丝袜久久亚洲国产毛片,老人AV综合,国产精品日韩av,超碰国产综合,综合av在线草,毛片久久久,精品蜜桃一区三区,99久久久,人妻99在线视频

2014年3月13日，人民銀行發(fā)文暫停支付寶、財付通線下二維碼支付業(yè)務(wù)，有人說風(fēng)險是假，利益是真，二維碼究竟安全碼?筆者從純技術(shù)角度，談?wù)勛约旱目捶ā?/p>

二維碼并非新鮮事物，20世紀(jì)80年代就已誕生并廣泛應(yīng)用。央行并不限制二維碼應(yīng)用，只是對線下(商戶和持卡人面對面)二維碼支付場景質(zhì)疑，要求兩家互聯(lián)網(wǎng)企業(yè)接受評估。筆者認(rèn)為若不是央行及時出手，可能會發(fā)生潛在的信息安全事件，引發(fā)系統(tǒng)性金融支付風(fēng)險。

支付的信息安全要求要能在可預(yù)測的范圍內(nèi)，針對風(fēng)險點，進(jìn)行全環(huán)節(jié)的控制。線下二維碼支付至少存在以下四方面風(fēng)險：

　　1、二維碼產(chǎn)生方是誰?傳輸過程有無防篡改措施?

央行暫停的二維碼支付，是將二維碼用作交易訂單(解決要付多少錢給誰的問題)，并由一個硬件終端實現(xiàn)。由于二維碼代表了資金流的走向，所以其真實性和完整性是需要關(guān)注重點，誰來為此負(fù)責(zé)?

目前線下支付使用的支付終端為此負(fù)責(zé)，支付終端是收單機構(gòu)采購的經(jīng)過認(rèn)證檢測的設(shè)備，并且其與交易相關(guān)的參數(shù)由收單機構(gòu)維護。這意味著物理上黑客攻擊支付終端的難度較高、邏輯上黑客篡改商戶信息與交易金額的可能性也很低。

然而二維碼終端設(shè)備呢?這里面有一連串的疑問：二維碼是終端自己產(chǎn)生?還是由后臺的二維碼服務(wù)器產(chǎn)生?產(chǎn)生過程有無加密保護措施，傳輸過程有無防篡改措施?這不僅關(guān)系客戶是不是該為這筆交易付款，更加關(guān)系商戶是否能正常收到這筆款項。

　　2、二維碼傳輸，信息的真實性和完整性是否被延續(xù)?

被暫停的二維碼支付業(yè)務(wù)，是通過客戶手機“掃二維碼功能”實現(xiàn)二維碼從商戶到個人的轉(zhuǎn)移。這個環(huán)節(jié)，信息的真實性和完整性是否被延續(xù)是關(guān)注重點，誰來為此負(fù)責(zé)?

假定二維碼產(chǎn)生過程是可靠的，現(xiàn)在要解決兩個問題：一是用戶要能識別這是一枚可靠的二維碼，即身份認(rèn)證;二是二維碼在拍的過程中沒有被移花接木，即一致性。目前線下支付使用的支付方式?jīng)]有該問題，因為全部的交易處理由POS終端完成并送至后臺，沒有這個轉(zhuǎn)換的過程，而這個轉(zhuǎn)換也恰恰是O2O的關(guān)鍵環(huán)節(jié)。

信息安全中有個術(shù)語“中間人攻擊”，指的就是通信的雙方之間的信息來往，被一個第三方控制產(chǎn)生的危害。如果不能解決信任的問題，手機木馬也可以給客戶手機發(fā)送二維碼，輕則可以讓手機中招誘發(fā)系統(tǒng)重啟，重則可以讓支付過程中斷甚至發(fā)生錯付情況。

　　3、二維碼解析，如何保證解析后的結(jié)果不被篡改?

二維碼解析是二維碼應(yīng)用的重要環(huán)節(jié)，但是在線下支付中，同樣存在信息安全的風(fēng)險。之前提到線下支付二維碼傳遞的是資金流信息，解析后的二維碼將被用戶確認(rèn)，然后啟動扣款流程、并觸發(fā)相關(guān)的信息流甚至物流信息。

二維碼解析的結(jié)果直接決定支付結(jié)果的正確性。二維碼是手機客戶端解析，還是后臺服務(wù)器解析，如何保證解析后的結(jié)果不被篡改?由于二維碼解析的結(jié)果是客戶的消費記錄，并且反映了客戶的日常行為、屬于個人信息，如何保證這部分信息的安全?

　　4、二維碼結(jié)果通知，有單邊帳、引發(fā)市場混亂風(fēng)險

二維碼結(jié)果通知作為二維碼應(yīng)用的最后一個環(huán)節(jié)，也是決定性環(huán)節(jié)，因為它需要保證結(jié)果的真實性與完整性。

如果持卡人的銀行卡被成功扣款了，但是商戶收到了失敗處理結(jié)果;如果商戶收到了成功處理應(yīng)答，但是持卡人的銀行卡卻沒有發(fā)生金額變化，都會造成單邊帳、引發(fā)市場混亂。

看似目前的線下支付POS終端每天也有很多的差錯處理交易，但是多可以通過系統(tǒng)的差錯處理來解決。然而一旦黑客在互聯(lián)網(wǎng)上攻擊手機客戶端和商戶二維碼設(shè)備，都可以篡改支付結(jié)果，支付過程將不可控。持卡人手機中的處理結(jié)果若與后臺不一致，如何處理?

線下支付場景中，除了POS、自助終端，電話POS終端、音頻口POS終端等創(chuàng)新設(shè)備與支付方式不斷涌現(xiàn)，最終還是要遵循行業(yè)的監(jiān)管，并符合相關(guān)業(yè)務(wù)規(guī)則與技術(shù)標(biāo)準(zhǔn)。而二維碼支付完全突破了這些底線，處于“裸奔”狀態(tài)。

最后，不得不說，支付寶和財付通兩家公司將央行的紅頭文件搬上互聯(lián)網(wǎng)，本身就是信息安全泄密事件，如果互聯(lián)網(wǎng)創(chuàng)新一定要擺脫行業(yè)的監(jiān)管、產(chǎn)業(yè)的質(zhì)疑，過度地強調(diào)便利、抹殺公眾的知情權(quán)，這樣的創(chuàng)新只會讓信息安全事件成為社會焦點，也會擾亂市場的發(fā)展。