摘要：該文過(guò)對(duì)手機(jī)二維碼支付應(yīng)用技術(shù)做了概述，對(duì)二維碼支付發(fā)展的國(guó)際國(guó)內(nèi)趨勢(shì)做了簡(jiǎn)介，通過(guò)對(duì)目前國(guó)內(nèi)手機(jī)二維碼支付的主要架構(gòu)及“一拍即付”實(shí)現(xiàn)方式的分析，提出架構(gòu)中可能存在的弱點(diǎn)，并給出防范措施和可能的發(fā)展趨勢(shì)。

關(guān)鍵詞：二維碼；手機(jī)銀行；移動(dòng)支付

中圖分類號(hào)：TP391 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）04-0945-03

隨著智能手機(jī)的發(fā)展，支付方式已悄然發(fā)生變化，以二維碼為支付媒介的商業(yè)模式，逐步走入人們的眼簾。由于二維碼具有信息儲(chǔ)存量大、追蹤性高、抗損性強(qiáng)、成本便宜等特點(diǎn)，因此二維碼支付技術(shù)可以使得客戶可以在短短的幾十秒內(nèi)，無(wú)論是通過(guò)廣告，還是虛擬網(wǎng)絡(luò)，只需要掃描到二維碼，通過(guò)即可手機(jī)完成從訂購(gòu)到支付的全部過(guò)程，而不用去商場(chǎng)挑選，在收銀臺(tái)排隊(duì)等待刷卡消費(fèi)，其便捷性得到了業(yè)界普遍的認(rèn)可。它不僅代表了人們一種新的生活方式，也是當(dāng)前電子支付研究的熱點(diǎn)領(lǐng)域之一。

1 二維碼的應(yīng)用現(xiàn)狀

二維碼最早是由日本Denso Wave公司發(fā)明的用于追蹤汽車零部件的條碼，國(guó)外的二維碼技術(shù)目前已經(jīng)大范圍開(kāi)始應(yīng)用，被美國(guó)、德國(guó)、日本、韓國(guó)、英國(guó)等眾多國(guó)家應(yīng)用于商業(yè)貿(mào)易、物流業(yè)、生產(chǎn)制造業(yè)、交通、安防、票證等行業(yè)的管理。在日本的雜志廣告和海報(bào)上，使用二維碼來(lái)存儲(chǔ)商店地址和網(wǎng)址，用戶只需要用手機(jī)閱讀解碼，就可以立即連入網(wǎng)絡(luò)，了解相關(guān)信息。在公交車站牌上也都加上了二維碼，乘客只需要用手機(jī)讀取二維碼，就可以獲取路線信息。

二維碼在中國(guó)的應(yīng)用也多年前已經(jīng)開(kāi)始起步，但之前多家企業(yè)前仆后繼的嘗試因?yàn)闆](méi)有得到市場(chǎng)響應(yīng)的支撐都沒(méi)有成功，近幾年隨著互聯(lián)網(wǎng)絡(luò)的快速發(fā)展和智能手機(jī)的快速普及，從2012年開(kāi)始二維碼的春天終于來(lái)了。當(dāng)前，作為新生事物的二維碼應(yīng)用正在發(fā)達(dá)地區(qū)部分城市的部分行業(yè)進(jìn)行試點(diǎn)。北京街道上很多的廣告都出現(xiàn)了二維碼，用來(lái)增加營(yíng)銷；南京市推出了二維碼接入的“游客助手”平臺(tái)，把導(dǎo)游信息裝入游客的衣兜。國(guó)內(nèi)的麥當(dāng)勞，肯德基等快餐業(yè)，紛紛推出了二維碼優(yōu)惠券。

