前言:中文期刊网精心挑选了网络支付的安全性范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络支付的安全性范文1
[关键词]电子商务;安全支付系统;信息化网络
[DOI]1013939/jcnkizgsc201536032
电子商务属于信息化商业贸易活动,是一个全球化的经济平台。网络开辟出了一条信息化的经济渠道,通过电子支付的方式进行网上经济活动。电子安全支付系统是电子商务发展的重要基础,电子支付安全性受到社会的广泛关注。但是,由于网络环境的特殊性,支付系统的安全性成为其发展的关键问题。
1电子支付现状
目前来看电子支付方式是适应于电子商务支付的,整合了网络、环境与人的经济平台结合。与传统经济贸易相比,经济流程发生了巨大的改变,通过通信设备与网络平成了商业交易。随着经济的发展,银行业务的功能需求也相应的增加。比如,银行信用卡、理财产品、保险业务等,这些业务的有效开展是多方联合的,需要银行与保险公司、证券公司等单位合作,这种合作方式涉及网络互联问题。银行业务在国民经济命脉中占有主导地位,区别于其他单位业务范围,其安全侧重点也大不相同,这样可能导致银行网络受互联合作单位的安全威胁。因为其他单位的网络防御系统可能存在漏洞,一旦有攻击者通过这些薄弱环节远程进入银行网络,其后果是不可想象的。随着信息技术的拓展,推动了银行业务的全国联网形式,对电子支付形成了一定程度的隐患影响,因为联网形式就代表一家同类银行出现网络漏洞,其他银行的电子支付安全也将面临严重的威胁。
2电子支付安全风险分析
电子支付安全风险是指攻击者针对网络环境的脆弱性,盗取资产或者损害他人经济利益的行为,是一种潜在的经济风险,电子支付的关键问题是确保其安全性。
21电子支付内部人员隐患
电子支付主要是通过网络平台进行经济交易,网络为电子商务奠定发展基础,因此两者是相互关联的。由于网络具备广泛、自由等特点,其涉及的领域也是全球性的,所以银行等金融行业的恶意入侵事件较为严重。目前,银行安全隐患事件中,有70%来自银行内部人员,这表明了一种现象――银行内部安全体系的构建较为紧迫。还有,电子支付隐患也包括网络管理安全的隐患。管理安全涉及两方面,分别是制度和技术的问题,如果制度不健全,员工职业操守薄弱,那么就会相应地发生管理风险,从而产生一定的经济风险问题。因此说,健全管理是保证安全支付系统的关键因素,要加强管理的执行力度,不给员工留下犯罪漏洞。
22电子支付风险形式
电子支付被人们接受的同时,其支付安全也成为关注的焦点问题。基于网络平台的开放性,为电子支付埋下了安全隐患。比如,一些非法人员通过攻击手段获取、篡改电子商务信息,或者非法占有用户的服务资源。这种行为造成的经济损失是不可估量的,所以必须针对这些问题采取措施,从而防患于未然。
3电子支付安全支付系统的构建
31数据加密
电子商务最基本的安全构建设置是加密技术,这是一种重要的信息保密手段。信息加密常用的做法就是用数学方法组织原始信息,加密后可以有效保证传输数据不被攻击者识别。合法接受者,只要掌握密钥就可以破解密码。由此可见,数据加密流程涉及三个步骤:信息、密钥、算法三项。加密技术通过信息编码,达到隐藏数据的目的,使得非法用户获取不到数据内容。满足了数据安全、完整性,也是电子商务安全支付的关键技术。密钥是密码设置转换的关键,控制数据明文和密文的转换。密钥又分为加密与解密密钥,其转换流程如图1所示。
32完善相关法律
电子商务出台的法律有《电子签名法》,其他相关法律文件还比较空白。因此完善电子支付法规比较迫切,以为电子支付的正常运营设计进行法律支撑。目前,电子商务在网络环境中进行网络交易,必须要进行身份验证,否则网络环境是虚拟的,买卖双方没有诚信保证。即使数据接收者接收的收据是完整的,但不能确定数据是否篡改过。为了解决这一问题,以及防止诈骗行为的发生,验证身份变得十分必要。但是这只是改善了电子支付的运营环境,没有从根本上解决这一问题。相关部门必须加强法律条文建设,监管电子商务系统,这样信誉卖家的买卖流程就得到了法律的保护,从而促使商业活动得到约束。这样整体社会经济的信誉等级也会上升。填补电子商务的法律空白,是改变电子系统现状的有效途径,使商务网络经济活动运营的更加健康从而可持续发展。目前,电子商务有身份安全认证特指,这种电子商务经济活动参与者自身的认定,从安全角度分析,就是认证者接收验证信息在网上传送其验证码认证,或者通过公开密钥的签名法,这种方法不需要在网络系统上进行验证码认证,只需要数字签名即可。目前,虽然有了《电子签名法》,但是对应电子商务流程的相关法律没有跟上,从而使得法律缺少连续性保护。
33安全技术协议
