篇1:对电子支付安全的认识
电子商务支付安全分析
130403140孟然
全球经济发展正在进入信息经济时代,21世纪是个信息化的世界,信息交换在21世纪已经渐渐成为一种趋势,同时,有专家预测电子商务是未来25年内世界经济发展的一个重要推动力,其产生的作用甚至可以与200年以前工业革命对经济发展的促进作用相媲美。正像江泽民主席在APEC第六次领导人非正式会议上指出的那样:“电子商务代表着未来贸易方式发展的方向,其应用推广将给各成员带来更多的贸易机会。”与传统商务模式相比,电子商务将对人类社会生活产生重大影响,也必将对我国传统产业的改造和提升发挥积极的推进作用。随着电子商务的发展,在网上进行商品的交换越来越成为一种趋势,同时随之而来的是电子商务网上支付问题的以及安全问题的产生,研究这个课题有助于对电子商务以及安全问题有一个体系的了解,同时提高对网上支付的安全意识。
1.2研究背景
电子 商务作为一种新型网上在线贸易方式,使 企业 与消费者摆脱了传统的商业中介的束缚,但是电子商务交易中最为重要的环节一一网上支付,其安全问题依然是阻碍电子商务快速 发展 的瓶颈之一。首先给出现有的网上支付工具及其特点,然后对现阶段网上支付的安全问题进行了分析,最后提出了解决这些安全问题的若干对策。
电子商务的发展现状
中国电子商务研究中心数据显示,截止到2012年底,中国电子商务市场交易规模达7.85万亿人民币,同比增长30.83%。其中,B2B电子商务交易额达6.25万亿,同比增长27%。而2011年全年,中国电子商务市场交易额达6万亿人民币,同比增长33%,占GDP比重上升到13%;2012年,电子商务占GDP的比重已经高达15%。预计2013年我国电子商务规模将突破十万亿大关。
中国电子商务研究中心数据显示,截止到2012年底,中国网络零售市场(包括B2C和C2C)交易规模突破1万亿大关,达13205亿元,同比增长64.7%,占到社会消费品零售总额的6.3%。而2011年全年,网络零售市场交易额达8014亿人民币,同比增长55.98%,已占到了社会消费品零售总额的4.4%
网上支付系统的构成
基于互联网的电子交易支付系统由客户、商家、认证中心、支付网关、客户银行、商家银行和银行网络七个部分组成。
商家是指向客户提供商品或服务的单位或个人。在电子支付系统中,它必须能够根据客户发出的支付指令向金融机构请求结算,这一过程一般是由商家设置的一台专门的服务器来处理的。
一般是指利用电子交易手段与企业或商家进行电子交易活动的单位或个人。它们通过电子交易平台与商家交流信息,签订交易合同,用自己拥有的网络支付工具进行支付。1.4.3支付网关
支付网关是完成银行网络和因特网之间的通信、协议转换和进行数据加、解密,保护银行内部网络安全的一组服务器。它是互联网公用网络平台和银行内部的金融专用网络平台之间的安全接口,电子支付的信息必须通过支付网关进行处理后才能进入银行内部的支付结算系统。不过2013年淘宝的支付体系里面可以实行快捷支付,没有通过银行网关,在一定程度上是增加了支付安全的风险。1.4.4认证中心
认证中心是交易各方都信任的公正的第三方中介机构,它主要负责为参与电子交易活动的各方发放和维护数字证书,以确认各方的真实身份,保证电子交易整个过程的安全稳定进行。目前比较大型和具有知名度的第三方认证中心是支付宝,财付通。1.4.5客户银行
客户银行是指为客户提供资金账户和网络支付工具的银行,在利用银行卡作为支付工具的网络支付体系中,客户银行又被称为发卡行。客户银行根据不同的政策和规定,保证支付工具的真实性,并保证对每一笔认证交易的付款。1.4.6商家银行
商家银行是为商家提供资金账户的银行,因为商家银行是依据商家提供的合法账单来工作的,所以又被称为收单行。客户向商家发送订单和支付指令,商家将收到的订单留下,将客户的支付指令提交给商家银行,然后商家银行向客户银行发出支付授权请求,并进行它们之间的清算工作。
网上支付安全问题
在网上进行交易是都很关心的问题,交易直接涉及到我们的银行卡或者其他支付方式里面的金额问题,必须在交易中保证交易双方的金额安全,那么造成网上交易安全的威胁来自哪些方面呢?或者说是有什么漏洞造成这些安全问题的发生
硬件方面
电子商务的基础是网络,没有网络,信息流就不会流通,当然谈不上电子商务,而网络的物理支撑是各种硬件设施,这些硬件设施会由于各种原因带来安全风险。硬件安全问题虽然发生的概率不大,但是一旦发生,其影响巨大。
一旦发生将会给有关企业和个人造成巨大影响和严重经济损失 软件方面
交易网络的形成不仅需要计算机硬件设备,更需要相应的软件,各种软件是网络运行所必需,也是电子商务的另一个支撑点。由于技术方面或者人为方面的原因,各种软件都会存在不可避免的缺陷和漏洞,而且目前软件的多样性和复杂性,在使用中也会有突现各种问题,导致电子商务系统中存在技术误差和安全漏洞。比如,个别软件可能会因为自身的缺陷,在某些的情况下,可能造成系统运行故障。应用方面
第一点 企业管理水平低,人员素质不高
电子商务在最近几年飞速发展,专业的电子商务人才得不到及时充分的补充,缺乏足够的技术来处理所遇到的各种问题。许多企业技术人员的技术水平较低,不能完全胜任所承担的工作。同时企业对电子商务的管理也处于一个摸索前进的阶段,综合管理的水平不高,处理事务的效率低下。这些因素都会导致电子商务带交易的安全隐患。第二点 消费者相关知识贫乏,安全意识不高
从总体上讲,电子商务这种新型的购物方式最近今年才的到普及,广大消费者对于他还比较陌生,缺乏相应的知识,还不能十分熟练的应用这一新的交易手段,有操作失误的导致等安全隐患存在。例如:有的消费者缺乏安全意识,不注意保护自己支付密码等关键重要信息,容易导致资金损失等;有的消费者对真假信息判断能力差,容易上当受骗;有的消费者对网络交易的流程不够了解,容易导致操作失误等。技术方面的对策 数据加密。
数据加密被认为是电子商务最基本的安全保障形式,可以从根本上满足信息完整性的要求,它是通过一定的加密算法,利用密钥(Secret keys)来对敏感信息进行加密,然后把加密好的数据和密钥通过安全方式发送给接收者,接收者可利用同样的算法和传递过来的密钥对数据进行解密,从而获取敏感信息并保证网络数据的机密性。4.1.2数字签名
数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个散列值(或报文摘要),发送方用自己的私钥对这个散列值进行加密来形成发送方的数据签名。然后,这个数据签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出散列值(或报文摘要),接着再用发送方的公钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方 的。通过数字签名能够实现对原始报文完整性的鉴别和不可抵赖性。4.1.3安全协议