在這些應(yīng)用中，商業(yè)領(lǐng)域的二維碼支付更是熱點(diǎn)問(wèn)題。二維碼支付本質(zhì)是在虛擬世界和現(xiàn)實(shí)生活之間進(jìn)行互動(dòng)的一種行為，即O2O（online to offline，從線上到線下），由于便捷和低成本，二維碼技術(shù)已經(jīng)成為當(dāng)前移動(dòng)支付最有可能推廣應(yīng)用的一種方式。各個(gè)網(wǎng)絡(luò)公司積極投身這一領(lǐng)域的研究，支付寶二維碼（支托付）兼容支付寶、淘寶、微信、快拍、我查等第三方平臺(tái)開(kāi)發(fā)的掃碼軟件，可實(shí)現(xiàn)購(gòu)物付款、優(yōu)惠券、抽獎(jiǎng)、秒殺等功能；移動(dòng)公司等通信運(yùn)營(yíng)商也積極致力于二維碼平臺(tái)的開(kāi)發(fā)和研究，力圖搶占市場(chǎng)制高點(diǎn)。

盡管國(guó)內(nèi)已經(jīng)有二維碼小范圍的實(shí)際應(yīng)用，但當(dāng)前二維碼支付未真正做到“一拍即付”，也就是在實(shí)際進(jìn)行購(gòu)物的過(guò)程中，下單采用的是掃描二維碼，但在支付過(guò)程中，目前還缺少成熟的直接手機(jī)支付技術(shù)的支撐，不能做到即時(shí)付款，更談不上實(shí)時(shí)到賬。國(guó)內(nèi)金融業(yè)到目前為止只有民生銀行率先推出了手機(jī)銀行二維碼收付款服務(wù)，主要應(yīng)用是使用二維碼輸入金額轉(zhuǎn)賬，目前國(guó)內(nèi)尚無(wú)哪家銀行推出了直接用于電子商務(wù)平臺(tái)的二維碼手機(jī)銀行，支付寶力推的二維碼支付功能相當(dāng)于其早先推出的快捷支付，不少消費(fèi)者都對(duì)其安全性有所質(zhì)疑因此市場(chǎng)反應(yīng)尚比較冷淡。總之在目前二維碼購(gòu)物流程中下單和銀行賬戶支付功能沒(méi)有集成，在一定程度上制約了二維碼支付的商業(yè)應(yīng)用。

2 手機(jī)支付的主要架構(gòu)模式的解決方案現(xiàn)狀

隨著二維碼應(yīng)用的興起，中國(guó)的各個(gè)互聯(lián)網(wǎng)公司和商業(yè)銀行都在二維碼支付領(lǐng)域進(jìn)行了深入的研究，并在實(shí)際應(yīng)用中建立了自己的體系架構(gòu)，具體來(lái)說(shuō)主要有三種思路：

2.1 傳統(tǒng)手機(jī)網(wǎng)銀支付的鏈接

用戶使用軟件，對(duì)二維碼進(jìn)行掃描，并發(fā)送解碼信息給遠(yuǎn)程服務(wù)器，等待遠(yuǎn)程器返回一個(gè)含有網(wǎng)銀支付的鏈接，然后點(diǎn)擊可以實(shí)現(xiàn)網(wǎng)頁(yè)完成支付。

這種方式實(shí)際上仍然是分割了二維碼應(yīng)用的下單和支付的過(guò)程，兩者沒(méi)有緊密的聯(lián)系起來(lái)。另外，隨著二維碼生成軟件的快速發(fā)展，一些黑客也會(huì)通過(guò)制作一些含有特定內(nèi)容的二維碼，引導(dǎo)用戶進(jìn)入釣魚(yú)網(wǎng)銀頁(yè)面，會(huì)讓用戶在大意中損失錢財(cái)或泄漏信息。

2.2 基于第三方賬戶的支付方式

以支付寶公司等為代表的，提出了基于賬戶的移動(dòng)支付體系。即商戶和顧客都預(yù)先需要安裝相關(guān)的軟件，并注冊(cè)賬戶。

圖1 基于支付寶賬戶的二維碼支付流程圖

它要求交易雙方均在線，用戶的付款二維碼，是商家獲得收款的憑證。條碼支付是為微小電子商務(wù)商戶提供的一種快捷的現(xiàn)場(chǎng)支付解決方案，免去買賣雙方現(xiàn)金交易的繁瑣。但結(jié)合如今的二維碼訂單業(yè)務(wù)來(lái)看，實(shí)際上有一個(gè)生成——掃描——生成——再掃描的過(guò)程，仍舊比較繁瑣，并沒(méi)有完全發(fā)揮出二維碼購(gòu)物時(shí)間和空間上靈活、便利的特點(diǎn)，加之付款在銀行體外運(yùn)行安全性難以保證對(duì)計(jì)算機(jī)木馬病毒及各類詐騙的防范到位，現(xiàn)階段在還沒(méi)有有效解決上述問(wèn)題的情況下廣大的個(gè)人客戶對(duì)該方式認(rèn)可度不高。