安全支付是网络经济交易的重要环节,目前,电子支付安全性还没有较成熟的应对措施。但是SSL和SET安全协议的出现,缓解了这一难题。现在这两种安全协议在电子商务活动中应用广泛。SSL安全协议,能对个人信息等提供强有力的保护,对计算机间的经济活动进行加密。分为两种方法,主要是公开与私有密钥加密法。设计原理与邮件通路设计思路相同,提高了数据间的安全系数。SSL的建立是整合在传输协议基础上的,协助数据信息的封装、压缩和加密,并且在数据传输时,数据接收方可以进行身份认证、交换密钥等行为。在进行网络商品交易时,按照SSL协议流程,就是客户的购买信息发往卖家,卖家再将此信息传送于银行。银行验证交易合法后,告知商家买家付款成功。SET协议改进了SSL协议的缺陷问题,有效地解决了在线交易信息安全传输问题。协议内容在SET基础上增加了商家认证,从而有效地保护了消费者权益。SET协议与SSL协议两者的运作应有明显的差距,比如,SET的安全环境要求更高,因此有关SET的交易需要参与者申请数字证书,以方便于后续工作识别身份。然而SSL协议,其应用只需要商家服务器身份认证,其认证有一定的针对性和选择性。现实电子商务交易中,认为SET安全性高于SSL,贯穿于整个交易过程,证书拥有者的网络交易行为保密严格。
4BTOB支付系统设计
41支付流程
BTOB支付系统设计包括五个部分,主要是生产商、卖家、银行、认证中心和商品交易中心。当生产商与卖家生成交易后,银行开始处理支付交易信息,认证中心确保其网络系统的安全性,对交易信息加密。交易中心记录了商品交易的流程,对传输信息有效地保管起来,也为后续不必要的经济争议提供了原始交易证据。支付流程如图2所示。
42支付安全需求分析
为了促使网络交易更加的安全,需要多种手段结合,在整体上统筹电子支付的安全性。比如消费者在订购商品时,订单、货单加设保密措施,这样才能实现消费者个人信息保护,并且促使支付系统安全。
43电子支付交易平台设计
电子商务交易双方在网络平台上,都需要特别注意安全问题。网络经济活动包括,交易双方身份验证、数字签名、账单承诺数字签名等,最后还要对传递数据加密解密。另外,此平台设计实现了网络交易的安全性,安全交易平台可以有效地记录重要的交易信息,将网络银行与计算机完美结合,并且通过协议和加密数据,实现电子商务支付的内部安全体系构建。
图3支付交易平台
这种BTOB系统的特性,就是需要卖家与电子支付系统共同开发。由于卖家电子业务要求比较灵活,动态性很强,正在支付安全的范围内,要给卖家增设支付接口,其特征就是SSL连接要多密码,在支付或者是返回支付网页时,多增加解密程序和相关的验证操作,步骤虽然烦琐,但是可以防止其他非法分子提取交易信息。
5结论
本文对电子支付系统的总流程进行了浅析,分析了电子商务安全支付系统的发展状况,根据上述浅析内容,我们发现安全支付系统设计领域的研究方向还需要不断深化,从而为电子商务的可持续发展奠定良好的基础。
参考文献:
[1]潘雨相基于PKI技术的电子商务安全支付系统设计[J].现代电子技术,2014(12).
[2]解红,刘建,周洁,等电子商务安全支付系统设计分析[C].2011年亚太信息网络与数字内容安全会议(APCID2011)论文集,2011
[3]唐颖基于SET协议的电子商务支付系统的分析与设计[D].贵阳:贵州大学,2010
[4]史高峰电子商务网上支付安全问题的探讨[J].知识经济,2014(14).
网络支付的安全性范文2
关键词:移动支付;风险分析;安全策略
1 引言
移动支付也称为手机支付,就是允许用户使用其移动终端(通常是手机)对所消费的商品或服务进行账务支付的一种服务方式。单位或个人通过移动设备、互联网或者近距离传感直接或间接向银行金融机构发送支付指令产生货币支付与资金转移行为,从而实现移动支付功能。移动支付将终端设备、互联网、应用提供商以及金融机构相融合,为用户提供货币支付、缴费等金融业务。
移动支付突破了传统电子商务的载体和地域限制,真正实现随时随地地通过无线方式进行交易,大大增强了买卖双方的灵活性和支付性,从而使大规模用户参与和个性化服务成为可能。2016年是移动支付快速发展的一年,全球市场呈现爆发式增长态势,据专业调研机构分析,2016年全球移动支付用户将突破10亿,移动支付交易额将达到2000亿美元。
根据中国银联近日的《2016移动支付安全调查报告》显示,2016年消费者网上消费金额及使用移动支付人数占比呈现双增长。根据报告,去年有超过九成的受访者曾使用手机完成付款(在商户现场支付或远程支付)。约四成的受访者选择“大额支付用卡,小额支付选手机”。