在国际上,比较有代表性的电子支付安全协议有SSL和SET。SSL(安全槽层)协议是由Netscape公司研究制定的安全协议。通俗地说,SSL就是客户和商家在通信之前,在Internet上建立了一个“秘密传输信息的信道”,来保障传输信息的机密性、完整性和认证性。该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议在应用程序进行数据交换前通过交换SSL初始握手信息来实现有关安全特性的审查。SSL协议运行的基点是商家对客户信息保密的承诺。客户的信息首先传到商家,商家阅读后再传到银行。这样,客户资料的安全性便受到威胁。另外,整个过程只有商家对客户的认证,缺少客户对商家的认证。在电子商务的初始阶段,由于参加电子商务的公司大都信誉较好,这个问题没有引起人们的足够重视。今后随着越来越多的公司参与电子商务,对商家的认证问题也就越来越突出,SSL的缺点就会逐渐暴露出来,SSL协议也就逐渐被新的SET协议所代替。4.2法制方面的对策
4.2.1 加强社会信用机制建设。
法律为保障网上支付必须推动社会信用制度的建立。发达的商业社会对社会包括个人的信用有着很高的要求,并通过一系列公开透明的制度来维护和保
篇2:对电子支付安全的认识
网络开辟出了一条信息化的经济渠道,通过电子支付的方式进行网上经济活动。
电子安全支付系统是电子商务发展的重要基础,电子支付安全性受到社会的广泛关注。
但是,由于网络环境的特殊性,支付系统的安全性成为其发展的关键问题。
1电子支付现状
目前来看电子支付方式是适应于电子商务支付的,整合了网络、环境与人的经济平台结合。
与传统经济贸易相比,经济流程发生了巨大的改变,通过通信设备与网络平台完成了商业交易。
随着经济的发展,银行业务的功能需求也相应的增加。
比如,银行信用卡、理财产品、保险业务等,这些业务的有效开展是多方联合的,需要银行与保险公司、证券公司等单位合作,这种合作方式涉及网络互联问题。
银行业务在国民经济命脉中占有主导地位,区别于其他单位业务范围,其安全侧重点也大不相同,这样可能导致银行网络受互联合作单位的安全威胁。
因为其他单位的网络防御系统可能存在漏洞,一旦有攻击者通过这些薄弱环节远程进入银行网络,其后果是不可想象的。
随着信息技术的拓展,推动了银行业务的全国联网形式,对电子支付形成了一定程度的隐患影响,因为联网形式就代表一家同类银行出现网络漏洞,其他银行的电子支付安全也将面临严重的威胁。
2电子支付安全风险分析
电子支付安全风险是指攻击者针对网络环境的脆弱性,盗取资产或者损害他人经济利益的行为,是一种潜在的经济风险,电子支付的关键问题是确保其安全性。
21电子支付内部人员隐患
电子支付主要是通过网络平台进行经济交易,网络为电子商务奠定发展基础,因此两者是相互关联的。
由于网络具备广泛、自由等特点,其涉及的领域也是全球性的,所以银行等金融行业的恶意入侵事件较为严重。
目前,银行安全隐患事件中,有70%来自银行内部人员,这表明了一种现象――银行内部安全体系的构建较为紧迫。
还有,电子支付隐患也包括网络管理安全的隐患。
管理安全涉及两方面,分别是制度和技术的问题,如果制度不健全,员工职业操守薄弱,那么就会相应地发生管理风险,从而产生一定的经济风险问题。
因此说,健全管理是保证安全支付系统的关键因素,要加强管理的执行力度,不给员工留下犯罪漏洞。
22电子支付风险形式
电子支付被人们接受的同时,其支付安全也成为关注的焦点问题。
基于网络平台的开放性,为电子支付埋下了安全隐患。
比如,一些非法人员通过攻击手段获取、篡改电子商务信息,或者非法占有用户的服务资源。
篇3:电子支付的安全手段
一、一般性的安全措施防御
银行交易服务器是网上的公开站点, 网上银行系统也使银行内部网向互联网敞开了大门。因此, 如何保证网上银行交易系统的安全, 关系到银行内部整个金融网的安全, 这是网上银行建设中最至关重要的问题, 也是银行保证客户资金安全的最根本的考虑。为防止交易服务器受到攻击, 银行主要采取以下三方面的技术措施:
1. 设立防火墙, 隔离相关网络
一般采用多重防火墙方案。其作用有二:
·分隔互联网与交易服务器, 防止互联网用户的非法入侵。
·用于交易服务器与银行内部网的分隔, 有效保护银行内部网, 同时防止内部网对交易服务器的入侵。
2. 高安全级的Web应用服务器
服务器使用可信的专用操作系统, 凭借其独特的体系结构和安全检查, 保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理。
3. 二十四小时实时安全监控
随着支付安全技术的发展, 智能风险实时监控也被越来越广泛地应用。风险控制系统会对每笔交易进行过滤, 保障用户的安全, 支付公司一定要从不同的环节, 从应用和用户业务层面去捕捉漏洞, 这比仅仅在技术底层捕捉漏洞更加重要。比如龚某接到了自称是税务部门工作人员的电话, 说要给他退税, 请他提供个人信息。没有及时识破骗子的把戏, 最终银行卡上的4万元被龚先生稀里糊涂地汇出, 汇到了骗子的快钱账户中。然而, 快钱对于大额资金往来有严密的实时监控, 他们很快发现龚先生的银行账号出现了异地大额交易等特殊情况, 于是第一时间给龚先生打了电话确认, 在得知龚先生受骗后, 快钱随即将相关资金冻结。
如果支付宝发现一个账户先在北京登录, 10分钟后又在上海登录使用, 那也会马上给你打电话核实。风险实时监控系统会通过数据分析、数据挖掘等技术进行学习并与一般用户正常行为特征进行比对, 发现异常的或有风险的操作行为, 根据风险级别不同进行不同的处理。同时辅助人工核查, 最大限度防控网上支付风险。
二、用户的身份识别和CA认证
网上交易不是面对面的, 客户可以在任何时间、任何地点发出请求, 传统的身份识别方法通常是靠用户名和登录密码对用户的身份进行认证。但是, 用户的密码在登录时以明文的方式在网络上传输, 很容易被攻击者截获, 进而可以假冒用户的身份, 身份认证机制就会被攻破。
在网上银行系统中, 用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。用户的登录密码以密文的方式进行传输, 确保了身份认证的安全可靠性。
数字证书的引入, 同时实现了用户对银行交易网站的身份认证, 以保证访问的是真实的银行网站, 另外还确保了客户提交的交易指令的不可否认性。
