首页 资料文库 期刊中心 杂志订阅 发表指南 个人中心
美章网 精品范文 电子支付的安全范文

电子支付的安全范文

电子支付的安全

电子支付的安全范文第1篇

关键词:

国内网购交易额呈数十倍增长,随之而生的电子支付用户量亦同样不断翻倍。电子支付能帮助企业提高核心竞争力,并最终推动整个社会资金效率的提升。网上银行、手机银行的“账号+密码”登录形式成为网上银行客户端的最薄弱环节,成为黑客盗取网上银行用户资金的主要突破口。目前大多电子支付平台已经连同各大银行机构部署了三个层次的防御,即网上银行交易系统的安全、用户的身份识别和CA认证和数字签名等加密协议。

一、一般性的安全措施防御

银行交易服务器是网上的公开站点,网上银行系统也使银行内部网向互联网敞开了大门。因此,如何保证网上银行交易系统的安全,关系到银行内部整个金融网的安全,这是网上银行建设中最至关重要的问题,也是银行保证客户资金安全的最根本的考虑。为防止交易服务器受到攻击,银行主要采取以下三方面的技术措施:

1、设立防火墙,隔离相关网络

一般采用多重防火墙方案。其作用有二:

·分隔互联网与交易服务器,防止互联网用户的非法入侵。

·用于交易服务器与银行内部网的分隔,有效保护银行内部网,同时防止内部网对交易服务器的入侵。

2、高安全级的Web应用服务器

服务器使用可信的专用操作系统,凭借其独特的体系结构和安全检查,保证只有合法用户的交易请求能通过特定的程序送至应用服务器进行后续处理。

3、二十四小时实时安全监控

随着支付安全技术的发展,智能风险实时监控也被越来越广泛地应用。风险控制系统会对每笔交易进行过滤,保障用户的安全,支付公司一定要从不同的环节,从应用和用户业务层面去捕捉漏洞,这比仅仅在技术底层捕捉漏洞更加重要。比如龚某接到了自称是税务部门工作人员的电话,说要给他退税,请他提供个人信息。没有及时识破骗子的把戏,最终银行卡上的4万元被龚先生稀里糊涂地汇出,汇到了骗子的快钱账户中。然而,快钱对于大额资金往来有严密的实时监控,他们很快发现龚先生的银行账号出现了异地大额交易等特殊情况,于是第一时间给龚先生打了电话确认,在得知龚先生受骗后,快钱随即将相关资金冻结。

如果支付宝发现一个账户先在北京登录,10分钟后又在上海登录使用,那也会马上给你打电话核实。风险实时监控系统会通过数据分析、数据挖掘等技术进行学习并与一般用户正常行为特征进行比对,发现异常的或有风险的操作行为,根据风险级别不同进行不同的处理。同时辅助人工核查,最大限度防控网上支付风险。

二、用户的身份识别和CA认证

网上交易不是面对面的,客户可以在任何时间、任何地点发出请求,传统的身份识别方法通常是靠用户名和登录密码对用户的身份进行认证。但是,用户的密码在登录时以明文的方式在网络上传输,很容易被攻击者截获,进而可以假冒用户的身份,身份认证机制就会被攻破。

在网上银行系统中,用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。用户的登录密码以密文的方式进行传输,确保了身份认证的安全可靠性。

数字证书的引入,同时实现了用户对银行交易网站的身份认证,以保证访问的是真实的银行网站,另外还确保了客户提交的交易指令的不可否认性。

在这些技术手段之外,还有监管部门这只看不见的“大手”来保护用户的支付安全,光大银行在全国22个城市启动了网络缴费金融服务平台,光大银行规划与风险管理处负责人张晓红表示,监管机构对网上银行业务有包括多因素双信道等诸多要求在内的一整套技术要求来确保安全,而在第三方支付平台方面,目前各家也主要参照监管部门对银行的要求进行安全风险控制,而随着央行《支付清算组织管理办法》的出台,对第三方支付平台的安全要求还将进一步加强。

三、数字签名等加密协议进一步保障了支付安全

SSL是国际上最早应用于电子商务的一种网络安全协议。它最初是由网景公司设计开发,其目的主要是提高应用程序之间的数据的安全性。该协议涉及所有的TCP/IP应用程序,主要提供以下方面的服务:确信数据将被发送到正确的客户机和服务器上;对被传送的数据进行加密;在传输的过程中维护数据的完整性。

但是,SSL协议是在互连网电子商务初期阶段发展起来的,它的基点是商家对客户信息保密的承诺,因此有利于商家而不利于客户,其最大的缺点是客户资料的不安全性。而且,SSL是一个面向连接的协议,只能提供交易中客户与服务器间的双方认证,而且,在涉及多方的电子交易中,SSL协议并不能协调各方间的安全传输和信任关系,因此,为了实现更加完善的电子交易,MasterCard和Visa以及其它一些业界厂商制订并了SET协议。

SET(安全电子交易)协议的出现克服了SSL协议的缺陷,对商家和客户两方面的数据安全都给与了充分的考虑。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。目前公布的SET正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准,其交易形态将成为未来“电子商务”的规范。

目前,在SSL协议及SET协议之上,不同实力的第三方支付企业亦选择了实力雄厚的技术伙伴。以环迅支付为例,其于年前就与上海迅通科技有限公司达成协议,成为战略合作伙伴关系,而上海迅通科技有限公司是GeoTrust中国地区的分销商,全球著名认证中心VeriSign的全资子公司,为国内诸多的银行及电子商务网站提供SSL证书服务。目前全球已经有150多个国家,超过10万家企业正在使用GeoTrust数字证书,这也将最终成为环迅树立支付行业技术壁垒的最大资本。

参考文献:

[1]周晓.第三方支付主体的法律性质的思考[J].电子商务,2010,(02):47-49

[2]王开宇.电子支付:跨越“三重门”[J].中国计算机用户,2010,(Z2):21

电子支付的安全范文第2篇

一、一般性的安全措施防御

银行交易服务器是网上的公开站点,网上银行系统也使银行内部网向互联网敞开了大门。因此,如何保证网上银行交易系统的安全,关系到银行内部整个金融网的安全,这是网上银行建设中最至关重要的问题,也是银行保证客户资金安全的最根本的考虑。为防止交易服务器受到攻击,银行主要采取以下三方面的技术措施:

1.设立防火墙,隔离相关网络

一般采用多重防火墙方案。其作用有二:

•分隔互联网与交易服务器,防止互联网用户的非法入侵。

•用于交易服务器与银行内部网的分隔,有效保护银行内部网,同时防止内部网对交易服务器的入侵。

2.高安全级的Web应用服务器

服务器使用可信的专用操作系统,凭借其独特的体系结构和安全检查,保证只有合法用户的交易请求能通过特定的程序送至应用服务器进行后续处理。

3.二十四小时实时安全监控

随着支付安全技术的发展,智能风险实时监控也被越来越广泛地应用。风险控制系统会对每笔交易进行过滤,保障用户的安全,支付公司一定要从不同的环节,从应用和用户业务层面去捕捉漏洞,这比仅仅在技术底层捕捉漏洞更加重要。比如龚某接到了自称是税务部门工作人员的电话,说要给他退税,请他提供个人信息。没有及时识破骗子的把戏,最终银行卡上的4万元被龚先生稀里糊涂地汇出,汇到了骗子的快钱账户中。然而,快钱对于大额资金往来有严密的实时监控,他们很快发现龚先生的银行账号出现了异地大额交易等特殊情况,于是第一时间给龚先生打了电话确认,在得知龚先生受骗后,快钱随即将相关资金冻结。

如果支付宝发现一个账户先在北京登录,10分钟后又在上海登录使用,那也会马上给你打电话核实。风险实时监控系统会通过数据分析、数据挖掘等技术进行学习并与一般用户正常行为特征进行比对,发现异常的或有风险的操作行为,根据风险级别不同进行不同的处理。同时辅助人工核查,最大限度防控网上支付风险。

二、用户的身份识别和CA认证

网上交易不是面对面的,客户可以在任何时间、任何地点发出请求,传统的身份识别方法通常是靠用户名和登录密码对用户的身份进行认证。但是,用户的密码在登录时以明文的方式在网络上传输,很容易被攻击者截获,进而可以假冒用户的身份,身份认证机制就会被攻破。

在网上银行系统中,用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。用户的登录密码以密文的方式进行传输,确保了身份认证的安全可靠性。

数字证书的引入,同时实现了用户对银行交易网站的身份认证,以保证访问的是真实的银行网站,另外还确保了客户提交的交易指令的不可否认性。

在这些技术手段之外,还有监管部门这只看不见的“大手”来保护用户的支付安全,光大银行在全国22个城市启动了网络缴费金融服务平台,光大银行规划与风险管理处负责人张晓红表示,监管机构对网上银行业务有包括多因素双信道等诸多要求在内的一整套技术要求来确保安全,而在第三方支付平台方面,目前各家也主要参照监管部门对银行的要求进行安全风险控制,而随着央行《支付清算组织管理办法》的出台,对第三方支付平台的安全要求还将进一步加强。

三、数字签名等加密协议进一步保障了支付安全

SSL是国际上最早应用于电子商务的一种网络安全协议。它最初是由网景公司设计开发,其目的主要是提高应用程序之间的数据的安全性。该协议涉及所有的TCP/IP应用程序,主要提供以下方面的服务:确信数据将被发送到正确的客户机和服务器上;对被传送的数据进行加密;在传输的过程中维护数据的完整性。

但是,SSL协议是在互连网电子商务初期阶段发展起来的,它的基点是商家对客户信息保密的承诺,因此有利于商家而不利于客户,其最大的缺点是客户资料的不安全性。而且,SSL是一个面向连接的协议,只能提供交易中客户与服务器间的双方认证,而且,在涉及多方的电子交易中,SSL协议并不能协调各方间的安全传输和信任关系,因此,为了实现更加完善的电子交易,MasterCard和Visa以及其它一些业界厂商制订并了SET协议。

SET(安全电子交易)协议的出现克服了SSL协议的缺陷,对商家和客户两方面的数据安全都给与了充分的考虑。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。目前公布的SET正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准,其交易形态将成为未来“电子商务”的规范。

目前,在SSL协议及SET协议之上,不同实力的第三方支付企业亦选择了实力雄厚的技术伙伴。以环迅支付为例,其于年前就与上海迅通科技有限公司达成协议,成为战略合作伙伴关系,而上海迅通科技有限公司是GeoTrust中国地区的分销商,全球著名认证中心VeriSign的全资子公司,为国内诸多的银行及电子商务网站提供SSL证书服务。目前全球已经有150多个国家,超过10万家企业正在使用GeoTrust数字证书,这也将最终成为环迅树立支付行业技术壁垒的最大资本。

参考文献:

[1]周晓:第三方支付主体的法律性质的思考[J].电子商务,2010,(02):47-49

[2]王开宇:电子支付:跨越“三重门”[J].中国计算机用户,2010,(Z2):21

电子支付的安全范文第3篇

除了新的技术,其他电子支付方式也同样面临危险,各种新的攻击手段层出不穷,纵的自动柜员机(ATM)、被破解的银行终端、隐藏在QR码背后的钓鱼网站,支付危险越来越多。那么我们该如何应对这些危险呢?

