□馬　慰

一種基于雙因素認證的QR碼安全移動支付方案研究

□馬慰

移動支付是當前應用廣泛的一種移動服務，移動支付的安全性問題備受關注。本文針對移動支付中嚴格的驗證與加密要求，提出了一種安全移動支付方案，應用雙因素認證機制保證支付信息的安全性，通過QR碼向用戶呈現(xiàn)交易要素，提高便捷性，同時該方案使用了基礎的系統(tǒng)結構和開源的開發(fā)工具，降低了成本。模擬案例驗證表明，該方案能夠確保正常移動支付的安全性，應用便捷，具有較好效果。

一、引言

隨著通信技術的進步和智能手機的普及，人們在享受電子商務的同時，對支付方式的要求越來越高，移動支付作為一種新興的支付手段，是通過用戶的移動終端對所消費的商品或服務進行賬務支付的一種服務方式，滿足了現(xiàn)代用戶對支付的安全性、便捷性、移動性需求。雙因素認證（two-factor authentication）是目前流行的一種身份認證方法，廣泛應用于各類金融網(wǎng)絡系統(tǒng)，尤其是交易性模塊。它使用基于時間、事件、密鑰產(chǎn)生的一次性密碼來代替?zhèn)鹘y(tǒng)靜態(tài)密碼。

國內(nèi)外對移動支付安全性方面的研究主要集中于移動支付的風險評估研究、移動支付的安全標準研究、移動支付的安全協(xié)議研究、第三方安全支付模式研究和移動支付安全系統(tǒng)的設計應用。其中，國內(nèi)有相當數(shù)量的移動支付安全解決方案的研究與應用，對移動支付現(xiàn)存的風險點和安全保障技術提出了各自的看法，取得了一定的成果。然而，這些研究大部分起點較高，把移動支付方案建立在一個已經(jīng)具備相應通訊能力的基礎設施環(huán)境下；事實上，許多國家或者一國的不同地區(qū)所提供的基礎網(wǎng)絡設施不盡相同，信息水平高低不一，可能達不到使用高級移動支付的網(wǎng)絡要求，無法適用一些先進的移動支付方案。因此，開發(fā)一種在當前客觀條件下適用的安全移動支付方案顯得尤為重要。

為了提高移動支付方案的適用性，保證移動支付的安全性，本文提出一種基于雙因素認證的移動支付方案，以安全、快捷、方便為目的，使用了簡便的基礎結構，通過雙因素認證進行客戶身份驗證，商戶與客戶的交互采用加密QR（Quick Response）碼，最終完成支付交易。

二、基于雙因素認證的QR碼移動支付

本文充分借鑒了現(xiàn)有的研究成果，對移動支付的特點進行了分析。當前移動支付面臨兩個重要問題：移動支付行業(yè)標準統(tǒng)一化和移動支付的安全性保障，其中，安全性是移動金融領域發(fā)展中一個至關重要的話題。因為如果不能提供固定移動網(wǎng)絡上的商業(yè)信息交流和安全的電子金融交易，沒有人會相信移動金融。通常，一個安全的移動支付系統(tǒng)須有如下特點：信息保密性、身份認證、健全性、授權性、有效性、不可否認性。

所有的金融交易必須在安全的環(huán)境下進行，本文著重考慮了支付方案的安全性后，給出了支付系統(tǒng)的結構。如圖1所示，系統(tǒng)主要模塊有支付網(wǎng)關（Payment Gateway）、客戶端和商戶端，其中支付網(wǎng)關連接到銀行金融支付網(wǎng)絡，也能連接CA中心驗證所有的數(shù)字簽名（Digital Signature）。方案要求用戶與商戶使用配備攝像頭并安裝了方案配套的安全移動支付應用程序的移動設備。移動設備需要連接到一個內(nèi)部局域網(wǎng)絡中，用以和支付網(wǎng)關PG通信；所有應用的開發(fā)工具選用了開源組件。

