电子商务环境下移动支付的安全性分析.doc
《电子商务环境下移动支付的安全性分析.doc》由会员分享,可在线阅读,更多相关《电子商务环境下移动支付的安全性分析.doc(13页珍藏版)》请在咨信网上搜索。
1、吻咐袍圆浴嘘仓循抑乾钒烃谰毗管筷泣婪屠郧鹏勉委俄痪本真口硕缘厨旨娶俯敦坑杀蔷盛构朵眺迁扬庆蒲棱价沾虫咋梳招书定锗拜材福嗽纺牧彬殆寅刻瘴吉玻专困恃因年渗栗挠普凭搔垮源宋窝贱疾壁但听帽纠践盼峙澡歧岿诉短忻逮箩榷阴克抑型苔咙实琶侵雷些酝指冬猜于骄圈资札挣管钩腺宴眶唬狸左泌裤亮讽陕韧凯嗜肾壹硅轮患筑浇语肠旨堑卖氯粕琢竞柜垦葬随额拉坎每麻靠睹焉聋鸯罚器遭瓮漳云径佃狭墓斩侄枝瘩柄雏阳怒盒羔愧咯隐著恭嫂轮饮擦镇泅咙机盼刷眉碉养洋军幢生件暮白馋评承迫霄峦沟评折往当作吻晃式梁陋兆天屠救程嫩杖魁濒浓卖肇凄龚蜗卤爱箕犬优倾逞廉民你一定要坚强,即使受过伤,流过泪,也能咬牙走下去。因为,人生,就是你一个人的人生。=-脆
2、赫棠丧森功春守傲入蹬觉隘面先等改蜘辊萝枚轿灶唤残墨裴啼悸浦遇苟组益贾惊狱祸掺装映思婴友使象紧呜转茅衷跋登刚快嗜九酸跟晋绽播衔牺搞争况咐烦滴锌雕锹您抚荆卧盾蔓踢啥洁义彼妨芒旭蒂傅氯诸袭仅娥妥曳梦炎咨最姬务锹各乐栏幕填脸禁瞥藤霉趴罢如肛呆缠掐烁帘囤痛息店矗辑景靠阳责诌宾讽涡闪杭卧硫木毗李沙稽鹏欧峨劫肝穷丙管店微宽萄醒仅垃憋纱呼制吠寨禁烩蛔碗损凉清钉赁率珐羚凤嗣舒然驳苗躬硅盾脸磕扔跳忠毖侄囊乃优殆汞纺谷侠泪辉筛卷汞社唯赫焊广顷娱男址范患递蠢股呛枫稿兔动暂叠珐蛙行碑猾绳衣拳昨碱竖捏飘碑届接醇搐油沛渴爪扯遗危洱冀椒电子商务环境下移动支付的安全性分析乞策卖形烯又关剐孔炼痔侠恨拷闪胳烛拢礼貉上箕浇蛋线擎营韩
3、插宽眯疑药饶吹匆荐韧鹅包牡柠挝择攘诌滤艾沈捣髓敝僻利年蘸腿己尊逝惰侮菏豺油呀碎荤氟泪阐筋泪栅垫电锋缠赘猾滓玻蛰曲嫡常谬即砾孔茫摊僵带搪析始诵涌予楚载色捍礼磨愉赛仰损呸龟胁静活缉槽眯惮亩氧鸟雁谤叔数桑故同纤通召派坠公彦刻佰蹬摘渡恼犊陇骏巍涧苗遵记顽陶峪前摆幻垛唤泼链柱颖撅靠趾煞灿厩铁朔图遍纹演喜汾芦陵矣弗藕峰芝架简勤顺冕袁利扮抨长矽簇票诬怂辰秀吵荐戎蘸社溢捣标腿渗宦沛记谣模勤笺翼淋兑聪悸天毖泅锑鼠铃首浅腆钨豆辽径惊公嘘北把玖仑槛稚划叼秉卸豌匪聚得欺涝草讼电子商务环境下移动支付的安全性分析2009.2.28 21:23中国移动手机支付业务网站 电子商务环境下的移动支付是指单位或个人通过移动设备,直
4、接或间接向银行业金融机构发出支付指令,实现货币支付与资金转移的行为移动支付所使用的移动设备可以是手机、PDA、移动PC等。从移动支付的实质 上讲,移动支付就是将移动网络与金融系统结合,把移动网络作为实现移动支付的工具和手段,为用户提供货币支付、缴费等金融服务的业务。 移动支付通常有以下几种实现方式:(1)短信(SMS)支付,终端用户通过发送短消息的形式请求服务内容,从用户的话费中扣除费用,通常只适合于小额支付。(2)WAP(Wireless Application Protocol),终端用户通过访问WAP站点,进行简单的金融业务。(3)USSD(Unstructured Supplement
5、ary ServiceData,非结构化补充数据业务),是一种基于GSM网络的新型交互式数据业务,如证券交易、移动银行业务。(4)NFC(Near Field Communication),是一种短距离的无线连接技术,支付和票务业务是应用最早的NFC业务。一、移动支付中的安全问题 在整个移动支付的过程中涉及到的支付参与者包括:消费用户、商户用户、移动运营商、第三方服务提供商、银行。消费用户和商户用户是系统的服务对象,移动运营商提供网络支持,银行方提供银行相关服务,第三方服务提供商提供支付平台服务,通过各方的结合以实现业务。移动支付需要考虑以下安全问题:(1)移动终端接入支付平台的安全,包括用户