NFC:钱是这样被偷走的

NFC是由RFID(Radio Frequency Identification)演变而来的技术,所有数据都存储在一个小型的RFID芯片中,芯片上的信用卡数据是未经加密的,任何人都可以轻松读取其中的数据。在华盛顿的黑客大会上,黑客克里斯汀佩吉特介绍了盗取NFC信用卡号码和到期时间的方法,而现如今只需在智能手机上安装适当的应用程序就可以捕获这些数据。为了测试相关的技术是如何盗取NFC芯片中的信用卡数据的,我们在支持NFC技术的三星Galaxy Nexus手机上安装了相应的应用程序,并尝试收集编辑部人员的信用卡数据。实践证明,在手机和信用卡直接接触的情况下,我们可以轻松地获得信用卡的数据。不过,我们知道,根据NFC的ISO标准,读取设备完全可以在100mm的距离内读取数据,而不需要接触。

与此同时,我们也发现了一个值得庆幸的事情,那就是存储在NFC芯片上的一个重要信息,信用卡的3位数字CVV(信用卡验证值)代码没有能被盗取。因此,如果小偷要利用偷来的NFC信用卡数据在互联网上消费,那么他只能够在一些不要求输入CVV验证代码的网店上使用。因此,NFC芯片数据被盗的风险并不比在网上或在餐厅中使用信用卡大,我们在购物站点上消费时所提供的信用卡数据远比NFC芯片泄漏的要多。在餐厅,我们需要将信用卡交给商家,商家可以盗取包括CVV验证代码在内的所有数据,甚至还可以复制我们的信用卡。唯一不同的是盗取NFC信用卡数据的攻击者可以不用接触我们的信用卡,这加大了我们保护信用卡数据的难度。

要避免陌生人读取信用卡的数据,有一个简单的技巧,那就是用一个金属防护罩或铝箔屏蔽配备NFC芯片的银行卡。而要彻底避免可能因NFC芯片泄漏数据而产生的信用卡被盗用风险,则只能够依赖金融机构对于商家的规范化管理,例如确保信用卡必须在验证CVV代码之后方可使用。以往,国内大部分金融机构与国外的金融机构一样,用户无需为信用卡被盗用的损失负责,但是2012年法院出现判定持卡人必须为信用卡被盗用负部分责任的案例,在金融机构没有改变这种试图让持卡人为此负责的做法之前,是否应该拒绝使用NFC信用卡以避免可能存在的风险是一个值得深思的问题。

中继攻击:NFC攻击的明天

以色列特拉维夫大学的两名研究人员进一步揭示了无线通信支付方式的危险。按照研究人员的介绍,使用他们的中继攻击法,可以盗用NFC信用卡的所有数据,即使卡和读卡器之间使用了强大的身份验证和加密算法。

所谓的中继攻击,就是用一个自制的读卡器和假卡来实现攻击。黑客可以在被害人和银行终端之间通过中继器传输信用卡的数据,实时盗用被害人的信用卡数据进行交易。一个想象中的攻击场景:小偷接近一个带有NCF芯片信用卡的人,读卡器激活信用卡并将数据转发到附近的假卡上,并在同一时刻使用假卡冒充真卡进行交易。

据研究人员的介绍,中继攻击最大的困难是使用读卡器激活被攻击者身上的信用卡,因为根据相关的ISO标准规范,读卡器的有效读取距离只有100mm。不过,研究人员已经克服了这一困难,他们通过增强读卡器的发射信号强度,将有效读取距离加大到了500mm,并能通过软件过滤产生的干扰,实现了近乎完美的远距离数据传送。读卡器与假卡之间的数据传输距离可以长达50m,黑客可以在较远处的消费场所盗用被害人的信用卡数据进行消费。

幸好,目前这种攻击仍然只存在于技术层面上,因为它必须在NFC芯片的信用卡被广泛使用之后才可能出现。然而,这种方法让我们不难预见,未来NFC支付方式可能存在的危险有多高。

在线服务:窃取数据更容易

攻击在线服务站点是获得用户信息更简单的途径,只需要成功侵入一个网站的数据库,即可获得数以十万计的用户姓名、电子邮件、账户数据和信用卡号码。而大部分人在其他网站上也会使用同样的账号和密码,或者使用相关的信息作为网站取回密码的验证信息。因此攻击者可以通过收集到的信息,轻松地进入许多大型购物网站和电子支付站点的账户,获得这些账户里的钱。

在攻击者对入侵在线服务站点的兴趣越来越浓厚的同时,各大网站被黑客入侵,泄漏大量用户数据的丑闻也在频频发生。时至今日,泄漏用户数据的网站名单已经很长,而其中也包含大量国内的中文站点。基本上,用户在线存储的信用卡资料完全没有安全可言,许多在线服务站点在没有能力保护服务器安全的同时,也没有妥善地保护用户的个人信息。索尼公司的游戏站点在被黑客攻击之后,泄漏的不仅仅是用户的账户名和密码,甚至还包括用户的信用卡数据。该公司将这些对于用户来说万分重要的数据以未加密的形式存储在服务器上,唯一受到保护的仅有信用卡的CVV验证代码。

除了入侵网站数据库以外,攻击者还有许多方法可以盗取用户的个人信息,例如很多人所熟知的钓鱼邮件。

电子支付的安全范文第4篇

一、“网络钓鱼”的诈骗手段

1.木马病毒窃取账户信息。将木马病毒植入持卡人电脑,窃取账户信息,进而盗取银行卡存款。2009年6月,中国湖南警方也破获了一起中国迄今为止最大的个人网银诈骗案。长沙人李强(化名)利用电子支付的网络安全漏洞,高科技手段,先后窃取市民银行资金40余万元。2007年12月,李强租用了一台网络服务器,并将“网银大盗”和“灰鸽子”程序下载到服务器上,用于接收信息、储存资料和远程控制他人电脑。感染“网银大盗”的电脑运行后,会自动截屏将市民的密码发送到他的服务器上,他再一一将其整理好,逐一盗取。在收缴的证据中,记者看到李强保存在U盘里的账户资料,有300多条个人信息,身份证号、账号、密码、手机号、余额等信息一应俱全。

2.模仿伪造网站。在“网络钓鱼”这一诈骗形式中,犯罪分子往往模仿伪造一些著名的购物网站为“诱饵”。有些钓鱼网站在用户支付时用一个价格更低的链接吸引用户,点击进去支付时会看到一个和正常支付页面完全一样的网页,一旦输入个人信息就会被黑客盗取。这些仿制的网页页面上完全一样,就是域名多一个字母或一个符号,而往往用户不会注意到这些细节。

3.将用户存款转入第三方。有的钓鱼行为将用户存款转入其在第三方支付工具下的帐户并提走。在“网络钓鱼”犯罪中,消费者与第三方支付平台成为了犯罪分子诈骗行为的共同受害者。无论是虚假网上银行地址的一时泛滥,还是木马程序的横行作乱,都表明人们在使用新金融支付体系时面临的安全问题正日益严峻。欺诈风险对整个电子支付产业最大的破坏不仅是金钱上的损失,而是对整个支付产业的信任与信誉的动摇和打击。如今的消费者并不仅仅担心欺诈事件,他们还担心有人会非法使用他们的个人信息。这些担心是真实存在的,也会很大程度上影响消费者的行为甚至是一个国家的金融秩序。

二、电子支付的安全手段

1.加密密钥。对于消费者来说,仅仅是动动鼠标,在键盘上输入几个数字,就完成了一笔电子支付。无论您使用哪家银行的网银,或者使用支付宝这样的第三方电子支付平台提供的服务,在支付宝交易数据的传输中,信息都受到加密密钥长度达128位的高强度加密,而且每次会话所使用的加密密钥都是随机产生的。这样,攻击者就不可能从网络上的数据流中得到任何有用的信息。

2.图形验证。有一些恶意程序是通过不断试算登录密码的方法来猜测网银用户的账户和密码,所以现在在所有银行的交易页面,您都可以看到一张图片,要求您输入图片上的数字和字母,这就是图形验证码,图形验证码通过只能由肉眼识别的异形图文对登录进行再次验证,有效防止非法程序读取信息。

3.数字签名。由于互联网是一个开放的网络,客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,采用协议的方式来实现重要信息在Internet上的传输安全控制,是网络银行安全策略中重要的一环。

三、保障电子支付安全的手段

国内个人支付业务发展潜力巨大,保障电子支付安全是市场发展的迫切需要。

1.发展电子支付安全技术

对于电子支付监管和运营部门,降低新金融风险的第一点是要建设在线安全的支付平台。如何实现安全的在线清算,如何完成运行过程中的业务监督,作为对这种信息安全风险的控制是非常重要的。同时,在我们国家,并不是单纯建一个在线安全支付平台就完成了所有的任务,对于监管方,还要做好这个平台建设以后的信息安全的风险评估。所以,对于一个完整的在线支付安全平台的安全和支付协议的安全选择和配套非常重要。在这个运行过程中如何采用一种安全的认证,一种安全的签名,一种抗抵赖的机制,一种强审计的保证,以及传输过程、防泄露和加密是金融安全认证机构的头等大事。

2.从法规和政策上予以扶持

对于中国这样一个庞大的用户市场,电子支付已经深入到我们生活的各个方面,由于涉及到金融体系,涉及到资金安全,这一行业还需要国家从法规和政策方面予以认可和规范。目前我们在这方面还处在政策法规缺失、安全保护制度不健全的状态。这也是电子支付能否健康发展的最大挑战。

3.加强行业监管

由于缺乏必要的法律约束,一些第三方支付企业利用沉淀资金进行投资获取利益。一旦投资出现巨额亏损,势必损害社会公众的利益,影响社会稳定。应加强电子商务行业的监管,规范市场主体行为。首先需要加强对网络银行的监管。网上银行不同于传统银行,应该制定新的准入条件,加强对客户开户的监管,落实责任审查客户资料等信息,明确网上银行业务终止条件、清算办法等,制定电子货币退出机制,规范电子货币市场;其次银行由于与第三方支付行业紧密相连,两者除共同加强自身的审核和监管外,需要加强信息互通,并联合升级支付。

4.消费要提高安全意识

消费者应加强电子支付安全意识,学习相关的电子商务知识,不给犯罪分子可乘之机。消费者在电子商务网站交易过程中,应该加强对个人信息的保护,包括个人联系方式、身份证号码、银行卡信息等,尤其在进行网络支付操作时,一定要确认在线支付网站的真实性,不要通过不熟悉的网页进行在线支付。

参考文献:

[1] 李顺东: 适用于数字对象的保密比较协议[J]. 陕西师范大学学报(自然科学版), 2010, (01) :1-4

电子支付的安全范文第5篇

关键词:电子商务安全;移动支付;认证技术;SWOT阐发

中图分类号:F713.36 文献标识码:A

收录日期:2014年7月7日

一、探究背景

人们在20世纪70年代末对电子商务专研,电子商务把计算机、网络和远程通信交融一起呈现电子般的流程、数字化和网络业务。也就是说在一个虚拟的市场里利用信息技术进行买卖,体现电子设施与商务的完美结合。

电子商务的优越性是显而易见的,他为商务活动的水平与服务质量做出了重大贡献。电子邮件的推出省下来费用,EDI的使用使信息及时得到了共享的便利,一个电子系统避免了管理人员的泛滥,销售途径的交互式性,24小时的服务性,能够及时地得到信息的反馈,以便资源相互流通,但依然存在着信息威胁。

电商行业在国内的规模逐渐扩大,市场交易额每年都在增长,2013年电子商务墟市总交易额10万亿元,2014年仅第一季度就增加了255%,然而国家对电商的扶持政策也毋庸置疑,对可信交易过程中基础信息的规范管理和服务做了调整,中国人民银行研究制定政策,规范商业银行、各类支付机构的移动支付标准。

二、移动支付概论

(一)定义及原理

1、定义。移动支付的另一种说法是手机支付,支付方借助智能手机、PDA等移动终端和设备,利用移动网络与支付系统来结束换取产品和服务的购买全过程。

2、原理。用户绑定SIM卡与一张银行卡账号,利用短信的发送,完成系统下达的交易支付要求,流程简洁同时也不受时间与地理位置的干扰进行交易,完美地呈现了移动互联网的快捷方便、数字化的特点。

(二)移动支付现有的交易形式

1、远程支付。如网银、电话银行等下达指令的工具通过WAP、GPRS、WWW等途径完成远距离支付过程。掌中充值就是这样的一个支付形式。远程支付的业务有很多参与者、监督者,产业链也很长,所以运营商、银行、手机厂商都极有可能做业务模式的领导者。在手机上登陆相关页面或者是在安装的客户端进行支付,其中软硬件服务都参与进来,这是用户端操作较繁琐的,而且在电子商务过程中进行支付,关系到了信息的加密与认证等相关的服务。手机话费充值、手机、缴费等移动远程支付应用深受人们欢迎,手机话费充值特别的流行,占整体移动支付一半市场还绰绰有余,然而近几年来,电子商务的地理支付形式得到了迅速的发展。

