本站小編為你精心準(zhǔn)備了網(wǎng)上銀行安全支付問題思考參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

《長春金融高等專科學(xué)校學(xué)報》2015年第一期

一、網(wǎng)上銀行安全支付問題分析

（一）網(wǎng)上支付系統(tǒng)的一般流程網(wǎng)上銀行支付分6個步驟：①用戶進(jìn)入網(wǎng)上銀行官方網(wǎng)站、網(wǎng)址，訪問網(wǎng)上銀行；②輸入用戶名、密碼，登陸網(wǎng)上銀行；③開啟轉(zhuǎn)賬業(yè)務(wù)，輸入轉(zhuǎn)賬卡號、支付密碼；④支付系統(tǒng)服務(wù)器接收轉(zhuǎn)賬信息，并根據(jù)具體交易方式制定反饋信息，要求用戶確認(rèn)；⑤用戶核查信息屬實(shí)，確認(rèn)消息，支付系統(tǒng)執(zhí)行交易；⑥支付系統(tǒng)將消息詳情再次反饋給用戶，用做交易憑證。

（二）支付系統(tǒng)的攻擊手段1.虛假網(wǎng)址訪問欺騙支付過程從一開始就存在安全隱患，首當(dāng)其沖的是網(wǎng)上銀行用戶的銀行卡賬號和密碼，這是最簡單也是最直接造成損失的方式。更重要的是，這一階段的安全防護(hù)是最難以完備的，因?yàn)槌藨?yīng)采取網(wǎng)上銀行本身的安全措施，用戶自身的安全意識也尤為重要，而這點(diǎn)恰恰是許多用戶所欠缺的。用戶訪問網(wǎng)上銀行時，也容易受到被稱為“釣魚網(wǎng)站”的網(wǎng)絡(luò)欺詐。攻擊者一般利用各種手段，如垃圾郵件攻擊、跨站腳本攻擊等方法，誘導(dǎo)用戶點(diǎn)擊仿冒真實(shí)網(wǎng)站的URL地址來騙取用戶的銀行或信用卡賬號、密碼等重要信息。［1］這種攻擊方式非常簡單，可以通過發(fā)送大量垃圾郵件如廣告宣傳、虛假中獎信息等實(shí)現(xiàn)。由于這種攻擊的技術(shù)含量和實(shí)現(xiàn)代價均較低，因此成為現(xiàn)在網(wǎng)上銀行產(chǎn)生安全問題最多的地方。通過這種攻擊，攻擊者可以掌握大量用戶的登錄名和密碼，使用戶的大量私人信息遭到泄漏。目前，網(wǎng)上銀行一般采取的安全機(jī)制是首先強(qiáng)制用戶將登錄密碼和交易密碼設(shè)定為不同值，然后采取“預(yù)留信息驗(yàn)證”的方式，讓用戶在開通網(wǎng)上銀行初期預(yù)設(shè)部分私有信息顯示于登錄成功的頁面。若用戶登陸了釣魚網(wǎng)站，必然看不到預(yù)設(shè)的信息，此時用戶可以立即登錄合法網(wǎng)站修改登錄密碼或者致電銀行暫時封鎖賬戶。2.鍵盤輸入記錄風(fēng)險網(wǎng)上銀行在確定用戶交易信息時，會要求用戶輸入用戶名和密碼，不法分子可利用這一輸入步驟，通過鍵盤記憶程序竊取用戶按鍵信息，獲得用戶相關(guān)交易信息。對鍵盤記錄程序進(jìn)行分析可知，該程序的主要攻擊點(diǎn)在用戶密碼輸入、支付密碼確認(rèn)兩部分，利用日志、消息、鍵盤等選項(xiàng)，過濾、竊取鍵盤錄入信息。由此可見，鍵盤輸入記錄風(fēng)險很大，一旦鍵盤程序被攻破，攻擊者會很容易竊取到用戶的密碼。目前，大部分網(wǎng)上銀行已認(rèn)識到這一風(fēng)險，并改用了“軟鍵盤輸入”程序，隨時、及時過濾鍵盤輸入記錄，以減少攻擊者進(jìn)入鍵盤程序的機(jī)會。但是，由于這種“防盜”技術(shù)仍不完善，網(wǎng)上銀行對用戶安全信息的保護(hù)能力普遍低下，用戶的支付安全依舊很難保證。3.篡改簽名數(shù)據(jù)密碼是決定交易安全的核心要素。然而，在網(wǎng)上銀行支付系統(tǒng)中，密碼信號傳輸?shù)慕灰篆h(huán)境卻并不安全，客戶端、服務(wù)器端都能利用通信系統(tǒng)竊取密碼，即便密碼擁有保障機(jī)制保護(hù)，也很難實(shí)現(xiàn)安全傳輸。［2］攻擊者會利用數(shù)字證書、數(shù)字簽名機(jī)制，將密碼信息保存、隱藏起來，通過智能處理，篡改簽名數(shù)據(jù)，使密碼在用戶未同意的情況下發(fā)生改變。如此一來，攻擊者便可自行設(shè)置用戶密碼，擅自執(zhí)行交易行為。篡改簽名數(shù)據(jù)在以智能卡為核心密鑰的網(wǎng)上銀行客戶端交易系統(tǒng)中極為常見，因?yàn)槊總€用戶的私鑰都藏在智能卡中，所以，一旦攻擊者了解了智能卡的數(shù)字簽證模式，便可進(jìn)入設(shè)備硬件，任意更改用戶密碼。同時，網(wǎng)上銀行的安全問題還是影響網(wǎng)上銀行業(yè)務(wù)的進(jìn)行和拓展的一個重要指標(biāo)和因素。無論網(wǎng)上銀行多么便捷，但是它畢竟屬于新興業(yè)務(wù)，相對于傳統(tǒng)銀行面對面的現(xiàn)金交易，網(wǎng)上銀行的支付方式不能不讓用戶擔(dān)心其安全問題，因此，安全問題的保證也是用戶選擇不同商業(yè)銀行網(wǎng)上銀行的一個標(biāo)準(zhǔn)。

