关于电子商务中的身份认证,怎么防范黑客之类的入侵者?
电子商务源于英文ELECTRONIC
COMMERCE,指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。随着电子商务的普及,人们已经习惯于网上购物,网上
银行和电子支付等新兴事物,然而网络安全始终是制约电子商务发展的一个主要瓶颈。
一、电子商务的身份认证
在
电子商务活动中,由于所有的个人和交易信息要在一个开放的网络(如Internet)进行传输和交换,故我们需要身份认证技术去验证客户的身份。身份认证
一般基于客户拥有什么(如令牌,智能卡或者ID卡),客户知道什么(如静态密码),客户有什么特征(如指纹,虹膜和脑电波等)。国内外常见身份认证技术包
括:用户名/密码方式 、IC卡认证、USB
Key认证和生物特征认证等。随着网络和黑客技术的发展,用户名/密码方式认证已经被证明是不安全的。由于静态的密码方案不能抵御重放攻击,字典攻击且密
码容易忘记,
所以其安全性是很低的,不能满足电子商务中身份认证的要求。目前国内外的一些较成熟的身份认证技术,基本上是用硬件来实现的(如IC卡和USB
Key认证技术等)。
二、各种身份认证技术的比较
1.
静态的用户名和口令方案。在众多的身份认证方案中,静态的用户名和口令方案至今仍是使用最广泛的方案,特别是针对那些安全性要求不强的应用场合,如论
坛,BBS和电子信箱。目前公司和个人受到网络攻击的主要原因是静态密码政策管理不善。大多数用户使用的密码都是字典中可查到的普通单词、姓名或者其他简
单的密码。有86%的用户在所有网站上使用的都是同一个密码或者有限的几个密码。最近一次全国性安全事件发生在2011年12月。当时CSDN的安全系统
遭到黑客攻击,600万用户的登录名、密码及邮箱遭到泄漏。黑客在获取了CSDN的用户登录名和密码后,再用这个密码尝试登录注册邮箱,如果成功则利用很
多网站常用的密码取回功能得到了该用户的其他关联网站的账号和密码。总而言之,静态密码身份认证方案的优点是实施成本低,不需要购置特殊的设备,用户体验
性好,但其安全性较低。
2.
客户证书USBKey(U盾)方案。从技术角度看,客户证书USBKey是用于网上银行电子签名和数字认证的工具,它内置微型智能卡处理器,采用1024
位非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性。目前国内几大商业银行,如工商银行、农业银行
和交通银行等都采用了USBKey方案。网络黑客即使知道了客户的登录密码和支付密码,但如果没有USBKey在手,黑客还是不能够从你的帐户转出一分
钱。故这种身份认证方式可以很好地避免账号、密码被盗等可能出现的风险。USBKey方案的优点是安全性很强,但由于涉及到了硬件故其成本较高,且
USBKey使用前需要先安装驱动。对于一些常常出差或者需要在不同机器上使用USBKey的客户来说,由于计算机各种操作系统(如Windows和
Linux)和硬件(各种不同品牌机器)的差异性,可能在安装时会遇到一些兼容性问题,这大大减低了用户的体验满意度。
3.
短信认证方案。目前一些大型电子商务网站往往采取“静态密码+短信认证”方案。该类系统使用数字物理噪声源产生完全随机变化的动态(验证)密码,并通过无
线通信方式将该动态密码发送到用户的无线通信终端(寻呼机或移动电话等)
上。譬如支付宝网站在用户支付小额金额时只需输入支付密码,但额度如果超过一定额度(如200元),则支付宝网站向用户手机(注册时登记的号码)发一条验
证短信,然后用户在网站上输入6位的手机验证码和支付密码后才能完成付款。采用这种身份认证方式的优点是既保证了小额支付的快捷性,又保证了大额支付的安
全性。但由于该认证系统的实时性和稳定性在很大的程度上依赖于无线通信网的状态,当网络出现拥塞时将导致验证密码传输会有较大的时延,甚至将使系统无法正
常完成身份认证过程,而且由于短信的发送会产生大量的短信费用,对中小型电子商务网站来说仍然是不小的开销。
4.
