《电子支付的安全措施》由会员分享,可在线阅读,更多相关《电子支付的安全措施(16页珍藏版)》请在金锄头文库上搜索。
1、目录一、 电子支付的的特点和发展现状41.1 目前常用的电子支付手段4(1)第三方支付4(2)网银支付4(3)认证支付41.2 电子支付的特点51.3 电子支付的发展现状6(1)移动支付快速增长6(2)从线上支付向线下交易延伸6二、 电子支付中存在的问题6三、 电子支付的安全措施73.1 技术上的安全措施8(1)加密技术。8(2) 数字签名技术8(3)电子支付的协议9(4)USBKey证书9(7)ActiveX安全控件10(10)预留“欢迎信息”11(11)资金限额管理11(12)会话超时113.2 法律上的安全措施11(1)国家立法的安全措施11(2)银行方面的控制法规143.3 社会诚信体
2、系上的安全措施153.4 相关管理机构的安全措施173.5 电子支付用户的注意事项17四、 总结和建议181、 电子支付的的特点和发展现状1.1 目前常用的电子支付手段(1)第三方支付第三方支付本身集成了多种支付方式,流程如下:1、将网银中的钱充值到第三方。2、 在用户支付的时候通过第三方中存款进行支付。3、 花费手续费进行提现。第三方的支付手段是多样的,包括移动支付和固定电话支付。最常用的第三方支付是支付宝、财付通、微信支付。(2)网银支付直接通过登录网上银行进行支付的方式。要求:开通网上银行之后才能进行网银支付,可实现银联在线支付,信用卡网上支付等等,这种支付方式是直接从银行卡支付的。(3
3、)认证支付认证支付是由连连支付为互联网金融行业打造的一款支持实名认证的新型支付产品。相比以往的网银支付和第三方支付方式,传统的在线支付方式操作流程比较繁琐,用户必须开通网银、使用U盾才能完成支付,用户体验极差,而且无法识别用户身份。而普通的快捷支付产品又受到额度限制,无法满足用户在互联网理财方面的需求。因此,在互联网金融行业,亟待一款安全性极高,又可以满足用户支付额度需求的支付产品。认证支付便应运而生,并且认证支付还能能够确保互联网金融行业的高安全要求,实现了投资人与持卡人的身份的识别,确保了交易安全。1.2 电子支付的特点与传统的支付方式相比,电子支付具有以下特征:(1)电子支付是采用先进的
4、技术通过数字流转来完成信息传输的,其各种支付方式都是采用数字化的方式进行款项支付的;而传统的支付方式则是通过现金的流转、票据的转让及银行的汇兑等实体是流转来完成款项支付的。(2)电子支付使用的是最先进的通信手段,如因特网、Extranet;而传统支付使用的则是传统的通信媒介。电子支付对软、硬件设施的要求很高,一般要求有联网的微机、相关的软件及其它一些配套设施;而传统支付则没有这么高的要求。(3) 电子支付具有方便、快捷、高效、经济的优势。用户只要拥有一台上网的PC机,便可足不出户,在很短的时间内完成整个支付过程。支付费用仅相当于传统支付的几十分之一,甚至几百分之一。(4) 电子支付的工作环境是
5、基于一个开放的系统平台(即因特网)之中;而传统支付则是在较为封闭的系统中运作。1.3 电子支付的发展现状(1)移动支付快速增长 根据中国人民银行发布的数据,2016年中国银行业金融机构处理的移动支付业务量和金额比2015年同期分别增长 85.82%和45.59%,均高于同期网上支付的增长率。(2)从线上支付向线下交易延伸 2016年越来越多的线下商家开始接入微信支付和支付宝支付,百度钱包、苏宁易付宝等也开始向线下渗透,甚至一些没有刷卡机的小商家也将二维码作为客户消费结账的支付方式。(3)跨境支付表现抢眼 2016年“双十一”期间,支付宝和微信支付均表示跨境支付业务较2015年有了大幅增长。其中
6、,中国游客在海外使用支付宝的交易笔数较2015年同期增长近4倍,人均消费超过1000元。韩国、泰国、中国香港、日本、德国等地均成为无现金处境消费的热门目的地。(4)行业监管力度加大 2016年8月,中央银行公布了首批非银行支付机构牌照续展结果,并明确表达了“总量控制,结构优化,提高质量,有序发展”的审慎监管态度。截至2016年10月,全国共有267家支付机构获准从事支付业务,3家企业已被注销支付许可。严格执行行业法规,重塑行业信用,成为2016年央行对第三方支付行业监管的重要思路。2、 电子支付中存在的问题1.网上支付的安全问题。造成网上支付发展的安全风险主要有三个方面:一是银行网站本身的安全
7、性。二是交易信息在商家与银行之间传递的安全性。三是交易信息在消费者与银行之间传递的安全性。无论是何种风险,其根本原因都是由于登录密码或支付密码泄露造成的。(1)密码管理问题。大部分公司和个人受到网络攻击的主要原因是密码政策管理不善。大多数用户使用的密码都是字典中可查到的普通单词姓名或者其他简单的密码。有86%的用户在所有网站上使用的都是同一个密码或者有限的几个密码。许多攻击者还会直接使用软件强力破解一些安全性弱的密码。因此,因此建议用户使用复杂的密码,降低被病毒破译密码的可能性,提高计算机系统的安全性。需要注意:一是密码不要设置为姓名、普通单词、电话号码、生日等简单密码;二是结合大小字母、数字
8、共组密码;三是密码位数应尽量大于9位。(2)网络病毒、木马问题。现今流行的很多木马病毒都是专门用于窃取网上银行密码而编制的。木马会监视lE浏览器正在访问的网页,如果发现用户正在登录个人银行,直接进行键盘记录输入的账号、密码,或者弹出伪造的登录对话框,诱骗用户输入登录密码和支付密码,然后通过邮件将窃取的信息发送出去。(3)钓鱼平台。网络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,如将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌。受骗者往往会泄露自己的财务数据,如信用卡号、账户号和口令等。2.网上支付的信用问题。在网络支付中由于其虚拟性,超时空性等特点,使双方互不相
