電子支付安全分析及探究

高 瑛，張富春

（延安大學物電學院，陜西延安，716000）

0 引言

電子支付，是指從事電子商務交易的當事人，包括消費者、廠商和金融機構，通過信息網絡，使用安全的信息傳輸手段，采用數字化方式進行的貨幣支付或資金流轉。電子支付相比較傳統支付，操作方便、速度快、效率高、費用低廉，用戶只要擁有一臺連接Internet的計算機，便可在電腦旁分秒間完成整個支付過程，可謂省時又省力。加之當下，網絡購物的風靡和快遞行業的提速，電子支付應用更加廣泛和普及,如表1。但是，伴隨著電子支付應用的火爆，電子支付的安全風險也越來越受人們的關注。本文分析電子支付的安全風險及應對策略，提出了新的安全應對措施，對提高電子支付安全性具有非常重要的理論與現實意義。

表1

1 電子支付的風險及防范措施

電子支付給用戶帶來了方便，給支付機構帶來了新的機會，但同時也對相關主體提出了更高的要求。

1.1 電子支付面臨著多種風險，基本的經濟波動風險、操作風險和法律風險，電子支付本身的技術風險、交易風險、信用風險，以及市場風險、信用風險、流動性風險、聲譽風險和結算風險等等。

1.2 防范電子支付風險的措施

（1）建立網絡安全防護體系；（2）建立大型電子支付數據倉庫或決策支持系統；（3）加速金融工程學科的研究、開發和利用；（4）通過管理、培訓手段來防止金融風險的發生。

電子支付的風險防范措施不單是技術層面的安全措施，而是一系列風險防范措施的總和。目前應用最多的風險防范措施有:防火墻技術、加密技術、數字簽名技術、安全認證技術和虛擬專用網V PN。其實無外乎三種防護手段，一是瀏覽器加密技術，在使用者上網用的瀏覽器上進行加密處理，保證資料傳輸時的保密性，保護使用者鍵入密碼、賬號和支付信息后不會被人盜取及濫用；二是“防火墻”技術，“防火墻”即安全過濾路由器可以防止外來者的不安全進入；三是“可信賴作業系統”，它能夠保護電子支付時的交易中樞服務器不被“黑客”攻擊破壞。

2 電子支付安全保障的核心

電子支付業務安全保障的核心是安全認證，而身份認證無疑是安全認證技術中的重中之重。下面介紹幾種身份認證的機制。

1）口令加ID，這種身份認證機制是使用最簡單、最方便同時也是保密度最低，最容易被破解的。口令加 I D 的身份認證是靜態的，口令太短，黑客只需用簡單的窮舉法便可馬上破譯密碼。而較長的口令既不便于記憶又增加了密碼輸入的繁瑣性，所以不實用。因其種種原因，這種身份認證法正在被逐漸淘汰。

2）動態一次性口令，分為“刮刮卡”口令和OTP 動態令牌口令兩種。“刮刮卡”口令是一次一密的身份驗證法，是利用在二維坐標的交叉點處產生一個三位隨機數，電子支付時，將隨機數鍵入計算機即可。因為“刮刮卡”口令只有 40 個隨機密碼，并且交易額有限制，對使用人來說極其不方便。OTP 動態令牌（Token）卡原理有兩種 ：一是基于時間的 ；二是基于事件的。每次使用人使用 OTP 登錄系統，口令不是靜態的，是變化的隨機數，它來源于產生密碼的運算因子。這種口令一般是6位數字，密碼算法掌握在商家手中，存在潛在的風險。

3）數字證書，也被稱作公鑰的載體，它和私鑰一一對應。通信時用公鑰加密，用私鑰解密；簽名時用私鑰加密，用公鑰解密。在公開密鑰密碼體制中，常用的一種是RSA體制。其數學原理是將一個大數分解成兩個質數的乘積，加密和解密用的是兩個不同的密鑰。就算已經知道明文、密文和加密密鑰（公開密鑰），想要得出解密密鑰（私密密鑰），在計算上也是不可能的。因為，就現在的計算機技術水平，要破解目前采用的1024位RSA密鑰，也要上千年的時間來計算。看起來似乎安全性已經很高，其實并不是無懈可擊。當黑客攻擊使用人的瀏覽器程序時，仍然有安全隱患。

