下載本文檔
版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、 網(wǎng)絡(luò)電子支付的安全問題與對策 王永健【摘 要】“網(wǎng)上支付”和電子商務(wù)是密不可分的,了解電子商務(wù)是理解網(wǎng)上支付重要性的前提和基礎(chǔ)。網(wǎng)上支付是電子商務(wù)的關(guān)鍵環(huán)節(jié),也是電子商務(wù)得以順利進(jìn)行的基礎(chǔ)條件,如何實現(xiàn)完全的在線支付功能,并保證交易各方的安全、保密是實現(xiàn)電子商務(wù)關(guān)鍵的問題之一?!娟P(guān)鍵詞】網(wǎng)上支付 電子商務(wù) 安全一、網(wǎng)上支付交易出現(xiàn)的安全隱患1.用戶的身份冒充攻擊者通過非法手段盜用合法用戶的身份信息,仿冒合法用戶的身份與他人進(jìn)行交易,從而獲得非法利益。攻擊者還以非法手段竊得對數(shù)據(jù)的使用權(quán),刪除、修改、插入或重發(fā)某些重要信息,以取得有益于攻擊者
2、的響應(yīng);惡意添加、修改數(shù)據(jù),以干擾用戶的正常使用。2.泄漏或丟失是指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失,它通常包括,信息在傳輸中丟失或泄漏,如利用電磁泄漏或搭線竊聽等方式可截獲機(jī)密信息,或通過對信息流向、流量、通信頻度和長度等參數(shù)的分析,探測有用信息。信息在存儲介質(zhì)中丟失或泄漏,通過建立隱蔽隧道等方式竊取敏感信息。對信息的篡改。攻擊者有可能對網(wǎng)絡(luò)上的信息進(jìn)行截獲后篡改其內(nèi)容,如修改消息次序、時間,注入偽造消息等,從而使信息失去真實性和完整性。網(wǎng)上支付電費大多都是通過網(wǎng)絡(luò)銀行進(jìn)行交易的,攻擊者利用對合法用戶的攻擊盜用合法用戶的用戶名及密碼進(jìn)行其實操作,這樣對合法用戶造成了巨大的損失。3.缺少
3、嚴(yán)格的網(wǎng)絡(luò)安全管理制度網(wǎng)絡(luò)安全最重要的還是要思想上高度重視,網(wǎng)站或局域網(wǎng)內(nèi)部的安全需要用完備的安全制度來保障。建立和實施嚴(yán)密的計算機(jī)網(wǎng)絡(luò)安全制度與策略是真正實現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)。4.非授權(quán)訪問未經(jīng)許可就使用網(wǎng)絡(luò)或計算機(jī)資源被看作非授權(quán)訪問,如有意避開系統(tǒng)訪問控制機(jī)制,對網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用,或擅自擴(kuò)大權(quán)限,越權(quán)訪問信息等。二、用安全技術(shù)對支付進(jìn)行有效保護(hù)1.加密技術(shù)(1)對稱加密在對稱加密方法中,對信息的加密和解密都使用相同的密鑰。也就是說,一把鑰匙開一把鎖。使用對稱加密方法將簡化加密的處理,每個貿(mào)易方都不必彼此研究和交換專用的加密算法,而是采用相同的加密算法并只交換共享的專用密鑰。如果
4、進(jìn)行通信的貿(mào)易方能夠確保專用密鑰在密鑰交換階段未曾泄露,那么機(jī)密性和報文完整性就可以通過對稱加密方法加密機(jī)密信息和通過隨報文一起發(fā)送報文摘要或報文散列值來實現(xiàn)。對稱加密方式存在的一個問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。因為貿(mào)易雙方共享同一把專用密鑰,貿(mào)易雙方的任何信息都是通過這把密鑰加密后傳送給對方的。(2)非對稱加密在非對稱加密體系中,密鑰被分解為一對(即一把公開密鑰或加密密鑰和一把專用密鑰或解密密鑰)。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把則作為專用密鑰(解密密鑰)加以保存。公開密鑰用于對機(jī)密性的加密,專用密鑰則用于對加密信息的解密。專用密鑰只
5、能由生成密鑰對的貿(mào)易方掌握,公開密鑰可廣泛發(fā)布,但它只對應(yīng)于生成該密鑰的貿(mào)易方。貿(mào)易方利用該方案實現(xiàn)機(jī)密信息交換的基本過程是:貿(mào)易甲方生成一對密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開;得到該公開密鑰的貿(mào)易乙方使用該密鑰對機(jī)密信息進(jìn)行加密后再發(fā)送給貿(mào)易甲方;貿(mào)易甲方再用自己保存的另一把專用密鑰對加密后的信息進(jìn)行解密。貿(mào)易甲方只能用其專用密鑰解密由其公開密鑰加密后的任何信息。2.密鑰管理技術(shù)(1)對稱密鑰管理對稱加密是基于共同保守秘密來實現(xiàn)的。采用對稱加密技術(shù)的貿(mào)易雙方必須要保證采用的是相同的密鑰,要保證彼此密鑰的交換是安全可靠的,同時還要設(shè)定防止密鑰泄密和更改密鑰的程序。這樣,對稱密鑰的管