圖1移動支付系統(tǒng)主要結構

（一）支付方案系統(tǒng)初始化。在客戶與商戶使用該移動支付系統(tǒng)之前，他們必須通過安全的https （Hyper Text Transfer Protocol over Secure Socket Layer）內(nèi)網(wǎng)協(xié)議連接上支付網(wǎng)關系統(tǒng)的站點，填寫提交相關表單進行注冊，客戶與商戶的密碼使用密碼散列函數(shù)MD5消息摘要算法安全地存儲于支付網(wǎng)關上。在支付網(wǎng)關驗證過密碼接受了提交的表單后，生成1024位的RSA公私密鑰對?？蛻襞c商戶訪問并掃描支付網(wǎng)關接口生成的QR碼，獲取各自的用戶id、用戶私鑰和PG的公鑰，而QR碼經(jīng)過用戶密碼加密，需要客戶與商戶驗證各自密碼才能得到QR碼中的內(nèi)容。客戶與商戶得到QR碼中的內(nèi)容被加密存儲在各自的移動設備上。該方案所有交易信息傳輸應用了雙因素認證機制，先使用密碼得到密鑰，再使用密鑰認證和解密信息內(nèi)容。系統(tǒng)初始化的過程如圖2所示。

圖2系統(tǒng)初始化

（二）商戶端支付信息處理。注冊階段完成后，商戶就可以使用自己的移動設備為客戶提供購買商品或服務的交易。當客戶選好商品或服務后，商戶記錄并生成交易清單。隨后，商戶將交易清單內(nèi)容通過支付網(wǎng)關的公鑰加密，再附上商戶用自己私鑰生成的數(shù)字簽名，一起經(jīng)過安全https Web服務連接上傳到支付網(wǎng)關。這家商戶在加密上傳交易清單之前也需要輸入正確的用戶密碼來獲取存儲在移動設備上的公鑰和私鑰。這里同樣使用了雙因素認證機制提高安全性。支付網(wǎng)關檢索由商戶發(fā)送的Web服務請求，然后利用私鑰解密消息內(nèi)容并利用商戶的公鑰驗證數(shù)字簽名（支付網(wǎng)關擁有所有商戶的公鑰）。驗證信息完成后，支付網(wǎng)關在數(shù)據(jù)庫中記錄下該筆交易及交易時間戳，同時需要給商戶一個應答，這個應答包含了商戶id、時間戳、交易的數(shù)量和總金額。同樣，支付網(wǎng)關給商戶的應答使用雙因素認證機制，附上支付網(wǎng)關私鑰生成的數(shù)字簽名，并通過安全https連接發(fā)送。商戶收到支付網(wǎng)關的應答后，商戶的移動應用程序將根據(jù)應答內(nèi)容生成一個可供客戶移動設備應用掃描的QR碼，用來進行支付。商戶端支付信息處理如圖3所示。

圖3商戶端處理支付信息

（三）用戶端支付信息處理。用戶使用移動設備上的應用程序掃描商戶發(fā)送的QR碼。為了驗證并獲取QR碼中包含的信息內(nèi)容，首先用戶在移動設備上輸入正確的密碼得到支付網(wǎng)關的公鑰，用支付網(wǎng)關的公鑰驗證QR碼信息中的數(shù)字簽名并解密內(nèi)容。如果支付信息驗證成功且時間戳沒有過期，完整的支付信息將會顯示在客戶的移動設備上，接收驗證過程如圖4（a）所示。然后，客戶根據(jù)實際情況選擇確認支付或者拒絕支付。如用戶選擇確認支付，支付信息（包含客戶id，商戶id，交易id）和時間戳將通過支付網(wǎng)關的公鑰加密封裝并附上客戶私鑰生成的數(shù)字簽名，同樣用移動應用程序生成一個QR碼發(fā)送給商戶。由于附帶時間戳，不同時刻QR碼是不一樣的。假如QR碼信息被截獲，沒有支付網(wǎng)關的私鑰和正確的密碼，QR碼顯示的只是一段亂碼。最后，包含確認支付內(nèi)容的支付信息經(jīng)過商戶發(fā)送給支付網(wǎng)關，支付網(wǎng)關用自己的私鑰解密信息內(nèi)容，該過程如圖4（b）所示。

圖4（a） 用戶端接收支付信息

圖4（b） 用戶端發(fā)送支付確認

（四）支付確認審批。商戶掃描用戶發(fā)送的QR碼確認支付的請求，然后將用戶的支付確認信息附上時間戳和商戶私鑰生成的數(shù)字簽名經(jīng)安全連接上傳給支付網(wǎng)關。支付網(wǎng)關收到商戶發(fā)來的支付確認信息后，須進行兩次驗證，首先利用商戶的公鑰驗證商戶的數(shù)字簽名，檢查商戶信息的時間戳是否過期，然后再解密用戶的支付信息，驗證用戶的數(shù)字簽名，檢查用戶信息的時間戳。運用二次檢查原理驗證，確保整個支付的完整性。支付網(wǎng)關完成全部驗證后，在數(shù)據(jù)庫中記錄下該筆交易支付成功，將結果返回給商戶。支付確認過程如圖5所示。

