手机二维码支付应用技术和发展概述

摘要：该文过对手机二维码支付应用技术做了概述，对二维码支付发展的国际国内趋势做了简介，通过对目前国内手机二维码支付的主要架构及“一拍即付”实现方式的分析，提出架构中可能存在的弱点，并给出防范措施和可能的发展趋势。

关键词：二维码；手机银行；移动支付

中图分类号：TP391 文献标识码：A 文章编号：1009-3044（2013）04-0945-03

随着智能手机的发展，支付方式已悄然发生变化，以二维码为支付媒介的商业模式，逐步走入人们的眼帘。由于二维码具有信息储存量大、追踪性高、抗损性强、成本便宜等特点，因此二维码支付技术可以使得客户可以在短短的几十秒内，无论是通过广告，还是虚拟网络，只需要扫描到二维码，通过即可手机完成从订购到支付的全部过程，而不用去商场挑选，在收银台排队等待刷卡消费，其便捷性得到了业界普遍的认可。它不仅代表了人们一种新的生活方式，也是当前电子支付研究的热点领域之一。

1 二维码的应用现状

二维码最早是由日本Denso Wave公司发明的用于追踪汽车零部件的条码，国外的二维码技术目前已经大范围开始应用，被美国、德国、日本、韩国、英国等众多国家应用于商业贸易、物流业、生产制造业、交通、安防、票证等行业的管理。在日本的杂志广告和海报上，使用二维码来存储商店地址和网址，用户只需要用手机阅读解码，就可以立即连入网络，了解相关信息。在公交车站牌上也都加上了二维码，乘客只需要用手机读取二维码，就可以获取路线信息。

二维码在中国的应用也多年前已经开始起步，但之前多家企业前仆后继的尝试因为没有得到市场响应的支撑都没有成功，近几年随着互联网络的快速发展和智能手机的快速普及，从2012年开始二维码的春天终于来了。当前，作为新生事物的二维码应用正在发达地区部分城市的部分行业进行试点。北京街道上很多的广告都出现了二维码，用来增加营销；南京市推出了二维码接入的“游客助手”平台，把导游信息装入游客的衣兜。国内的麦当劳，肯德基等快餐业，纷纷推出了二维码优惠券。

在这些应用中，商业领域的二维码支付更是热点问题。二维码支付本质是在虚拟世界和现实生活之间进行互动的一种行为，即O2O（online to offline，从线上到线下），由于便捷和低成本，二维码技术已经成为当前移动支付最有可能推广应用的一种方式。各个网络公司积极投身这一领域的研究，支付宝二维码（支托付）兼容支付宝、淘宝、微信、快拍、我查等第三方平台开发的扫码软件，可实现购物付款、优惠券、抽奖、秒杀等功能；移动公司等通信运营商也积极致力于二维码平台的开发和研究，力图抢占市场制高点。

尽管国内已经有二维码小范围的实际应用，但当前二维码支付未真正做到“一拍即付”，也就是在实际进行购物的过程中，下单采用的是扫描二维码，但在支付过程中，目前还缺少成熟的直接手机支付技术的支撑，不能做到即时付款，更谈不上实时到账。国内金融业到目前为止只有民生银行率先推出了手机银行二维码收付款服务，主要应用是使用二维码输入金额转账，目前国内尚无哪家银行推出了直接用于电子商务平台的二维码手机银行，支付宝力推的二维码支付功能相当于其早先推出的快捷支付，不少消费者都对其安全性有所质疑因此市场反应尚比较冷淡。总之在目前二维码购物流程中下单和银行账户支付功能没有集成，在一定程度上制约了二维码支付的商业应用。

2 手机支付的主要架构模式的解决方案现状

随着二维码应用的兴起，中国的各个互联网公司和商业银行都在二维码支付领域进行了深入的研究，并在实际应用中建立了自己的体系架构，具体来说主要有三种思路：

2.1 传统手机网银支付的链接

用户使用软件，对二维码进行扫描，并发送解码信息给远程服务器，等待远程器返回一个含有网银支付的链接，然后点击可以实现网页完成支付。

这种方式实际上仍然是分割了二维码应用的下单和支付的过程，两者没有紧密的联系起来。另外，随着二维码生成软件的快速发展，一些黑客也会通过制作一些含有特定内容的二维码，引导用户进入钓鱼网银页面，会让用户在大意中损失钱财或泄漏信息。

