移动支付安全过程中的二维码病毒安全问题研究

毕业论文移动支付安全过程中的二维码病毒安全问题研究系（部、中心）名称信息技术系专业名称电子商务二一五年五月毕业论文原创性声明本人郑重声明所呈交的论文是本人在老师的指导下独立进行研究所取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承担。学生签名日期20年月日毕业论文版权使用授权书本毕业论文作者完全了解学校有关保留、使用论文的规定，同意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权湖南女子学院可以将本论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本论文。本论文属于1、保密，在年解密后适用本授权书。2、不保密。（请在以上相应方框内打“”）学生签名日期20年月日指导教师签名日期20年月日摘要移动电子商务随着电子商务发展起来,它是电子商务发展的新形式,日益成为电子商务发展研究的热点,已经成为国民经济和社会信息化的重要组成部分。二维条码弥补了一维条码面临的容量限制问题，具有可靠性高、信息量大、保密防伪等优点，而且可以用来表示多种文字、图像信息。同时，与其他自动识别技术如射频技术、磁卡技术、光学字符识别技术相比，二维条码也具有识别能力强、速度快，抗干扰，成本低等优势。随着我国信息技术的迅速发展和市场经济的不断完善，国内对二维条码这一新技术的需求与日俱增。本文的研究内容是二维条码QR码的研究与应用。首先简要介绍了国内外QR二维码的研究情况，然后详细阐述了其编码和解码过程的原理和方法。其次，针对失真、倾斜的QR码图像，本文提出了一种基于仿射变换快速识别QR码的图形处理方法。移动电子商务虽然发展迅速,但安全问题却是制约其发展的重要因素,这关系到商务系统能否正常运行。本文总结了国内外移动电子商务安研究现状,特别关注了存在二维码中的病毒，并进行了分析和叙述。关键词电子商务；支付；安全；二维码；病毒目录毕业论文原创性声明2毕业论文版权使用授权书21绪论411课题背景42移动支付的特点425QR码的介绍926QR码的图形特征93手机支付的主要架构模式的解决方案现状1131传统手机网银支付的链接1132基于第三方账户的支付方式1133手机外设读卡器模式124解决移动支付安全的建议1241完善无线网络的建设，提高网络的安全系数1242增强系统性能和用户网络使用安全意识1243保护相关物件和个人信息1344规范运营商经营标准，完善法律法规13参考文献14致谢141绪论11课题背景随着网络技术的快速发展,人们已经不再满足于个人电脑的连线上网,越来越多的个人希望随时随地收发电子邮件，查阅新闻，股票信息，手机支付,真正实现移动互联,这就促使移动电子商务成为电子商务发展的又一个新方向。作为一种新的电子商务模式,移动电子商务的迅速发展引起了关注。电子商务E一BUSINESS,E一COMERCR从英文的字面意思上看就是利用现在先进的电子技术从事各种商业活动的方式“电子商务可以通过多种电子通讯方式来完成“简单的,比如你通过打电话或发传真的方式来与客户进行商贸活动,似乎也可以称作为电子商务但是,现在人们所探讨的电子商务主要是以ED工电子数据交换和INTERNET来完成的“尤其是随着INTBRNET技术的日益成熟,电子商务真正的发展将是建立在INTERNET技术上的“所以也有人把电子商务简称为ICINTERNETCOMMERCE“2移动支付的特点21移动支付的内涵根据移动支付论坛MOBILEPAYMENTFORUM的定义，移动支付是指进行交易的双方以一定信用额度或一定金额的存款为了某种货物或者业务通过移动设备从移动支付服务商处兑换得到代表相同金额的数据，以移动终端为媒介，将该数据转移给支付对象，从而清偿消费费用进行商业化交易的支付方式。