动态口令认证方案。动态口令又称为一次性口令OTP(One-Time-Password),其特点是用户根据服务商提供的动态口令令牌的显示数字来输入
动态口令,而且每个登录服务器的口令只使用一次,窃听者无法用窃听到的登录口令来做下一次登录,同时利用单向散列函数(如
Sha-1算法等)的不可逆性,防止窃听者从窃听到的登录口令推出下一次登录口令。中国银行就是采用了动态口令认证方案。该方案的特点使用简单,用户无须
安装任何驱动,操作时只需输入当前显示的6位动态口令即可。其不足之处是安全性没有USBKey强,如在2011年上半年,全国各地出现了多起中国银行动
态口令泄露安全事件。黑客们首先设计了多个钓鱼网站,然后引诱中银用户输入登录密码和动态口令。动态口令虽然为一次性口令,但其在60秒之内是可反复使用
的。故黑客得到了用户的登录密码和动态口令之后,只要在1分钟内登录进真正的中银系统后就可以完成转账等窃取用户资金的操作了。
再参考http://wenku.baidu.com/view/6f54036925c52cc58bd6be2f.html 你就完全知道了
现在最多使用的是CA和数字证书两种技术
黑客是通过什么入侵到乌干达移动支付系统的?
通过Pegasus Technologies的系统入侵到乌干达移动支付系统的,但具体细节并没有过多透漏。
目前电子支付存在哪些问题
一、安全问题
虽然,计算机专家在网上银行安全问题上下了极大的攻夫,采取了多种措施,然而,网络黑客的攻击仍然使专家们头疼不已。安全问题仍旧是电子支付中闻关键、最重要的问题。从我国目前电子支付的发展情况看,迫切需要解决下面几个问题:(1)积极向电子支付国际通用标准靠拢。 (2)建立认证中心(CA)的问题。 (3)大力发展电子支付的安全技术。
二、支付方式的统一问题
电子支付中存在着若干种支付方式,每一种方式都有其自身的特点,且有时两种支付方式之间不能做到互相兼容,这样,当电子交易中当事人采用不同的支付方式且这些支付方式又互不兼容时,双方就不可能通过电子支付的手段来款项支付,从而也就不能实现因特网上的交易。因此,从推动电子商务的角度出发,有必要努力将各种不同的支付方式统一起来,将各种不同的支付方式融会贯通、取长补短,结合而形成为一种较为完善的支付方式。
三、跨国交易中的货币兑换问题
我们知道不同货币之间的汇率是在不断变化着的。这样,在跨国电子交易中就存在一个问题,即一个国家的网络消费者如何了解另一国家的销售者的产品报价折合成本国货币是多少。这个问题至关重要,因为它直接影响着人们潜在的购买欲望。最好的解决方案就是将货币自动兑换软件集成于电子商服务器中,实现全球性电子商务处理服务。这样,任何人就可受限制地通过Internet在全球任何地方购物消费。
四、法律问题
随着近年来Internet的普及,人们已开始试跨国界的电子支付新方法。鉴于技术环境的迅速变化,很难制定符合实际又简便易行的法律法规,因为过于严格和缺乏灵活性法律法规都是不合适的。
我国目前在有关电子支付的法律的制定方面刚刚起步,大量的法律新问题需要研究:
(一)电子支付的定义和特征。电子支付是通过网络而实施的一种支付行为,与传统和支付方式类似,它也要引起涉及资金转换方面的法律关系的发生、变更和消灭。
(二)电子支付权利。电子支付的当事人包括付款人、收款人和银行,有时还存在中介机构。各当事人在支付活动中的地位问题必须明确,进而确定各当事人的权利的取得和消灭。涉及这方面的问题相当复杂。
(三)涉及电子支付的伪造、变造、更改与涂销问题。在电子支付活动中,由于网络黑客的猖獗破坏,支付数据伪造、变造、更改与涂销问题越业越突出,对社会的影响越来越大。
(四)刑事侦察技术的发展问题。由于计算机技术的飞速发展,新的电子支付方式层出不穷,每一种方式都有自己的技术特点,都会产重新的法律纠纷。
大家来帮我分析一下,安全电子支付需注意的问题
一、安全问题
虽然,计算机专家在网上银行安全问题上下了极大的攻夫,采取了多种措施,然而,网络黑客的攻击仍然使专家们头疼不已。安全问题仍旧是电子支付中闻关键、最重要的问题。从我国目前电子支付的发展情况看,迫切需要解决下面几个问题:(1)积极向电子支付国际通用标准靠拢。 (2)建立认证中心(CA)的问题。 (3)大力发展电子支付的安全技术。
