本站支持IPv6

菜单导航
产品介绍
解决方案
信息安全服务
下载专区
服务支持
旗下品牌
解决方案
金融篇
电子商务篇
移动篇
企业信息化篇
信息安全基础篇
电子政务篇
电子数据司法实践
旗下品牌
旗下品牌

网上支付与安全

字号:

  1.如何看待网上支付安全

  网上支付对于很多人来说并不陌生。你也许通过某家商业银行的网上银行转账、支付交易保证金,或是通过一些专业的网上支付服务商(如“支付宝”)进行过网上购物在线支付。所有这些通过互联网进行的支付方式都是网上支付。

  网上支付受欢迎程度并不一致。一方面,很多人感受到互联网支付的快捷和方便,从而对网上支付情有独钟,他们觉得网上支付可以明显减少到银行的往来奔波之苦、可以免除排队的烦劳;另一方面,一部分人对网上支付退避三舍,不敢轻易尝试网上支付。经调查分析,不同人群对待网上支付的不同态度在很大程度上是由于他们对网上支付安全担心程度不同所致。也就是说,对于后者,他们觉得网上支付需要更好的安全保障。

  网上支付是在信息时代诞生的一种全新的支付结算方式。网上支付和其它新生事物一起,正悄悄地影响着、改变着人们生活方式和生活态度。任何新生事物刚刚出现的时候,由于人们对其了解甚少,容易产生排斥的心理。随着时间的推移,随着对这些新生事物了解的加深,将会逐渐习惯并接受。当前存在的不愿意使用网上支付的现象并不为怪。但是,人们对于网上支付的担忧折射出网上支付发展中还存在的缺陷、人们对网上支付安全的心理准备还不充分。客观地说,从目前网上支付的发展水平和出现的网上支付案例来看,现行的网上支付安全技术和手段已经比较成熟,绝大部分网上支付安全事件更多的是由于支付者缺乏必要的安全防范意识和技能所致。

  2.哪里存在风险?

  人们对任何事物关注点与该事物发展阶段变化而变化。在事物的不同发展阶段,风险点发生变化,社会对此的关注点可能发生变化。对于网上支付,当前的主流方式是通过银行卡(包括信用卡、借记卡和支付卡等)这种支付工具,通过浏览器输入必要的支付认证信息,经发卡行认证授权后扣款完成在线支付。现阶段的支付风险主要存在于:

  ·支付密码泄漏。一旦攻击者通过某种方式得到支付密码,可以轻易地冒充持卡人通过互联网进行消费,给持卡人带来损失。这是人们对网上支付安全的主要担心所在。

  ·支付数据被篡改。在缺乏必要的安全防范措施情况下,攻击者可以通过修改互联网传输中的支付数据。譬如,攻击者可以修改付款银行卡号、修改支付金额、修改收款人帐号等,达到谋利目的并制造互联网支付事件。

  ·否认支付。网上支付是一个通过商业银行提供的网上结算服务将资金从付款人账户划拨到收款人账户的过程。对于资金划出操作,若付款人否认发出资金划出指令,商业银行将处于被动局面;对于资金划入操作,若商业银行否认资金划入操作,收款人将处于不利境地。

  3.如何减少风险?

  降低风险需要根据风险点的不同特征采取不同的风险控制措施。我们先来看看怎样“看护”好我们的支付密码。攻击者通常用哪些手段得到得到支付密码呢?

  ·骗取手段。攻击者可以采用“钓鱼”方式达到目的。具体方式有假冒网站、虚假短信(邮件)。这些网站页面、短信或邮件是他们的“诱饵”。不能识别这些诈骗手段的持卡人容易被攻击者诱骗,乖乖地向其泄漏自己地银行卡支付密码。

  ·支付终端截取。攻击者可以在持卡人电脑上发布恶意软件(如木马软件)。这些软件能在持卡人输入支付密码时悄无声息地捕获,并偷偷地发送出去。

  ·网络截获。攻击者在支付终端和其它网络设备等节点通过智能识别和密钥破解手段得到支付密码。

  ·暴力攻击。通常支付密码是由数字和字母组成的一段字串。由于人类记忆能力的限制,该字串不会太长。当前很多发卡行采用6位数字密码方式。借助于具有强大运算能力的计算机,,攻击者可以采用密码词典(密码词典包含了0-9数字不同字长的各种数字串组合)方式逐个试探。

  ·其它途径获取。攻击者趁持卡人不注意,在银行柜台、ATM或POS终端记下持卡人的支付密码。

  支付密码泄漏是网上支付案件的主要原因。从上述这些攻击手段可以看出,我们首先要具有安全意识和基本防范技能。持卡人应注意:

  识别假冒网站。持卡人需要确认支付页面网站域名的真伪。因此,持卡人不妨选择一家商业银行或支付平台作为常用的支付服务商,熟悉其域名,并在支付操作时细心即可。有些商业银行网上银行或支付平台提供了持卡人“预留信息”方式,可以帮助持卡人识别假网站。

  虚假短信(邮件)相对假冒网站而言更易于识别。持卡人在收到任何与银行卡、支付有关的短信后,应确认短信发送者的真实身份或短信内容。

  密码保护还需要持卡人注意不要设置简单的密码,如不要采用类似“123456” 的简单数字组合、自己或亲人的生日信息、电话号码。此外,还注意支付终端的安全性,如不要在公用网吧进行网上支付、在支付终端上安装反病毒、反木马软件。同时,还要注意在其它场所支付输入密码时不轻易为他人偷窥、摄像等,不要将密码记录在被人容易看到的纸片上。