二、網(wǎng)上銀行支付的安全措施分析

（一）識別虛假網(wǎng)站在互聯(lián)網(wǎng)時代，虛假網(wǎng)站、釣魚網(wǎng)站比比皆是，對此如果僅僅依靠網(wǎng)絡(luò)管理和網(wǎng)上銀行自身的安全措施顯然是不夠的。特別是本身并沒有很強(qiáng)的攻擊性，但是一旦陷入其中就容易上當(dāng)受騙的虛假網(wǎng)站和釣魚網(wǎng)站來說，更需要廣大用戶自身有足夠的辨識力，才能夠有效地避免可以避免的損失。［3］最簡單也最直接的辦法就是用戶通過設(shè)置黑白名單以達(dá)到“御敵于國門之外”的效果。這種辦法幾乎所有的用戶都能夠輕松操作。但是這種方法也存在著局限性，即由于現(xiàn)在不法網(wǎng)站多如牛毛，黑名單的辨識能力不能保證無懈可擊，甚至?xí)霈F(xiàn)一些錯誤的辨識，而白名單的辨識能力更是有限，有時可能會出現(xiàn)不必要的交易誤會。所以，還需要用輔助性辦法達(dá)到對不法網(wǎng)站的有效識別，例如：基于網(wǎng)址單詞意義與形狀，自動從目標(biāo)字符串中生成一組與之類似的字符串，作為用戶黑名單中的記錄。因此，可將釣魚網(wǎng)站的網(wǎng)址分為前綴＋關(guān)鍵字＋后綴的組合，利用軟件模擬生成一系列可能是釣魚網(wǎng)站網(wǎng)址的字符串。這種方法可以減少對黑名單的收集工作。此外，還可以利用“編輯距離算法”判斷兩個域名地址字符串之間的距離，以該原理為技術(shù)核心，系統(tǒng)可輕松過濾、檢驗(yàn)出存在安全風(fēng)險的虛假網(wǎng)站和危險網(wǎng)址。同時，“編輯距離算法”還能總結(jié)、分析出網(wǎng)址在區(qū)域環(huán)境下的字符串變化，如果網(wǎng)站被植入病毒，那么用戶在訪問時便會出現(xiàn)一連串不規(guī)則的“字符變化”，依靠現(xiàn)有網(wǎng)絡(luò)安全技術(shù)，可輕松篩選出“不規(guī)則”的字符序列，發(fā)出警示信號，提醒用戶已進(jìn)入了危險網(wǎng)站。

（二）抵抗部分鍵盤記錄的設(shè)計針對攻擊者通過將木馬注入客戶端記錄用戶鍵盤輸入的攻擊方式，網(wǎng)絡(luò)設(shè)計人員可以設(shè)置與之相配合的驅(qū)動程序，利用“派遣函數(shù)”解決插入病毒的影響。例如：創(chuàng)建與用戶按鍵程序相關(guān)聯(lián)的掃描碼，使其可以將用戶密碼信息直接傳送到網(wǎng)上銀行的ActiveX控件上，再由網(wǎng)上銀行驅(qū)動程序翻譯用戶密碼，最后生成最終的密碼信息。如此一來，用戶鍵盤輸入的信息在攻擊者眼里便成了一堆“亂碼”，無任何竊取價值，不能在網(wǎng)上銀行正常使用，而網(wǎng)上銀行認(rèn)定的信息會隨著隨機(jī)生成的掃描碼，傳達(dá)給網(wǎng)絡(luò)銀行的ActiveX控件。此外，即便攻擊者利用鍵盤過濾驅(qū)動插件，找到了用戶密碼的“掃描碼”，網(wǎng)上銀行依然可以通過秘密口令，證實(shí)“密碼交易”請求是否出自用戶本意。如果攻擊者不完全了解用戶交易習(xí)慣、交易方式，就很難成功盜取用戶密碼信息，促成隱匿交易行為。

