来源:蜘蛛抓取(WebSpider)
时间:2016-12-09 15:37
标签:
发售交易模式风险控制
君,已阅读到文档的结尾了呢~~
银行卡网上支付安全认证模式分析,银行卡未开通认证支付,支付宝实名认证银行卡,支付宝不用银行卡认证,银行卡开通认证支付,银行卡认证支付,支付宝银行卡认证,支付宝银行卡认证失败,支付宝认证跳过银行卡,斗鱼银行卡支付认证
扫扫二维码,随身浏览文档
手机或平板扫扫即可继续访问
银行卡网上支付安全认证模式分析
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由:
将文档分享至:
分享完整地址
文档地址:
粘贴到BBS或博客
flash地址:
支持嵌入FLASH地址的网站使用
html代码:
&embed src='/DocinViewer--144.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布,请您等待!
3秒自动关闭窗口#网银风险#
总帖数:120
暂时没有信息
日前,上海保险中介龙头企业—泛鑫保险代理公司的实际控制人陈怡携款5 亿元“跑路”的消息,震惊了整个财经界。8 月19 日,这位美女高管被押解回国。实际上,陈怡的套利把戏没有创新,就是通过违规操作和欺诈筹集了大笔资金。 美女高管的情殇 年轻漂亮、气质好、举止优雅,这曾经是外界对陈怡
“昨天很晚一个记者打电话,说想跟风做一篇《华尔街大亨斗不过中国大妈》。我说千万不要把严肃的金融问题娱乐化。原因有二:4月12日和15日,美系基金联手在金融市场集中做空黄金后,再没出手,任由亚洲盘主导了两周市场,但不出手不代表今后不出手;数百吨黄金的主力买家,怕不是最普通的邻居大妈。
日,新浪微博上一个名叫“郭美美Baby”的网友颇受关注,这个自称“住大别墅,开玛莎拉蒂”的20岁女孩,其认证身份居然是“中国红十字会商业总经理”,其真实身份也众说纷纭,有网友称她是中国红十字会副会长郭长江的女儿,由此引发很多网友对中国红十字
房价领跌 全国开发商“止损” 温州司法介入欲阻“退房潮” 晏耀斌 4月16日上午,潘秀鸟(女)坐在温州市永嘉县瓯北法庭的被告席上,原告则是永嘉中厦房地产开发公司(下称“永嘉中厦”),后者要求前者继续履行购房合同(铂晶嘉园),而非索要违约金。 购房合同规定,购房者不按时按揭或者分期
经济网综合网讯 3月27日晚间,有微博网友反映部分支付宝生活助手转账付款结果页面被谷歌抓取,支付宝方面调查表示,支付宝对相关页面链接加具了安全保护,正常情况下任何搜素引擎都无法抓取。这次有付款结果页面被收录可能是因为有极少量用户主动将自己付款结果页面分享到公共区域,所谓漏洞真是虚
图/邝野 羊城晚报记者 戴曼曼 最低投入百十元甚至几块钱,最高年回报竟声称高达20% 手上拿着1000元,在银行存一年定期只能拿回三十多元利息,投入股市则分分钟可能“打水漂”。相比起来,许多网络贷款平台打出的15%年息的口号无疑更具有吸引力。然而,有业内专家向羊城晚报记者透露,由
还有1天“3·15”就到了。虽然现在人们的消费维权意识越来越高,但为了一件小额商品,不少人曾屈服于“高成本”而放弃了维权。都说维权成本高,想低成本维权有啥招?本期身边经济学试图帮消费者掰扯一下维权途径,关于维权的成本账该咋算,进而为大家提供一些可行的维权攻略,帮大家尽可能找到低成
关注理由:你经常网购吗?网购时,你会不会把银行卡、支付宝与手机号绑定在一起?当你弃用手机号时,是否及时取消了这些绑定?近日,福州90后女生小林,就因为弃用手机号后,没有取消与支付宝“快捷支付”之间的绑定,被人盗刷了12000余元。 小林报警后,仓山警方通过支付宝交易记录破获此案,
付家、自制呼吸机,付父常年捏呼吸器粗大变形的手。 由于车祸,浙江台州黄岩区25岁的付学朋脖子以下全部瘫痪,就连呼吸都不能自己进行。为了让儿子活下去,付学朋双亲自制了呼吸机,5年间不间断地轮流守护着他,延续着他的生命。截至昨晚,已经有医疗机构表示免费向付学朋一家捐赠呼吸机,而网友们