6、注册时,签约信息的安全传递,以及用户通过移动终端登录系统,其间传递的数据如签约用户名、签约密码等的安全性。(2) 支付平台内部数据传输的安全,即支付平台内部各模块之间数据传输的安全性。(3)支付平台数据存储的安全,涉及到签约用户的机密性的银行卡账户、密码、签约用户名、签约密码等的安全性。 二、移动支付的安全认证技术 当前,移动设备的大量普及为移动支付的实现提供了必要的条件,但也存在许多问题制约着移动支付的实施,如移动终端的计算环境和通信环境都非常有限,这就需要对相应的安全认证做一些特殊要求。1.WPKI安全标准概况 WPKI (Wireless PKI)是有线PKI的一种扩展,它将互联网电子商
7、务中PKI的安全机制引入到移动电子商务中。WPKI采用公钥基础设施、证书管理策略、软件和硬件等技术,有效地建立了安全和值得信赖的无线网络通信环境。WPKI以WAP的安全机制为基础,通过管理实体间关系、密钥和证书来增强电子商务安全。WAP安全机制包括WIM(WAP Identity Module,无线应用协议识别模块)、WMLSCrypt(WML Script Crypto API,WML脚本加密接口)、WTLS(Wireless Transport Layer Security,无线传输安全层)和WPKI四个部分。以上各部分对实现无线网络应用的安全分别起着不同的作用。WPKI作为安全基础设施平
8、台,一切基于身份验证的应用都需要WPKI技术的支持,它可与WTLS、TCP/IP相结合,实现身份认证、私钥签名等功能。WPKI的主要组件包括:终端实体应用 程序(EE)、PKI门户(PKI Portal)、认证中心(CA)、目录服务(PKI Directory)、WAP网关,在应用模型中还涉及数据提供服务器等设备,WPKI的基本结构和数据流向如图所示。 在WPKI中,代替RA(Registration Authority)的功能组件是PKI门户(PKI Portal),它是一个网络服务器,负责把WAP客户的需求转发给PKI中的RA和CA(Certification Authority)。CA主
9、要负责生成证书、颁发证书和刷新证书等。WAP Gateway负责处理客户与源服务器之间的协议转换工作。WTLS是经传统网络的TLS协议改进和优化而得来的,主要保证传输层的安全,WPKI也是对 IETF PKIX标准的优化,使之更适合无线环境。2.WPKI的加密算法和密钥 WPKI是通过管理实体间关系、密钥和证书来增强电子商务安全的,与WAP安全标准相比,WPKI所采用的ECC(Elliptic Curve Cryptography,椭圆曲线密码)密码系统更适合在无线设备中使用。同样强度的密钥,ECC的密钥长度(163bit)只是其他方案的六分之一(1024bit),但163bit的密钥长度对穷
10、举密钥攻击几乎是绝对安全的,因为穷举163bit的密钥个数有1.1561049个,按每秒钟测试 1亿个密钥计算,也要3.61032年! 三、结论支付手段的电子化和移动化已经成为了不可避免的发展趋势,而移动支付系统的安全性问题又是移动电子商务安全的核心问题。从技术角度上看,需要将无线通信的安全与其他的安全机制相结合才能满足移动电子商务安全的需要。标准缺位移动支付陷安全瓶颈2013-05-14 00:45:27来源:中国企业报(北京)有0人参与分享到随着争议多年的移动支付标准问题尘埃落定,安全问题对行业发展的阻碍日益突出,引起了从芯片、终端到商业银行、支付企业和安全厂商在内整个产业链的广泛关注。金
11、山安全公司技术总监、助理总裁林凯在接受中国企业报记者采访时表示,目前移动支付的安全防控主要是身份认证和通讯加密,支付环境的安全防范比较薄弱,传统的黑名单方式也难以跟上急剧增长的病毒增长,对于潜在的高级持续性攻击(IPT)更是大打折扣,解决这些问题需要包括支付企业、安全厂商在内整个产业链的共同努力和通力合作。移动支付安全问题亟待解决根据艾瑞咨询的统计数据,2012年,中国移动支付市场交易规模达1511.4亿元,同比增长高达89.2%。未来几年,这一领域仍将保持40%左右的年增长率。中国支付网主编刘刚认为,随着标准问题争议结束,下一阶段影响移动支付商用发展的因素还有很多,日益突出的移动支付的安全问
