电子支付的安全性问题分析以第三方支付为例Word格式文档下载.docx

1、2.1 电话银行的安全性分析 52.2 网上银行安全性威胁 62.2.1 认证安全威胁 62.2.3 网上银行服务器端的可用性 62.2.4其他的安全性威胁 63第三方支付存在的安全性问题 83.1 信用卡套现、洗钱问题层出不穷 83.2 账户资金被盗、网络诈骗时有发生 83.3 安全保障的技术手段有待改进 83.4 第三方支付平台不具备金融机构资质 93.5 第三方支付平台隐私政策不合理 94国内主流第三方支付平台的安全策略分析 94.1 应对信用卡套现、洗钱 94.2 应对资金被盗、网络诈骗 104.3采用多重技术手段保障用户安全 104.3.1采用SSL协议保障底层安全 114.3.2

2、采用数字证书保护用户账户安全 114.3.3采用手机短信验证保护用户账户安全 114.3.4 采用U盾或和银行U盾绑定保护用户账户安全 114.4 争取早日拿到央行的电子支付牌照 114.5 采取具体措施保护用户隐私 125提高第三方支付的安全性的设想 125.1 完善网上支付相关法律，规范网上支付环境 125.2 加强系统和运行安全建设，防患于未然 125.3 推广SET安全电子交易协议在我国的应用 135.4 推广第三方认证的数字证书 135.5 强化宣传教育，提高网民安全意识，增强操作安全性 14参考文献： 15第一章 电子支付概述电子商务（Electronic Commerce，简写为

3、EC）是利用现有的计算机硬件、软件和网络基础设施，通过由一定的协议连接起来的电子网络环境进行的各种各样商务活动方式。电子商务是运用现代信息技术和网络技术，依托Internet进行营销宣传、业务洽谈以及支付结算等商务活动的新型网上贸易方式。与传统的商业系统相比，电子商务具有交易花费成本低、资金更安全、资金结算速度快、节省人力物力、方便等特点。电子商务不仅是目前Internet应用的最大热点，同时也是促进Internet继续发展的主要动力。电子支付，是指从事电子商务交易的当事人，包括消费者、厂商和金融机构，通过信息网络，使用安全的信息传输手段，采用数字化方式进行的货币支付或资金流转。电子支付的业务

4、类型按电子支付指令发起方式分为电话支付、网上支付、移动支付、第三方支付、自动柜员机交易和其他电子支付。1.1 电话银行及我国电话银行的发展现状电话银行是近年来国外日益兴起的一种高新技术，它是实现银行现代化经营与管理的基础，它通过电话这种现代化的通信工具把用户与银行紧密相连，使用户不必去银行，无论何时何地，只要通过拨通电话银行的电话号码，就能够得到电话银行提供的其它服务（往来交易查询、申请技术、利率查询等），当银行安装这种系统以后，可使银行提高服务质量，增加客户，为银行带来更好的经济效益。同网上银行和手机银行相比，电话银行在易用性方面更具优势。为了有效促进银行营业网点从传统的“柜台结算型”向“产

5、品销售型”的转型，将有限的资源投向高附加值业务，大力发展电话银行仍是帮助网点分流用户、减缓柜面压力的有效途径之一。目前，各大银行的电话银行基本都由原来的热线电话升级改造而成，兼有咨询、投诉、业务办理三大功能。然而相比电话银行提供的丰富功能，其普及程度还显得有些低：在所有被访者中，仅有12.4%的用户拨打过银行的服务热线电话。同刚刚超过一成的拨打率相呼应的，拨打热线电话的用户中对于电话银行的使用也停留在比较初级的水平上。除了9.8%的用户通过电话银行来处理紧急情况，如挂失银行卡之外，通过电话银行来办理业务的用户仅占拨打电话银行用户总数的1/3，而这些办理业务的用户中，半数以上的人仅仅是用电话银行

6、查询余额和明细，信用卡还款、转账、代缴费、购买理财产品等真正可以帮助银行网点有效分流业务的功能却少有人问津。1.2 网上银行及我国网上银行的发展现状近年来互联网技术的快速发展和深入应用，网上电子银行系统成为了各家金融机构的发展重点，得到大力推广，并迅速普及。与传统柜台业务相比，网上银行系统尤其是目前深受各界重视的网上银行具有多种明显的优势。它可以24小时不间断为客户提供服务，有效地延长了服务时间；它可以为身处任何地方的客户服务，只要客户能够接入互联网，有效地扩张了覆盖地域；它可以提供丰富的金融产品，并可以根据客户个人信息提供个性化产品，有效地进行产品差异化营销。有数据表明，网上银行是单笔交易成