（三）抵抗交易劫持為了抵抗交易劫持的攻擊模式，很多網(wǎng)上銀行的安全機(jī)制設(shè)定用戶在輸入密碼時使用軟鍵盤或在客戶端強(qiáng)制安裝防木馬的鍵盤驅(qū)動軟件掃描程序等。部分在線交易在確認(rèn)信息中加入了多因子認(rèn)證技術(shù)，如將交易密碼設(shè)置成動態(tài)密碼（包括電子口令卡、手機(jī)動態(tài)密碼、安全密碼器等）。這些技術(shù)均在一定程度上保護(hù)了網(wǎng)上銀行的安全，其原理均是加入人工干預(yù)。為保證用戶在網(wǎng)上銀行的支付行為能夠安全、可靠、高效地進(jìn)行，網(wǎng)上銀行創(chuàng)設(shè)了諸多“安全機(jī)制”來抵御攻擊。［4］上文提到，與網(wǎng)絡(luò)安全技術(shù)相當(dāng)“，網(wǎng)絡(luò)犯罪技術(shù)”也在“與時俱進(jìn)”地發(fā)展著，所以，要想從根本上杜絕風(fēng)險交易，降低攻擊者非法侵入網(wǎng)上銀行支付系統(tǒng)的犯罪幾率，必須不斷完善安全系統(tǒng)，以先進(jìn)安全技術(shù)為核心，組建無漏洞、無風(fēng)險、無間接傷害的安全系統(tǒng)模型，具體內(nèi)容包括：1.用戶交易密碼安全。不要以明文形式構(gòu)建密碼，用戶的交易密碼需由網(wǎng)上銀行支付系統(tǒng)的智能卡的按鍵端輸入，解除用戶鍵盤輸入對用戶密碼編輯、傳輸、處理的主導(dǎo)功能，如此，出現(xiàn)在客戶端設(shè)備的用戶密碼將會更加安全、完整地保存在網(wǎng)上銀行的數(shù)據(jù)庫中，免除竊取、盜用風(fēng)險。2.增設(shè)隨機(jī)算子。用戶的交易行為在網(wǎng)絡(luò)銀行支付系統(tǒng)中是動態(tài)變化的，為迎合這一交易環(huán)境，可在安全設(shè)計方案中增設(shè)隨機(jī)算子，以其為交易指標(biāo)、憑據(jù)，隨機(jī)校驗(yàn)、核查用戶名、密碼等重要信息。每次交易時，隨機(jī)算子的參與模式、內(nèi)容都會不同，這樣可使得用戶在輸入用戶名、密碼等信息時，擁有了“隨機(jī)應(yīng)變”的權(quán)利，其信息安全得以有效保護(hù)。3.改變交易信息確認(rèn)方式。服務(wù)器向用戶客戶端發(fā)送的確認(rèn)信息很容易被盜取、濫用，這也是“手機(jī)認(rèn)證”、“短信詐騙”等交易安全事故頻發(fā)的根本原因。為此，網(wǎng)上銀行支付系統(tǒng)需增加人工干預(yù)程序，以人工管理、控制、確認(rèn)模式，提高信息確認(rèn)交易步驟的安全性。綜上所述，作為傳統(tǒng)銀行業(yè)務(wù)的發(fā)展和延伸，網(wǎng)上銀行業(yè)務(wù)在互聯(lián)網(wǎng)時代無疑有著強(qiáng)大的生命力和發(fā)展前景。特別是網(wǎng)上銀行支付業(yè)務(wù)的范圍和領(lǐng)域不斷增加，對于網(wǎng)上銀行的發(fā)展有很強(qiáng)的促進(jìn)作用。我們在充分享受網(wǎng)上銀行所帶來的便利的同時，也需要充分意識到網(wǎng)上銀行的安全性問題，要想真正獲得安全，唯一的辦法就是將安全意識與安全保障完美結(jié)合，才能真正實(shí)現(xiàn)網(wǎng)上銀行支付業(yè)務(wù)的安全保障。

作者：關(guān)偉哲郭萬春單位：長春金融高等專科學(xué)校計算機(jī)系 長春金融高等專科學(xué)校培訓(xùn)中心