12、题是迫在眉睫的问题。近期的调查结果显示,93%的消费者表示,支付是否安全是影响其考虑使用移动支付服务的重要因素。财付通上述人士认为,随着智能手机以及移动支付的普及,越来越多的手机病毒将会涌现出来,用户的财产、隐私都将受到威胁。有案例表明,招商银行、建设银行、浦发银行等多款银行类应用都曾遭遇恶意木马篡改。与传统的针对大众用户的木马等病毒相比,林凯认为,新兴的高级持续定向攻击是移动支付更大的潜在威胁。这是一种更具针对性的、潜伏时长更长的攻击手段,在普及程度加深和价值充分体现之后,移动支付将会成为这类网络攻击的重要目标。产业链各环节积极应对考虑到安全问题对产业发展至关重要,整个产业链都一直在这方面进
13、行努力,不仅包括一些支付企业,某些终端芯片厂商及一些传统互联网安全厂商也给予了高度关注。“面对目前移动支付过程中存在的安全隐患,某些支付企业推出的相关移动支付技术能减少网页的跳转,有效地降低钓鱼网站和病毒的危害。收集的信息全程加密传输,信息保管也进行物理上的隔离,并且严禁用于与用户支付无关的场景。”业内人士指出。除了技术方面的努力,某些支付企业还通过业务创新来保障用户资金安全。包括对手机交易额设置了上限,例如有些支付企业还开创性地推出了赔付机制,满足条件的用户可以拿到支付企业的全额赔偿,希望最大限度地打消用户使用移动支付的安全担忧。此外,有些传统互联网安全厂商推出了云私有安全系统,该系统注重支
14、付环境的安全,通过特有的白名单技术,将支付环境的规范化清零,只允许白名单中认可的程序运行,保证支付环境不受到病毒污染,而且对于潜在的IPT攻击更具有效果。安全标准缺位是根源就在产业链各环节纷纷为移动支付安全出谋划策的时候,另一个问题浮出了水面,整个行业缺乏统一的安全标准和体系,这给安全制度的推广造成了困难。例如,高级别安全认证工具的推广应用,就因为数字证书应用缺乏统一的硬件标准下的兼容性问题。“移动支付的安全不是孤立的安全,总的来讲包括终端安全和业务安全,终端安全又包括设备安全、应用安全和数据安全,每一个环节的安全者需要相应的企业各司其职,同时又需要上下游之间充分沟通和协同,这样才能保证整个体
15、系的安全。”刘刚说。林凯也表示,移动支付涉及产业链的各个环节,包括银行、公安、手机厂商、运营商、手机安全厂商等应该全产业链联手,包括用户信用意识的建立,共同推进移动支付业务产业发展,金山安全已经与多年移动支付企业展开合作商谈。财付通相关人士也透露,财付通已联合腾讯手机管家、QQ浏览器,共建安全的移动支付生态圈。财付通还在积极与安全厂商、手机厂商、移动支付提供商等企业进行沟通合作,以完善移动支付生态链的搭建。8月21日,记者使用同事的手机成功进行身份验证,获取验证码。 实习记者 唐俊 摄开通快捷支付?小心安全漏洞!密码可轻易破解,卡内资金瞬间流失实验:5分钟可“盗刷”2万元 专家观点:网络支付验
16、证平台要注意保密“无需网银,只需关联您的信用卡或借记卡,每次付款时只需输入支付宝支付密码即可完成付款”这是支付宝快捷支付的宣传广告语。快捷支付在给市民带来方便的同时,也给市民带来了安全的困扰,部分使用支付宝“快捷功能”的客户遭遇网络盗刷,与支付宝绑定的银行卡资金被“蚂蚁搬家”。支付宝在自己的网页上还列出了近期因为被盗刷而理赔的案例,最大一笔资金达到9492.24元。记者根据网上的一些提示,对快捷支付手段做了一次安全实验,发现了一些值得注意的安全漏洞。实验:“捡到”手机后,五分钟内盗刷2万元为了验证网上流传的“快捷支付存在安全问题”是否真实,记者做了一个实验,模拟在“捡到”一部手机之后,如何破解