但是,目前在移动支付信息安全保障方面还存在着很多问题,报告显示,2016年电信诈骗案件持续高发,消费者受损比例持续走高。约有1/4的被调查者表示遭遇过电信网络诈骗并发生过损失,较2015年上升11个百分点。据调查,遭受电信网络欺诈的被调查者中,超过八成遭遇过盗用社交账号诈骗,较2015年同比增长了36个百分点。另外,木马链接短信和骗取短信验证码等欺诈手法也是常见的支付欺诈方式,遭遇两类手法的持卡人比例达到63%和51%。因此,保障移动支付安全将是移动支付发展的一大瓶颈。
2 移动支付的风险分析
2.1 基础网络风险隐患
运营商网络通信环境的潜在威胁无处不在。一是手机目前还无法完全验证网络接入点的安全性。黑客从伪基站、恶意WiFi网络可能获取用户信息,发起恶意攻击。二是在无线通信网络中,黑客可通过技术手段窃听无线信道,截获传输消息报文,伪造合法用户身份或篡改数据信息。三是一些不法分子利用伪基站技术发送诈骗短信,利用群呼、透传等技术实施电话诈骗,将主叫号码伪装成虚假的银行、运营商等官方号码,迷惑用户上当受骗。
2.2 移动设备安全漏洞
移动支付业务的实现依托移动设备,而作为最常用的移动设备,智能手机的安全性值得高度关注。一是手机操作系统漏洞不易修复。手机生产商在安卓操作系统上进行个性化定制开发后,难以形成统一的技术标准,尚未形成如个人电脑Windows系统那样全球统一的漏洞与补丁更新机制,手机操作系统的安全性面临挑战。二是手机病毒防范能力较弱。手机客户端软件打开的网址往往无法被手机安全软件捕获,二维码扫码工具仅简单地将二维码翻译成网站地址,并不具有识别恶意网址的能力,使得手机被木马程序入侵的几率大增。
2.3 服务提供商重便捷轻安全
第三方支付机构通过抢红包、打车补贴、互联网理财等支付场景积极抢占移动支付市场,往往牺牲部分安全性以提高便捷性。如部分快捷支付功能在绑定银行卡后仅需输入支付密码即可完成网上支付,二维码扫码支付通过手势密码登录客户端后就可进行200元以下的免密小额支付,某些应用程序通过读取通讯录和短信记录可实现免填验证码等,强调了用户体验,却埋下了安全隐患。如何在便捷与安全之间寻求平衡点成为移动支付产业链各方积极探寻的突破口。
2.4 行业制度规范尚不完善
我国移动支付方兴未艾,相关规章制度正在逐步建立和完善中,尚未形成明确的监管框架和体系,在发展过程中难免会出现责任不清、监管缺失的真空地带。当前,互联网上借贷理财、众筹模式、虚拟比特币等新兴金融工具给别有用心的不法分子留下了可乘之机,如红包浪潮中红色“AA收款”诈骗事件再次给我们提出安全警示。完善制度约束,保障信息安全已经成为当务之急。
3 移动支付的风险防范措施
相对于传统的支付方式来说,移动支付的安全问题尤为严峻,产业链上所有部门都必须从技术到信用通力合作。如果要让移动支付更好的为人们提供方便快捷的服务,就必须先保证个人隐私和信息安全,如果人们在第一次认识移动支付时就有很不好的或者不安全的体验,那么以后移动支付想要扭转这个“第一印象”会非常困难。因此手机支付发展的瓶颈是安全问题。根据移动支付的安全问题,可以采取以下措施,从而保证其安全性。
3.1 完善手机支付的安全管理
首先,对于移动应用发行商与移动支付服务商,二者要加强安全管理,通过测试与监管等手段,对恶意应用进行预防,对应用软件进行全面的管理,从而保证应用市场的安全性,提升渠道的安全性。其次,要提升安全防护能力,对于智能终端、应用软件与操作系统等进行不断的研发,从而保证其安全能力的逐步提升。最后,可以将手机支付业务也纳入到金融法律法规监管范围,当用户遇到欺诈等安全问题时可以在法律责任上找到明确的判断,明确各方应付的责任和赔付条款。
3.2 强化安全模块的保护功能
安全模块的功能主要是保证应用的实现,同时保障数据的安全存储,并且要提供相应的安全运算服务等。安全模块具有较高的安全性,在手机支付过程中,可以利用手机中的安全模块,即:用户识别卡(SIM),用户识别卡保证着手机支付的安全,是最为基础的安全保障,在其中将用户的私钥与数字证书进行存放,此时,要保C密钥也在卡内,对于加密与解密等操作,均要在卡中实现,从而将实现对用户数据信息的保护。现阶段,在手机支付中,主要的方案是机卡协作,此方案是最为基础的,其原理与Usbkey相似,其主控制芯片便是安全芯片,进而具有了诸多的功能,如:防复制、防篡改、抗攻击等。
3.3 引导客户建立手机支付的安全意识
培养良好的手机使用习惯,譬如只从官方网站或可信任的网站下载软件,安装手机安全防护软件,不点开陌生的彩信,不接收陌生的蓝牙推送程序,不随意扫描二维码.不要随意连接陌生兔费WiFi等。
参考文献
[1]陶凯.红包大战引发对移动支付安全的冷思考[J].中国信用卡,2015(5)
[2]陈钟.移动支付安全保障――挑战与机遇[J].金融电子化, 2012(6)
网络支付的安全性范文3
关键词:移动支付;风险;对策
