電子支付方式與安全性研究

1、電子支付方式與安全性摘要：隨著以計算機技術(shù)、網(wǎng)絡(luò)技術(shù)和通信技術(shù)為代表的信息技術(shù)的發(fā)展，電子支 付作為一種新的支付手段逐漸被人們所接受。與此同時，電子支付方式正不斷的更 新與發(fā)展，與此對應(yīng)的安全問題也越來越被人們重視。本文重在討論不同的電子支 付方式與其的安全性。關(guān)鍵詞：電子支付、安全性、前言電子支付（Electronic Paymen），是指以電子計算機及其網(wǎng)絡(luò)為手段， 將負載有 特定的信息的電子數(shù)據(jù)取代船艇的支付工具用于資金流程，并具有實時支付效力的 一種支付方式。電子支付活動發(fā)生在虛擬的環(huán)境中。電子支付過程中面臨的安全隱患大體上有這樣幾種：信息的竊取、盜用及篡改；無法有效地確認身份；否認、

2、修改、隱瞞支付行為和支付信息；網(wǎng)絡(luò)支付體系的中 斷。目前電子支付方式根據(jù)支付渠道的不同可以大致分為：（1）基于互聯(lián)網(wǎng)的支付，即網(wǎng)上支付。（2）基于移動網(wǎng)絡(luò)的支付，即移動支付。（3）基于電話網(wǎng)絡(luò)的支付，即電話支付。（4）基于數(shù)字電視網(wǎng)絡(luò)的支付，如數(shù)字電視機頂盒支付，即數(shù)字電視支付。（5）基于金融專用網(wǎng)絡(luò)的支付（POS ATM等）。本文重點討論幾種常見的支付方式，包括網(wǎng)上銀行支付、電話銀行支付、移動 支付、第三方支付。、網(wǎng)上銀行支付與安全（一）網(wǎng)上銀行概述網(wǎng)上銀行是銀行業(yè)在信息技術(shù)，特別是網(wǎng)絡(luò)技術(shù)發(fā)展的推動下，不斷努力獲取 市場競爭優(yōu)勢的創(chuàng)新結(jié)果，是電子商務(wù)在銀行業(yè)的表現(xiàn)形式。它利用計算機和互聯(lián)

3、網(wǎng)技術(shù)，為客戶提供綜合、實時的全方位銀行服務(wù)。相對于傳統(tǒng)銀行，網(wǎng)上銀行是 一種全新的銀行服務(wù)手段或全新的企業(yè)組織。網(wǎng)上支付功能主要向客戶提供互聯(lián)網(wǎng)上的資金實時結(jié)算功能，是保證電子商務(wù) 正常開展的關(guān)鍵性的基礎(chǔ)功能，也是網(wǎng)上銀行的一個標志性功能。（二）網(wǎng)上銀行支付存在的安全問題1、網(wǎng)上銀行支付中銀行面臨的安全問題網(wǎng)上支付過程是在一個開放的公共網(wǎng)絡(luò)上進行的，一般來說，網(wǎng)上銀行系統(tǒng)在 運行過程中受到的安全威脅主要來自以下方面：（1）假冒用戶身份。攻擊者盜用合法用戶的身份信息，以假冒的神恩與他人 進行通信。（2）竊取網(wǎng)絡(luò)上的信息。攻擊者在網(wǎng)絡(luò)的傳輸鏈路上，同構(gòu)物理或邏輯的手 段，對數(shù)據(jù)進行非法的截獲與監(jiān)

4、聽，從而得到通訊中的敏感信息。（3）篡改網(wǎng)絡(luò)上的信息。攻擊者在截取到網(wǎng)絡(luò)上的信息后，可能篡改其內(nèi)容。（4）否認所發(fā)的信息。用戶可能對子自己發(fā)出的信息進行惡意的否認。（5）重發(fā)信息。攻擊者在截獲網(wǎng)絡(luò)上的密文信息后，并不將其破譯，而是把 這些數(shù)據(jù)包在此發(fā)送，以實現(xiàn)惡意攻擊的目的。（6）文電丟失。如誤刪。（7）抵賴。某些用戶會惡意否認自己曾進行過的網(wǎng)上交易，易造成銀行經(jīng)濟 損失。（8）拒絕服務(wù)。2、網(wǎng)上銀行支付中用戶面臨的安全問題網(wǎng)上銀行安全涉及用戶的網(wǎng)上信息資料、賬戶密碼、資金和資產(chǎn)等。用戶可能 面臨用戶卡號和密碼被盜取、用戶自身操作失誤、用戶和銀行雙方的身份確認出現(xiàn) 問題、用戶的計算機被攻擊等。

5、（三）網(wǎng)上銀行支付的安全對策鑒于以上的安全問題，目前的網(wǎng)上銀行采取了一些安全措施，例如瀏覽器數(shù)字 證書（指由CA認證中心頒發(fā)的、安裝在客戶瀏覽器端使用的個人證書）、移動數(shù)字 證書、動態(tài)口、手機短信碼等。三、電話銀行支付與安全（一）電話銀行概述電話銀行是指銀行利用計算機電話集成技術(shù)，借助于公共電話網(wǎng)絡(luò)，通過電話 自主和人工服務(wù)的方式為客戶提供服務(wù)的系統(tǒng)。（二）電話銀行支付存在的安全問題（1）客戶缺乏安全意識。（2）電話的鍵盤存在安全隱患。每個數(shù)字鍵所發(fā)出的聲音的頻率大小不同， 電子輻射也不同，容易被人通過聲音接受設(shè)備或者電子輻射接受設(shè)備辨 別。（3）密碼簡單，易被破解。（4）如果客戶使用智能手機

