摘要:随着我国信息化产业的迅速发展,电子商务产业在阿里巴巴、京东、1号店等主流电子商务公司的驱动下,电子商务已经深入国民经济和百姓日常生活的各个方面。但是,产业快速发展的同时人们对网上支付安全问题表示担忧,作为电子商务交易过程中最重要的环节之一,其安全问题也就越来越受到人们的重视。本文从网络环境、系统安全、身份认证和社会环境等方面综合的对网上支付安全问题进行了研究,通过对现阶段网上支付出现的安全问题进行了分析,提出了解决这些安全问题的应对措施,保障网上支付的安全,促进我国电子商务产业持续健康的发展。在电子商务时代,移动支付的可移动、可及时的个性化支付方式受到各界人士欢迎,同时人们也担忧它的安全性。本文简述电子商务,详细阐述移动支付,解释支付原理及技术,探究对电子商务的安全问题,以此为移动支付提供策略。
关键词:移动支付;认证技术;移动支付安全
一、引言
在过去的30年间,电子商务的概念发生了很大的变化.最初,电子商务意味着利用电子化的手段,将商业买卖活动简化,通常使用的技术包括电子数据交换(EDI)和电子货币转帐,这些技术均是在20世纪70年代末期开始应用。典型的应用是将采购订单和发票之类的商业文档通过电子数据的方式发提交去。
电子商务中的“电子”指的是采用的技术和系统,而“商务”指的是传统的商业模式。电子商务被定义为一整套通过网络支持商业活动的过程。在70年代和80年代,信息分析技术进入电子商务。80年代,随着信用卡、自动柜员机和电话银行的逐渐被接受和应用,这些也成为电子贸易的组成部分。进入90年代,企业资源计划(ERP)、数据挖掘和数据仓库也成为电子商务的一个部分。
在“.COM”时代,电子商务增加了新的组成部分——“网络贸易”,客户在数据加密传输技术支持下,利用网上商店的虚拟购物车和信用卡等电子货币支付形式,通过互联网完成商品和服务的采购。
二、移动支付的概论
(一)移动支付的定义
移动支付是近几年发展起来的技术与业务,根据阐述角度的不同,相关行业、组织给予其的定义与解释也各有不同。根据2002年"移动支付论坛"(MobilePaymentForum)的说法,移动支付就是交易双方使用移动设备转移货币价值以清偿获得商品和服务的债务。这是一种依靠短信、HTTP、WAP或NFC(近场通信技术)等无线方式完成支付行为的新型支付方式。移动支付所使用的移动终端可以是手机、PDA、移动PC等。目前手机是主要的移动支付终端,因此,也有人把移动支付称为手机支付。
另外一种定义认为,移动支付是电子支付的一种方式,是指交易双方为了某种货物或者服务,使用移动终端设备为载体,通过移动通信网络或者NFC实现的商业交易,它属于移动电子商务的范畴。移动支付是移动终端由通信工具变成信用支付工具的一种功能性的扩展,同时也是移动电子商务过程实现的一种价值体现。
(二)移动支付的实现
根据支付的实现方案,移动支付可以分为现场支付和远程支付。现场支付是指交易者面对面进行支付操作,包括现金交易、电子支付等。与之相对的远程支付是指利用向远端发送支付指令(如网银、ATM转账)或借助支付工具(如邮寄、汇款)进行的支付方式。现场支付中利用近距离无线通信技术实现的支付是目前移动支付应用热点。近距离无线通信技术包括射频识别(radiofrequencyidentification,RFID)、蓝牙、红外或非接触智能卡(如SIMpass)等,利用这种技术实现的支付也称为近场支付。目前,移动支付主要有以下5种实现方式。
三、移动支付安全分析和存在的问题
(一)移动支付安全特性
移动支付的整个交易过程是完全处在一个开放的环境中,为了保证交易的安全进行,移动支付系统必须满足以下安全特性:
(1)保密性。由于无线网络的开放性,终端设备与WEB服务器之间传输的交易信息,很可能在传输过程中遭到非法攻击,被非法用户获取、修改,如何保证交易信息的安全性和保密性是移动支付的基础。
(2)数据完整性。移动支付交易必须保证交易不被破坏或干扰,交易内容在传输过程中需要确认数据信息没有被改变,也就是信息在交易的处理过程中不能被任意加入、删除或修改。
(3)不可否认性。移动支付提供一种可以防止发送方或接收方抵赖传输消息的服务,当接收方接收到消息后,能够提供足够的证据向第三方证明这条消息来自某个发送方,使发送方不能抵赖发送过这条消息。同时,当发送一条消息时,发送方也有足够证据证明某个接收方的确已经收到这条消息。
(二)移动支付安全问题的现状