中图分类号:TN929.5 文献标识码:A 文章编号:1007-9416(2017)01-0208-01
在数字化的时代背景下,基于数字技术、网络技术发展而来的移动支付在应用过程中不可避免的遇到了一些安全问题,如果移动终端出现安全威胁,就会影响终端用户对移动支付终端使用的信心,继而影响移动支付的发展。因此,当前移动支付研究重点内容在于提高和改进移动支付系统安全性,完善移动支付系统,打造出可靠性高、安全性高的移动支付平台。
1 移动支付应用现状与发展趋势
移动支付经历了几代的更新和深入研究,逐渐从传统支付手段过渡到电子支付,然后通过数字技术、网络技术发展成移动支付。移动支付业务已经逐渐成为全球发展趋势。据调查显示,当前已经有大概150个移动支付业务在运转经营之中,这些移动支付业务以各种各样的形式在世界各个角落发展。很多通信、金融领域都已经引进了移动支付的支付方式,并且对发展移动支付事业有极大的信心。根据Gartner公司数据表明,截止2015年全球移动支付终端用户达4亿人次,可以看出未来移动支付发展面临良好局面。不过随着移动终端用户人数的增加,移动支付在使用之中的安全问题也受到人们重视,亟待为移动支付创造更加安全的环境[1]。
移动支付手段对当代年轻人来说并不陌生,移动设备(如手机)、支付卡、网上银行、第三方支付等利用电子技术达成支付目的的支付方式已经渗透到人们生活各方面之中。未来,利用移动支付手段的终端用户将会越来越多,这是因为移动支付手段具有着远程支付和近距离支付的特点,满足了人们追求便捷的特点。随着科学技术的深入研究,移动支付手段的安全性能将持续提高,可以保证用户的资金安全。
2 移动支付应用存在的风险
2.1 移动终端设备的应用软件威胁
当前用户使用的移动终端设备多是手机、Ipad,用户在使用之中会因为移动终端设备受软件病毒的侵袭而泄露终端用户的信息。当前各种支付软件层出不穷,使用户也无法明确判断哪些软件能够具有更好的安全性能。在移动支付应用过程中主要的软件威胁有以下几种:第一类,终端性能被破坏,当手机等移动终端设备自身系统内存容量不足时,会影响软件的正常运行,例如支付宝、手机银行等移动支付软件的功能会受到限制,影响用户使用。第二类,恶意窃取用户信息,移动支付需要依靠网络进行支付,当终端设备与互联网联网时容易遭受恶意软件威胁,主要的威胁是盗取用户的各类信息。第三类,恶意扣费,在移动支付应用之中,恶意软件会假冒营运商定制收费业务,扣取话费等,这也是当前用户最常遇到的威胁[2]。
2.2 移动终端自身的物理环境威胁
移动终端设备最初只是具有短信等基本功能,随着新技术的不断研发人们当前使用上了智能手机,这也成为最常见的移动终端设备,促进了移动支付应用的发展。不过与此同时也因移动终端设备自身引起了新的移动支付应用风险。手机等终端如果被盗取极易泄露用户信息,当前的物理安全控制并不能直接应用到手机等移动终端上,这些设备在使用过程中设备的性能还是不能与笔记本和台式电脑相比,会耗费加密时间。
2.3 移动支付系统下的网络安全风险
移动支付应用过程中必须依赖网络,而一旦网络受到恶意攻击,就会影响信道质量,这对用户移动支付造成威胁。一些非法入侵者会利用网络漏洞,制造假页面骗取用户验证信息,然后将用户信息重放,进而威胁移动支付安全。还有中间人攻击,这是在重放之后再进行欺骗用户的行为。
3 应对移动支付应用中的风险的有效对策
3.1 应对移动终端设备应用软件威胁的对策
首先,要在正规安全网站下载软件,防止手机等移动终端设备下载恶意软件;其次,提高对权限请求提示的重视,一旦有其他网页请求确定操作,必须核实是否是移动支付操作中需要的;此外,要增对移动支付登录信息的保护,确定登录界面是手机银行官网,确定登录环境安全,在操作过程中最好避免打开蓝牙、红外等连接措施。
3.2 应对移动终端物理环境威胁的对策
移动终端用户应该保管好移动终端设备,可以在设备上设置等级较高的密码,除此还应该提高信息保护意识,移动终端设备上不要存入敏感信息,或者及时删除敏感信息。
3.3 利用数字技术应对移动支付网络安全风险
提高移动支付网络安全的有效途径是研究数字技术,利用数字加密等技术来保护移动终端,促进网络安全[3]。我们知道在移动支付过程中,对终端用户的身份确认是极为重要的,一旦有人骗取终端用户验证信息,就极有可能冒充终端用户进行移动支付,因此有必要研究数字签名技术,以此来鉴定终端用户的真实性,相当于为网络安全提供第二重保障。
4 结语
伴随着移动支付系统的开发和深入研究,移动支付在应用过程中出现了很多难以预料的安全问题,给终端的使用造成威胁。所以,要不断提高和改进移动支付安全性能,完善移动支付系统,打造出可靠性高、安全性高的移动支付平台。
参考文献
[1]唐芙蓉.移动支付技术采纳的影响因素研究[D].电子科技大学,2008.