2、近场支付。近场支付为人们提供的便利的服务,买东西、坐公交车等生活中需要现金交易的过程被刷卡替代了,如今已成为了现实。是在有POS机的前提下,利用特定手机或者是芯片,进行近距离的刷卡,实现支付。芯片的使用、商品的结算、支付的受理等在业务模式的产业链中有着至关的重要性。

3、手机载体下的支付形式。在电子商务时代,条码扫描、二维码拍照等支付已经不陌生了,手机作为媒介,利用他的智能性,使其具有POS机的刷卡功能、银行卡的支付性,就这样,在移动电子商务的远程传递下完成近场支付相关环节。在电子商务市场中类似于这样的支付模式仍在追求更好、更新颖。

(三)安全认证技术

1、对称密码与非对称密码。对称密码与非对称密码是一个密码系统的主要构成。将对称算法解释为用同样的密钥进行加密和解密,密钥简洁快速,处理成果显著,DES与AES是较为有影响力的对称加密体制算法。加密方与解密方实现密钥共享,在解密过程中,持密文、算法,不能成功浏览信息。而非对称密钥即算法的使用一致,而解密的密钥不同。RSA算法是普遍使用的。在整个过程中加密方掌握加密或解密密钥,解密方手中也有另一把解密钥匙,有密文,破译不会成功,拥有算法、密文,但是缺少另一把密钥也不能进行解密,这就是非对称算法的特点,私钥一定要保密。

2、数字签名。信息的发送者拥有数字串,其他人不能伪造,签名与验证证明了数字签名的不可抵赖性。接受者确认信息是否被破坏、认证发送者身份,借助签名技术中的签名值和签名后的文件,保证了消息的完整性,阻止了交易的否认性。

3、身份认证。在支付过程中必须确保安全,断定消息的真实性,对身份认证,出示相关的口令或者证件,以免给伪装者盗取信息的可能。DNA、手机号码、指纹、口令都可以视为认证方式。口令认证还是较为普遍的,在登录时设置一些密码,服务器进行加密,但是安全性会低一些,非法分子会伪装你与服务器进行交流,从而窃取你的更多资料。感应设备的可取性高一些,因为DNA与指纹都是别人无法复制的。

4、WPKI加密。PKI作为一种保障网络信息安全的设备,自行对密钥和证书处理。WPKI则对他进行了升级,主旨是电子商务的移动支付中的实体联系、证书认证,终端、认证中心、WAP网关、目录服务、PKI门户是其重要的组件,当然还关系到相关的服务器设施。终端请求证书签名,PKI门户将请求证书传达给CA,在目录服务的基础上由CA证书,PKI Portal获取证书的位置,由终端将文档、签名和证书的位置传达给WAP网管,整个过程中证书的产生、下达与刷新以及传递的安全、WPKI都进行了标准的优化,使得电子商务移动支付更安全。

(四)移动电子商务的安全要求。保证整个移动支付系统的安全,判断对信息的、实体的有效性,保护信息被篡改的机密度,阻止消息在电子商务环境中泄露,利用可靠的数据,避免中途的不可否认等电子商务数据安全要素,譬如窃听、漫游安全、交易抵赖、完整性损害等。

保证安全要素的同时还要具备一套优越的安全机制,是对电子商务环境下的用户、运营商、第三方主要当事人交易过程中所涉及到的网络层、平台层、应用/服务层、加密技能的安全管理。管理角色权限、认证身份、会话与日志,保护数据,这就是应用/服务层所提供的,阻止对数据的滥用,对服务的非法访问。

三、电子商务市场下移动支付的SWOT

(一)优势阐述。3G网络的盛行,手机及银行卡使用者的数量逐年增加,可想而知,是一个庞大的群体,同时也是可待持续发展的一个市场。移动支付主要的就是Anyway、Anytime、Anywhere性质相比对其他的支付方式造成了威胁,移动支付信息查询快捷、对非实物商品的结算及时,避免了传统支付的现场排队现象,既方便又快捷,同时也会对现金的安全进行保护,用户不必携带现金便可支付,不必担心移动运营商收取多余的费用。

(二)劣势阐述。正视移动支付的两面性,有着优势但也不能忽视他的缺点,人们对移动支付的安全性还是放心不下来,比如信号在传送的过程中被截获,用户端的操作反应慢,就像支付反馈信息收不到,POS机登陆出现故障,移动支付覆盖面扩大了、群体增加了,信用系统却不够完善,无线支付的技术、信誉、法律风险仍是现在面临的问题,无论是运营商与银行或是其他当事人担心责任的问题避而远之,不能平衡支产业链的利益。

(三)机会阐述。目前,使用数据足以证明,移动终端设备的方便快捷,并且逐渐成熟,显然手机淘宝等字样家喻户晓,移动支付也得到了多家银行的支持,整个支付产业链要素已经基本完善,手机与IC卡的融合深受用户的追捧,还有现金支付的弱点、支付途径的单一化、3G网络技术的不系统、国家的相关政策等不完善的方面对于如今的电子商务移动支付来说都是一个极大的挑战,有着更好发展的机遇。

(四)威胁阐述。人们还是热衷于传统支付,拒绝移动支付,因为那样会觉得放心;政策的出台或多或少的会对银行、运营商和支付群体做出一些规范,其中包括很复杂的经营制度、用户能不能放心使用的担忧;考虑支付金额的大小,谨慎坏账和欺诈,要明确风险承担者;如今的移动支付市场多了外资企业这样一个观众,外资企业的加入对中国当地的银行有着一定的竞争力,同时其他的支付方式也在不断改进,在支付市场占据了一定的比例。

四、我国移动支付发展障碍

(一)不习惯移动消费。2013年上半年相关市场调研表明:仅仅6.49%的人不清楚移动支付,听过移动支付的人多,真正了解移动支付的人少。消费者的认知程度低有待进一步的提高,以及强化消费者的使用意识和习惯性移动消费,是电子商务移动支付的首要因素。

(二)产业链利益共赢不平衡。运营商、网络、银行机构等重要成员通过跨行业相关技术的整合,需要完美的分工实现电子商务活动的移动支付,合作上的共赢也成为关键,但实际上运营模式的差异性、技术方案的不统一、支付载体的不同,增加了推广成本,成为各个合作方的一个纠纷,在规范制度上,合作方对权利、成本、模式利益的分配不满意,后来的收益与投资状况都将成为阻碍移动支付飞速发展的因素。

(三)安全技术不完善。技术问题又是一个障碍。3G取代了2G网络,当今,4G网络已经提出,不同的网络体制下加密机制有所差异,不过共同的目标都在保证数据的完整性、保密性,手机短信支付是非互交式的,公网传递无加密,手机出现漏洞,遭遇病毒,信息被窃取的可能性就会增加,用户担忧数据的完整性与及时性不能被保证。

(四)监管方不透明。银行占有主导地位,通信运营商、第三方支付公司的监管主体有差别。比如,工业与信息化部作为通信行业的监管主体,监管移动增值业务的服务、信息安全与业务内容等。重复监管模式对于移动支付的有序发展没有优势。

(五)信用制度不先进。我国的信用体系在金融服务领域还不够成熟。银行信用体系的良好连带到个人使用移动支付的状况,人们担心在交易过程中泄露身份,相关调查也表明:手机用户没有接到垃圾短信、诈骗电话的人少之又少。所以,改变恶劣的信用机制,就不会有机会阻碍移动支付的电子商务市场向前发展了。

五、针对移动支付对电子商务安全问题的建议

(一)支付终端的系统安全。有待加强移动支付的技术设备这个硬环境,对于手机的技术支持、安全芯片、加密文件、身份认证等相关技术,对登录前的安全以及支付的交易保密性的提高。

(二)加强安全技术。就目前电子商务市场的移动支付来说,所涉及到的安全技术大体上能够达成移动支付的业务,保证了自身系统的基本安全却没有在意用户使用过程的安全信息进行升级保护,导致了一部分用户主动放弃这种付款方式。移动支付机构对技术上的可攻击性提高一些,对ID进行加密处理,移动运营商提供的安全网络,避免支付风险,重视整个支付及交易系统的安全。

(三)调动支付产业链的积极性,加大监管力度。保障整个线条的每一部门的利益,使其得到效益均衡,可以充分带动发挥各自的积极性,促使移动支付市场产业链有条不紊地发展。这样,一些监管部门就不会费尽心思想去惩罚他们的一些行为,当然他们的所作所为是在法律允许的边界内,为移动支付产业做贡献。

(四)建设安全信用机制。良好的安全信用体系制造了健康的网络环境,同时为商家提高了信用度。现在通过对第三方担保系统有了规划,加上移动支付企业联合第三方支付平台,进一步增进移动支付产业的信用机制,就能在多个方面解除用户的担忧,感受到移动支付在我们身边的美好。

(五)制定法规。对于业务处理的过程中出现的故障,用户的请求被限制以及支付短信没有反馈,利用合理的支付信用机制,避免风险,采取限额等防范途径,确保支付安全。需要相关部门检测支付体系,对日常监管负责,完善相关法律法规。

六、总结

电子商务市场与移动支付市场都是炙手可热的,两者又相互影响着,移动支付蔓延在社交行业中,比如微信支付已经基本稳定了,对于社交平台的移动支付同样吸引着各个企业,移动终端的普及和电子商务的发展,对于移动支付的发展前景有着不可估量的影响。然而,谈及移动支付的发展前景就会想到其能替代纸币,实现银行服务的移动化、整个移动支付产业链的完美配合,加上大体成型的支付业务环境和技术,不管技术上还是外界状况影响,整合通讯安全等安全机制共同克服移动支付泛起的电子商务安全问题。

主要参考文献:

[1]李琪.电子商务概论[J].高等教育出版社,2009.3.1.

电子支付的安全范文第6篇

关键词:电子支付 安全 网络

所谓电子支付,是指从事电子商务交易的当事人,包括消费者、厂商和金融机构,使用安全电子支付手段通过网络进行的货币支付或资金流转。电子支付是电子商务发展的一个关键环节。电子支付的工作环境是基于一个开放的系统平台(即因特网)之中,使用的是最先进的通信手段,用户只要拥有一台上网的PC机,便可足不出户,在很短的时间内完成整个支付过程。

一、电子支付安全问题

从我国当前的电子支付实践来看,由于开展网络银行业务的支付业务时间不长,结合具体国情在中国实施电子商务支付存在的问题主要有以下几点:

(一)社会信用度欠缺,用户对电子支付的安全性信心不足

互联网具有充分开放的特点,网上交易双方互不见面,交易的真实性不易考察和验证,对社会信用有较高要求。我国目前的信用体系发展程度低,经济活动缺乏可靠的信誉基础,社会诚信观念有待加强。另外,企业和个人客户资信资料零散不全,海关、税务等部门与银行信息不能共享,银行对客户的资信情况不能完全了解,也制约了电子商务支付系统的发展。

(二)电子支付产业发展迅速,但市场秩序仍不规范

随着互联网的迅猛发展,网上金融服务在世界范围内部如火如荼地开展了起来。银行纷纷发展自己的网上银行业务,大大小小的第三方支付企业都在为用户提供着各种不同的电子支付服务。电子支付市场呈现一片“繁荣”景象。与以往相比,用户可选择的支付手段和方式丰富了许多。然而,电子支付的巨大市场前景与目前整体产业环境形成较大落差,造成了这一产业方向不明的现状。

(三)网络侵权行为和网络信息恶意被盗行为

时有发生网络侵权行为主要有: (1)互联网服务提供商(ISP Internet ServiceProvider)的侵权行为。(2)互联网内容提供商( ICP InternetContent Provider)的侵权行为。ICP是通过建立网站向广大用户提供信息,如果ICP发现明显的公开宣扬他人隐私的言论,采取放纵的态度任其扩散, ICP构成侵害用户隐私权。(3)由于电子现金可以实现跨国交易,税收和洗钱将成为潜在的问题。网络信息恶意被盗,这个问题直接关系到交易各方的利益。

