关于支付宝和Apple Pay在线下支付时安全问题对比分析.docVIP

关于支付宝和Apple Pay在线下支付时安全问题对比分析 　　摘 要：2016年2月18日Apple Pay在中国正式上线，其快捷时尚的支付形式引领了移动支付的又一潮流。Apple Pay与银联的联合对支付宝的线下支付造成了一定的冲击。本文从支付机制和使用风险方面将支付宝和Apple Pay的安全问题进行了对比分析，并提出了相应的风险控制方案。 　　关键词：支付宝；Apple Pay；扫码支付；标记化技术 　　中图分类号： F713.36；F831.2 文献标识码： A 文章编号： 1673-1069（2017）05-90-2 　　1 支付机制 　　1.1 支付宝 　　为了向用户提供更为安全、简单、快速的支付解决方案，支付宝官方推出了集手机支付和生活应用为一体的手机软件――支付宝钱包。支付宝钱包主要在IOS、Android设备上使用，可以让用户可以随时随地通过手机进行支付。 　　在线下支付方面，支付宝主要有三种形式： 　　①声波支付。声波支付通过声波的传输来完成支付设备和收款设备的近场识别，其具体使用原理是在支付宝手机软件内置有“声波支付”功能，用户购买售货机里的商品时，打开此功能，用手机麦克风对准收款方的麦克风，手机就会播放一段“咻咻咻”的声音，售货机听到这段声波之后就会自动处理接收到的信息，用户在手机上输入密码后售货机就会吐出商品。 　　②“扫一扫”。“扫一扫”即我们常用到的二维码支付。因为二维码用来储存信息的是水平和垂直方向的二维空间，所以能够记载更复杂的数据，比如网络链接、图片等。商家把商品交易信息汇编成一个二维码，并印刷在各种报纸、广告、图书等载体上就可以等待消费者扫描支付。消费者支付时，打开支付宝客户端上的“扫一扫”，里面内置了一个二维码解码器，可以对手机所扫描到的二维码进行解码，告知交易信息。消费者确认交易信息后，输入支付密码即可完成交易。 　　③条码支付。条码支付的核心是支付宝账户。消费者在选择条码支付结账时，只要出示支付宝手机软件上显示的与账户关联的动态随机条码，商户可使用红外线条码扫描枪进行扫描，待消费者查看和确认付款信息后即可快速完成交易。其技术原理和二维码类似。 　　1.2 Apple Pay 　　苹果公司于2014年推出了Apple Pay这一项手机支付功能。用户使用Apple Pay时需要先在苹果手机（iphone6/iphone6s）系统自带的？Wallet程序里添加银行卡并成功激活。使用Apple Pay付款时只要将iPhone手机靠近有银联闪付标志的POS机，并将手指放在HOME键上验证指纹，即可进行支付。一般来说，整个支付过程只需一两秒钟。 　　从技术原理看，Apple Pay的线下支付实际上就是NFC支付技术与iphone手机的结合。NFC支付技术允许电子设备之间进行非接触式的数据传输。消费者在使用Apple Pay时，NFC发起设备（嵌入NFC芯片的iPhone手机）会用相同的连接和初始化过程检测到商户的NFC目标设备（POS机），并与之建立联系。NFC发起设备将已经经过消费者本人同意的预先存储在手机里的银行卡信息发送到目标设备，此时POS机就可以读取信息，扣除银行卡里的相应金额，并以相同的速度将信息回馈到消费者的iPhone手机上，至此，消费者的支付完成。 　　2 使用风险 　　2.1 支付宝 　　消费者在使用声波支付时，设备主要依靠播放的声波来识别进而完成交易，并且对于每笔交易都会生成特定的声波，所以不用担心出现播放的声波被录音从而支付宝余额被盗用的情况。 　　生活中，“扫一扫”颇为流行，但很少有人知道，商家提供二维码，顾客使用手机扫码支付这样一种支付方式，在2014年3月份的时候因为安全问题被央行下发紧急文件叫停过，直到2014年11月才解禁。①技术层面不是很成熟，有相对较多的安全漏洞和潜在风险；②携带病毒，目前还没有针对二维码安全性的技术检测，许多病毒还是可以附着在商家所提供的这张二维码上。这两方面直接关系到客户的信息安全与资金安全。 　　使用条码支付进行收款的商家同样存在安全风险。因为商户需要用特定的设备扫描消费者支付宝钱包上生成的条码，但目前没有技术手段可以保证消费者支付宝钱包上条码的安全性。对于更为普遍的提供二维码供消费者扫描收款的商家而言，就曾出现过二维码遭替换，从而造成财产损失的情况。 　　由于支付宝线下支付需要以手机终端为中介，那如果手机丢失了，消费者的账户安全能得到保障吗？以安卓手机为例，第一防线――手机解锁密码是极易被突破的；这一防线之后被突破后，如果用户设置了支付宝钱包可以记住密码直接登录，那么盗取者可以轻易点开支付宝钱包进行使用。即便是需要登录密码，盗取者也可以通过简单的点击忘记密码-输入手机号码-获取验证短信-修改密