安全问题是影响移动支付的关键因素,安全包括很多环节,比如存储安全、传输安全、认证安全等。从目前来看,移动支付可能隐藏的安全问题表现如下:
(1)手机本身的安全存在隐患。利用手机进行现场支付很容易造成密码的泄漏,再者,随着智能机应用的普及,手机病毒也越来越多,黑客使用病毒盗取用户的手机PIN码、网银密码,导致用户账户被盗刷的现象屡见不鲜。
(2)缺乏身份识别。手机作为支付工具,必须对参与交易的合法身份进行识别,由于移动支付涉及到银行、商家、用户等多个实体,如何解决合法身份认证就显得尤为重要。
(3)信用体系不健全。一些小额支付业务通常是捆绑在手机话费中,而有不少手机号并没有采取实名制,因此造成手机话费透支、恶意拖欠并不少见。信用意识以及体系的不完善,也制约着移动信息化的普及和推广。
(三)移动支付安全技术
针对移动支付存在的安全问题,可以通过身份认证、数字签名和WPKI等相关技术手段来解决。
(1)身份认证技术
通常采用静态密码、短信密码、动态口令等认证方式。在实际使用过程中,不同的安全需求决定不同的认证方式:小额支付通常采用移动电话号码和固定密码认证的方式;大额支付可采用固定密码和动态密码的方式来提高安全性;以WIM为基础的移动PKI认证可以同时满足以上两种要求。
(2)数字签名技术
数字签名又称电子加密,可以区分真实数据与伪造、被篡改过的数据,公开密钥加密技术是实现数字签名的主要技术,它有两个密钥:一个是签名密钥,它必须保持秘密,称为私钥;另外一个是验证密钥,它是公开的,称为公钥。用户在提交单据和帐号信息后,同时生成一个私钥和证书,然后将该帐号连同证书和签名文件作为一个包传输给接收方;接收方在收到签名帐号信息后,首先去CA中心验证此证书的合法性,来确定发送方的身份是否可信。如果可信,则用证书中的公钥来验证传输来的文件是否是发送方所签署的。
(3)WPKI技术
WPKI即“无线公开密钥体系”,它通过采用公钥基础设施以及证书管理策略,有效地建立了安全有效的无线网络通信环境。WPKI中使用两个不同的公开密钥:一个用于密钥交换(其证书可用于身份认证),另一个可用于数字签名,这样有效地将身份认证和访问控制分开。无线PKI的架构包括无线终端、注册中心(RA)、证书认证中心(CA)、目录服务器和无线网关等。注册中心负责接受用户对证书颁发、撤销等请求,认证中心负责证书的颁发和管理,证书内容包括使用者的姓名和公开密钥、证书有效期等信息,和CA对这些信息的数字签名。目录服务器用来存放证书、CRL等供用户查询、下载,无线网关完成无线和有线环境协议的相互转化。在安全协议WTLS中,服务器和客户(如果服务器要求的话)分别利用其公钥证书向对方证明自己的身份。
为了适应无线应用环境,WPKI对传统的PKI作了相应的优化工作,如采用压缩证书格式,减少了存储容量;采用椭圆曲线算法,提高了运算效率,并在相同的安全强度下减少了密钥的长度。
(五)网络环境安全问题
电子商务的基础是网络,而网络的物理支撑是各种硬件设施,这些硬件设施会由于各种原因带来安全风险。计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面,计算机系统硬件和通信设施极易遭受自然环境的影响以及人为的物理破坏;另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击;同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作,造成计算机网络系统内信息的损坏、丢失和安全事故。网络安全是电子商务系统安全的基础,涉及的方面较广,如防火墙技术、网络监控、网络检测及各种反黑客技术等,其中最重要的就是防火墙技术。防火墙的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络侵入内部网络。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。
(六)系统安全问题
对于任何一个系统来说安全都是相对的。作为系统管理者要始终保持敏锐的洞察力,针对出现的隐患和问题不断研究相应的安全措施。对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行强度的数据加密;安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。尽管网上支付发展普遍被人看好,但近来暴露出来的一些网上安全问题仍然使网上支付蒙上了阴影。