随着网上交易的日趋活跃,网络支付安全成为网民最担忧安全问题。1月21日,艾瑞与腾讯电脑管家联合发布的《2012年个人网络安全年度报告》显示,67%的网民认为网络支付是互联网核心安全问题,位列最受关注的网络安全话题首位。据悉,该网络安全报告由国家计算机病毒应急处理中心指导,客观还原了
1月17日电(金融频道 王硕)信用卡为我们的生活提供了诸多便利,但是信用卡安全问题一直困扰着消费者。在信用卡丢失后,消费者的第一反应一定是挂失,最近有网友向中新网金融频道反映“信用卡挂失收费高”,中新网金融频道对此进行了了解,发现各行挂失收费在10元到60元之间,如果只是临时找不
有人为了“12·12”扎堆结婚忙,有人为了“政策购房”、“供暖报销”离婚忙,甚至有人为了享受政策,离婚7次又复婚7次。 在一家婚登处门口,记者看到一对刚刚办完离婚手续的“陌路人”,妻子还能帮着丈夫戴上帽子,并催促着“快走”时,这样的一幕,怎能不让人产生联想——离婚原因栏上,他们可
中国版“与巴菲特共进午餐”的“名人时间拍卖”12月8日结束,经过了72小时之后,与巨人网络董事长兼CEO史玉柱、“大嘴”任志强和有“中国投行第一人”之称的刘二飞分别共享3小时的最终人选已经确定,三人分别拍出了213.0915万元、45万元和45万元,其中,213.0915万元的拍
对陈某等以网游代练的名义诈骗巨款所进行的审判,在崇明卫校内进行。 陈某以游戏代练为幌子,干着诈骗的不法行为。通过网络,他遇上了寻找代练的学生小宇,然后竟将小宇所代管的他妈妈的银行卡内83万余元悉数骗走。日前,崇明县检察院公诉了一起涉案金额80余万元的网络诈骗案。由于本
肯德基回应:被曝问题鸡原料占采购量1% 将进行调查 麦当劳否认使用问题鸡原料:不是我们供应商 “雏鸡到成品鸡只需要45天,高温封闭饲养,饲料由集团特制统一配送,风险小、利润大、投资收益稳妥……”一则广告宣传让山西南部的许多农户看到了“商机”。广告中所提到的集团正是为肯德基、麦当劳
如何避免购买到笔记本样机,有什么简单方便的判断方法? 华硕 张广禹:一共有4个判断方法。一是查看外包装箱。出厂状态的外包装箱有胶带封装,如华硕的笔记本还会有红色的易碎贴封条,外包装箱有笔记本的序列号、配置信息等,如果拆开过,一般来说封条会破裂的;二是查看表面磨损——长时间的展示或试
以钓鱼网站为代表的网络欺诈,是当前最令网购一族担心的问题。昨日,支付宝风险管理部经理易天行,专门就此向重庆晚报记者介绍了四大最新网购防骗绝招,以及网购最易犯的三大坏习惯,希望对你有所帮助。 重庆晚报记者 万里 四大好习惯 故意输错密码 在无法确定进入网站真实性时,不妨故意输错账户
节前三天的股市可谓惊心动魄:9月26日,沪指时隔三年半再度跌破2000点;9月27日,管理层现维稳信号,午后大盘全面拉升;9月28日,沪指以1.45%的上涨为9月股市收尾。尽管如此,中国股市低迷的态势依然是事实:今年以来沪指累计下跌近8%,极有可能连续第三次位列全球表现最差股市。
今年“十一”,国庆“巧遇”中秋,假期从9月30日持续到10月7日,堪称“史上最长黄金周”。据中国旅游研究院关于居民出游意愿的调查显示:“十一”黄金周期间有出游意愿的市民高达87.9%,远高于去年同期的58.3%,黄金周旅游市场预计旅游人次约为3.62亿,同比增长20%。 “工作大
苹果iPhone 5手机终于在人们的期盼中发布了,尽管这次的“剧透”把iPhone 5悬念都揭开,也导致一部分发布前观望的消费者最终选择放弃这款iPhone 5,但相信还是会有不少朋友打算购买iPhone 5的。 如同前几代上市的情况一样,这次iPhone 5在全球范围内依然是采用
