您好,歡迎來到安徽省安全技術(shù)防范行業(yè)協(xié)會(huì)!
0551- 62818875 64280445
行業(yè)動(dòng)態(tài)隨著網(wǎng)上虛擬社區(qū)、網(wǎng)上店鋪的出現(xiàn),也引發(fā)了網(wǎng)上購物的熱潮,繼而也使得網(wǎng)上支付日益興盛起來。但隨之而來的網(wǎng)絡(luò)支付安全問題也越來越突出,本文就結(jié)合指紋識(shí)別技術(shù)在網(wǎng)絡(luò)支付中的應(yīng)用,與您進(jìn)行分析。
隨著經(jīng)濟(jì)的發(fā)展以及網(wǎng)絡(luò)技術(shù)的進(jìn)步,網(wǎng)絡(luò)已越來越多地滲入到人們的生活中。網(wǎng)上虛擬社區(qū)、網(wǎng)上店鋪的出現(xiàn)引發(fā)了網(wǎng)上購物的熱潮,繼而也使得網(wǎng)上支付日益興盛起來。
來自中國互聯(lián)網(wǎng)網(wǎng)絡(luò)信息中心(CNNIC)第15次互聯(lián)網(wǎng)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告的數(shù)據(jù)顯示:41.5%的網(wǎng)絡(luò)購物者使用信用卡或儲(chǔ)蓄卡通過網(wǎng)絡(luò)進(jìn)行支付,顯現(xiàn)出網(wǎng)上支付正在逐漸替代原來處于第一位的現(xiàn)金交易。
但是,在享受便利的同時(shí),網(wǎng)絡(luò)支付的安全問題也越來越突出,盜用、失號(hào)等事件頻出。據(jù)來自艾瑞的調(diào)查顯示:受到層出不窮的“網(wǎng)銀被盜”案等影響,68.1%的網(wǎng)民對(duì)使用網(wǎng)上銀行的安全性存在擔(dān)憂,這嚴(yán)重地影響了電子支付行業(yè)的發(fā)展,也成為網(wǎng)上支付所面臨的主要技術(shù)難題。
網(wǎng)上支付概述
網(wǎng)上支付是指以計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng),特別是互聯(lián)網(wǎng)系統(tǒng)為平臺(tái),以電子信息傳遞的形式來實(shí)現(xiàn)資金的流通和支付的方式的總和。
目前,國際上通行的網(wǎng)上支付工具主要有電子信用卡、電子借記卡、電子支票和電子現(xiàn)金等。有了這些常用的支付工具,人們就可以通過互聯(lián)網(wǎng),例如登錄網(wǎng)上銀行,以及第三方支付平臺(tái)如PayPal和支付寶等,來實(shí)現(xiàn)網(wǎng)絡(luò)支付。
信用卡支付是電子支付中最常用的工具,信用卡在歐美發(fā)達(dá)國家和地區(qū)已經(jīng)成為最普通的支付方式,可以在許多公共場合使用,可以用來刷卡、POS結(jié)帳以及在自動(dòng)取款機(jī)上提取現(xiàn)金等。廣義的信用卡是指能夠?yàn)槌挚ㄈ颂峁┬庞米C明,持卡人可以據(jù)此進(jìn)行消費(fèi)和享受服務(wù)的卡片,包括銀行貸記卡、借記卡、儲(chǔ)蓄卡和支票卡。
信用卡比較適用于計(jì)算機(jī)網(wǎng)絡(luò)空間的操作。在電子商務(wù)中最簡單的形式是讓用戶提前在某一公司登記一個(gè)信用卡號(hào)碼和口令,當(dāng)用戶通過網(wǎng)絡(luò)在該公司購物時(shí),用戶只需將口令傳送到該公司,購物完成后,用戶會(huì)收到一個(gè)確認(rèn)的電子郵件,詢問購買是否有效。若用戶對(duì)電子郵件回答有效時(shí),公司就會(huì)從用戶的信用卡帳戶上減去這筆交易的費(fèi)用。此種方式的缺點(diǎn)在于安全措施差,持卡人主要是依靠商家的誠信來保護(hù)自己的信用卡隱私信息,但是一旦信息出現(xiàn)紕漏,則難免會(huì)出現(xiàn)安全問題和網(wǎng)絡(luò)支付糾紛。