7、本耗费最低的业务渠道，大力开发网上银行，可以有效降低银行整体经营成本，提升银行核心竞争力。因此。各大金融机构都将网上银行业务的发展提升到战略发展的高度。网上银行作为一种新型的金融服务渠道，正在进一步改变和提升银行业的服务方式、管理模式和竞争格局。自1995年，美国的第一家网上银行问世以来，由于提供免费网上支付以及迅速操作等服务，网上银行得以迅猛发展，客户群在不断扩大。两年前，美国还只有1000多家银行提供网上服务，现在已经超过了5000家。欧洲现已有1200家金融机构开设了网上银行的业务，跨国银行纷纷发布网上银行发展战略，斥巨资完善网上银行系统，视其为实现自身发展以及争取市场份额的重要手段。与

8、国外相比，我国的网上银行略微起步晚了一些，自1997年以来，国内招商银行、中国银行、中国建设银行、中国工商银行陆续推出网上银行业务，初步实现了在线金融服务。目前最新版本的网上银行系统已经可以实现网上汇兑、网上信用证等业务，极大地方便了个人和企业用户。网上银行在国内银行领域有着广阔的发展前景。根据易观国际Enfodesk产业数据库发布的2009年第4季度中国网上银行市场季度监测显示，2009年中国网上银行市场交易总额超过400万亿，达404.88万亿，其中个人网银交易额达到38.53万亿，占比9.52%。另外，截至2009年第4季度末，中国网上银行注册用户数达到1.89亿。1.3 移动支付等其他

9、支付方式及其在我国的发展现状2011年，国内电子支付业界风头最劲的无疑是手机支付。由于中国手机普及率较高，市场环境日趋成熟，手机支付发展迅速，且潜力巨大。据国内艾瑞咨询研究指出，2010年，我国移动支付市场整体规模达到202.5亿元，同比增长31.1%。预计2011年移动支付市场将迎来更加强劲的增长，2012年手机支付交易规模将有望超过1000亿元，由此带来的手机支付广阔前景，使得第三方支付企业纷纷看好手机支付业务。业界人士表示，2010年是中国的3G元年，2011年则是手机支付的元年。据统计显示，当前中国的手机用户数量已逾8亿，其中，已开通移动互联网业务的用户为3.03亿户，占全部手机用户的

10、37.8%。正因为市场环境的利好，国内众多第三方支付企业以及运营商都在加紧布局自己的手机支付应用。2011年2月22日，中国联通对外宣布成立支付公司，并立即展开了规模超过百人的招聘。此外，中国电信早在2011年1月就已经决定成立支付公司，并已经为即将成立的移动支付公司确定了一把手人选,开始进入人员招聘阶段。中国移动已开始申请第三方支付牌照，准备和金融机构合作建立第三方支付平台。不仅国内运营商进入移动支付领域，第三方支付企业也纷纷看好手机支付业务。据了解，早在2009年，北京通融通信息技术有限公司（易宝支付）即已单独成立移动支付事业部，到目前为止，其移动支付团队规模已近200人。易宝支付副总裁余

11、晨表示，当前，手机支付最大的特点是便捷性、随时随地性，因此，与用户生活密切的小额移动支付将成为主流，如娱乐、电子客票、手机游戏等以数字内容为主的交易。除易宝支付外，财付通、支付宝等国内第三方支付公司也在努力加快移动支付的发展。2010年3月22日，财付通移动支付平台推出一些互联网应用，如手机话费充值、信用卡还款、游戏充值、机票订购等。2010年10月份，支付宝发布无线支付产品“手机安全支付”，为手机应用开发者提供开放式隐形平台。显然，国内移动支付市场已见硝烟。易观国际分析预计，2011年将会有更多的企业在手机支付业务上增加投入，未来几年手机支付的交易额将有明显的增长。1.4 第三方支付及我国第