年收入不过2万多元,各大银行却给上海人小周办了12张信用卡,授信额度达13万元。为了偿还信用卡债务,小周借了近10万元高利贷。父亲老周倾尽所有帮儿子还了债,还特意致电各银行服务热线,告知对方儿子没有还款能力,希望对方把儿子拉进黑名单。 不料,4个月后,小周又从9家银行办出了13张
抽奖信息“5元代金券”误发为“iPad2” 支付宝昨微博致歉并决定——236位“乌龙”用户:抱歉啊,iPad2请笑纳支付宝为此买单80余万元 网友热评:傻逼到牛逼,一条微博的距离这也许是今夏最霸气的形象危机公关 也有人猜测这是刻意的错位营销 “7月26日,我们干了一件比较傻逼的事儿
信用卡的出现,让人们不用揣着厚厚的现金到处跑,不过它也让人们的消费欲望更膨胀,更让一些“黑客”有机可乘。 上海市高级人民法院数据显示,2011年的银行金融商业纠纷案件中,信用卡纠纷案件占比为73.88%。 另外,最高人民检察院的数据显示,2006年~2010年,全国检察机关受理移送
华声在线综合 虽然结婚,却没有共同住所,平日各回各家,节假日才聚到一起网友们把这样的结婚者称为走婚族。“走婚”,这个源自云南少数民族的古老传统,被现代人赋予新的内涵。记者了解到,因为经济、工作等方面的原因,以及年轻人对时尚生活的追求,各地渐渐出现了走婚族。 云南少数民族老传统被赋予
日本上市公司SOFTBRAIN集团创始人宋文洲4月13日做客中国经济网中经在线访谈栏目,讲述了其购买渣打银行理财致使亏损5300万元的经历,并痛斥该行在法院终审后公然侵吞名下理财款的违法行径。 作为另一方的渣打银行则对中国经济网记者表示,宋文洲所购理财产品是银行按照其要求专门定制
近日,网曝安徽五河一副处级镇委书记与已婚妇女多次发生婚外性关系,被捉奸在室。对此,当地纪委回应,查无实据。 几年前,五河曾爆出教师短信举报县委书记受贿被行政拘留、罚款之事。时任县委书记曾在电视上否认此事,但最终被证实举报属实并遭法办。 近年来,皖北地区有近20名县委书记落马,其中,
前日上午,南京白下区锦江丽舍公寓7楼东南角办公区,来自浦口的讨债人老张一屁股坐在旁边的办公桌上,一声叹息:40万元难要回了。数百平方米的办公区内,稍微值钱的物品都被搬空,曾在此办公室募集资金的老板尤雯(化名)已于几天前失踪,涉及资金据称高达5亿元以上。值得一提的是,在失踪前半个多月
网购已成为现代人的一种生活方式,随之而来的是网购欺诈也成为消费者投诉的重灾区。在这些网购欺诈中,以网购木马的威胁最大。据QQ电脑管家监测,“网银刺客”是目前活跃度最高的新型网购木马,它会暗中劫持网银支付资金,影响十余家主流网上银行。因此,对于喜欢在网上购物的消费者来说,还须谨防这
中新网3月28日电 据中国政府网消息,国务院总理温家宝28日主持召开国务院常务会议,决定设立温州市金融综合改革试验区。 会议指出,温州市民营经济发达,民间资金充裕,民间金融活跃。近年来,温州部分中小企业出现资金链断裂和企业主出走现象,对经济和社会稳定造成一定影响。开展金融综合改革,
触目惊心! 麦当劳家乐福过期食品继续卖 带血带病菌医疗垃圾变身玩具 银行员工卖我们的信息 电信为垃圾短信开绿灯 假公益 真赚钱 3月15日是国际消费者权益日。昨晚8点-10点,央视315晚会曝光了麦当劳、家乐福、中国电信等一批大品牌侵犯消费者权益的虚假欺诈行为,让人看得触目惊心。网上银行安全支付问题与解决方案_无忧支付网
囊括国内所有第三方支付公司信息
为客户提供最优质的支付接口服务
24小时服务电话
您当前的位置: >
网上银行安全支付问题与解决方案
添加时间: 16:01
&&& 一、网上银行的发展
&&& 网上银行的发展最早可以追溯到上世纪末,当时在美国出现了世界上第一家网上银行,这是一个里程碑式的起点。从1995年开始,网上银行伴随着互联网的发展在全世界逐渐普及开来。在网上银行创立的初期,网上银行因有着区别于传统银行的特点而被冠之以&3A银行&的名字。之所以如此称呼,是因为网上银行相对于一般传统银行有三大特点,同时也是传统银行所无法比拟的三大优势,即在任何时间、任何地点、任何形式都能够实现传统银行所能提供的大多数基本业务,特别是金融服务。
