網(wǎng)絡(luò)電子支付的安全問題與對策

網(wǎng)絡(luò)電子支付的平安問題與對策【摘要】“網(wǎng)上支付〞和電子商務(wù)是密不可分的，理解電子商務(wù)是理解網(wǎng)上支付重要性的前提和基矗網(wǎng)上支付是電子商務(wù)的關(guān)鍵環(huán)節(jié)，也是電子商務(wù)得以順利進(jìn)展的根底條件，如何實(shí)現(xiàn)完全的在線支付功能，并保證交易各方的平安、保密是實(shí)現(xiàn)電子商務(wù)關(guān)鍵的問題之一。【關(guān)鍵詞】網(wǎng)上支付電子商務(wù)平安一、網(wǎng)上支付交易出現(xiàn)的平安隱患1.用戶的身份冒充攻擊者通過非法手段盜用合法用戶的身份信息，仿冒合法用戶的身份與別人進(jìn)展交易，從而獲得非法利益。攻擊者還以非法手段竊得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以獲得有益于攻擊者的響應(yīng)；惡意添加、修改數(shù)據(jù)，以干擾用戶的正常使用。2.泄漏或喪失是指敏感數(shù)據(jù)在有意或無意中被泄漏出去或喪失，它通常包括，信息在傳輸中喪失或泄漏，如利用電磁泄漏或搭線竊聽等方式可截獲機(jī)密信息，或通過對信息流向、流量、通信頻度和長度等參數(shù)的分析，探測有用信息。信息在存儲介質(zhì)中喪失或泄漏，通過建立隱蔽隧道等方式竊取敏感信息。對信息的篡改。攻擊者有可能對網(wǎng)絡(luò)上的信息進(jìn)展截獲后篡改其內(nèi)容，如修改消息次序、時間，注入偽造消息等，從而使信息失去真實(shí)性和完好性。網(wǎng)上支付電費(fèi)大多都是通過網(wǎng)絡(luò)銀行進(jìn)展交易的，攻擊者利用對合法用戶的攻擊盜用合法用戶的用戶名及密碼進(jìn)展其實(shí)操作，這樣對合法用戶造成了宏大的損失。3.缺少嚴(yán)格的網(wǎng)絡(luò)平安管理制度網(wǎng)絡(luò)平安最重要的還是要思想上高度重視，網(wǎng)站或局域網(wǎng)內(nèi)部的平安需要用完備的平安制度來保障。建立和施行嚴(yán)密的計算機(jī)網(wǎng)絡(luò)平安制度與策略是真正實(shí)現(xiàn)網(wǎng)絡(luò)平安的基矗4.非受權(quán)訪問未經(jīng)答應(yīng)就使用網(wǎng)絡(luò)或計算機(jī)資源被看作非受權(quán)訪問，如有意避開系統(tǒng)訪問控制機(jī)制，對網(wǎng)絡(luò)設(shè)備及資源進(jìn)展非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問信息等。二、用平安技術(shù)對支付進(jìn)展有效保護(hù)1.加密技術(shù)〔1〕對稱加密在對稱加密方法中，對信息的加密和解密都使用一樣的密鑰。也就是說，一把鑰匙開一把鎖。使用對稱加密方法將簡化加密的處理，每個貿(mào)易方都不必彼此研究和交換專用的加密算法，而是采用一樣的加密算法并只交換共享的專用密鑰。假如進(jìn)展通信的貿(mào)易方可以確保專用密鑰在密鑰交換階段未曾泄露，那么機(jī)密性和報文完好性就可以通過對稱加密方法加密機(jī)密信息和通過隨報文一起發(fā)送報文摘要或報文散列值來實(shí)現(xiàn)。對稱加密方式存在的一個問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。因?yàn)橘Q(mào)易雙方共享同一把專用密鑰，貿(mào)易雙方的任何信息都是通過這把密鑰加密后傳送給對方的?！?〕非對稱加密在非對稱加密體系中，密鑰被分解為一對(即一把公開密鑰或加密密鑰和一把專用密鑰或解密密鑰)。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向別人公開，而另一把那么作為專用密鑰(解密密鑰)加以保存。公開密鑰用于對機(jī)密性的加密，專用密鑰那么用于對加密信息的解密。專用密鑰只能由生成密鑰對的貿(mào)易方掌握，公開密鑰可廣泛發(fā)布，但它只對應(yīng)于生成該密鑰的貿(mào)易方。貿(mào)易方利用該方案實(shí)現(xiàn)機(jī)密信息交換的根本過程是:貿(mào)易甲方生成一對密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開;得到該公開密鑰的貿(mào)易乙方使用該密鑰對機(jī)密信息進(jìn)展加密后再發(fā)送給貿(mào)易甲方;貿(mào)易甲方再用自己保存的另一把專用密鑰對加密后的信息進(jìn)展解密。