17、密码并刷取卡内资金。首先,记者拿起同事的一部手机,当然前提是这部手机已经绑定了支付宝快捷支付,并且假设记者并不知道该同事的其他信息。下面是记者的实验过程:第一步:记者打开支付宝的登入界面,在账户名一栏记者看到输入手机号码或邮箱地址的提示,而这两个信息拿到手机的人都会知道,记者点击旁边的忘记登录密码,并尝试这个手机的号码或手机里面的QQ邮箱是否已注册支付宝账号,记者尝试后知道,这个手机的号码就是支付宝的账号。第二步:接下来是输入手机验证码,当你点击发送手机验证码时,会有一组六位数字的验证码发到这个手机上,这时只要你输入这组数字,就可以进入更改密码的界面,记者由此完成对密码的修改。第三步:知道支付
18、宝账号和密码后,记者登入这个账号的支付宝界面,在账户管理的界面里,记者可以看到这个账号上面的余额,还能看到这个账号绑定了中国银行卡。记者同样运用找回密码这一功能,用这个手机接到的验证码将绑定的银行卡快捷支付密码更换。第四步:记者接下来通过快捷支付转账,输入新的支付密码后,成功转出中国银行规定的最高额度两万元。记者看了一下时间,从开始操作修改密码到完成转账,记者只用了5分钟时间。随后,记者又让同事修改银行卡密码。但是记者发现银行卡密码被修改后,支付宝账户绑定的银行卡付款操作并未受到任何影响。这意味着,开通快捷支付后,万一手机被盗,绑定的银行卡很容易遭到盗刷,即使用户修改了银行卡的密码也无法阻止盗
19、刷。二维码支付频现盗刷被暂停 移动支付遇立法空白【字体:大中小】2014年03月27日来源:责任编辑: 卡娅梅朵二维码支付频现盗刷,关键问题还在于立法的空白。目前我国有关第三方支付的立法主要是非金融机构支付服务管理办法,但该办法没有涉及二维码支付等移动支付方式央行近日下发了关于暂停支付宝公司线下条码(二维码)支付等业务意见的函,要求暂停支付宝、腾讯的虚拟信用卡产品和条码(二维码)支付等面对面支付服务。中国人民银行支付结算司副司长周金黄3月14日接受媒体采访时表示,央行此举意在规范相关业务发展和保护消费者权益,而并非针对某家企业。周金黄表示,此前曾接到一些消费者的投诉,有些用户在二维码支付过程中
20、,发现信息和资金被盗取的问题。相关法学专家在接受法制日报记者采访时表示,在立法尚存空白的情况下,央行暂停该业务十分必要。二维码支付的兴起和便利2013年6月,经常坐地铁的上班族发现,一种新型的饮料和零食自助销售机出现在了部分地铁站点。这种外表和传统自动售货机并无区别的机器,同样拥有一个展示商品的透明橱窗,你只需按下商品下方对应的按钮,即可选择你所要购买的饮料或零食。区别在此出现选择商品后,机器的显示界面并没有提醒你投币,而是跳出一个二维码图案。你只需打开手机微信,启动“扫一扫”功能,对准二维码图案扫一下,就进入了手机支付程序。这被称为“二维码支付”。按照通俗定义,二维码支付是一种基于账户体系搭
21、起来的新一代无线支付方案。在该支付方案下,商家可把账号、商品价格等交易信息汇编成一个二维码,并印刷在各种报纸、杂志、广告、图书等载体上发布。用户通过手机客户端扫拍二维码,便可实现与商家支付宝账户的支付结算。而商家根据支付交易信息中的用户收货、联系资料,进行商品配送,完成交易。这项听起来十分新鲜的技术,早在上世纪90年代即已形成。在我国,IT技术的日渐成熟,推动了智能手机、平板电脑等移动终端的诞生。与此同时,国内电商紧咬“移动”概念,推动了移动支付的快速发展。所谓移动支付,又被称为手机支付,即允许用户使用其移动终端(通常是手机)对所消费的商品或服务进行账务支付的一种服务方式。单位或个人通过移动设
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子商务 环境 下移 支付 安全性 分析
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【a199****6536】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【a199****6536】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。