2.2 基于第三方账户的支付方式

以支付宝公司等为代表的，提出了基于账户的移动支付体系。即商户和顾客都预先需要安装相关的软件，并注册账户。

图1 基于支付宝账户的二维码支付流程图

它要求交易双方均在线，用户的付款二维码，是商家获得收款的凭证。条码支付是为微小电子商务商户提供的一种快捷的现场支付解决方案，免去买卖双方现金交易的繁琐。但结合如今的二维码订单业务来看，实际上有一个生成——扫描——生成——再扫描的过程，仍旧比较繁琐，并没有完全发挥出二维码购物时间和空间上灵活、便利的特点，加之付款在银行体外运行安全性难以保证对计算机木马病毒及各类诈骗的防范到位，现阶段在还没有有效解决上述问题的情况下广大的个人客户对该方式认可度不高。

2.3 手机外设读卡器模式

美国的手机外设读卡器Square模式，通过信用卡刷卡支付，快速完成手机支付。国内类似的支付产品有乐刷，盒子支付等。如盒子支付采用的QRPOS，是一种通过手机识别带刷卡信息的二维码，直接利用插在手机盒子上的刷卡器完成的刷卡支付，或者说是用手机替代了传统的POS机。

图2 盒子支付主要步骤

它的优点是：不需要用户开通网银或者其他的第三方支付账户，只需要用手机拍下消费二维码就可以完成刷卡购物。但他的缺点是需要携带银行卡，不能仅依靠手机，另外加密信息需要增强，比如刷卡时磁条信息的保护，及通信的双向加密，目前只支持单向加密等。

2.4 商业银行的手机支付模式

商业银行面对当前不断增长的二维码应用市场，也在积极探索相关软件的开发。民生银行推出了和支付宝类似功能的二维码收付款服务，但只需要付款人拥有该银行的账户即可，收款人则没有这个限制。付款人使用手机银行的二维码付款功能，选择或输入付款金额可以一键生成付款二维码；而收款人使用银行的二维码收款功能，扫描付款人提供的二维码，输入收款人的账号和姓名，可以瞬间完成收款。不过目前还没有看到与商户和网购支付平台直接对接的应用出现，还仅仅是个单纯的转账工具。

3 当前主要存在的问题及建议

自从二维码应用诞生以来，用户最关心的问题一直是安全性和易用性，实际上，达到两者的平衡点正是各大互联网公司和银行所着眼的重点。目前二维码支付作为新兴事物，还存在如下的问题，影响到其大规模的应用：：

3.1 易用性尚存不足

二维码支付应用的设计出发点，是针对追求高效率的购物者群体，也就是没有大量空闲但有零散的“微时间”通过手机来进行快捷的二维码购物的人群。二维码目前的应用，主要只是用于客户下订单，而在客户支付方面缺少相关用户体验，较不便利整个手机购物流程的实现。究其原因，主要有以下几点：

3.1.1 交易的限制条件多

缺少针对手机购物群体设计的软件，比如对于目前支付宝的“条码支付”用户，现场交易可能是较好的选择，但在使用手机二维码支付时要求双方在线，显然这是不合理的。事实上，商家为了不想给自己添麻烦更多情况会要求客户使用各种现有的POS、网银甚至现金等传统支付手段完成收款。像美国市场上使用手机读卡器，安全性倒是加强了，可是刷卡付款则跟POS没有什么区别，并没有发挥出手机便利性的特点。银行的二维码软件方便了收款人的操作，但缺乏前期购物流程的融合，使得用户在购物时没有体验到应有的便利性。

3.1.2 手机客户端编码方式不统一

要读取一条二维码信息，不仅要有智能手机，手机软件的破解能力也是重要因素之一。由于目前产品的编码方式并不唯一，个别的厂家出于安全考虑，采用了具有防伪技术的二维码，那么用户能不能直接用手机识别这类码就成了一个问题。