移动支付的终端可以是手机、具备无线功能的PDA、移动PC、移动POS机等。移动支付实施的基础是金融电子化。这是移动支付广义的定义。移动支付狭义上的定义也称之为手机支付，就是允许用户使用其移动终端（通常是手机）对所消费的商品或服务进行账务支付的一种服务方式。单位或个人通过移动设备、互联网或者近距离传感直接或间接向银行金融机构发送支付指令产生货币支付与资金转移行为，从而实现移动支付功能。移动支付将终端设备、互联网、应用提供商以及金融机构相融合，为用户提供货币支付、缴费等金融业务。移动支付主要分为近场支付和远程支付两种，所谓近场支付，就是用手机刷卡的方式坐车、买东西等，很便利。远程支付是指通过发送支付指令（如网银、电子银行、手机支付等）或借助支付工具（如通过邮寄、汇款）进行的支付方式，如掌中付推出的掌中电商，掌中充值，掌中视频等属于远程支付。22移动支付的基本特点和分类移动支付综合了移动设备和电子支付技术的各种优点，提供了随时随地的支付服务，与其他支付手段相比，移动支付的主要特点表现在以下几个方面1账户管理的方便性。这是移动支付区别于银行卡支付的最重要的特点。随着智能手机普及率的提高，用户可以方便的通过手机使用移动互联网，随时查看自己的账户余额、交易记录等信息，管理自己的移动支付账户。同时，减少了去银行办理业务的时间花销。个人账户方便性也因此成为移动支付区别于银行卡支付的重要特点。2资金账户的安全性。作为电子商务最重要的支付环节，移动支付直接涉及用户和运营商的资金安全。尽管与PC设备的用户相比，移动设备的隐私性在一定程度上保障了支付的安全。另外，与目前的银行磁条卡相比，移动支付采用的高安全级别的智能卡芯片具有更高的安全性。但是多个报告的数据显示，消费者关注的仍是电子支付的安全性。所以，支付安全是移动支付的核心问题之一。3可移动性。移动设备因其小巧轻便，能够随身携带，在通信顺畅的情况下，用户能够随时随地完成整个支付过程，且交易时间成本较低。4服务的综合性。移动支付为用户提供了移动电子商务的远程支付功能，能够满足用户基本的生活缴费、账户转账以及小额充值等需求，服务辐射面广。移动支付可以从以下几个方面进行分类根据不同的使用场景，移动支付可以分为近场移动支付和远程移动支付。近场移动支付指以手机为载体，然后通过手机与读写器近距离识别进行信息交互，为用户提供身份认证渠道和支付功能的移动支付产品，通过RFID近场通信方式完成支付行为。例如用户在线下实体商店中，通过在设备上刷手机的方式进行商品与服务的购买。远程移动支付指手机用户通过短信、手机上网等方式，使用手机账户实现各种生活缴费、商务购物等支付功能的移动支付产品。按照不同的产品形态，移动支付可以分为手机银行、手机钱包、终端POS机、手机一卡通等类别。按照支付额度大小，可以分为小额支付和大额支付。小额支付是指交易在100元以下的业务，它适用于内容服务，如下载音乐或游戏等。小额支付业务注重交易的方便性和迅速性。大额支付是相对于小额支付，是相对于小额支付而发生的数额较大的支付行为，比如在线购物等，大额支付更注重交易的安全性。23移动支付的安全问题1无线网络自身的安全问题移动电子商务依托的数据传输是无线网络，数据的传输信道是一个开放性信道。相对于有线网络而言，无线网络传输的数据更容易被拦截和破解，黑客只需要利用适当的接收设备就能进行无线监听。移动支付现有的身份验证方式大多是通过给手机发送短信验证码或者使用动态密码令牌。一旦通信被窃听，用户的账号、密码和手机号码等数据就可能被窃取，黑客即可通过劫持金融机构向用户发出的验证指令到自己手机上非法进行资金转移。2软件病毒造成的安全威胁目前，“国内外对智能手机平台上的安全问题研究并不成熟，而手机病毒无论是数量还是种类都增长迅速，其破坏力和影响力也与日俱增，给当前的智能手机持有者带来越来越多的困扰”。病毒可以利用图片、文字和音频等的下载，电子邮件和短信的发送、二维码的扫描等方式传播。