论文部分内容阅读
摘 要:随着智能终端的不断普及和网上银行业务的快速发展,支付形式也在不断变化,智能终端电子支付活动的安全问题也随之出现,终端的硬件和软件威胁、无线网络和智能终端支付处理平台的安全性也成了用户关注的问题。本文以提高和改善移动支付系统安全性作为主要研究方向,对智能终端电子支付体系的安全风险进行分析和研究,论文将相关背景与技术知识相结合,在智能终端电子支付安全技术中利用到了数据加密技术、数字签名技术等关键的安全技术;接着从无线网络、智能终端等方面来分析智能电子支付体系的安全。
关键词:智能终端;电子商务;电子支付;安全策略
一、智能终端电子支付系统的现状
(一)智能终端电子支付的发展现状
智能终端电子支付的出现包括两个技术原因:首先,在现有的技术(如WLAN,BIuetooth等)能为智能终端电子支付提供有利的无线支付网络环境;其次,有了手机,PAD这样的智能设备也就有了可以作为智能终端电子支付行为的交易活动的物理介质,从发展历程来说,智能终端电子支付从传统支付经过电子商务过渡而来,传统支付与普通的电子支付和智能终端电子支付都是由于支付介质的不同,就传统支付而言,人们是使用现金支付的而普通的电子支付是通过PC机上的网上银行等手段进行虚拟的货币交易这样就省去了传统交易中携带现金的不便,保证了随时随地的交易活动。
(二)智能终端电子支付现阶段的优势
我们都知道,智能终端的电子支付其实是智能移动设备主要是智能手机、手机支付宝、网上银行等多种电子支付一种融合发展后的集成支付方式,研究发现相对于传统支付,智能终端电子支付的优势主要有:
1.便利性
随着科技的进步,智能设备越来越受到人们的青睐,智能终端设备既能上网又能满足用户对于商家和各个支付相关行业产品进行随时随地便利的支付交易活动,同时又能保证距离支付和远程支付的统一;
2.易用性
智能终端作为支付设备时,可以与用户的手机号码联系起来,在支付的交易过程中可以利用手机號码来验证和其他的安全性认证操作,从而达到保护用户资金安全。
二、智能终端电子支付体系架构及安全研究
(一)电子支付体系架构
移动电子支付系统架构图,分为三个层次:应用层,交易层和支付处理层。移动支付的架构要保证能支持移动交易,所以需要满足一些独特的需求,如:性能、安全、移动网络的相对稳定性。随着新的移动支付技术和移动终端应用技术不断发展,移动支付对解决一些非功能性的需求也越来越高,如:可扩展性、可用性,是否符合支付卡行业数据安全标准和政策规定以及一些其他规定。
(二)电子支付的安全需求
首先,用户在支付或者转账的时候要保证应用程序和数据库中数据的安全性;其次,交易和支付过程中的安全性;还有互联网和各个系统的安全性(包括支付平台系统、用户终端系统和网上银行处理后台系统),以及它们的安全维护和管理。其中,交易和支付的安全性必然是我们最为关注的。下面说说交易和支付的安全性需要满足的一些要求:
1.认证性:也称为有效性,信息系统的安全性都以这个为基础。当然这也是支付过程中重要的一步,其目的是为了验证参与各方的身份,以防止外来攻击者破坏重要的信息数据或对信息数据进行未经授权的转移。多数情况下各个交易方不能进行面对面的身份认证,那么就需要我们的支付体系中各方遵从提前约定好的某种认证方式,再有自己特有的身份认证体系来确认各方身份的真实性。
2.隐私性:也称为机密性。其目的是保护通过互联网发送的信息不能被外来攻击者访问。最重要的一点是这个隐私性要求即使是有攻击者获取了消息但是也不能够读取正确的消息或者其他有用的内容。由于在移动支付中,涉及的用户信息以及银行账户等敏感信息,要求支付系统就必须保证这些敏感数据在通信流通中的隐私性,支付过程中的机密性主要依靠数据加密技术来实现,可以保证传输的信息即使被攻击者窃取也不能解读出数据信息的真实内容。
3.不可抵赖性:移动支付系统的设计必须满足消费者和商家在参与支付的过程中无法否认他们的消息。通过电子签名的方法可以很好的满足这一要求。网上银行系统中的不可抵赖性服务一般也是通过字证书来完成。
(三)智能终端的安全分析
移动支付依赖的主要工具是移动终端设备,所以说终端安全是移动支付安全的一个重点。终端层的安全主要包括移动终端硬件安全、系统安全和移动终端应用安全。
首先移动终端设备由于自身物理条件的限制,比如计算能力、内存和外围设备这些都是有限的,通过一些开放的方式访问网络和与其他设备交换数据时,无论从数据存储的稳定性,还是信息的加密能力,还是信息传输过程的可靠性,都存在一定的安全风险。