目前常用的一種方法是在互聯(lián)網(wǎng)的環(huán)境下通過SET或者SSL協(xié)議的支付網(wǎng)關(guān)平臺(tái)直接與銀行進(jìn)行相關(guān)支付信息的安全交互,進(jìn)行網(wǎng)絡(luò)支付。其突出的特點(diǎn)是用戶在網(wǎng)上發(fā)送信用卡號(hào)和密碼,加密后發(fā)送到銀行進(jìn)行支付。這樣一來就降低了用戶的信用卡號(hào)和密碼泄露的風(fēng)險(xiǎn),相對(duì)地提高了安全性。
還有一種方式也可以相對(duì)降低網(wǎng)絡(luò)支付的風(fēng)險(xiǎn),那就是正在迅猛發(fā)展起來的利用第三方機(jī)構(gòu)的支付模式及其支付流程,而這個(gè)第三方機(jī)構(gòu)必須具有一定的誠信度。在實(shí)際的操作過程中這個(gè)第三方機(jī)構(gòu)可以是發(fā)行信用卡的銀行本身。在進(jìn)行網(wǎng)絡(luò)支付時(shí),信用卡號(hào)以及密碼的披露只在持卡人和銀行之間轉(zhuǎn)移,降低了應(yīng)通過商家轉(zhuǎn)移而導(dǎo)致的風(fēng)險(xiǎn)。
同樣當(dāng)?shù)谌绞浅算y行以外的具有良好信譽(yù)和技術(shù)支持能力的某個(gè)機(jī)構(gòu)時(shí),支付也通過第三方在持卡人或者客戶和銀行之間進(jìn)行。持卡人首先和第三方以替代銀行帳號(hào)的某種電子數(shù)據(jù)的形式(例如郵件)傳遞帳戶信息,避免了持卡人將銀行信息直接透露給商家,另外也可以不必登錄不同的網(wǎng)上銀行界面,而取而代之的是每次登錄時(shí),都能看到相對(duì)熟悉和簡單的第三方機(jī)構(gòu)的界面。
第三方機(jī)構(gòu)與各個(gè)主要銀行之間又簽訂有關(guān)協(xié)議,使得第三方機(jī)構(gòu)與銀行可以進(jìn)行某種形式的數(shù)據(jù)交換和相關(guān)信息確認(rèn)。這樣第三方機(jī)構(gòu)就能實(shí)現(xiàn)在持卡人或消費(fèi)者與各個(gè)銀行,以及最終的收款人或者是商家之間建立一個(gè)支付的流程。
網(wǎng)上支付的身份鑒別
從上述流程分析可以看出,網(wǎng)上支付的一個(gè)關(guān)鍵問題就是第三方機(jī)構(gòu)(如支付寶、無憂錢包、首信易支付、銀聯(lián)電子支付等)對(duì)付款人和收款人的身份鑒別。
實(shí)現(xiàn)身份鑒別有以下幾種途徑,使用時(shí)可以是三種途徑之一或他們的組合:
·所知(Knowledge):密碼、口令;
·所有(Possesses):身份證、護(hù)照、信用卡、鑰匙;
·個(gè)人特征:指紋、筆跡、聲紋、手型、血型、視網(wǎng)膜、虹膜、DNA,以及個(gè)人動(dòng)作
方面的一些特征設(shè)計(jì)依據(jù):如安全水平、系統(tǒng)通過率、用戶可接受性、成本等。
在網(wǎng)上支付的環(huán)節(jié)里面,可能發(fā)生問題比較多還是用戶的身份認(rèn)證。對(duì)網(wǎng)上認(rèn)證手段分析表明,身份確認(rèn)是信息安全的薄弱環(huán)節(jié)。目前網(wǎng)上身份認(rèn)證普遍采用的是用戶名和密碼的方式,而這種方式又是不安全的,特別是在網(wǎng)上木馬、病毒等特別泛濫的情況下,只使用用戶名和密碼非常容易出現(xiàn)安全故障。
另外,動(dòng)態(tài)密碼技術(shù)也被用于網(wǎng)絡(luò)身份管理,一種是有源動(dòng)態(tài)密碼,本身在客戶手里隨機(jī)動(dòng)態(tài)產(chǎn)生獲得用戶身份認(rèn)證碼或者叫交易授權(quán)。另一種是無源動(dòng)態(tài)密碼。動(dòng)態(tài)密碼只是一種認(rèn)證的輔助手段,沒有絲毫身份信息。有源動(dòng)態(tài)密碼價(jià)格比較昂貴,一般個(gè)人用得很少;無源動(dòng)態(tài)密碼現(xiàn)在越來越多地開始用起來,在電子商務(wù)網(wǎng)站或者游戲網(wǎng)站都被選用。無源動(dòng)態(tài)密碼最早在歐洲開始使用,歐洲銀行用得較多,但這種機(jī)制對(duì)釣魚攻擊是沒有防范能力的。