二、提高电子支付安全性的策略

为推动电子支付的健康发展,提高电子支付的安全性,需要从以下范围构筑防范体系:构建严密的电子支付监管体系,防范系统性风险;构建覆盖全社会范围的信用评估体系,防范道德性风险;完善网络信息安全技术、构建统一的电子支付安全认证平台,防范技术性风险;加强电子支付的立法工作,从根本上规范电子支付产业的市场。

(一)构建严密的电子支付监管体系

由于我国对电子支付提供商监管的缺失,少数第三方电子支付企业在处理电子商务过程中庞大的资金流时,突破经营限制,从事吸收存款等违法活动。构建安全高效的电子支付流程监管体系,可以对电子支付服务提供商进行有效的管理和控制,以防范与电子支付相关的金融风险。

(二)构建覆盖全社会范围的信用评估体系

目前我国还没有一个权威公正的信用体系。为促进电子商务快速健康发展,构建安全高效的电子支付信用评估体系,需要从以下几方面入手:信用评估指标体系的制定与研究、建立支付信用信息系统、落实账户实名制。制定相关统一的第三方支付标准,实现与传统支付清算的对接,采用类似银联的模式,解决用户、商家、银行之间的相互选择问题,提供透明、便利的电子支付服务。

在此之上,继续研究电子支付信用数据交换模型和网络服务方案,结合目前人民银行的征信体系数据,客观、公正、全面地提供电子信用评价服务,完善信用评价指标体系,设计与其他相关系统和部委之间的网络服务平台,设计数据交换模型,制定与其他相关诚信系统互联互通的服务方案。

(三)完善网络信息安全技术

网络安全技术主要从以下几方面来解决电子支付安全性问题: (1)架设防火墙。它是近来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络。(2)数据加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。(3)数字签名技术。数字签名技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整、不可否认服务中都要用到数字签名技术。(4)数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名。(5)还可以通过设置电子商务信息安全协议来进行。现有的电子商务交易协议有多种,但是目前常用的只有SSL和SET两种。安全套接层协议(Secure Sockets Layer, SSL),SSL协议向基于TCP/IP的客户、服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。

(四)构建统一的电子支付安全认证平台

为确保电子支付信息的真实性,还需要有相应的电子商务认证机构,为买卖双方提供值得信任的认证服务。为电子支付业务应用提供保障的安全认证技术在我国已经了较好的研究与应用。我国自主研制出入侵容忍PKI系统、PMI权限管理系统、电子证书认证系统、PKI中间件等一批认证产品和支撑系统。这些技术和产品在在人民银行多个主要业务系统中得到应用。CFCA证书及各商业银行的CA证书已经在银行业务领域得到广泛应用。《电子认证服务管理办法》实施近两年来,认证市场主体的合法性得到了规范。但我国认证体制缺少一个全国认可的、最权威的部级机构。

(五)加强电子支付的立法工作

在电子支付立法方面应该着重从以下几方面进行: (1)对目前电子支付存在的问题的研究,清楚每个问题的症结所在,哪些是引用现行法律可以解决的,哪些是有赖于修改现行法律才能达到对电子支付合理规范的,而哪些又是需要制定新法律才能解决的问题,要有一个清晰的认识。(2)认真学习国外成功的立法,参照国际惯例,努力做到和国际接轨。(3)电子支付法律及监管政策的建设应该充分考虑我国的实际情况,不能脱离我国实际的金融市场现状,我国电子支付立法不能一味照搬别人的一套,而是应该在立法上充分考虑我国目前金融体系建设的情况和速度,不能过于严格,同时又应该体现出一定的前瞻性。

参考文献:

电子支付的安全范文第7篇

关键词:电子商务;网上支付;安全

互联网在国内的发展已经有十多年的历史了,利用互联网进行商务交易活动——电子商务也有了十多年的历史。毋庸置疑,电子商务作为一种新型网上在线贸易方式不仅使企业与消费者摆脱了传统的商业中介的束缚,降低了生产与销售成本,进一步缩短了生产厂家与最终用户之间的距离,改变了市场的结构;而且还大大节省了企业的营销费用,提高了企业的营销效率;为企业提供了巨大的潜在顾客群,给企业带来了无限的发展机会。

一个典型的电子商务交易由三个阶段组成,分别是信息搜寻阶段、订货和支付阶段以及物流配送阶段。其中的第二阶段就涉及到网上支付问题,即如何利用互联网以安全快捷的方式实现交易双方的资金划拨,以确保电子商务交易的顺利进行。从三个阶段来看网上支付是最关键的,因为网上支付一旦完成物流的配送就是顺理成章的事情,也就意味着完整网上交易的完成。而网上支付若不进行,网上交易也不能最终完成。由此可见,网上支付是电子商务最核心、最关键的环节,是交易双方实现各自交易目的的重要一步,也是电子商务得以进行的基础条件。

1 网上支付现状及现有支付工具的特点

网上支付采用先进的技术通过数字流转来完成信息传输,其各种支付方式都是采用数字化的方式进行的,工作环境基于开放的因特网,使用的是最先进的通信手段,具有方便、快捷、高效、经济的优势。

目前我国网上支付发展迅猛,从上图艾瑞资讯的统计中可看出08Q2网上支付交易额规模575亿元,同比增速超过了170%。环比增速超过了20%。

目前的网上支付工具主要有:

(1)银行卡在线转帐支付:是目前我国应用非常普遍的电子支付模式,付款人可使用申请了在线转帐功能的银行卡转移小额资金到收款人银行账户中。

它具有以下基本特点:一是可以接受此电子支付方式的商家投入成本较低;二是能够受理银行卡的商店全世界范围内相当多,用户不受地域的限制。

(2)电子现金:是以数据形式存在的现金货币。它把现金数值转化为一系列的加密序列数,来表示现实中各种金额的币值。但目前我国使用的不多。

它的特点一是具有现实现金特点,可以存、取、转让,适用于小额支付;二是电子现金银行在发放电子货币时使用了数字签名,商家接受到电子现金后将其传输给电子现金银行,由电子现金银行通过对数字签名的验证来确定此电子货币是否有效;三是电子现金的支付是匿名消费。

(3)电子支票:是以一种纸质支票的电子替代品而存在的,用来吸引不想使用现金而宁可使用信用方式的个人和公司。它的运用使银行信用弥补了商业信用的不足,在我国尚是空白。

其特点一是与传统支票的操作有很多相似之处,易于理解和运用;二是通过简单加密工具就可以保证其安全性;三是电子支票技术可连接公众网络金融机构和银行票据交换网络,可以通过公众网络连接现有金融付款体系。

(4)第三方支付:是具备一定实力和信誉保障的独立机构,采用与各大银行签约的方式,提供与银行支付结算系统接口的交易支持平台的网络支付模式。大致可分为两类:一是以首信为代表的网关型第三方支付平台。这类平台为网上交易提供了一致的支付界面,统一的手续费用标准,结算较为便利。但此模式下,消费者并不是其客户,网站商家和银行才是它的客户,消费者最终还是要使用各网上银行进行付款。

二是以支付宝为代表的信用担保型第三方支付平台。此种形式的第三方支付过程是买家在网上把钱付给支付宝公司,支付宝收到货款之后通知卖家发货,买家收到货物之后再通知支付宝,支付宝这时才把钱转到卖家的账户上。在整个交易过程中,如果出现欺诈行为,平台提供方将进行赔付。这种第三方代收款制度,不仅保证了资金的安全转让,还可担任货物的信用中介,从而约束交易双方行为,在一定程度上增加了网民对网上购物的可信度,大大减少了网络交易欺诈。 转贴于

2 网上支付存在的安全问题分析

要想保证在网上进行交易的安全性,首先要确保网上交易的载体——计算机网络的安全以及用户机终端的安全。有了计算机网络才有了电子商务交易,如果计算机网络不安全,可想而知我们在网上的交易肯定不安全。计算机网络安全的内容包括:计算机网络设备的安全、网络系统安全、数据库安全等。同时用户机终端的安全也会影响网上交易的顺利进行,如客户机上操作系统的漏洞、被植入木马、用户的不良使用习惯等。

上述两种安全问题不仅仅只存在于电子商务交易中,即使用户不使用计算机网络进行交易,而是进行普通的上网活动,也会受到这两种安全问题的威胁。由于非交易型的上网活动没有与金钱直接挂钩,用户如果碰到了这两种安全问题,受到的损失相对来说会小一些。

网上支付的安全除了上述两种安全问题外,还包括将传统的买卖交易搬到网上以后失去的一些在传统交易中不用考虑的安全性,包括以下几个方面:

(1)身份真实性。也称商务对象的认证性,传统的商务交易因为双方可以在见面后通过观察而不用担心身份的真实性,但网上交易的双方相隔甚远,互不了解,支付方不知道商家到底是谁,商家不能清晰确定银行卡等网络支付工具是否真实,以及由谁来支付和资金如何入账等。这就让一些不法商家或个人利用网络贸易的非面对面的特点进行欺诈活动有了可趁之机,所以需要为参与交易的各方提供可靠标识,使他们能正确识别对方并能互相证明身份。

(2)信息的完整性。网上交易简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。数据输入时的意外差错或欺诈行为,可能会导致交易各方信息的差异。另外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致交易各方信息的不同。假如有不法分子对支付的数据(如支付金额)进行修改而发生多支付或少支付的问题,那么势必给交易双方添加不少麻烦。

(3)不可否认性,也称不可抵赖性。在传统的商务交易中,双方可通过书面文件上的手写签名或印章来预防抵赖行为的发生,但在网上则是不可能的。因此就有可能出现这样的情况,当交易一方发现交易行为对自己不利时,可能会否认电子交易行为,这必然会损害另一方的利益。

(4)数据保密性。有关交易的各种信息,如付款人和收款人的标识、交易的内容和数量等,这些信息只能让交易的参与者知道,有时甚至要求只让参与方的部分人知道。因此网上支付就涉及到数据保密性的问题了。

3 解决网上支付安全问题的对策

3.1 技术方面的对策

(1)数据加密。

数据加密被认为是电子商务最基本的安全保障形式,可以从根本上满足信息完整性的要求,它是通过一定的加密算法,利用密钥(Secret keys)来对敏感信息进行加密,然后把加密好的数据和密钥通过安全方式发送给接收者,接收者可利用同样的算法和传递过来的密钥对数据进行解密,从而获取敏感信息并保证网络数据的机密性。

(2)数字签名。

数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个散列值(或报文摘要),发送方用自己的私钥对这个散列值进行加密来形成发送方的数据签名。然后,这个数据签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出散列值(或报文摘要),接着再用发送方的公钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文完整性的鉴别和不可抵赖性。

(3)安全协议。

在国际上,比较有代表性的电子支付安全协议有SSL和SET。

SSL(安全槽层)协议是由Netscape公司研究制定的安全协议。通俗地说,SSL就是客户和商家在通信之前,在Internet上建立了一个“秘密传输信息的信道”,来保障传输信息的机密性、完整性和认证性。该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议在应用程序进行数据交换前通过交换SSL初始握手信息来实现有关安全特性的审查。SSL协议运行的基点是商家对客户信息保密的承诺。客户的信息首先传到商家,商家阅读后再传到银行。这样,客户资料的安全性便受到威胁。另外,整个过程只有商家对客户的认证,缺少客户对商家的认证。在电子商务的初始阶段,由于参加电子商务的公司大都信誉较好,这个问题没有引起人们的足够重视。今后随着越来越多的公司参与电子商务,对商家的认证问题也就越来越突出,SSL的缺点就会逐渐暴露出来,SSL协议也就逐渐被新的SET协议所代替。

SET(安全电子交易规范)向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和Mastercard组织共同制定的一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。由于设计较为合理,得到了诸如微软公司、IBM公司、Netscape公司等大公司的支持,已成为实际上的工业技术标准。

