《浅议网上银行电子支付的安全问题》由会员分享,可在线阅读,更多相关《浅议网上银行电子支付的安全问题(8页珍藏版)》请在金锄头文库上搜索。
1、浅议网上银行电子支付的安全问题浅议网上银行电子支付的安全问题一,电子支付的安全技术广义上讲,网上银行的电子支付是交易双方在网上发生的一种资金交换,这种交换是通过网上银行所支持的某种数字金融工具来完成的,主要有信用卡,数字现金,电子支票,智能卡等.由于支付是在信息公开的 Inlranet 上进行的,支付信息很容易遭受黑客的侵袭,因此保证电子支付工具的安全性是至关重要的.为了保证支付信息在传输过程中的完整性,私密性,真实性和不可否认性,世界各国的网上银行普遍应用了许多安全控制技术,主要有:1.防火墙 IFirewall技术为了实现电子支付,必须要使银行专用的内部网络【Inlranet】与外部【In
2、tranet】进行信息交流,如果 Intranet 与 Inlranet 直接相连,不加安全保护措施,计算机黑客可能在银行毫不察觉的情况下侵入 Intranet,任意窃取,篡改银行的业务数据,其后果不堪设想.为了防止出现这种问题,有效的方法就是使用防火墙技术.防火墙是指一个由软件系统和硬件设备组合而成的,在 Intranet 和 Intranet 之间的界面上构造的保护屏障.所以 Intranet 和 Inlranet 之间的连接必须经过此保护层,在此进行检查和过滤,只有被授权的通讯才能通过,从而合 Inlranet 与 Intranet在一定意义上隔离,防止非法入侵,执行安全管理措施,记录可
3、疑事件.防火墙软件通常是在 TCP/IP 网络软件的基础上进行改造和再开发形成的.常用的防火墙产品主要有三种类型;过滤型,代理型和监测型2 加密 IEncrolion】技术加密是指将数据按照一定算法进行编码,使其变成一种不可理解的形式,加密过程中除了需要算法外,还要有一串数字密钥,在算法不变的情况下,对应不同的密钥会产生不同的加密结果,由于世界上加密算法是有限的,所以加密技术的关键就在于密钥,一般来讲,密钥的位数越长,黑客测试出密钥的时间就越长,加密系统就越牢固.目前存在两种加密体系:1I 对称密钥加密体系 IDES】.加密与解密使用同样的密钥,加密方和解密方都需要知道这个密钥才行.这种加密体
4、系简单,高效,但不够安全,容易泄露密钥.【2】非对称密钥加密体系 IRSA】.这种体系对信息的加密,解密是采用一对密钥公钥和私钥来实现的.公钥是公开的,可以公布在网上,也可以公开传授给需要的人,私钥只有围本人知道,是保密的其原理是:找出两个很大的质数,用其中一个与原信息相乘,对信息加密,用另一个与收到的加密信息相乘来解密,但用其中一个质数无法求出另一-i-质数来.在加密应用时,银行对客户发来的信息用客户的公钥解密,如果能够打开,则说明该信息是客户私钥加密的,而客户的私钥只有他本人知道,由此认证了这一信息是该客户发来的;反之,客户为了保证发出的信息只能由银行打开,则用银行的公钥对信息加密,银行收
5、到信息后用自己的私钥解密,这就实现了发给银行的信息只能由银行打开.3 数字签名【DlgilSignature技术客户将要发送的信息用单向 Hash 加密算法生成一个信息摘要messagedlges1)【不同信息其摘要不同,因此摘要成为该信息的”指纹”,用以验证信息的完整性),再将摘要用发送者的私钥加密,与原文一起传送给银行,银行只有用客户的公钥才能解密被加密的摘要,然后也用单向 Hash 算法对收到的原文产生一个摘要,与解密的摘要对比,若相同,则说明收到的信息是完整的,在传输过程中没有被修改,否则,被修改过,不是原信息.同时,也证书客户不能否认自己发送了信息这样,数字签名就保证了信息的完整性和