&&& 随着世界上第一家网上银行的出现,网上银行作为一种银行业务和金融服务的大趋势很快席卷全球,特别是网上银行的支付业务,为广大用户提供了更加方便、快捷的金融服务,无论是余额查询、存款、取款、转账、支付,还是信用卡还款、各种缴费等业务,网上银行都可以完成,并且支付的方法和手段也不复杂,因此迅速获得了很大的市场占有量和交易份额。但是,就在网上银行获得快速发展的同时,由于其业务实现的方式和媒介是日益广泛覆盖的互联网,因此,网上银行在为客户提供支付便利的同时也存在着难以避免的交易中的安全隐患。其原因在于网上银行的业务都是通过开放式互联网展开的,而开放式的特点,一方面用户可以自由利用,另一方面不法攻击者也可以利用开放式互联网对网上银行的各种交易活动进行不法攻击,或者通过在互联网上进行欺诈的方式达到自己的不法目的。近些年来,网上银行无论是覆盖范围还是交易额度都在与日俱增,网上银行的支付过程更是吸引了越来越多不法分子的关注,网上银行的安全问题,特别是支付安全的问题亟待解决。
&&& 二、网上银行安全支付问题分析
&&& (一)网上支付系统的一般流程
&&& 网上银行支付分6个步骤:① 用户进入网上银行官方网站、网址,访问网上银行;② 输入用户名、密码,登陆网上银行;③ 开启转账业务,输入转账卡号、支付密码;④ 支付系统服务器接收转账信息,并根据具体交易方式制定反馈信息,要求用户确认;⑤ 用户核查信息属实,确认消息,支付系统执行交易;⑥ 支付系统将消息详情再次反馈给用户,用做交易凭证。
&&& (二)支付系统的攻击手段
&&& 1.虚假网址访问欺骗
&&& 支付过程从一开始就存在安全隐患,首当其冲的是网上银行用户的银行卡账号和密码,这是最简单也是最直接造成损失的方式。更重要的是,这一阶段的安全防护是最难以完备的,因为除了应采取网上银行本身的安全措施,用户自身的安全意识也尤为重要,而这点恰恰是许多用户所欠缺的。用户访问网上银行时,也容易受到被称为&钓鱼网站&的网络欺诈。攻击者一般利用各种手段,如垃圾邮件攻击、跨站脚本攻击等方法,诱导用户点击仿冒真实网站的URL地址来骗取用户的银行或信用卡账号、密码等重要信息。
&&& 这种攻击方式非常简单,可以通过发送大量垃圾邮件如广告宣传、虚假中奖信息等实现。由于这种攻击的技术含量和实现代价均较低,因此成为现在网上银行产生安全问题最多的地方。通过这种攻击,攻击者可以掌握大量用户的登录名和密码,使用户的大量私人信息遭到泄漏。目前,网上银行一般采取的安全机制是首先强制用户将登录密码和交易密码设定为不同值,然后采取&预留信息验证&的方式,让用户在开通网上银行初期预设部分私有信息显示于登录成功的页面。若用户登陆了钓鱼网站,必然看不到预设的信息,此时用户可以立即登录合法网站修改登录密码或者致电银行暂时封锁账户。
&&& 2.键盘输入记录风险
&&& 网上银行在确定用户交易信息时,会要求用户输入用户名和密码,不法分子可利用这一输入步骤,通过键盘记忆程序窃取用户按键信息,获得用户相关交易信息。对键盘记录程序进行分析可知,该程序的主要攻击点在用户密码输入、支付密码确认两部分,利用日志、消息、键盘等选项,过滤、窃取键盘录入信息。由此可见,键盘输入记录风险很大,一旦键盘程序被攻破,攻击者会很容易窃取到用户的密码。目前,大部分网上银行已认识到这一风险,并改用了&软键盘输入&程序,随时、及时过滤键盘输入记录,以减少攻击者进入键盘程序的机会。但是,由于这种&防盗&技术仍不完善,网上银行对用户安全信息的保护能力普遍低下,用户的支付安全依旧很难保证。
&&& 3.篡改签名数据
&&& 密码是决定交易安全的核心要素。然而,在网上银行支付系统中,密码信号传输的交易环境却并不安全,客户端、服务器端都能利用通信系统窃取密码,即便密码拥有保障机制保护,也很难实现安全传输。