3.2 法制方面的对策

(1)加强社会信用机制建设。法律为保障网上支付必须推动社会信用制度的建立。发达的商业社会对社会包括个人的信用有着很高的要求,并通过一系列公开透明的制度来维护和保障信用制度体系。我国目前在对信用概念内涵的理解、信用信息公开的方式和程度、信用服务企业的市场发展程度,以及对失信者的惩戒制度方面都还十分落后,甚至存在空白。应当承认我国还属于非诚信国家,信用制度还很不健全。我们应当着手网上支付信用机制的建设,建立个人社会信用体系,及时收集和反馈用户信息并做出相应解决方案,促进用户建立网络信用。

(2)加强对网上银行和第三方支付机构等相关组织的监管。加强电子商务行业的监管,规范市场主体行为。首先要加强对网络银行的监管:网上银行不同于传统银行,应该制定新的准入条件,加强对客户开户的监管,落实责任审查客户资料等信息,明确网上银行业务终止条件、清算办法等,制定电子货币退出机制,规范电子货币市场;其次要加强对第三方支付机构的监管,要让第三方支付机构受银监会监督,第三方无权动用客户资金,必须确保资金安全和支付的效率。

3.3 管理方面的对策

在管理方面,由于网上支付涉及到许多部门和机构,容易造成混乱的局面。通常来说,电子商务的网上支付系统是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在有的金融体系为一体的综合大系统。因此,统一而先进的管理和规范就显得尤为重要。例如,各家银行应该尽快制定统一的互联网支付标准以及尽快为互联网用户提供统一的接口。

另外还要建立一个在系统操作过程中的完善的管理制度。支付的过程尽管是在计算机和网络上自动进行的,但总离不开人的介入。从世界范围内的经验可以知道,银行系统资金不安全或者各类诈骗活动的发生,不是技术不安全造成的,而是制度上的缺陷所出现的。因此严格的管理制度建设就非常重要。

电子支付的安全范文第8篇

论文摘要:电子支付系统是电子商务交易的核心,实现电子商务的关键是要保证商务活动过程中系统的安全性。本文对现有的支付模式进行了比较论述,指出安全性方面的不足,在基于SET协议支付模型基础上,替换加密算法,修改支付流程,使其具有更高的安全级别。

1 引言

电子商务(Electronic Commerce,简称EC)是利用现有的计算机硬件设备、软件和网络基础设施,在通过一定的协议连接起来的电子网络环境下进行各种各样商务活动的方式。电子商务的一个重要组成部分就是电子支付系统,所谓电子支付,指的是交易各方通过电子手段,比如说银行的电子存款系统和电子清算系统来记录和转移资金的方式。是否具有在线支付功能是电子商务是否完整的一个重要标志,而支付的安全性又是整个支付过程乃至整个电子商务过程的核心问题。

2 现有电子支付系统的探讨与改进

2.1 三种电子支付模型

第一种:基于SSL协议的支付模型

安全套接字层协议(Secure Socket Layer,SSL)是网络安全协议的标准,最早是由Netscape公司提出的一种安全套接层协议,采用公开密钥技术,目的是保证两个应用间通信的保密性和可靠性,可在服务器和客户机两端同时实现支持。SSL使用多种密码技术和PKI数字证书技术来保护信息传输的真实性、机密性和完整性,主要适用于点对点之间的信息传输。SSL由两层协议组成:(1)握手协议:描述了协议的建立过程,在客户机和服务器之间进行相互的身份认证,并在传输数据之前,协商确定加密算法和会话密钥。(2)记录协议:用于对不同的高层协议进行封装,定义了数据传输的格式。

遵从SSL协议的电子交易过程:客户选择服务,提交购物请求商家回复客户的购买请求,客户端浏览器提示即将建立与银行端网络服务器的安全连接,经过身分认证后,SSL 握手协议介入开始,双方建立起安全通道出现相应银行的支付网页,显示从商家发来的相应的订单及支付金额信息,用户确认后支付。支付成功后,用户确认离开安全SSL 连接银行在后台把相关资金转入商家账号商家收到银行发来的付款成功消息后,发送收款确认信息给用户,支付过程结束。

目前国内大多数银行的网上银行业务都是基于SSL协议的。例如招商银行的“一网通”网上支付业务就是基于SSL协议的典型代表。

第二种:基于SET协议支付模型

SET(Secure Electronic Transaction)协议是针对开放网络上安全、有效的银行卡交易,由Visa和MasterCard两大信用卡组织联合国际上多家科技机构共同研制,为Internet卡支付交易提供高层的安全和反欺诈保证。SET协议实现信息在Internet上安全传输,不能被窃取或篡改;实现持卡人购买订单和个人账号信息的隔离,使商家只能看到订货信息而金融机构只能看到账号信息;实现持卡人、商家、支付中心、支付网关等交易参与方身份的相互认证;软件遵循相同的协议和消息格式,使不同厂家开发的软件具有兼容性和互操作能力,并且可以运行在不同的硬件和操作系统平台上。

遵从SET协议的电子交易过程:客户选择服务,提交购物请求客户计算机自动激活电子钱包的客户端软件,用户取出里面的电子现金准备支付,SET协议开始介入;客户端软件自动与商家服务器软件进行SET 协议规定的信息交换与身份认证,然后自动提取信息连同订货单一起发送给商家商家收到信息并验证通过后回复客户,同时发出结算请求,并将客户端信息一起发给支付网关支付网关收到支付信息后,转入后台银行网络处理,在收到银行端发来的确认信息后向商家回复支付成功客户收到商家发来的购货确认与支付信息后,客户端软件关闭,支付过程结束。

国内的网上银行支付系统基于SET协议的极少,中国银行是一家。它的CA是中国银行认证中心(CCA)。持卡人通过Internet由中国银行主页中下载电子钱包软件后,通过Internet在线获得中国银行认证中心批准的借记卡网上交易电子证书。

第三种:以支付工具为中介的支付模型

国内除了上述两种支付方式外,还有种以网上支付工具为中介的支付流程,即第三方支付。这种在线实时的支付方式实质上还是网上银行。这种支付模式主要解决的不是信息流在网上传递的安全性问题,而主要解决的是,因付款和发货不同时进行而可能引起的争执。作为支付工具的第三方当了一个临时存钱罐的功能。

第三方支付的交易过程:买方在网上选中自己所需商品后就与卖方取得联系并达成成交协议,这时买方需把货款汇到第三方中介账户上。中介立刻通知卖方钱己收到可以发货,待买方收到商品并确认无误后,中介才会把货款汇到卖方的账户,整个交易就完成了。

第三方支付的典型代表有贝宝公司的PayPal、阿里巴巴旗下的支付宝等。

2.2 SSL、SET协议的不足

SSL协议存在的问题:第一,客户的信息首先传递到商家,商家可以任意阅读,这样客户资料的隐私性就得不到保证。第二,SSL只能保证资料信息传递的安全,而传递过程是否被人截取无法保证。第三,SSL没有对应用层的消息进行数字签名,因此也无法保证不可否认性。所以,SSL并没有实现电子支付所要求的保密性、完整性和不可否认性,而且多方互相认证也很困难。

SET协议存在的问题:第一,SET协议使用的对称加密算法DES,随着计算机处理速度和存储效率的提高,己经不是计算上安全的算法了。第二,协议没有担保非拒绝服务,无法证明交易是否由签署证书的使用者发出。协议签名的内容无法保障持卡者和商家,在协议最后收到的签名,是针对交易内容的认证。第三,协议没有考虑交易个体的公平性,持卡人的信用卡信息经过商家转发,虽然是经过加密的,但无论如何也会留下痕迹,这是个很大的安全隐患。第四,从实用性来讲,SET协议对商家系统的开发来说是个不小的负担,很多的小商户都会认为成本太高,不甚划算。并且,应用SET协议需要在持卡人端安装电子钱包,这也是个不太容易让普通持卡用户很快接受的地方。还有,SET协议仅仅针对信用卡,对个人信任制度不成熟的我国现状来说,也是一个制约因素。

2.3 基于SET协议模型的改进

替换密码算法:SET协议规定加密算法为DES加上RSA,而通过上文分析DES加密算法存缺陷,因此可选择用IDEA算法作为DES的代替算法。IDEA的密钥长度为128位,是目前公认比较安全的加密算法。另IDEA和DES算法同是对称加密算法,分组长度都是64位,使用IDEA对原有系统的影响不大。

增加支付中心:由于在SET协议中,商家除了要处理订购信息,还要将持卡人发来的包含信用卡账号等机密数据的支付信息转发给支付网关,虽然支付信息是经过加密的,但不免在商家处留下了痕迹,存在着安全隐患。对照现实中商场中“柜台”与“收银台”相分离,对基于SET协议的电子支付系统进行改进,引入了支付中心这一概念,相当于电子的“收银台”。这样,电子商户主要承担商品展示功能,在消费者下订单后,商户执行“开票”功能,而“支付”这个敏感,对技术安全性、信誉度要求高的功能由第三方“支付中心”来负责。消费者的支付信息不必先发送给商家再由商家来发送给支付网关,而是发送给大家都信任的第三方—支付中心。这样,商家看不到持卡人的支付信息,银行也无法获得持卡人的购买信息,从而加强了信息流和资金流在网上实时传递的机密性和安全性。

3 结束语

随着电子商务和金融电子化的日益成熟和不断发展,对网络支付的要求也更加严格。虽然网络支付工具随着技术的变化层出不穷,但网络支付并不是非常成熟,只有加强电子支付的安全保障,建立起电子支付业的统一行业规范,完善电子支付的法律体系,才能使我国的电子商务和电子支付具有更强的生命力,在我国经济建设中发挥更大的作用。

参考文献:

[1] 吴琦.电子商务代表网站及业务模式分析[M].通信世界,2007.2.

电子支付的安全范文第9篇

关键词:电子商务;网上支付;安全

互联网在国内的发展已经有十多年的历史了,利用互联网进行商务交易活动——电子商务也有了十多年的历史。毋庸置疑,电子商务作为一种新型网上在线贸易方式不仅使企业与消费者摆脱了传统的商业中介的束缚,降低了生产与销售成本,进一步缩短了生产厂家与最终用户之间的距离,改变了市场的结构;而且还大大节省了企业的营销费用,提高了企业的营销效率;为企业提供了巨大的潜在顾客群,给企业带来了无限的发展机会。

一个典型的电子商务交易由三个阶段组成,分别是信息搜寻阶段、订货和支付阶段以及物流配送阶段。其中的第二阶段就涉及到网上支付问题,即如何利用互联网以安全快捷的方式实现交易双方的资金划拨,以确保电子商务交易的顺利进行。从三个阶段来看网上支付是最关键的,因为网上支付一旦完成物流的配送就是顺理成章的事情,也就意味着完整网上交易的完成。而网上支付若不进行,网上交易也不能最终完成。由此可见,网上支付是电子商务最核心、最关键的环节,是交易双方实现各自交易目的的重要一步,也是电子商务得以进行的基础条件。

1 网上支付现状及现有支付工具的特点

网上支付采用先进的技术通过数字流转来完成信息传输,其各种支付方式都是采用数字化的方式进行的,工作环境基于开放的因特网,使用的是最先进的通信手段,具有方便、快捷、高效、经济的优势。

目前我国网上支付发展迅猛,从上图艾瑞资讯的统计中可看出08q2网上支付交易额规模575亿元,同比增速超过了170%。环比增速超过了20%。

目前的网上支付工具主要有:

(1)银行卡在线转帐支付:是目前我国应用非常普遍的电子支付模式,付款人可使用申请了在线转帐功能的银行卡转移小额资金到收款人银行账户中。

它具有以下基本特点:一是可以接受此电子支付方式的商家投入成本较低;二是能够受理银行卡的商店全世界范围内相当多,用户不受地域的限制。

(2)电子现金:是以数据形式存在的现金货币。它把现金数值转化为一系列的加密序列数,来表示现实中各种金额的币值。但目前我国使用的不多。

它的特点一是具有现实现金特点,可以存、取、转让,适用于小额支付;二是电子现金银行在发放电子货币时使用了数字签名,商家接受到电子现金后将其传输给电子现金银行,由电子现金银行通过对数字签名的验证来确定此电子货币是否有效;三是电子现金的支付是匿名消费。

