我国第三方支付平台的安全现状及防范方法
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2 我国第三方支付平台使用的安全技术 (1)数字证书与交易口令组合。数字证书是用户支付宝账户的
①基金项目:北京市属高等学校人才强教计划资助项目(PHR201007208)。
图1 2010年我国主要的第三方支付平台份额统计[8]
(2)手机动态口令技术。手机动态口令技术是指在用户使用支 付账户进行转账的过程中,支付平台管理中心会向用户绑定的手机 发送一个随机产生的动态密码,没有该密码则无法进行支付等涉 及资金变动的业务。当然,用户同时也要提供数字证书和交易密码。
E-business 电子商务
我国第三方支付平台的安全现状及防范方法①
北京工商大学理学院 刘咏梅
摘 要:随着电子商务在我国的发展,第三方支付平台已经成为发展形势最快、最适合我国国情的电子商务交易方式,而这其中最引人关
注的就是它的安全性问题。本文从分析我国第三方支付平台的现状入手,系统归纳了我国第三方支付平台所使用的主要安全技术和存在
手机动态口令技术
数字证书、账户名、登录密码、交易密码、 动态口令密码
支付盾技术
登录密码、账户名、交易密码、支付盾、 支付盾密码
宝令技术
登录密码、账户名、交易密码、宝令动态 密码
无 无 支付盾 宝令
第三方证书技术
和网银产品相关
和网银产品相关
3.2 诈骗盗取
骗子利用支付交易过程存在的漏洞进行诈骗的方法很多,下 面以两种最为常见的诈骗方式加以说明。
变动时使用。
黑客们所觊觎。保障第三方支付平台的安全,不仅是必要的而且是
必须的。
1 我国第三方支付平台的状况 1.1 第三方支付平台的概念
第三方支付平台是指一些和国内外各大银行签约、并具备一 定实力和信誉保障的第三方支付服务商提供的交易支持平台[4]。在 第三方支付平台交易中,买方选购商品后,使用第三方平台提供的 账户进行货款支付,由第三方通知卖家货款到达并进行发货;买方 检验物品后,就可以通知付款给卖家,第三方再将款项转至卖家账 户。本文中提到的第三方支付特指第三方网上支付。 1.2 第三方支付平台的功能
1.2.1 不涉及资金变动业务 该类业务是指包括账户查询、交易查询等在内的不涉及资金 变动的业务。相对而言,该类业务不会对账户产生资金变动影响,故 所使用的安全技术相对较为简单。 1.2.2 涉及资金变动业务 该类业务是指包括在线支付、转账汇款、充值缴费和理财等涉 及资金变动的业务。该类业务涉及到账户的资金变动,其所使用的 安全技术较为复杂,该业务所涉及的安全技术是支付安全技术的 核心技术。 1.3 第三方支付平台的发展状况[5] 2008 年以来,随着支付企业定位和运营策略的清晰,运营领 域和运营优势的明确,在我国的第三方支付行业中逐渐形成了支付 宝、财付通、快钱和上海银联电子支付等一系列稳固占据市场份额 的核心企业[6]。有关调查报告显示,2010年第2季度我国第三方支付企 业的市场份额如下:支付宝 49.61%、财付通 20.01%、汇付天下6.53%、上 海银联4.38%、快钱 4.35%和易宝支付 3.87%[7]。如图1所示。 需要说明的是,不少网民使用过两种或者两种以上的支付工 具,在统计过程中是重复计算的。
3.2.1 即时到账诈骗 当买家在网上购买商品时,有些不良卖家会诱导买家通过支 付宝即时到账交易先打款。骗子常用的伎俩是通过“先付款价格优 惠大,并且能快速发货”的广告诱骗买家先打款,买家付款后卖家 就消失,并未发货。 3.2.2 放长线诈骗 这种方法是“即时到账诈骗方法”的升级版,骗子采用的方式 同样是先诱使买家进行即时到账交易,但是卖家在前几次并不会 欺骗买家,一样会将货物发送到买家手里。几次成功交易后,一旦买 家完全失去了戒心,卖家就会进行大金额的诈骗。
以获得大量的商品信息,不受时间和空间的限制。当前,我国的网上 行支付转账,必须安装数字证书,该数字证书安装过程需要短信认
第三方支付平台以支付宝为主要代表,并且逐渐成为了我国第三方 证。交易口令则是用户为支付账户设定的密码,在支付等涉及资金