貿(mào)易甲方只能用其專用密鑰解密由其公開密鑰加密后的任何信息。2.密鑰管理技術(shù)〔1〕對稱密鑰管理對稱加密是基于共同保守機(jī)密來實(shí)現(xiàn)的。采用對稱加密技術(shù)的貿(mào)易雙方必需要保證采用的是一樣的密鑰，要保證彼此密鑰的交換是平安可靠的，同時還要設(shè)定防止密鑰泄密和更改密鑰的程序。這樣，對稱密鑰的管理和分發(fā)工作將變成一件潛在危險的和繁瑣的過程。通過公開密鑰加密技術(shù)實(shí)現(xiàn)對稱密鑰的管理使相應(yīng)的管理變得簡單和更加平安，同時還解決了純對稱密鑰形式中存在的可靠性問題和鑒別問題。貿(mào)易方可以為每次交換的信息(如每次的edi交換)生成唯一一把對稱密鑰并用公開密鑰對該密鑰進(jìn)展加密，然后再將加密后的密鑰和用該密鑰加密的信息(如edi交換)一起發(fā)送給相應(yīng)的貿(mào)易方。由于對每次信息交換都對應(yīng)生成了唯一一把密鑰，因此各貿(mào)易方就不再需要對密鑰進(jìn)展維護(hù)和擔(dān)憂密鑰的泄露或過期。這種方式的另一優(yōu)點(diǎn)是即使泄露了一把密鑰也只將影響一筆交易，而不會影響到貿(mào)易雙方之間所有的交易關(guān)系。這種方式還提供了貿(mào)易伙伴間發(fā)布對稱密鑰的一種平安途徑。〔2〕公開密鑰管理貿(mào)易伙伴間可以使用數(shù)字證書(公開密鑰證書)來交換公開密鑰。國際電信聯(lián)盟(itu)制定的標(biāo)準(zhǔn)x.509(即信息技術(shù)——開放系統(tǒng)互連——目錄：鑒別框架)對數(shù)字證書進(jìn)展了定義該標(biāo)準(zhǔn)等同于國際標(biāo)準(zhǔn)化組織(is)與國際電工委員會(ie)結(jié)合發(fā)布的is/ie9594-8:195標(biāo)準(zhǔn)。數(shù)字證書通常包含有唯一標(biāo)識證書所有者(即貿(mào)易方)的名稱、唯一標(biāo)識證書發(fā)布者的名稱、證書所有者的公開密鑰、證書發(fā)布者的數(shù)字簽名、證書的有效期及證書的序列號等。證書發(fā)布者一般稱為證書管理機(jī)構(gòu)(a)，它是貿(mào)易各方都信賴的機(jī)構(gòu)。數(shù)字證書可以起到標(biāo)識貿(mào)易方的作用，是目前e廣泛采用的技術(shù)之一。〔3〕數(shù)字簽名數(shù)字簽名是公開密鑰加密技術(shù)的另一類應(yīng)用。它的主要方式是:報文的發(fā)送方從報文文本中生成一個128位的散列值(或報文摘要)。發(fā)送方用自己的專用密鑰對這個散列值進(jìn)展加密來形成發(fā)送方的數(shù)字簽名。然后，這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值(或報文摘要)，接著再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進(jìn)展解密。假如兩個散列值一樣，那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。通過數(shù)字簽名可以實(shí)現(xiàn)對原始報文的鑒別和不可抵賴性。三、網(wǎng)上支付的防范措施對于消費(fèi)者而言，要保證網(wǎng)上交易的平安，首先你使用的計算機(jī)要平安。詳細(xì)的措施包括有安裝防病毒軟件〔并定期更新病毒庫〕、安裝個人防火墻、給系統(tǒng)和網(wǎng)頁閱讀器常更新平安補(bǔ)盯不要隨意承受qq等聊天工具中傳來的文件、不要輕易翻開電子郵件中的附件等等。其次，保證連接的平安。進(jìn)入網(wǎng)站時先確保網(wǎng)址的正確性。在提交任何關(guān)于你自己的敏感信息或私人信息，尤其是你的信譽(yù)卡號之前，一定要確認(rèn)數(shù)據(jù)已經(jīng)加密，并且是通過平安連接傳輸?shù)摹ｉ喿x器和eb站點(diǎn)的效勞器都要支持相關(guān)協(xié)議。第三，保護(hù)自己的隱私，在設(shè)置密碼時最好以數(shù)字和字母相結(jié)合，不要使用容易破解的信息作為你的密碼?；◣追昼婇喿x一下電子商務(wù)公司的隱私保護(hù)條款，這些條款中應(yīng)該會對他們搜集你的哪些信息和這些信息將被如何使用做詳細(xì)說明。盡量少暴露你的私人信息，填在線表格時要格外小心，不是必填的信息就不要主動提供。最后，不輕易運(yùn)行不明真相的程序。攻擊者常把系統(tǒng)破壞程序換一個名字用電子郵件發(fā)給你，并帶有一些欺騙性主題，騙你說一些“