第三方支付系统的安全需求分析.docx
《第三方支付系统的安全需求分析.docx》由会员分享,可在线阅读,更多相关《第三方支付系统的安全需求分析.docx(7页珍藏版)》请在冰豆网上搜索。
第三方支付系统的安全需求分析
第三方支付系统的安全需求分析
————————————————————————————————作者:
————————————————————————————————日期:
第三方支付系统的安全需求分析
经管0801班
刘星
2
第一章第三方支付系统的简介2
1.1第三方支付系统的概述2
1.2第三方支付系统的实现原理2
1.3第三方支付系统的行业分类2
1.4第三方支付系统的行业特点3
第二章第三方支付系统的优缺点3
优点3
缺点3
第三章第三方支付存在的安全性问题4
1、信用卡套现、洗钱问题层出不穷4
2、账户资金被盗、网络诈骗时有发生4
3、安全保障的技术手段有待改进4
4、第三方支付平台本身不是金融机构5
第四章国内主流第三方支付平台的安全策略分析5
1、配合央行加大力度打击信用卡套现、洗钱5
2、实名认证、全额赔付应对资金被盗、网络诈骗6
3、采用多重技术手段保障用户安全6
4、争取早日拿到央行的电子支付牌照8
第一章第三方支付系统的简介
1.1第三方支付系统的概述
所谓第三方支付,就是一些和产品所在国家以及国外各大银行签约、并具备一定实力和信誉保障的第三方独立机构提供的交易支持平台。
在通过第三方支付平台的交易中,买方选购商品后,使用第三方平台提供的账户进行货款支付,由第三方通知卖家货款到达、进行发货;买方检验物品后,就可以通知付款给卖家,第三方再将款项转至卖家账户。
1.2第三方支付系统的实现原理
第三方机构与各个主要银行之间又签订有关协议,使得第三方机构与银行可以进行某种形式的数据交换和相关信息确认。
这样第三方机构就能实现在持卡人或消费者与各个银行,以及最终的收款人或者是商家之间建立一个支付的流程。
1.3第三方支付系统的行业分类
一类是以支付宝、财付通、盛付通为首的互联网型支付企业,它们以在线支付为主,捆绑大型电子商务网站,迅速做大做强。
一类是以银联电子支付、快钱、汇付天下为首的金融型支付企业,侧重行业需求和开拓行业应用。
1.4第三方支付系统的行业特点
第一,第三方支付平台提供一系列的应用接口程序,将多种银行卡支付方式整合到一个界面上,负责交易结算中与银行的对接,使网上购物更加快捷、便利。
第二,较之SSL、SET等支付协议,利用第三方支付平台进行支付操作更加简单而易于接受。
SSL是现在应用比较广泛的安全协议,在SSL中只需要验证商家的身份。
SET协议是目前发展的基于信用卡支付系统的比较成熟的技术。
但在SET中,各方的身份都需要通过CA进行认证,程序复杂,手续繁多,速度慢且实现成本高。
有了第三方支付平台,商家和客户之间的交涉由第三方来完成,使网上交易变得更加简单。
第三,第三方支付平台本身依附于大型的门户网站,且以与其合作的银行的信用作为信用依托,因此第三方支付平台能够较好地突破网上交易中的信用问题,有利于推动电子商务的快速发展。
第二章第三方支付系统的优缺点
优点
(1)比较安全,信用卡信息或帐户信息仅需要告知支付中介,而无需告诉每一个收款人,大大减少了信用卡信息和账户信息失密的风险;