&&& 攻击者会利用数字证书、数字签名机制,将密码信息保存、隐藏起来,通过智能处理,篡改签名数据,使密码在用户未同意的情况下发生改变。如此一来,攻击者便可自行设置用户密码,擅自执行交易行为。篡改签名数据在以智能卡为核心密钥的网上银行客户端交易系统中极为常见,因为每个用户的私钥都藏在智能卡中,所以,一旦攻击者了解了智能卡的数字签证模式,便可进入设备硬件,任意更改用户密码。同时,网上银行的安全问题还是影响网上银行业务的进行和拓展的一个重要指标和因素。无论网上银行多么便捷,但是它毕竟属于新兴业务,相对于传统银行面对面的现金交易,网上银行的支付方式不能不让用户担心其安全问题,因此,安全问题的保证也是用户选择不同商业银行网上银行的一个标准。
&&& 三、网上银行支付的安全措施分析
&&& (一)识别虚假网站
&&& 在互联网时代,虚假网站、钓鱼网站比比皆是,对此如果仅仅依靠网络管理和网上银行自身的安全措施显然是不够的。特别是本身并没有很强的攻击性,但是一旦陷入其中就容易上当受骗的虚假网站和钓鱼网站来说,更需要广大用户自身有足够的辨识力,才能够有效地避免可以避免的损失。
&&& 最简单也最直接的办法就是用户通过设置黑白名单以达到&御敌于国门之外&的效果。这种办法几乎所有的用户都能够轻松操作。但是这种方法也存在着局限性,即由于现在不法网站多如牛毛,黑名单的辨识能力不能保证无懈可击,甚至会出现一些错误的辨识,而白名单的辨识能力更是有限,有时可能会出现不必要的交易误会。所以,还需要用辅助性办法达到对不法网站的有效识别,例如:基于网址单词意义与形状,自动从目标字符串中生成一组与之类似的字符串,作为用户黑名单中的记录。因此,可将钓鱼网站的网址分为前缀+关键字+后缀的组合,利用软件模拟生成一系列可能是钓鱼网站网址的字符串。这种方法可以减少对黑名单的收集工作。此外,还可以利用&编辑距离算法&判断两个域名地址字符串之间的距离,以该原理为技术核心,系统可轻松过滤、检验出存在安全风险的虚假网站和危险网址。同时,&编辑距离算法&还能总结、分析出网址在区域环境下的字符串变化,如果网站被植入病毒,那么用户在访问时便会出现一连串不规则的&字符变化&,依靠现有网络安全技术,可轻松筛选出&不规则&的字符序列,发出警示信号,提醒用户已进入了危险网站。
&&& (二)抵抗部分键盘记录的设计
&&& 针对攻击者通过将木马注入客户端记录用户键盘输入的攻击方式,网络设计人员可以设置与之相配合的驱动程序,利用&派遣函数&解决插入病毒的影响。例如:创建与用户按键程序相关联的扫描码,使其可以将用户密码信息直接传送到网上银行的ActiveX控件上,再由网上银行驱动程序翻译用户密码,最后生成最终的密码信息。如此一来,用户键盘输入的信息在攻击者眼里便成了一堆&乱码&,无任何窃取价值,不能在网上银行正常使用,而网上银行认定的信息会随着随机生成的扫描码,传达给网络银行的ActiveX控件。此外,即便攻击者利用键盘过滤驱动插件,找到了用户密码的&扫描码&,网上银行依然可以通过秘密口令,证实&密码交易&请求是否出自用户本意。如果攻击者不完全了解用户交易习惯、交易方式,就很难成功盗取用户密码信息,促成隐匿交易行为。
&&& (三)抵抗交易劫持
&&& 为了抵抗交易劫持的攻击模式,很多网上银行的安全机制设定用户在输入密码时使用软键盘或在客户端强制安装防木马的键盘驱动软件扫描程序等。部分在线交易在确认信息中加入了多因子认证技术,如将交易密码设置成动态密码(包括电子口令卡、手机动态密码、安全密码器等)。这些技术均在一定程度上保护了网上银行的安全,其原理均是加入人工干预。为保证用户在网上银行的支付行为能够安全、可靠、高效地进行,网上银行创设了诸多&安全机制&来抵御攻击。