X《电脑安全威胁报告》显示,目前X制造的恶意电脑攻击数量远超过其它任何一个国家。以下是典型的几类系统安全问题:
1、不安全的根源
不法之徒通过设立仿冒网站、发送伪造电子邮件甚至利用电脑病毒等手段,骗取用户的银行账户、密码等信息。
2、密码管理问题
大部分公司和个人受到网络攻击的主要原因是密码政策管理不善,大部分用户所用的密码是字典中可查到的普通单词姓名或者其他简单的密码,有80%的用户在所有网站上使用的都是一个密码或者有限的几个密码。
许多攻击者还会使用一些软件破解一些安全性密码。因此建议客户使用复杂密码,降低被病毒破解的可能性提高计算机系统的安全性。需要注意:一是不要把密码设置成为姓名,普通单词,电话号码生日等简单密码;二是结合大小写字母,数字共组密码;三是密码数字要尽量大于9位。
3、网络钓鱼
“网络钓鱼”是近来出现的一种比较典型的诈骗方式,顾名思义,就是骗子利用一些不被人注意的诱饵,来骗取用户的账号和密码,从而坐收渔翁之利。通常骗子都是利用向别人发送垃圾邮件,将受害者引导到一个假的网站,这个假网站会做得与某些电子银行网站一模一样,粗心的用户往往会将自己的账户和密码送到骗子那里。
4、网络病毒、木马问题
现今流行的很多木马病毒都是专门用于盗窃网上银行密码而编制的。木马会监视IE浏览器正在访问的网页,如果发现客户正在登陆网上银行,直接记录键盘上所输入的账号,密码,或者弹出伪造的对话框,诱骗用户输入用户名和密码,然后通过邮件将截取的信息发送出去。比如:“鸡尾酒钓鱼术”更让人防不胜防。与使用仿冒站点和假链接行骗的“网络钓鱼”不同,“鸡尾酒钓鱼术”直接利用真的银行站点行骗,即使是有经验的用户也可能会陷入骗子的陷阱。据光华反病毒中心的专家介绍,“鸡尾酒钓鱼术”是通过用户点击邮件中包含这种技术的链接触发。当用户点击邮件中的链接以后,的确能登录网上银行的正常站点,但是骗子的恶意代码会让网上银行的站点上出现一个类似登录框的弹出窗口,毫无戒心的用户往往会在这里输入自己的账号和密码,而这些信息就会通过电脑病毒发送到骗子指定的邮箱中。由于骗子利用了客户端技术,银行方面也很难发现自己的站点有异常。
5、信息破坏与篡改
信息破坏既包括网络硬件和软件的问题而导致信息传递的丢失与谬误,也包括一些恶意程序而导致的电子商务信息遭到破坏。由于攻击者可以接入网络,攻击者有可能对网络上的信息进行截获后篡改其内容,如修改消息次序、时间,注人伪造消息等,从而使信息失去真实性和完整性,其后果是非常严重的。
6、交易抵赖
传统的交易方式是通过手写签名和印章来完成交易,而电子商务则是通过网络来完成,这就容易造成交易抵赖。交易抵赖包括多个方面,如发信者事后否认曾经发送过某条信息、收信者事后否认曾经收到过某方面的消息,或是购买者做了定货单不承认,商家因价格差异而否认原有的交易等。
(七)身份安全问题
1、卖方面临的信息安全威胁主要有:恶意竞争者冒名订购商品或侵入网络内部以获取营销信息和客户信息;假冒合法用户名义改变商务信息内容,致使电子商务活动中断,造成商家名誉和用户利益等方面的受损;信息间谍通过技术手段窃取商业秘密;黑客入侵并攻击服务器,产生大量虚假订单挤占系统资源,令其无法响应正常的业务操作。
2、买方面临的信息安全威胁主要有:发送的商务信息不完整或被篡改,用户无法收到商品;用户身份证明信息被拦截窃用,以致被要求付帐或返还商品;域名信息被监听和扩散,被迫接收许多无用信息甚至个人隐私被泄露;受虚假广告信息误导购买假冒伪劣商品或被骗钱财;遭黑客破坏,计算机设备发生故障导致信息丢失。
3、窃取假冒他人身份
在电子商务环境下,任何人不经登记就可以借助计算机网络发出或接受网络信息,有些人会以不法手段盗用合法用户的身份资料,仿冒合法用户的身份与他人进行交易,从而获得非法利益。
目前最主要的电子商务形式是基于B/S(Browser/Server)结构的电子商务网站,用户使用浏览器登录网络进行交易,由于用户在登录时使用的可能是公共计算机,如网吧、办公室的计算机等情况,那么如果这些计算机中有恶意木马程序或病毒,这些用户的登录信息如用户名、口令可能会容易被人窃取。攻击者在网络的传输信道上,通过物理或逻辑的手段,对数据进行非法的截获与监听,从而得到通信中敏感的信息。如典型的“虚拟盗窃”能从因特网上窃取那些粗心用户的信用卡账号,还能以欺骗的手法进行产品交易,甚至能洗黑钱。