在这些技术手段之外, 还有监管部门这只看不见的“大手”来保护用户的支付安全, 光大银行在全国22个城市启动了网络缴费金融服务平台, 光大银行规划与风险管理处负责人张晓红表示, 监管机构对网上银行业务有包括多因素双信道等诸多要求在内的一整套技术要求来确保安全, 而在第三方支付平台方面, 目前各家也主要参照监管部门对银行的要求进行安全风险控制, 而随着央行《支付清算组织管理办法》的出台, 对第三方支付平台的安全要求还将进一步加强。
三、数字签名等加密协议进一步保障了支付安全
SSL是国际上最早应用于电子商务的一种网络安全协议。它最初是由网景公司设计开发, 其目的主要是提高应用程序之间的数据的安全性。该协议涉及所有的TCP/IP应用程序, 主要提供以下方面的服务:确信数据将被发送到正确的客户机和服务器上;对被传送的数据进行加密;在传输的过程中维护数据的完整性。
但是, SSL协议是在互连网电子商务初期阶段发展起来的, 它的基点是商家对客户信息保密的承诺, 因此有利于商家而不利于客户, 其最大的缺点是客户资料的不安全性。而且, SSL是一个面向连接的协议, 只能提供交易中客户与服务器间的双方认证, 而且, 在涉及多方的电子交易中, SSL协议并不能协调各方间的安全传输和信任关系, 因此, 为了实现更加完善的电子交易, Master Card和Visa以及其它一些业界厂商制订并发布了SET协议。
SET (安全电子交易) 协议的出现克服了SSL协议的缺陷, 对商家和客户两方面的数据安全都给与了充分的考虑。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。目前公布的SET正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准, 其交易形态将成为未来“电子商务”的规范。
目前, 在SSL协议及SET协议之上, 不同实力的第三方支付企业亦选择了实力雄厚的技术伙伴。以环迅支付为例, 其于年前就与上海迅通科技有限公司达成协议, 成为战略合作伙伴关系, 而上海迅通科技有限公司是Geo Trust中国地区的分销商, 全球著名认证中心Veri Sign的全资子公司, 为国内诸多的银行及电子商务网站提供SSL证书服务。目前全球已经有150多个国家, 超过10万家企业正在使用Geo Trust数字证书, 这也将最终成为环迅树立支付行业技术壁垒的最大资本。
参考文献
[1]周晓:第三方支付主体的法律性质的思考[J].电子商务, 2010, (02) :47-49[1]周晓:第三方支付主体的法律性质的思考[J].电子商务, 2010, (02) :47-49
[2]王开宇:电子支付:跨越“三重门”[J].中国计算机用户, 2010, (Z2) :21[2]王开宇:电子支付:跨越“三重门”[J].中国计算机用户, 2010, (Z2) :21
[3]王开宇:跨越“三重门”, 攀登新高峰[J].电子商务, 2010, (02) :11[3]王开宇:跨越“三重门”, 攀登新高峰[J].电子商务, 2010, (02) :11
篇4:电子支付的安全漏洞
除了新的技术,其他电子支付方式也同样面临危险,各种新的攻击手段层出不穷,被操纵的自动柜员机(ATM)、被破解的银行终端、隐藏在QR码背后的钓鱼网站,支付危险越来越多。那么我们该如何应对这些危险呢?
NFC:钱是这样被偷走的
NFC是由RFID(Radio Frequency Identification)演变而来的技术,所有数据都存储在一个小型的RFID芯片中,芯片上的信用卡数据是未经加密的,任何人都可以轻松读取其中的数据。在华盛顿的黑客大会上,黑客克里斯汀佩吉特介绍了盗取NFC信用卡号码和到期时间的方法,而现如今只需在智能手机上安装适当的应用程序就可以捕获这些数据。为了测试相关的技术是如何盗取NFC芯片中的信用卡数据的,我们在支持NFC技术的三星Galaxy Nexus手机上安装了相应的应用程序,并尝试收集编辑部人员的信用卡数据。实践证明,在手机和信用卡直接接触的情况下,我们可以轻松地获得信用卡的数据。不过,我们知道,根据NFC的ISO标准,读取设备完全可以在100mm的距离内读取数据,而不需要接触。
与此同时,我们也发现了一个值得庆幸的事情,那就是存储在NFC芯片上的一个重要信息,信用卡的3位数字CVV(信用卡验证值)代码没有能被盗取。因此,如果小偷要利用偷来的NFC信用卡数据在互联网上消费,那么他只能够在一些不要求输入CVV验证代码的网店上使用。因此,NFC芯片数据被盗的风险并不比在网上或在餐厅中使用信用卡大,我们在购物站点上消费时所提供的信用卡数据远比NFC芯片泄漏的要多。在餐厅,我们需要将信用卡交给商家,商家可以盗取包括CVV验证代码在内的所有数据,甚至还可以复制我们的信用卡。唯一不同的是盗取NFC信用卡数据的攻击者可以不用接触我们的信用卡,这加大了我们保护信用卡数据的难度。
要避免陌生人读取信用卡的数据,有一个简单的技巧,那就是用一个金属防护罩或铝箔屏蔽配备NFC芯片的银行卡。而要彻底避免可能因NFC芯片泄漏数据而产生的信用卡被盗用风险,则只能够依赖金融机构对于商家的规范化管理,例如确保信用卡必须在验证CVV代码之后方可使用。以往,国内大部分金融机构与国外的金融机构一样,用户无需为信用卡被盗用的损失负责,但是2012年法院出现判定持卡人必须为信用卡被盗用负部分责任的案例,在金融机构没有改变这种试图让持卡人为此负责的做法之前,是否应该拒绝使用NFC信用卡以避免可能存在的风险是一个值得深思的问题。
中继攻击:NFC攻击的明天
以色列特拉维夫大学的两名研究人员进一步揭示了无线通信支付方式的危险。按照研究人员的介绍,使用他们的中继攻击法,可以盗用NFC信用卡的所有数据,即使卡和读卡器之间使用了强大的身份验证和加密算法。
所谓的中继攻击,就是用一个自制的读卡器和假卡来实现攻击。黑客可以在被害人和银行终端之间通过中继器传输信用卡的数据,实时盗用被害人的信用卡数据进行交易。一个想象中的攻击场景:小偷接近一个带有NCF芯片信用卡的人,读卡器激活信用卡并将数据转发到附近的假卡上,并在同一时刻使用假卡冒充真卡进行交易。
据研究人员的介绍,中继攻击最大的困难是使用读卡器激活被攻击者身上的信用卡,因为根据相关的ISO标准规范,读卡器的有效读取距离只有100mm。不过,研究人员已经克服了这一困难,他们通过增强读卡器的发射信号强度,将有效读取距离加大到了500mm,并能通过软件过滤产生的干扰,实现了近乎完美的远距离数据传送。读卡器与假卡之间的数据传输距离可以长达50m,黑客可以在较远处的消费场所盗用被害人的信用卡数据进行消费。
幸好,目前这种攻击仍然只存在于技术层面上,因为它必须在NFC芯片的信用卡被广泛使用之后才可能出现。然而,这种方法让我们不难预见,未来NFC支付方式可能存在的危险有多高。
在线服务:窃取数据更容易
