支付安全与银行安保精要.docx

  1. 1、本文档共8页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
支付安全与银行安保精要

支付 在安全领域有两个基本的原则: 1. 没有绝对安全,安全是相对的; 2. 所有的简单、方便都是以牺牲安全程度为代价的,只是看你如何权衡罢了。 数字证书动态口令短信验证: 简单的用户名和静态密码都是容易被破解或窃取的(无论如何组合数字和字母,多少位),已经不能满足今天电子支付的安全要求了。所以,银行目前普遍采用“用户名+密码+密钥”三合一的方式来实现用户身份的认证。“用户名和密码”就是你在银行开户时设定的,而“密钥”是你下载到U盾保存(也由银行发放)的数字证书或者银行发放的带有显示屏的六位到八位的动态令牌。 无论是数字证书还是动态令牌,都是代表你身份的唯一象征。对于银行而言,每一个用户都具有唯一的数字证书或者动态令牌,反之亦然。 用户的“密钥”和PC机独立是电子支付的最基本的要求。如果早期使用过网银的客户一定记得,最初数字证书是备份在PC机的硬盘里的,之所以现在要备份到一个独立的U盾里,就是为了将你的“密钥”与PC分离。这样,即使有黑客能够侵入你的电脑,没有数字证书或者动态令牌显示的数字也无法完成资金的转移。 动态令牌的工作原理是简单地来说就是一种密码算法。理论上来讲,只要有足够长的时间和良好的设备,任何密码都可通过穷举法加以破解,即把所有的密码组合全试一次。但对于动态令牌的一些算法(如MD5、SHA-1),使用穷举法寻找它的冲突至少需要进行2^80次运算,这对于我们来说近乎不可能。 短信验证码,或者说短信动态令牌方式,即用户方无需一个动态令牌的实体,服务器端通过短信网关将动态令牌发送下来。所谓动态令牌,就是不断变动的六位或者八位数字。数字一旦出现,永不重复,这就保证了即使黑客窃取你的密码,过了密码的存活周期后,也无法进入系统进行身份认证,所以,动态令牌有时也叫一次性口令,One Time Password,简称OTP。动态令牌的存活时间从几秒钟到几个小时可调,根据你实际的应用场景设定,一般为30-60秒更换一次。 动态令牌的显示数字是依靠某种算法运算所得。服务器端运算出来一个结果,并通过短信发送给手机端,然后用户将这六位数字录入,传递到服务器端进行对比,验证用户的身份。这里先不去考虑密码编制算法的可靠性(是否真的有MD5等那样坚固,我没有看到任何资料说微支付密码采用何种算法,不好评价),仅就短信传递密码,就存在可达性和安全性的问题。 根据目前运营商的平均水平,短信的到达率大约在95%左右,但遇到一些特殊情况,如节假日,有可能会发生延迟、丢失的现象。短信一般不用于关键信息(对丢失、时延敏感)的传递,也属于“best effort”尽力而为范畴。 而且,短信虽然在传递中,报文是加密的,但依然容易被拦截且破解。这样,也会造成动态密码的泄露。所以,主流的动态令牌形式是一个独立于任何设备(无论PC还是手机)的硬件设备,也像U盾一样(很多银行、证券公司采用),只是多一个显示数字的屏幕。 动态令牌一旦激活,在使用过程中将不会再与服务器发生通讯,用户不可能通过空中截取。 动态令牌内部是靠一个小CPU按照与服务器同样的算法分别运算着。每一时刻,服务器跟动态令牌的数字都是一致的,所以,无论何时需要身份的认证,无需通讯,动态令牌跟服务器的数字也会保持正确。 无论是数字证书,还是动态令牌,移动支付的需要一个分离的“密钥”,才能称得上安全。 手机自身安全: 智能手机的快速普及,使今天的手机已经与昨天的手机不可同日而语。但是在带给人方便的同时,也将PC端带给大家的问题复制过来了。手机上的各种漏洞层出不穷,尤其是基于开放的安卓系统的手机,在方便的同时,也方便了别人窃取你的信息。任何一个应用,都可以采集你的诸多私密信息。苹果手机由于采用封闭系统,要略好一点,但也不是没有漏洞,只要有心可为,还是有空子可钻 第三方支付系统: Apple Pay、支付宝、微信支付,都是互联网支付。从客户(付款方)的角度,互联网支付有两个分类:线上支付和线下支付;软件支付和硬件支付。 通过这两个分类,就有四个象限: 支付宝、财付通、快钱、微信支付等平台,都是属于第一象限,客户在线上、通过软件进行支付。例如,淘宝购物用支付宝结算、滴滴打车用微信支付,就是这种形式。 移动端的支付宝(9.0版本前叫做支付宝钱包)、微信支付等app,都是属于第二象限,客户在线下、通过APP软件进行支付。 Apple Pay(苹果支付),则是属于第三象限,客户在线下、通过硬件(苹果手机)进行支付。 第四象限的模式从逻辑上,是不存在的。 从表面上看,第二象限的支付宝和微信支付,跟第三象限的Apple Pay相似,都是拿着手机支付。但是本质上还是有区别的。支付宝和微信支付用的是软件,只是目前软件的载体是手机(任何智能手机),未来完全可以衍生到任何硬件上,比如智能手表、手环、身份证、钥匙、工牌、车牌等。支付宝

文档评论(0)

shuwkb + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档