2.3 手機(jī)外設(shè)讀卡器模式

美國(guó)的手機(jī)外設(shè)讀卡器Square模式，通過(guò)信用卡刷卡支付，快速完成手機(jī)支付。國(guó)內(nèi)類似的支付產(chǎn)品有樂(lè)刷，盒子支付等。如盒子支付采用的QRPOS，是一種通過(guò)手機(jī)識(shí)別帶刷卡信息的二維碼，直接利用插在手機(jī)盒子上的刷卡器完成的刷卡支付，或者說(shuō)是用手機(jī)替代了傳統(tǒng)的POS機(jī)。

圖2 盒子支付主要步驟

它的優(yōu)點(diǎn)是：不需要用戶開(kāi)通網(wǎng)銀或者其他的第三方支付賬戶，只需要用手機(jī)拍下消費(fèi)二維碼就可以完成刷卡購(gòu)物。但他的缺點(diǎn)是需要攜帶銀行卡，不能僅依靠手機(jī)，另外加密信息需要增強(qiáng)，比如刷卡時(shí)磁條信息的保護(hù)，及通信的雙向加密，目前只支持單向加密等。

2.4 商業(yè)銀行的手機(jī)支付模式

商業(yè)銀行面對(duì)當(dāng)前不斷增長(zhǎng)的二維碼應(yīng)用市場(chǎng)，也在積極探索相關(guān)軟件的開(kāi)發(fā)。民生銀行推出了和支付寶類似功能的二維碼收付款服務(wù)，但只需要付款人擁有該銀行的賬戶即可，收款人則沒(méi)有這個(gè)限制。付款人使用手機(jī)銀行的二維碼付款功能，選擇或輸入付款金額可以一鍵生成付款二維碼；而收款人使用銀行的二維碼收款功能，掃描付款人提供的二維碼，輸入收款人的賬號(hào)和姓名，可以瞬間完成收款。不過(guò)目前還沒(méi)有看到與商戶和網(wǎng)購(gòu)支付平臺(tái)直接對(duì)接的應(yīng)用出現(xiàn)，還僅僅是個(gè)單純的轉(zhuǎn)賬工具。

3 當(dāng)前主要存在的問(wèn)題及建議

自從二維碼應(yīng)用誕生以來(lái)，用戶最關(guān)心的問(wèn)題一直是安全性和易用性，實(shí)際上，達(dá)到兩者的平衡點(diǎn)正是各大互聯(lián)網(wǎng)公司和銀行所著眼的重點(diǎn)。目前二維碼支付作為新興事物，還存在如下的問(wèn)題，影響到其大規(guī)模的應(yīng)用：：

3.1 易用性尚存不足

二維碼支付應(yīng)用的設(shè)計(jì)出發(fā)點(diǎn)，是針對(duì)追求高效率的購(gòu)物者群體，也就是沒(méi)有大量空閑但有零散的“微時(shí)間”通過(guò)手機(jī)來(lái)進(jìn)行快捷的二維碼購(gòu)物的人群。二維碼目前的應(yīng)用，主要只是用于客戶下訂單，而在客戶支付方面缺少相關(guān)用戶體驗(yàn)，較不便利整個(gè)手機(jī)購(gòu)物流程的實(shí)現(xiàn)。究其原因，主要有以下幾點(diǎn)：