二、支付方式的统一问题
电子支付中存在着若干种支付方式,每一种方式都有其自身的特点,且有时两种支付方式之间不能做到互相兼容,这样,当电子交易中当事人采用不同的支付方式且这些支付方式又互不兼容时,双方就不可能通过电子支付的手段来款项支付,从而也就不能实现因特网上的交易。因此,从推动电子商务的角度出发,有必要努力将各种不同的支付方式统一起来,将各种不同的支付方式融会贯通、取长补短,结合而形成为一种较为完善的支付方式。
三、跨国交易中的货币兑换问题
我们知道不同货币之间的汇率是在不断变化着的。这样,在跨国电子交易中就存在一个问题,即一个国家的网络消费者如何了解另一国家的销售者的产品报价折合成本国货币是多少。这个问题至关重要,因为它直接影响着人们潜在的购买欲望。最好的解决方案就是将货币自动兑换软件集成于电子商服务器中,实现全球性电子商务处理服务。这样,任何人就可受限制地通过Internet在全球任何地方购物消费。
四、法律问题
随着近年来Internet的普及,人们已开始试跨国界的电子支付新方法。鉴于技术环境的迅速变化,很难制定符合实际又简便易行的法律法规,因为过于严格和缺乏灵活性法律法规都是不合适的。
我国目前在有关电子支付的法律的制定方面刚刚起步,大量的法律新问题需要研究:
(一)电子支付的定义和特征。电子支付是通过网络而实施的一种支付行为,与传统和支付方式类似,它也要引起涉及资金转换方面的法律关系的发生、变更和消灭。
(二)电子支付权利。电子支付的当事人包括付款人、收款人和银行,有时还存在中介机构。各当事人在支付活动中的地位问题必须明确,进而确定各当事人的权利的取得和消灭。涉及这方面的问题相当复杂。
(三)涉及电子支付的伪造、变造、更改与涂销问题。在电子支付活动中,由于网络黑客的猖獗破坏,支付数据伪造、变造、更改与涂销问题越业越突出,对社会的影响越来越大。
(四)刑事侦察技术的发展问题。由于计算机技术的飞速发展,新的电子支付方式层出不穷,每一种方式都有自己的技术特点,都会产重新的法律纠纷。
与传统的支付方式相比较,电子支付具有哪些特点?
与传统支付结算时普遍采用的“三票一卡”相比较,网上支付具有以下几个方面的特征。
(1)网上支付是采用先进的技术通过数字流转来完成信息传输的,其各种支付方式都是采用数字化的方式进行款项支付的;而传统的支付方式则是通过现金的流转、票据的流转及银行的汇兑等物理实体的流转来完成款项支付的。
(2)网上支付的环境是基于一个开放的系统平台(即因特网)之中;而传统支付则是在较为封闭的系统中运行的。
(3)网上支付使用的是最先进的通信手段,如因特网,而传统支付使用的则是传统的通信媒介。网上支付对软、硬件设施的要求很高,一般要求有联网的微机、相关的软件及其他一些配套设施;而传统支付则没有这么高的要求。
(4)网上支付具有方便、快捷、高效、经济等优势。用户只要拥有一台上网的PC机,便可以足不出户,在很短的时间内完成整个支付过程。支付费用仅相当于传统支付的几十分之一,甚至几百分之一。
(5)网上支付目前也还存在一些需要解决的问题,主要是安全问题。如防止黑客入侵、内部作案与密码泄露等涉及资金安全的问题。
黑客攻击会给电子商务带来什么影响?
多方面的吧,如果是渗透到电子商务网站后台,有的后台有订单信息之类的,还可以导出,那么就是泄漏用户信息了。如果电子商务网站有支付漏洞,那么可以利用支付漏洞,如果大规模利用,也会带来影响。如果有越权漏洞,那么可以利用越权漏洞也可以泄漏用户敏感信息。
谈谈电子支付存在哪些问题?应如何解
一、安全问题
虽然,计算机专家在网上银行安全问题上下了极大的攻夫,采取了多种措施,然而,网络黑客的攻击仍然使专家们头疼不已。安全问题仍旧是电子支付中闻关键、最重要的问题。从我国目前电子支付的发展情况看,迫切需要解决下面几个问题:(1)积极向电子支付国际通用标准靠拢。 (2)建立认证中心(CA)的问题。 (3)大力发展电子支付的安全技术。
二、支付方式的统一问题
电子支付中存在着若干种支付方式,每一种方式都有其自身的特点,且有时两种支付方式之间不能做到互相兼容,这样,当电子交易中当事人采用不同的支付方式且这些支付方式又互不兼容时,双方就不可能通过电子支付的手段来款项支付,从而也就不能实现因特网上的交易。因此,从推动电子商务的角度出发,有必要努力将各种不同的支付方式统一起来,将各种不同的支付方式融会贯通、取长补短,结合而形成为一种较为完善的支付方式。
