網(wǎng)上支付系統(tǒng)的安全性研究

摘 要： 網(wǎng)上支付系統(tǒng)安全主要包括交易數(shù)據(jù)安全和網(wǎng)絡(luò)安全，其安全手段應(yīng)是全方位、多層次的。在服務(wù)器端、客戶端和數(shù)據(jù)傳輸?shù)雀鱾€(gè)環(huán)節(jié)要采用不同的安全措施，如對(duì)系統(tǒng)架構(gòu)劃分安全區(qū)域，采用安全設(shè)備，進(jìn)行交易簽名，使用動(dòng)態(tài)令牌等。通過使用各種安全措施，可有效確保網(wǎng)上支付系統(tǒng)安全，從而為客戶提供安全、快捷的網(wǎng)上支付服務(wù)。

關(guān)鍵詞： 網(wǎng)上支付系統(tǒng)； 數(shù)據(jù)安全； 網(wǎng)絡(luò)安全； 安全措施

中圖分類號(hào)： TN919?34； TP393 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2013）08?0074?02

0 引 言

網(wǎng)上支付是以互聯(lián)網(wǎng)為基礎(chǔ)，利用銀行所支持的數(shù)字金融工具，發(fā)生在購買者和銷售者之間的金融交換，從而實(shí)現(xiàn)買者到金融機(jī)構(gòu)、商家之間的在線貨幣支付、現(xiàn)金流轉(zhuǎn)、資金清算、查詢統(tǒng)計(jì)等過程，由此為電子商務(wù)服務(wù)和其他服務(wù)提供金融支持。

網(wǎng)上支付能夠?yàn)榭蛻籼峁┓奖恪⒖旖莸你y行服務(wù)，但同時(shí)也會(huì)給作案者提供新的攻擊途徑，帶來了新的風(fēng)險(xiǎn)，如何保證網(wǎng)上支付的安全性，成為網(wǎng)上支付系統(tǒng)建設(shè)的重要內(nèi)容。

1 網(wǎng)上支付系統(tǒng)的安全性分析

近年電子商務(wù)在中國(guó)國(guó)內(nèi)發(fā)展迅速，據(jù)電子商務(wù)研究中心發(fā)布數(shù)據(jù)顯示，截止2012年6月，中國(guó)電子商務(wù)市場(chǎng)交易額達(dá)3.5萬億元，同比增長(zhǎng)18.6%。其中B2B電子商務(wù)市場(chǎng)交易規(guī)模達(dá)2.95萬億，網(wǎng)絡(luò)零售市場(chǎng)交易規(guī)模達(dá)5 119億元[1]。隨著電子商務(wù)在中國(guó)國(guó)內(nèi)的迅速發(fā)展，網(wǎng)上支付成為一種新的支付方式，隨之，出現(xiàn)了網(wǎng)上支付的安全和信用問題。

網(wǎng)上支付業(yè)務(wù)數(shù)據(jù)中含有銀行客戶的賬戶信息，如賬號(hào)、密碼、余額等，屬于用戶的隱私，這些數(shù)據(jù)是不允許公開的；而因特網(wǎng)是一個(gè)開放的公共網(wǎng)絡(luò)，在這樣一個(gè)開放的網(wǎng)絡(luò)上拓展銀行的傳統(tǒng)業(yè)務(wù)，安全性是需考慮的首要因素，網(wǎng)上支付系統(tǒng)對(duì)安全性有著特殊的要求，既要保證數(shù)據(jù)在網(wǎng)絡(luò)上傳輸?shù)谋Ｃ苄裕忠ＷC服務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn)。

網(wǎng)上支付系統(tǒng)的安全需求主要來自2方面：首先是交易數(shù)據(jù)安全，網(wǎng)上支付各業(yè)務(wù)的完成主要基于因特網(wǎng)的傳輸，因特網(wǎng)的開放性決定了其傳輸安全的脆弱性，需要保證數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性，電子商務(wù)中需要確認(rèn)交易方在網(wǎng)上的真實(shí)身份，確保交易的真實(shí)性和不可抵賴性；其次是網(wǎng)絡(luò)安全，網(wǎng)上的公開服務(wù)器以及內(nèi)部與之相連的內(nèi)部服務(wù)器將不可避免地受到惡意攻擊和好奇者的試探，需要保證系統(tǒng)較強(qiáng)的抗攻擊性[2]。

2 網(wǎng)上支付系統(tǒng)的安全措施

網(wǎng)上支付的安全性極為重要，其安全手段也是全方位、多層次的。從整個(gè)支付流程來看，支付系統(tǒng)的安全包括服務(wù)器端安全（包括銀行端和第三方支付公司系統(tǒng)）、客戶端安全、數(shù)據(jù)傳輸安全，通過對(duì)各環(huán)節(jié)采用不同的安全措施來構(gòu)建一個(gè)安全支付環(huán)境（如圖1所示），以確保客戶交易信息的保密性、完整性及不可抵賴性[3]。

