英语原文共 11 页,剩余内容已隐藏,支付完成后下载完整资料
支付宝的安全分析与策略
摘要
随着支付宝的广泛使用,它每天所占的比重越来越大,第三方支付的比重越来越大,支付宝的安全问题也越来越突出。那么,如何更好地应对支付宝的安全风险,如何提高其安全性,这些都是非常重要的探讨内容。本文简要了解了支付宝的技术流程,从手机、互联网和交易无线网络的漏洞入手,简要描述了支付宝的安全问题,并在第三章提出了相关的治理措施。
关键词
支付宝、互联网业务、安全、第三方支付
1. 支付宝钱包技术介绍
1.1. 支付宝钱包的创新
目前,支付宝钱包是中国乃至全球第三方支付平台用户最活跃的领域(Yang,2009;Ma,2011;Xiao,2009;Lv,2013;Yang,2013;Yu,2012)。
自从移动客户端应用以一个新的名字——“支付宝钱包”上架以来,界面发生了巨大的变化。同时,随着短时间内的不断优化更新,其功能也随着日新月异的丰富和扩展。
支付宝钱包是将电子商务中的第三方支付带入人们的日常生活,并加以普及(熊,2014)。为了拓展线下市场,进一步普及效用比,支付宝钱包加入卡票管理,扫码支付、转账、预付话费、支付等日常实用功能。
为了提高安全性能,公司还尝试升级组合锁,如指纹锁等。
1.2. 支付宝支付流程
图1显示了支付宝支付流程图。
1.首先,消费者选择所需的商品和服务。然后为商家提供购买需求,除此之外其他相关的用户信息——包括银行卡号、银行详细信息、支付金额、手机号等也应提交。
2.商户网站收到购买请求后,通知移动支付平台进行收费(主要由移动运营商担任角色)
3.审计后,移动支付平台向第三方征信机构发送认证请求,对第三方征信机构进行交易认证,确保交易安全和支付流程规范有序。
4.待第三方信用机构认证后,由支付平台授权用户支付。
5.支付平台将支付结果反馈给商户,商户根据反馈结果对用户的支付交易进行处理。
图1支付宝支付流程图
2. 支付宝安全问题分析
2.1.支付宝安全威胁分析
手机支付有两种类型,近场支付由于近场通信的特点(Wei,2013;Yuan,2011),使得交易数据很难被窃取,安全性比远程支付稍好,还存在一些安全问题,如“中间人攻击”,即通过在手机上插入某种形式的间谍软件或恶意软件,感染其他手机,窃取用户的数据。但一般来说,通过杀毒软件和操作系统架构来控制应用程序之间的信息流,提供降低攻击效果的解决方案(Li,2014)。与近场支付相比,远程支付由于涉及数据的远程传输,因此对支付平台在数据传输、认证、加密等方面提出了更高的要求。本部分主要以远程支付为例分析移动支付过程中的安全威胁。
2.1.1. 无线网络安全威胁
无线网络是通过一个开放的信道进行通信的。攻击者利用此假冒合法用户身份,或通过传输媒介监听非法传输信息,达到销毁的目的(Ma,2013)。如果用户的合法身份被窃取,通信内容容易被窃听,威胁数据的完整性和机密性,面临移动IP网络漫游、无线应用协议WAP攻击等威胁。
另外,移动支付涉及到很多无线网络标准,目前广泛应用的是手机无线上网WAP标准的实现和WLAN(wireless LAN)802.11标准的构建。WTLS(wireless transport layer security)协议只将WAP设备的数据加密到WAP网关。通过SSL将数据发送到网关,使其在短时间内处于文本状态;802.11标准使用WEP(wireless equivalent),安全机制存在密钥容易泄露和难以管理等缺陷;当大量的WLAN跨不同子网时往往不需要二次登录认证。这些缺陷导致数据被截获和窃取,给移动支付的应用带来很大的安全隐患。
2.1.2. 移动终端安全威胁
移动终端的安全受到威胁,移动安全和存储大量的商业秘密(私钥)隐私面临越来越大的安全威胁。主要体现在:终端的物理安全、终端被攻击、数据被破坏、SIM卡被复制等方面,并且由于移动支付需要将支付账户和手机绑定在一起。当手机不慎丢失时,如果用户没有设置支付密码或认证过于简单,很容易被他人使用,导致失窃后代为完成支付。
2.1.3. 软件病毒安全威胁