(3)电子支票:是以一种纸质支票的电子替代品而存在的,用来吸引不想使用现金而宁可使用信用方式的个人和公司。它的运用使银行信用弥补了商业信用的不足,在我国尚是空白。

其特点一是与传统支票的操作有很多相似之处,易于理解和运用;二是通过简单加密工具就可以保证其安全性;三是电子支票技术可连接公众网络金融机构和银行票据交换网络,可以通过公众网络连接现有金融付款体系。

(4)第三方支付:是具备一定实力和信誉保障的独立机构,采用与各大银行签约的方式,提供与银行支付结算系统接口的交易支持平台的网络支付模式。大致可分为两类:一是以首信为代表的网关型第三方支付平台。这类平台为网上交易提供了一致的支付界面,统一的手续费用标准,结算较为便利。但此模式下,消费者并不是其客户,网站商家和银行才是它的客户,消费者最终还是要使用各网上银行进行付款。

二是以支付宝为代表的信用担保型第三方支付平台。此种形式的第三方支付过程是买家在网上把钱付给支付宝公司,支付宝收到货款之后通知卖家发货,买家收到货物之后再通知支付宝,支付宝这时才把钱转到卖家的账户上。在整个交易过程中,如果出现欺诈行为,平台提供方将进行赔付。这种第三方代收款制度,不仅保证了资金的安全转让,还可担任货物的信用中介,从而约束交易双方行为,在一定程度上增加了网民对网上购物的可信度,大大减少了网络交易欺诈。

2 网上支付存在的安全问题分析

要想保证在网上进行交易的安全性,首先要确保网上交易的载体——计算机网络的安全以及用户机终端的安全。有了计算机网络才有了电子商务交易,如果计算机网络不安全,可想而知我们在网上的交易肯定不安全。计算机网络安全的内容包括:计算机网络设备的安全、网络系统安全、数据库安全等。同时用户机终端的安全也会影响网上交易的顺利进行,如客户机上操作系统的漏洞、被植入木马、用户的不良使用习惯等。

上述两种安全问题不仅仅只存在于电子商务交易中,即使用户不使用计算机网络进行交易,而是进行普通的上网活动,也会受到这两种安全问题的威胁。由于非交易型的上网活动没有与金钱直接挂钩,用户如果碰到了这两种安全问题,受到的损失相对来说会小一些。

网上支付的安全除了上述两种安全问题外,还包括将传统的买卖交易搬到网上以后失去的一些在传统交易中不用考虑的安全性,包括以下几个方面:

(1)身份真实性。也称商务对象的认证性,传统的商务交易因为双方可以在见面后通过观察而不用担心身份的真实性,但网上交易的双方相隔甚远,互不了解,支付方不知道商家到底是谁,商家不能清晰确定银行卡等网络支付工具是否真实,以及由谁来支付和资金如何入账等。这就让一些不法商家或个人利用网络贸易的非面对面的特点进行欺诈活动有了可趁之机,所以需要为参与交易的各方提供可靠标识,使他们能正确识别对方并能互相证明身份。

(2)信息的完整性。网上交易简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。数据输入时的意外差错或欺诈行为,可能会导致交易各方信息的差异。另外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致交易各方信息的不同。假如有不法分子对支付的数据(如支付金额)进行修改而发生多支付或少支付的问题,那么势必给交易双方添加不少麻烦。

(3)不可否认性,也称不可抵赖性。在传统的商务交易中,双方可通过书面文件上的手写签名或印章来预防抵赖行为的发生,但在网上则是不可能的。因此就有可能出现这样的情况,当交易一方发现交易行为对自己不利时,可能会否认电子交易行为,这必然会损害另一方的利益。

(4)数据保密性。有关交易的各种信息,如付款人和收款人的标识、交易的内容和数量等,这些信息只能让交易的参与者知道,有时甚至要求只让参与方的部分人知道。因此网上支付就涉及到数据保密性的问题了。

3 解决网上支付安全问题的对策

3.1 技术方面的对策

(1)数据加密。

数据加密被认为是电子商务最基本的安全保障形式,可以从根本上满足信息完整性的要求,它是通过一定的加密算法,利用密钥(secret keys)来对敏感信息进行加密,然后把加密好的数据和密钥通过安全方式发送给接收者,接收者可利用同样的算法和传递过来的密钥对数据进行解密,从而获取敏感信息并保证网络数据的机密性。

(2)数字签名。

数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个散列值(或报文摘要),发送方用自己的私钥对这个散列值进行加密来形成发送方的数据签名。然后,这个数据签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出散列值(或报文摘要),接着再用发送方的公钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文完整性的鉴别和不可抵赖性。

(3)安全协议。

在国际上,比较有代表性的电子支付安全协议有ssl和set。

ssl(安全槽层)协议是由netscape公司研究制定的安全协议。通俗地说,ssl就是客户和商家在通信之前,在internet上建立了一个“秘密传输信息的信道”,来保障传输信息的机密性、完整性和认证性。该协议向基于tcp/ip的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议在应用程序进行数据交换前通过交换ssl初始握手信息来实现有关安全特性的审查。ssl协议运行的基点是商家对客户信息保密的承诺。客户的信息首先传到商家,商家阅读后再传到银行。这样,客户资料的安全性便受到威胁。另外,整个过程只有商家对客户的认证,缺少客户对商家的认证。在电子商务的初始阶段,由于参加电子商务的公司大都信誉较好,这个问题没有引起人们的足够重视。今后随着越来越多的公司参与电子商务,对商家的认证问题也就越来越突出,ssl的缺点就会逐渐暴露出来,ssl协议也就逐渐被新的set协议所代替。

set(安全电子交易规范)向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由visa国际组织和mastercard组织共同制定的一个能保证通过开放网络(包括internet)进行安全资金支付的技术标准。set在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。由于设计较为合理,得到了诸如微软公司、ibm公司、netscape公司等大公司的支持,已成为实际上的工业技术标准。

3.2 法制方面的对策

(1)加强社会信用机制建设。法律为保障网上支付必须推动社会信用制度的建立。发达的商业社会对社会包括个人的信用有着很高的要求,并通过一系列公开透明的制度来维护和保障信用制度体系。我国目前在对信用概念内涵的理解、信用信息公开的方式和程度、信用服务企业的市场发展程度,以及对失信者的惩戒制度方面都还十分落后,甚至存在空白。应当承认我国还属于非诚信国家,信用制度还很不健全。我们应当着手网上支付信用机制的建设,建立个人社会信用体系,及时收集和反馈用户信息并做出相应解决方案,促进用户建立网络信用。

(2)加强对网上银行和第三方支付机构等相关组织的监管。加强电子商务行业的监管,规范市场主体行为。首先要加强对网络银行的监管:网上银行不同于传统银行,应该制定新的准入条件,加强对客户开户的监管,落实责任审查客户资料等信息,明确网上银行业务终止条件、清算办法等,制定电子货币退出机制,规范电子货币市场;其次要加强对第三方支付机构的监管,要让第三方支付机构受银监会监督,第三方无权动用客户资金,必须确保资金安全和支付的效率。

3.3 管理方面的对策

在管理方面,由于网上支付涉及到许多部门和机构,容易造成混乱的局面。通常来说,电子商务的网上支付系统是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在有的金融体系为一体的综合大系统。因此,统一而先进的管理和规范就显得尤为重要。例如,各家银行应该尽快制定统一的互联网支付标准以及尽快为互联网用户提供统一的接口。

另外还要建立一个在系统操作过程中的完善的管理制度。支付的过程尽管是在计算机和网络上自动进行的,但总离不开人的介入。从世界范围内的经验可以知道,银行系统资金不安全或者各类诈骗活动的发生,不是技术不安全造成的,而是制度上的缺陷所出现的。因此严格的管理制度建设就非常重要。

电子支付的安全范文第10篇

[关键词] 电子商务 第三方支付 安全性

在电子商务中,网上交易的支付问题的安全性问题越来越突出,为确保顾客在购买东西的时候不会钱财两空,一种新的支付方式——第三方支付出现了,第三方支付平台的出现解决了电子商务的瓶颈——网上支付信用与安全问题,充当商家与消费者之间的信用纽带,作为交易各方与银行的接口,消除消费者对商家的疑虑,提供方便快捷简易的支付方式,在很大程度上推动了电子商务的发展。

那么,第三方支付具体指的是什么呢?所谓第三方支付,是指为了保障电子商务的支付安全,支付通过买卖双方之间完全中立的一家企业来完成。用E-mail来进行网上支付;打个电话报上信用卡号就能预订机票;用手机上网交水费电费游戏费……在中国人还没有完全适应从纸制货币进化到“塑胶货币”(信用卡)的今天,网络银行、手机钱包等第三方支付工具已经迫不及待地登场了。

近日,有媒体报道,有网民利用三方支付工具从信用卡套现。就此,该文进而对第三方支付的安全性问题提出质疑,认为电子支付有可能被金融犯罪分子所利用,充当其洗钱的工具。且不管该文提到的套现现象是否属于依然在可控范围内的小概率事件,也不提所谓的套现行为是否缘于第三方支付的安全漏洞,单就所谓洗钱的担心而论,可以说,该文是严重低估了央行以及各商业银行的风险控制能力,也大大低估了各大第三方支付公司的风险把控能力。

实际情况是,早在1996年4月1日,中国人民银行就颁布并实施了《信用卡业务管理办法》,其中明确规定,持卡人不允许利用信用卡套取现金以及恶意透支。对于信用卡套现这个问题,不光招商银行等商业银行关注有加,第三方支付公司支付宝、贝宝等亦是小心翼翼,如履薄冰,先后出台了多项严格的风险控制系统,协助银行解决问题。

在如何对待信用卡套现的问题上,国内领先的第三方支付平台如PAYPAL(贝宝)、支付宝、快钱等目前都采用了多种安全措施。

例如,PAYPAL(贝宝)在防止盗号、提供密码加密以及减少信用卡套现等方面,已经配合银行做了大量工作;快钱除了从技术手段上防范盗卡之外,还在安全方面加设了用户的认证系统等六道功能,试图将安全隐患压低到最小程度。

作为国内最大的第三方支付平台,支付宝的做法就更为完备。早在2006年7月,支付宝就推出“支付宝认证”服务,对所有使用支付宝的卖家进行双重身份认证,即身份证认证和银行卡认证。除了与公安部全国公民身份证号码查询服务中心合作校验身份证的真伪,支付宝还与各大商业银行进行合作,利用银行账户实名制信息来校验用户填写的姓名和银行账户号码是否准确,摒弃了某些购物网站仅凭一个手机号码或者身份证号码进行简单认证的模式。支付宝公司还在国内率先推出了“全额赔付”制度和交易安全基金,网络欺诈发生率仅为万分之二。

为了保证支付宝的安全性,支付宝技术团队还自发研制了数字证书,其安全性能得到各银行认同。相对于目前国内所有第三方认证公司采用的认证形式,支付宝的数字证书从技术上摆脱了普通6位密码验证,改以1024位加密的数字签名技术,因而更为安全。而数字密码的惟一性,也更有助于客户身份的识别。

央行的《电子支付指引》规定,银行通过互联网为个人客户办理电子支付业务,除采用数字证书、电子签名等安全认证方式外,单笔金额不应超过1000元人民币,每日累计金额不应超过5000元人民币,并规定信用卡的网上支付不得超过提现额度。国内目前没有一家银行和任何一家网上支付公司允许网上“单日支付额度由信用卡额度决定”。在这方面,支付宝也早已主动和和很多发卡银行联手,针对套现现象做了信用卡网上支付单笔限额的规定,例如,招商银行的信用卡支付限制的是单笔最高限额499元。为了保证支付宝的安全性,支付宝还有CTU风险控制系统来随时扫描和监控交易的进行,防范可能存在的盗卡及套现行为。

