24周年

財(cái)稅實(shí)務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.50 蘋果版本:8.7.50

開發(fā)者:北京正保會(huì)計(jì)科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點(diǎn)擊下載>

網(wǎng)絡(luò)電子支付的安全問(wèn)題與對(duì)策

來(lái)源: 王永健 編輯: 2010/09/25 09:03:06  字體:

  【摘要】“網(wǎng)上支付”和電子商務(wù)是密不可分的,了解電子商務(wù)是理解網(wǎng)上支付重要性的前提和基礎(chǔ)。網(wǎng)上支付是電子商務(wù)的關(guān)鍵環(huán)節(jié),也是電子商務(wù)得以順利進(jìn)行的基礎(chǔ)條件,如何實(shí)現(xiàn)完全的在線支付功能,并保證交易各方的安全、保密是實(shí)現(xiàn)電子商務(wù)關(guān)鍵的問(wèn)題之一。

  一、網(wǎng)上支付交易出現(xiàn)的安全隱患

  1.用戶的身份冒充

  攻擊者通過(guò)非法手段盜用合法用戶的身份信息,仿冒合法用戶的身份與他人進(jìn)行交易,從而獲得非法利益。攻擊者還以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán),刪除、修改、插入或重發(fā)某些重要信息,以取得有益于攻擊者的響應(yīng);惡意添加、修改數(shù)據(jù),以干擾用戶的正常使用。

  2.泄漏或丟失

  是指敏感數(shù)據(jù)在有意或無(wú)意中被泄漏出去或丟失,它通常包括,信息在傳輸中丟失或泄漏,如利用電磁泄漏或搭線竊聽(tīng)等方式可截獲機(jī)密信息,或通過(guò)對(duì)信息流向、流量、通信頻度和長(zhǎng)度等參數(shù)的分析,探測(cè)有用信息。信息在存儲(chǔ)介質(zhì)中丟失或泄漏,通過(guò)建立隱蔽隧道等方式竊取敏感信息。對(duì)信息的篡改。攻擊者有可能對(duì)網(wǎng)絡(luò)上的信息進(jìn)行截獲后篡改其內(nèi)容,如修改消息次序、時(shí)間,注入偽造消息等,從而使信息失去真實(shí)性和完整性。網(wǎng)上支付電費(fèi)大多都是通過(guò)網(wǎng)絡(luò)銀行進(jìn)行交易的,攻擊者利用對(duì)合法用戶的攻擊盜用合法用戶的用戶名及密碼進(jìn)行其實(shí)操作,這樣對(duì)合法用戶造成了巨大的損失。

  3.缺少嚴(yán)格的網(wǎng)絡(luò)安全管理制度

  網(wǎng)絡(luò)安全最重要的還是要思想上高度重視,網(wǎng)站或局域網(wǎng)內(nèi)部的安全需要用完備的安全制度來(lái)保障。建立和實(shí)施嚴(yán)密的計(jì)算機(jī)網(wǎng)絡(luò)安全制度與策略是真正實(shí)現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)。

  4.非授權(quán)訪問(wèn)

  未經(jīng)許可就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問(wèn),如有意避開系統(tǒng)訪問(wèn)控制機(jī)制,對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用,或擅自擴(kuò)大權(quán)限,越權(quán)訪問(wèn)信息等。

  二、用安全技術(shù)對(duì)支付進(jìn)行有效保護(hù)

  1.加密技術(shù)

 ?。?)對(duì)稱加密

  在對(duì)稱加密方法中,對(duì)信息的加密和解密都使用相同的密鑰。也就是說(shuō),一把鑰匙開一把鎖。使用對(duì)稱加密方法將簡(jiǎn)化加密的處理,每個(gè)貿(mào)易方都不必彼此研究和交換專用的加密算法,而是采用相同的加密算法并只交換共享的專用密鑰。如果進(jìn)行通信的貿(mào)易方能夠確保專用密鑰在密鑰交換階段未曾泄露,那么機(jī)密性和報(bào)文完整性就可以通過(guò)對(duì)稱加密方法加密機(jī)密信息和通過(guò)隨報(bào)文一起發(fā)送報(bào)文摘要或報(bào)文散列值來(lái)實(shí)現(xiàn)。對(duì)稱加密方式存在的一個(gè)問(wèn)題是無(wú)法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。因?yàn)橘Q(mào)易雙方共享同一把專用密鑰,貿(mào)易雙方的任何信息都是通過(guò)這把密鑰加密后傳送給對(duì)方的。

