电子支付的安全手段

摘　要：

关键词：
　　国内网购交易额呈数十倍增长，随之而生的电子支付用户量亦同样不断翻倍。电子支付能帮助企业提高核心竞争力，并最终推动整个社会资金效率的提升。网上银行、手机银行的“账号＋密码”登录形式成为网上银行客户端的最薄弱环节，成为黑客盗取网上银行用户资金的主要突破口。目前大多电子支付平台已经连同各大银行机构部署了三个层次的防御，即网上银行交易系统的安全、用户的身份识别和CA认证和数字签名等加密协议。
　　一、一般性的安全措施防御
　　银行交易服务器是网上的公开站点，网上银行系统也使银行内部网向互联网敞开了大门。因此，如何保证网上银行交易系统的安全，关系到银行内部整个金融网的安全，这是网上银行建设中最至关重要的问题，也是银行保证客户资金安全的最根本的考虑。为防止交易服务器受到攻击，银行主要采取以下三方面的技术措施:
　　1、设立防火墙，隔离相关网络
　　一般采用多重防火墙方案。其作用有二:
　　·分隔互联网与交易服务器，防止互联网用户的非法入侵。
　　·用于交易服务器与银行内部网的分隔，有效保护银行内部网，同时防止内部网对交易服务器的入侵。
　　2、高安全级的Web应用服务器
　　服务器使用可信的专用操作系统，凭借其独特的体系结构和安全检查，保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理。
　　3、二十四小时实时安全监控
　　随着支付安全技术的发展，智能风险实时监控也被越来越广泛地应用。风险控制系统会对每笔交易进行过滤，保障用户的安全，支付公司一定要从不同的环节，从应用和用户业务层面去捕捉漏洞，这比仅仅在技术底层捕捉漏洞更加重要。比如龚某接到了自称是税务部门工作人员的电话，说要给他退税，请他提供个人信息。没有及时识破骗子的把戏，最终银行卡上的4万元被龚先生稀里糊涂地汇出，汇到了骗子的快钱账户中。然而，快钱对于大额资金往来有严密的实时监控，他们很快发现龚先生的银行账号出现了异地大额交易等特殊情况，于是第一时间给龚先生打了电话确认，在得知龚先生受骗后，快钱随即将相关资金冻结。
　　如果支付宝发现一个账户先在北京登录，10分钟后又在上海登录使用，那也会马上给你打电话核实。风险实时监控系统会通过数据分析、数据挖掘等技术进行学习并与一般用户正常行为特征进行比对，发现异常的或有风险的操作行为，根据风险级别不同进行不同的处理。同时辅助人工核查，最大限度防控网上支付风险。
　　二、用户的身份识别和CA认证
　　网上交易不是面对面的，客户可以在任何时间、任何地点发出请求，传统的身份识别方法通常是靠用户名和登录密码对用户的身份进行认证。但是，用户的密码在登录时以明文的方式在网络上传输，很容易被攻击者截获，进而可以假冒用户的身份，身份认证机制就会被攻破。
　　在网上银行系统中，用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。用户的登录密码以密文的方式进行传输，确保了身份认证的安全可靠性。
　　数字证书的引入，同时实现了用户对银行交易网站的身份认证，以保证访问的是真实的银行网站，另外还确保了客户提交的交易指令的不可否认性。
　　在这些技术手段之外，还有监管部门这只看不见的“大手”来保护用户的支付安全，光大银行在全国22个城市启动了网络缴费金融服务平台，光大银行规划与风险管理处负责人张晓红表示，监管机构对网上银行业务有包括多因素双信道等诸多要求在内的一整套技术要求来确保安全，而在第三方支付平台方面，目前各家也主要参照监管部门对银行的要求进行安全风险控制，而随着央行《支付清算组织管理办法》的出台，对第三方支付平台的安全要求还将进一步加强。
　　三、数字签名等加密协议进一步保障了支付安全
　　SSL是国际上最早应用于电子商务的一种网络安全协议。它最初是由网景公司设计开发，其目的主要是提高应用程序之间的数据的安全性。该协议涉及所有的TCP/IP应用程序，主要提供以下方面的服务:确信数据将被发送到正确的客户机和服务器上；对被传送的数据进行加密；在传输的过程中维护数据的完整性。
　　但是，SSL协议是在互连网电子商务初期阶段发展起来的，它的基点是商家对客户信息保密的承诺，因此有利于商家而不利于客户，其最大的缺点是客户资料的不安全性。而且，SSL是一个面向连接的协议，只能提供交易中客户与服务器间的双方认证，而且，在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系，因此，为了实现更加完善的电子交易，MasterCard和Visa以及其它一些业界厂商制订并发布了SET协议。
　　SET(安全电子交易)协议的出现克服了SSL协议的缺陷，对商家和客户两方面的数据安全都给与了充分的考虑。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。目前公布的SET正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准，其交易形态将成为未来“电子商务”的规范。
　　目前，在SSL协议及SET协议之上，不同实力的第三方支付企业亦选择了实力雄厚的技术伙伴。以环迅支付为例，其于年前就与上海迅通科技有限公司达成协议，成为战略合作伙伴关系，而上海迅通科技有限公司是GeoTrust中国地区的分销商，全球著名认证中心VeriSign的全资子公司，为国内诸多的银行及电子商务网站提供SSL证书服务。目前全球已经有150多个国家，超过10万家企业正在使用GeoTrust数字证书，这也将最终成为环迅树立支付行业技术壁垒的最大资本。
参考文献：
[1]周晓.第三方支付主体的法律性质的思考[J].电子商务,2010,(02):47-49
[2]王开宇.电子支付:跨越“三重门”[J].中国计算机用户,2010,(Z2):21
[3]王开宇.跨越“三重门”,攀登新高峰[J].电子商务,2010,(02):11
[4]张楷淳.Visa:防患于未然保障支付安全[J].中国信用卡,2010,(02):43-45 本文链接：http://www.qk112.com/lwfw/jsjlw/ruanjianjishu/229475.html