攻击在线服务站点是获得用户信息更简单的途径,只需要成功侵入一个网站的数据库,即可获得数以十万计的用户姓名、电子邮件、账户数据和信用卡号码。而大部分人在其他网站上也会使用同样的账号和密码,或者使用相关的信息作为网站取回密码的验证信息。因此攻击者可以通过收集到的信息,轻松地进入许多大型购物网站和电子支付站点的账户,获得这些账户里的钱。
在攻击者对入侵在线服务站点的兴趣越来越浓厚的同时,各大网站被黑客入侵,泄漏大量用户数据的丑闻也在频频发生。时至今日,泄漏用户数据的网站名单已经很长,而其中也包含大量国内的中文站点。基本上,用户在线存储的信用卡资料完全没有安全可言,许多在线服务站点在没有能力保护服务器安全的同时,也没有妥善地保护用户的个人信息。索尼公司的游戏站点在被黑客攻击之后,泄漏的不仅仅是用户的账户名和密码,甚至还包括用户的信用卡数据。该公司将这些对于用户来说万分重要的数据以未加密的形式存储在服务器上,唯一受到保护的仅有信用卡的CVV验证代码。
除了入侵网站数据库以外,攻击者还有许多方法可以盗取用户的个人信息,例如很多人所熟知的钓鱼邮件。
QR代码:图形化的恶意代码
对于钓鱼邮件或者钓鱼网站的链接,有经验的用户可以在鼠标指向链接时,在状态栏中观察链接的实际地址并发现可疑的蛛丝马迹,但是通过QR代码(二维码)隐藏的图形化链接,由于无法直接查看,所以即使有经验的用户也可能会毫无防备地打开。类似的攻击对于经验不足的用户将更加有效,在用户通过一个QR代码打开一个网站时,会更容易被带到一个钓鱼网站上。这并非危言耸听,2011年年底,安全公司卡巴斯基实验室已经在许多网站上发现了隐藏恶意代码的QR码。
国外电子支付服务站点PayPal也使用QR码来引导手机用户进行消费,开发人员清楚这些代码可能存在的危险。PayPal的QR代码只能用于官方的iOS和Android应用程序,这看起来似乎很安全。但其实危险仍然存在,因为智能手机本身可能存在病毒或者恶意软件,这对于智能手机来说并不是什么新鲜事。而在智能手机本身可能被窃取数据和控制的情况下,通过手机处理和操作一切数据都不再有任何安全性可言。
智能手机:刷卡的风险
智能手机的病毒与恶意软件除了可能影响QR码的应用安全以外,也会影响其他通过智能手机操作和验证的电子支付服务。
PayPal的“PayPal Here”以及国内的“卡拉卡”等电子支付方式允许用户在智能手机上通过麦克风端口连接一个读卡器,并安装相应的应用程序,让任何人都可以随时随地刷卡和接受他人的信用卡付款。这种电子支付方式极大地扩展了信用卡的使用范围,为许多用户提供了方便。但是类似的设备除了可能被滥用以外,还为攻击者提供了更多的机会,因为智能手机是很容易被操纵的,而恰恰绝大部分智能手机用户对于系统以及相关安全知识都一无所知。
攻击者只需要在智能手机系统的后台运行一个恶意软件,即可随意地复制刷卡信息。只要智能手机存在漏洞,这一原本极具吸引力的电子支付功能将变得非常危险。因而,如果无法确定智能手机的安全性,那么就需要谨慎地考虑是否使用类似的支付方式。
略读器:读取银行卡
磁条缺乏安全性是众所周知的事情,它已经被定位为落后过时的技术,但是时至今日大部分的信用卡和储值卡仍然必须依赖它。为了盗取银行卡磁条中的数据,攻击者使用被称为“略读”攻击的手段,在自动取款机上安装所谓的略读器来读取磁条信息。为此,许多银行正开始升级他们的自动取款机,例如使用被称为“蛙嘴”的特殊形状银行卡插入口,或者在银行卡插入插槽时增加抖动和抽搐的动作,让攻击者难以在卡槽上安装略读器,或者即便已经安装了略读器也无法正常地读取磁条。此外,银行逐渐加强了内部的安全机制,因而自动提款机的略读器攻击已经变得越来越少见了。根据银行所获得的信息,目前“略读”攻击已经逐渐从银行的自动取款机转移到超市等设备相对落后的地方。
此外,欧洲以及国内的许多金融机构,正开始推广集成EMC芯片的银行卡以取代使用磁条的银行卡,但是由于许多终端设备仍未更新换代成支持EMC的银行卡,因此许多EMC银行卡仍然带有磁条。而且,EMC芯片本身也存在一些安全隐患,早在2010年,剑桥大学的研究人员已经发现了EMC卡可能存在的安全漏洞,能够使用任意的密码验证被盗的银行卡。
在2011年12月1日,在加拿大温哥华的安全会议上,一些研究人员演示了如何通过一个非常薄的略读器窥探EMC卡的密码,不过,由于无法从EMC卡中读取到所有的信息,所以在没有原卡的情况下密码没有任何作用。
黑客远程攻击:破解终端
攻击自动取款机和其他的银行卡终端,通常需要在银行卡的终端设备上安装一个硬件,例如所谓的略读器。不过,柏林的安全研究实验室(SRLabs)的安全专家托马斯罗斯已经发现了一种不需要硬件即可实现攻击的方法,那就是直接入侵银行的终端设备。事实上,银行终端设备使用的系统同样可能存在安全漏洞,甚至它们有的还在使用我们耳熟能详的Windows系统。因而,攻击者只要能够知道终端设备的IP地址,就同样能够通过缓冲区溢出等漏洞攻击银行终端设备。
除此之外,也有一些攻击者通过银行卡读取器等银行终端,利用终端的调试接口直接进行破解。在终端设备被破解的情况下,用户的银行卡信息自然是一览无余,攻击者甚至还可以轻松地改变交易的内容,变更交易金额和窥探银行卡的密码。而对于用户来说,类似的攻击根本防不胜防。幸好,在银行终端被入侵导致用户银行账户出现问题时,金融机构很难将责任归咎于用户。
银行如何追查诈骗案
银行大多不愿意透露他们是如何保护自己免受攻击和发现数据窃贼的,根据安全专家提供的有限信息,金融机构安全专家通常会积极地与执法部门合作,尽快地发现可能存在的危险。银行通常采用自主研发的监控系统,实时收集系统内的各种交易信息,并有大量的人员专门负责从收集到的信息中发现可疑的交易。例如一个客户的信贷额度耗尽,并且这种消费方式和速度与其以往的习惯不同,在有疑问的情况下,银行通常会尽快联系客户确认其账户的安全。
如果出现几个存在共同点的案件,安全专家将尽快分析案件,找出其共同点和出现问题的原因。例如检测结果可能显示案件皆出现在加油站旁的某一台终端上,那么该终端设备可能被操纵。不过,根据银行安全专家的介绍,目前,大约75%的案件源自互联网,通常此类案件很难排查,更难以根除。
保护自己免受攻击
使用预付费卡
如果只是偶尔进行在线付款,那么使用预付费卡替代信用卡是比较好的选择,即使出现问题,我们损失的也只是卡内的有限资金。
保护:自动柜员机(ATM)、网上服务。
检查链接和QR代码
邮件中的链接必须仔细检查后才可以访问,鼠标停留在链接上时我们可以看到链接的真实地址。而QR码则需要专用的应用程序才能够检查其真实性,例如“Barcode Scanner”和“BeeTagg QR Reader”。
保护:在线服务、网上银行、本地数据。
电脑和手机都必须使用最新的防病毒软件