其次是移动终端上的应用程序安全,这些移动应用程序是用户进行信息传递和交易的媒介,要是这个过程中因为手机受到软件病毒的威胁而导致交易的失败或者交易信息的泄露,可能会发生很多意外的金融事故。例如病毒软件栏截用户的登录信息、窃取用户的银行账户、支付宝信息,然后自动发送恶意短信定制扣费业务等等,这些都是通过恶意手段利用用户终端来进行支付活动或者破坏支付活动的行为,因此需要我们的重视。最后是终端系统安全,包括操作系统本身的安全,运行在操作系统之上的各种中间件的安全。
三、电子支付系统的安全风险
(一)智能移动终端自身的物理环境威胁
智能移动终端设备开始时只具备简单的电话短信功能,到现在直接可以利用互联网为媒介的平板电脑与智能手机,这些新近的技术在为我们带来多变的智能支付方式时也为我们招来了新的安全风险.这些设备开始拥有了自己的IP地址,设备自身开始成为攻击的目标,而这些设备的功能也与台式电脑和笔记本电脑有不同安全性差异,影响设备的安全性可以归为一下几点:
1.体积不大、成本低,智能移动终端设备不断的流失性使得他们更有可能被丢失和盗取。
2.同步软件可以在电脑上同时备份和存储移动手持设备上文件和应用软件,而PC设备和移动设备终端面临着不同的安全威胁,由于需要不同的安全机制以来减低风险,但是两者都必须提供相同的安全级别来保护敏感信息,所以移动终端设备的安全性必须具备特殊的要求。
3.一个用户可以购买多个移动终端设备而通常不需要提供过多的个人信息,这些设备常常用于个人与商业数据而往往用户不会去考虑他们的工作环境中使用的安全隐患。
(二)智能移动终端设备的应用软件威胁
用户在移动终端进行信息传递与交易的过程时,手机容易受到软件病毒威胁从而导致交易失败或者交易信息泄露,这种安全威胁伴随着移动支付的普及已经智能终端应用软件的多样性变得愈加严重,因此智能终端作为移动应用在支付体系中更加要注意增强它的安全性,以下是几种常见的应用软件威胁:
1.终端性能破坏类
这种软件会占用系统内存从而导致资源受限,比如我们在运用支付宝时功能会受到限制不能顺利的进行交易,虽然说这类软件不一定影响安全但是会影响到用户终端的性能与正常程序的运行。
2.恶意盗取用户信息
在智能终端进行支付过程时用户需要进入互联网,这就会导致恶意软件可能伺机盗用户支付宝账号密码信息和银行卡信息等涉及到网络安全。
总结
本文主要从多个角度对智能终端支付体系的安全风险进行分析和研究,并且提出一系列的安全性策略。对于这些存在的安全威胁提出针对性的安全策略,提供智能终端设备支付活动时的安全保障。
参考文献:
[1]帅青红.电子支付与安全.西南财经大学出版社,2014,(8):8-11.
[2]左沈怡.移动支付的未来.上海国资,2015,(11):11-16.
作者简介:
张智(1983—),女,壮族,广西柳州市人,柳州铁道职业技术学院,成人教育学院,研究方向:经济学。
关键词:智能终端;电子商务;电子支付;安全策略
一、智能终端电子支付系统的现状
(一)智能终端电子支付的发展现状
智能终端电子支付的出现包括两个技术原因:首先,在现有的技术(如WLAN,BIuetooth等)能为智能终端电子支付提供有利的无线支付网络环境;其次,有了手机,PAD这样的智能设备也就有了可以作为智能终端电子支付行为的交易活动的物理介质,从发展历程来说,智能终端电子支付从传统支付经过电子商务过渡而来,传统支付与普通的电子支付和智能终端电子支付都是由于支付介质的不同,就传统支付而言,人们是使用现金支付的而普通的电子支付是通过PC机上的网上银行等手段进行虚拟的货币交易这样就省去了传统交易中携带现金的不便,保证了随时随地的交易活动。
(二)智能终端电子支付现阶段的优势
我们都知道,智能终端的电子支付其实是智能移动设备主要是智能手机、手机支付宝、网上银行等多种电子支付一种融合发展后的集成支付方式,研究发现相对于传统支付,智能终端电子支付的优势主要有:
1.便利性
随着科技的进步,智能设备越来越受到人们的青睐,智能终端设备既能上网又能满足用户对于商家和各个支付相关行业产品进行随时随地便利的支付交易活动,同时又能保证距离支付和远程支付的统一;
2.易用性
智能终端作为支付设备时,可以与用户的手机号码联系起来,在支付的交易过程中可以利用手机號码来验证和其他的安全性认证操作,从而达到保护用户资金安全。
二、智能终端电子支付体系架构及安全研究
(一)电子支付体系架构
移动电子支付系统架构图,分为三个层次:应用层,交易层和支付处理层。移动支付的架构要保证能支持移动交易,所以需要满足一些独特的需求,如:性能、安全、移动网络的相对稳定性。随着新的移动支付技术和移动终端应用技术不断发展,移动支付对解决一些非功能性的需求也越来越高,如:可扩展性、可用性,是否符合支付卡行业数据安全标准和政策规定以及一些其他规定。
(二)电子支付的安全需求