病毒运行往往会造成用户系统及软件运行异常（停止运行、关闭和崩溃等）、终端硬件运转异常，进而导致数据泄露和恶意吸费等问题。针对电子商务的软件病毒主要将目标锁定在移动支付上。据腾讯手机管家安全专家统计，支付类病毒的特征含有静默联网的占6109，其次是默默删除短信的占3730，默默发送短信的占3010，读短信的占1974。另外还有包含子包、静默安装、默默卸载等特征的病毒。手机支付病毒能够窃取支付宝、网银、微信支付的账号和密码，直接给移动支付用户造成财产损失。近年来二维码扫描流行，一些用户缺乏使用网络的安全意识和警惕性，随意扫描二维码。有些二维码隐藏病毒，被扫描后会让终端立即中毒或留下潜在的威胁，一旦时机成熟，不法分子就会发起攻击，进入用户的终端系统。3移动终端的安全问题移动终端因其被个人随身携带，所以容易出现终端的丢失和被窃。因为移动支付的前提一般是终端与银行卡、信用卡绑定或手机SIM卡与POS机靠近链接，所以移动终端的丢失会对用户的财产安全造成较大的威胁。如果用户信息泄露，不法分子还可能冒充商家对用户进行诈骗。移动终端自带操作系统存在的漏洞也为移动支付带来安全隐患。2013年，360互联网安全中心针对目前较受欢迎的9大品牌、18种典型型号的安卓智能手机进行了漏洞研究，研究的结果是ANDROID手机操作系统的漏洞平均有20个，最少的有3个漏洞，最多的有40个。移动智能终端操作系统作为一类软件，不可避免地存在大量已知或未知的系统安全漏洞，攻击者可利用这些安全漏洞对终端用户发起远程攻击，如破坏用户终端功能、恶意吸费、窃取终端信息等，甚至可以将用户终端组成僵尸网络攻击移动互联网。4运营管理机制和操作中的漏洞移动电子商务发展的迅速态势和美好前景让许多人看到商机，互联网上因此集中涌现出众多移动电子商务平台。而平台运营商的经营能力和管理机制良莠不齐，用户很难甄别这些平台的真伪和优劣。如果运营商对商务平台的经营经验不足，或者在平台的开发过程中缺少一定的技术安全思考和控制经验，或者平台的运营管理机制不健全，那么，交易的安全风险就难以控制。其次，电子商务工作人员的素质和职业道德也影响移动支付的安全程度。工作人员如果缺乏职业道德，泄露、贩卖用户的个人信息和平台的交易信息就是对移动电子商务交易安全的一种威胁。目前，我国还没有专门针对移动电子商务方面的法律、法规。而现有的法律法规并不完全适用移动电子商务，移动电子商务交易纠纷的解决方法在法律上还不甚清晰。24二维码病毒在移动支付上的危害与防范随着4G的到来，微信在人们生活中的广泛应用，随之二维码也火起来了我们每天都拿着手机扫那个矩形小框框，只要用手机摄像头对着这个小方块“扫”一下，就能够读取更多的数据信息和应用服务，二维码的使用还使得商品流通追溯更加便捷，对于商品防伪和食品安全来讲都具有重要意义。其实什么事情都是有弊有利的，二维码在给我们的生活带来许多方便的同时，也给我们许多困扰那么，究竟何在使用中存在哪些安全隐患应如何去防范呢近年来，随着二维码的兴起和广泛应用，由于其制作和发布没有门槛，借助二维码传播恶意网址、发布手机病毒等不法活动也逐渐多了起来。最近，央视曝光了二维码“吸费”骗局，其安全使用问题引起了人们的广泛关注。据专家介绍，虽然二维码本身不会携带病毒，但很多病毒软件可以利用二维码下载。由于二维码技术已经发展得很成熟，“门槛”比较低，不法分子利用二维码生成器，就可以按照自己的意愿，制作二维码，在其中暗藏陷阱。来自相关网络安全监测机构的调查显示，目前二维码技术正成为手机病毒、钓鱼网站传播的新渠道，被不法分子所利用。当用户扫描完毕之后，它直接链接至一个钓鱼网站，或者是一个木马程序，比如伪装成银行信用卡的网站，或恭喜用户中奖，要求输入账号、密码等个人信息，让用户不知不觉中招，扣话费、消耗上网流量等问题随之而来。业内人士指出，二维码就像是一件糖衣，它本身只是一个载体，并不带病毒，但带毒网站穿上这件华丽又神秘的衣裳，很容易通过伪装来欺骗用户。