曾經(jīng)的出門四件套——“身手鑰錢”����,現(xiàn)在很多人讓“錢”退居二線。歸根結(jié)底���,得益于網(wǎng)絡(luò)支付的高度普及����,“手”把“錢”的活兒也干了。
但是����,經(jīng)常使用網(wǎng)絡(luò)支付的人也難免產(chǎn)生這些疑問:網(wǎng)絡(luò)支付存在哪些安全隱患?如何讓網(wǎng)絡(luò)支付更安全�?
網(wǎng)絡(luò)支付存在哪些安全隱患���?
(資料圖片)
支付身份難認(rèn)定
網(wǎng)上支付�����,雙方互不見面,給釣魚詐騙等違法活動留下了生存空間��。例如�����,不進(jìn)行身份認(rèn)證,用戶無法判斷支付頁面是否是黑客偽造的釣魚網(wǎng)站����。
支付信息的泄露和篡改
支付帳號����、密碼等隱私信息在網(wǎng)絡(luò)傳輸過程中就可能被攻擊者竊取�����,之后攻擊者可冒充他人進(jìn)行網(wǎng)絡(luò)支付。金額���、支付單位等信息也可能因泄露遭到篡改���、偽造。
支付行為遭抵賴
紙質(zhì)合同��、契約����、單據(jù)確保了支付行為具有法律約束力,不可隨意抵賴�����,但網(wǎng)絡(luò)支付行為的認(rèn)定脫離了紙質(zhì)文件����,可能出現(xiàn)支付行為完成后發(fā)送方否認(rèn)付款或接收方否認(rèn)收款等情況。
網(wǎng)絡(luò)支付需要解決哪些安全需求��?
綜上所述��,網(wǎng)絡(luò)支付的主要安全需求可以歸納為
保證網(wǎng)絡(luò)資金結(jié)算雙方身份的認(rèn)定�����;
保證支付信息數(shù)據(jù)的私密性�����;
保證支付結(jié)算數(shù)據(jù)的完整性及不可篡改性�����;
保證網(wǎng)絡(luò)資金支付結(jié)算行為發(fā)生及發(fā)生內(nèi)容的不可抵賴性�,即建立一種信任機制,確保網(wǎng)絡(luò)支付在真實�����、可靠�����、安全的環(huán)境下進(jìn)行�,同時合法合規(guī)。
如何讓網(wǎng)絡(luò)支付更安全����?
數(shù)字證書正是可以構(gòu)建信任機制、滿足網(wǎng)絡(luò)支付安全需求的一種產(chǎn)品��。
數(shù)字證書之所以可以保護(hù)網(wǎng)絡(luò)支付安全�����,主要基于如下特性:
合法性
由合法的第三方CA(即電子認(rèn)證服務(wù)機構(gòu)�,Certificate Authority)頒發(fā)的數(shù)字證書可通過技術(shù)手段建立網(wǎng)絡(luò)支付各方的信任關(guān)系。在我國����,CA的合法性由工信部頒發(fā)的《電子認(rèn)證服務(wù)許可證》和國家密碼管理局頒發(fā)的《電子認(rèn)證服務(wù)使用密碼許可證》這兩項資質(zhì)確立�����。
唯一性
每張數(shù)字證書中都包含證書序列號及其對應(yīng)的密鑰���,這些信息或數(shù)據(jù)均具有唯一性。受信任的權(quán)威CA會先對證書申請人進(jìn)行身份審核�����,防止冒名頂替���,可以用于確保網(wǎng)絡(luò)支付各方身份和支付網(wǎng)頁的真實性�����。
保密性
數(shù)字證書采用PKI技術(shù)體系���,在加解密中使用非對稱算法。用戶持有一把私鑰��,用它進(jìn)行解密和簽名�����;同時持有一把公鑰�,并由本人公開給一組用戶共享,用于加密����。公鑰做加密,僅能使用對應(yīng)的私鑰進(jìn)行解密����。當(dāng)發(fā)送保密數(shù)據(jù)時,發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密�����,而接收方則使用自己的私鑰解密����,這樣數(shù)據(jù)就可以安全傳送,即使在傳送途中被攻擊者截取���,攻擊者也會因沒有私鑰而無法解密數(shù)據(jù)����。
防篡改
使用數(shù)字證書對數(shù)據(jù)進(jìn)行電子簽名后,如果數(shù)據(jù)內(nèi)容有修改�,電子簽名即會失效,通過電子簽名驗證即可發(fā)現(xiàn)數(shù)據(jù)篡改��。這就保證任何支付參與方對支付信息的任何篡改都會被發(fā)現(xiàn)����。
抗抵賴
發(fā)送方使用自己持有的證書私鑰對信息簽名,由于私鑰僅為本人所有�����,該簽名難以被偽造�,保證了支付信息是由發(fā)送者本人簽名發(fā)送的。此類簽名即數(shù)字簽名�����,它是電子簽名的一種實現(xiàn)形式�����。不過數(shù)字簽名要對網(wǎng)絡(luò)支付行為形成法律約束力�����,起到“白紙黑字”的效果,還需符合《電子簽名法》中對可靠電子簽名的要求:“專有??胤来鄹摹?/p>
這其中的關(guān)鍵是電子簽名人對電子簽名的專有??亍:戏ǖ牡谌紺A獨立于支付行為之外�,使用其頒發(fā)的數(shù)字證書進(jìn)行數(shù)字簽名符合《電子簽名法》規(guī)定。所以無論是哪一方�,在支付行為完成后,均因該簽名而不可否認(rèn)所簽名的付款或收款的金額����、時間等信息。如在日后出現(xiàn)糾紛�,該數(shù)字簽名還可作為司法證據(jù)使用。
數(shù)字證書和生物識別���,誰是網(wǎng)絡(luò)支付安全最優(yōu)解法���?
數(shù)字證書的特性使它成為創(chuàng)建真實可信、安全合法的網(wǎng)絡(luò)環(huán)境的一項重要手段���,因此被廣泛應(yīng)用于網(wǎng)絡(luò)支付����。
得益于生物識別技術(shù)的發(fā)展,刷臉支付�、指紋支付等便捷的網(wǎng)絡(luò)支付技術(shù)在當(dāng)下頗為流行,但這些技術(shù)的精確度��、安全性仍需進(jìn)一步提升�����。
綜合安全性�����、可靠性����、精準(zhǔn)性、便利性后��,數(shù)字證書仍是目前保障網(wǎng)絡(luò)支付安全的最佳選擇�。而將數(shù)字證書與FIDO等生物識別技術(shù)相結(jié)合形成的安全解決方案,也將可提供更堅實�、便捷的網(wǎng)絡(luò)支付安全保障。
關(guān)鍵詞:
數(shù)字證書
電子簽名
支付信息
營業(yè)執(zhí)照公示信息