网络支付的安全性范文4
关键词:电子商务;支付;SET;SSL;安全
1电子商务网上支付系统概况
电子商务主要涉及到三个方面的内容:信息,电子数据交换(EDI)和电子资金转帐。电子商务的交易过程一般可分为三步:第一步,交易各方在网上和寻找交易机会,比较价格和条件,选择交易对象;第二步,进行银行、运输、税务、海关等方面的电子数据交换,即EDI;第三步,将商品交付运输公司起运,银行按照合同约定,依据提供的单据进行支付。由此可见,电子商务的整个交易过程都涉及到支付问题,支付是电子商务的中心环节。
1.1电子商务支付系统的概念
电子商务支付系统是电子商务系统的重要组成部分,它指的是消费者、商家和金融机构之间使用安全电子手段交换商品或服务,即把新型支付手段(包括电子现金(E-CASH)、信用卡(CREDITCARD)、借记卡(DEBITCARD)、智能卡等)的支付信息通过网络安全传送到银行或相应的处理机构,来实现电子支付。
1.2电子商务支付系统的发展情况
电子商务于20世纪90年代初兴起于美国、加拿大等国,但在近几年电子支付才被人们普遍接受。各厂商如IBM、惠普、微软、SUN等纷纷推出自己的电子商务产品和各自的解决方案。随着电子商务的发展,各种法规也随之健全,德国、韩国、意大利、西班牙和美国的许多州已经通过数字签名和身份认证法律。1996年下半年,美国财政部颁布有关《全球电子商务选择税收政策》白皮书;联合国国际贸易法委员会(UNCITRAL)已经完成模型电子商务法的制定工作,为电子交易制订出统一通用的规则。另外,两大国际信用卡组织VISA和MASTER合作制订的安全电子交易(SET)协议定义了一种电子支付过程标准,其目的就是保护万维网上支付卡交易的每一个环节。SET是专为网上支付卡业务安全所制定的标准。
这几年来,我国的北京、上海、广州等信息产业发展较快的城市的信息产业部门开始了电子商务相关的研究,并在1998开通了自己的电子商务系统,其他省市也纷纷开始建立电子商务系统。
2电子商务支付业务存在的突出问题
目前,虽然国内网上购物方兴未艾,网上书店、网上商场频频亮相,图书、音像制品、软件光碟、小家电等琳琅满目,然而实际采取行动的购买者微乎其微,究其原因,固然有人们对网络交易的疑虑及购买习惯等因素的影响,但付款手续的复杂及其电子支付的安全性难以体现网上购物便利优势,致使用户的热情大打折扣。
因此,解决电子支付问题成为国内网上银行所面临的严峻挑战。这其中包括网络银行本身业务系统的问题以及如何为企业及个人提供完善服务的问题,还有一个重要的方面就是电子支付的安全性问题。电子支付的安全性直接影响电子商务的发展,解决不好,将成为制约电子商务发展最严重的瓶颈。
2.1信用障碍
良好的信用机制是网络银行发展的基本条件之一,我国在这方面差距很大。在美国,由于信用机制基础牢固,持卡人可以通过信用卡消费,风险小而且方便快捷。他们以银行为商品交易的核心,和买卖双方建立起一种三角形的稳定关系,以相互制约和相互监督的形式,把交易建立在以信用、担保为基础的平台之上。
由于基于Internet的电子商务,买卖双方可以互不见面,其信用问题就显得格外重要了。市场经济发展的两大支柱是社会保障体系和社会信用体系。就目前而言,我国无论是企业还是个人,还未普遍建立完善的信用体系,现金交易还占主导地位。买方担心付款后能否收到货物或能否收到满意的货物,卖方担心发货后能否按期如数收到货款。由此可见,信用问题对于电子商务的健康发展是多么重要。
2.2电子商务活动中电子支付与认证标准有待统一
目前安全协议有两种:SET与SSL。SET(SecureE1ectronicTransaction,简称SET),即“安全电子交易”,是VISA、MASTER两大国际卡组织和多家科技机构共同制订的进行在线交易的安全标准。SSL(SecureSocketLayer,安全套接层)协议,是由网景(Netscape)公司推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护。SSL是对计算机之间整个会话过程进行加密的协议。在SSL中,采用了公开密匙和私有密匙两种方法。
SET协议比SSL协议复杂,在理论上安全性也更高,因为前者不仅加密两个端点间的单人会话,还可以加密和认定三方面的多个信息,而这是SSL协议所不能解决的问题。但是SET也有自己的缺陷,由于过于复杂,所以对消费者、商户和银行方面的要求都非常高,推行起来遇到的阻力也比较大。相比之下,SSL则以其便捷和可以满足现实要求的安全性得到了不少人的认可。目前国际上对这两种网络安全协议到底哪种是未来的发展方向还没有完全形成共识。
2.3相关法规有待完善
我国电子商务立法明显滞后,在一定程度上影响了网上银行的发展。目前尚有如下问题需解决:
(1)电子支付的定义和特征。电子支付是通过网络实施的一种行为,与传统的支付方式类似,它要引起涉及资金转移方面的法律关系发生、变更和消灭。
(2)电子支付权利。电子支付的当事人包括付款人、收款人和银行,有时还存在中介机构。各当事人在支付活动中的地位问题必须明确,进而确定各当事人的权利的取得和消灭。
(3)涉及电子支付的伪造、更改与涂销问题。在电子支付活动中,由于网络黑客的破坏,支付数据的伪造、更改与涂销问题越来越突出,对社会的影响越来越大。
2.4银行业科技水平与国际先进技术相比滞后
到目前为止,在我国的金融系统中还没有出现提供信用支付手段的信用卡公司。“手机银行”与“网络银行”实际上都不过是利用电子终端设备的金融工具,这两种利用高技术手段的工具并未在金融服务的功能方面提供实质意义的突破,而且这两种工具的安全性目前尚有缺陷。毫无疑问,我国应当加快新型金融工具的发展步伐。
2.5支付的安全无法保证
网络的安全即便在电子商务发达的美国也是消费者十分担心的问题。世界各国发展电子商务也都存在着这样或那样的问题.