只有最新的防病毒软件才能够保护我们,除此之外,我们还必须为电脑准备能够恢复系统的救援光盘,例如“Sardu tool”(www.sarducd.it)。
保护:在线服务、网上银行、本地数据。
开启短信确提醒
开启所有银行和电子支付服务的短信提醒功能,确保在银行和电子支付账户资金出现变动时,能够在第一时间知道并及时进行处理。
保护:自动柜员机(ATM)、网上服务、网上银行。
使用多个密码和邮件地址
包含敏感信息的网上服务决不使用通用的密码,而且尽可能不要和其他网站使用同一个电子邮箱作为用户名,避免在电子邮箱受到攻击时波及其他网站的账户。
保护:在线服务。
处理意外事故
冻结银行卡
提前了解冻结银行卡需要的手续与注意事项,以便在银行账户出现异常时,能够在第一时间冻结账户资金,确保将损失降到最小。
信用卡盗刷
了解自己所使用的信用卡被盗用时的责任认定标准与追诉期限,在期限内定时检查信用卡对账单,及时发现并追回被盗资金。
使用电子支付服务的安全服务
检查自己所使用电子支付服务能够提供哪些额外的安全服务,开通一切能够增加安全性的服务,并提前了解账户被盗或者出现异常时的解决方法。
使用电子支付移动证书
支付宝等电子支付服务可以申请支付盾,这是一种存储在硬件上的移动证书,这样即使我们支付宝账户被盗,也不会损失任何资金。
窃贼如何盗用NFC卡
小偷接近一个带有NFC芯片信用卡的人,读卡器激活信用卡并将数据转发到附近的假卡上,再使用假卡以真卡的数据进行交易。
难以发现的略读器
EMC略读器背面是存储数据的零部件,略读器的正面与EMC的芯片接触。略读器是如此之薄,可以安装于各种银行卡插槽上,轻松读取插入的银行卡的密码。
带震动功能的宽阔插槽
银行为解决略读器的问题,会采用特殊设计的银行卡插槽。
破解终端设备
安全专家发现部分银行终端设备存在漏洞,通过漏洞可以渗透进终端,甚至能够通过互联网上的恶意软件进行操作。在德国大约有30万的银行终端设备受到影响。
安全监测
Targobank的安全监测系统,能够监控所有的交易,在出现可疑情况时发出警报。
境外购物支付方式
篇5:电子商务支付与安全
(1)原因:涉嫌信用卡诈骗(2)如何办理信用卡
首要清楚一点,信用卡分为:普卡和金卡
区别在于:信用评分的高低和所提供的财力证明文件等综合因素(是发何种卡的重要因素)
举例来说:首先办卡要提交申请表,和收入证明文件,身份证明文件,居住地址证明文件,简称:一表三书。
个人信用卡是由银行发行专供个人使用的一种非现金结算工具。它集存款、贷款及结算等各种功能于一体,给人们的生活带来许多方便。
申领个人信用卡时,申请人应先到发卡行领填《信用卡申请表》,然后持本人居民身份证,连同有关资料一并送交发卡行。发卡行审查合格后,再通知申请人来行开立“信用卡准备金账户”,账户起存金额1000元,多存不限,银行按活期存款利率计付利息。另外,还要找一个担保人担保,或以交保证金的形式代替,保证金不得低于5000元,以定期存款利率计付利息。当上述手续办完后,申请人即可领到一张个人信用卡。
使用个人信用卡时,应注意以下事项:个人信用卡只供本人使用,不得出租或转借(包括账户)。在异地支取现金,须付银行1%的手续费。如取款过多,而账户内又无足额存款时,可电话通知家人,到发卡行存入相应款项之后再取款。否则,也可按规定透支,透支限额一般金卡为10000元,银卡为5000元。透支期限最长为60天,透支利息自即日算起,15日内日息为5‰0,超过15日日息为10‰0,超过30日或透支超过上述规定限额的,日息为15‰0。往异地大额付款时,应提供收款人的开户银行户名及帐号,同时向银行支付5‰0的手续费,但最多不超过500元。每张卡使用期限为一年,每年须向银挂失手续,并如实提供有关情况,以免造成不必要的经济损失。行交管理费10元,期满后如需要继续使用,应及时办理换卡手续,否则将自动失效。信用卡要妥善保管,如不慎遗失,应立即持本人身份证或其它有效证明,就近向发卡银行或代办银行申办挂失手续,并如实提供有关情况,以免造成不必要的经济损失
2.根据上述案例,你认为银行在办理信用卡,信用卡消费还款等方面,应该怎样进行管理监督?
为建立商业银行信用卡业务经营管理的统一监管标准,防范风险,维护持卡人的合法权益,引导商业银行信用卡业务持续支持国民经济平稳较快增长,银监会制定了《商业银行信用卡业务监督管理办法》。
(1)在信用卡业务退出机制方面,明确要求商业银行应采取提请审批、提前3个月公告、有效处置问题、避免突然中止服务等措施,以充分保护持卡人合法权益。
(2)在规范营销行为方面,从营销材料、人员管理、面谈面签、信息披露、保密义务、资料保存备查6个方面明确了监管要求,对单一采用发卡量计件提成的考核方式、片面介绍业务信息、隐瞒重要信息等行为做出了禁止性规定,充分保障申请人的合法权益。
(3)在激活用卡方面,规定信用卡未经持卡人激活,不得扣收任何费用(持卡人以书面、客服电话录音、电子签名方式单独授权扣收的费用、以及换卡时已形成的债权债务关系除外)。
(4)在加强对年轻消费者和学生消费者的保护方面,禁止对18周岁以下未成年人发卡(附属卡除外),并从初始额度、调整额度、落实第二还款来源、充分告知、用卡教育等方面加强对年轻消费者和学生消费者的保护。
(5)在规范超限额用卡服务方面,发卡银行提供超限额用卡服务、收取超限费等行为必须事先获得持卡人授权,在得到授权之前必须提供关于超限费收费形式和计算方式的通知,并明确告知持卡人具有撤销授权的权利,一个账单周期内不得重复收取超限费。
(6)在催收管理方面,除明确催收管理规则以外,对不当催收行为做出了禁止性规定。对商业银行处理持卡人因特殊原因导致偿还能力下降的情况作出了创新性安排
(7)对特约商户进行现场调查和资质审核,并不定期回访和巡查,及时采取风险控制措施,纠正特约商户违规行为
篇6:电子商务支付手段安全性分析