從目前情況看,將指紋識(shí)別技術(shù)應(yīng)用于網(wǎng)絡(luò)支付是優(yōu)于其它生物識(shí)別技術(shù)。指紋特征可用于對(duì)付款人所涉及到的服務(wù)中的隱私信息加密。指紋特征可以代替用戶登錄支付網(wǎng)站時(shí)的登錄密碼、交易確認(rèn)等需要個(gè)人身份識(shí)別的情況。
網(wǎng)上支付的指紋識(shí)別
如何消除大部分網(wǎng)民的擔(dān)心,讓不想使用網(wǎng)上支付的人使用網(wǎng)上支付,是各個(gè)第三方機(jī)構(gòu)迅速擴(kuò)大市場份額的最好手段。基于網(wǎng)民對(duì)密碼認(rèn)證方式的擔(dān)心,引入指紋識(shí)別的認(rèn)證方式可以大大提高網(wǎng)民對(duì)網(wǎng)上支付的信心,使網(wǎng)上支付平臺(tái)成為“可信賴的安全支付平臺(tái)”。
指紋卡指紋識(shí)別算法網(wǎng)上認(rèn)證接口提供瀏覽器接口和服務(wù)器接口,供認(rèn)證網(wǎng)站進(jìn)行二次開發(fā),其中瀏覽器接口提供瀏覽插件(以下簡稱器插件)供調(diào)用,服務(wù)器接口提供連接庫(Windows版本和Unix版本,以下簡稱連接庫)。
瀏覽器插件具有以下功能:獲取指紋圖像、生成指紋特征、生成指紋模板、指紋匹配。為了適應(yīng)服務(wù)器多進(jìn)程/線程的并行處理需要,動(dòng)態(tài)連接庫內(nèi)部實(shí)現(xiàn)無全局變量,數(shù)據(jù)以參數(shù)形式傳遞,支持無限制的多進(jìn)程/線程運(yùn)行模式。
運(yùn)行模式示例:用戶注冊(cè)時(shí),瀏覽器通過調(diào)用瀏覽器插件獲取指紋圖像,并生成指紋特征,將兩次生成的特征合并為指紋模板發(fā)送到服務(wù)器存儲(chǔ)。身份認(rèn)證時(shí),瀏覽器通過調(diào)用瀏覽器插件獲取指紋圖像并生成指紋特征,然后將該用戶的電子郵件地址和指紋特征發(fā)送到服務(wù)器驗(yàn)證,服務(wù)器調(diào)用連接庫指紋特征和該用戶注冊(cè)的指紋模板以匹配確認(rèn)是否用戶本人。
第三方機(jī)構(gòu)運(yùn)用模式,通過第三方代理人的支付改善信用卡事務(wù)處理安全性的一個(gè)途徑就是在買方和賣方之間啟用第三方代理,目的是使賣方看不到買方信用卡信息,避免信用卡信息在網(wǎng)上多次公開傳輸而導(dǎo)致的信用卡信息被竊取。
對(duì)于用戶的充值過程,目前尚不具備指紋技術(shù)應(yīng)用的基礎(chǔ)。對(duì)于用戶登錄和支付過程,由于指紋特征的隨機(jī)性(同一枚手指多次采集得到的指紋特征都不盡相同)和可匹配性(雖然同一枚手指多次采集得到的指紋特征都不相同,但可以通過算法來驗(yàn)證是不是同一指紋),指紋特征可以認(rèn)為是隨機(jī)密碼,完全可以代替原有的登錄密碼和支付密碼。
與原注冊(cè)流程圖對(duì)比發(fā)現(xiàn),在不改變?cè)凶?cè)方式的基礎(chǔ)上,增加瀏覽器調(diào)用指紋插件,登記用戶的指紋模板,為指紋身份認(rèn)證作準(zhǔn)備。沒有登記指紋的用戶使用密碼驗(yàn)證身份,保證與原系統(tǒng)的兼容。
結(jié)語
隨著網(wǎng)上支付安全隱患的逐步顯現(xiàn),眾多的商家都意識(shí)到了網(wǎng)上支付安全將會(huì)制約網(wǎng)上支付行業(yè)的發(fā)展,這對(duì)網(wǎng)上商家來說是極為不利的。相對(duì)于傳統(tǒng)意義的支付手段,應(yīng)用指紋識(shí)別技術(shù)能更好地防止網(wǎng)上金融犯罪,最大限度地保證了消費(fèi)者以及商家的利益,對(duì)于互聯(lián)網(wǎng)事業(yè)的發(fā)展以及網(wǎng)上支付行業(yè)的發(fā)展有著積極的意義。
