用，不被裝入惡意信息。”張行說。

就刷卡來說，傳統(tǒng)的POS刷卡流程是一個(gè)四方模式下的循環(huán)往復(fù)：用戶在進(jìn)行消費(fèi)的商家POS機(jī)上刷卡，收單機(jī)構(gòu)的POS機(jī)將讀取的刷卡信息通過數(shù)據(jù)線（通常是電話線或網(wǎng)絡(luò)接口）發(fā)送到清算組織（中國是銀聯(lián)），再通知到用戶所用卡片的發(fā)卡銀行，經(jīng)銀行確認(rèn)無誤，再原路返回到POS終端，即完成了一筆支付流程。

張行認(rèn)為，傳統(tǒng)的POS刷卡流程是在一個(gè)相對(duì)封閉的環(huán)境中完成，卡號(hào)、交易密碼等敏感信息泄露的風(fēng)險(xiǎn)較小。而互聯(lián)網(wǎng)支付業(yè)務(wù)，包括二維碼支付，支付過程是在開放的互聯(lián)網(wǎng)環(huán)境中完成的，卡號(hào)、交易密碼等敏感信息存在很大的泄露風(fēng)險(xiǎn)。通過采用Token技術(shù)可以在很大程度上降低持卡人敏感信息泄露的風(fēng)險(xiǎn)。

Token是國際芯片卡標(biāo)準(zhǔn)化組織EMVCo于2014年發(fā)布的一種加密技術(shù)，在商家和用戶在交易過程當(dāng)中，真實(shí)賬號(hào)被一個(gè)虛擬的賬號(hào)代替。Token由發(fā)卡方發(fā)行并且讀取，在交易過程中，即使截獲了Token也無法進(jìn)行交易。另外，虛擬賬號(hào)和一款具體的設(shè)備綁定在一起。如果手機(jī)丟失，用戶只需通知銀行重新分配一個(gè)等電子令牌即可，而無需重新發(fā)卡，節(jié)約成本的同時(shí)也提高了支付的安全性。EMVCo在規(guī)范中描述了四種典型場景：在線商戶、數(shù)字錢包、非接NFC支付、二維碼支付，包括了線上支付場景與線下支付場景。

不過，Token技術(shù)在降低了個(gè)人隱私信息泄露風(fēng)險(xiǎn)的同時(shí)，如何保護(hù)好Token本身的安全也很重要?！霸赥oken的產(chǎn)生、Token與真實(shí)卡號(hào)之間的轉(zhuǎn)換、Token的傳輸、Token的保存等環(huán)節(jié)，都應(yīng)該有完善的保護(hù)措施?！睆埿姓f，“比如引入電子簽名技術(shù)，從而確保Token自身的安全?！?/p>

增加安全認(rèn)證

如今的掃碼支付形式有兩種：一種是主掃，即收款碼支付，商戶提供收款二維碼，消費(fèi)者用手機(jī)APP掃碼支付。另一種是被掃，即付款碼支付，是消費(fèi)者提供付款二維碼，而商戶使用掃碼槍等設(shè)備掃碼收款。

在張行看來，基于掃碼形式的不同也會(huì)帶來不同的隱患。二者相較，張行更傾向主掃，主掃模式使用戶擁有更多的支付主動(dòng)權(quán)，被掃較適合公信力高的商超，容易有交易糾紛的場景則不適合。

他認(rèn)為，電子簽名技術(shù)是目前互聯(lián)網(wǎng)業(yè)務(wù)中最成熟可靠的一種技術(shù)手段，它可以有效地解決互聯(lián)網(wǎng)業(yè)務(wù)中的身份認(rèn)證、防止交易信息篡改、保證交易信息傳輸和存儲(chǔ)安全的問題。在二維碼支付業(yè)務(wù)中，也可以引入電子簽名技術(shù)，保證二維碼制作、傳輸發(fā)布、驗(yàn)證過程的安全。

具體來說，第三方電子認(rèn)證機(jī)構(gòu)在二維碼發(fā)布者的信息通過審核之后，為二維碼發(fā)布者發(fā)放一張具有法律效率的數(shù)字證書。在二維碼產(chǎn)生的過程中，用發(fā)布者的數(shù)字證書對(duì)二維碼信息進(jìn)行簽名，從而保證二維碼信息不被篡改和抵賴；在掃碼獲取信息后通過驗(yàn)證二維碼的電子簽名信息，從而驗(yàn)證二維碼發(fā)布者身份的真實(shí)性和二維碼信息沒有被篡改。在支付交易出現(xiàn)問題的時(shí)候，也可以通過二維碼的電子簽名追溯源頭。

據(jù)了解，目前，支付寶、微信支付、中國銀聯(lián)及多家銀行等均已在二維碼支付中采用數(shù)字簽名、安全加密等技術(shù)手段，確保二維碼生成、傳輸和解析在各自體系內(nèi)閉環(huán)運(yùn)行，技術(shù)上保障用戶資金和信息安全。支付寶在產(chǎn)品功能上做了一些嘗試，比如通過收錢碼付錢后，商家的手機(jī)端都會(huì)收到到賬語音提示，讓商家不用擔(dān)心少收錢或者款付到別人的二維碼中。

另外，去年12月12日，中國銀聯(lián)也推出了二維碼的支付標(biāo)準(zhǔn)，包括《中國銀聯(lián)二維碼支付安全規(guī)范》和《中國銀聯(lián)二維碼支付應(yīng)用規(guī)范》兩個(gè)規(guī)范，表明要遵循現(xiàn)有銀行卡支付的四方模式，各方現(xiàn)有的利益分配不會(huì)收到任何影響，不存在因資金沉淀在虛擬賬戶帶來金融風(fēng)險(xiǎn)。另外一點(diǎn)突出的是采用Token技術(shù)對(duì)賬戶敏感信息進(jìn)行保護(hù)，確保賬戶信息在存儲(chǔ)、處理和傳輸過程中的安全性。

全國政協(xié)委員梅興保也認(rèn)為，盡管國內(nèi)二維碼支付在市場成熟度上已領(lǐng)先全球，但業(yè)務(wù)和技術(shù)創(chuàng)新性上仍具有很大成長空間，應(yīng)鼓勵(lì)市場機(jī)構(gòu)通過業(yè)務(wù)和技術(shù)創(chuàng)新防控風(fēng)險(xiǎn)。通過技術(shù)創(chuàng)新對(duì)二維碼標(biāo)識(shí)加裝防偽標(biāo)識(shí)，避免因誤掃二維碼而導(dǎo)致的欺詐發(fā)生，同時(shí)在風(fēng)險(xiǎn)事件發(fā)生后，可通過商業(yè)保險(xiǎn)等方式化解消費(fèi)者和商戶風(fēng)險(xiǎn)損失。