曾經(jīng)的出門四件套——“身手鑰錢”��,現(xiàn)在很多人讓“錢”退居二線��。歸根結底���,得益于網(wǎng)絡支付的高度普及�,“手”把“錢”的活兒也干了����。
但是,經(jīng)常使用網(wǎng)絡支付的人也難免產(chǎn)生這些疑問:網(wǎng)絡支付存在哪些安全隱患�?如何讓網(wǎng)絡支付更安全?
網(wǎng)絡支付存在哪些安全隱患�?
(資料圖片)
支付身份難認定
網(wǎng)上支付�,雙方互不見面��,給釣魚詐騙等違法活動留下了生存空間�����。例如�,不進行身份認證��,用戶無法判斷支付頁面是否是黑客偽造的釣魚網(wǎng)站�����。
支付信息的泄露和篡改
支付帳號�、密碼等隱私信息在網(wǎng)絡傳輸過程中就可能被攻擊者竊取,之后攻擊者可冒充他人進行網(wǎng)絡支付�����。金額����、支付單位等信息也可能因泄露遭到篡改、偽造��。
支付行為遭抵賴
紙質(zhì)合同、契約�����、單據(jù)確保了支付行為具有法律約束力��,不可隨意抵賴�����,但網(wǎng)絡支付行為的認定脫離了紙質(zhì)文件��,可能出現(xiàn)支付行為完成后發(fā)送方否認付款或接收方否認收款等情況�����。
網(wǎng)絡支付需要解決哪些安全需求��?
綜上所述�,網(wǎng)絡支付的主要安全需求可以歸納為
保證網(wǎng)絡資金結算雙方身份的認定;
保證支付信息數(shù)據(jù)的私密性���;
保證支付結算數(shù)據(jù)的完整性及不可篡改性��;
保證網(wǎng)絡資金支付結算行為發(fā)生及發(fā)生內(nèi)容的不可抵賴性�,即建立一種信任機制,確保網(wǎng)絡支付在真實���、可靠��、安全的環(huán)境下進行���,同時合法合規(guī)。
如何讓網(wǎng)絡支付更安全�?
數(shù)字證書正是可以構建信任機制��、滿足網(wǎng)絡支付安全需求的一種產(chǎn)品����。
數(shù)字證書之所以可以保護網(wǎng)絡支付安全,主要基于如下特性:
合法性
由合法的第三方CA(即電子認證服務機構�����,Certificate Authority)頒發(fā)的數(shù)字證書可通過技術手段建立網(wǎng)絡支付各方的信任關系���。在我國���,CA的合法性由工信部頒發(fā)的《電子認證服務許可證》和國家密碼管理局頒發(fā)的《電子認證服務使用密碼許可證》這兩項資質(zhì)確立�����。
唯一性
每張數(shù)字證書中都包含證書序列號及其對應的密鑰����,這些信息或數(shù)據(jù)均具有唯一性�����。受信任的權威CA會先對證書申請人進行身份審核��,防止冒名頂替����,可以用于確保網(wǎng)絡支付各方身份和支付網(wǎng)頁的真實性。
保密性
數(shù)字證書采用PKI技術體系���,在加解密中使用非對稱算法���。用戶持有一把私鑰,用它進行解密和簽名��;同時持有一把公鑰,并由本人公開給一組用戶共享����,用于加密。公鑰做加密��,僅能使用對應的私鑰進行解密�����。當發(fā)送保密數(shù)據(jù)時��,發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密���,而接收方則使用自己的私鑰解密,這樣數(shù)據(jù)就可以安全傳送�����,即使在傳送途中被攻擊者截取�����,攻擊者也會因沒有私鑰而無法解密數(shù)據(jù)���。
防篡改
使用數(shù)字證書對數(shù)據(jù)進行電子簽名后�,如果數(shù)據(jù)內(nèi)容有修改,電子簽名即會失效�,通過電子簽名驗證即可發(fā)現(xiàn)數(shù)據(jù)篡改。這就保證任何支付參與方對支付信息的任何篡改都會被發(fā)現(xiàn)�����。
抗抵賴
發(fā)送方使用自己持有的證書私鑰對信息簽名�����,由于私鑰僅為本人所有���,該簽名難以被偽造��,保證了支付信息是由發(fā)送者本人簽名發(fā)送的�����。此類簽名即數(shù)字簽名�����,它是電子簽名的一種實現(xiàn)形式�����。不過數(shù)字簽名要對網(wǎng)絡支付行為形成法律約束力����,起到“白紙黑字”的效果,還需符合《電子簽名法》中對可靠電子簽名的要求:“專有?����?胤来鄹摹?/p>
這其中的關鍵是電子簽名人對電子簽名的專有?�??�。合法的第三方CA獨立于支付行為之外���,使用其頒發(fā)的數(shù)字證書進行數(shù)字簽名符合《電子簽名法》規(guī)定�。所以無論是哪一方����,在支付行為完成后��,均因該簽名而不可否認所簽名的付款或收款的金額��、時間等信息。如在日后出現(xiàn)糾紛��,該數(shù)字簽名還可作為司法證據(jù)使用�。
數(shù)字證書和生物識別,誰是網(wǎng)絡支付安全最優(yōu)解法��?
數(shù)字證書的特性使它成為創(chuàng)建真實可信�、安全合法的網(wǎng)絡環(huán)境的一項重要手段,因此被廣泛應用于網(wǎng)絡支付�。
得益于生物識別技術的發(fā)展,刷臉支付����、指紋支付等便捷的網(wǎng)絡支付技術在當下頗為流行,但這些技術的精確度���、安全性仍需進一步提升��。
綜合安全性���、可靠性、精準性�、便利性后,數(shù)字證書仍是目前保障網(wǎng)絡支付安全的最佳選擇���。而將數(shù)字證書與FIDO等生物識別技術相結合形成的安全解決方案���,也將可提供更堅實����、便捷的網(wǎng)絡支付安全保障�����。
關鍵詞:
數(shù)字證書
電子簽名
支付信息
營業(yè)執(zhí)照公示信息