  支付密码能轻易为攻击者骗取、窃取或破解,更为一个重要的原因是支付密码本身缺乏一定的防攻击、防窃取能力。由于密码通常是字母、数字的简单组合,属于低安全强度的保护机制。目前有很多更适合采用的高安全强度的加密机制。如采用数字证书代替或补充支付密码就是一种有效方式。很多商业银行的专业版网上支付系统就是采用这种方式。数字证书的使用,大大降低了网上支付事件的数量。因此,持卡人进行网上支付最好选择使用采用数字证书安全机制的支付方式。

  防止支付数据被篡改需要网上支付平台采用完善的信息安全措施。当前普遍采用数字签名来保障支付数据不会被篡改。数字签名在保护数据完整性方面有两个功能:

  ·首先,能标明支付数据特征值。即便是支付数据的细微差异,数字签名将产生内容迥异的签名结果。可以说数字签名就是支付数据地特征值。因此,一旦支付数据被篡改,通过对支付数据与签名结果比对,可以轻易识别支付数据是否被人篡改。

  ·其次,能表明特征值是由谁产生的。设想一种情形,倘若攻击者篡改数据后同时将原签名结果替换为攻击者的签名,比对支付数据和签名结果时很难发现数据被人篡改。因此,为了识别支付数据究竟是否被修改,还需要验证支付数据特征值的真实产生方。只有确认特征值是由持卡人产生且特征值与签名结果匹配才能确认支付数据有效。

  再看看支付否认情形。否认支付是网上支付服务提供商(商业银行或专业网上支付公司)和收款人的关注点。通过数字签名同样可以解决否认支付问题。我们在银行柜面办理存款、取款,或是在POS刷卡、ATM存取款,通过银行会给你一张支付回单。一旦出现争议,你可以将该回单作为交易操作的证明。互联网支付,数字签名记录可以充当“电子回单”。

  ·为解决付款人否认支付,商业银行要求付款人在进行支付时必须附带其确认支付的签名。商业银行保存该签名结果和支付记录。一旦付款方否认支付,商业银行可以出示该支付指令签名作为证据。

  ·为解决商业银行否认结算资金转入收款人账户,收款人要求商业银行提交资金划入操作记录的数字签名。收款人验证该签名结果有效的,才确认已经收款,才能与付款人继续后续的商务活动。否则,收款人拒绝进行后续活动。

  4.一个实例说明

  下面我们从一个典型的电子商务网上支付交易出发,应用数字证书安全方案,说明在网上支付具体实现过程中如何保障各方利益。

网上支付与安全

  以消费者A在电子商务网站B进行商务交易,并通过商业银行C完成在线支付的情形来说明。对于第三方网上支付平台,基本的交易流程与此并与本质性的区别。只是为了便于说明,这里采用消费者通过商业银行直接支付的相对简化的方式,而非通过第三方支付平台支付。

  基本的交易流程如下和安全措施说明如下:

  1)消费者在商务网站选择商品,消费者确认订单并选择网上支付。

  该环节需要传输消费者购物订单信息,这类信息属用户私密信息,需要予以传输保密保护。此外,消费者还需要验证商务网站是真实的。

  通常的解决方案是:商务网站和消费者浏览器之间建立安全数据传输通道(如HTTPS),或者传输加密报文(如XML加密报文)。这种情况下,需要商务网站端安装有web服务器数字证书,除提供加密服务外,消费者可以据此证书鉴别该网站。

  2)消费者到商业银行网上支付系统完成支付后,商业银行将支付结果反馈给消费者。该步骤需要保护消费者的支付密钥(口令或数字证书)、应用层的交易数据完整性保护和消费者对支付请求的签名。

  消费者和商业银行端都使用数字证书是目前现实的具有高安全强度、简洁特色的解决方案。更为具体的安全操作步骤是:

  i.消费者登录到商业银行网上支付系统后,需要验证该系统的服务器数字证书可信,以避免登陆到假冒网站。

  ii.消费者浏览器与商业银行支付系统间建立安全通道,该通道提供支付信息加密保障。

  iii.消费者对支付信息(通常为确认支付信息)数字签名,并发送到商业银行支付系统。该数字签名可以起到一箭三雕的作用:

  ·商业银行据此认证消费者身份

  ·提供端对端的、基于认证的数据完整性保护

  ·商业银行保存该签名,该签名为消费者确认支付的证据

  ·商业银行通知商务网站支付成功信息。

  该过程中,商务网站需要鉴别商业银行,并要求商业银行对某一订单成功收单提供数字签名。这两种安全要求都可以通过商业银行对某收单结果数据的数字签名来满足。必要的被签名数据应包括:交易流水号和支付金额。商务网站验证该签名数据有效后,继续与消费者之间的后续商务交易活动。

  5.还有什么?

  根据一些调查公司对近几年网上支付交易量的统计分析结果来看,网上支付交易额逐年攀升,表现出这一新生支付方式发展的良好势头。但是,正如前面提及,由于支付安全存在一定隐患,网上支付要得到社会的普遍认可,还需要一些时日。期间,需要解决几个问题:

  首先,需要加大网上支付安全的宣传介绍。商业银行、支付公司和支付组织在大肆宣扬网上支付优势的同时,更需要注重提高人们网上支付安全的关注、介绍基本的安全控制措施。

  其次,尽管目前安全技术发展成熟,但商业银行、第三方支付平台等支付服务商都采用各自的安全方案,难免出现安全漏洞。因此,网上支付的发展需要专业的支付安全服务公司、完善的支付安全技术标准,并建立网上支付安全评价体系和准入机制。只有如此,网上支付才能在提升服务价值的同时,通过更好的社会安全环境,保障支付各方的利益,更加健康、快速地发展。