6、進行電話支付，犯罪分子可以通過電腦或手機木 馬程序盜取密碼。（5）由于電話銀行和網(wǎng)絡(luò)銀行的關(guān)聯(lián)性，用戶往往用網(wǎng)絡(luò)銀行的密碼兼當電 話銀行的密碼。（6）除非用戶辦理相關(guān)業(yè)務(wù)，否則使用電話銀行支付后，銀行不會對用戶的 資金變動情況與用戶主動溝通，這大大降低了用戶追回損失的可能性。（三）電話銀行支付的安全策略對于提高電話銀行支付的安全，首先用戶要提高自身的安全意識，盡量不要使用 相同的密碼。但是只從用戶的角度提高安全性不不夠的，銀行方面也有責任為客戶 提供一個安全的支付環(huán)境。銀行方面可以從兩方面提高安全性。即數(shù)據(jù)安全和網(wǎng)絡(luò)安全四、移動支付和安全（一）移動支付概述移動支付是通過移動設(shè)備轉(zhuǎn)移貨幣價值以清

7、償債權(quán)和債務(wù)的一種支付方式。移動 支付可以分為廣義和狹義，狹義的移動支付主要指手機支付；廣義的移動支付除包 括手機支付外，還包括采用其他移動通信設(shè)備所進行的支付方式。（二）移動支付存在的安全問題移動支付面臨的安全威脅主要包括無線鏈路威脅、服務(wù)網(wǎng)絡(luò)威脅和終端威脅。具 體而言有：（1）、竊聽。攻擊者通過竊聽有可能了解支付流程，獲取用戶的隱私信息，甚至 破解支付協(xié)議中的秘密信息。（2）、重傳交易信息。攻擊者截獲傳輸中的交易信息，并把交易信息多次傳送給 服務(wù)網(wǎng)絡(luò)。（3） 、終端竊取與假冒。攻擊者有可能通過竊取移動終端或SIM卡來假冒合法用 戶，從而非法參與支付活動，給系統(tǒng)和交易雙方造成損失。（4）、中

8、間人攻擊。攻擊者設(shè)法使用用戶和服務(wù)提供商間的通信變成由攻擊者轉(zhuǎn) 發(fā)。（5）、交易抵賴。（6）、拒絕服務(wù)。破壞服務(wù)網(wǎng)絡(luò)，使系統(tǒng)喪失服務(wù)功能。（三）移動支付的安全對策為解決移動支付面臨的安全問題，滿足移動支付安全需求，從管理上來說，一般 采用限額控制（即設(shè)定一定的支付限額）和簽約機制；從技術(shù)上來說，一般采用訪 問控制技術(shù)使支付中交易信息不被非法用戶獲取和篡改；采用身份認證技術(shù)實現(xiàn)對 交易各方的身份認證；采用數(shù)字簽名技術(shù)實現(xiàn)信息的保密等。五、第三方支付和安全（一）第三方支付概述第三方支付平臺是指平臺提供商通過通信、計算機和信息安全技術(shù)，在商家和銀 行之間建立連接，從而實現(xiàn)從消費者到金融機構(gòu)以及行家之

9、間貨幣支付、現(xiàn)金流轉(zhuǎn)、 資金清算、查詢統(tǒng)計的一個系統(tǒng)平臺，本質(zhì)上是一個支付系統(tǒng)。（二）第三方支付存在的安全問題1、賣家面臨的冋題（1）、入侵者的破壞。中央系統(tǒng)安全性被破壞。（2）、競爭者的破壞。惡意的競爭者以他人的名義來訂購商品，從而了解有關(guān)商 品的遞送狀況和貨物的庫存情況。（3）、買家的惡意退貨。部分買家收貨后對貨不滿意，盡管不存在產(chǎn)品質(zhì)量問題, 還是找其他原因退貨。（4）、虛擬交易及交易詐騙。2、買家面臨的問題（1）、虛假信息。在利益趨勢下，有些賣家對商品作夸大虛假宣傳，包括商品品 質(zhì)、聲音、色彩、形狀等與實物存在差異。使得買家不在輕易信任網(wǎng)上發(fā)布的各種 信息。（2）、賣方不履行服務(wù)承諾。（3）、機密性喪失。買家可能將秘密的個人數(shù)據(jù)或自己的身份數(shù)據(jù)發(fā)送給冒名為 銷售商的機構(gòu)。同時，這些信息在傳遞的過程中也有可能受到竊聽的威脅。（三）第三方支付的安全對策第三方平臺掌握了大量的用戶數(shù)據(jù)，因此要注意制度的安全規(guī)范，同時要完善社 會信用體系。從微觀的方面而言，要通知注意買賣雙方的利益及安全。六、結(jié)論隨著技術(shù)的不斷進步，電子支付方式也在不斷的進步。本文主要展示了網(wǎng)上銀行 支付、電話銀行支付、移