6、理和分發(fā)工作將變成一件潛在危險的和繁瑣的過程。通過公開密鑰加密技術(shù)實現(xiàn)對稱密鑰的管理使相應(yīng)的管理變得簡單和更加安全,同時還解決了純對稱密鑰模式中存在的可靠性問題和鑒別問題。貿(mào)易方可以為每次交換的信息(如每次的edi交換)生成唯一一把對稱密鑰并用公開密鑰對該密鑰進(jìn)行加密,然后再將加密后的密鑰和用該密鑰加密的信息(如edi交換)一起發(fā)送給相應(yīng)的貿(mào)易方。由于對每次信息交換都對應(yīng)生成了唯一一把密鑰,因此各貿(mào)易方就不再需要對密鑰進(jìn)行維護(hù)和擔(dān)心密鑰的泄露或過期。這種方式的另一優(yōu)點是即使泄露了一把密鑰也只將影響一筆交易,而不會影響到貿(mào)易雙方之間所有的交易關(guān)系。這種方式還提供了貿(mào)易伙伴間發(fā)布對稱密鑰的一種安全
7、途徑。(2)公開密鑰管理貿(mào)易伙伴間可以使用數(shù)字證書(公開密鑰證書)來交換公開密鑰。國際電信聯(lián)盟(itu)制定的標(biāo)準(zhǔn)x.509(即信息技術(shù)開放系統(tǒng)互連目錄:鑒別框架)對數(shù)字證書進(jìn)行了定義該標(biāo)準(zhǔn)等同于國際標(biāo)準(zhǔn)化組織(iso)與國際電工委員會(iec)聯(lián)合發(fā)布的iso/iec 9594-8:195標(biāo)準(zhǔn)。數(shù)字證書通常包含有唯一標(biāo)識證書所有者(即貿(mào)易方)的名稱、唯一標(biāo)識證書發(fā)布者的名稱、證書所有者的公開密鑰、證書發(fā)布者的數(shù)字簽名、證書的有效期及證書的序列號等。證書發(fā)布者一般稱為證書管理機(jī)構(gòu)(ca),它是貿(mào)易各方都信賴的機(jī)構(gòu)。數(shù)字證書能夠起到標(biāo)識貿(mào)易方的作用,是目前ec廣泛采用的技術(shù)之一。(3)數(shù)字簽名數(shù)
8、字簽名是公開密鑰加密技術(shù)的另一類應(yīng)用。它的主要方式是:報文的發(fā)送方從報文文本中生成一個128位的散列值(或報文摘要)。發(fā)送方用自己的專用密鑰對這個散列值進(jìn)行加密來形成發(fā)送方的數(shù)字簽名。然后,這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值(或報文摘要),接著再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進(jìn)行解密。如果兩個散列值相同,那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別和不可抵賴性。三、網(wǎng)上支付的防范措施對于消費者而言,要保證網(wǎng)上交易的安全,首先你使用的計算機(jī)要安全。具體的措施包括有安裝防病毒
9、軟件(并定期更新病毒庫)、安裝個人防火墻、給系統(tǒng)和網(wǎng)頁瀏覽器常更新安全補丁、不要隨意接受qq等聊天工具中傳來的文件、不要輕易打開電子郵件中的附件等等。其次,保證連接的安全。進(jìn)入網(wǎng)站時先確保網(wǎng)址的正確性。在提交任何關(guān)于你自己的敏感信息或私人信息,尤其是你的信用卡號之前,一定要確認(rèn)數(shù)據(jù)已經(jīng)加密,并且是通過安全連接傳輸?shù)摹g覽器和web站點的服務(wù)器都要支持相關(guān)協(xié)議。第三,保護(hù)自己的隱私,在設(shè)置密碼時最好以數(shù)字和字母相結(jié)合,不要使用容易破解的信息作為你的密碼?;◣追昼婇喿x一下電子商務(wù)公司的隱私保護(hù)條款,這些條款中應(yīng)該會對他們收集你的哪些信息和這些信息將被如何使用做詳細(xì)說明。盡量少暴露你的私人信息,填在線表格時要格外小心,不是必填的信息就不要主動提供。最后,不輕易運行不明真相的程序。攻擊者常把系統(tǒng)破壞程序換一個名字用電子郵件發(fā)給你,并帶有一些欺騙性主題,騙你說一些“幫我測試一下程序”之類的話。你一定要警惕了!對待這些表面上很友好、跟善意的郵件附件,我們應(yīng)該做的是立即刪除這些來歷不明的文件。除以上介紹的安全保護(hù)措施以外,最好不要在公共場所使用網(wǎng)絡(luò)銀行,比如網(wǎng)巴、公共圖書
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024-2030年中國香薰精油擴(kuò)散器行業(yè)競爭狀況與投資盈利預(yù)測報告
- 2024-2030年中國鍋爐煙氣脫硫制酸市場需求態(tài)勢及投資前景展望報告
- 2024年新型環(huán)保材料研發(fā)合作協(xié)議
- 2024年技術(shù)支持與客戶服務(wù)協(xié)議
- 2024年新式切削液供應(yīng)協(xié)議
- 電焊工行業(yè)發(fā)展趨勢分析方案
- 供熱行業(yè)服務(wù)標(biāo)準(zhǔn)協(xié)議書
- 數(shù)學(xué)教學(xué)月總結(jié)7篇
- 特種設(shè)備事故調(diào)查與分析制度
- 2024至2030年中國兼容節(jié)點行業(yè)投資前景及策略咨詢研究報告
- 建筑CAD平面圖信息化大賽教學(xué)教案
- 《工業(yè)和民用燃料煤》地方標(biāo)準(zhǔn)發(fā)布
- 第一節(jié)細(xì)菌和真菌的分布ppt
- 海尼曼G1內(nèi)容梳理(2)
- 混凝土攪拌站應(yīng)急預(yù)案 (2)
- 液壓系統(tǒng)的課程設(shè)計說明書.doc
- 新版atstudy系統(tǒng)測試計劃
- 求異思維換個度
- 礦山改造電氣節(jié)能降耗分析
- 村級財務(wù)清理報告
- (完整版)工業(yè)與民用配電設(shè)計手冊(總27頁)
評論
0/150
提交評論