6、不可否认眭.4.数字时间戳 IDigitallimestamp)技术在电子支付的交易文件中,时间和签名一样是十分重要的证明文件有效性的内容.数字时间戳就是用来证明信息的收发时间的.客户首先将需要加时间戳的文件用 Hash 算法加密形成摘要,然后将摘要发送到专门提供数字时间戳服务的第三方权威机构,该机构对原摘要加上时间后,进行数字签名 I 用私钥加密 I,并发送给原客户,原客户就可以把它再发送给接收者.5 数字认证 ICenilicallgAulhenticalionCAI技术为了证明公钥的真实性,即一个公钥确实属于信息发送者,而不是冒充信息发送者的另一个人冒用他的公钥,这就要靠第三方证实该公钥
7、确属于真正的信息发送者.认证中心cenilicaleautho 哪 I 就是这样的第三方,它是一个权威机构,专门验证交易双方的身份.验证方法是接受个人,商家,银行等有关交易实体申请数字证书【digitalID),核实情况,批准/拒国隔金_lN1 日刊 nONFINANCE绝申请,颁发数字证书.认证中心除了颁发数字证书外,还具有管理,搜索和验证证书的职能.数字证书也叫数字凭证,数字标识.它含有证书持有者的有关信息,以标识他们的身份,证书包括下列内容:证明拥有者的姓名,证书拥有者的公钥,公钥的有效期,颁发数字证书的单位,颁发数字证书单位的数字签名,数字证书的序列号等.数字证书有三种类型:个人数字证
8、书,企业【服务器 I 数字证书,软件I 开发者 I 数字证书.认证中心采用树形验证结构,每一个证书与数字化签发证书的认证中心的签名证书关联,沿着信任树一直到一个公认的信任组织,就可以确认该证书是有效的.当双方通信时,通过出示由某个认证中心 ICA)签发的证书来证明自己的身份,如果对签发证书的 CA 本身不信任,则可验证 CA 的身份,逐级向上进行,一直到公认的权威 CA 处通常称为根 CAI,就可确信证书的有效性.6 电子商务安全交易标准近年来,金融业与信息业共同推出了多种有效的安全交易标准,与电子支付密切相关的有下面两种:I_】安全套接层 ISecureSocketlayerssL】协议SS
9、L 协议是对计算机之间整个会话进行加密的协议,目的是保证 Web 站点之间通信信道的安全.面向网络协议栈的低层通道进行安全监控,能够对信用卡和个人信息提供较强的保护在 SSL 中.采用了公开密钥和私钥两种加密方式.该协议由网景【NetscapeI 公司提出,提供加密,认证服务和保证报文的完整性,现已被集成在 Nescape 浏览器和 lE 浏览器中.一般来说,经过 ssL 加密技术的运用,从技术层面上已是不容易被黑客破解和泄露资料,但理论上仍非绝对周密,此外使用 ssL 的 Web 服务器进行交易,由于其资料公开程度较大,以及可查阅一些证书资料,所以安全性也有所降低.【2】安全电子交易【Sec
10、ureEledTonicTrans-aclionSE 用数字签名确保支付信息的完整性和各方对有关交易事项的不可否认性;使用双重签名保证购物信息和支付信息的私密性,使商家看不到持卡人的信用卡号.SET 是 1996 年 2 月由SA 和 f,AasterCard两大国际卡组织提出的,微软,IBM,Netscape,VeriSign 等多家科技机构都加人了 SET协议.与 SSL 协议相比,SET 更为复杂,在理论上安全性也更高,因为前者不仅加密两个端点闻的单人会话,还可以加密和认定三方面的多个信息,这是 SSL 协议无法做到的.但 SET 也存在缺陷,由于其技术内容过于复杂,对消费者,商家和银行
11、方面的要求都非常高,造成可操作性较差.相比之下,SSL 以其便捷性和可以满足一般要求的安全性在当前得到了较广泛的应用.但是人们普遍认认 SET 是未来电子商务交易标准的发展方向.二,国内外电子支付安全的现状Intranet 的广泛应用是不可阻挡的历史潮流,所以电子商务一经出现,就受到各行各业的密切关注.电子支付作为电子商务流程中关键的环节之一,其中必然蕴含着巨大的商机.国外许多金融组织和科技机构纷纷抢占先机,推出各自的电子支付解决方案,呈现百家争鸣的局面,但是还没有一个令所有消费者满意的解决方案,有些甚至已经失败,其中主要问题在于支付的安全性没有得到可靠的保障.国内开展网上银行业务的银行有三家