3促进我国电子商务支付业务发展的对策
3.1加强网络基础设施和现代化系统的建设,提高信息化普及率
政府应坚持建设“三金”工程和国家现代化支付系统。持续加大对金融网络基础设施的投入,成立专业的金融数据网络公司来经营管理数据通信网,为金融系统提供安全、快捷、高效、经济的通信服务;全面推进我国的金融电子化,提高各国有商业银行的服务水平和国际竞争力。在银行硬件方面,银行应该投入足够的资金购买先进的电子设备,从储蓄所里的柜员机到大型计算机、从局域网到广域网,电子设备应深入到银行内部的各个领域,将电子化网点和营业网点电子化覆盖率逐步提高。同时,银行应加大软件开发力度,推出系列应用系统软件,主要包括全国性和全行性的网络系统。
3.2健全社会整体信用制度,提升电子商务主体对在线支付安全的认知度
在线支付只有在广大客户的热情参与下,才有可能得到进一步发展。为增强客户的信任,可通过提升网络安全技术、及时收集反馈信息、密切与第三方合作等途径来实现。
首先,应提升网络安全技术,普及CA认证,以增大支付网络安全系数。网络安全技术问题的重要性是显而易见的,如果在线支付存在明显的漏洞,很容易受到外部的攻击,经常出现客户支付信息丢失或出错等情况,怎么能期望客户建立起对它的信任?网络信息的安全技术有很多,如防火墙技术、数据加密传输技术、身份鉴别技术、病毒防治技术等。然而,绝大多数客户对于具体的技术是不可能完全了解的。应使客户真正了解所受到的安全保护,从而打消对在线支付技术方面的顾虑。
其次,在线支付服务机构应发挥网络的低成本、高效率的特点,及时收集和反馈信息,了解客户的要求、抱怨和建议,并及时做出相应的解决方案。为争取客户,保持市场份额,在线服务机构必须调整经营管理构架,实施自身业务再造,为客户提供包括银行、保险、证券经纪和基金等多样化服务,体现“客户中心主义”理念。
最后,支付系统应借助于与第三方的合作,促进客户建立网络信任。据调查显示,在主页上标明与知名的第三方安全认证机构进行合作的在线支付系统更容易赢得客户的信任。这种有利于建立并维持客户网络信任的第三方合作还可以包括与银行的合作(包括支付渠道的通畅与安全),以及与信用度较高的网站建立联盟等,这样可以使在线支付获得更大发展。
3.3实现在线支付经营主体银行的自身制度创新
在国民经济体系中,在线支付的经营主体仍将是占据金融中枢地位的商业银行。商业银行应以其传统的人才、资金、技术和信息优势介入到在线支付业务,对自身管理和业务体系重新构造。
首先应实行经营方式的转轨。在线支付业务的需求为传统银行提供了新的发展方向,在线支付经营主体应将传统营销渠道和网络营销渠道相结合,走“多渠道并存”的道路,在开展传统业务的同时,不断开发出新的金融服务项目。银行应通过在线经营方向的调整,维持和增加客户资源,谋求自身更大的发展空间。
第二,应重构金融业务体系。电子商务对在线支付经营主体提出了整合和协同的要求,各参与银行应加强合作,通过建立金融门户的形式共享资源,把网络作为银行与证券、保险、基金等金融企业合作的平台,走综合化、全能化业务发展道路,银行对结算业务的支持应从单纯的在网上为企业用户提供转帐结算服务,发展为介入企业的采购和分销系统,以提高经营效率,为客户提供“一体式”的全方位服务,推进我国电子商务的发展。
网络支付的安全性范文5
关键词:网上银行网络支付安全性问题
随着电子商务技术的发展,网上银行的使用也越来越广泛,但是网上银行还存在很大的安全问题,必须引起广大网民群众的重视。
一、我国网上银行存在的安全性问题
1.网上银行网站存在的安全性问题
在网络银行中,企图非法窃取密码的作案者如果采用可以改变登录ID的方法,即便登录失败,网站也不会将密码视为无效。除了用软件窃取密码这样的隐忧以外,“冒充站点”也是网上银行使用中一个非常重要的安全隐患。客户在不了解情况时就会向虚假站点发送ID和密码。客户发送完毕后,如果显示出一个“服务马上就要停止”的画面,或者把客户访问重新引导到正规站点上,客户当时是很难察觉的。这样一来,就存在有人进行非法资金转移的可能性。
2.交易信息在商家与银行之间传递的安全性问题
因为互联网的虚拟性,交易双方无法确保对方身份的真实性,尤其在当事人仅仅通过互联网交流时,在这种情况下,要建立交易双方的信用机制和安全感是非常困难的。资金在网上划拨,安全性是最大问题,发展网上银行业务,大量经济信息在网上传递。而在以网上支付为核心的网上银行,电子商务最核心的部分包括CA认证在内的电子支付流程。就是说国内目前的网上银行还不能算真正的网上银行,只有真正建立起国家金融权威认证中心(CA)系统,才能为网上支付提供法律保障。
3.交易信息在消费者与银行之间传递的安全性问题
目前,我国银行卡持有人安全意识普遍较弱,不注意密码保密,或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出,用户账号就可能在网上被盗用,例如进行购物消费等,从而造成损失,而银行技术手段对此却无能为力。因此一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。用户和银行之间通过互联网传递的信息是实现交易的基础条件,如何确保不被第三方知道,是网上业务安全进行的一个重要前提。