[摘要] 电子支付手段是电子商务的核心环节,是其成败的关键,本文主要讨论了电子商务的几种不同的支付方式,并对各种不同的支付方式的安全性进行了分析。 [关键词] 电子商务支付手段安全一、前言电子商务全球化的发展趋势中,电子商务交易的信用危机也悄然袭来,虚假交易、假冒行为、合同诈骗、侵犯消费者合法权益等各种违法违规行为屡屡发生,这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康发展。限制电子商务的发展主要因素就是电子支付手段的安全性。二、主要的电子支付手段及其安全性分析1.电子信用卡 (1)支付方式:信用卡支付是电子支付中最常用的工具,方法是在Internet环境下通过标准的SET协议进行网络支付,用户在网上发送信用卡号和密码,加密后发送到银行进行支付。 支付过程中要进行用户、商家及付款要求的合法性验证。 (2)安全策略:电子信用卡,是通过用户在网上输入账号/密码+数字签名,这些信息都是通过SET或者SSL协议的支付网关平台直接与银行进行相关支付信息的安全交互,进行网络支付,这种支付方式的安全性是可以得到保证的。 (3)安全隐患:单纯从技术上来说,无安全隐患问题。2.电子支票 (1)支付方式:电子支票是利用数字化手段进行网上支付,支付过程与传统支票的支付过程相似,只是电子支票完全抛开了纸质的媒介,其支票的形式是通过网络传播,并用数字签名代替了传统的签名方式。其交易流程如下: (2)安全策略:和电子信用卡一样,采用账号/密码+数字签名的方式进行身份验证。 其支付目前一般是通过专用网络、设备、软件及一套完整的用户识别、标准报文、数据验证等规范化协议完成数据传输,从而控制安全性,从上面的交易流程,我们可以看到,电子支票的支付在专用系统上有可靠的安全措施的。 (3)安全隐患:专用网络上的应用具有成熟的模式(例如SWIFT(环球银行金融通讯协会、Society for Worldwide Interbank Financial Telecommunication)系统);公共网络上的点的资金转账仍在实验之中。3.电子现金 (1)支付方式:电子现金是一种以数字化形式存在的现金货币,它同信用卡不一样,信用卡本身并不是货币,只是一种转账手段,而电子现金本身就是一种货币,是一种以数据形式存在的现金货币。它把现金数值转换成为一系列的加密序列数,通过这些序列数来表示现实中各种金额的币值。可以直接用来购物。电子现金具有如下特点:匿名;节省交易费用;支付灵活方便;安全存储。 (2)安全策略:没有适当的身份认证机制,是匿名的.,为防止被伪造,电子现金的传输是经过数字签名的。 (3)安全隐患:①逃税:由于电子现金可以实现跨国交易,税收和洗钱将成为潜在的问题。电子现金不像真实的现金一样,流通时不会留下任何记录,税务部门很难追查,所以即使将来调整了国际税收规则,由于其不可跟踪性,电子现金很可能被不法分子用以逃税。 ②洗钱:电子现金使洗钱也变得很容易。因为利用电子现金可以将钱送到世界上的任何地方而不留痕迹,如果调查机关想要获取证据,需要检查网上所有的数据并破译所有的密码,这几乎是不可能的。目前惟一的办法是建立一定的密钥托管机制,使政府在一定条件下能够获得私人的密钥,而这又会损害客户的隐私权,但作为预防洗钱等违法行为的措施,许多国家已经开始了这种做法。 ③扰乱金融秩序:电子现金的法律地位一直难以确定。这是因为按照货币的实质和网络无国界性来推断,各国中央银行的地位都将受到挑战,因为任何一个有实力、有信誉的全球性公司,都可以发行购买其产品或服务的数字化等价物,从而避开银行的繁琐手续和税收。而这会扰乱一国的金融秩序,任何国家都不会允许。 ④重复消费:由于电子序列号可以被复制,因此需要一个大型的数据库存储用户完成的交易和E-Cash序列号以防止重复消费,这对于软件和硬件的要求都很高,因此很多银行都不支持电子现金业务。4.移动支付 (1)支付方式: 移动支付系统将为每个移动用户建立一个与其手机号码关联的支付账户,为移动用户提供了一个通过手机进行交易支付和身份认证的途径。用户通过拨打电话、发送短信或者使用WAP功能接入移动支付系统,移动支付系统将此次交易的要求传送给MASP,由MASP确定此次交易的金额,并通过移动支付系统通知用户,在用户确认后,付费方式可通过多种途径实现,如直接转入银行、用户电话账单或者实时在专用预付账户上借记,这些都将由移动支付系统来完成。 (2)安全措施:身份验证方式采用个人账号/密码的方式。对交易中的部分敏感信息进行了加密。 (3)安全隐患:①抵赖行为:手机支付的加密方式只是加密了交易过程的部分内容,没有考虑交易双方相互的身份认证和交易的不可否认性,必须把SET协议数据加密模型引入到手机支付电子商务支付手段安全性分析中。②手机本身的安全性:手机支付还有其他的问题:大部分手机不具有用户身份认证模块,运算能力低,速度慢,不合适使用数字水印,由于不能进行很好的加密,而且手机信息传输是无线的,所以目前手机支付就存在比较大的安全隐患。三、结论以上所有的支付方式,都不能完全保证支付的安全性,因为协议本身也有不安全的因素。为了更进一步的加强支付的安全性,必须提供更好的中介服务来支持,用户预定商品后,向中间机构支付现金或者支票,卖家把货物送到中间机构,中间机构检测卖家货物是不是符合要求,再把货物转给买家,买家确认后,付款给卖家,这样,更好的保证买方的利益。尽管电子支付还存在很多问题(其中主要是安全和信任问题),但作为电子商务的中心环节,其发展趋势是不可阻挡的,关键是从立法和技术两方面进行逐步完善。
篇7:对电子支付安全的认识
一、简答(15 分)、简述什么是电子商务(7 分)、电子商务的概念模型由哪些要素组成?(8 分)
二、问答(15 分)、电子商务系统涉及哪些人员和组织?(7 分)、电子商务的安全保密技术包括哪些方面?(8 分)
三、名词解释(30 分)、什么是电子转账系统?(7 分)、什么是数据加密?(7 分)、什么是数据库管理系统?(8 分)、什么是 OLTP ?(8 分)
四、分析(24 分)、分析论述万维网与数据库系统的关系。(8 分)、什么是网上银行?为什么说随着电子商务的发展,网上银行的发展是必然趋势?(8 分)、分析论述数字签名的原理。(8 分)
五、论述(16 分)、论述电子支票的定义,交易过程。(8 分)、论述电子支票支付的特点。(8 分)参考答案
一、简答(15分)
1、简述什么是电子商务(7分)
答:对于电子商务的定义,不同的人强调不同的侧面。
从狭义角度,电子商务是指个人和企业之间、企业和企业之间、政府与企业之间及企业与金融业之间利用网络和计算机提供的通信手段所进行的商品交易活动。主要是指利用网络与计算机进行的钱和物的交易。从这个角度讲,可称电子商务为电子交易或电子贸易。
从广义角度讲,电子商务是指在全球或内部网络环境下,利用网络技术和信息技术,在世界范围内进行并完成的各种事务活动。这就不仅包含钱和物的交易,更强调信息的流动和管理,包括企业内部、企业与企业之间、企业与客户之间、企业与政府、银行之间、个人与银行之间等各个方面。
2、电子商务的概念模型由哪些要素组成?(8分)
答:电子商务的概念模型由交易主体、电子市场 EM(Electronic Market)、交易事物和信息流、资金流、物流等基本要素构成。
二、问答(15分)
1、电子商务系统涉及哪些人员和组织?(7分)
答 : 电子商务系统涉及到的人员和组织主要有:
• 客户(购物者、消费者)
• 供货方(商家、商户、电子商城)• 银行(金融单位)
• 认证中心(CA: Certificate Authority)
• Internet服务提供商(ISP)或电子商城(网关)服务中心
• 配送中心或货物运输公司
2、电子商务的安全保密技术包括哪些方面?(8分)