实际上,从2006年5月开始,支付宝就已委托中国工商银行对支付宝公司开立在各家银行的客户交易保证金账户的余额进行核查,工行并定期出具《支付宝客户交易保证金托管报告》。这是中国银行界第一次为第三方支付平台做资金托管的审核报告,也是当前唯一银行愿意托管的第三方支付平台。2006年12月8日,从工行对11月1日~11月30日期间所有发生的支付宝公司的客户提现及余额支付进行的抽查情况看,支付宝存放在各家银行的客户交易保证金余额总和等于支付宝客户存放在贵公司的资金余额与待处理款、未达款余额之和,报告期间内未发现支付宝客户交易保证金被挪用情况。

值得一提的是,截至目前工行、农行都已经开始把以支付宝为主的阿里巴巴中小企业信用体系作为他们给中小企业贷款的一个衡量指标;而浦东发展银行等也看到了里面的巨大商机纷纷加入。

电子支付的安全范文第11篇

关键词:电子支付;RFID;安全性

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)24-0267-02

当今的移动通信系统除了能够提供传统的语音、数据、多媒体业务外,正向着更广的在线支付发展,个人智能终端将得到更广泛地使用,以满足用户的多种需求。以无线通信技术和存储器技术为核心的RFID技术,已经取得突破性成果并开始商用,本文主要针对RFID技术的工作原理、安全隐患以及发展趋势进行阐述。

1 RFID技术及其基本工作原理

1) RFID(Radio Frequency Identification)技术,指的是射频识别,它是一种非接触式的自动识别技术,通过射频信号来识别目标,并获取相关的数据。

2) RFID系统组成,由RFID 标签、阅读器和后台数据库3个部分组成:

RFID (Tag):由耦合元件及芯片组成,根据标签的能量来源,可以分为3类:被动式标签、半被动式标签和主动式标签。每个标签上有用于与阅读器进行通信的天线,并拥有唯一的电子编码。

阅读器(Reader):一般有手持式或固定式,也是一个带有无线收发功能的设备。可分为感应耦合及后向散射耦合两种。

后台数据库:用于存储标签的相关信息。通过扫描标签。阅读可以得到相关的信息。

3 )RFID技术的基本工作原理:标签进入磁场后,接收解读器发出的射频信号,凭借感应电流所获得的能量发送出存储在芯片中的产品信息(无源标签或被动标签),或者由标签主动发送某一频率的信号(Active Tag,有源标签或主动标签),解读器读取信息并解码后,送至中央信息系统进行有关数据处理。一套完整的RFID系统, 是由阅读器与电子标签也就是所谓的应答器及应用软件系统三个部分所组成,其工作原理是Reader发射一特定频率的无线电波能量,用以驱动电路将内部的数据送出,此时Reader便依序接收解读数据, 送给应用程序做相应的处理。

2 RFID的安全隐患

RFID存在着与生俱来的安全隐患,具体有如下几种:假冒、窃取、隐私泄露、位置跟踪、拒绝服务攻击等。

1)假冒,通过假冒RFID标签的电子产品编码EPC进行伪造,从而扰乱正常的RFID系统。

2)窃取,由于RFID系统中的很多时候是通过无线进行信息传输的,因此存在信号可能会被窃取的危险,这将直接影响到整个RFID体系的安全。

3) 隐私泄露,RFID电子标签中所包含的信息关系到消费者的隐私,这些数据一旦被攻击者获取,消费者的隐私权将无法得到保障。

4) 位置跟踪,非法用户可以采用多种手段和设施对标签的进行跟踪,从而了解设备的行动路径。

5)重放攻击,在重方攻击中,有效的RFID信号被中途截取,并将其中的数据保存下来,这些数据随后可被发送给阅读器。

6)拒绝服务攻击,通过噪声信号使得RFID通信造成射频阻塞,或是对基于变化ID的RFID认证系统进行攻击,造成标签和阅读器两端的ID不相同,使得RFID标签无法正常访问。

面对如此繁多的安全隐患,RFID系统中高强度的安全机制是必需的。而移动RFID系统的安全性考验比RFID系统更艰巨。

3 基于RFID的移动电子支付安全

目前移动电子支付主要分有3种形式:基于WAP网络平台的网上银行交易;采用STK菜单通过短信方式的手机话费支付;基于RFID,通过手机终端与POS机进行的短距离通信,可以采用手机话费支付形式或通过SIM卡与个人银行账户绑定的形式进行交易。

基于RFID形式的刷卡交易简单易用,无需通过WAP、SMS形要通过烦琐的手机输入操作,但目前仍存在着不少问题。首先是RFID设备本身的安全性问题,由于其资源受限,计算能力较弱,难以加入强度较高的复杂的安全算法,这对移动电子支付的安全性会带来一定的影响。目前中国移动推出的RF-SIM卡,支持DES,3DES,RSA算法并内置PKI算法引擎。但这对设备带来安全的同时,成本上的消耗是之前的SIM卡的5倍左右,这将会使得RF-SIM的推广带来一定的限制。

这种RF-SIM卡能进行实时鉴权,对空口数据传输的数据自动用3DES加密,可以防止数据窃听,在进行刷卡操作时,会自动进行双向认证,对于关键的指令数据则采用RSA加密。其采用PKI算法引擎这种成熟的公钥密码机制为基于RFID的移动电子支付带来了较为可靠的安全基础。

另外,在整个移动支付的过程中,涉及许多参与角色:消费者、商家、移动运营商、第三方服务提供商、银行。消费者和商家是系统的服务对象,移动运营商提供网络支持,银行方提供银行相关服务,第三方服务提供商提供支付平台服务,通过各方的结合以实现业务。

相比于RFID系统,移动支付还需要考虑以下安全问题:

1) 移动终端接入支付平台的安全,包括用户注册时,签约信息是否能安全传递,用户通过移动终端登录系统时,其间传递的数据用户信息等是否能得到安全保障。

2)支付平台和习惯传输的安全,手机病毒或木马的侵袭,或者支付软件自身存在的漏洞,很可能会造成支付隐患。同时,移动支付所追求的就是便捷的用户体验,甚至比互联网支付更加程序简易,这就降低了支付安全性。过于便捷的移动支付认证与使用,同样也会有相应风险存在。

3)用户需要在任何场合都谨慎保管各种个人信息,包括身份证、银行卡、手机验证码等隐私信息,避免不必要的泄漏。,加大对各种诈骗信息,钓鱼网站的管理力度,营造一个安全稳定的网络氛围,减少移动支付之中混杂的各种不安全因素。

4 结束语

近年来电子支付的发展之迅速大家有目共睹,而移动支付作为一个新型的支付手段,也已经从发展阶段逐步走向成熟阶段。目前中国许多企业都已联合推出基于RFID的移动支付技术,以便更好地抢占移动支付的市场,如中国银联的手机SD卡的NFC技术,中国移动的RF-SIM,中国电信的SIMPASS卡,中国联通的基于SWP标准的NFC技术。这不仅使基于RFID的移动支付的标准化增加了难度,也为移动支付平台对各种支付技术标准的兼容及建立于标准之上的安全协议技术的统一带来了一定的挑战。

电子支付的安全范文第12篇

[关键词] 电子商务 第三方支付 安全性

在电子商务中,网上交易的支付问题的安全性问题越来越突出,为确保顾客在购买东西的时候不会钱财两空,一种新的支付方式――第三方支付出现了,第三方支付平台的出现解决了电子商务的瓶颈――网上支付信用与安全问题,充当商家与消费者之间的信用纽带,作为交易各方与银行的接口,消除消费者对商家的疑虑,提供方便快捷简易的支付方式,在很大程度上推动了电子商务的发展。

那么,第三方支付具体指的是什么呢?所谓第三方支付,是指为了保障电子商务的支付安全,支付通过买卖双方之间完全中立的一家企业来完成。用E-mail来进行网上支付;打个电话报上信用卡号就能预订机票;用手机上网交水费电费游戏费……在中国人还没有完全适应从纸制货币进化到“塑胶货币”(信用卡)的今天,网络银行、手机钱包等第三方支付工具已经迫不及待地登场了。

近日,有媒体报道,有网民利用三方支付工具从信用卡套现。就此,该文进而对第三方支付的安全性问题提出质疑,认为电子支付有可能被金融犯罪分子所利用,充当其洗钱的工具。且不管该文提到的套现现象是否属于依然在可控范围内的小概率事件,也不提所谓的套现行为是否缘于第三方支付的安全漏洞,单就所谓洗钱的担心而论,可以说,该文是严重低估了央行以及各商业银行的风险控制能力,也大大低估了各大第三方支付公司的风险把控能力。

实际情况是,早在1996年4月1日,中国人民银行就颁布并实施了《信用卡业务管理办法》,其中明确规定,持卡人不允许利用信用卡套取现金以及恶意透支。对于信用卡套现这个问题,不光招商银行等商业银行关注有加,第三方支付公司支付宝、贝宝等亦是小心翼翼,如履薄冰,先后出台了多项严格的风险控制系统,协助银行解决问题。

在如何对待信用卡套现的问题上,国内领先的第三方支付平台如PAYPAL(贝宝)、支付宝、快钱等目前都采用了多种安全措施。

例如,PAYPAL(贝宝)在防止盗号、提供密码加密以及减少信用卡套现等方面,已经配合银行做了大量工作;快钱除了从技术手段上防范盗卡之外,还在安全方面加设了用户的认证系统等六道功能,试图将安全隐患压低到最小程度。

作为国内最大的第三方支付平台,支付宝的做法就更为完备。早在2006年7月,支付宝就推出“支付宝认证”服务,对所有使用支付宝的卖家进行双重身份认证,即身份证认证和银行卡认证。除了与公安部全国公民身份证号码查询服务中心合作校验身份证的真伪,支付宝还与各大商业银行进行合作,利用银行账户实名制信息来校验用户填写的姓名和银行账户号码是否准确,摒弃了某些购物网站仅凭一个手机号码或者身份证号码进行简单认证的模式。支付宝公司还在国内率先推出了“全额赔付”制度和交易安全基金,网络欺诈发生率仅为万分之二。

为了保证支付宝的安全性,支付宝技术团队还自发研制了数字证书,其安全性能得到各银行认同。相对于目前国内所有第三方认证公司采用的认证形式,支付宝的数字证书从技术上摆脱了普通6位密码验证,改以1024位加密的数字签名技术,因而更为安全。而数字密码的惟一性,也更有助于客户身份的识别。

央行的《电子支付指引》规定,银行通过互联网为个人客户办理电子支付业务,除采用数字证书、电子签名等安全认证方式外,单笔金额不应超过1000元人民币,每日累计金额不应超过5000元人民币,并规定信用卡的网上支付不得超过提现额度。国内目前没有一家银行和任何一家网上支付公司允许网上“单日支付额度由信用卡额度决定”。在这方面,支付宝也早已主动和和很多发卡银行联手,针对套现现象做了信用卡网上支付单笔限额的规定,例如,招商银行的信用卡支付限制的是单笔最高限额499元。为了保证支付宝的安全性,支付宝还有CTU风险控制系统来随时扫描和监控交易的进行,防范可能存在的盗卡及套现行为。

实际上,从2006年5月开始,支付宝就已委托中国工商银行对支付宝公司开立在各家银行的客户交易保证金账户的余额进行核查,工行并定期出具《支付宝客户交易保证金托管报告》。这是中国银行界第一次为第三方支付平台做资金托管的审核报告,也是当前唯一银行愿意托管的第三方支付平台。2006年12月8日,从工行对11月1日~11月30日期间所有发生的支付宝公司的客户提现及余额支付进行的抽查情况看,支付宝存放在各家银行的客户交易保证金余额总和等于支付宝客户存放在贵公司的资金余额与待处理款、未达款余额之和,报告期间内未发现支付宝客户交易保证金被挪用情况。

值得一提的是,截至目前工行、农行都已经开始把以支付宝为主的阿里巴巴中小企业信用体系作为他们给中小企业贷款的一个衡量指标;而浦东发展银行等也看到了里面的巨大商机纷纷加入。

电子支付的安全范文第13篇

[关键词]电子商务 网络支付 安全

一、引言

随着信息技术日新月异的发展,人类正在进入以网络为主的信息时代。基于Internet开展的电子商务已逐渐成为人们进行商务活动的新模式,越来越多的人通过Internet进行商务活动 电子商务的发展前景十分诱人,但随之而来的是其安全问题也变得越来越突出。如何建立一个安全、便捷的电子商务应用环境,保证整个商务过程中信息的安全性,使基于Internet的电子交易方式与传统交易方式一样安全可靠,已经成为在电子商务中备受关注的重要技术问题。