综上所述,其根本原因都是由于登录密码或支付密码泄露造成的。①密码管理问题。②网络病毒、木马问题。③钓鱼平台。另外还有网上支付的信用问题、网上支付的法律问题和网上安全认证机构(CA)建设混乱等问题。
二、网上银行安全性问题解决的对策
1.做好自身电脑的日常安全维护
一是经常给电脑系统升级。二是安装杀毒软件、防火墙,经常升级和杀毒。三在平时上网是尽量不上一些小型网站,选大型网站,知名度比较高的网站,避免网站挂有病毒、木马造成中毒。四尽量不要在公共电脑上使用自己的有关资金的账户和密码。五有条件的情况下,在初装系统后确认电脑安全的后,给自己的电脑做上备份,在使用资金账户前做一次系统恢复。
2.设立防火墙,隔离相关网络
所谓防火墙指的是位与不同网络安全域之间的软件和硬件设备的一系列部件的组合,作为不同网络安全域之间通信流的唯一通道,并根据用户的有关策略控制进出不同网络安全域的访问。现实生活中一般采用多重防火墙方案,分隔互联网与交易服务器,防止互联网用户的非法入侵;还用于交易服务器与银行内部网的分隔,有效保护银行内部网,同时防止内部网对交易服务器的入侵。
3.设置高安全级的web应用服务器
高安全级的web服务器使用可信的专用操作系统,凭借其独特的体系结构和安全检查,保证只有合法用户的交易请求能通过特定的程序送至应用服务器进行后续处理。
4.建立完善的身份认证和CA认证系统
在网上银行系统中,用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验,全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输,确保了身份认证的安全可靠性。数字证书的引入,同时实现了用户对银行交易网站的身份认证,以保证访问的是真实的银行网站,另外还确保了客户提交的交易指令的不可否认性。由于数字证书的惟一性和重要性,各家银行为开展网上业务都成立了CA认证机构,专门负责签发和管理数字证书,并进行网上身份审核。2000年6月,由中国人民银行牵头,12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营。这标志着中国电子商务进入了银行安全支付的新阶段。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构,为今后实现跨行交易提供了身份认证基础。
5.加强客户的安全意识和网络通讯的安全性
银行卡持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。
安全性作为网络银行赖以生存和得以发展的核心及基础,从一开始就受到各家银行的极大重视,都采取了有效的技术和业务手段来确保网上银行安全。但安全性和方便性又是互相矛盾的,越安全就意味着申请手续越烦琐,使用操作越复杂,影响了方便性,使客户使用起来感到困难。因此,必须在安全性和方便性上进行权衡。
互联网是一个开放的网络,客户在网上传输的敏感信息在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,使用最广泛的是SSL数据加密协议。
参考文献:
[1]孙强.互联网商务应用[M].北京:对外经济贸易大学出版社,2000.
[2]关翔.中国电子商务与实践[M].北京:清华大学出版社,2000.
网络支付的安全性范文6
【关键词】电子商务 电子资金支付 安全需求
【中图分类号】TP399 【文献标识码】A 【文章编号】1674-4810(2013)31-0196-02
随着平板电脑、智能手机的广泛应用与迅猛普及,电子商务以其便利、便宜、多样化等优点,已成人们最主流的消费方式。电子商务刚出现时,只能浏览商品和下订单,不能在线支付,付款则通过传统的支付方式完成。不方便的传统支付方式成了电子商务发展的瓶颈,方便快捷的支付方式——电子资金支付应运而生。电子资金支付形式的出现,虽促进了电子商务的发展,但同时也引发了资金支付安全、买卖双方身份认证、电子文件认证以及监管等一系列问题。如何确保个人资金的安全、个人信息的安全,已经成为人们最为关注的问题。
一 电子资金支付的安全需求分析
Internet不受时空、地域的限制,是一个开放性的互联网络,电子资金支付基本上是暴露在所有人面前。要想保证电子资金支付的安全性,首先要确保网上交易的载体——计算机网络的安全以及用户机终端的安全。目前电子资金支付的安全需求主要有:
1.电子资金支付机密性
电子资金支付机密性主要指非法用户不得访问未经授权的数据,以免数据失密。主要分为数据存储机密性和数据网络传输的机密性。阻止非法者以非法手段窃取数据或者对传输数据进行窃听、侦听等,防止机密数据被破译。
2.电子资金支付完整性
电子资金支付完整性是指未经授权的用户不得对数据进行修改,确保数据处于未受破坏的原始的完整状态。主要分为数据存储完整性和数据网络传输的完整性。不允许非法用户对支付信息进行篡改、删除或者插入;保证数据传输过程中支付信息的正确性。
3.电子资金支付可靠性
电子资金支付可靠性是指电子资金支付系统能够有效鉴别用户身份的合法性与可靠性,能够有效地保护私有密钥和口令,识别伪造地址,防范非法链接,防止侵占或者使用合法用户的资源,确保系统的无故障性和无差错性。
4.电子资金支付可用性