3.1.1 交易的限制條件多

缺少針對(duì)手機(jī)購(gòu)物群體設(shè)計(jì)的軟件，比如對(duì)于目前支付寶的“條碼支付”用戶，現(xiàn)場(chǎng)交易可能是較好的選擇，但在使用手機(jī)二維碼支付時(shí)要求雙方在線，顯然這是不合理的。事實(shí)上，商家為了不想給自己添麻煩更多情況會(huì)要求客戶使用各種現(xiàn)有的POS、網(wǎng)銀甚至現(xiàn)金等傳統(tǒng)支付手段完成收款。像美國(guó)市場(chǎng)上使用手機(jī)讀卡器，安全性倒是加強(qiáng)了，可是刷卡付款則跟POS沒(méi)有什么區(qū)別，并沒(méi)有發(fā)揮出手機(jī)便利性的特點(diǎn)。銀行的二維碼軟件方便了收款人的操作，但缺乏前期購(gòu)物流程的融合，使得用戶在購(gòu)物時(shí)沒(méi)有體驗(yàn)到應(yīng)有的便利性。

3.1.2 手機(jī)客戶端編碼方式不統(tǒng)一

要讀取一條二維碼信息，不僅要有智能手機(jī)，手機(jī)軟件的破解能力也是重要因素之一。由于目前產(chǎn)品的編碼方式并不唯一，個(gè)別的廠家出于安全考慮，采用了具有防偽技術(shù)的二維碼，那么用戶能不能直接用手機(jī)識(shí)別這類碼就成了一個(gè)問(wèn)題。

3.1.3 智能手機(jī)終端設(shè)備問(wèn)題

手機(jī)受限于硬件的質(zhì)量會(huì)存在攝像頭亮度低、分辨率低等問(wèn)題，也會(huì)造成掃描二維碼等不成功；手機(jī)的信號(hào)不好，或者遭受DOS攻擊，聯(lián)網(wǎng)失敗，也會(huì)造成無(wú)法正常服務(wù)；手機(jī)丟失或者部件損壞，都是影響實(shí)際應(yīng)用必須考慮的因素。

3.2 安全性問(wèn)題

隨著智能手機(jī)的快速普及，長(zhǎng)期以來(lái)困擾互聯(lián)網(wǎng)的安全問(wèn)題如今開(kāi)始往手機(jī)網(wǎng)絡(luò)上蔓延；二維碼應(yīng)用成為熱點(diǎn)后，一些人為了謀取不當(dāng)利益，制作出含有病毒、木馬的二維碼，更使得手機(jī)二維碼支付面臨著較大的挑戰(zhàn)。手機(jī)由于硬軟件系統(tǒng)的先天不足，不能像電腦設(shè)備一樣安裝功能全面的安全軟件，加之手機(jī)使用者也大多缺乏防病毒相關(guān)的意識(shí)和知識(shí)，風(fēng)險(xiǎn)較大甚至可能導(dǎo)致手機(jī)二維碼支付便捷的優(yōu)勢(shì)蕩然無(wú)存。手機(jī)二維碼支付安全性更是能否順利推廣的焦點(diǎn)問(wèn)題：

3.2.1 交易雙方身份認(rèn)證問(wèn)題

移動(dòng)支付的通信安全的關(guān)鍵問(wèn)題是手機(jī)用戶的身份認(rèn)證過(guò)程。比如在網(wǎng)上銀行應(yīng)用中，大部分銀行通過(guò)數(shù)字簽名、SSL技術(shù)來(lái)保證用戶和銀行之間通信的安全性，可以提供數(shù)據(jù)的機(jī)密性、完整性和不可否認(rèn)性的支持，還有的使用USB key等硬件來(lái)驗(yàn)證身份。在手機(jī)移動(dòng)支付過(guò)程中，有些方案的認(rèn)證過(guò)程較為復(fù)雜，成本較高，并不適用于當(dāng)前的網(wǎng)絡(luò)環(huán)境。

