曾经的出门四件套——“身手钥钱”,现在很多人让“钱”退居二线。归根结底,得益于网络支付的高度普及,“手”把“钱”的活儿也干了。
但是,经常使用网络支付的人也难免产生这些疑问:网络支付存在哪些安全隐患?如何让网络支付更安全?
网络支付存在哪些安全隐患?
(资料图片)
支付身份难认定
网上支付,双方互不见面,给钓鱼诈骗等违法活动留下了生存空间。例如,不进行身份认证,用户无法判断支付页面是否是黑客伪造的钓鱼网站。
支付信息的泄露和篡改
支付帐号、密码等隐私信息在网络传输过程中就可能被攻击者窃取,之后攻击者可冒充他人进行网络支付。金额、支付单位等信息也可能因泄露遭到篡改、伪造。
支付行为遭抵赖
纸质合同、契约、单据确保了支付行为具有法律约束力,不可随意抵赖,但网络支付行为的认定脱离了纸质文件,可能出现支付行为完成后发送方否认付款或接收方否认收款等情况。
网络支付需要解决哪些安全需求?
综上所述,网络支付的主要安全需求可以归纳为
保证网络资金结算双方身份的认定;
保证支付信息数据的私密性;
保证支付结算数据的完整性及不可篡改性;
保证网络资金支付结算行为发生及发生内容的不可抵赖性,即建立一种信任机制,确保网络支付在真实、可靠、安全的环境下进行,同时合法合规。
如何让网络支付更安全?
数字证书正是可以构建信任机制、满足网络支付安全需求的一种产品。
数字证书之所以可以保护网络支付安全,主要基于如下特性:
合法性
由合法的第三方CA(即电子认证服务机构,Certificate Authority)颁发的数字证书可通过技术手段建立网络支付各方的信任关系。在我国,CA的合法性由工信部颁发的《电子认证服务许可证》和国家密码管理局颁发的《电子认证服务使用密码许可证》这两项资质确立。
唯一性
每张数字证书中都包含证书序列号及其对应的密钥,这些信息或数据均具有唯一性。受信任的权威CA会先对证书申请人进行身份审核,防止冒名顶替,可以用于确保网络支付各方身份和支付网页的真实性。
保密性
数字证书采用PKI技术体系,在加解密中使用非对称算法。用户持有一把私钥,用它进行解密和签名;同时持有一把公钥,并由本人公开给一组用户共享,用于加密。公钥做加密,仅能使用对应的私钥进行解密。当发送保密数据时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样数据就可以安全传送,即使在传送途中被攻击者截取,攻击者也会因没有私钥而无法解密数据。
防篡改
使用数字证书对数据进行电子签名后,如果数据内容有修改,电子签名即会失效,通过电子签名验证即可发现数据篡改。这就保证任何支付参与方对支付信息的任何篡改都会被发现。
抗抵赖
发送方使用自己持有的证书私钥对信息签名,由于私钥仅为本人所有,该签名难以被伪造,保证了支付信息是由发送者本人签名发送的。此类签名即数字签名,它是电子签名的一种实现形式。不过数字签名要对网络支付行为形成法律约束力,起到“白纸黑字”的效果,还需符合《电子签名法》中对可靠电子签名的要求:“专有专控防篡改”
这其中的关键是电子签名人对电子签名的专有专控。合法的第三方CA独立于支付行为之外,使用其颁发的数字证书进行数字签名符合《电子签名法》规定。所以无论是哪一方,在支付行为完成后,均因该签名而不可否认所签名的付款或收款的金额、时间等信息。如在日后出现纠纷,该数字签名还可作为司法证据使用。
数字证书和生物识别,谁是网络支付安全最优解法?
数字证书的特性使它成为创建真实可信、安全合法的网络环境的一项重要手段,因此被广泛应用于网络支付。
得益于生物识别技术的发展,刷脸支付、指纹支付等便捷的网络支付技术在当下颇为流行,但这些技术的精确度、安全性仍需进一步提升。
综合安全性、可靠性、精准性、便利性后,数字证书仍是目前保障网络支付安全的最佳选择。而将数字证书与FIDO等生物识别技术相结合形成的安全解决方案,也将可提供更坚实、便捷的网络支付安全保障。