  (2)非對(duì)稱加密

  在非對(duì)稱加密體系中,密鑰被分解為一對(duì)(即一把公開密鑰或加密密鑰和一把專用密鑰或解密密鑰)。這對(duì)密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過(guò)非保密方式向他人公開,而另一把則作為專用密鑰(解密密鑰)加以保存。公開密鑰用于對(duì)機(jī)密性的加密,專用密鑰則用于對(duì)加密信息的解密。專用密鑰只能由生成密鑰對(duì)的貿(mào)易方掌握,公開密鑰可廣泛發(fā)布,但它只對(duì)應(yīng)于生成該密鑰的貿(mào)易方。貿(mào)易方利用該方案實(shí)現(xiàn)機(jī)密信息交換的基本過(guò)程是:貿(mào)易甲方生成一對(duì)密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開;得到該公開密鑰的貿(mào)易乙方使用該密鑰對(duì)機(jī)密信息進(jìn)行加密后再發(fā)送給貿(mào)易甲方;貿(mào)易甲方再用自己保存的另一把專用密鑰對(duì)加密后的信息進(jìn)行解密。貿(mào)易甲方只能用其專用密鑰解密由其公開密鑰加密后的任何信息。

  2.密鑰管理技術(shù)

 ?。?)對(duì)稱密鑰管理

  對(duì)稱加密是基于共同保守秘密來(lái)實(shí)現(xiàn)的。采用對(duì)稱加密技術(shù)的貿(mào)易雙方必須要保證采用的是相同的密鑰,要保證彼此密鑰的交換是安全可靠的,同時(shí)還要設(shè)定防止密鑰泄密和更改密鑰的程序。這樣,對(duì)稱密鑰的管理和分發(fā)工作將變成一件潛在危險(xiǎn)的和繁瑣的過(guò)程。通過(guò)公開密鑰加密技術(shù)實(shí)現(xiàn)對(duì)稱密鑰的管理使相應(yīng)的管理變得簡(jiǎn)單和更加安全,同時(shí)還解決了純對(duì)稱密鑰模式中存在的可靠性問(wèn)題和鑒別問(wèn)題。貿(mào)易方可以為每次交換的信息(如每次的EDI交換)生成唯一一把對(duì)稱密鑰并用公開密鑰對(duì)該密鑰進(jìn)行加密,然后再將加密后的密鑰和用該密鑰加密的信息(如EDI交換)一起發(fā)送給相應(yīng)的貿(mào)易方。由于對(duì)每次信息交換都對(duì)應(yīng)生成了唯一一把密鑰,因此各貿(mào)易方就不再需要對(duì)密鑰進(jìn)行維護(hù)和擔(dān)心密鑰的泄露或過(guò)期。這種方式的另一優(yōu)點(diǎn)是即使泄露了一把密鑰也只將影響一筆交易,而不會(huì)影響到貿(mào)易雙方之間所有的交易關(guān)系。這種方式還提供了貿(mào)易伙伴間發(fā)布對(duì)稱密鑰的一種安全途徑。

 ?。?)公開密鑰管理

  貿(mào)易伙伴間可以使用數(shù)字證書(公開密鑰證書)來(lái)交換公開密鑰。國(guó)際電信聯(lián)盟(ITU)制定的標(biāo)準(zhǔn)X.509(即信息技術(shù)——開放系統(tǒng)互連——目錄:鑒別框架)對(duì)數(shù)字證書進(jìn)行了定義該標(biāo)準(zhǔn)等同于國(guó)際標(biāo)準(zhǔn)化組織(ISO)與國(guó)際電工委員會(huì)(IEC)聯(lián)合發(fā)布的ISO/IEC 9594-8:195標(biāo)準(zhǔn)。數(shù)字證書通常包含有唯一標(biāo)識(shí)證書所有者(即貿(mào)易方)的名稱、唯一標(biāo)識(shí)證書發(fā)布者的名稱、證書所有者的公開密鑰、證書發(fā)布者的數(shù)字簽名、證書的有效期及證書的序列號(hào)等。證書發(fā)布者一般稱為證書管理機(jī)構(gòu)(CA),它是貿(mào)易各方都信賴的機(jī)構(gòu)。數(shù)字證書能夠起到標(biāo)識(shí)貿(mào)易方的作用,是目前EC廣泛采用的技術(shù)之一。