(2)支付成本较低,支付中介集中了大量的电子小额交易,形成规模效应,因而支付成本较低
(3)使用方便。
对支付者而言,他所面对的是友好的界面,不必考虑背后复杂的技术操作过程
(4)支付担保业务可以在很大程度上保障付款人的利益。
缺点
(1)这是一种虚拟支付层的支付模式,需要其它的“实际支付方式”完成实际支付层的操作
(2)付款人的银行卡信息将暴露给第三方支付平台,如果这个第三方支付平台的信用度或者保密手段欠佳,将带给付款人相关风险;
(3)第三方结算支付中介的法律地位缺乏规定,一旦该终结破产,消费者所购买的“电子货币”可能成了破产债权,无法得到保障
(4)由于有大量资金寄存在支付平台账户内,而第三方平台非金融机构,所以有资金寄存的风险。
第三章第三方支付存在的安全性问题
1、信用卡套现、洗钱问题层出不穷
由于第三方支付账户可以从一家商业银行账户中充值,再将账户余额转到在另一家商业银行的账户中,因此,利用信用卡进行套现,因为有了第三方支付的帮助变得异常简单。
同时,由于支付宝之类的第三方支付兼具资金的收付功能,因此,它不仅存在着信用卡套现的风险,更面临诸如洗钱之类的问题。
在支付中,有相当一部分交易属于虚拟货币的交易,比如腾讯公司的Q币,移动通讯公司的话费充值等。
因而不排除有些人通过设立多个账户,从事虚假的虚拟货币交易,以此达到转移不法资金,以达到洗钱的目的。
2、账户资金被盗、网络诈骗时有发生
在淘宝网购物,通过支付宝付款一直被认为是目前最安全的网购方式。
然而,近来消费者大量网购资金并未转入支付宝,而是被黑客劫至“中国移动通信集团湖南有限公司电子商务中心”、“北京联动优势科技公司”等第三方支付平台,继而流进骗子的账户。
例如,一名由于第三方支付平台监管不严而遭遇网络诈骗的网友表示,自己在某大型网购网站购物时,第一次支付不成功,随后被骗子商家用另一家小型第三方支付平台的链接骗去500元。
事发后,该网友分别找到两家支付公司,它们互相推诿,最后只能不了了之,“花钱买教训吧”,该网友很无奈。
可见,网民第三方支付账户资金被盗,少数人利用第三方支付工具进行网络诈骗已经成为一个较普遍的社会现象。
3、安全保障的技术手段有待改进
网络钓鱼是指骗子以低价等作为诱饵,诱使用户在假的网站或冒充的页面付款,从而导致资金损失。
根据杀毒软件厂商的最新报告,网络钓鱼的黑色产业链初步形成,其危害已经超过传统的病毒和木马,成为威胁网民利益的第一杀手。
近期不断爆发用户按照第三方支付平台的正常操作步骤,资金却被转入到指定账户。
可见,第三方支付平台的技术安全保障手段亟待加强。
另外,目前第三方支付平台普遍采用的重要技术安全保障手段—数字证书,其并不是真正意义的独立第三方CA认证,而是内部建设一套符合实际要求的证书注册审计系统,使自身具备证书申请、审批、下载、证书状态在线查询、证书撤销等功能,然而这种数字证书并没有法律效力。
4、第三方支付平台本身不是金融机构
目前,国内的第三方支付企业属于非金融机构,是有限责任公司的性质,一旦公司出现破产等情形,则可能引发剧烈的多米诺骨牌效应,导致其他企业的资金链出现问题。
因此,即使是附属于某些著名的网站,第三方支付平台也存在一个信用问题。
许多第三方支付公司的在途资金已经远远大于它的注册资金。
那么,用户的资金放在平台上是不是安全?