4、网上安全认证机构(CA)建设混乱
在网络上,为了完成交易,交易双方的身份都必须通过第三方得到确认,电子商务认证机构由此产生。电子认证机构的职责是核实使用者的身份.负责电子证书的发放管理.及时公布无效的证书。
(八)社会环境问题
1、法律环境
电子商务是一种新型的商务,缺少电子合同和网上契约的效力、纳税、隐私或产权的保护的等法律法规,由此衍生了新的法律问题,例如交易纠纷的仲裁等问题,而目前我国的有关电子商务的法律法制体制体系还不够完善。急需要出台相应的法律来保障消费者和企业的权益。由于电子商务发展较快,我国有关的立法工作还没有来的及跟上电子商务发展的脚步,显得落后,出现了法律空白,使许多电子商务纠纷的无法可依,这成为电子商务中一个重要安全隐患。
2、缺乏诚信体系
诚信经营是经济贸易的前提条件。正是由于电子商务的开放性、虚拟性,交易双方不直接见面,真实身份的确认等方面都存有很大困难。因此,对于电子商务而言,信用风险远较传统交易发生的概率相当大。我国电子商务目前主要就是缺乏诚信,因为整个社会信用体系不完善,这使得利用互联网进行商务交易的企业和个人带来不可预料的风险。例如商业欺诈、交易信息泄露、个人隐私问题、商业信用问题、是否真实交易等。其典型表现为:消费者在网上看到的商品和实际收到的商品有明显区别;有质量问题的商品不能顺利退回,而且有可能损失邮费;网上支付存在不安全的风险。
四、完善移动支付安全性的对策建议
(一)消费者要提高自我保护意识和安全防范意识
首先,由于网络环境复杂,各种信息充斥其中,其中不乏钓鱼网站、欺诈短信、中奖信息等容易使消费者轻信上当的内容。在移动支付中,运营商不断规范自身问题的同时,消费者应该具有一定的防范意识和辨别能力,切莫贪图便宜或者贸然进入一些没有任何安全认证的网站,坚信天下没有免费的午餐,不给诈骗者任何机会。
其次,在移动支付交易发生前,消费者对商户信息的甄别确认非常必要,通过了解对方经营信息、查看过往交易等手段对商户的考察,做出能否交易的初步判断。在交易过程中,消费者要对涉及交易的信息加强保护,如交易密码、支付验证码,防止被他人窃取,并尽量选择具有公信力的支付平台进行操作。
另外,为了提高消费者防范风险的意识和能力,要有重点地开展消费者安全教育,加强对移动终端安全性方面的风险提示,如提醒消费者购买符合安全标准的手机终端产品、安装杀毒软件并及时杀毒等,以保护移动支付使用者合法支付权益不受侵害。
(二)移动支付产业链各参与方应通过相互协作形成合力确保支付安全
移动支付产业链涉及通信运营商、应用提供商、设备提供商、支付服务商、系统集成商等多个参与方,没有一家机构能主导整个产业链的格局,在运营模式、安全标准、技术方案等方面,相关各方应加强沟通协作,采取合作的态度共同致力提升移动支付的安全。在支付环节,银行、电信公司及第三方支付公司等主体应在统一的安全架构下设计安全支付流程,提升支付终端设备、加密认证、应用程序等软硬件方面的兼容性,整合安全管理体系,完善应对移动支付安全事件的协同处理机制。
(三)建立健全移动支付法律法规
鉴于国内立法对移动支付领域未有专项法律进行规范,笔者建议在我国信息安全立法保护中,将移动支付单独纳入保护范围,并设定特有的保护标准,且对相关专业规章进行升级、优化。借鉴国外的移动电子商务相关法律法规,完善现有法律法规,以适应移动支付发展的需要。移动支付涉及的参与主体很多,包括XX部门、电信运营商、商业银行、消费者、商家等,相互之间的业务关系十分复杂,因此在立法过程中,首先应明确相关企业、部门和个人的职责与义务,防止法律管辖和界定不明确的问题。其次加强对移动电子商务从业人员、企业及相关机构的管理,规范他们的经营行为,维护移动电子商务活动的正常秩序。还要严厉打击移动电子商务领域中虚假交易、网上诈骗等非法经营活动,净化市场环境。
(四)建设和发展统一的信用制度
首先,XX应担当起构建完善与发达信用体系的职责,通过教育提高人们的诚信观念和意识,健全完善信用体系的制度规范,建立全面的个人和企业信用制度。其次,信用服务部门应着力于建立成熟的信用评价服务体系,加快信用数据库建设,充实和共享信用基础信息,在个人和企业信用信息基础上建立合理的评价机制,提供企业和个人信用信息查询和公示服务,使信用信息更透明、远程交易更放心、监管指标更明确,为移动支付的发展提供信用支持。
五、移动支付推广过程中的对策分析