3.1.3 智能手机终端设备问题

手机受限于硬件的质量会存在摄像头亮度低、分辨率低等问题，也会造成扫描二维码等不成功；手机的信号不好，或者遭受DOS攻击，联网失败，也会造成无法正常服务；手机丢失或者部件损坏，都是影响实际应用必须考虑的因素。

3.2 安全性问题

随着智能手机的快速普及，长期以来困扰互联网的安全问题如今开始往手机网络上蔓延；二维码应用成为热点后，一些人为了谋取不当利益，制作出含有病毒、木马的二维码，更使得手机二维码支付面临着较大的挑战。手机由于硬软件系统的先天不足，不能像电脑设备一样安装功能全面的安全软件，加之手机使用者也大多缺乏防病毒相关的意识和知识，风险较大甚至可能导致手机二维码支付便捷的优势荡然无存。手机二维码支付安全性更是能否顺利推广的焦点问题：

3.2.1 交易双方身份认证问题

移动支付的通信安全的关键问题是手机用户的身份认证过程。比如在网上银行应用中，大部分银行通过数字签名、SSL技术来保证用户和银行之间通信的安全性，可以提供数据的机密性、完整性和不可否认性的支持，还有的使用USB key等硬件来验证身份。在手机移动支付过程中，有些方案的认证过程较为复杂，成本较高，并不适用于当前的网络环境。

图3 身份认证关系图

二维码支付有其简单，便利的方面，但必须依靠身份认证来保证它的可靠性。在网络环境中，较为成熟的PKI体系，电脑终端用户通过CA认证的方式来实现身份认证。而手机的运算能力还不能达到电脑一样的速度，因此受到了限制。解决这样的问题，可以再WAP下使用安全措施WPKI来实现。WPKI是无线环境下基于密钥和证书管理的认证策略，但采用ECC算法，简化了复杂的RSA算法。要将它们顺利的运用到二维码支付环境中，必须首先解决上图所示的相关身份认证问题，必须从软件设计上做到在为数很少的操作过程中将各方的认证都进行完毕。

3.2.2 智能手机终端设备的安全问题

智能手机，具有独立的操作系统，能够支持第三方软件，并可以通过软件对手机的功能进行扩充，因此它也同电脑终端一样，面临着多种潜在的安全威胁，比如说手机病毒，主要通过手机漏洞程序、操作系统漏洞下载、传播破坏收的软硬件；再比如说各种木马插件，特别是一些来历不明的浏览器插件等，会在手机终端传送网络数据之前截取数据，造成客户信息或交易信息的泄露，从而可能引发诈骗、钓鱼网站等案件的发生。

因此，要实现达到安全性和易用性的平衡，本人认为在手机二维码支付方面进行进一步的细分，将根据使用场合的不同，如商场、居民家庭、微小零售业的不同，开发出具有不同针对性的二维码支付产品，在制定标准时要银行、商家、三方平台、监管部门共同参与，通过协议统一相同应用的二维码编码标准，尽量做到易用性和安全性的最佳平衡，使得二维码的支付应用能够得到广大群众的认可，以利于大力推广。

以上就是本文的主要内容，笔者简单的对当前流行的二维码支付应用做了介绍，对手机移动支付尤其是二维码支付做了初步的研究，针对二维码购物的手机支付的瓶颈进行了分析，以达到安全性和易用性的平衡为目标，提出了自己的一点浅见，如有不妥敬请指正。随着网络和智能手机的普及，二维码应用尤其是商业交易的应用未来将成为人们日常生活中司空见惯行为，因此对于二维码支付的研究显得尤为重要，只有真正达到了安全易用的性能，二维码支付才能在今后取得长久的发展。

参考文献：

[1] 冯韵.移动支付中身份认证分析与研究[J].信息通信，2012（3）.

[2] 张艳，沈亮，顾健.基于移动终端的手机银行安全性技术及评估需求浅析[C].第27次全国计算机安全学术交流会论文集，2012（8）.

[3] 张彦明，孙曙光.二维码：手机银行新应用[J].金融电子化，2012（6）.

[4] 平影影.二维码支付不够完美[N].法制晚报，2012-09-07.