如何保障这些资金的安全值得政府监管部门的思考。
第四章国内主流第三方支付平台的安全策略分析
1、配合央行加大力度打击信用卡套现、洗钱
中国人民银行2010年6月21日公布的《非金融机构支付服务管理办法》,不仅对作为第三方支付平台的非金融机构做出严格规定,同时也对支付平台的用户加以严格管理,此举无疑会对网络非法套现行为造成打击。
例如,支付宝通过其自行研发的网上支付风险监控系统对检控到的违规操作,将冻结该账户资金,支付宝同时还主动和银行联系,要求发卡银行针对套现现象做信用卡网上支付单笔限额的规定。
对于杜绝洗钱问题,关键在于对交易双方的身份核查。
不少第三方支付平台推出实名认证服务。
例如,2005年7月25日开始,支付宝公司推出了“支付宝认证”服务,支付宝公司一直严格遵循《中华人民共和国反洗钱法》,对用户进行了双重身份认证——身份证认证和银行卡认证。
2、实名认证、全额赔付应对资金被盗、网络诈骗
国内领先的第三方支付平台如支付宝、快钱等目前都采用了多种安全措施。
例如,快钱除了从技术手段上防范盗卡之外,还在安全方面加设了用户的认证系统等六道功能,试图将安全隐患压低到最小程度。
作为国内最大的第三方支付平台,支付宝的做法更为完备。
早在2006年7月,支付宝就推出“支付宝认证”服务,对所有使用支付宝的卖家进行双重身份认证,即身份证认证和银行卡认证。
除了与公安部全国公民身份证号码查询服务中心合作校验身份证的真伪,支付宝还与各大商业银行进行合作,利用银行账户实名制信息来校验用户填写的姓名和银行账户号码是否准确。
支付宝公司还在国内率先推出了“全额赔付”制度和交易安全基金,网络欺诈发生率仅为万分之二。
3、采用多重技术手段保障用户安全
按照艾瑞咨询发布的2010年第三季度第三方支付的市场份额,对比前几名的第三方支付企业的安全技术保障措施(截止2010年12月20日),结果如表1所示。
表1主流第三方支付企业的安全技术保障措施
第三方支付平台
对比项
支付宝
财付通
快钱
上海银联
易宝
SSL加密
是
是
是
是
是
登陆问候语
否
是
是
否
否
安全问题
是
是
是
是
是
登陆验证码
是
是
是
是
是
安全控件
是
是
是
是
否
邮件提示
是
是
是
否
是
口令卡
否
是
是
否
否
数字证书(文件证书)
是
是
是
否
是
手机绑定、信使服务
是
是
是
是
是
登陆、支付密码是否独立
是
是
是
是
是
支付盾(移动证书)
是
是
是
否
否
手机动态口令
是
否
否
否
否
账户安全检查
是
是
是
否
是
二次登陆密码
否
是
否
否
否
银行卡联名服务
是
否
否
是
是
风险实时监控
是
否
否
否
否
(1)采用SSL协议保障底层安全。
从表1可以看出,到目前为止,几乎所有主流第三方支付都采用安全套接层协议(SSL协议)作为底层协议,客户机和服务器交换信息前都必须构建安全通道,所有信息都经过加密传输,安全性将大为提高。
(2)采用数字证书保护用户账户安全。
分析的五家第三方支付平台除了中国银联在线外都推荐使用数字证书,即使您发送的信息在网上被他人截获,甚至您丢失了个人的账户、密码等信息,仍可以保证您的账户、资金安全。
(3)采用手机验证保护用户账户安全。
数字证书安全级别虽然较高,但对于不少计算机入门者来说使用有一定难度,于是支付宝推出了手机短信的动态口令登陆的方式,财付通、支付宝等推出了短信验证服务、信使服务等,既可以保护用户账户安全,还为用户对数字证书的备份、导入等难题提供了解决方案。
(4)采用U盾或和银行U盾绑定保护用户账户安全。
第三方支付虽然现在还是民营企业,但是为了保护用户账户安全,不少企业向金融机构看齐,不断提升安全保障措施。
现在不少第三方支付还可以提供类似于银行网银U盾这样的工具,既方便了用户又保证了用户的使用安全,还有的第三方支付平台和银行加强合作,银行的U盾即可用来登录、管理第三方支付平台的账户。
(5)多重安全技术策略确保用户安全。
第三方支付平台越来越重视安全性能的开发,从表1中看出像支付宝这样的领军企业,为了用户安全不断创新,采取数字证书、手机动态口令、安全控件和风险实时监控等多重安全策略齐下的方案,大大降低了技术风险。
同时,对于数字证书的管理,第三方支付企业应加快与第三方CA机构的合作,使第三方支付企业从证书的颁发者、管理者真正转变成为被认证者。
这样,用户的权益将得到法律更多的保护,这对于从根本上保障电子商务交易的安全具有重大的现实意义。
4、争取早日拿到央行的电子支付牌照
据中国之声《新闻纵横》报道,央行支付结算司相关负责人表示,首批第三方支付牌照可能在2010年年底发放。
这意味着像支付宝、快钱、财富通等第三方支付企业将很快被“正名”,获得官方认可的支付牌照。
可见,第三方支付的民营出身将正式纳入央行的金融机构管辖范围,第三方支付本身的信用问题将随之得到圆满解决。
用户也不必担心由于第三方支付企业的破产而带来的种种金融风险,正名后的第三方支付将迎来发展的大好明天。