&&& 上文提到,与网络安全技术相当&,网络犯罪技术&也在&与时俱进&地发展着,所以,要想从根本上杜绝风险交易,降低攻击者非法侵入网上银行支付系统的犯罪几率,必须不断完善安全系统,以先进安全技术为核心,组建无漏洞、无风险、无间接伤害的安全系统模型,具体内容包括:1.用户交易密码安全。不要以明文形式构建密码,用户的交易密码需由网上银行支付系统的智能卡的按键端输入,解除用户键盘输入对用户密码编辑、传输、处理的主导功能,如此,出现在客户端设备的用户密码将会更加安全、完整地保存在网上银行的数据库中,免除窃取、盗用风险。2.增设随机算子。用户的交易行为在网络银行支付系统中是动态变化的,为迎合这一交易环境,可在安全设计方案中增设随机算子,以其为交易指标、凭据,随机校验、核查用户名、密码等重要信息。每次交易时,随机算子的参与模式、内容都会不同,这样可使得用户在输入用户名、密码等信息时,拥有了&随机应变&的权利,其信息安全得以有效保护。3.改变交易信息确认方式。服务器向用户客户端发送的确认信息很容易被盗取、滥用,这也是&手机认证&、&短信诈骗&等交易安全事故频发的根本原因。为此,网上银行支付系统需增加人工干预程序,以人工管理、控制、确认模式,提高信息确认交易步骤的安全性。
&&& 综上所述,作为传统银行业务的发展和延伸,网上银行业务在互联网时代无疑有着强大的生命力和发展前景。特别是网上银行支付业务的范围和领域不断增加,对于网上银行的发展有很强的促进作用。我们在充分享受网上银行所带来的便利的同时,也需要充分意识到网上银行的安全性问题,要想真正获得安全,唯一的办法就是将安全意识与安全保障完美结合,才能真正实现网上银行支付业务的安全保障。快捷支付风险管理分析
快捷支付是近年非金融支付服务机构所推出的一种新型的互联网支付业务模式。所谓快捷,是相对于传统的网上银行支付业务而言。用户在使用网上银行进行支付时,需跳转至网银页面,并使用智能密码钥匙(USB—Key)或动态lYl令牌(Token)等硬件设备进行身份认证,方可完成支付。而用户在使用快捷支付业务时,不需开通网上银行业务,只需在支付页面上输入支付密码或关联银行卡信息即可完成资金交易。节省了交易时间,降低了交易复杂度,增强了用户体验。本质上看,快捷支付属于业务模式创新的产物,但其实现机制、风险表现形式等均与信息技术密不可分。本文从技术管理的角度,分析当前支付机构在快捷支付业务中面临的主要问题,并提出了技术管理策略。
一、快捷支付业务典型模式
支付机构所推出的快捷支付业务模式主要分为两大类,分别以支付宝快捷支付与银联在线快捷支付为代表。两种模式都属于网络支付业务的范畴,且存在一些相似之处,但在认证方式及实现机制等方面存在细节上的差别。
一)支付宝快捷支付模式
支付宝的“快捷支付”业务是一种简化的网络支付业务。用户在首次申请使用该业务时。将支付宝的个人账户与银行账户信息、身份信息、手机号码等进行绑定。通过互联网实现支付机构和银行对用户身份的双重认定。业务开通后,用户在使用快捷支付工具进行支付时.只需输入支付宝个人账户与支付密码即可实现身份认证。用户身份得到确认后,支付宝向银行支付网关提交支付指令,银行则根据支付指令,将用户银行账户内的资金转入收款人指定账户,完成支付流程。
二)银联在线快捷支付模式
银联在线提供的“快捷支付”业务依托于中国银联运营的银行卡跨行转接系统.将收单业务从线下拓展到线上。面向网上商户,通过无卡支付平台为持卡人提供便捷的服务。用户申请开通快捷支付业务时。应先完成“认证支付”的步骤,即将银行卡信息和手机号码通过银联在线平台传输给发卡行,验证
用户身份。发卡行在确认用户身份的有效性后,用户便可在银联在线平台完成注册.开通快捷支付业务。业务开通后,用户在发生支付行为时,输入平台
注册信息便可实现银行卡线上支付。支付环节通过银行卡跨行转接系统实现,属于银行卡线上收单业务模式。
快捷支付业务改变了传统的网络支付方式.是一种全新的支付理念。与商业银行的网上银行业务和支付机构的其他支付方式相比,快捷支付具有如下特征。