二、电子商务网络中存在的问题

1.网络技术及应用漏洞

目前电子商务应用的操作系统都存在不同程度的网络安全漏洞,如果不对该系统进行经常的升级和维护,系统一旦遭到攻击就很可能泄漏系统信息,甚至导致系统的崩溃。另外操作系统提供的无口令入口是为系统开发人员提供的便捷入口,但它也成了黑客的通道。

2.人为的因素

工作责任心不强,没有良好的工作态度,经常擅自离开工作岗位,使不法分子有机可乘,人室盗窃机密信息和破坏系统。保密观念不强或不懂保密守则,随便让无关人员进人机房重地 随便向无关人员泄漏机密信息,随便乱放打印和复印的机密信息资料、记有系统口令和系统运行状态跟踪等方面内容的工作笔记、载有重要信息的系统磁盘和磁带等,都会酿成严重后果。

3.电脑病毒问题

随着网络技术的广泛应用,通过电子邮件、压缩文件传播病毒已经成为病毒传播的主要途径 病毒种类更是呈多样化发展,其破坏性不断增强、其传染速度也大大加快。各种新型病毒新病毒直接利用网络作为自己的传播途径,还有众多病毒借助干网络传播得更快,动辄造成数百亿美元的经济损失。

三、电子商务采用的主要安全技术

1.网络节点的安全

防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供一个相对更安全的平台。防火墙是在连接 Internet和 Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的 Intranet系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它只是整个安全策略的一个部分。

2.通讯的安全。

在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。为在浏览器和服务器之间建立安全机制, SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构 (CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥 ( PKI ) 。验证个人证书是为了验证来访者的合法身份,而单纯的想建立 SS L链接时客户只需用户下载该站点的服务器证书 (下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法 (RS A)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。

3.用户的认证管理。

(1) 身份认证。电子商务企业用户身份认证可以通过服务器CA证书与I C卡相结合实现。CA证书用来认证服务器的身份, I C卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用I D号和密码口令的身份确认机制。

(2) CA证书认证。要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是 CA证书,它由认证授权中心 (CA中心)发行。认证中心 (CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、 签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立 SS L安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立 SS L链接时客户只需用户下载该站点的服务器证书。

(3) 安全套接层 SSL协议。安全套接层 SS L协议是网景公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。SS L通过数字签名和数字证书来实行身份验证,数字证书是从认证机构 (CA, Certificate Authority)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、 证书者的数字签名、 证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。

四、结语

本文分析了目前电子商务网络支付安全方面的主要技术状况,安全技术可以说是网络技术中较为尖端的技术,都是非常先进的技术手段;只要运用得当,配合相应的安全管理措施,基本能够保证电子商务中网络支付的安全;但不是 100%的绝对安全,而是相对安全。随着网络安全技术的进步与信用机制的完善,电子商务网络支付定会越来越安全。

参考文献:

[1]甘悦. 浅议电子商务信息安全体系的构建 [ J ]. 西北成人教育学报, 2007 (2) .

电子支付的安全范文第14篇

【关键词】网上支付 电子商务 安全

一、网上支付交易出现的安全隐患

1.用户的身份冒充

攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人进行交易,从而获得非法利益。攻击者还以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加、修改数据,以干扰用户的正常使用。

2.泄漏或丢失

是指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏,如利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,探测有用信息。信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等方式窃取敏感信息。对信息的篡改。攻击者有可能对网络上的信息进行截获后篡改其内容,如修改消息次序、时间,注入伪造消息等,从而使信息失去真实性和完整性。网上支付电费大多都是通过网络银行进行交易的,攻击者利用对合法用户的攻击盗用合法用户的用户名及密码进行其实操作,这样对合法用户造成了巨大的损失。

3.缺少严格的网络安全管理制度

网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。

4.非授权访问

未经许可就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息等。

二、用安全技术对支付进行有效保护

1.加密技术

(1)对称加密

在对称加密方法中,对信息的加密和解密都使用相同的密钥。也就是说,一把钥匙开一把锁。使用对称加密方法将简化加密的处理,每个贸易方都不必彼此研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。对称加密方式存在的一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密钥,贸易双方的任何信息都是通过这把密钥加密后传送给对方的。

(2)非对称加密

在非对称加密体系中,密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密性的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛,但它只对应于生成该密钥的贸易方。贸易方利用该方案实现机密信息交换的基本过程是:贸易甲方生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易乙方使用该密钥对机密信息进行加密后再发送给贸易甲方;贸易甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易甲方只能用其专用密钥解密由其公开密钥加密后的任何信息。

2.密钥管理技术

(1)对称密钥管理

对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥,要保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄密和更改密钥的程序。这样,对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安全,同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。贸易方可以为每次交换的信息(如每次的edi交换)生成唯一一把对称密钥并用公开密钥对该密钥进行加密,然后再将加密后的密钥和用该密钥加密的信息(如edi交换)一起发送给相应的贸易方。由于对每次信息交换都对应生成了唯一一把密钥,因此各贸易方就不再需要对密钥进行维护和担心密钥的泄露或过期。这种方式的另一优点是即使泄露了一把密钥也只将影响一笔交易,而不会影响到贸易双方之间所有的交易关系。这种方式还提供了贸易伙伴间对称密钥的一种安全途径。

(2)公开密钥管理

贸易伙伴间可以使用数字证书(公开密钥证书)来交换公开密钥。国际电信联盟(itu)制定的标准x.509(即信息技术——开放系统互连——目录:鉴别框架)对数字证书进行了定义该标准等同于国际标准化组织(iso)与国际电工委员会(iec)联合的iso/iec 9594-8:195标准。数字证书通常包含有唯一标识证书所有者(即贸易方)的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。证书者一般称为证书管理机构(ca),它是贸易各方都信赖的机构。数字证书能够起到标识贸易方的作用,是目前ec广泛采用的技术之一。

(3)数字签名

数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。

三、网上支付的防范措施

对于消费者而言,要保证网上交易的安全,首先你使用的计算机要安全。具体的措施包括有安装防病毒软件(并定期更新病毒库)、安装个人防火墙、给系统和网页浏览器常更新安全补丁、不要随意接受qq等聊天工具中传来的文件、不要轻易打开电子邮件中的附件等等。其次,保证连接的安全。进入网站时先确保网址的正确性。在提交任何关于你自己的敏感信息或私人信息,尤其是你的信用卡号之前,一定要确认数据已经加密,并且是通过安全连接传输的。浏览器和web站点的服务器都要支持相关协议。第三,保护自己的隐私,在设置密码时最好以数字和字母相结合,不要使用容易破解的信息作为你的密码。花几分钟阅读一下电子商务公司的隐私保护条款,这些条款中应该会对他们收集你的哪些信息和这些信息将被如何使用做详细说明。尽量少暴露你的私人信息,填在线表格时要格外小心,不是必填的信息就不要主动提供。最后,不轻易运行不明真相的程序。攻击者常把系统破坏程序换一个名字用电子邮件发给你,并带有一些欺骗性主题,骗你说一些“帮我测试一下程序”之类的话。你一定要警惕了!对待这些表面上很友好、跟善意的邮件附件,我们应该做的是立即删除这些来历不明的文件。除以上介绍的安全保护措施以外,最好不要在公共场所使用网络银行,比如网巴、公共图书馆等;每次使用完网络银行后,应该单击页面中相应的“退出登陆”按钮正确退出。

参考文献:

电子支付的安全范文第15篇

【关键词】网上支付电子商务安全

一、网上支付交易出现的安全隐患

1.用户的身份冒充

攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人进行交易,从而获得非法利益。攻击者还以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加、修改数据,以干扰用户的正常使用。

2.泄漏或丢失

是指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏,如利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,探测有用信息。信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等方式窃取敏感信息。对信息的篡改。攻击者有可能对网络上的信息进行截获后篡改其内容,如修改消息次序、时间,注入伪造消息等,从而使信息失去真实性和完整性。网上支付电费大多都是通过网络银行进行交易的,攻击者利用对合法用户的攻击盗用合法用户的用户名及密码进行其实操作,这样对合法用户造成了巨大的损失。

3.缺少严格的网络安全管理制度

网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。

4.非授权访问

未经许可就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息等。

二、用安全技术对支付进行有效保护

1.加密技术

(1)对称加密

在对称加密方法中,对信息的加密和解密都使用相同的密钥。也就是说,一把钥匙开一把锁。使用对称加密方法将简化加密的处理,每个贸易方都不必彼此研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。对称加密方式存在的一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密钥,贸易双方的任何信息都是通过这把密钥加密后传送给对方的。

(2)非对称加密

在非对称加密体系中,密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密性的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛,但它只对应于生成该密钥的贸易方。贸易方利用该方案实现机密信息交换的基本过程是:贸易甲方生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易乙方使用该密钥对机密信息进行加密后再发送给贸易甲方;贸易甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易甲方只能用其专用密钥解密由其公开密钥加密后的任何信息。

2.密钥管理技术

(1)对称密钥管理

对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥,要保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄密和更改密钥的程序。这样,对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安全,同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。贸易方可以为每次交换的信息(如每次的EDI交换)生成唯一一把对称密钥并用公开密钥对该密钥进行加密,然后再将加密后的密钥和用该密钥加密的信息(如EDI交换)一起发送给相应的贸易方。由于对每次信息交换都对应生成了唯一一把密钥,因此各贸易方就不再需要对密钥进行维护和担心密钥的泄露或过期。这种方式的另一优点是即使泄露了一把密钥也只将影响一笔交易,而不会影响到贸易双方之间所有的交易关系。这种方式还提供了贸易伙伴间对称密钥的一种安全途径。

(2)公开密钥管理

贸易伙伴间可以使用数字证书(公开密钥证书)来交换公开密钥。国际电信联盟(ITU)制定的标准X.509(即信息技术——开放系统互连——目录:鉴别框架)对数字证书进行了定义该标准等同于国际标准化组织(ISO)与国际电工委员会(IEC)联合的ISO/IEC9594-8:195标准。数字证书通常包含有唯一标识证书所有者(即贸易方)的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。证书者一般称为证书管理机构(CA),它是贸易各方都信赖的机构。数字证书能够起到标识贸易方的作用,是目前EC广泛采用的技术之一。

(3)数字签名

数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。

三、网上支付的防范措施

对于消费者而言,要保证网上交易的安全,首先你使用的计算机要安全。具体的措施包括有安装防病毒软件(并定期更新病毒库)、安装个人防火墙、给系统和网页浏览器常更新安全补丁、不要随意接受QQ等聊天工具中传来的文件、不要轻易打开电子邮件中的附件等等。其次,保证连接的安全。进入网站时先确保网址的正确性。在提交任何关于你自己的敏感信息或私人信息,尤其是你的信用卡号之前,一定要确认数据已经加密,并且是通过安全连接传输的。浏览器和Web站点的服务器都要支持相关协议。第三,保护自己的隐私,在设置密码时最好以数字和字母相结合,不要使用容易破解的信息作为你的密码。花几分钟阅读一下电子商务公司的隐私保护条款,这些条款中应该会对他们收集你的哪些信息和这些信息将被如何使用做详细说明。尽量少暴露你的私人信息,填在线表格时要格外小心,不是必填的信息就不要主动提供。最后,不轻易运行不明真相的程序。攻击者常把系统破坏程序换一个名字用电子邮件发给你,并带有一些欺骗性主题,骗你说一些“帮我测试一下程序”之类的话。你一定要警惕了!对待这些表面上很友好、跟善意的邮件附件,我们应该做的是立即删除这些来历不明的文件。除以上介绍的安全保护措施以外,最好不要在公共场所使用网络银行,比如网巴、公共图书馆等;每次使用完网络银行后,应该单击页面中相应的“退出登陆”按钮正确退出。

参考文献:

精品推荐
扩展阅读
推荐期刊