12、三方支付的发展现状所谓第三方支付，就是一些和国内外各大银行签约、并具备一定实力和信誉保障的第三方支付服务商提供的交易支持平台。在通过第三方支付平台的交易中，买方选购商品后，使用第三方平台提供的账户进行货款支付，由第三方通知卖家货款到达、进行发货；买方检验物品后，就可以通知付款给卖家，第三方再将款项转至卖家账户。第三方支付分第三方网上支付、固话支付和移动支付等几种，本文中谈到的第三方支付特指第三方网上支付。第三方支付成功解决了相互不了解的人的交易诚信问题，自身也得到了快速发展。根据艾瑞、易观国际等咨询公司的有关数据，2003年我国第三方支付行业的交易规模不到10亿元，2004年达到74亿元，20

13、09年达到5808亿元，2010年上半年达到4546亿元。根据图1-1的预测，2010年中国第三方支付整体交易规模将达到10105亿元，突破万亿元大关。细分市场方面，支付宝以50.02%的市场份额大幅领先于其他支付企业，财付通和快钱分列第二、第三位。艾瑞咨询预计，2011年中国第三方网上支付交易规模将达到17200亿元，至2014年，整体市场将有望突破4万亿元大关，达到41000亿元。图1-1 2008-2014第三方支付交易规模2010年互联网支付市场中，支付宝和财付通占据近85%的市场份额。快钱、ChinaPay、环迅支付等则以10%的份额列第二梯队，而其余近百家小型支付企业的份额总共不超

14、过1%。第二章 电子支付的安全性分析2.1 电话银行的安全性分析电话银行的安全性不足是显而易见的：首先，由于输入字母不便，电话银行的密码相对简单，在先进的设备和技术下，其被破解的难度被大打折扣。其次，由于电话银行和网络银行的关联性，用户往往用网络银行的密码兼当电话银行的密码，使黑客知晓银行卡密码后能轻松盗取。再次，犯罪份子可以通过电脑或手机木马程序盗取密码，而手机终端的杀毒、防毒工作还远远不及智能手机的普及速度，这显然制造了一个漏洞。2.2 网上银行安全性威胁2.2.1 认证安全威胁对网上银行认证的安全威胁包括：1）窃取网上银行用户的卡号和口令；2）窃取银行用户的数字证书；3）窃取网上银行用户

15、的卡片，如信用卡。攻击的方法有通过病毒，比如网银大盗及其改进型病毒、钓鱼攻击和直接偷盗等。2.2.2 通信通道安全通信通道的安全是网上银行系统的另外一个重要安全隐患，通信通道的安全威胁包括：1）通过Sniffer工具对网络流量进行分析，获取明文传送的敏感数据：2）通过Session劫持的方法对网络中建立的通信进行劫持，从而从正常使用者那里获取合法的Session而实现对网上银行用户帐户的窃取。这往往是暂时性的窃取用户对帐户的控制权，但往往会对用户造成严重的后果。3）使用中间人攻击等方式，替换服务器到客户端的数据证书，从而获取用户的敏感数据等。2.2.3 网上银行服务器端的可用性对网上银行系统的

16、另一类攻击是对可用性的攻击，也即让用户不能够正常的使用网上银行。这种威胁是一个十分严重但是又很难防御的。具体的威胁包括：1）使用DOS（Denial of Service）或者DDOS（Distributed Denial of Service）攻击阻塞网上银行的通信通道，使得它对正常的用户的请求的响应变得非常的缓慢或者不能响应，这种威胁很难防御也很难检测；。2）使用针对DNS（Domain Name Server）系统的攻击，将用户在浏览器中指定的网上银行URL转向到其它服务器，从而使得用户无法找到正常的网上银行系统。2.2.4其他的安全性威胁物理存储安全：通过非法获得物理存储设备，如系统的

17、备份设备。得到用户的账号和信息等敏感信息。操作系统级的安全性：通过非法获得操作系统中的一些信息，如内存数据，网卡缓存等，从中分析出在系统中存储的用户信息。数据处理的威胁：通过技术手段，利用网络银行系统可能存在的程序缺陷，直接破坏银行程序的行为，从而获得非法的利益。审计威胁：破坏系统的审计功能，从而导致非法的访问和操作记录的消失，导致审计的失效和法律上的无法取证。系统管理员威胁：管理员权限被窃取（如内部人员使用管理员的终端或者窃取管理员的密码）。由于系统管理员一般有很大的权限，这一威胁会导致系统处于危险的境地。管理员滥用其权力，导致对网上银行系统的破坏。3第三方支付存在的安全性问题3.1 信用卡