2008年无疑将是移动支付大规模发展的一年,为了早日把移动业务普及开来,移动运营商需注意下面一些问题。
(一)创新商业模式,实现产业共赢
我国移动支付产业具有产业链较长、合作方案复杂、协调成本较高的特点,这就要求该产业必须创新商业模式,做到产业融合,并在实施过程中不断进行检验和修订,实现产业共赢。
(二)正确定位,积极开发市场
从发展阶段来看,在经历了市场导入期后,我国移动支付产业各方主体已积累了相关经验和关键资源要素,并广泛进行业务宣传,积极进行产业扩张。在如此背景下,应当扬长避短,整合相关资源,积极进行市场开发,培养用户支付习惯,走中国特色的移动支付之路。
(三)强化技术支撑,确保交易安全
打造一流的安全支付平台和技术支撑环境,确保交易安全,对于移动支付产业的顺利发展至关重要。其中加密认证算法、交易密码长度的选择和代码规模的大小都是保证移动支付安全快捷的重要因素。此外,消除用户对于交易安全的焦虑,培养用户的交易信心,增强用户的安全支付意识,使用户切身体会到移动支付带来的便利、高效,也是推动移动支付产业发展的重要因素。
(四)加强行业协同,规避政策风险
在我国,市场上已有的移动支付解决方案形形色色,技术并不复杂,但行业技术标准尚未统一,业务流程需要重组,企业管理跟不上技术的发展,特别是业务背后涉及的移动运营商、银行、特约商户等多方尚无定数的利益博弈,使得我国移动支付的发展仍有赖于包括开发商、运营商及银行在内的整个产业链各环节的共同推动,
因此产业成员正确定位,开展协同商务已是大势所趋。
(五)利用新技术,抢占新市场
目前,新技术应用更新非常快,随着3G甚至4G(第四代移动通信技术)时代的到来,移动支付提供商应该高度重视对新技术的应用和对新市场的把握。
六、结论
综上所述,移动支付具有非常广阔的发展前景。当然,在发展过程中也不可避免地会出现很多问题,假以时日,当移动支付发展过程中的各种问题都得到妥善解决之后,这种新型的支付方式将以最快的步伐向我们走来。
参考文献
[1]蒋云鹏.“移动梦网”的第一桶金[J].邮电企业管理.2012(03)
[2]李海泉.Internet防火墙及其发展趋势[J].中国数据通信.2012(02)
[3]胥光辉,徐永森.移动证券业务中的安全机制研究[J].电信科学.2011(12)
[4]王军明.WAP技术──移动多媒体之门[J].移动通信.2011(09)
[5]蒋杰,方力.WAP技术与应用[J].移动通信.2011(09)
[6]柳强.WAP──因特网上新生活[J].移动通信.2011(09)
[7]王海涛.移动电子商务──电子商务的新趋势[J].移动通信.2011(08)
[8]吴素英.智能网业务发展的经营策略[J].邮电商情.2011(14)
[9]赵熙,杨学军,曹鹏.GPRS-新一代无线数据通信系统[J].移动通信.2011(03)
[10]曹常义,张力军.构筑在GPRS之上的WAP应用[J].移动通信.2011(03)
[11]樊雪林.移动电子商务技术及发展战略分析[D].东北财经大学2015
[12]张娟.移动电子商务中的安全支付协议研究[D].西安电子科技大学2012
[13]李青岩.安全移动电子商务之研究[D].福州大学2011
[14]张卫东.移动电子商务的安全研究[D].西安电子科技大学2015
[15]沈勇.移动电子商务中小额支付平台的设计与应用研究[D].湖南大学2004
[16]程震.WPKI的研究及其在移动电子商务安全中的应用[D].山东大学2012
[17]黄京.移动电子商务中的微支付研究[D].华中师范大学2011
[18]李智勇.移动电子商务安全研究与设计[D].西南交通大学2011
下载提示:
1、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“文章版权申述”(推荐),也可以打举报电话:18735597641(电话支持时间:9:00-18:30)。
2、网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
3、本站所有内容均由合作方或网友投稿,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务。
原创文章,作者:写文章小能手,如若转载,请注明出处:https://www.447766.cn/chachong/3853.html,
