电子支付,是指从事电子商务交易的当事人,包括消费者、厂商和金融机构,通过信息网络,使用安全的信息传输手段,采用数字化方式进行的货币支付或资金流转。电子支付相比较传统支付,操作方便、速度快、效率高、费用低廉,用户只要拥有一台连接Internet 的计算机,便可在电脑旁分秒间完成整个支付过程,可谓省时又省力。加之当下,网络购物的风靡和快递行业的提速,电子支付应用更加广泛和普及 , 如表 1.但是,伴随着电子支付应用的火爆,电子支付的安全风险也越来越受人们的关注。本文分析电子支付的安全风险及应对策略,提出了新的安全应对措施,对提高电子支付安全性具有非常重要的理论与现实意义。
1 电子支付的风险及防范措施。
电子支付给用户带来了方便,给支付机构带来了新的机会,但同时也对相关主体提出了更高的要求。
1.1 电子支付面临着多种风险,基本的经济波动风险、操作风险和法律风险,电子支付本身的技术风险、交易风险、信用风险,以及市场风险、信用风险、流动性风险、声誉风险和结算风险等等。
1.2 防范电子支付风险的措施。
(1)建立网络安全防护体系 ;(2)建立大型电子支付数据仓库或决策支持系统;(3)加速金融工程学科的研究、开发和利用;(4)通过管理、培训手段来防止金融风险的发生。
电子支付的风险防范措施不单是技术层面的安全措施,而是一系列风险防范措施的总和。目前应用最多的风险防范措施有 :
防火墙技术、加密技术、数字签名技术、安全认证技术和虚拟专用网 V PN.其实无外乎三种防护手段,一是浏览器加密技术,在使用者上网用的浏览器上进行加密处理,保证资料传输时的保密性,保护使用者键入密码、账号和支付信息后不会被人盗取及滥用 ;二是“防火墙”技术“,防火墙”即安全过滤路由器可以防止外来者的不安全进入 ;三是“可信赖作业系统”,它能够保护电子支付时的交易中枢服务器不被“黑客”攻击破坏。
2 电子支付安全保障的核心。
电子支付业务安全保障的核心是安全认证,而身份认证无疑是安全认证技术中的重中之重。下面介绍几种身份认证的机制。
1)口令加 ID,这种身份认证机制是使用最简单、最方便同时也是保密度最低,最容易被破解的。口令加 I D 的身份认证是静态的,口令太短,黑客只需用简单的穷举法便可马上破译密码。而较长的口令既不便于记忆又增加了密码输入的繁琐性,所以不实用。因其种种原因,这种身份认证法正在被逐渐淘汰。
2)动态一次性口令,分为“刮刮卡”口令和 OTP 动态令牌口令两种“.刮刮卡”口令是一次一密的身份验证法,是利用在二维坐标的交叉点处产生一个三位随机数,电子支付时,将随机数键入计算机即可。因为“刮刮卡”口令只有 40 个随机密码,并且交易额有限制,对使用人来说极其不方便。OTP 动态令牌(Token)卡原理有两种 :一是基于时间的 ;二是基于事件的。每次使用人使用 OTP 登录系统,口令不是静态的,是变化的随机数,它来源于产生密码的运算因子。这种口令一般是 6 位数字,密码算法掌握在商家手中,存在潜在的风险。
3)数字证书,也被称作公钥的载体,它和私钥一一对应。通信时用公钥加密,用私钥解密 ;签名时用私钥加密,用公钥解密。在公开密钥密码体制中,常用的一种是 RSA 体制。其数学原理是将一个大数分解成两个质数的乘积,加密和解密用的是两个不同的密钥。就算已经知道明文、密文和加密密钥(公开密钥),想要得出解密密钥(私密密钥),在计算上也是不可能的。因为,就现在的计算机技术水平,要破解目前采用的 1024 位 RSA 密钥,也要上千年的时间来计算。看起来似乎安全性已经很高,其实并不是无懈可击。当黑客攻击使用人的浏览器程序时,仍然有安全隐患。
4) 电子支付中有两个重要的协议 :SSL 协议与 SET 协议。
(1) SS(LSecure Sockets Layer,安全套接层协议)。
SSL 协议层包括两个协议子层,SSL 记录协议与 SSL 握手协议。
SSL 协议的数据流程图如图 1 所示。
(2) SE(TSecure Electronic Transaction,安全电子交易协议)。SET 协议运行的目标包括保证信息在互联网上安全传输、保证电子商务参与者信息的相互隔离、解决网上认证问题、保证网上交易的实时性、规范协议和消息格式。SET 协议的数据流程图如图 2 所示。
3 电子支付的新安全措施。
目前电子支付时所用的身份认证技术都主要集中为以上几种,这几种身份认证技术或早已被淘汰,或有自己的致命弱点而容易被黑客攻击,存在安全隐患。因此,我们可以得知,基于互联网的身份认证技术容易被黑客攻击,而基于硬件的身份认证技术又因其制造手段必有漏洞可循,也极易被黑客破解。那么,世界上什么才是每个人独一无二,无法复制与盗取的呢?
世界上没有相同的两片叶子,更没有完全相同的人,就连同卵双胞胎也具有细微的人体特征差别。所以,我们提出,将人类独一无二的指纹、声音、面部特征和眼部特征等生物特征用作电子支付识别用户安全身份的手段,也就是电子支付采用生物技术措施来进行用户的身份安全认证,提高电子支付的安全性。
每个人的眼球网膜结构还有指纹都是独一无二的,因此我们的电子支付身份认证基于眼球网膜结构和指纹来研究。
首先将人的眼球网膜和指纹进行红外线采样、算法压缩后存储。当需要电子支付时,使用人将眼球对准电脑上的扫描光线进行采样,分析、比对后加以识别,进行第一步安全身份核对,确认使用人的安全身份。通过验证后,第二步在外接的带有液晶显示屏的指纹识别器上,会显示使用人电子支付的信息,使用人核对自己的电子支付信息是否属实,若属实,按指纹确认电子支付的信息,交易完成。若不属实。使用人不按指纹,交易失败,如图 1 所示。采用眼球网膜结构和指纹的双重身份识别法可以大幅提高电子支付的安全性,就算黑客破解互联网身份认证,把使用人的电脑变成“肉鸡”,他也没有使用人的指纹算法,没法识别使用人的真实身份,故无法完成交易。
4 总结。
本文通过分析电子支付时存在的风险及目前风险防范措施存在的安全隐患,提出了基于生物特征的身份安全认证技术,对提高电子支付的安全性有很大的现实和理论意义。电子支付中的身份认证是整个支付过程最为核心的问题。只有严把这道安全关,辅助以独一无二的生物特征身份认证,电子支付才能更安全。