18、套现、洗钱问题层出不穷以支付宝为例。由于支付宝账户可以从一家商业银行账户中充值，再将账户余额转到该帐号使用者在另一家商业银行的账户中，因此，可能存在着利用信用卡进行套现交易的行为，即账户拥有者可以从信用卡账户对支付宝帐户进行充值，再将支付宝账户余额提现至借记卡账户中。这样在理论上就实现了利用信用卡套现的行为的可能。由于支付宝兼具资金的收付功能，因此它不仅存在着信用卡套现的风险，更面临诸如洗钱之类的问题。因为在支付宝支付中，有相当一部分交易属于虚拟货币的交易，比如腾讯公司的Q币，移动通讯公司的话费充值等。因此不排除有些人通过设立多个账户，从事虚假的虚拟货币交易，以此达到转移不法资金，以达到洗钱的

19、目的。3.2 账户资金被盗、网络诈骗时有发生电子商务支付在淘宝网购物，通过支付宝付款一直被认为是目前最安全的网购方式。然而近来，消费者大量网购资金并未转入支付宝，而是被黑客劫至“中国移动通信集团湖南有限公司电子商务中心”、“北京联动优势科技公司”等第三方支付平台，继而流进骗子的账户。一名由于第三方支付平台监管不严而遭遇网络诈骗的网友表示，自己在某大型网购网站购物时，第一次支付不成功，随后被骗子商家用另一家小型第三方支付平台的链接骗去500元。事发后，该网友分别找到两家支付公司，它们互相推诿，最后只能不了了之，“花钱买教训吧”该网友很无奈。3.3 安全保障的技术手段有待改进根据杀毒软件厂商的最新

20、报告，网络钓鱼的黑色产业链初步形成，其危害已经超过传统的病毒和木马，成为威胁网民利益的第一杀手。网络钓鱼欺诈是指骗子以低价等作为诱饵，诱使用户在假的网站或冒充的页面付款，从而导致资金损失。近期不断爆发用户按照第三方支付平台的正常操作步骤，资金却被转入到指定账户。第三方支付平台如何通过技术手段加强安全保障的应对这方面的风险值得关注。另外，目前第三方支付平台采取的数字证书认证并不是真正的第三方认证，而是内部建设一套符合实际要求的证书注册审计系统，使自身具备证书申请、审批、下载、证书状态在线查询、证书撤销等功能，从而为其所支持的电子商务平台提供强有力的安全保障，然而这种数字证书并没有法律效力，如何寻

21、求第三方支付平台与第三方CA认证机构合作，用更为安全的技术手段保障电子商务交易的安全具有重大的现实意义。 3.4 第三方支付平台不具备金融机构资质目前，国内的第三方支付企业属于非金融机构，是有限责任公司的性质，一旦公司出现破产等情形，则可能引发剧烈的多米诺骨牌效应，导致其他企业的资金链出现问题。因此，即使是附属于某些著名的网站，第三方支付平台也存在一个信用问题。许多第三方支付公司的在途资金已经远远大于它的注册资金。那么，资金放在平台上是不是安全?如何保障这些资金的安全值得政府监管部门的思考。3.5 第三方支付平台隐私政策不合理由于第三方平台掌握了大量用户的真实信息，它除了应采用技术手段进行保护

22、之外，还应该以文件、政策或公告的方式在网站上公开对用户信息进行安全承诺。但目前网站隐私政策的普遍不完整，内容不合理，免责条款过多，不少网站公然将黑客、病毒等引发的安全问题当做“不可抗力”，推卸责任。用户为了使用其服务只能同意该条款，导致发生问题时维权艰难。4国内主流第三方支付平台的安全策略分析4.1 应对信用卡套现、洗钱套现一族未来的日子应该不会太惬意，过往宽松的网上套现渠道或将逐渐消失。中国人民银行2010年6月21日公布的非金融机构支付服务管理办法，不仅对作为第三方支付平台的非金融机构做出严格规定，同时也对支付平台的用户加以严格管理，此举无疑会对网络非法套现行为造成打击。4.2 应对资金被

23、盗、网络诈骗国内领先的第三方支付平台如PAYPAL（贝宝）、支付宝、快钱等目前都采用了多种安全措施。例如，PAYPAL（贝宝）在防止盗号提供密码加密以及减少信用卡套现等方面，已经配合银行做了大量工作：快钱除了从技术手段上防范盗卡之外还在安全方面加设了用户的认证系统等六道功能，试图将安全隐患压低到最小程度。作为国内最大的第三方支付平台，支付宝的做法就更为完备。早在2006年7月，支付宝就推出”支付宝认证“服务对所有使用支付宝的卖家进行双重身份认证即身份证认证和银行卡认证。除了与公安部全国公民身份证号码查询服务中心合作校验身份证的真伪支付宝还与各大商业银行进行合作，利用银行账户实名制信息来校验用户