答:电子商务的安全保密技术包括:计算机病毒防治技术;网络防火墙技术;网络入侵检测系统;数字签名技术;身份认证技术; CA(Certification Authority)技术等
三、名词解释(30分)
1、什么是电子转账系统?(7分)答:电子转账系统是银行同客户进行数据通信的工具,是一种利用计算机和通信线路组成的电子银行系统,一般具有支付功能和信息服务功能,用户可以通过它传输同金融交易有关的电子资金和相关数据信息。
2、什么是数据加密?(7分)
答:数据加密是利用数学原理,采用计算机科学中的软件方法或硬件方法来重新组织信息,使得除了合法的接收者外,任何人要想恢复原来的消息或读懂变化后的信息是非常困难的。
3、什么是数据库管理系统?(8分)
答:数据库管理系统(DBMS)是为了数据库的建立、使用和维护而配置的软件。它建立在操作系统的基础上,对数据库进行统一的管理和控制。
4、什么是OLTP?(8分)
答:在运行操作数据库中,对数据库的访问以大量、简单、可重复使用的例行短事物为主,如民航售票、银行出纳是其典型代表,这种数据库应用称为联机事物处理(on-line transaction Processing, 简称为 OLTP)。
四、分析(24分)
1、分析论述万维网与数据库系统的关系。(8分)
答:万维网与数据库系统都是当今数据管理的主要手段。数据库是一个单位或应用领域的模拟和运行、决策的依据。但是,随着社会的信息化和各种媒体的数字化,人们发现数据库管理的数据仅是信息世界的一个很小部分。而万维网以其简单、开放和可扩充性好的特点填补了这方面的空白。万维网与数据库系统不是取代关系,而是互相结合、互相补充。
2、什么是网上银行?为什么说随着电子商务的发展,网上银行的发展是必然趋势?(8 分)
答:网上银行——也称网络银行、在线银行是指利用 Internet、Intranet 及相关技术处理传统的银行业务及支持电子商务网上支付的新型银行。
• 网上银行在电子商务中的地位——网上银行所提的电子支付服务是电子商务中最关键要素和最高层次。
• 网上银行的特点(优点)j 全球化、无分支机构 k 开放性与虚拟化 l 智能化 m 创新化 n 运营成本低 o 亲和性增强
• 网上银行的功能: j 银行业务项目、家庭银行、企业银行、信用卡业务、各种支票、国际业务、信贷、特色服务 k 商务服务:提供资本市场、投资理财和网上购物等子功能 l 信息发布:国际、国内外汇行情对公利率、储蓄利率、汇率、证券行情等金融信息以及行史、业务范围、服务项目、经营理念等。
• 网上银行的安全保障: j 支付网关 k 安全措施采用各种有效加密技术与安全认证体系、防火墙和严格的安全管理制度最大限度地保证了电子交易的安全。
总而言之,在知识经济、网络时代来临之际,作为电子商务发展的重要依托的网上银行必然成为未来银行发展的趋势。
3、分析论述数字签名的原理。(8分)
答:数字签名的原理描述如下: • 被发送文件用 SHA 编码加密产生固定长度的数字摘要;
• 发送方用自己的私用密钥再对数字摘要进行加密,从而形成了数字签名;
• 将原文和加密的数字摘要同时传给接收方;
• 接收方利用发送方的公共密钥对数字摘要进行解密,同时对收到的文件用 SHA 编码加密又产生一个新的数字摘要;
• 将解密后的数字摘要与在接收方重新加密产生的新的数字摘要相互进行对 比。如果两者一致,则说明传送过程中信息没有被破坏或者没有被篡改,否则就会出现问题。
五、论述(16分)
1、论述电子支票的定义,交易过程。(8分)
答:将传统支票改变为带有数字签名的报文或者利用数字电文代替支票的全部内容(其中包含支付人姓名、支付人金融机构名称、支付和账户名、被支付人姓名、支票金额),就是电子支票。电子支票的功能与纸张支票一样也是通知银行进行资金转账。这个通知也是先给资金的接受者,然后资金的接受者将支票送到银行以得到资金。电子支票的签注者可以通过银行的公共密钥加密自己的账户号码以防止被欺诈。
电子支票交易的过程可分以下几个步骤:
• 消费者和商家达成供销协议并选择用电子支票支付。
• 消费者通过网络向商家发出电子支票,同时向银行发出付款通知单。
• 商家通过验证中心对消费者提供的电子支票进行验证,验证无误后将电子支票送给银行索付。
• 银行在商家索取付款时通过验证中心对消费者提供的电子支票进行验证,验证无误后即向商家兑付或转账。
2、论述电子支票支付的特点。(8分)
篇8:基于WAP的安全电子支付研究
随着无线通信与互联网的整合, 无线上网已是时势所趋, 而WAP (Wireless Application Protocol, 无线应用协议) 无疑是目前最热门的话题。随着2.5G和3G网络的商用部署, 无线网络的带宽将得到质的改善和提高, 也将带动基于无线网络的电子商务的发展。目前, 通过无线支付主要涉及一些小额付费业务, 如电话费/网费、电话卡、月杂费和证券交易服务费等, 除此之外, 还将会有更多的付费业务成为可能。无线电子支付是开展无线电子商务的必备条件, 而WAP是无线终端访问无线信息服务的全球标准, 所以基于WAP的电子支付安全性问题也越来越受到人们的关注。
二、WAP技术
WAP是在无线终端和互联网之间进行通信的开放性全球标准。它由一系列协议组成, 用来标准化无线通信设备, 可用于互联网访问, 包括收发电子邮件摘要、访问WAP网站上的页面等。通过这种技术, 无论在何地、何时, 只要需要信息, 就可以打开WAP手机, 享受丰富多彩的网上信息和资源, 如新闻、天气预报、股市行情、经济动态、电子商务、网上银行等。
WAP网络结构由三部分组成 (如图1所示) :WAP网关、WAP移动终端和WAP内容服务器, 这三方面缺一不可。其中, WAP网关起着协议的翻译作用, 是联系无线网络和Internet的桥梁;WAP内容服务器存储着大量的信息, 以提供WAP手机用户进行访问、查询、浏览等。图1表明了WAP的网络结构和内容传输过程:当用户从移动终端键入要访问的WAP内容服务器的URL后, 信号经过无线网络, 以WAP协议方式发送请求至WAP网关, 然后经过翻译再以HTTP协议方式与WAP内容服务器交互, 最后WAP网关将返回的内容压缩, 处理成二进制流返回到用户的移动终端。
三、电子支付的安全性问题及其解决方案
(一) 电子支付的现状及其特点
所谓电子支付 (Electronic Payment) , 是指以电子商务为商业基础、以商业银行为主体, 为网上交易的客户提供的电子结算手段。与传统的支付方式相比, 电子支付具有以下特点。
1. 电子支付采用先进的技术, 通过数字流转来完成信息传输和款项支付;而传统的支付方式则是通过现金的流转、票据的转让以及银行的汇兑等物理实体来完成款项的支付。