支付的主流平台[2]。2010年,我国第三方支付市场份额突破一万亿 元[3]。由于第三方支付与用户账户中的资金直接关联,因此也最为
(1)数字证书与交易口令技术存在的漏洞。这种安全措施非常 容易被盗取,不法分子只要获得了用户的账户密码和数字证书即 可。黑客盗取用户账户信息和密码并不难,只是数字证书在其他计 算机中安装需要动态短信密码验证。
盗取方式一:使用户感染综合性木马,综合性木马具有屏幕查
112 2012年6月 www.chinabt.net
的安全威胁,最后对电子商务终端用户提出了一些保护支付账户安全的具体方法。
关键词:第三方支付平台 安全现状 防范策略
中图分类号:F590
文献标识码:A
文章编号:1005-5800(2012)06(b)-112-02
随着社会主义市场经济的快速发展和网络技术的不断进步, “身份证”,由权威公正的第三方机构CA中心签发,每个支付账户 网购成为了一种时尚的购物方式[1]。对于消费者来说,通过网络可 的数字证书都是唯一的、不可伪造的。如果用户在一台计算机中进
(3)支付盾技术。支付盾类似于网银所提供的U盾,是一种以物 理介质存在的数字证书,因此也被称为“硬证书”。使用支付盾进行 支付时,需要将U盾插入在计算机中,并且要输入支付盾密码和交 易密码。
(4)宝令技术。宝令类似于BP机,也是一种独立的物理介质,每 隔1分钟就会随机显示1个密码。使用宝令进行支付操作时,用户只 要将当前宝令屏幕上显示的密码输入即可。
电子商务 E-business
看、远程控制、键盘记录等功能。黑客利用键盘记录功能记录账号、 密码、交易密码,再利用远程控制功能操纵用户计算机进行转账。
表1 我国第三方支付平台使用安全技术验证要件
支付平台安全技术
资金变动安全验证要件
物理介质
Байду номын сангаас
数字证书与交易口 令组合
数字证书、账户名、登录密码、交易密码
(5)第三方证书技术。第三方证书技术是指支付平台可以将其 他网银技术“借用”过来,以网银的安全技术来保障支付平台账户 的安全。常见的网银产品大致有动态口令卡、动态口令牌(类似宝 令)、U盾三种类型。
(6)小结。我国第三方支付平台使用的安全技术小结如表1 所示。
3 我国第三方支付平台存在的安全威胁 3.1 安全技术存在的漏洞
①基金项目:北京市属高等学校人才强教计划资助项目(PHR201007208)。
图1 2010年我国主要的第三方支付平台份额统计[8]
(2)手机动态口令技术。手机动态口令技术是指在用户使用支 付账户进行转账的过程中,支付平台管理中心会向用户绑定的手机 发送一个随机产生的动态密码,没有该密码则无法进行支付等涉 及资金变动的业务。当然,用户同时也要提供数字证书和交易密码。
E-business 电子商务
我国第三方支付平台的安全现状及防范方法①
北京工商大学理学院 刘咏梅
摘 要:随着电子商务在我国的发展,第三方支付平台已经成为发展形势最快、最适合我国国情的电子商务交易方式,而这其中最引人关
注的就是它的安全性问题。本文从分析我国第三方支付平台的现状入手,系统归纳了我国第三方支付平台所使用的主要安全技术和存在
手机动态口令技术
数字证书、账户名、登录密码、交易密码、 动态口令密码
支付盾技术
登录密码、账户名、交易密码、支付盾、 支付盾密码
宝令技术
登录密码、账户名、交易密码、宝令动态 密码
无 无 支付盾 宝令
第三方证书技术
和网银产品相关
和网银产品相关
3.2 诈骗盗取
骗子利用支付交易过程存在的漏洞进行诈骗的方法很多,下 面以两种最为常见的诈骗方式加以说明。
变动时使用。
黑客们所觊觎。保障第三方支付平台的安全,不仅是必要的而且是
必须的。
1 我国第三方支付平台的状况 1.1 第三方支付平台的概念
第三方支付平台是指一些和国内外各大银行签约、并具备一 定实力和信誉保障的第三方支付服务商提供的交易支持平台[4]。在 第三方支付平台交易中,买方选购商品后,使用第三方平台提供的 账户进行货款支付,由第三方通知卖家货款到达并进行发货;买方 检验物品后,就可以通知付款给卖家,第三方再将款项转至卖家账 户。本文中提到的第三方支付特指第三方网上支付。 1.2 第三方支付平台的功能