9、见,也难以客观地判断对方的信用等级,致使网络支付双方对对方的信用产生怀疑,也因此阻碍了网络支付的发展。3.网上支付的法律问题。目前制约网上支付发展的立法问题主要包括:谁来发行电子货币;如何进行网络银行的资格认定;怎样监管网络银行的业务等。目前中国在电子商务方面,有关的政策不够明朗化,相应的法律法规、标准还都没有建立,跨部门、跨地区的协调存在较大的问题。4.网上安全认证机构(CA)建设混乱。在网络上,为了完成交易,交易双方的身份都必须通过第三方得到确认,电子商务认证机构由此产生。电子认证机构的职责是核实使用者的身份,负责电子证书的发放管理,及时公布无效的证书。3、 电子支付的安全措施3.1 技术
10、上的安全措施(1)加密技术。加密技术是实现电子商务安全的一种重要手段,目的是为了防止合法接收者之外的人获取机密信息 ,按密钥和相关加密程序类型可把加密分为两种对称加密(秘密密钥 )和非对称加密。对称加密加密解密过程A对称加密的算法基于迭代和替换,属于对称型加密系统。B文件的加密和解密使用同一个密钥和同一算法。C发送方和接受方必须共享密钥和算法。D密钥必须保密。公开密钥系统由于对称加密通常也需要经过网络传输,因此,如果有人截获了秘密密钥 ,也能对加密文件进行解密。这就存在一个如何对秘密密钥进行加密传输的问题。公开密钥系统解决了这个问题。公开密钥的加密、解密过程A公 开密钥的算法基于数学函数 ,属
11、于非对称型加密系统 。B密钥为一对 ,一个用于加密(公开 密钥),一个用于解密(私有密钥)。C发送方和接受方拥有一对密钥中不同的一个。D其中,公开密钥是公开的,私有密钥必须由拥有者保密。(2) 数字签名技术数字签名(又称公钥数字签名、电子签章)是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。数字签名,就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。数字签名是非对称密钥加密技术与数字摘要技术的应用。(3)电子支付的协
12、议SSL协 议。安全 套接层协 议(SSL,SecuritySocketLayer)是 网景(Netscape)公司提 出的基于 WEB应用 的安全协议 ,它包括:服务器认证 、客户认证 (可选 )、SSL链路上的数据完整性和 SSL链路上的数据保密性。对于电子商务应用来说 ,使用SSL可保证信息 的真 实性 、完整性和保密性 。SSL协议提供的服务主要有 :A 认证用户和服务器 ,确保数据发送到正确的客户机和服务器 ;B加密数据以防止数据中途被窃取 ;C维护数据的完整性 ,确保数据在传输过程中不被改变。SET协议。是一个能保证通过开放网络进行安全资金支付的技术标准。它采用公钥密码体制 和 X
13、509数字证书标准 ,主要应用于保障网上购物信息的安全性。SET使订单信息和信用卡信息隔离。在把包含信用卡号码信息的订单送到商家时,商家只能看到订单信息,却看不到信用卡号码信息 ,并且需要持卡人和商家相互认证 ,确定通信双方身份 ,一般由认证中心为双方提供信用担保。由于 SET提供了消费者 、商家和银行之间的认证 ,确保了交易数据的安全性 、完整可靠性和交易的不可否认性 ,特别是保证不将消费者银行卡号暴露给商家等优点 ,因此它成为了目前公认的信用卡 借记卡的网上交易的国际安全标准。(4)USBKey证书USBKey证书是目前多数中资银行采用的安全认证工具,是一种USB接口形式的硬件设备,可存放
14、网银数字证书。内置微型智能卡处理器,采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性。数字证书如果存放在浏览器(电脑硬盘)中,容易被复制、窃取,安全性差;而如果存放在USBKey中,便无法复制、导出,即使电脑中了木马病毒,也不会被窃取,安全性非常高。优点:安全缺点:要交工本费;使用时要插在电脑上,需要安装驱动,有时不太方便。(5)动态口令卡动态口令卡是动态口令的载体。每张动态口令卡覆盖有若干个不同的口令。您在启用动态口令卡后,进行网上银行办理转账汇款、缴费支付、网上支付等交易时,需按顺序输入动态口令卡上的密码,每个密码只可以使用一
15、次。优点:安全,简单缺点:每张卡使用次数有限(一般为30次),用完后就得到银行重新购买。(6)软数字证书数字证书就是一个包含个人身份信息的电子文件,证明互联网上“您是谁”,就像您的“网络身份证”。这个“网络身份证”是由一个权威的第三方安全认证机构发放的。数字证书是网银安全的根本保障,是被国内外普遍采用的一整套成熟的信息安全保护措施。软数字证书就是将数字证书存放在浏览器中(存在移动硬盘中的就是USBKey证书)。优点:免费缺点:容易被复制、窃取,安全性较差。(7)ActiveX安全控件目前大部分的银行向非证书认证用户提供的安全手段都是安装安全控件,而不同之处只是安装的方式各有特色。这种安全技术防止了键盘/消息钩子,而且使通过IE的COM接口获取密码的方法也无能为力,当控件安装完成后用户才能见到网上银行的登陆界面。不过这已被公认为很不安全的一种登陆方式,而且由于一些银行将安全技术通过ActiveX捆绑在了I