圖3 身份認(rèn)證關(guān)系圖

二維碼支付有其簡(jiǎn)單，便利的方面，但必須依靠身份認(rèn)證來(lái)保證它的可靠性。在網(wǎng)絡(luò)環(huán)境中，較為成熟的PKI體系，電腦終端用戶通過(guò)CA認(rèn)證的方式來(lái)實(shí)現(xiàn)身份認(rèn)證。而手機(jī)的運(yùn)算能力還不能達(dá)到電腦一樣的速度，因此受到了限制。解決這樣的問(wèn)題，可以再WAP下使用安全措施WPKI來(lái)實(shí)現(xiàn)。WPKI是無(wú)線環(huán)境下基于密鑰和證書管理的認(rèn)證策略，但采用ECC算法，簡(jiǎn)化了復(fù)雜的RSA算法。要將它們順利的運(yùn)用到二維碼支付環(huán)境中，必須首先解決上圖所示的相關(guān)身份認(rèn)證問(wèn)題，必須從軟件設(shè)計(jì)上做到在為數(shù)很少的操作過(guò)程中將各方的認(rèn)證都進(jìn)行完畢。

3.2.2 智能手機(jī)終端設(shè)備的安全問(wèn)題

智能手機(jī)，具有獨(dú)立的操作系統(tǒng)，能夠支持第三方軟件，并可以通過(guò)軟件對(duì)手機(jī)的功能進(jìn)行擴(kuò)充，因此它也同電腦終端一樣，面臨著多種潛在的安全威脅，比如說(shuō)手機(jī)病毒，主要通過(guò)手機(jī)漏洞程序、操作系統(tǒng)漏洞下載、傳播破壞收的軟硬件；再比如說(shuō)各種木馬插件，特別是一些來(lái)歷不明的瀏覽器插件等，會(huì)在手機(jī)終端傳送網(wǎng)絡(luò)數(shù)據(jù)之前截取數(shù)據(jù)，造成客戶信息或交易信息的泄露，從而可能引發(fā)詐騙、釣魚(yú)網(wǎng)站等案件的發(fā)生。

因此，要實(shí)現(xiàn)達(dá)到安全性和易用性的平衡，本人認(rèn)為在手機(jī)二維碼支付方面進(jìn)行進(jìn)一步的細(xì)分，將根據(jù)使用場(chǎng)合的不同，如商場(chǎng)、居民家庭、微小零售業(yè)的不同，開(kāi)發(fā)出具有不同針對(duì)性的二維碼支付產(chǎn)品，在制定標(biāo)準(zhǔn)時(shí)要銀行、商家、三方平臺(tái)、監(jiān)管部門共同參與，通過(guò)協(xié)議統(tǒng)一相同應(yīng)用的二維碼編碼標(biāo)準(zhǔn)，盡量做到易用性和安全性的最佳平衡，使得二維碼的支付應(yīng)用能夠得到廣大群眾的認(rèn)可，以利于大力推廣。

以上就是本文的主要內(nèi)容，筆者簡(jiǎn)單的對(duì)當(dāng)前流行的二維碼支付應(yīng)用做了介紹，對(duì)手機(jī)移動(dòng)支付尤其是二維碼支付做了初步的研究，針對(duì)二維碼購(gòu)物的手機(jī)支付的瓶頸進(jìn)行了分析，以達(dá)到安全性和易用性的平衡為目標(biāo)，提出了自己的一點(diǎn)淺見(jiàn)，如有不妥敬請(qǐng)指正。隨著網(wǎng)絡(luò)和智能手機(jī)的普及，二維碼應(yīng)用尤其是商業(yè)交易的應(yīng)用未來(lái)將成為人們?nèi)粘Ｉ钪兴究找?jiàn)慣行為，因此對(duì)于二維碼支付的研究顯得尤為重要，只有真正達(dá)到了安全易用的性能，二維碼支付才能在今后取得長(zhǎng)久的發(fā)展。

參考文獻(xiàn)：

[1] 馮韻.移動(dòng)支付中身份認(rèn)證分析與研究[J].信息通信，2012（3）.

[2] 張艷，沈亮，顧健.基于移動(dòng)終端的手機(jī)銀行安全性技術(shù)及評(píng)估需求淺析[C].第27次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集，2012（8）.

[3] 張彥明，孫曙光.二維碼：手機(jī)銀行新應(yīng)用[J].金融電子化，2012（6）.

[4] 平影影.二維碼支付不夠完美[N].法制晚報(bào)，2012-09-07.