三、跨国交易中的货币兑换问题
我们知道不同货币之间的汇率是在不断变化着的。这样,在跨国电子交易中就存在一个问题,即一个国家的网络消费者如何了解另一国家的销售者的产品报价折合成本国货币是多少。这个问题至关重要,因为它直接影响着人们潜在的购买欲望。最好的解决方案就是将货币自动兑换软件集成于电子商服务器中,实现全球性电子商务处理服务。这样,任何人就可受限制地通过Internet在全球任何地方购物消费。
四、法律问题
随着近年来Internet的普及,人们已开始试跨国界的电子支付新方法。鉴于技术环境的迅速变化,很难制定符合实际又简便易行的法律法规,因为过于严格和缺乏灵活性法律法规都是不合适的。
我国目前在有关电子支付的法律的制定方面刚刚起步,大量的法律新问题需要研究:
(一)电子支付的定义和特征。电子支付是通过网络而实施的一种支付行为,与传统和支付方式类似,它也要引起涉及资金转换方面的法律关系的发生、变更和消灭。
(二)电子支付权利。电子支付的当事人包括付款人、收款人和银行,有时还存在中介机构。各当事人在支付活动中的地位问题必须明确,进而确定各当事人的权利的取得和消灭。涉及这方面的问题相当复杂。
(三)涉及电子支付的伪造、变造、更改与涂销问题。在电子支付活动中,由于网络黑客的猖獗破坏,支付数据伪造、变造、更改与涂销问题越业越突出,对社会的影响越来越大。
(四)刑事侦察技术的发展问题。由于计算机技术的飞速发展,新的电子支付方式层出不穷,每一种方式都有自己的技术特点,都会产重新的法律纠纷
造成我国目前电子支付行业困境的原因是什么
数据也显示,2008年国内网上银行交易总额已达300万亿元,占整个银行业务总额的30%目前,国内银行早已开始重点部署电子银行战略高地,纷纷跑马圈地,尽可能开展各种电子支付业务。在业务形态上,电子银行也已经深入到物流、教育、航空、旅游、游戏、IDC、保险、公共事业缴费等众多行业之中,争取以最便捷全面的服务争取更多的客户,国内各大银行纷纷将其作为在重点业务之一,尤其是中小银行,更是大力发展电子银行弥补自己在网点柜台的不足,将其作为拓展客户提高利润的重要手段。而我国的电子商务发展呈现典型的块状经济特征,东南沿海属于较发达地区,北部与中部属于快速发展地区,西部则相对落后。电子支付也面临着安全问题:
1、信息安全
具体的表现有:窃取商业机密;泄漏商业机密;篡改交易信息,破坏信息的真实性和完整性;接收或发送虚假信息,破坏交易、盗取交易成果;伪造交易信息;非法删除交易信息;交易信息丢失;病毒破坏;黑客入侵;各种网银大盗、黑客木马程序和网上钓鱼、病毒或恶意代码的攻击;软硬体和应用程序存在漏洞;密码网上传输容易截获;假冒等。
2、交易安全
包括交易的确认、产品和服务的提供、产品和服务的质量、价款的支付等方面的安全问题。通过网上虚假交易套取现金、通过一些非法中介机构以刷卡消费的名义直接套取现金。
随着市场的快速发展,由于支付企业竞争的无序,留下了一些安全的隐患;同时由于支付产品的同质化和盈利模式的单一,更导致近
几年电子支付市场成了一片红海。网上支付信用缺失及相关信用体系的不完善是阻碍网上支付普及的主要因素。但相信随着企业电子商务平台实现技术的日趋完善,信用保障机制的日益健全,网上电子支付的方式会为广大人所接受,将有力地促进我国电子商务的进一步发展。
电子支付之所以遇到发展的阻碍与困境,追其原因,有以下几点制约了它的发展:
1、电子支付的相对虚拟性,导致针对可能存在的交易规则漏洞(如虚假交易)进行非法套现的问题。
2、电脑未进行操作系统相关安全配置,安全产品使用不当。
3、计算机系统中毒和虚假银行网站。
4、目前中国电子商务支付系统的混乱不兼容。
5、法律法规的缺陷。
6、网上支付信用缺失及相关信用体系的不完善,支付产品的同质化和盈利模式的单一。
7、企业管理水平低,人员素质不高。许多企业技术人员的技术水平较低,不能完全胜任所承担的工作。同时企业对电子商务的管理也处于一个摸索的阶段,管理的水平不高,效率底下。
最新资料推荐参考:前瞻产业研究院《2016-2021年中国金融电子支付行业市场前瞻与投资规划分析报告》