二维码之所以会发生恶意吸费、诈骗等行为，主要有以下原因一是生成方式简单，内容无人审核二是暗藏木马等病毒，一些不法分子会将有毒或带插件的网址生成一个二维码，对外宣称为优惠券或视频等，以诱导用户进行扫描。而这种专门针对手机上网用户的诈骗手段，多是采用强制下载、安装应用软件等方式，达到获取推广费用或恶意扣费的目的三是用户防范意识不足，部分人出于好奇，看到二维码后，马上拿起手机扫一扫，却忽视了安全问题。不要见码就扫，当心背后有风险业内人士提醒消费者，应该为手机安装二维码检测工具，并养成良好的使用习惯，对于不正规网站提供的二维码与街边发放单上的二维码，应抱有警惕心理，不要见码就扫。目前，部分网站上线了二维码支付通道，扫描二维码就可以实现购物和支付，十分便捷，但消费者在使用手机支付功能时，要看清网站域名，不要轻易点击反复自动弹出的小窗口页面如果用手机和银行卡绑定，不要在这张卡内储存过多资金，避免发生连锁反应。要注意选择发布二维码的平台。一般来说，报纸、杂志等正规出版刊物上的二维码和知名品牌包装上的二维码相对安全，而在网站、微博上发布的不知来源的二维码不要轻易扫描。另外，扫描二维码后，如果遇到一打开就会自动下载安装软件的二维码链接，就更需要警惕了，当它提示下载时，不要轻易点击确认、下载安装。如果是通过二维码来安装软件，在安装好后，先用杀毒软件扫描后再打开，以确保安全。25QR码的介绍QR码最早是由日本DENSO公司于1994年9月研制的一种矩阵二维码符号，它具有一维条码所具有的识别功能以及其它二维条码所具有的信息容量大、可靠性高、可表示汉字及图象等各种文字信息、保密防伪性强等优点。QR码中的“QR”指的是QUICKRESPONSE的缩写，即快速响应。顾名思义，这种二维码能够快速被读取。与之前的条形码相比，QR码还能存储更丰富的信息，包括对文字、URL地址和其他类型的数据加密。在2000年6月，QR码对应的ISO国际标准ISO/IEC18004获得批。根据DENSOWAVE公司的网站资料，QR码是属于开放式的标准，QR码的规格公开，而由DENSOWAVE公司持有的专利权益，则不会被执行。除了标准的QR码之外，还存在一种被称为“微型QR码”的条形码，是QR码标准下的缩小版本，主要是为了无法处理较大型扫描的应用而设计。微型QR码同样有多种标准，最高可储存35个字元。26QR码的图形特征由于QR码不再使用线性扫描的方式工作，而是使用CMOS摄像头或者CCD扫描仪进行二维码图像的采集工作。由于二维码具有很高的纠错能力，所以二维码图像采集设备甚至能直接对液晶屏幕上显示的QR码进行扫描、识别，但是位于屏幕上的条码上方时容易因采集设备的红外光源在屏幕上的反光而影响识别，所以在识别过程中的图像预处理的鲁棒性决定了QR码识别率的高低。QR码呈正方形，只存在黑色和白色两种模块。在正方形的4个角存在3个，印有较小的类似“回”字的的图案，分别位于左上、右上、和左下角，如图11所示。这3个图像的主要功能是为了帮助解码软件快速的定位QR码的图像区域，使得图像采集器不需要精确的对准QR码，无论以任何角度扫描，QR码仍可正确被读取识别。图1二维码的组成部分QR码比其他二维码相比，具有识读速度快、数据密度大、占用空间小的优势。QR码的三个角上有三个寻象图形，使用CCD识读设备来探测码的位置、大小、倾斜角度、并加以解码，实现360度高速识读。图2QR码和一维码的比较二维码目前已成为移动互联网和O2O的关键入口。随着电子商务企业越来越多地进行线上线下并行的互动，二维码已经成为电子商务企业落地的重要营销载体。二维码在电商领域的广泛应用，结合O2O的概念，带给消费者更便捷和快速的消费体验，成为电商平台连接线上与线下的一个新通路，对于产品信息的延展，横向的价格对比，都有帮助。因此快速识别QR二维码是识别系统的关键性功能。