信息化与互联网的高速发展,电子商务呈现出蓬勃发展之势。但同时各种支付安全问题时有发生。本文主要介绍了电子商务支付平台在安全性方面的存在的漏洞,和兰州某商业银行开发的电子商务支付系统的安全性设计和实现。在文章最后提出了银行在开发移动支付系统时可以考虑将高精准辨认身份特征的指纹数据作为支付平台的身份认证的信息或者支付确认的密码,以提高支付平台的安全性。
随着信息化与互联网的高速发展,当前电子商务规模的持续扩大。2018年11月11日,各大电商平台可谓是战绩出色,接连刷新往年记录。在线支付交易过程中,支付平台作为整个系统最核心的部分,是消费者和商户共同信赖的机构,承担着资金收付,以及保障用户身份和交易信息安全的重大责任。但是网络的开放性,支付平台长时间持有大量的资金,使网上交易的风险急剧增加。
一、电子商务支付平台存在的安全隐患
(一)支付密码技术漏洞造成的安全性问题
一般支付平台虽然采用支付密码和登录密码不同的双密码制度,但是在传输过程中,不法分子诱导用户登陆钓鱼网站或利用木马程序等手段窃取用户身份认证数据,就可以轻易地使用用户账号,造成重大经济损失。
(二)数据传递存储造成的安全性问题
支付平台支付时为了简化手续,无需跳转到网络银行支付的页面。再加上系统的设计存在的一些缺陷,一旦交易的主数据服务器遭受攻击就会导致支付信息、订单信息泄露。攻击者提取敏感信息,造成客户资料外泄的安全问题。或是对其中的关键消息进行数据格式分析,掌捏信息的长度、频度和加密方法等,对支付信息篡改、删除或插入,从而达到进行不法操作的目的,从中获得利益。因此需要对网络支付平台提出相应的安全控制要求。
二、兰州某商业银行开发的银行支付系统
兰州某商业银行股份有限公司开发的“电子商务支付系统”,利用计算机网络技术,借助于银行系统的安全性,通过网络交易平台为客户和企业提供基于网络的信息流、物流和资金流的电商交易,在网络交易中直接实现货款的代收和代付,有效降低网络交易中的个人资料外泄及诈骗行为(孙晓芳,某银行网络代收代付系统的设计与实现:兰州大学,2017)。
银行支付系统有以下几大优点:
1.借助银行自身的安全防护体系,银行支付系统对关键数据加密传输,使用国际上流行的安全协议,为商家、消费者提供了可靠的资金管理,有力的保障了网络支付的数据安全性(孙晓芳,某银行网络代收代付系统的设计与实现)。
2.当网上交易出现纠纷时,例如双方对自己的交易行为存在争议时,支付系统中的交易情况记录可以作为凭证,从而对双方交易行为进行有效的约束和监督。
3.银行支付系统具有开放性,支持跨银行、多卡种、多终端的支付模式(孙晓芳,某银行网络代收代付系统的设计与实现)。促进银行与银行、银行和企业之间的合作。
三、系统安全性设计
银行支付系统重要的问题是保证支付过程的全面安全,在此基础上再为客户和企业提供更多的便利。银行支付系统在考虑不增加存储空间及计算能力的条件下,对于重要数据采用ECC复合AES与RC4高效加密机制以及OAuth2.0授权协议,实现了电子商务网站和支付系统既安全又灵活的集成。
(一)加密机制
为保证敏感信息在支付系统、电商平台、银行等各实体之间的传输的完整性,必须对关键信息加密处理。在银行支付系统,采用ECC复合AES与RC4混合加密算法把用户的敏感信息转变为不可识别的数据。
首先,对支付中的主要交互信息使用自定义的编码表编码。支付系统中对于敏感信息用特殊的方式编码后加密再传输,即使被攻击者获取解密后得到明文码字后,因为不了解解码规则,仍然不能有效的解读数据,因而保证支付系统更加安全。
然后,对编码后的数据按成一定方式分成单元快,多个单元快再组合成组,对组中的第一个单元采用AES加密算法加密,对组中的其他单元采用更高效的RC4加密处理。
最后,用资源消耗较低且处理效率较高的非对称密钥算法ECC对AES的密钥继续加密处理。三种加密算法的混合使用,既降低了加密速度,又有效的解决了对称加密算法的密钥管理复杂问题以及密钥协商问题,实现了效率与安全的最大平衡(高小梅,移动终端支付的安全性研究:长安大学,2017)。 上一篇:兰州市河湖管理现状与对策探讨 下一篇:没有了