病毒对软件安全构成威胁,手机病毒是用户安全的主要威胁。当用户进行网上购物和支付交易时,缺乏对网络安全的规范操作和警惕,浏览、下载、安装一些不安全的插件、程序或软件导致终端设备不安全。黑客利用附着的软件木马,操作系统存在漏洞和缺陷,从网络外部进行黑客攻击、干扰等非法行为,对移动支付安全构成重大威胁。目前的手机病毒监控键盘记录器,截获和篡改网络数据包窃取用户账号密码,还可以模拟按键来模拟用户行为,从而达到恶意消费或转移的目的。这些病毒通过发送欺诈短信伪装成知名手机软件欺骗用户下载和传播。一旦感染,就是监听键盘记录或截获网络数据包,截获手机浏览器。在发生支付时,它会自动操控虚假支付页面,盗取用户的账户密码,盗取用户的支付账户密码。手机安全给用户造成了极大的危害。
2.1.4. 应用层安全威胁
应用层威胁主要考虑了信息安全的四个方面,包括用户、数据、业务流程、业务应用。
1. 各类用户通过网络登录后台系统,在这个过程中,其账号和密码可能被嗅探,导致用户或密码信息被窃取或泄露,进而会有用户身份被伪造和欺骗的威胁;
2. 支付系统的数据主要包括密钥/证书信息、用户信息、应用配置信息、交易信息、系统信息等。
这些数据可能因密码破解、用户卡攻击、PSAM卡攻击而泄露/修改/损坏;
3. 业务流程的安全威胁是指在信息的输入、传输、处理、输出过程中,对数据进行嗅探、未经授权的访问、篡改;
4. 业务应用程序包括支付模块、账户模块、PSM模块、管理模块、STK卡应用程序等。当用户信息被盗或手机被盗时,这些模块和应用程序具有未经授权的访问威胁或来自远程主机的漏洞检测威胁,以及可能的后续攻击。
2.1.5. 支付管理漏洞
支付平台运营管理带来的安全威胁。在手机支付平台中,由于系统软件故障、系统安全漏洞、拒绝服务、操作错误、未授权访问、病毒蠕虫等原因,核心服务器、管理服务器、服务器安全、业务前置机及相关管理工作站等都可能导致系统故障。
2.2. 支付宝交易的安全问题
支付宝对交易的开放性和基于支付宝的网络无缝连接、共享性和不断发展,使得支付宝交易安全问题成为焦点,目前支付宝交易安全问题主要包括交易风险、伪造邮件、客户端安全威胁和网络通信等,缺乏相关的法律法规等,都会造成商业秘密的泄露,商业信息的真实性和完整性,身份证明和信息的损坏。
2.2.1. 交易风险
交易风险已成为影响正常交易的最大障碍。支付宝是通过网络进行的。没有以前的签字、盖章和纸质证明,银行业务的所有账目和记录都可以毫无痕迹地更改。监管部门认为,支付宝数据并不能准确反映真实情况,这给支付宝交易带来了潜在的安全风险。
2.2.2. 假电子邮件
虚假网站和店铺,向用户发送电子邮件,接收订单;伪造大量用户,发送电子邮件,耗尽业务资源,导致合法用户无法正常访问网源,这对服务有严格的时间要求,无法及时响应;伪造用户,发送大量电子邮件,窃取信息商品企业和用户信息。
2.2.3. 客户的安全威胁
客户端受到来自活动内容的威胁,嵌入在页面上的程序对用户是透明的,它可以做一些动作。由于活动是在客户机上运行的程序,因此可以销毁客户机。因此,活动内容给客户端带来了严重的安全威胁。
2.2.4. 网络通信安全
支付宝交易在网络通信中面临的安全问题主要体现在网络传输的可靠性上。在网络传输过程中,电子交易信息可能被非法修改、删除或重复使用,使信息失去真实性和完整性。网络传输的可靠性受到硬件设备或软件缺陷的限制,信息传输过程无法得到保证。
2.2.5. 缺乏相应的法律法规
目前,具体到网上电子商务的支付服务,法律上还是一片空白。传统的支付结算规则在网上支付业务中有一定的功能规范,但非常有限。网上支付法的设计只涉及电子签名法(解决了传统结算业务中类似签名的问题),并由人民银行颁布了《网上银行管理办法》,中国银监会发布了《电子银行业务管理办法》和人民银行电子支付指令。此外,没有其他规则。
2.2.6. 支付宝在交易过程中的安全要求
支付宝交易是基于计算机网络的上层应用系统。在虚拟交易环境下,每笔交易都通过计算机网络进行交易,而交易中的虚拟威胁导致了支付宝交易的安全需求。支付宝的交易问题可以分为两部分:一是支付宝本身依托的平台“计算机网络”的安全问题,包括计算机网络设备的安全、网络安全、数据库安全等;二是支付宝交易过程本身的安全问题。
2.3. 手机丢失和支付宝安全隐患
用户名是邮箱,绑定手机号和邮政卡(淘宝卡,又叫支付宝一卡通),密码长度18位,复杂的自办词典也很难用完。交易基本上都是通过邮政绿卡直接支付(无论支付宝有没有钱,只要钱在银行卡上,当金额低于200元时,就可以输入支付密码,这样支付宝就可以成功支付),所以支付宝账户没有余额。每笔交易结束后,虽然会关闭余额支付功能,但即使支付宝有余额,也无法在其关闭时完成支付。