2.1 服務(wù)器端安全

（1）應(yīng)用系統(tǒng)安全：主要包括銀行系統(tǒng)、第三方支付系統(tǒng)安全。對(duì)于應(yīng)用系統(tǒng)架構(gòu)，應(yīng)根據(jù)不同的安全級(jí)別劃分安全區(qū)域，并在各安全區(qū)域之間部署異構(gòu)防火墻，在安全區(qū)域內(nèi)部部署安全防護(hù)設(shè)備[4]，如安全網(wǎng)關(guān)、漏洞掃描、抗DDOS攻擊設(shè)備、入侵檢測(cè)設(shè)備IDS、入侵防御設(shè)備IPS等，從而有效控制非法用戶入侵、防范惡意攻擊，對(duì)應(yīng)用系統(tǒng)進(jìn)行全面的安全防護(hù)。

（2）數(shù)據(jù)存儲(chǔ)安全：通過制訂并施行科學(xué)合理的數(shù)據(jù)備份機(jī)制、數(shù)據(jù)訪問機(jī)制和災(zāi)難恢復(fù)計(jì)劃，以確保數(shù)據(jù)存儲(chǔ)安全。

（3）交易處理安全：主要通過數(shù)字簽名技術(shù)保證網(wǎng)上支付交易處理安全，具體交易過程如圖2所示。

商戶發(fā)往銀行的交易需進(jìn)行數(shù)字簽名，銀行方進(jìn)行驗(yàn)簽，從而驗(yàn)證商戶身份；同時(shí)支付系統(tǒng)發(fā)送給商戶的支付結(jié)果中也包含銀行方數(shù)字簽名，以保證信息一定是由銀行發(fā)出的并且確保其完整性。此外，銀行對(duì)商戶發(fā)送過來的訂單信息會(huì)進(jìn)行重復(fù)性、時(shí)效性等有效性檢查，對(duì)于無效交易系統(tǒng)會(huì)自動(dòng)摒棄。

（4）交易監(jiān)控：建立交易監(jiān)控系統(tǒng)，通過數(shù)據(jù)分析、數(shù)據(jù)挖掘等技術(shù)進(jìn)行學(xué)習(xí)并與一般用戶正常行為特征進(jìn)行比對(duì)，發(fā)現(xiàn)異常的或有風(fēng)險(xiǎn)的操作行為，根據(jù)風(fēng)險(xiǎn)級(jí)別不同進(jìn)行不同的處理。

2.2 客戶端安全

由銀行和第三方支付服務(wù)提供商為客戶提供，具體包括動(dòng)態(tài)令牌、USB Key（含第三方認(rèn)證證書）、短信服務(wù)、預(yù)留信息驗(yàn)證、圖形驗(yàn)證碼、軟鍵盤等。其中，動(dòng)態(tài)令牌和 USB key 為物理移動(dòng)設(shè)備，難以被盜用，USB key可對(duì)客戶提交的交易信息進(jìn)行數(shù)字簽名，增強(qiáng)對(duì)交易過程中行為和責(zé)任的認(rèn)定。通過幾種方式的組合，可增強(qiáng)非法入侵和盜用的難度[5]。

2.3 數(shù)據(jù)傳輸安全

銀行端與商戶端通信可采用專線或VPN方式，并利用 HTTPS協(xié)議進(jìn)行交易信息加密處理[6]，以確保數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性。

2.4 其他安全

（1）加強(qiáng)實(shí)名驗(yàn)證，如淘寶（支付寶）實(shí)行了收款人身份證認(rèn)證和銀行卡認(rèn)證，可有效防范欺詐；

（2）第三方支付公司借鑒證券公司經(jīng)驗(yàn)使用第三方存管，增強(qiáng)了客戶資金安全性；

（3）簽約過程中網(wǎng)上支付系統(tǒng)不向商戶系統(tǒng)傳輸客戶銀行卡完整的卡號(hào)信息，網(wǎng)上支付系統(tǒng)也不保留客戶的商戶賬戶完整信息，以確保客戶敏感信息安全；

（4）通過設(shè)置單筆支付限額和當(dāng)日累積支付限額，以確保資金安全。

3 結(jié) 語

網(wǎng)上支付有效地解決了電子商務(wù)資金流的問題，大大促進(jìn)了電子商務(wù)的發(fā)展，但其安全性備受關(guān)注。通過使用各種安全措施，可有效確保網(wǎng)上支付系統(tǒng)的安全，從而為客戶提供安全、快捷的支付服務(wù)。

參考文獻(xiàn)

[1] 孟凡霞.2012年（上）中國(guó)電子商務(wù)市場(chǎng)監(jiān)測(cè)報(bào)告[J].現(xiàn)代情報(bào)，2012（9）：91?92.

[2] 徐輝.我國(guó)網(wǎng)上支付安全問題及風(fēng)險(xiǎn)防范[J].華南金融電腦，2009，32（5）：25?28.

[3] 錢宏，趙琳峰.構(gòu)建安全支付服務(wù)體系迎接支付健康發(fā)展新紀(jì)元[J].金融電子化，2010（13）：21?22.

[4] 龍冬陽.網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[M].廣州：華南理工大學(xué)出版社，2006.

[5] 陳艷.網(wǎng)上支付的安全運(yùn)行問題及其對(duì)策[J].經(jīng)濟(jì)與社會(huì)發(fā)展，2010（4）：24?25.

[6] 李翼.數(shù)據(jù)傳輸?shù)陌踩夹g(shù)[J].計(jì)算機(jī)安全，2011（3）：15?17.