24、填写的姓名和银行账户号码是否准确，摒弃了某些购物网站仅凭一个手机号码或者身份证号码进行简单认证的模式。支付宝公司还在国内率先推出了“全额赔付”制度和交易安全基金网络欺诈发生率仅为万分之二。4.3采用多重技术手段保障用户安全按照艾瑞咨询发布的2010年第三季度第三方支付的市场份额，对比前六名的第三方支付企业的安全技术保障措施，结果如下表1所示。 第三方支付平台对比项支付宝财付通快钱汇付天下上海银联易宝SSL加密是否登陆问候语安全问题登陆验证码安全控件邮件提示口令卡数字证书（文件证书）手机绑定、信使服务登陆、支付密码是否独立支付盾（移动证书）手机动态口令担保交易服务账户安全检查实名认证二次登陆密码

25、银行卡联名服务风险实时监控安全指数4.3.1采用SSL协议保障底层安全如支付宝、财付通等主流第三方支付都采用安全套接层协议（SSL协议）作为底层协议，客户机和服务器交换信息前都必须构建安全通道，所有信息都经过加密传输，安全性大为提高。4.3.2 采用数字证书保护用户账户安全支付宝、财付通等都推荐使用数字证书，即使您发送的信息在网上被他人截获，甚至您丢失了个人的账户、密码等信息，仍可以保证您的账户、资金安全。4.3.3采用手机短信验证保护用户账户安全数字证书安全级别虽然高，但对于不少计算机入门者来说使用有一定难度，于是财付通、支付宝等陆续推出了手机短信验证的方式，既可以保护用户账户安全，还为用户

26、使用数字证书的备份、导入等难题提供了解决方案。4.3.4 采用U盾或和银行U盾绑定保护用户账户安全第三方支付虽然现在还是民营企业，但是为了保护用户账户安全，不少企业向金融机构看齐，不断提升安全保障措施。现在不少第三方支付还可以提供类似于银行网银U盾这样的工具，既方便了用户又保证了用户的使用安全，还有的第三方支付平台和银行加强合作，银行的U盾即可用来登录、管理第三方支付平台的账户。4.4 争取早日拿到央行的电子支付牌照据中国之声新闻纵横报道，央行支付结算司相关负责人表示，第三方支付牌照可能在2010年年底发放。这意味着像支付宝、快钱、财富通等消费者耳熟能详的第三方支付企业将很快被“正名”，获得官

27、方认可的支付牌照。消息人士透露，首批牌照发放只有四五家，对于这些少数企业来说，有利于率先大展身手，而整个行业则或加速整合。正名并且整合后的第三方支付将迎来发展的大好明天，第三方支付的民营出身将正式纳入央行的金融机构管辖范围，第三方支付本身的信用问题将随之得到圆满解决。4.5 采取具体措施保护用户隐私明确对客户知情权的保护措施，明确告知客户终止支付业务的原因、停止受理客户委托支付业务的时间、拟终止支付业务的后续安排等；对客户隐私权的保护措施，明确客户身份基本资讯的接收机构及其移交安排、销毁方式及其监督安排等；对客户选择权的保护措施，明确可供客户选择的、两个以上客户备付金退还方案等。5提高第三方支

28、付的安全性的设想5.1 完善网上支付相关法律，规范网上支付环境第一，完善网上支付法律建设，尤其是要尽早出台第三方支付法律规范。我国网上支付相关的法律法规有电子签名法、电子支付指引（第一号）、电子银行业务管理办法、证券公司网上证券信息系统技术指引等，但还不是完善的体系，如与票据法相关法律对接问题。另外，以上规范主要用于约束金融机构，目前对第三方支付机构没有约束力，建议将其业务纳入结算管理范畴，并出台第三方支付业务规范，明确其法律责任。第二，加强监管，落实网上支付风险控制。银行和证券监管部门落实网上银行、网上证券各环节监管监测，从制度、内控、客户教育上落实与技术体系相配套的风险控制，保证网上银行、网上证券安全。第三，打