高 瑛，張富春

（延安大學(xué)物電學(xué)院，陜西延安，716000）

0 引言

電子支付，是指從事電子商務(wù)交易的當(dāng)事人，包括消費(fèi)者、廠商和金融機(jī)構(gòu)，通過信息網(wǎng)絡(luò)，使用安全的信息傳輸手段，采用數(shù)字化方式進(jìn)行的貨幣支付或資金流轉(zhuǎn)。電子支付相比較傳統(tǒng)支付，操作方便、速度快、效率高、費(fèi)用低廉，用戶只要擁有一臺連接Internet的計算機(jī)，便可在電腦旁分秒間完成整個支付過程，可謂省時又省力。加之當(dāng)下，網(wǎng)絡(luò)購物的風(fēng)靡和快遞行業(yè)的提速，電子支付應(yīng)用更加廣泛和普及,如表1。但是，伴隨著電子支付應(yīng)用的火爆，電子支付的安全風(fēng)險也越來越受人們的關(guān)注。本文分析電子支付的安全風(fēng)險及應(yīng)對策略，提出了新的安全應(yīng)對措施，對提高電子支付安全性具有非常重要的理論與現(xiàn)實意義。

表1

1 電子支付的風(fēng)險及防范措施

電子支付給用戶帶來了方便，給支付機(jī)構(gòu)帶來了新的機(jī)會，但同時也對相關(guān)主體提出了更高的要求。

1.1 電子支付面臨著多種風(fēng)險，基本的經(jīng)濟(jì)波動風(fēng)險、操作風(fēng)險和法律風(fēng)險，電子支付本身的技術(shù)風(fēng)險、交易風(fēng)險、信用風(fēng)險，以及市場風(fēng)險、信用風(fēng)險、流動性風(fēng)險、聲譽(yù)風(fēng)險和結(jié)算風(fēng)險等等。

1.2 防范電子支付風(fēng)險的措施

（1）建立網(wǎng)絡(luò)安全防護(hù)體系；（2）建立大型電子支付數(shù)據(jù)倉庫或決策支持系統(tǒng)；（3）加速金融工程學(xué)科的研究、開發(fā)和利用；（4）通過管理、培訓(xùn)手段來防止金融風(fēng)險的發(fā)生。

電子支付的風(fēng)險防范措施不單是技術(shù)層面的安全措施，而是一系列風(fēng)險防范措施的總和。目前應(yīng)用最多的風(fēng)險防范措施有:防火墻技術(shù)、加密技術(shù)、數(shù)字簽名技術(shù)、安全認(rèn)證技術(shù)和虛擬專用網(wǎng)V PN。其實無外乎三種防護(hù)手段，一是瀏覽器加密技術(shù)，在使用者上網(wǎng)用的瀏覽器上進(jìn)行加密處理，保證資料傳輸時的保密性，保護(hù)使用者鍵入密碼、賬號和支付信息后不會被人盜取及濫用；二是“防火墻”技術(shù)，“防火墻”即安全過濾路由器可以防止外來者的不安全進(jìn)入；三是“可信賴作業(yè)系統(tǒng)”，它能夠保護(hù)電子支付時的交易中樞服務(wù)器不被“黑客”攻擊破壞。

2 電子支付安全保障的核心

電子支付業(yè)務(wù)安全保障的核心是安全認(rèn)證，而身份認(rèn)證無疑是安全認(rèn)證技術(shù)中的重中之重。下面介紹幾種身份認(rèn)證的機(jī)制。

1）口令加ID，這種身份認(rèn)證機(jī)制是使用最簡單、最方便同時也是保密度最低，最容易被破解的。口令加 I D 的身份認(rèn)證是靜態(tài)的，口令太短，黑客只需用簡單的窮舉法便可馬上破譯密碼。而較長的口令既不便于記憶又增加了密碼輸入的繁瑣性，所以不實用。因其種種原因，這種身份認(rèn)證法正在被逐漸淘汰。

2）動態(tài)一次性口令，分為“刮刮卡”口令和OTP 動態(tài)令牌口令兩種?！肮喂慰ā笨诹钍且淮我幻艿纳矸蒡炞C法，是利用在二維坐標(biāo)的交叉點處產(chǎn)生一個三位隨機(jī)數(shù)，電子支付時，將隨機(jī)數(shù)鍵入計算機(jī)即可。因為“刮刮卡”口令只有 40 個隨機(jī)密碼，并且交易額有限制，對使用人來說極其不方便。OTP 動態(tài)令牌（Token）卡原理有兩種 ：一是基于時間的 ；二是基于事件的。每次使用人使用 OTP 登錄系統(tǒng)，口令不是靜態(tài)的，是變化的隨機(jī)數(shù)，它來源于產(chǎn)生密碼的運(yùn)算因子。這種口令一般是6位數(shù)字，密碼算法掌握在商家手中，存在潛在的風(fēng)險。

3）數(shù)字證書，也被稱作公鑰的載體，它和私鑰一一對應(yīng)。通信時用公鑰加密，用私鑰解密；簽名時用私鑰加密，用公鑰解密。在公開密鑰密碼體制中，常用的一種是RSA體制。其數(shù)學(xué)原理是將一個大數(shù)分解成兩個質(zhì)數(shù)的乘積，加密和解密用的是兩個不同的密鑰。就算已經(jīng)知道明文、密文和加密密鑰（公開密鑰），想要得出解密密鑰（私密密鑰），在計算上也是不可能的。因為，就現(xiàn)在的計算機(jī)技術(shù)水平，要破解目前采用的1024位RSA密鑰，也要上千年的時間來計算。看起來似乎安全性已經(jīng)很高，其實并不是無懈可擊。當(dāng)黑客攻擊使用人的瀏覽器程序時，仍然有安全隱患。