电子资金支付可用性是指信息可被授权用户访问并且授权用户可根据需求使用。防止因病毒或者其他人为因素造成的拒绝对被授权用户服务的现象;防止非法用户通过非法手段滥用他人机器或盗用他人信息。电子资金支付的可用性与硬件的可用性、软件的可用性、人员的可用性、环境的可用性等方面密切相关。
5.电子资金支付不可否认性
电子资金支付不可否认性也称为不可抵赖性,是指电子资金支付系统应该保证支付信用和支付行为的不可否认性,防止支付双方抵赖交易行为,否认交易结果。
6.电子资金支付有效性
电子资金支付有效性是指电子资金支付系统能够有效防止支付延迟和拒绝服务的情况。防止由于操作系统安全漏洞、计算机网络故障、硬件故障、操作失误、应用程序运行错误及计算机病毒等问题,导致系统资源管理和使用的不合法,中断服务等情况。
7.计算机安全技术与安全管理人员相结合
电子资金支付需要根据实际情况,在系统开发、网络建设等方面做相应的规范。未授权者如果不能通过物理入侵来获取所需数据时,就会通过电子邮件、微信、聊天工具等其他途经来获取所需数据,从而取得对主机的操作权限以进一步窃取资源。
8.安全产品与集中管理相结合
电子资金支付是一个软硬件集成的有机整体,仅依赖于某些安全产品,不可能有效保护整体的系统安全,还必须对其进行有效的安全管理,需要把与安全相关的各方面和各层次的安全产品、分支机构、运营网络、客户等纳入到一个管理体系中,才能有效地保障电子资金支付系统安全。
9.提高应用软件的安全性
应用软件的评测过程中,发现软件编写时质量控制不够严格或程序开发时对安全了解不到位等,而导致的严重后果,这些都需要进一步提高应用软件的安全性。
二 解决电子资金支付安全需求的关键技术
1.数据加密技术
电子资金支付机密性涉及的安全技术主要是数据加密技术。数据加密技术,是使用数学原理对原始数据(明文)进行重组形成一组新的数据(密文),然后再在网络上传输密文。合法的接收者在接收到密文后,通过正确的密钥得到原始数据(明文)。非法接收者没有正确的密钥得到的就是无意义的文字。加密技术是由来已久的最基本的安全技术,是实现电子资金支付机密性的一种重要的手段。
2.杂凑函数
电子资金支付完整性涉及的安全技术主要有杂凑(HASH)函数。杂凑函数按是否有密钥控制分为两种:一种有密钥控制的为密码杂凑函数,以h(k,M)表示;另一种无密钥控制的为一般杂凑函数。一般杂凑函数无密钥控制,非法用户很容易对其进行篡改、删除或者插入,不能用于身份认证,只能用于检测数据接收是否完整,如MDC。
密码杂凑函数要满足各种安全性要求,其杂凑值不仅与输入有关,而且与密钥有关,只有持有密钥的人才能计算出相应的杂凑值,因而具有身份验证功能,如MAC。
3.数字凭证
电子资金支付可靠性涉及的安全技术主要有数字凭证。数字凭证又称为数字证书,给授权用户身份提供可信赖的电子凭证,给授权用户提供网络资源的使用权限。在电子资金支付交易中,只要双方都出示了自己的数字凭证,那么交易双方的身份就是真实的、可信赖的。
4.数字签名
电子资金支付可靠性和不可否认性涉及的安全技术主要有数字签名。数字签名是将公钥算法和杂凑函数相结合,用以鉴别原始报文。数字签名中包含A的私钥、B的公钥和B的私钥。A的私钥用以确认A的身份;B的公钥用以确保此签名只有B能够认证,并且加密被签名的消息;B的私钥用以当B验证成功之后再用私钥解密。第三方假冒发送方发送了一个文件,接收方在接收文件后对其进行解密,解密使用的是发送方的公开密钥,第三方获取的也是发送方的公开密钥。
5.认证(CA)
CA是为用户签发证书,提供身份认证服务的第三方认证机构。在交易时由交易双方都信赖的第三方机构对买卖双方身份进行验证,以确保交易双方身份的真实性、可靠性。
6.安全协议
电子商务中常用的电子资金支付安全协议有SSL和SET。安全套接SSL协议,向客户机与服务器提供了一条面向连接机制的安全通道。简单地说,SSL协议就是在互联网上为客户和商家之间建立了一个“秘密传输数据的通道”。 “秘密通道”保证数据在通道中以机密性、完整性和认证性形式传输。SSL协议中只有商家对客户进行认证,不需要客户对商家的认证,存在客户被不良商家欺骗现象;交易时客户数据先传到商家,商家阅读后再传到银行,存在客户资料泄密现象。正是由于SSL协议的这些缺陷,使其逐渐被新的SET协议所代替。
安全电子交易SET协议,是专为解决信用卡、借记卡等卡在线支付安全性问题而制定的唯一具有实用性的标准。SET协议不但对客户信用卡进行认证,还增加了SSL协议所不具备的商家身份认证。
7.防火墙技术
网络安全是电子资金支付的安全基础,网络安全最重要的就是防火墙技术。防火墙的主要功能是加强网络之间的访问控制,防止非法用户以不正当的手段通过外部网络入侵内部网络。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,然后来决定网络之间的通信是否被允许,并监视网络运行状态。简单防火墙技术可以在路由器上实现,而专用防火墙提供更加可靠的网络安全控制。
三 结束语
电子商务将长期深远地影响全球的经济、政治和法律,只有提高电子资金支付的安全系数,才能更进一步促进电子商务的发展。
参考文献
[1]潘光辉.电子商务及其安全技术[J].商场现代化,2007(1)
[2]黄小虎、文斌、胡致杰.电子支付的安全性分析与策略[J].华南金融电脑,2008(4)