12、:中国银行,建设银行和招商银行.中国银行采用的是 SET 协议,另外两家使用的是 SSL 协议.这三家网上银行开通的服务基本上处于比较初级的阶段,是传统业务在网上的延伸,也只是商业银行业务的一种补充手段.其关于电子支付的服务有:不同户名的资金划拨,个人网上支付,代收公共费用等.现在国内的网上银行业务主要是基于 BtoClBusinesstoCuslorns)方式,对于 BtoBIBusinesstoBusinessI 方式的电子支付形式,目前还处于试验阶段.以网上银行业务发展较快的招商银行为例,通过”一卡通”和”一网通”服务功能实现了个人网上支付,又推出了网上信用证,尝试解决 BtoB 方式的
13、结算问题.招行采用的是 ssL 协议,操作上比较简便,高效.虽然 5SL协议理论上安全性不如 SET 协议,但从招行开通网上银行的三年实践来看,尚未出现任何安全问题,客户对其网上支付功能基本满意.招行系统内部有一个认证中心,但使用自己的认证证书需要客户下载安装招行的根证书,为了方便客户,招行北京分行申请了 VenSign 的认证证书【VenSign 是软件行业第一家具有商业性质的证书授权机构 I,由于 VeriSign 的根证书已集成在主流的浏览器中,如 IE,Communicator 等,客户可以直接使用招行的网上银行服务而无需额外操作.如前文所述,人们普遍认识到 SET 协议是未来电子商务
14、交易标准的发展方向,所以 SET 中关键环节认证中心 lCA)的发展很快.除了上面提到的 VeriSign 外,已建成的较着名的 CA 还有 BnkGateCA,BelSignNVSA,CeificadoraD_g.帕 lLtda,KayWilnessCanada,ThauConsulling 等,国内较知名的有首都在线等.而且国内外不断有新的认证中心开始建设.如世界最大的八家银行与美国 Gerl电子商务公司共同组建一个认证中心全球信用集团IGlobalTruslEnterprise),他们计划 2000 年推出数字认证系统,试图通过银行的全球数字凭证管理机构消除单个企业厂商认证中心的问题国内
15、外经贸部电子商务中心承担的国家“九五”重点科技攻关项目商业电子信息安全认证系统已通过了科技部与国家密码管理委员会的成果鉴定和公安部信息系统安全产品质量监督检验中心的检测.该系统支持个人证书,服务器证书,软件证书的发放和管理,并提供多个证书之间的交叉认证服务和证书链接服务,估计这一系统将很快面世,届时将有一些国内的认证中心采用这个系统.建议三,国内电子支付安全存在的问题与政策与发达国家相比,我国网上银行起步较晚,但发展很快,未来前景广阔.然而不容否认,仍处于初级阶段的我国网上银行的许多服务功能尚不完备,特别是电子支付安全方面还存在着不少问题,严重制约了我国网上银行及电子商务的快速发展.建议有关方
16、面尽快采取有效措施加以解决,使我国金融业跟上全球信息化的步伐,为国内电子商务的发展建好安全,快捷的高速公路.1,认证中心问题目前缺乏全国统一的,权威的认证中心.国内几家网上银行都是直接或间接地靠自己建立的 CA,也有的是利用国外的权威 CA.根据中国人民银行法,人民银行具有维护支付清算系统正常秩序的职责,同时作为政府职能部门和金融管理机关,人民银行具有很高的社会信用和权威,因此只有代表国家的人民银行出面建设统一公用的认证中心,才能起到认证中心中立,权威的作用.虽然由人民银行牵头,联合工商银行等 12 家商业银行共同出资建立的金融认证中心项目已经启动,但进展缓慢.当这种情况阻碍商业银行进行的网上银行建设时,各商业银行或人民银行的地区分行就会另起炉灶,搞自己的认证中心这样将造成:一来先建设后统一.会出现交叉认证的问题,再加上与国外银行的交叉认证,会太大阻碍电子支付的服务效率和准确性;二来也会导致重复建设和资源浪费.现在看来,这种担心并不是杞人忧天,人民银行办公厅已经发文要求人行的各分行未经总行批准不要牵头或参与地方性认证中心的建设