4)電子支付中有兩個重要的協(xié)議：SSL協(xié)議與SET協(xié)議。

（1） SSL（Secure Sockets Layer，安全套接層協(xié)議）。SSL協(xié)議層包括兩個協(xié)議子層，SSL記錄協(xié)議與SSL握手協(xié)議。SSL協(xié)議的數(shù)據(jù)流程圖如圖1所示。

（2） SET（Secure Electronic Transaction，安全電子交易協(xié)議）。SET協(xié)議運(yùn)行的目標(biāo)包括保證信息在互聯(lián)網(wǎng)上安全傳輸、保證電子商務(wù)參與者信息的相互隔離、解決網(wǎng)上認(rèn)證問題、保證網(wǎng)上交易的實時性、規(guī)范協(xié)議和消息格式。SET協(xié)議的數(shù)據(jù)流程圖如圖2所示。

圖1

圖2

3 電子支付的新安全措施

目前電子支付時所用的身份認(rèn)證技術(shù)都主要集中為以上幾種，這幾種身份認(rèn)證技術(shù)或早已被淘汰，或有自己的致命弱點而容易被黑客攻擊，存在安全隱患。因此，我們可以得知，基于互聯(lián)網(wǎng)的身份認(rèn)證技術(shù)容易被黑客攻擊，而基于硬件的身份認(rèn)證技術(shù)又因其制造手段必有漏洞可循，也極易被黑客破解。那么，世界上什么才是每個人獨一無二，無法復(fù)制與盜取的呢？

世界上沒有相同的兩片葉子，更沒有完全相同的人，就連同卵雙胞胎也具有細(xì)微的人體特征差別。所以，我們提出，將人類獨一無二的指紋、聲音、面部特征和眼部特征等生物特征用作電子支付識別用戶安全身份的手段，也就是電子支付采用生物技術(shù)措施來進(jìn)行用戶的身份安全認(rèn)證，提高電子支付的安全性。

每個人的眼球網(wǎng)膜結(jié)構(gòu)還有指紋都是獨一無二的，因此我們的電子支付身份認(rèn)證基于眼球網(wǎng)膜結(jié)構(gòu)和指紋來研究。

首先將人的眼球網(wǎng)膜和指紋進(jìn)行紅外線采樣、算法壓縮后存儲。當(dāng)需要電子支付時，使用人將眼球?qū)?zhǔn)電腦上的掃描光線進(jìn)行采樣，分析、比對后加以識別，進(jìn)行第一步安全身份核對，確認(rèn)使用人的安全身份。通過驗證后，第二步在外接的帶有液晶顯示屏的指紋識別器上，會顯示使用人電子支付的信息，使用人核對自己的電子支付信息是否屬實，若屬實，按指紋確認(rèn)電子支付的信息，交易完成。若不屬實。使用人不按指紋，交易失敗，如圖1所示。采用眼球網(wǎng)膜結(jié)構(gòu)和指紋的雙重身份識別法可以大幅提高電子支付的安全性，就算黑客破解互聯(lián)網(wǎng)身份認(rèn)證，把使用人的電腦變成“肉雞”，他也沒有使用人的指紋算法，沒法識別使用人的真實身份，故無法完成交易。

圖3

4 總結(jié)

本文通過分析電子支付時存在的風(fēng)險及目前風(fēng)險防范措施存在的安全隱患，提出了基于生物特征的身份安全認(rèn)證技術(shù)，對提高電子支付的安全性有很大的現(xiàn)實和理論意義。電子支付中的身份認(rèn)證是整個支付過程最為核心的問題。只有嚴(yán)把這道安全關(guān)，輔助以獨一無二的生物特征身份認(rèn)證，電子支付才能更安全。

[1]蔡東.電子支付業(yè)務(wù)現(xiàn)狀及發(fā)展趨勢探析[J].中國金融電腦,2012,15-18

[2]楊忠.電子商務(wù)中網(wǎng)銀賬戶的安全性分析[J].信息網(wǎng)絡(luò)安全，2010，（08）：47-49.

[3]陳克非.電子支付的現(xiàn)狀及發(fā)展[J].計算機(jī)工程,1997,32:183-186

[4]李源彬,穆炯,楊洋等.電子商務(wù)概論(第二版)[M].人民郵電出版社.2007.

[5]李燕,吳敏潔,劉劍峰等.關(guān)于電子支付問題的思考[J].電腦知識與技術(shù),2005(29):56-59.

[6]姜華,楊靜.電子商務(wù)的網(wǎng)上支付與安全[J].中國管理信息化,2006(4).

[7]劉喜敏.電子支付的安全問題與對策分析[J].華南金融電腦，2008，(4).

[8]唐禮勇，陳鐘.電子商務(wù)技術(shù)及其安全問題[J].計算機(jī)工程與應(yīng)用，2009，(7).

[9]彭晶.電子支付安全問題的解決策略[J].科海故事博覽·科教創(chuàng)新，2010，(30).

[10]電子支付的風(fēng)險及防范[C].中國社會科學(xué)院金融研究所課題組會議論文2006中國電子支付高層論壇,2006.