【關鍵詞】網上支付 電子商務 安全
一、網上支付交易出現的安全隱患
1.用戶的身份冒充
攻擊者透過非法手段盜用正當用戶的身份資訊,仿冒正當用戶的身份與他人進行交易,從而獲得非法利益。攻擊者還以非法手段竊得對數據的使用權,刪除、修改、插進或重發某些重要資訊,以取得有益於攻擊者的響應;惡意添加、修改數據,以干擾用戶的正常使用。
2.泄漏或丟失
是指敏感數據在有意或無意中被泄漏出往或丟失,它通常包括,資訊在傳輸中丟失或泄漏,如利用電磁泄漏或搭線***等方式可截獲機密資訊,或透過對資訊流向、流量、通訊頻度和長度等參數的分析,探測有用資訊。資訊在存儲介質中丟失或泄漏,透過建立隱蔽隧道等方式竊取敏感資訊。對資訊的篡改。攻擊者有可能對網絡上的資訊進行截獲後篡改其內容,如修改消息次序、時間,注進僞造消息等,從而使資訊失往真實性和完整性。網上支付電費大多都是透過網絡銀行進行交易的,攻擊者利用對正當用戶的攻擊盜用正當用戶的用戶名及密碼進行實在操縱,這樣對正當用戶造成了巨大的損失。
3.缺少嚴格的網絡安全治理制度
網絡安全最重要的還是要思想上高度重視,網站或局域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網絡安全制度與策略是真正實現網絡安全的基礎。
4.非授權訪問
未經許可就使用網絡或計算機資源被看作非授權訪問,如有意避開系統訪問控制機制,對網絡設備及資源進行非正常使用,或擅自擴大權限,越權訪問資訊等。
二、用安全技術對支付進行有效保護
1.加密技術
(1)對稱加密
在對稱加密方法中,對資訊的加密和解密都使用相同的密鑰。也就是說,一把鑰匙開一把鎖。使用對稱加密方法將簡化加密的處理,每個貿易方都不必彼此研究和交換專用的加密算法,而是採用相同的加密算法並只交換共享的專用密鑰。假如進行通訊的貿易方能夠確保專用密鑰在密鑰交換階段未曾泄露,那麼機密性和報文完整性就可以透過對稱加密方法加密機密資訊和透過隨報文一起發送報文摘要或報文散列值來實現。對稱加密方式存在的一個題目是無法鑑別貿易發起方或貿易終極方。由於貿易雙方共享同一把專用密鑰,貿易雙方的任何資訊都是透過這把密鑰加密後傳送給對方的。
(2)非對稱加密
在非對稱加密體系中,密鑰被分解爲一對(即一把公然密鑰或加密密鑰和一把專用密鑰或解密密鑰)。這對密鑰中的任何一把都可作爲公然密鑰(加密密鑰)透過非保密方式向他人公然,而另一把則作爲專用密鑰(解密密鑰)加以儲存。公然密鑰用於對機密性的加密,專用密鑰則用於對加密資訊的解密。專用密鑰只能由天生密鑰對的貿易方把握,公然密鑰可廣泛發佈,但它只對應於天生該密鑰的貿易方。貿易方利用該方案實現機密資訊交換的基本過程是:貿易甲方天生一對密鑰並將其中的一把作爲公然密鑰向其他貿易方公然;得到該公然密鑰的貿易乙方使用該密鑰對機密資訊進行加密後再發送給貿易甲方;貿易甲方再用自己儲存的另一把專用密鑰對加密後的資訊進行解密。貿易甲方只能用其專用密鑰解密由其公然密鑰加密後的任何資訊。 2.密鑰治理技術
(1)對稱密鑰治理
對稱加密是基於共同守舊祕密來實現的。採用對稱加密技術的貿易雙方必須要保證採用的是相同的密鑰,要保證彼此密鑰的交換是安全可靠的,同時還要設定防止密鑰泄密和更改密鑰的程序。這樣,對稱密鑰的治理和分發工作將變成一件潛伏危險的'和繁瑣的過程。透過公然密鑰加密技術實現對稱密鑰的治理使相應的治理變得簡單和更加安全,同時還解決了純對稱密鑰模式中存在的可靠性題目和鑑別題目。貿易方可以爲每次交換的資訊(如每次的EDI交換)天生唯逐一把對稱密鑰並用公然密鑰對該密鑰進行加密,然後再將加密後的密鑰和用該密鑰加密的資訊(如EDI交換)一起發送給相應的貿易方。由於對每次資訊交換都對應天生了唯逐一把密鑰,因此各貿易方就不再需要對密鑰進行維護和擔心密鑰的泄露或過期。這種方式的另一優點是即使泄露了一把密鑰也只將影響一筆交易,而不會影響到貿易雙方之間所有的交易關係。這種方式還提供了貿易伙伴間發佈對稱密鑰的一種安全途徑。