一)一次认证。重复使用
快捷支付业务具有“一次认证,重复使用”的特征。“一次认证”。即用户在首次申请该业务时.需要支付机构与开户行双方通过手机号码、有效身份证
件种类及号码、银行账户等信息共同完成用户身份认定。“重复使用”,即该业务开通后,用户发生支付行为时.不需要重复首次申请时较为繁琐的身份认证环节,只需输入支付平台注册信息进行校验后即可实现支付。快捷支付业务模式节省了交易时间.增强了用户体验,适于在互联网小额支付领域应
二)有利于实名制认证信息的可获得性
在推出快捷支付业务之前,支付机构扮演的是网上支付的中介角色.主要履行持卡人在线购物时的转接支付职能,起到帮助商业银行拓展线上支付渠道的作用。而快捷支付业务模式把银行的服务界面(网上银行)屏蔽在客户的支付流程之外,银行只扮演“账房先生”的角色。被动地处理来自支付机构的指令,不再认证用户的身份,不再掌握用户的支付行为。银行从用户支付结算的前台,退到了代理第三方清算的后台,银行支付服务渠道的优势不断被弱化。快捷支付业务这种服务模式使大量的银行实名认证用户资料流入了支付机构,而支付机构通过与多家银行合作,聚合了不同银行的实名认证资料,产生了海量的金融数据资产,这些信息将有助于支付机构进行更深层次的数据挖掘。
三)为移动快捷支付业务发展创造条件
随着移动通信技术的高速发展和智能终端的El益普及,以快捷支付为代表的各类支付应用(pay—ment&application)已不仅仅局限于在互联网终端上使用,个人移动终端作为支付应用的新型载体正逐渐被用户接受。快捷支付业务不受网上银行业务的各种安全政策所限制.用户在使用快捷支付业务时不需要插人USB—Key之类的硬件设备进行身份认证.可使用不同操作系统和浏览器,因而可扩展到移动终端上应用,这为支付机构进入移动远程支付领域奠定了基础。
快捷支付在给客户带来方便、快速服务的同时,也面临着支付安全方面的问题。快捷支付所面临的安全问题主要来自于以下几个方面。
一)支付环节身份认证强度较弱
在快捷支付业务模式下,除了首次认证外,支付环节基本采用用户名加密码的身份认证方式实现支付,这是一种基于“what&you&know”的验证手段。
于密码是静态数据,在验证过程中需要在计算机内存中和网络中传输,易被驻留在计算机内存中的木马程序或网络中的监听设备截取。在涉及资金交易
的快捷支付环节中,这类验证方式认证强度较低,支付口令一旦被盗取,将会带来资金转移的风险。相比而言,商业银行的网上银行业务多采用基于USB—Key的身份认证技术,USB—Key内置单片机或智能卡芯片,存储用户的密钥或数字证书,利用其内置的非对称密码算法实现用户与商业银行之间的身份认证。用户在使用网银进行支付时,需要插入硬件设备完成身份认证。虽然流程比快捷支付略微繁琐,但认证强度较高,可靠性更强。快捷支付跳过了商业银行围绕网上银行业务所设置的这些安全措施,安全性上打了一定折扣。
二)敏感信息存储与传输存在泄露风险
基于快捷支付的业务流程,支付机构和商业银行在进行快捷支付签约时,银行将通过银行网点面签获取的客户真实资料和敏感信息发送给支付机构,共同完成实名身份核验。在获得海量银行的完整客户和账户信息之后,支付机构如在未经客户授权的情况下,将信息挪作他用,将带来严重的法律风险和用户信息泄露隐患。另外,互联网环境下,支付机构将支付指令传输至银行或银联的过程中,存在信息泄露的风险。在支付行为发生时,付款人通过支付机构向开户银行提交支付指令,将银行账户内的货币资金转入收款人指定账户。支付指令中应包含付款人名称、银行账户号、交易金额、客户有效身份证件种类和号码等敏感信息。支付机构将支付指令传输至银行支付网关的过程中.可能存在信息泄露的风险。
三)支付应用的可靠性难以认定
无论在互联网终端还是个人移动终端,支付应用的安全性都需要得到有效保障。在互联网支付领域,支付机构通常用浏览器//11~务器(Browser/Ser.模式为用户提供支付服务,用户只要正确输入支付应用的网址,即可有效避免钓鱼网站,防止支付账户及密码等敏感信息被盗取。而在移动支付领