1.2.1 不涉及资金变动业务 该类业务是指包括账户查询、交易查询等在内的不涉及资金 变动的业务。相对而言,该类业务不会对账户产生资金变动影响,故 所使用的安全技术相对较为简单。 1.2.2 涉及资金变动业务 该类业务是指包括在线支付、转账汇款、充值缴费和理财等涉 及资金变动的业务。该类业务涉及到账户的资金变动,其所使用的 安全技术较为复杂,该业务所涉及的安全技术是支付安全技术的 核心技术。 1.3 第三方支付平台的发展状况[5] 2008 年以来,随着支付企业定位和运营策略的清晰,运营领 域和运营优势的明确,在我国的第三方支付行业中逐渐形成了支付 宝、财付通、快钱和上海银联电子支付等一系列稳固占据市场份额 的核心企业[6]。有关调查报告显示,2010年第2季度我国第三方支付企 业的市场份额如下:支付宝 49.61%、财付通 20.01%、汇付天下6.53%、上 海银联4.38%、快钱 4.35%和易宝支付 3.87%[7]。如图1所示。 需要说明的是,不少网民使用过两种或者两种以上的支付工 具,在统计过程中是重复计算的。
3.2.1 即时到账诈骗 当买家在网上购买商品时,有些不良卖家会诱导买家通过支 付宝即时到账交易先打款。骗子常用的伎俩是通过“先付款价格优 惠大,并且能快速发货”的广告诱骗买家先打款,买家付款后卖家 就消失,并未发货。 3.2.2 放长线诈骗 这种方法是“即时到账诈骗方法”的升级版,骗子采用的方式 同样是先诱使买家进行即时到账交易,但是卖家在前几次并不会 欺骗买家,一样会将货物发送到买家手里。几次成功交易后,一旦买 家完全失去了戒心,卖家就会进行大金额的诈骗。
以获得大量的商品信息,不受时间和空间的限制。当前,我国的网上 行支付转账,必须安装数字证书,该数字证书安装过程需要短信认
第三方支付平台以支付宝为主要代表,并且逐渐成为了我国第三方 证。交易口令则是用户为支付账户设定的密码,在支付等涉及资金
支付的主流平台[2]。2010年,我国第三方支付市场份额突破一万亿 元[3]。由于第三方支付与用户账户中的资金直接关联,因此也最为
(1)数字证书与交易口令技术存在的漏洞。这种安全措施非常 容易被盗取,不法分子只要获得了用户的账户密码和数字证书即 可。黑客盗取用户账户信息和密码并不难,只是数字证书在其他计 算机中安装需要动态短信密码验证。
盗取方式一:使用户感染综合性木马,综合性木马具有屏幕查
112 2012年6月 www.chinabt.net
的安全威胁,最后对电子商务终端用户提出了一些保护支付账户安全的具体方法。
关键词:第三方支付平台 安全现状 防范策略
中图分类号:F590
文献标识码:A
文章编号:1005-5800(2012)06(b)-112-02
随着社会主义市场经济的快速发展和网络技术的不断进步, “身份证”,由权威公正的第三方机构CA中心签发,每个支付账户 网购成为了一种时尚的购物方式[1]。对于消费者来说,通过网络可 的数字证书都是唯一的、不可伪造的。如果用户在一台计算机中进
(3)支付盾技术。支付盾类似于网银所提供的U盾,是一种以物 理介质存在的数字证书,因此也被称为“硬证书”。使用支付盾进行 支付时,需要将U盾插入在计算机中,并且要输入支付盾密码和交 易密码。
(4)宝令技术。宝令类似于BP机,也是一种独立的物理介质,每 隔1分钟就会随机显示1个密码。使用宝令进行支付操作时,用户只 要将当前宝令屏幕上显示的密码输入即可。
电子商务 E-business
看、远程控制、键盘记录等功能。黑客利用键盘记录功能记录账号、 密码、交易密码,再利用远程控制功能操纵用户计算机进行转账。
表1 我国第三方支付平台使用安全技术验证要件
支付平台安全技术
资金变动安全验证要件
物理介质
Байду номын сангаас
数字证书与交易口 令组合
数字证书、账户名、登录密码、交易密码
(5)第三方证书技术。第三方证书技术是指支付平台可以将其 他网银技术“借用”过来,以网银的安全技术来保障支付平台账户 的安全。常见的网银产品大致有动态口令卡、动态口令牌(类似宝 令)、U盾三种类型。
(6)小结。我国第三方支付平台使用的安全技术小结如表1 所示。
3 我国第三方支付平台存在的安全威胁 3.1 安全技术存在的漏洞