网上支付系统安全性研究.docVIP

网上支付系统安全性研究 　　摘 要： 网上支付系统安全主要包括交易数据安全和网络安全，其安全手段应是全方位、多层次的。在服务器端、客户端和数据传输等各个环节要采用不同的安全措施，如对系统架构划分安全区域，采用安全设备，进行交易签名，使用动态令牌等。通过使用各种安全措施，可有效确保网上支付系统安全，从而为客户提供安全、快捷的网上支付服务。 　　关键词： 网上支付系统； 数据安全； 网络安全； 安全措施 　　中图分类号： TN919?34； TP393 文献标识码： A 文章编号： 1004?373X（2013）08?0074?02 　　0 引 言 　　网上支付是以互联网为基础，利用银行所支持的数字金融工具，发生在购买者和销售者之间的金融交换，从而实现买者到金融机构、商家之间的在线货币支付、现金流转、资金清算、查询统计等过程，由此为电子商务服务和其他服务提供金融支持。 　　网上支付能够为客户提供方便、快捷的银行服务，但同时也会给作案者提供新的攻击途径，带来了新的风险，如何保证网上支付的安全性，成为网上支付系统建设的重要内容。 　　1 网上支付系统的安全性分析 　　近年电子商务在中国国内发展迅速，据电子商务研究中心发布数据显示，截止2012年6月，中国电子商务市场交易额达3.5万亿元，同比增长18.6%。其中B2B电子商务市场交易规模达2.95万亿，网络零售市场交易规模达5 119亿元[1]。随着电子商务在中国国内的迅速发展，网上支付成为一种新的支付方式，随之，出现了网上支付的安全和信用问题。 　　网上支付业务数据中含有银行客户的账户信息，如账号、密码、余额等，属于用户的隐私，这些数据是不允许公开的；而因特网是一个开放的公共网络，在这样一个开放的网络上拓展银行的传统业务，安全性是需考虑的首要因素，网上支付系统对安全性有着特殊的要求，既要保证数据在网络上传输的保密性，又要保证服务系统的正常运转。 　　网上支付系统的安全需求主要来自2方面：首先是交易数据安全，网上支付各业务的完成主要基于因特网的传输，因特网的开放性决定了其传输安全的脆弱性，需要保证数据传输的机密性、完整性，电子商务中需要确认交易方在网上的真实身份，确保交易的真实性和不可抵赖性；其次是网络安全，网上的公开服务器以及内部与之相连的内部服务器将不可避免地受到恶意攻击和好奇者的试探，需要保证系统较强的抗攻击性[2]。 　　2 网上支付系统的安全措施 　　网上支付的安全性极为重要，其安全手段也是全方位、多层次的。从整个支付流程来看，支付系统的安全包括服务器端安全（包括银行端和第三方支付公司系统）、客户端安全、数据传输安全，通过对各环节采用不同的安全措施来构建一个安全支付环境（如图1所示），以确保客户交易信息的保密性、完整性及不可抵赖性[3]。 　　2.1 服务器端安全 　　（1）应用系统安全：主要包括银行系统、第三方支付系统安全。对于应用系统架构，应根据不同的安全级别划分安全区域，并在各安全区域之间部署异构防火墙，在安全区域内部部署安全防护设备[4]，如安全网关、漏洞扫描、抗DDOS攻击设备、入侵检测设备IDS、入侵防御设备IPS等，从而有效控制非法用户入侵、防范恶意攻击，对应用系统进行全面的安全防护。 　　（2）数据存储安全：通过制订并施行科学合理的数据备份机制、数据访问机制和灾难恢复计划，以确保数据存储安全。 　　（3）交易处理安全：主要通过数字签名技术保证网上支付交易处理安全，具体交易过程如图2所示。 　　商户发往银行的交易需进行数字签名，银行方进行验签，从而验证商户身份；同时支付系统发送给商户的支付结果中也包含银行方数字签名，以保证信息一定是由银行发出的并且确保其完整性。此外，银行对商户发送过来的订单信息会进行重复性、时效性等有效性检查，对于无效交易系统会自动摒弃。 　　（4）交易监控：建立交易监控系统，通过数据分析、数据挖掘等技术进行学习并与一般用户正常行为特征进行比对，发现异常的或有风险的操作行为，根据风险级别不同进行不同的处理。 　　2.2 客户端安全 　　由银行和第三方支付服务提供商为客户提供，具体包括动态令牌、USB Key（含第三方认证证书）、短信服务、预留信息验证、图形验证码、软键盘等。其中，动态令牌和 USB key 为物理移动设备，难以被盗用，USB key可对客户提交的交易信息进行数字签名，增强对交易过程中行为和责任的认定。通过几种方式的组合，可增强非法入侵和盗用的难度[5]。 　　2.3 数据传输安全 　　银行端与商户端通信可采用专线或VPN方式，并利用 HTTPS协议进行交易信息加密处理[6]，以确保数据传输的机密性和完整性。 　　2.4 其他安全 　　（1）加强实名验证，如淘宝（支付宝）实行了收款