首先,用户在支付或者转账的时候要保证应用程序和数据库中数据的安全性;其次,交易和支付过程中的安全性;还有互联网和各个系统的安全性(包括支付平台系统、用户终端系统和网上银行处理后台系统),以及它们的安全维护和管理。其中,交易和支付的安全性必然是我们最为关注的。下面说说交易和支付的安全性需要满足的一些要求:
1.认证性:也称为有效性,信息系统的安全性都以这个为基础。当然这也是支付过程中重要的一步,其目的是为了验证参与各方的身份,以防止外来攻击者破坏重要的信息数据或对信息数据进行未经授权的转移。多数情况下各个交易方不能进行面对面的身份认证,那么就需要我们的支付体系中各方遵从提前约定好的某种认证方式,再有自己特有的身份认证体系来确认各方身份的真实性。
2.隐私性:也称为机密性。其目的是保护通过互联网发送的信息不能被外来攻击者访问。最重要的一点是这个隐私性要求即使是有攻击者获取了消息但是也不能够读取正确的消息或者其他有用的内容。由于在移动支付中,涉及的用户信息以及银行账户等敏感信息,要求支付系统就必须保证这些敏感数据在通信流通中的隐私性,支付过程中的机密性主要依靠数据加密技术来实现,可以保证传输的信息即使被攻击者窃取也不能解读出数据信息的真实内容。
3.不可抵赖性:移动支付系统的设计必须满足消费者和商家在参与支付的过程中无法否认他们的消息。通过电子签名的方法可以很好的满足这一要求。网上银行系统中的不可抵赖性服务一般也是通过字证书来完成。
(三)智能终端的安全分析
移动支付依赖的主要工具是移动终端设备,所以说终端安全是移动支付安全的一个重点。终端层的安全主要包括移动终端硬件安全、系统安全和移动终端应用安全。
首先移动终端设备由于自身物理条件的限制,比如计算能力、内存和外围设备这些都是有限的,通过一些开放的方式访问网络和与其他设备交换数据时,无论从数据存储的稳定性,还是信息的加密能力,还是信息传输过程的可靠性,都存在一定的安全风险。
其次是移动终端上的应用程序安全,这些移动应用程序是用户进行信息传递和交易的媒介,要是这个过程中因为手机受到软件病毒的威胁而导致交易的失败或者交易信息的泄露,可能会发生很多意外的金融事故。例如病毒软件栏截用户的登录信息、窃取用户的银行账户、支付宝信息,然后自动发送恶意短信定制扣费业务等等,这些都是通过恶意手段利用用户终端来进行支付活动或者破坏支付活动的行为,因此需要我们的重视。最后是终端系统安全,包括操作系统本身的安全,运行在操作系统之上的各种中间件的安全。
三、电子支付系统的安全风险
(一)智能移动终端自身的物理环境威胁
智能移动终端设备开始时只具备简单的电话短信功能,到现在直接可以利用互联网为媒介的平板电脑与智能手机,这些新近的技术在为我们带来多变的智能支付方式时也为我们招来了新的安全风险.这些设备开始拥有了自己的IP地址,设备自身开始成为攻击的目标,而这些设备的功能也与台式电脑和笔记本电脑有不同安全性差异,影响设备的安全性可以归为一下几点:
1.体积不大、成本低,智能移动终端设备不断的流失性使得他们更有可能被丢失和盗取。
2.同步软件可以在电脑上同时备份和存储移动手持设备上文件和应用软件,而PC设备和移动设备终端面临着不同的安全威胁,由于需要不同的安全机制以来减低风险,但是两者都必须提供相同的安全级别来保护敏感信息,所以移动终端设备的安全性必须具备特殊的要求。
3.一个用户可以购买多个移动终端设备而通常不需要提供过多的个人信息,这些设备常常用于个人与商业数据而往往用户不会去考虑他们的工作环境中使用的安全隐患。
(二)智能移动终端设备的应用软件威胁
用户在移动终端进行信息传递与交易的过程时,手机容易受到软件病毒威胁从而导致交易失败或者交易信息泄露,这种安全威胁伴随着移动支付的普及已经智能终端应用软件的多样性变得愈加严重,因此智能终端作为移动应用在支付体系中更加要注意增强它的安全性,以下是几种常见的应用软件威胁:
1.终端性能破坏类
这种软件会占用系统内存从而导致资源受限,比如我们在运用支付宝时功能会受到限制不能顺利的进行交易,虽然说这类软件不一定影响安全但是会影响到用户终端的性能与正常程序的运行。
2.恶意盗取用户信息
在智能终端进行支付过程时用户需要进入互联网,这就会导致恶意软件可能伺机盗用户支付宝账号密码信息和银行卡信息等涉及到网络安全。
总结
本文主要从多个角度对智能终端支付体系的安全风险进行分析和研究,并且提出一系列的安全性策略。对于这些存在的安全威胁提出针对性的安全策略,提供智能终端设备支付活动时的安全保障。
参考文献:
[1]帅青红.电子支付与安全.西南财经大学出版社,2014,(8):8-11.
[2]左沈怡.移动支付的未来.上海国资,2015,(11):11-16.
作者简介:
张智(1983—),女,壮族,广西柳州市人,柳州铁道职业技术学院,成人教育学院,研究方向:经济学。