圖5支付確認審批

三、案例驗證

本節(jié)使用一個案例對方案進行驗證。用戶A使用該移動支付系統(tǒng)，在其智能手機上安裝了移動支付應用并在支付網(wǎng)關進行了注冊，通過瀏覽商戶B的門戶網(wǎng)站，A選擇了一款運動鞋，將支付請求（包含款式類別、尺碼、數(shù)量、物流信息等）經(jīng)過雙因素認證提交給B；B據(jù)此生成購物清單，包含了所有支付信息，將其加密上傳給支付網(wǎng)關，支付網(wǎng)關記錄該筆交易的支付細節(jié)內(nèi)容，發(fā)送授權可支付的驗證信息給B，B收到該信息使用自己平板電腦上的移動支付應用生成一個加密的QR碼發(fā)送給A，等待A回應該筆支付；A接收、掃描QR碼解密內(nèi)容，檢查訂單無誤后，選擇確認支付，B平板電腦上應用偵聽到該筆確認支付，驗證后上傳給支付網(wǎng)關，支付網(wǎng)關驗證交易一致性，最后完成付款，B發(fā)貨。但是，該筆款項暫存在支付網(wǎng)關系統(tǒng)上B的一個專用賬戶內(nèi)，直至客戶收貨確認后整個交易完成。B在支付網(wǎng)關系統(tǒng)上的專用賬戶在每日日終將完成交易部分的賬款轉入B在銀行開立的賬戶中。

在整個支付過程中，客戶與商戶使用私鑰進行數(shù)字簽名確保交易一致性。網(wǎng)絡黑客在沒有對應密鑰的情況下，無法掌握、控制支付信息。萬一客戶手機丟失，或者黑客復制了手機的存儲器，如沒有正確的密碼也無法得到密鑰。一些手機制造商也提供了安全措施，當手機丟失后可以觸發(fā)特定程序刪除手機上的信息。用戶也能夠訪問支付網(wǎng)關徹底刪除丟失手機上的相關機密信息，并重新生成公私密鑰對。由于交易需要檢驗時間戳，中繼攻擊也很難起作用。另外，客戶與商戶間支付信息交互使用QR碼作為可視渠道，這些QR碼都經(jīng)過加密，黑客截獲的QR碼如果沒有對應密鑰或者過期，得到的也只是沒有意義的加密文本。

四、結束語

本文提出了一種基于雙因素認證的低成本移動支付方案，同時運用對稱加密與非對稱加密算法、加密QR碼，提高支付安全性。采用QR碼作為可視通信渠道，提高便捷性。交易信息傳輸使用加密QR碼、基于SSL的Web通信和公私鑰生成的數(shù)字簽名。手機上的敏感信息全部經(jīng)過用戶密碼加密存儲。整個支付方案結構簡單，使用開源的開發(fā)組件，適用于一般通信基礎設施和信息科技水平不高的地區(qū)。但是本文提出的支付方案也存在一些不足，例如，對于移動終端來說，沒有考慮移動終端上的惡意應用或系統(tǒng)漏洞帶來的風險，該移動支付方案僅僅保證了支付過程本身安全性。下一步的工作是對整個方案進行更徹底的安全性測試，擴大支付方案的應用范圍，深入研究應用場景和充分收集客戶使用的反饋，不斷評估、改善支付方案。

［1］戴宏.移動支付系統(tǒng)安全風險評估［D］.北京：北京交通大學，2010.

［2］張璇，林逸風，白川，等.基于貝葉斯網(wǎng)絡的移動支付風險評估模型［J］.計算機工程與應用，2014，50（5）：60-64.

［3］韓皓辰，柴洪峰，魯志軍，等.移動支付領域安全標準的適用性研究［J］.計算機應用與軟件，2013，30（5）：316-319.

［4］劉亮.基于公鑰密碼體制的移動支付安全協(xié)議研究［D］.成都：西南交通大學，2013.

（作者單位：農(nóng)業(yè)銀行南京江寧支行）