域,支付应用往往是以应用软件(APP)的形式发布在某个应用平台上,用户通过移动互联网从应用平台上将软件下载到个人终端上使用,常见应用发布快捷支付业务风险及防控策略分析平台如苹果的App&Store、谷歌的Google&Play&Store等。在当前移动智能终端恶意软件和山寨应用在一定范围存在的情况下。用户往往难以采取有效的技术手段判断应用软件是否安全可信。特别是在涉及资金交易的支付应用领域,用户一旦下载到恶意软件,敏感信息将面临被盗取风险。
针对快捷支付业务的特征与信息安全问题,可采取强化用户身份认证机制、保障信息传输安全、完善风险防控系统建设、在应用提供方和发布方之间建立互信机制等策略.确保资金交易的可靠性,降低业务风险。
一)强化用户身份认证机制
针对快捷支付业务中用户名加密码的身份认证方式,建议采用双因子认证机制以增加认证强度。双因子认证(2FA)是指结合密码以及实物(包括手机短信、令牌或指纹等生物标志)两种条件对用户进行认证的方法.广泛适用于互联网支付业务领域。
快捷支付业务中.在用户名加密码身份认证方式的基础上,可增加手机短信验证环节辅助认定用户身份。用户在输入用户名和密码的基础上,还需要输
入支付机构通过手机短信平台发给用户的验证码进行校验,方可完成支付。这种方式较为简便,在不影响用户体验的前提下增加身份认证的强度.确保
资金交易的可靠性。
二)保证敏感信息安全
作为支付服务渠道提供方,支付机构与商业银行通信过程中,应采取有效的安全措施,保护支付指令及所附信息的安全传输,确保支付信息的完整性和可靠性,防止客户信息泄露、支付指令被篡改。
一方面,支付机构与商业银行双方应对支付指令的数据格式与接口进行规范,保证信息的完整可靠,减少数据二次解析的成本:另一方面,可考虑在支付机构与商业银行专用的数据传输线路上部署硬件加密设备,以保证数据的安全性。
三)完善风险防控系统建设
除传输过程以外,用户的敏感信息在支付机构内部存储和处理时,同样存在泄露及非法篡改的风险,因此,支付机构应建立完善的风险防控系统以规范和审计内部人员的日常操作。建立完备的风险防控系统,一方面,要与支付业务处理系统进行联动,密切关注支付信息在传送、处理、存储、使用等过程中数据完整性和可靠性的变化。防止支付信息被非法篡改,关注可疑商户及可疑交易;另一方面,审计支付机构内部人员的日常操作。及时发现并制止任
何导致支付信息被篡改的行为。
四)在支付应用提供方与发布方之间建立互信机制
针对快捷支付业务应用于移动智能终端的情况.必须采用有效的技术手段促进应用提供方与发布方之间建立互信机制。通常,应用提供方一般是软件开发人员,支付应用则多是由支付机构所提供;应用发布方针对手机用户提供软件下载服务,可以是智能终端生产厂商旗下的应用商店,如苹果的App&Store,也可以是一些知名软件服务提供商的应用平台.如百度的“百度应用开放平台”。以苹果App&Store模式为例,应用发布方为应用提供方提供了方便与高效的软件下载平台,适应了移动智能终端用户对个性化软件的需求,也充分调动了软件开发者的积极性,从而推动了手机软件业的发展。为保障应用的安全可信,应用提供方和应用发布方要建立相互信任的合作模式。一方面,应用发布方将某个应用软件纳入平台前.应采取技术手段对应用软件本身进行安全性检测。判断其是否携带木马程序,对于涉及用户账户信息的支付应用,还应对应用提供方的合法身份予以鉴别,判断其是否为已获中国人民银行支付业务许可证的支付机构;
另一方面,应用发布方也可以根据实际情况。针对手机用户开发并发布基于各类操作系统的安全控件,在移动互联网环境下保障用户信息安全。
已投稿到:
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。