2. 电子支付的工作环境是互联网这样一个开放的平台;而传统支付则是在较为封闭的系统中运作。
3. 电子支付具有方便、快捷、高效、经济的优点。用户只要拥有一台能够上网的计算机, 便可足不出户, 在短时间内完成整个支付过程。
(二) 电子支付所面临的安全问题
由于Internet是一个开放的网络, 任何一台计算机、任何一个网络都可以与之相连。于是, 一些别有用心的组织、个人或黑客经常在网络上寻求机会, 窃取别人的各种机密。目前, 电子支付结算流程面临的安全问题主要有以下几个方面。
1. 支付过程中参与各方身份认证的问题。
2. 支付数据信息, 如购物信息、支付账号、密码等在网络传送过程中的保密性问题。
3. 支付数据的完整性问题。利用网络支付系统进行支付时, 支付流程中购物订单、支付金额、交易时间等都有被窜改的可能。
4. 支付行为的不可抵赖性问题。
如支付方并没有支付金额却坚持说已经支付, 收款方已经收到货款却矢口否认, 这样的行为如果发展下去, 会给电子支付的信用体系造成毁灭性的打击。
(三) 电子支付的安全技术
在电子支付的信息传输过程中, 怎样才能达到使机密信息难以被泄漏已经成为信息安全领域的研究热点。针对上述几个方面的问题, 我们对涉及的相关安全技术进行简单的介绍。
1. 电子支付系统对参与支付流程的各方进行有效身份验证的问题, 常采用WPKI方式解决。
2. 支付数据信息保密性的安全问题, 常用加密方式进行解决。
3. 支付数据完整性的安全问题, 常用的解决方式是数据杂凑技术。
4. 支付行为不可抵赖性的安全问题, 涉及的安全技术主要有:公开密钥加密体制、HASH函数、数字签名、数字时间戳等。
四、基于WAP的电子支付安全性问题及解决方案
(一) 基于WAP的电子支付安全性问题
基于无线网络的电子商务因为其便捷、灵活的特点而越来越受到人们的欢迎。然而, 无线支付尚未得到广泛普及, 其中的一个主要因素就是无线支付的安全问题。和有线网络相比, 无线数据网络具有更严格的通信环境, 提供的范围和活动也受到一些限制, 具体表现如下:较低的带宽、较高的隐蔽性、网络的不稳定性、功耗受限等。由于移动终端自身设备和应用环境的这些缺点导致了基于WAP的电子支付的不安全性。这些不安全性主要表现在以下几个方面。
1. 移动终端设备性能较差带来的安全问题
基于WAP的移动终端设备相比PC机而言, 具有CPU处理能力较弱、内存更小、功耗受限等缺点, 由此导致传统的基于Internet的身份验证等安全算法无法直接用于保障基于WAP的电子支付行为的安全性。为了适应无线通信环境, 目前的WAP系统中, WAP网关和移动终端之间使用WTLS (Wireless Transport Layer Security) 协议来保障通信安全, 由于WTLS是对TLS进行了适当的缩减而得到的, 因此必定会降低安全级别。
2. 基于WAP的无线网络应用环境带来的安全问题
由于无线网络通信是以无线电广播的方式进行信号的传递, 较传统的Internet网络更容易遭受窃听, 这就对传输数据的保密性、完整性等造成了威胁, 给基于WAP的电子支付带来了新的安全性问题。
3. WAP网关的安全性问题
在基于WAP的信息传输流程中, 移动终端发送到WAP网关的信息经由WAP网关将WTLS格式转化为SSL格式, 即将无线传输的数据格式转换为有线传输的数据格式, 这种转换是由无线通信的高延迟、低带宽传输特点所要求的。在WAP网关处, 进行这种格式转换时是不受加密算法保护的, 因此, 如果WAP网关的管理和安全存在缺陷, 则给基于WAP的电子支付带来安全隐患。
(二) 基于WAP的安全电子支付解决方案
1. 基于SIM卡的权限验证
SIM卡是移动运营商发行和管理的通信卡片, 每一张SIM卡对应不同的号码, 归属不同的用户, 这是无线支付相对于有线电子支付的优势。在基于WAP的电子支付中, 完全可以利用这个优势来完成对用户的鉴权。
在用户经由无线网络将交易申请及交易密码发送至WAP网关时, WAP网关将此信息转发到认证中心, 认证中心再根据发送申请的SIM卡号自动提取用户的注册信息与交易密码验证, 若验证成功则通知支付系统开始交易, 若验证失败则将失败信息发送至用户移动终端 (如图2所示) 。
这种方式简化了身份认证流程, 避免了机密信息在无线网络上的传输, 既提高了传输速率, 又增强了信息的安全性。
2. 基于反向确认的信息传输
为保障基于WAP的电子支付信息经由无线网络传输之后的完整性, 我们设计了一套基于反向确认的信息传输机制:用户将交易的加密信息传送到WAP网关, WAP网关将得到的信息保存至临时页面中, 并将页面的URL回传到用户的移动终端, 用户通过查看URL页面信息进行确认, 若确认信息无误, 则WAP网关就将信息转发到内容服务器;若发现信息出现错误, 则重复此流程或取消交易。这种基于反向确认的信息传输机制, 有力地保证了用户移动终端发送到WAP网关的信息的完整性。
3. 整合WAP网关与Web服务器
在基于WAP的信息传输流程中, WAP网关将移动终端发送的信息由WTLS格式转化为SSL格式, 这种转换是不受加密算法保护的, 若WAP网关受到了攻击, 则很容易造成信息的泄漏。为保障信息的安全, 我们可以将WAP网关的功能与Web服务器进行整合, 整合后的服务器同时具备了WAP网关的解析功能和原Web服务器的功能。整合后, 新的Web服务器只需要将信息进行一次解密即可, 不仅简化了信息传输流程, 而且提供了基于WAP的电子支付的安全性。
五、结束语
无线网络的安全技术正在日益完善, 多手段、多层次的安全防范措施使得无线网络更加坚固。而3G的到来, 增加了无线带宽, 拓展了无线电子商务领域, 为基于WAP的电子支付提供了更广阔的发展空间, 随着安全问题的逐步解决, 基于WAP的电子支付必将被越来越多的用户采用。
参考文献
[1]张禄林, 雷春娟, 曹晏波, 等.WAP技术及其应用[M].北京:人民邮电出版社, 2001.
[2]葛晓敏, 刘敏, 王少华.电子商务网上支付安全策略的研究[J].电子商务, 2006.
[3]陈芳, 陈朝.WAP中的安全技术研究[J].网络安全技术与应用, 2005.
相关文章:
加强对电力安全生产重要性认识的探讨01-16
最新乡镇副职三年工作总结 乡镇副镇长三年工作总结(13篇)01-16
最新乡镇副书记个人总结(4篇)01-16
5、项目部安全生产资金投入计划01-16
最新乡镇副职工作总结报告 乡镇副职半年工作总结(汇总8篇)01-16
安全管理工作的认识01-16
2025年社区副书记工作总结 乡镇纪检副书记工作总结(模板3篇)01-16
化工生产安全重要性的认识01-16
2025年乡镇副书记工作总结(精选8篇)01-16