4)電子支付中有兩個重要的協議：SSL協議與SET協議。

（1） SSL（Secure Sockets Layer，安全套接層協議）。SSL協議層包括兩個協議子層，SSL記錄協議與SSL握手協議。SSL協議的數據流程圖如圖1所示。

（2） SET（Secure Electronic Transaction，安全電子交易協議）。SET協議運行的目標包括保證信息在互聯網上安全傳輸、保證電子商務參與者信息的相互隔離、解決網上認證問題、保證網上交易的實時性、規范協議和消息格式。SET協議的數據流程圖如圖2所示。

圖1

圖2

3 電子支付的新安全措施

目前電子支付時所用的身份認證技術都主要集中為以上幾種，這幾種身份認證技術或早已被淘汰，或有自己的致命弱點而容易被黑客攻擊，存在安全隱患。因此，我們可以得知，基于互聯網的身份認證技術容易被黑客攻擊，而基于硬件的身份認證技術又因其制造手段必有漏洞可循，也極易被黑客破解。那么，世界上什么才是每個人獨一無二，無法復制與盜取的呢？

世界上沒有相同的兩片葉子，更沒有完全相同的人，就連同卵雙胞胎也具有細微的人體特征差別。所以，我們提出，將人類獨一無二的指紋、聲音、面部特征和眼部特征等生物特征用作電子支付識別用戶安全身份的手段，也就是電子支付采用生物技術措施來進行用戶的身份安全認證，提高電子支付的安全性。

每個人的眼球網膜結構還有指紋都是獨一無二的，因此我們的電子支付身份認證基于眼球網膜結構和指紋來研究。

首先將人的眼球網膜和指紋進行紅外線采樣、算法壓縮后存儲。當需要電子支付時，使用人將眼球對準電腦上的掃描光線進行采樣，分析、比對后加以識別，進行第一步安全身份核對，確認使用人的安全身份。通過驗證后，第二步在外接的帶有液晶顯示屏的指紋識別器上，會顯示使用人電子支付的信息，使用人核對自己的電子支付信息是否屬實，若屬實，按指紋確認電子支付的信息，交易完成。若不屬實。使用人不按指紋，交易失敗，如圖1所示。采用眼球網膜結構和指紋的雙重身份識別法可以大幅提高電子支付的安全性，就算黑客破解互聯網身份認證，把使用人的電腦變成“肉雞”，他也沒有使用人的指紋算法，沒法識別使用人的真實身份，故無法完成交易。

圖3

4 總結

本文通過分析電子支付時存在的風險及目前風險防范措施存在的安全隱患，提出了基于生物特征的身份安全認證技術，對提高電子支付的安全性有很大的現實和理論意義。電子支付中的身份認證是整個支付過程最為核心的問題。只有嚴把這道安全關，輔助以獨一無二的生物特征身份認證，電子支付才能更安全。

[1]蔡東.電子支付業務現狀及發展趨勢探析[J].中國金融電腦,2012,15-18

[2]楊忠.電子商務中網銀賬戶的安全性分析[J].信息網絡安全，2010，（08）：47-49.

[3]陳克非.電子支付的現狀及發展[J].計算機工程,1997,32:183-186

[4]李源彬,穆炯,楊洋等.電子商務概論(第二版)[M].人民郵電出版社.2007.

[5]李燕,吳敏潔,劉劍峰等.關于電子支付問題的思考[J].電腦知識與技術,2005(29):56-59.

[6]姜華,楊靜.電子商務的網上支付與安全[J].中國管理信息化,2006(4).

[7]劉喜敏.電子支付的安全問題與對策分析[J].華南金融電腦，2008，(4).

[8]唐禮勇，陳鐘.電子商務技術及其安全問題[J].計算機工程與應用，2009，(7).

[9]彭晶.電子支付安全問題的解決策略[J].科海故事博覽·科教創新，2010，(30).

[10]電子支付的風險及防范[C].中國社會科學院金融研究所課題組會議論文2006中國電子支付高層論壇,2006.