 ?。?)數(shù)字簽名

  數(shù)字簽名是公開密鑰加密技術(shù)的另一類應(yīng)用。它的主要方式是:報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)128位的散列值(或報(bào)文摘要)。發(fā)送方用自己的專用密鑰對(duì)這個(gè)散列值進(jìn)行加密來(lái)形成發(fā)送方的數(shù)字簽名。然后,這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方。報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出128位的散列值(或報(bào)文摘要),接著再用發(fā)送方的公開密鑰來(lái)對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密。如果兩個(gè)散列值相同,那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。通過(guò)數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別和不可抵賴性。

  三、網(wǎng)上支付的防范措施

  對(duì)于消費(fèi)者而言,要保證網(wǎng)上交易的安全,首先你使用的計(jì)算機(jī)要安全。具體的措施包括有安裝防病毒軟件(并定期更新病毒庫(kù))、安裝個(gè)人防火墻、給系統(tǒng)和網(wǎng)頁(yè)瀏覽器常更新安全補(bǔ)丁、不要隨意接受QQ等聊天工具中傳來(lái)的文件、不要輕易打開電子郵件中的附件等等。其次,保證連接的安全。進(jìn)入網(wǎng)站時(shí)先確保網(wǎng)址的正確性。在提交任何關(guān)于你自己的敏感信息或私人信息,尤其是你的信用卡號(hào)之前,一定要確認(rèn)數(shù)據(jù)已經(jīng)加密,并且是通過(guò)安全連接傳輸?shù)?。瀏覽器和Web站點(diǎn)的服務(wù)器都要支持相關(guān)協(xié)議。第三,保護(hù)自己的隱私,在設(shè)置密碼時(shí)最好以數(shù)字和字母相結(jié)合,不要使用容易破解的信息作為你的密碼?;◣追昼婇喿x一下電子商務(wù)公司的隱私保護(hù)條款,這些條款中應(yīng)該會(huì)對(duì)他們收集你的哪些信息和這些信息將被如何使用做詳細(xì)說(shuō)明。盡量少暴露你的私人信息,填在線表格時(shí)要格外小心,不是必填的信息就不要主動(dòng)提供。最后,不輕易運(yùn)行不明真相的程序。攻擊者常把系統(tǒng)破壞程序換一個(gè)名字用電子郵件發(fā)給你,并帶有一些欺騙性主題,騙你說(shuō)一些“幫我測(cè)試一下程序”之類的話。你一定要警惕了!對(duì)待這些表面上很友好、跟善意的郵件附件,我們應(yīng)該做的是立即刪除這些來(lái)歷不明的文件。除以上介紹的安全保護(hù)措施以外,最好不要在公共場(chǎng)所使用網(wǎng)絡(luò)銀行,比如網(wǎng)巴、公共圖書館等;每次使用完網(wǎng)絡(luò)銀行后,應(yīng)該單擊頁(yè)面中相應(yīng)的“退出登陸”按鈕正確退出。

  參考文獻(xiàn):

  [1]高維.電子商務(wù)網(wǎng)上支付安全技術(shù)研究.電腦知識(shí)與技術(shù),2008-04-08.

  [2]高志堅(jiān).網(wǎng)上支付安全關(guān)鍵在于客戶端.科技經(jīng)濟(jì)市場(chǎng),2008-10-15.

我要糾錯(cuò)】 責(zé)任編輯:lcl
回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - m.galtzs.cn All Rights Reserved. 北京正保會(huì)計(jì)科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號(hào)-7 出版物經(jīng)營(yíng)許可證 京公網(wǎng)安備 11010802044457號(hào)