如果你想用支付宝支付任何东西,你应该先开户。系统会随机向手机发送6位验证码,输入验证码即可开启。这种方式看起来很安全,但当我今天测试重置密码时,出现了一个问题。我以为在你修改密码之前应该发邮件问一下,像BBS一样多,但结果不是很乐观。打开支付宝登录页面,点击忘记密码选项,然后在账户名中填写手机号(需要打开手机号登录),然后输入验证码,点击下一步,最后有了直接通过短信获取密码的选项。
如果把手机放到别人手里,你的号码就容易知道了。但很多人用手机绑定支付宝,并开通手机号码登录功能。然后几步支付宝账户简单落地,就可以打开支付余额并用登录密码和手机轻松修改支付密码,这样支付宝的钱就会被别人拿走。可怕的是邮政绿卡可以通过支付密码和电话号码消费。当消费超过200元时,多一步只需给手机发一个验证码,同时手机在别人手里,就变得非常可怕,安全只能名存实亡。
这一切的罪魁祸首是,你可以通过手机检索密码,即使你不打开手机号码登录,一些阴险的人只知道你的支付宝ID,这应该不是很多人会保密和与交易过程将能够知道,即使猜测很简单,因为一个用户名通常使用他们的邮箱。用用户名再拿到你的手机,就可以修改你的支付宝手机登录密码、支付密码。当然,这只能是熟人作案,毕竟只有这些人才能知道你的用户名,拿到你的手机。
也有例外:世界男人的心是无法理解的,当陌生人拿到了你的手机,而手机配备了支付宝并有登陆记录,就会有安全隐患。除非你不绑定手机,但如果不绑定手机就不能使用支付宝一卡通功能。支付宝一卡通虽然方便,但也带来一些安全隐患。
为了保证支付宝的使用安全,除了花钱购买支付宝盾,似乎没有什么完美的办法。支付宝盾的一个问题是,你忘了带它的地方,你不能支付。合理的密码重置方法应与各大论坛相同,输入注册邮箱地址进行密码重置申请,系统将修改密码的链接页面发送到邮箱,除非你能获得我的邮箱账号密码,否则你不能更改我的密码。
支付宝知道这个问题可能会导致严重的安全隐患,但并没有改善,唯一的原因就是强迫用户购买支付宝盾。
2.4. 影响支付宝安全的因素
图2显示了影响支付宝安全的因素。相关分析如下:
1. 诚信影响支付宝的安全问题最为突出。
2. 对支付宝安全问题的保护作用更加突出。
随着网络交易用户对支付宝的依赖程度越来越高,保障支付宝交易安全显得尤为重要。
良好的网络环境、完善的法律保护和可靠的安全软件,是支付宝安全稳定运行的有力保障。加密对支付宝安全的影响也非常显著。
支付宝安全措施要求高,安全手段多样,防盗系统的完整性和可靠性高,这些都是保障支付宝交易正常运行的基本条件,支持支付宝的发展。
3. 支付宝安全技术策略
3.1. 网络支付安全策略
3.1.1. 防火墙技术
防火墙是近年来发展起来的最重要的安全技术,其主要功能是加强网络间的访问控制,防止外网用户通过非法手段通过外网进入内网。防火墙技术通过过滤不安全服务,大大提高了网络安全性,降低了主机的风险。
3.1.2. 加密技术
加密技术是一种主动的信息安全保护措施,其原理是利用一定的加密算法将明文转换成无意义的密文,防止非法用户理解原始数据,保证数据的机密性。基于密钥的算法通常有两种:对称密钥算法和非对称密钥算法。确保电子商务中数据的机密性、完整性、真实性和拒绝服务性。
3.1.3. 数字证书技术
数字证书技术是在网络通信中签署通信双方身份信息的一系列数据,其效果类似于现实生活中的身份证,由权威机构颁发。数字证书采用对称和非对称密码体制,建立了严格的身份认证体系,保证:信息不被他人窃取;信息在传输过程中不被篡改;发送方可以通过数字证书来确认接收方的身份;发件人无法拒绝发送邮件。
图2影响支付宝安全的因素
3.2. 手机等移动终端支付安全策略
手机支付的安全问题和威胁已经成为推动手机支付业务应用的瓶颈,阻碍了手机支付业务的发展。针对上述安全问题,提出以下对策,以降低移动支付服务的风险,减少危害和损失。
3.2.1. 移动终端安全
移动终端的不同接入方式,除了基本代码外,还将为短消息提供相应的安全手段,当不使用
剩余内容已隐藏,支付完成后下载完整资料
资料编号:[257967],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
