2010年第25期 SCIENCE&TECHNOLOGY INFORMATION OIT论坛。 科技信息 网络支付与其安全性研究 李 艳 (西安欧亚学院信息学院 陕西西安710065) 【摘要】网络支付的安全问题是电子商务发展中的基本问题,本文介绍网络支付的概念和支付模型,结合案例说明了网络支付存在的安 全隐患,提出了解决安全隐患的方法。 【关键词】电子商务;网络支付;安全 Network Payment and Research of Its Security LIYan (School of Information,Xi’an Euraisa University.Xi’an Shaanxi,710065,China) 【Abstract]security issue of network payment is basic problem in E-commerce.this paper introduces the concept of security problem of Network payment and basic payment mode1.It shows potential safety hazards in network payment,and presents a series of method to solve security problem. 【Key words]E-commerce;Network payment;Security 随着计算机网络与互联网技术的飞速发展,电子商务在各个行业 该种表现形式在这几年逐渐流行。采取的技术往往是“网络钓鱼 得以广泛的应用,2010年5月1日新闻办公室主任王晨指出, 式攻击”。“钓鱼攻击”将网络登录者引诱到一个通过精心设计与目标 2009年我国电子商务交易总额突破4万亿元Ⅲ。电子支付市场每年都 组织的网站非常相似的钓鱼网站上。并获取在此网站上输入的个人敏 以高于30%的速度在成长.作为电子商务核心的支付环节正在加速电 感信息,通常这个攻击过程不会让受害者警觉。假冒的“工商银行”网 子化。2009年,我国网络支付交易额达5766亿元人民币,与2008年 站就是该类型的典型案例。 相比增长110.2%口 3.3 因网络资金被盗而产生的纠纷无法解决 安全性的问题不有效的解决将成为电子商务发展的障碍。本文将 网络资金被盗后无法进行维权.所以造成了严重的纠纷问题。 通过多个方面讨论网络支付安全性的问题,并提出相应解决办法。 2006年,多名工行持卡客户发生网上资金被盗事件,客户发起成立 1 网络支付的基本概念 “网银受害者集体维权联盟”就是该类型的典型案例。 网络支付是基于Internet并且适合电子商务发展的电子支付。网 4安全隐患解决办法 络支付是通用终端、公共网络以网络应用协议规定的格式发出支付指 4.1 加强身份认证技术的革新 令.实现货币支付与资金转移的行为日。 在前面谈到的终端系统风险和操作风险往往是由于身份、密码泄 2网络支付的基本模型 露而引起的,所以应该增大身份认证技术的革新,推广使用“口令卡”: 外置认证设备,如工行推出的“U盾”;动态信息认证,如手机短信认证 对于网络支付而言,一般包括支付终端、支付处理服务器、网络传 等。新型认证技术可以有效的避免身份和密码的泄露。 输通道、身份认证、付款账户,收款账户六个部分,如图1所示。 4.2普及金融知识,提高安全防范能力 网络支付安全问题一部分来自于支付工具使用者安全意识薄弱, 所以应该大力的宣传网络支付的安全知识,使用户提高防范意识,建 立网络支付安全操作流程,避免安全问题的出现。 4.3建立网络支付的统一标准 应该建立统一的网络支付标准,减少网络支付业务信息安全相关 技术与管理措施的理解水平和能力的差异.保证安全措施的协调应 用。央行2010年对外发布《非金融机构支付服务管理办法》正是向统 一网络支付标准的方向迈进。 4.4建立互联网相关的法律法规 我国目前对于互联网的相关法律法规还较为欠缺,尤其是互联网 图1 网络支付的基本模型 这样一个开放和复杂的领域,相对于现实社会,其违法犯罪行为的界 3网络支付的安全隐患 定、取证、定位都较为困难。 网络支付整个过程中,网络风险可能来自三类,第一类是由于网 5总结 络环境的开放性会带来了很多网络与连接网络的终端系统风险:第二 计算机网络的飞速发展,网络支付的普及应用使电子商务进人了 类是由于参与网络支付的各类人员违规或者操作不当带来的操作风 一个全新的发展阶段,网络支付是否安全仍然是电子商务发展中的重 险;第三类是由于网络支付规范和制度存在漏洞和“真空区域”所带来 要障碍,只有应该更可靠的安全技术、建立一系的支付行业标准,建立 的管理风险。 相关的法律法规才能保证网络支付的良性发展。 其主要的表现形式有: 3.1 用户身份信息和账号资金直接被盗 【参考文献】 该种表现形式出现的比较较早,直接盗取用户身份信息和账号资 [1]http://tech.sina.coln.cn/i/2010—05一O1,085l4137458.shtm1. 金的形式多种多样,但是利用木马盗取是最常用的手段。设计成熟的 [2]http://www.OCl1.com.cn/reports/2006391dianzizhifu.htrn. 木马都有一个信息反馈机制,反馈机制可以使木马成功安装后会收集 [3]《网络支付安全》标准研究小组.网络支付安全问题探究【J1.金融电子化,2009 ~些服务端的软硬件信息,并通过E—MAIL等方式告知控制端用户。 (7):40-42. 木马监听用户在终端上的操作,并将利用信息反馈机制将暴露出的用 户账号和密码发送给盗取者.盗取者利用盗取的账号和密码获取账号 作者简介:李艳(1979一).女,硕士,讲师,研究领域为无线传感器网络安 资金。2007年北京海淀区人民开庭审理的王某遥控木马病毒窃 全、电子商务安全。 取银行账号一案就是典型的该种形式的案例。 3.2冒出网络银行终端或网络商城转走用户资金 [责任编辑:王静]
