欢迎来到天天文库
浏览记录
ID:27278459
大小:52.50 KB
页数:6页
时间:2018-12-02
《网上支付的安全风险与对策研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、网上支付的安全风险与对策研究摘要:信息化建设在各行各业的全面推进使得网上支付成为现今信息社会一种重要的支付渠道,极大地方便了人们的工作和生活。但同时,网上支付的安全事件也大量涌现。本文分析网上支付的一般过程及可能存在的身份假冒、交易数据泄露与篡改、商家欺诈等风险,进而从技术和管理两方面提出安全对策,防止因网上支付造成用户的财产损失和个人信息泄露。中国8/vie 关键词:网上支付电信诈骗手机木马 中图分类号:TP393.08文献标识码:A:1007-9416(2016)12-0193-02 随着信息技
2、术的飞速发展,以及人们对工作、学习、娱乐、消费的便捷性要求越来越高,各种信息技术产品层出不穷。尤其是因特网普及后,消费者和服务商之间面对面的交易不再是必须,网上支付带来了极大的便捷性,交易各方利用银行所支持的数字金融工具,通过因特网进行交融交换,实现用户到金融机构、商家之间的在线货币支付、现金流转、资金清算、查询统计等过程,为电子商务和其他服务提供金融支持[1]。 现金转帐、购物支付、网上缴费等网上支付业务极大地方便了人们的生活和工作,这种新颖快捷的支付方式被越来越多的消费者接受。足不出户,就可以实现轻
3、松生活,网上支付成为许多人日常生活不可缺少的支付方式。 但与此同时,网上支付的安全事件不时发生,给用户造成了或多或少的财产损失和大量的个人信息泄露,令人们在使用网上支付时难以真正放心。 1网上支付过程 通过分析网上交易参与各方的活动,网上支付的组成要素有:因特网(Inter),客户,商家,开户银行,支付网关,银行网络,认证中心。其工作流程如图1所示。客户通过个人计算机或者移动终端访问商户的网站,登录时与认证中心交互,取得自己的个人信息用于身份鉴别;客户选择商品或服务后,确认下单,其信息及购物款项信息
4、就会被加密发送到支付网关,支付网关与客户的购物支付卡发卡银行通信,验证其合法性;通过后,确认支付和购物交易合法有效;其后,物流将商品送至客户处,客户确认收货后,交易完成。 目前,网上支付方式包括通过网上银行进行的转账支付(即银行网关模式)、通过第三方平台完成的支付(即第三方支付平台模式)[2],银联模式和电子现金等。其工作原理分别如下: (1)银行网关模式:商家与银行签约,其网站平台直接链接到银行网银系统,客户购物交费实际上就是将现金直接转帐到商家。 (2)第三方支付平台模式:电子商务平台先链接到第
5、三方支付平台,支付平台再和银行链接而完成支付手段的一种方式。我国的第三方支付行业发展迅猛,有独立的支付企业诸如快钱、易宝、首信易等,而作为电子商务平台延伸的在线支付工具如淘宝的支付宝、腾讯的财付通、百度的百付宝等[3]。 (3)银联模式:在银联在线支付的网站完成的支付模式。 (4)电子现金。在支付机构注册虚拟账户,通过向虚拟账户充值进行相关支付业务,如购买游戏币、QQ币等。 这些支付模式既可以通过PC机支付,也可以通过手机、平板等移动智能终端完成。分析网上支付过程和支付形式,客户端、网络协议、互联网
6、基础设施、支付网关等处都可能存在风险。网络支付安全是一个系统工程,需要银行、支付机构、安全厂商、商户、网络管理部门以及消费者共同努力。 从目前网络支付的发展水平和出现的网络支付案例来看,各个银行针对网上支付采用的安全技术和手段(如一次性口令、USBKEY、短信验证码等)都较成熟,达到了很高的安全性。而网上支付安全事件的发生在大多数情况是用户安全防范意识薄弱和相应的安全技能不足所致。下面列出网上支付可能存在的一些风险。 3网上支付的风险分析 3.1用户的身份冒充 这种攻击基于用户身份信息被盗用。攻击
7、者通过非法手段(如植入木马、钓鱼等)盗取合法用户的身份信息,仿冒其身份进行转帐或与他人交易,或实施诈骗以获得非法利益。 已发生的诸多案例都表明,国内很多网站都存储了用户的基本信息(包括姓名、银行卡号等),但其都或多或少存在安全漏洞,容易被入侵而导致大量完整的用户信息被泄露。国内外都有复制信用卡,盗刷的事件报道。除此之外,电信诈骗、二维码含恶意链接、钓鱼网站、手机木马等威胁也会造成大量银行卡信息的泄露。而目前正在快速发展的很多带有闪付功能的银行卡,还能在近距离非接触的情况下通过特定终端读取用户信息,这种读
8、取方式静默,很难发现。 3.2敏感数据泄露 网上支付的敏感数据一般包括个人信息(姓名、银行卡号、通信地址等)和购物信息(商品名称、价格、数量、购买时间等)。这些数据有可能在传输中泄漏、丢失或被篡改,如攻击者利用电磁泄漏或搭线窃听等方式截获还原传输的这些敏感信息,或通过对信息流向、流量、通信频度和长度等参数的分析,探测和分析有用信息。 3.3交易数据篡改 攻击者通过在客户的计算机上植入木马、制作钓鱼网页或截获传输中的信息
此文档下载收益归作者所有