在ANDROID平台上识别流程图如图3所示打开摄像头扫描二维码显示扫描结果是否成功识别是否图33手机支付的主要架构模式的解决方案现状二维码支付手段在国内兴起并不是偶然，形成背景主要与我国IT技术的快速发展以及电子商务的快速推进有关。IT技术的日渐成熟，推动了智能手机、平板电脑等移动终端的诞生，这使得人们的移动生活变得更加丰富多彩。与此同时，国内电商也紧紧与“移动”相关，尤其是O2O的发展。有了大批的移动设备，也有了大量的移动消费，支付成本就变得尤为关键。因此，二维码支付解决方案边应运而生。随着二维码应用的兴起，中国的各个互联网公司和商业银行都在二维码支付领域进行了深入的研究，并在实际应用中建立了自己的体系架构，具体来说主要有三种思路31传统手机网银支付的链接用户使用软件，对二维码进行扫描，并发送解码信息给远程服务器，等待远程器返回一个含有网银支付的链接，然后点击可以实现网页完成支付。这种方式实际上仍然是分割了二维码应用的下单和支付的过程，两者没有紧密的联系起来。另外，随着二维码生成软件的快速发展，一些黑客也会通过制作一些含有特定内容的二维码，引导用户进入钓鱼网银页面，会让用户在大意中损失钱财或泄漏信息。32基于第三方账户的支付方式以支付宝公司等为代表的，提出了基于账户的移动支付体系。即商户和顾客都预先需要安装相关的软件，注册账号。基于支付宝账户的二维码支付流程图，它要求交易双方均在线，用户的付款二维码，是商家获得收款的凭证。条码支付是为微小电子商务商户提供的一种快捷的现场支付解决方案，免去买卖双方现金交易的繁琐。但结合如今的二维码订单业务来看，实际上有一个生成扫描生成再扫描的过程，仍旧比较繁琐，并没有完全发挥出二维码购物时间和空间上灵活、便利的特点，加之付款在银行体外运行安全，以保证对计算机木马病毒及各类诈骗的防范到位，现阶段在还没有有效解决上述问题的情况下广大的个人客户对该方式认可度不高。33手机外设读卡器模式美国的手机外设读卡器SQUARE模式，通过信用卡刷卡支付，快速完成手机支付。国内类似的支付产品有乐刷，盒子支付等、如盒子支付采用的QRPOS，是一种通过手机识别带刷卡信息的二维码，直接利用插在手机盒子上的刷卡器完成的刷卡支付，或者说足用手机替代了传统的POS机。盒子支付主要步骤的优点是不需要用户开通网银或者其他的第三方支付账户，只需要用手机拍下消费二维码就可以完成刷卡购物。但他的缺点是需要携带银行卡，不能仅依靠手机，另外加密信息需要增强，比如刷卡时磁条信息的保护，及通信的双向加密，目前只支持单向加密等。4解决移动支付安全的建议41完善无线网络的建设，提高网络的安全系数为了保证无线网络数据传输的安全性，首先以企业和客的实际需求和移动应用的要求来制订安全策略，建立一个强大、安全的商务平台。为保证数据传输的完整性，可采用加密技术来保证数据不被泄露。加密技术常用的有数字签名技术和身份认证技术，还可引入WPKI技术。将PKI安全机制引入到无线网络中，形成WPKI安全技术，能为各种无线网络上的应用提供加密和数字签名等安全服务，从而保护移动用户的合法信息（账户、密码等）不受侵犯，满足移动电子商务的安全性要求。42增强系统性能和用户网络使用安全意识为了防止终端中毒，手机、平板电脑等可以安装防火墙和杀毒软件。同时，用户应具备网络安全意识，规范操作手机，不给手机越狱不给手机乱装软件不随便打开陌生人发来的文件、邮件、短信和网络连接等。除了病毒，近年来“手机恶意软件的爆炸式增长和多起个人隐私泄露，使得手机安全引起高度重视”。因此，用户不能贪图小便宜下载来源不明的软件，特别是在下载支付应用客户端时，必须在官方网站操作。扫描二维码时，需要确认二维码提供者，一旦发现异常，立即中止操作。在使用SD卡等内存卡交换数据时，注意防止病毒感染。此外，技术生产商需要加大对移动终端设备安全性的思考，研发安全性能较好的操作系统。43保护相关物件和个人信息在公共场合谨慎保